مشاركة عبر

خيارات Azure Confidential VM

  • مقالة

يقدم Azure خيارا من خيارات بيئة التنفيذ الموثوق بها (TEE) من كل من AMD وIntel. تسمح لك TEEs هذه بإنشاء بيئات الجهاز الظاهري السرية بنسب سعر إلى أداء ممتازة، كل ذلك دون الحاجة إلى أي تغييرات في التعليمات البرمجية.

بالنسبة للأجهزة الظاهرية السرية المستندة إلى AMD، فإن التقنية المستخدمة هي AMD SEV-SNP، والتي تم تقديمها مع معالجات GEN AMD EPYC™ الثالثة. من ناحية أخرى، تستخدم الأجهزة الظاهرية السرية المستندة إلى Intel Intel TDX، وهي تقنية مقدمة مع معالجات Intel® Xeon® من الجيل الرابع. كلتا التقنيتين لها تطبيقات مختلفة، ولكن كلاهما يوفر حماية مماثلة من مكدس البنية الأساسية السحابية.

الأحجام

نقدم أحجام الأجهزة الظاهرية التالية:

حجم العائلة المحمله ‏‏الوصف
DCasv5-series AMD SEV-SNP CVM للأغراض العامة مع التخزين عن بعد. لا يوجد قرص مؤقت محلي.
DCadsv5-series AMD SEV-SNP CVM للأغراض العامة مع قرص مؤقت محلي.
ECasv5-series AMD SEV-SNP CVM المحسن للذاكرة مع التخزين عن بعد. لا يوجد قرص مؤقت محلي.
ECadsv5-series AMD SEV-SNP CVM المحسن للذاكرة مع قرص مؤقت محلي.
سلسلة DCesv5 Intel TDX CVM للأغراض العامة مع التخزين عن بعد. لا يوجد قرص مؤقت محلي.
سلسلة DCedsv5 Intel TDX CVM للأغراض العامة مع قرص مؤقت محلي.
سلسلة ECesv5 Intel TDX CVM المحسن للذاكرة مع التخزين عن بعد. لا يوجد قرص مؤقت محلي.
سلسلة ECedsv5 Intel TDX CVM المحسن للذاكرة مع قرص مؤقت محلي.

إشعار

توفر الأجهزة الظاهرية السرية المحسنة للذاكرة ضعف نسبة الذاكرة لكل عدد وحدات المعالجة المركزية الظاهرية.

أوامر Azure CLI

يمكنك استخدام Azure CLI مع الأجهزة الظاهرية السرية الخاصة بك.

لمشاهدة قائمة بأحجام الأجهزة الظاهرية السرية، قم بتشغيل الأمر التالي. استبدل <vm-series> بالسلسلة التي تريد استخدامها. يظهر الإخراج معلومات حول المناطق المتوفرة ومناطق التوفر.

vm_series='DCASv5'
az vm list-skus \
    --size dc \
    --query "[?family=='standard${vm_series}Family'].{name:name,locations:locationInfo[0].location,AZ_a:locationInfo[0].zones[0],AZ_b:locationInfo[0].zones[1],AZ_c:locationInfo[0].zones[2]}" \
    --all \
    --output table

للحصول على قائمة أكثر تفصيلا، قم بتشغيل الأمر التالي بدلا من ذلك:

vm_series='DCASv5'
az vm list-skus \
    --size dc \
    --query "[?family=='standard${vm_series}Family']"

اعتبارات النشر

ضع في اعتبارك الإعدادات والخيارات التالية قبل نشر الأجهزة الظاهرية السرية.

اشتراك Azure

لنشر مثيل جهاز ظاهري سري، ضع في اعتبارك اشتراك الدفع أولا بأول أو خيار شراء آخر. إذا كنت تستخدم حسابا مجانيا في Azure، فإن الحصة النسبية لا تسمح بالعدد المناسب من مراكز حساب Azure.

قد تحتاج إلى زيادة الحصة النسبية للذاكرات الأساسية في اشتراك Azure من القيمة الافتراضية. تختلف الحدود الافتراضية وفقا لفئة اشتراكك. قد يحد اشتراكك أيضا من عدد الذاكرات الأساسية التي يمكنك نشرها في مجموعات معينة بحجم الجهاز الظاهري، بما في ذلك أحجام الأجهزة الظاهرية السرية.

لطلب زيادة الحصة النسبية، افتح طلب دعم العملاء عبر الإنترنت.

إذا كانت لديك احتياجات سعة واسعة النطاق، فاتصل بدعم Azure. حصص Azure هي حدود ائتمانية، وليست ضمانات للسعة. أنت تتحمل فقط رسوما على الذاكرات الأساسية التي تستخدمها.

التسعير

للحصول على خيارات التسعير، راجع أسعار أجهزة Linux الظاهرية.

