Solusi di Azure untuk Intel SGX
Anda dapat menyebarkan komputer virtual (VM) Intel Software Guard Extension (Intel SGX) untuk digunakan dalam komputasi rahasia Azure.
Ukuran dan wilayah yang tersedia saat ini
Untuk mendapatkan daftar ukuran VM Intel SGX, gunakan Azure Command-Line Interface (Azure CLI). Instal Azure CLI jika Anda belum melakukannya. Kemudian, jalankan perintah berikut untuk mencantumkan ukuran Intel SGX dengan informasi wilayah dan zona ketersediaan.
az vm list-skus `
--size Standard_DC `
--all `
--output table
Persyaratan host khusus
Menyebarkan VM seri Standard_DC8_v2, Standard_DC48s_v3, atau Standard_DC48ds_v3 menempati host lengkap. Penyewa atau langganan lain tidak berbagi host. Keluarga SKU VM ini menyediakan isolasi yang mungkin Anda perlukan untuk memenuhi persyaratan kepatuhan dan peraturan keamanan. Biasanya, Anda mungkin memerlukan layanan host khusus untuk memenuhi persyaratan ini.
Untuk ukuran VM ini, server host fisik mengalokasikan semua sumber daya perangkat keras yang tersedia, termasuk memori EPC, ke komputer virtual Anda saja. Penyebaran ini tidak sama dengan layanan Azure Dedicated Host di keluarga VM lainnya.
Pertimbangan penyebaran
Pertimbangkan faktor-faktor berikut saat Anda merencanakan penyebaran Intel SGX VM di Azure.
Langganan Azure
Untuk menyebarkan instans VM komputasi rahasia, pertimbangkan langganan bayar sesuai pemakaian atau opsi pembelian lainnya. Akun gratis Azure tidak memiliki kuota yang cukup tinggi untuk jumlah inti komputasi Azure yang diperlukan.
Harga dan ketersediaan regional
Temukan harga untuk VM DCsv2, DCsv3, dan DCdsv3 di halaman harga Azure VM. Periksa tabel produk yang tersedia menurut wilayah untuk ketersediaan di wilayah Azure yang berbeda.
Kuota core
Anda mungkin perlu meningkatkan kuota inti di langganan Azure Anda dari nilai default. Langganan Anda mungkin juga membatasi jumlah inti yang dapat Anda sebarkan dalam keluarga ukuran VM tertentu, termasuk DCsv2-Series. Anda dapat meminta penambahan kuota tanpa biaya. Batas default mungkin berbeda berdasarkan kategori langganan Anda.
Jika Anda memiliki kebutuhan kapasitas skala besar, hubungi Dukungan Azure. Kuota Azure adalah batas kredit, bukan jaminan kapasitas. Apa pun kuota Anda, Anda hanya dikenakan biaya untuk inti yang Anda gunakan.
Mengubah ukuran
Karena perangkat keras khususnya, Anda hanya dapat mengubah ukuran instans Intel SGX VM dalam keluarga ukuran yang sama. Misalnya, Anda hanya dapat mengubah ukuran VM seri DCsv2 dari satu ukuran seri DCsv2 ke yang lain.
Gambar
Untuk memberikan dukungan Intel SGX pada instans komputasi rahasia, semua penyebaran harus berjalan pada gambar Generasi 2. Komputasi rahasia Azure mendukung beban kerja yang berjalan pada Ubuntu 20.04 Gen 2, Windows Server 2019 Gen 2 dan Ubuntu 22.04 Gen 2. Untuk informasi selengkapnya tentang skenario yang didukung dan tidak didukung, lihat dukungan untuk VM Generasi 2 di Azure.
Penyimpanan
VM seri DCsv2 mendukung SSD Standar dan SSD Premium, kecuali untuk DC8_v2.
VM seri DCsv3 dan DCdsv3 mendukung SSD Standar, SSD Premium, dan Ultra Disk.
Ketersediaan tinggi dan pertimbangan pemulihan bencana
Saat menggunakan Azure VM, Anda bertanggung jawab untuk membuat ketersediaan tinggi (HA) dan solusi pemulihan bencana untuk menghindari waktu henti.
Komputasi rahasia Azure saat ini tidak mendukung redundansi zona melalui zona ketersediaan Azure. Untuk ketersediaan dan redundansi tertinggi untuk komputasi rahasia, gunakan Set Ketersediaan. Karena pembatasan perangkat keras, Set Ketersediaan untuk instans komputasi rahasia hanya dapat memiliki maksimal 10 domain pembaruan.
Penyebaran dengan Template Azure Resource Manager (ARM)
Azure Resource Manager adalah layanan penyebaran dan manajemen untuk Azure. Anda dapat menggunakan lapisan manajemen layanan untuk membuat, memperbarui, dan menghapus sumber daya di langganan Azure Anda. Ada fitur manajemen seperti kontrol akses, kunci, dan tag. Gunakan fitur-fitur ini untuk mengamankan dan mengatur sumber daya Anda setelah penyebaran.
Untuk mempelajari tentang templat Azure Resource Manager (templat ARM), lihat Gambaran umum Templat.
Untuk menyebarkan menggunakan templat ARM, lihat Komputer virtual dalam templat Azure Resource Manager. Pastikan untuk menentukan properti yang benar untuk vmSize dan imageReference Anda.
Ukuran VM
Tentukan salah satu ukuran berikut dalam templat ARM Anda di sumber daya VM. String ini adalah vmSize dalam properti.
[
"Standard_DC1s_v2",
"Standard_DC2s_v2",
"Standard_DC4s_v2",
"Standard_DC8_v2",
"Standard_DC1s_v3",
"Standard_DC2s_v3",
"Standard_DC4s_v3",
"Standard_DC8s_v3",
"Standard_DC16s_v3",
"Standard_DC24s_v3",
"Standard_DC32s_v3",
"Standard_DC48s_v3",
"Standard_DC1ds_v3",
"Standard_DC2ds_v3",
"Standard_DC4ds_v3",
"Standard_DC8ds_v3",
"Standard_DC16ds_v3",
"Standard_DC24ds_v3",
"Standard_DC32ds_v3",
"Standard_DC48ds_v3",
],
Gambar Gen2 OS
Di bawah properti, Anda juga harus menentukan gambar di bawah storageProfile. Gunakan hanya satu gambar berikut untuk imageReference Anda.
"2019-datacenter-gensecond": {
"offer": "WindowsServer",
"publisher": "MicrosoftWindowsServer",
"sku": "2019-datacenter-gensecond",
"version": "latest"
},
"20_04-lts-gen2": {
"offer": "0001-com-ubuntu-server-focal",
"publisher": "Canonical",
"sku": "20_04-lts-gen2",
"version": "latest"
}
"22_04-lts-gen2": {
"offer": "0001-com-ubuntu-server-jammy",
"publisher": "Canonical",
"sku": "22_04-lts-gen2",
"version": "latest"
},