مشاركة عبر

التشغيل السريع - إنشاء VM Intel SGX في مدخل Azure

  • مقالة

يرشدك هذا البرنامج التعليمي خلال عملية نشر VM Intel SGX باستخدام مدخل Azure. وإلا، نوصي باتباع قوالب سوق Azure التالية.

المتطلبات الأساسية

في حال لم يكن لديك اشتراك Azure، فأنشئ حساباً قبل أن تبدأ.

ملاحظة

لا تتمتع الحسابات التجريبية المجانية بإمكانية الوصول إلى الأجهزة الافتراضية في هذا البرنامج التعليمي. يرجى الترقية إلى اشتراك الدفع أولاً بأول.

تسجيل الدخول إلى Azure

  1. تسجيل الدخول إلى مدخل Azure.

  2. في القائمة، حدد Create a resource.

  3. في الجانب الأيسر، حدد حساب.

  4. حدد إنشاء VM.

    توزيع جهاز ظاهري

تكوين VM من Intel SGX

  1. في علامة التبويب أساسيات، حدد مجموعة الاشتراكوالموارد.

  2. في Virtual machine name، أدخل اسماً للجهاز الظاهري الجديد الخاص بك.

  3. اكتب أو حدد القيم التالية:

    • Region: تحديد منطقة Azure المناسبة لك.

      ملاحظة

      تعمل أجهزة Intel SGX الظاهرية على أجهزة متخصصة في مناطق معينة. للحصول على أحدث معلومات حول التوافر الإقليمي، ابحث عن سلسلة DCsv2 أو سلسلة DCsv3/DCdsv3 في المناطق المتاحة.

  4. قم بتكوين صورة نظام التشغيل التي ترغب في استخدامها للجهاز الظاهري الخاص بك.

    • Choose Image: لهذا البرنامج التعليمي، حدد Ubuntu 20.04 LTS (Gen 2). يمكنك أيضًا تحديد Ubuntu 18.04 LTS - Gen2، أو Windows Server 2019.

    • تحديث إلى الجيل 2: تحت الصورة، حدد تكوين جيل VM، في التحليق، ثم حدد الجيل 2.

      صورة

  5. اختر جهازا ظاهريا مزودا بقدرات Intel SGX بالنقر فوق + إضافة عامل تصفية لإنشاء عامل تصفية، وحدد النوع لنوع عامل التصفية، وتحقق فقط من الحوسبة السرية من القائمة في القائمة المنسدلة التالية.

    الأجهزة الظاهرية من السلسلة DCsv2

    تلميح

    يجب أن تشاهد أحجام DC(number)s_v2، و DC(number)s_v3 و DC(number)ds_v3. معرفة المزيد.

  6. قم بتعبئة المعلومات التالية:

    • Authentication type: حدد SSH public key إذا كنت تقوم بإنشاء جهاز Linux الظاهري.

      ملاحظة

      لديك خيار استخدام مفتاح عام SSH أو كلمة مرور للمصادقة. SSH هو أكثر أمناً. للحصول على إرشادات حول كيفية إنشاء مفتاح SSH، يرجى الاطلاع على إنشاء مفاتيح SSH على Linux وMac لأجهزة Linux الظاهرية في Azure.

    • Username: أدخل اسم المسؤول عن الجهاز الظاهري.

    • SSH public key: أدخل المفتاح العام RSA.

    • Password: إذا كان ذلك ممكناً، أدخل كلمة المرور للمصادقة.

    • Public inbound ports: اختر Allow selected ports ثم اختر SSH (22) وHTTP (80) في قائمة Select public inbound ports. إذا كنت تقوم بتوزيع جهاز Windows الظاهري، فحدد HTTP (80) وRDP (3389) .

    ملاحظة

    لا ينصح بالسماح بمنافذ RDP/SSH لعمليات توزيع الإنتاج.

    المنافذ الواردة

  7. قم بإجراء تغييرات في علامة التبويب الأقراص.

