你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 机密 VM 选项
Azure 提供了多个机密 VM 选项,这些选项利用来自 AMD 和 Intel 的受信任执行环境 (TEE) 技术来强化虚拟化环境。 借助这些技术,无需更改代码,即可预配性价比极高的机密计算环境。
AMD 机密 VM 利用安全加密虚拟化安全嵌套分页 (SEV-SNP),该技术是第三代 AMD EPYC™ 处理器引入的。 Intel 机密 VM 使用信任域扩展 (TDX),该技术是第四代 Intel® Xeon® 处理器引入的。
大小
可以在以下大小系列中创建机密 VM:
| 大小系列 | TEE | 说明 |
|---|---|---|
| DCasv5 系列 | 硬件机密 VM | 具有远程存储的常规用途 CVM。 无本地临时磁盘。 |
| DCesv5 系列 | Intel TDX | 具有远程存储的常规用途 CVM。 无本地临时磁盘。 |
| DCadsv5 系列 | 硬件机密 VM | 具有本地临时磁盘的常规用途 CVM。 |
| DCedsv5 系列 | Intel TDX | 具有本地临时磁盘的常规用途 CVM。 |
| ECasv5 系列 | 硬件机密 VM | 具有远程存储的内存优化 CVM。 无本地临时磁盘。 |
| ECesv5 系列 | Intel TDX | 具有远程存储的内存优化 CVM。 无本地临时磁盘。 |
| ECadsv5 系列 | 硬件机密 VM | 具有本地临时磁盘的内存优化 CVM。 |
| ECedsv5 系列 | Intel TDX | 具有本地临时磁盘的内存优化 CVM。 |
注意
内存优化的机密 VM 为每个 vCPU 计数提供两倍于内存的比率。
Azure CLI 命令
可以将 Azure CLI 与机密 VM 一起使用。
若要查看机密 VM 大小的列表,请运行以下命令。 将 <vm-series> 替换为要使用的系列。 输出显示有关可用区域和可用性区域的信息。
vm_series='DCASv5'
az vm list-skus \
--size dc \
--query "[?family=='standard${vm_series}Family'].{name:name,locations:locationInfo[0].location,AZ_a:locationInfo[0].zones[0],AZ_b:locationInfo[0].zones[1],AZ_c:locationInfo[0].zones[2]}" \
--all \
--output table
若要更详细的列表,请改为运行以下命令:
vm_series='DCASv5'
az vm list-skus \
--size dc \
--query "[?family=='standard${vm_series}Family']"
部署注意事项
在部署机密 VM 之前,请考虑以下设置和选择。
Azure 订阅
若要部署机密 VM 实例,请考虑使用即用即付订阅或其他购买选项。 如果使用 Azure 免费帐户,则配额不会允许相应 Azure 计算核心数量。
可能需要在 Azure 订阅中在默认值的基础上增加核心配额。 默认限制因订阅类别而异。 订阅可能也会限制可在特定 VM 大小系列(包括机密 VM 大小)中部署的核心数目。
若要请求提高配额,可提出在线客户支持请求。
如果有大规模容量需求,请与 Azure 支持部门联系。 Azure 配额为信用额度,而不是容量保障。 只会对使用的核心产生费用。
定价
有关定价的选项,请参见 Linux 虚拟机定价。
区域可用性
有关可用性信息,请参阅可用的 VM 产品(按 Azure 区域)。
调整大小
机密 VM 在专用硬件上运行,因此只能将机密 VM 实例的大小调整为同一区域中的其他机密大小。 例如,如果有 DCasv5 系列 VM,则可以调整为另一 DCasv5 系列实例或一个 DCesv5 系列实例的大小。
不能将非机密 VM 大小调整为机密 VM 的大小。
来宾操作系统支持
机密 VM 的 OS 映像必须满足特定的安全和兼容性要求。 合格的映像支持安全装载、证明、可选的机密 OS 磁盘加密,以及与底层云基础设施的隔离。 这些映像包括:
- Ubuntu 20.04 LTS(仅支持 AMD SEV-SNP)
- Ubuntu 22.04 LTS
- Red Hat Enterprise Linux 9.3 (仅支持 AMD SEV-SNP)
- Windows Server 2019 Datacenter - x64 Gen 2(仅支持 AMD SEV-SNP)
- Windows Server 2019 Datacenter Server Core - x64 Gen 2(仅支持 AMD SEV-SNP)
- Windows Server 2022 Datacenter - x64 Gen 2
- Windows Server 2022 Datacenter:Azure Edition Core - x64 Gen 2
- Windows Server 2022 Datacenter:Azure Edition - x64 Gen 2
- Windows Server 2022 Datacenter Server Core - x64 Gen 2
- Windows 11 企业版 N,版本 22H2 -x64 Gen 2
- Windows 11 专业版,版本 22H2 ZH-CN -x64 Gen 2
- Windows 11 专业版,版本 22H2 -x64 Gen 2
- Windows 11 专业版 N,版本 22H2 -x64 Gen 2
- Windows 11 企业版,版本 22H2 -x64 Gen 2
- Windows 11 企业版多会话,版本 22H2 -x64 Gen 2
当我们努力加入具有机密 OS 磁盘加密的更多 OS 映像时,早期预览版中提供了各种映像,可以进行测试。 可以在下方注册:
- Red Hat Enterprise Linux 9.3(支持 Intel TDX)
- SUSE Enterprise Linux 15 SP5(支持 Intel TDX、AMD SEV-SNP)
- SUSE Enterprise Linux 15 SAP SP5(支持 Intel TDX、AMD SEV-SNP)
有关支持方案和不支持方案的更多信息,请参阅 Azure 对第 2 代 VM 的支持。
高可用性和灾难恢复
你负责为机密 VM 创建高可用性和灾难恢复解决方案。 计划这些方案有助于最大限度减少和避免长时间停机。
使用 ARM 模板进行部署
Azure 资源管理器是 Azure 的部署和管理服务。 你可以:
- 在部署后,使用访问控制、锁和标记等管理功能来保护和组织资源。
- 使用管理层在 Azure 订阅中创建、更新和删除资源。
- 使用 Azure 资源管理器模板(ARM 模板)在 AMD 处理器上部署机密 VM。 有一个可用的机密 VM 的 ARM 模板。
请确保在参数部分 (parameters) 为 VM 指定以下属性:
- VM 大小 (
vmSize)。 从不同的机密 VM 系列和大小中选择。 - OS 映像名称 (
osImageName)。 从合格的 OS 映像中选择。 - 磁盘加密类型 (
securityType)。 选择仅 VMGS 加密 (VMGuestStateOnly) 或全 OS 磁盘预加密 (DiskWithVMGuestState),这可能会导致预配时间较长。 仅针对 Intel TDX 实例,我们还支持没有 VMGS 或 OS 磁盘加密的另一种安全类型 (NonPersistedTPM)。
后续步骤
有关详细信息,请参阅我们的机密 VM FAQ。