你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 机密 VM 选项
Azure 提供 AMD 和 Intel 的多个“受信任执行环境”(TEE) 选项。 通过这些 TEE,可以创建具有出色性价比的机密 VM 环境,且无需进行任何代码更改。
基于 AMD 的机密 VM 使用技术 AMD SEV-SNP,该技术在第三代 AMD EPYC™ 处理器中引入。 而基于 Intel 的机密 VM 则使用 Intel TDX,该技术在第四代 Intel® Xeon® 处理器中引入。 这两种技术均提供不同的实现,同时两者均提供与云基础结构堆栈类似的保护。
大小
我们提供以下 VM 大小:
大小系列 | TEE | 说明 |
---|---|---|
DCasv5 系列 | 硬件机密 VM | 具有远程存储的常规用途 CVM。 无本地临时磁盘。 |
DCadsv5 系列 | 硬件机密 VM | 具有本地临时磁盘的常规用途 CVM。 |
ECasv5 系列 | 硬件机密 VM | 具有远程存储的内存优化 CVM。 无本地临时磁盘。 |
ECadsv5 系列 | 硬件机密 VM | 具有本地临时磁盘的内存优化 CVM。 |
DCesv5 系列 | Intel TDX | 具有远程存储的常规用途 CVM。 无本地临时磁盘。 |
DCedsv5 系列 | Intel TDX | 具有本地临时磁盘的常规用途 CVM。 |
ECesv5 系列 | Intel TDX | 具有远程存储的内存优化 CVM。 无本地临时磁盘。 |
ECedsv5 系列 | Intel TDX | 具有本地临时磁盘的内存优化 CVM。 |
NCCadsH100v5-series | AMD SEV-SNP 和 NVIDIA H100 Tensor Core GPU | 具有机密 GPU 的 CVM。 |
注意
内存优化的机密 VM 为每个 vCPU 计数提供两倍于内存的比率。
Azure CLI 命令
可以将 Azure CLI 与机密 VM 一起使用。
若要查看机密 VM 大小的列表,请运行以下命令。 将 <vm-series>
替换为要使用的系列。 输出显示有关可用区域和可用性区域的信息。
vm_series='DCASv5'
az vm list-skus \
--size dc \
--query "[?family=='standard${vm_series}Family'].{name:name,locations:locationInfo[0].location,AZ_a:locationInfo[0].zones[0],AZ_b:locationInfo[0].zones[1],AZ_c:locationInfo[0].zones[2]}" \
--all \
--output table
若要更详细的列表,请改为运行以下命令:
vm_series='DCASv5'
az vm list-skus \
--size dc \
--query "[?family=='standard${vm_series}Family']"
部署注意事项
在部署机密 VM 之前,请考虑以下设置和选择。
Azure 订阅
若要部署机密 VM 实例,请考虑使用即用即付订阅或其他购买选项。 如果使用 Azure 免费帐户,则配额不会允许相应 Azure 计算核心数量。
可能需要在 Azure 订阅中在默认值的基础上增加核心配额。 默认限制因订阅类别而异。 订阅可能也会限制可在特定 VM 大小系列(包括机密 VM 大小)中部署的核心数目。
若要请求提高配额,可提出在线客户支持请求。
如果有大规模容量需求,请与 Azure 支持部门联系。 Azure 配额为信用额度,而不是容量保障。 只会对使用的核心产生费用。
定价
有关定价的选项,请参见 Linux 虚拟机定价。
区域可用性
有关可用性信息,请参阅可用的 VM 产品(按 Azure 区域)。
调整大小
机密 VM 在专用硬件上运行,因此只能将机密 VM 实例的大小调整为同一区域中的其他机密大小。 例如,如果有 DCasv5 系列 VM,则可以调整为另一 DCasv5 系列实例或一个 DCesv5 系列实例的大小。
不能将非机密 VM 大小调整为机密 VM 的大小。
高可用性和灾难恢复
你负责为机密 VM 创建高可用性和灾难恢复解决方案。 计划这些方案有助于最大限度减少和避免长时间停机。
使用 ARM 模板进行部署
Azure 资源管理器是 Azure 的部署和管理服务。 你可以:
- 在部署后,使用访问控制、锁和标记等管理功能来保护和组织资源。
- 使用管理层在 Azure 订阅中创建、更新和删除资源。
- 使用 Azure 资源管理器模板(ARM 模板)在 AMD 处理器上部署机密 VM。
请确保在参数部分 (parameters
) 为 VM 指定以下属性:
- VM 大小 (
vmSize
)。 从不同的机密 VM 系列和大小中选择。 - OS 映像名称 (
osImageName
)。 从合格的 OS 映像中选择。 - 磁盘加密类型 (
securityType
)。 选择仅 VMGS 加密 (VMGuestStateOnly
) 或全 OS 磁盘预加密 (DiskWithVMGuestState
),这可能会导致预配时间较长。 仅针对 Intel TDX 实例,我们还支持没有 VMGS 或 OS 磁盘加密的另一种安全类型 (NonPersistedTPM
)。
后续步骤
有关详细信息,请参阅我们的机密 VM FAQ。