التوفر الإقليمي

للحصول على معلومات التوفر، راجع منتجات الجهاز الظاهري المتوفرة بواسطة منطقة Azure.

تغيير حجم

تعمل الأجهزة الظاهرية السرية على أجهزة متخصصة، بحيث يمكنك فقط تغيير حجم مثيلات الجهاز الظاهري السرية إلى أحجام سرية أخرى في نفس المنطقة. على سبيل المثال، إذا كان لديك جهاز ظاهري من سلسلة DCasv5، يمكنك تغيير الحجم إلى مثيل آخر من سلسلة DCasv5 أو مثيل سلسلة DCesv5.

لا يمكن تغيير حجم جهاز ظاهري غير سري إلى جهاز ظاهري سري.

دعم نظام التشغيل الضيف

يجب أن تفي صور نظام التشغيل للأجهزة الظاهرية السرية بمتطلبات أمان وتوافق معينة. تدعم الصور المؤهلة التركيب الآمن، والإثبات، وتشفير قرص نظام التشغيل السري الاختياري، والعزل عن البنية الأساسية السحابية الأساسية. تتضمن هذه الصور ما يلي:

  • Ubuntu 20.04 LTS (AMD SEV-SNP مدعوم فقط)
  • Ubuntu 22.04 LTS
  • Red Hat Enterprise Linux 9.3 (AMD SEV-SNP مدعوم فقط)
  • Windows Server 2019 Datacenter - x64 Gen 2 (AMD SEV-SNP مدعوم فقط)
  • Windows Server 2019 Datacenter Server Core - x64 Gen 2 (AMD SEV-SNP مدعوم فقط)
  • Windows Server 2022 Datacenter - x64 Gen 2
  • Windows Server 2022 Datacenter: Azure Edition Core - x64 Gen 2
  • Windows Server 2022 Datacenter: Azure Edition - x64 Gen 2
  • Windows Server 2022 Datacenter Server Core - x64 Gen 2
  • Windows 11 Enterprise N، الإصدار 22H2 -x64 Gen 2
  • Windows 11 Pro، الإصدار 22H2 ZH-CN -x64 Gen 2
  • Windows 11 Pro، الإصدار 22H2 -x64 Gen 2
  • Windows 11 Pro N، الإصدار 22H2 -x64 Gen 2
  • Windows 11 Enterprise، الإصدار 22H2 -x64 Gen 2
  • Windows 11 Enterprise متعدد الجلسات، الإصدار 22H2 -x64 Gen 2

بينما نعمل على إلحاق المزيد من صور نظام التشغيل بتشفير قرص نظام التشغيل السري، هناك العديد من الصور المتاحة في المعاينة المبكرة التي يمكن اختبارها. يمكنك التسجيل أدناه:

لمزيد من المعلومات حول سيناريوهات الجهاز الظاهري المدعومة وغير المدعومة، راجع دعم الأجهزة الظاهرية من الجيل الثاني على Azure.

قابلية الوصول العالية والتعافي من الكوارث

أنت مسؤول عن إنشاء حلول عالية التوفر والتعافي من الكوارث للأجهزة الظاهرية السرية الخاصة بك. يساعد التخطيط لهذه السيناريوهات على تقليل وقت التعطل المطول وتجنبه.

النشر باستخدام قوالب ARM

Azure Resource Manager هي خدمة التوزيع والإدارة التي توفرها Azure. يمكنك:

  • قم بتأمين مواردك وتنظيمها بعد النشر باستخدام ميزات الإدارة، مثل التحكم في الوصول والتأمين والعلامات.
  • إنشاء الموارد وتحديثها وحذفها في اشتراك Azure باستخدام طبقة الإدارة.
  • استخدم قوالب Azure Resource Manager (قوالب ARM) لنشر أجهزة ظاهرية سرية على معالجات AMD. هناك قالب ARM متوفر للأجهزة الظاهرية السرية.

تأكد من تحديد الخصائص التالية لجهازك الظاهري في قسم المعلمات (parameters):

  • حجم الجهاز الظاهري (vmSize). اختر من بين عائلات وأحجام الأجهزة الظاهرية السرية المختلفة.
  • اسم صورة نظام التشغيل (osImageName). اختر من بين صور نظام التشغيل المؤهلة.
  • نوع تشفير القرص (securityType). اختر من بين تشفير VMGS فقط (VMGuestStateOnly) أو التشفير المسبق الكامل لقرص نظام التشغيل (DiskWithVMGuestState)، مما قد يؤدي إلى أوقات توفير أطول. بالنسبة لمثيلات Intel TDX فقط، ندعم أيضا نوع أمان آخر (NonPersistedTPM) لا يحتوي على تشفير قرص VMGS أو نظام التشغيل.

الخطوات التالية

نشر جهاز ظاهري سري من مدخل Microsoft Azure

لمزيد من المعلومات، راجع الأسئلة المتداولة حول الجهاز الظاهري السري.