    • تدعم سلسلة DCsv2Standard SSD، وPremium SSD المدعوم عبر DC1 وDC2 وDC4.
    • تدعم كلتا سلسلتي DCsv3 وDCdsv3Standard SSD، وPremium SSD و Ultra Disk

  8. قم بإجراء أي تغييرات تريدها على الإعدادات في علامات التبويب التالية أو احتفظ بالإعدادات الافتراضية.

    • الشبكات
    • الإدارة
    • تكوين الضيف
    • علامات

  9. حدد Review + create.

  10. في الجزء Review + create، حدد Create.

ملاحظة

انتقل إلى القسم التالي وتابع هذا البرنامج التعليمي إذا قمت بتوزيع جهاز Linux الظاهري. إذا قمت بتوزيع جهاز Windows الظاهري، اتبع الخطوات التالية للاتصال بجهاز Windows الظاهري ثم بادر بتثبيت OE SDK على Windows.

الاتصال بجهاز Linux الظاهري

افتح عميل SSH الذي تختاره، مثل Bash على Linux أو PowerShell على Windows. ssh عادة ما يتم تضمين الأمر في Linux وmacOS وWindows. إذا كنت تستخدم Windows 7 أو أقدم، حيث لا يتم تضمين Win32 OpenSSH بشكل افتراضي، ففكر في تثبيت WSL أو استخدام Azure Cloud Shell من المستعرض. في الأمر التالي، استبدل اسم مستخدم الجهاز الظاهري وعنوان IP للاتصال بجهاز Linux الظاهري.

ssh azureadmin@40.55.55.555

يمكنك العثور على عنوان IP العام للجهاز الظاهري الخاص بك في مدخل Microsoft Azure، ضمن القسم Overview على الجهاز الظاهري الخاص بك.

عنوان IP في مدخل Microsoft Azure

لمزيد من المعلومات حول الاتصال بأجهزة Linux الظاهرية، يرجى الاطلاع على إنشاء جهاز Linux الظاهري على Azure باستخدام المدخل.

تثبيت عميل Azure DCAP

يجلب Azure Data Center Attestation Primitives (DCAP)، وهو بديل لمكتبة موفر اقتباس Intel (QPL)، ضمانات إنشاء الاقتباس وضمان التحقق من صحة الاقتباس مباشرة من خدمة THIM.

تتعامل خدمة إدارة هوية الأجهزة الموثوق بها (THIM) مع إدارة ذاكرة التخزين المؤقت للشهادات لجميع بيئات التنفيذ الموثوق بها (TEE) الموجودة في Azure وتوفر معلومات قاعدة الحوسبة الموثوق بها (TCB) لفرض حد أدنى من الأساس لحلول التصديق.

تدعم DCsv3 و DCdsv3 فقط الشهادة المستندة إلى ECDSA ويطلب من المستخدمين لتثبيت عميل Azure DCAP للتفاعل مع THIM وجلب ضمانات TEE لتوليد الاقتباس أثناء عملية الشهادة. تستمر DCsv2 في دعم التوثيق القائم على EPID.

تنظيف الموارد

عندما لا تكون هناك حاجة، يمكنك حذف مجموعة الموارد، وVM، وكافة الموارد المرتبطة بها.

حدد مجموعة الموارد للجهاز الظاهري، ثم حدد Delete. قم بأكيد اسم مجموعة الموارد لإنهاء حذف الموارد.

الخطوات التالية

في هذا التشغيل السريع، قمت بنشر Intel SGX VM الخاص بك وتوصيله. لمزيد من المعلومات، راجع الحلول على الأجهزة الظاهرية.

اكتشف كيف يمكنك إنشاء تطبيقات الحوسبة السرية، من خلال المتابعة إلى عينات Open Enclave SDK على GitHub.

إنشاء عينات Open Enclave SDK

توثيق Microsoft Azure مجانية وهو إطار عمل توثيق قائم على ECDSA، للتحقق عن بعد من مصداقية العديد من TEEs وسلامة الثنائيات التي تعمل داخله. تعرف على المزيد