Lösungen in Azure für Intel SGX
Virtuelle Intel SGX-Computer (Intel Software Guard Extension) können zur Verwendung in Azure Confidential Computing bereitgestellt werden.
Aktuelle verfügbare Größen und Regionen
Eine Liste mit den Größen von virtuellen SGX-Computern erhalten Sie über die Azure-Befehlszeilenschnittstelle (Azure CLI). Installieren Sie die Azure CLI, wenn Sie dies noch nicht getan haben. Führen Sie anschließend den folgenden Befehl aus, um die Intel SGX-Größen mit Informationen zu Region und Verfügbarkeitszone aufzulisten.
az vm list-skus `
--size Standard_DC `
--all `
--output table
Anforderungen an dedizierte Hosts
Durch die Bereitstellung eines virtuellen Computers der Serie Standard_DC8_v2, Standard_DC48s_v3 oder Standard_DC48ds_v3 wird der ganze Host belegt. Von anderen Mandanten oder Abonnements wird der Host nicht genutzt. Diese VM-SKU-Familie bietet die Isolation, die Sie u. U. benötigen, um gesetzliche Vorgaben in Bezug auf Compliance und Sicherheit zu erfüllen. Normalerweise wird dazu ein dedizierter Hostdienst benötigt.
Bei diesen VM-Größen ordnet der physische Hostserver alle verfügbaren Hardwareressourcen wie etwa den EPC-Speicher ausschließlich Ihrem virtuellen Computer zu. Diese Bereitstellung ist nicht identisch mit dem Dienst Azure Dedicated Host in anderen VM-Familien.
Überlegungen zur Bereitstellung
Berücksichtigen Sie die folgenden Faktoren bei der Planung Ihrer Intel SGX-VM-Bereitstellung in Azure.
Azure-Abonnement
Zur Bereitstellung einer größeren Anzahl von Confidential Computing-VM-Instanzen sollten Sie ein Abonnement mit nutzungsbasierter Bezahlung oder eine andere Kaufoption in Erwägung ziehen. Kostenlose Azure-Konten verfügen nicht über ein ausreichend hohes Kontingent für die erforderliche Anzahl von Azure-Computekernen.
Preise und regionale Verfügbarkeit
Die Preise für DCsv2-, DCsv3- und DCdsv3-VMs finden Sie auf der Seite mit der Preisübersicht für Azure-VMs. Informationen zur Verfügbarkeit in den verschiedenen Azure-Regionen finden Sie in der Tabelle Verfügbare Produkte nach Region.
Kontingent an Speicherkernen
Es kann sein, dass Sie das Kontingent für die Speicherkerne in Ihrem Azure-Abonnement anpassen müssen, indem Sie den Standardwert erhöhen. Möglicherweise ist bei Ihrem Abonnement auch die Anzahl von Kernen beschränkt, die in bestimmten VM-Größenkategorien wie der DCsv2-Serie bereitgestellt werden können. Sie können eine kostenlose Kontingenterhöhung anfordern. Standardgrenzwerte variieren unter Umständen je nach Abonnementkategorie.
Wenn Sie einen umfangreichen Kapazitätsbedarf haben, wenden Sie sich an den Azure-Support. Azure-Kontingente sind Angebotsbeschränkungen, keine Kapazitätsgarantien. Unabhängig von Ihrem Kontingent werden nur die tatsächlich verwendeten Kerne in Rechnung gestellt.
Größenänderung
Aufgrund ihrer spezialisierten Hardware können Sie die Größe dieser Intel SGX-VM-Instanzen nur innerhalb einer Größenkategorie ändern. So können Sie beispielsweise die Größe einer VM der DCsv2-Serie nur in eine andere Größe der DCsv2-Serie ändern.
