共用方式為

快速入門:在 Azure 入口網站中建立 Intel SGX VM

  • 發行項

本教學課程會引導您完成使用 Azure 入口網站部署 Intel SGX VM 的過程。 除此之外,建議您遵循 Azure Marketplace 範本。

必要條件

如尚未擁有 Azure 訂用帳戶,請在開始之前先建立帳戶

注意

免費試用版帳戶無法存取本教學課程中的 VM。 請升級為隨用隨付訂用帳戶。

登入 Azure

  1. 登入 Azure 入口網站

  2. 在頂端選取 [建立資源]

  3. 在左側窗格上,選取 [計算]

  4. 選取 [建立虛擬機器]

    Deploy a VM

設定 Intel SGX 虛擬機器

  1. 在 [基本] 索引標籤中,選取您的 [訂用帳戶] 和 [資源群組]

  2. 針對 [虛擬機器名稱],輸入新 VM 的名稱。

  3. 輸入或選取下列值:

    • 區域:選取適合您的 Azure 區域。

      注意

      Intel SGX VM 會在特定區域中的特殊硬體上執行。 如需最新的區域可用性,請尋找可用區域中的 DCsv2 系列或 DCsv3/DCdsv3 系列。

  4. 設定您想要用於虛擬機器的作業系統映射。

    • 選擇影像:在本教學課程中,請選取 Ubuntu 20.04 LTS - Gen2。 您也可以選取 Ubuntu 18.04 LTS - Gen2 或 Windows Server 2019。

    • 更新至第 2 代:在 [映像] 底下,選取 [設定 VM 產生],然後在飛出視窗中選取 [第 2 代]

      image

  5. 選擇具有 Intel SGX 功能的虛擬機器,按一下 [+ 新增篩選] 來建立篩選,選取篩選類型的 [類型],然後只核取下一個下拉式清單中的 [機密計算]

    DCsv2-Series VMs

    提示

    您應該會看到這些大小:DC(number)s_v2DC(number)s_v3DC(number)ds_v3深入了解

  6. 填入下列資訊:

    • 驗證類型:如果您要建立 Linux VM,請選取 [SSH 公開金鑰]

      注意

      您可以選擇使用 SSH 公開金鑰或密碼進行驗證。 SSH 較為安全。 如需有關如何產生 SSH 金鑰的指示,請參閱在 Linux 和 Mac 上為 Azure 中的 Linux VM 建立 SSH 金鑰

    • 使用者名稱:輸入 VM 的系統管理員名稱。

    • SSH 公開金鑰:輸入您的 RSA 公開金鑰 (如果適用)。

    • 密碼:如果適用的話,請輸入您的密碼進行驗證。

    • 公用輸入連接埠:選擇 [允許選取的連接埠],然後選取 [選取公用輸入連接埠] 清單中的 [SSH (22)] 和 [HTTP (80)]。 如果您要部署 Windows VM,請選取 [HTTP (80)] 和 [RDP (3389)]

    注意

    在生產部署中,不建議允許 RDP/SSH 連接埠。

    Inbound ports

  7. 在 [磁碟] 索引標籤中進行變更。

    • DCsv2 系列支援標準 SSD,在 DC1、DC2 和 DC4 中支援進階 SSD
    • DCsv3 和 DCdsv3 系列支援標準 SSD進階 SSDUltra 磁碟

  8. 對下列索引標籤中的設定進行您想要的任何變更,或保留預設設定。

    • 網路功能
    • 管理
    • 客體設定
    • Tags (標籤)

  9. 選取 [檢閱 + 建立]。

  10. 在 [檢閱 + 建立] 窗格中,選取 [建立]

注意

如果您已部署 Linux VM,請繼續下一節並繼續進行本教學課程。 如果您已部署 Windows VM,請遵循這些步驟來連線到您的 Windows VM,然後 在 Windows 上安裝 OE SDK

連線至 Linux VM

開啟您選擇的 SSH 用戶端,例如 Linux 上的 Bash 或 Windows 上的 PowerShell。 ssh 命令通常包含在 Linux、macOS 和 Windows 中。 如果您使用 Windows 7 或較舊版本,其中預設不包含 Win32 OpenSSH,請考慮從瀏覽器安裝 WSL 或使用 Azure Cloud Shell。 在下列命令中,取代 VM 使用者名稱和 IP 位址以連線到您的 Linux VM。

ssh azureadmin@40.55.55.555

您可以在 Azure 入口網站中虛擬機器的 [概觀] 區段下,尋找 VM 的公用 IP 位址。

IP address in Azure portal

如需有關連線至 Linux VM 的詳細資訊,請參閱使用入口網站在 Azure 上建立 Linux VM

安裝 Azure DCAP 用戶端

Azure 資料中心證明基本類型 (DCAP),這是 Intel 報價提供者程式庫的取代專案 (QPL),直接從 THIM 服務擷取報價產生附注和報價驗證宣傳資料。

受信任的硬體身分識別管理 (THIM) 服務會處理位於 Azure 中所有受信任執行環境 (TEE) 的憑證快取管理,並提供受信任的運算基礎 (TCB) 資訊,以強制執行證明解決方案的最低基準。

DCsv3 和 DCdsv3 僅支援 ECDSA 型證明,而且使用者必須安裝 Azure DCAP 用戶端,才能與 THIM 互動,並在證明程序期間擷取 TEE 附隨品以產生引用。 DCv2 會繼續支援 EPID 型證明

清除資源

若不再需要,您可以刪除資源群組、虛擬機器和所有相關資源。

請選取虛擬機器的資源群組,然後選取 [刪除]。 確認要完成資源刪除作業的資源群組名稱。

下一步

在本快速入門中,您已部署並連線到 Intel SGX VM。 如需詳細資訊,請參閱虛擬機器的解決方案

繼續了解 GitHub 上的 Open Enclave SDK 範例,以探索如何建置機密運算應用程式。

建置 Open Enclave SDK 範例

Microsoft Azure 證明是免費且以 ECDSA 為基礎的證明架構,可遠端驗證多個 TEE 的可信度,以及其中所執行二進位檔的完整性。 深入了解