Abbildung
Zur Unterstützung von Intel SGX auf Confidential Computing-Instanzen müssen alle Bereitstellungen auf Images der Generation 2 erfolgen. Azure vertraulicher Computer unterstützt Workloads, die unter Ubuntu 20.04 Gen 2, Windows Server 2019 Gen 2 und Ubuntu 22.04 Gen 2 ausgeführt werden. Weitere Informationen zu unterstützten und nicht unterstützten Szenarios finden Sie unter Unterstützung für VMs der Generation 2 in Azure.
Storage
VMs der DCsv2-Serie, mit Ausnahme von DC8_v2, unterstützen SSD Standard und SSD Premium.
VMs der DCsv3-Serie und der DCdsv3-Serie unterstützen SSD Standard, SSD Premium und Disk Ultra.
Überlegungen zu Hochverfügbarkeit und Notfallwiederherstellung
Wenn Sie Azure-VMs verwenden, müssen Sie zur Vermeidung von Ausfallzeiten eine Hochverfügbarkeits- und Notfallwiederherstellungslösung erstellen.
Azure Confidential Computing unterstützt derzeit keine Zonenredundanz über Azure-Verfügbarkeitszonen. Um für Confidential Computing maximale Verfügbarkeit und Redundanz zu erreichen, verwenden Sie Verfügbarkeitsgruppen. Aufgrund von Hardwarebeschränkungen können Verfügbarkeitsgruppen für Confidential Computing-Instanzen nur maximal 10 Updatedomänen haben.
Bereitstellung mit ARM-Vorlage (Azure Resource Manager)
Azure Resource Manager ist der Bereitstellungs- und Verwaltungsdienst für Azure. Zum Erstellen, Aktualisieren und Löschen von Ressourcen in Ihrem Azure-Abonnement können Sie die Verwaltungsebene des Diensts verwenden. Hier gibt es Verwaltungsfunktionen wie Zugriffssteuerung, Sperren und Tags. Verwenden Sie diese Features, um Ihre Ressourcen nach der Bereitstellung zu schützen und zu organisieren.
Informationen zu Azure Resource Manager-Vorlagen (ARM-Vorlagen) finden Sie in der Übersicht über Vorlagen.
Informationen zur Bereitstellung mithilfe von ARM-Vorlagen finden Sie unter Virtuelle Computer in einer Azure Resource Manager-Vorlage. Stellen Sie sicher, dass Sie die richtigen Eigenschaften für vmSize und imageReference angeben.
VM-Größen
Geben Sie in der ARM-Vorlage in der Ressource „VM“ die folgenden Größen an. Diese Zeichenfolge entspricht in properties der vmSize.
[
"Standard_DC1s_v2",
"Standard_DC2s_v2",
"Standard_DC4s_v2",
"Standard_DC8_v2",
"Standard_DC1s_v3",
"Standard_DC2s_v3",
"Standard_DC4s_v3",
"Standard_DC8s_v3",
"Standard_DC16s_v3",
"Standard_DC24s_v3",
"Standard_DC32s_v3",
"Standard_DC48s_v3",
"Standard_DC1ds_v3",
"Standard_DC2ds_v3",
"Standard_DC4ds_v3",
"Standard_DC8ds_v3",
"Standard_DC16ds_v3",
"Standard_DC24ds_v3",
"Standard_DC32ds_v3",
"Standard_DC48ds_v3",
],
Gen2-Betriebssystemimage
Unter properties müssen Sie zudem unter storageProfile ein Image angeben. Verwenden Sie nur eines der folgenden Images für imageReference.
"2019-datacenter-gensecond": {
"offer": "WindowsServer",
"publisher": "MicrosoftWindowsServer",
"sku": "2019-datacenter-gensecond",
"version": "latest"
},
"20_04-lts-gen2": {
"offer": "0001-com-ubuntu-server-focal",
"publisher": "Canonical",
"sku": "20_04-lts-gen2",
"version": "latest"
}
"22_04-lts-gen2": {
"offer": "0001-com-ubuntu-server-jammy",
"publisher": "Canonical",
"sku": "22_04-lts-gen2",
"version": "latest"
},