Avvio rapido: Distribuire una macchina virtuale di confidential computing di Azure nel portale di AzureQuickstart: Deploy an Azure confidential computing VM in the Azure portal

Questo articolo illustra come creare una macchina virtuale (VM) di confidential computing supportata da Intel SGX con il portale di Azure.Get started with Azure confidential computing by using the Azure portal to create a virtual machine (VM) backed by Intel SGX. Si installerà quindi Open Enclave SDK (Software Development Kit) per configurare l'ambiente di sviluppo.You'll then install the Open Enclave Software Development Kit (SDK) to set up your development environment.

Questa esercitazione è raccomandata se si è interessati alla distribuzione di una macchina virtuale di confidential computing con una configurazione personalizzata.This tutorial is recommended for you if you're interested in deploying a confidential compute virtual machine with custom configuration. In caso contrario, è consigliabile seguire la procedura per la distribuzione di macchine virtuali di confidential computing per il marketplace commerciale Microsoft.Otherwise, we recommend following the confidential Computing virtual machine deployment steps for the Microsoft commercial marketplace.

PrerequisitiPrerequisites

Se non si ha una sottoscrizione di Azure, creare un account prima di iniziare.If you don't have an Azure subscription, create an account before you begin.

Nota

Gli account di valutazione gratuiti non hanno accesso alle macchine virtuali usate in questa esercitazione.Free trial accounts do not have access to the virtual machines used in this tutorial. Eseguire l'aggiornamento a una sottoscrizione con pagamento in base al consumo.Please upgrade to a Pay-As-You-Go subscription.

Accedere ad AzureSign in to Azure

  1. Accedere al portale di Azure.Sign in to the Azure portal.

  2. Nella parte superiore selezionare Crea una risorsa.At the top, select Create a resource.

  3. Nel riquadro Marketplace selezionare Calcolo a sinistra.In the Marketplace pane, select Compute on the left.

  4. Trovare e selezionare Macchina virtuale.Find and select Virtual machine.

    Distribuire una macchina virtuale

  5. Nella pagina di destinazione Macchina virtuale selezionare Crea.On the Virtual machine landing page, select Create.

Configurare una macchina virtuale di confidential computingConfigure a confidential computing virtual machine

  1. Nella scheda Informazioni di base selezionare le opzioni per Sottoscrizione e Gruppo di risorse.In the Basics tab, select your Subscription and Resource Group.

  2. In Nome macchina virtuale immettere un nome per la nuova VM.For Virtual machine name, enter a name for your new VM.

  3. Digitare o selezionare i valori seguenti:Type or select the following values:

    • Area: selezionare l'area di Azure appropriata.Region: Select the Azure region that's right for you.

      Nota

      Le macchine virtuali di confidential computing vengono eseguite solo in hardware speciale disponibile in specifiche aree.Confidential compute virtual machines only run on specialized hardware available in specific regions. Per informazioni aggiornate sulle aree disponibili per le VM serie DCsv2, vedere Aree disponibili.For the latest available regions for DCsv2-Series VMs, see available regions.

  4. Configurare l'immagine del sistema operativo da usare per la macchina virtuale.Configure the operating system image that you would like to use for your virtual machine.

    • Scegliere l'immagine: per questa esercitazione, selezionare Ubuntu 18.04 LTS.Choose Image: For this tutorial, select Ubuntu 18.04 LTS. È anche possibile selezionare Windows Server 2019, Windows Server 2016 o e Ubuntu 20.04 LTS.You may also select Windows Server 2019, Windows Server 2016, or and Ubuntu 20.04 LTS. In questo caso, si verrà reindirizzati alla procedura appropriata dell'esercitazione.If you choose to do so, you'll be redirected in this tutorial accordingly.

    • Attivare l'immagine per Gen 2: le macchine virtuali di confidential computing vengono eseguite solo in immagini di generazione 2.Toggle the image for Gen 2: Confidential compute virtual machines only run on Generation 2 images. Assicurarsi che l'immagine selezionata sia di generazione 2.Ensure the image you select is a Gen 2 image. Fare clic sulla scheda Avanzate in cui si configura la macchina virtuale.Click the Advanced tab above where you're configuring the virtual machine. Scorrere verso il basso fino a trovare la sezione "Generazione macchina virtuale".Scroll down until you find the section labeled "VM Generation". Selezionare Gen 2 e tornare nella scheda Informazioni di base.Select Gen 2 and then go back to the Basics tab.

      Avanzate - scheda

      Generazione macchina virtuale

    • Tornare nella configurazione di base: Tornare nella scheda Informazioni di base usando il riquadro di spostamento superiore.Return to basic configuration: Go back to the Basics tab using the navigation at the top.

  5. Scegliere una macchina virtuale con funzionalità di confidential computing nel selettore di dimensioni scegliendo Modifica dimensioni.Choose a virtual machine with confidential compute capabilities in the size selector by choosing change size. Nel selettore di dimensioni della macchina virtuale fare clic su Cancella tutti i filtri.In the virtual machine size selector, click Clear all filters. Scegliere Aggiungi filtro, selezionare Famiglia come tipo di filtro e quindi selezionare solo Calcolo riservato.Choose Add filter, select Family for the filter type, and then select only Confidential compute.

    VM serie DCsv2

    Suggerimento

    Verranno visualizzate le dimensioni DC1s_v2, DC2s_v2, DC4s_V2 e DC8_v2.You should see sizes DC1s_v2, DC2s_v2, DC4s_V2, and DC8_v2. Queste sono le uniche dimensioni di macchine virtuali che attualmente supportano il confidential computing Intel SGX.These are the only virtual machine sizes that currently support Intel SGX confidential computing. Altre informazioniLearn more.

  6. Specificare le informazioni seguenti:Fill in the following information:

    • Tipo di autenticazione: Selezionare Chiave pubblica SSH se si crea una VM Linux.Authentication type: Select SSH public key if you're creating a Linux VM.

      Nota

      Per l'autenticazione, si può scegliere di usare una chiave pubblica SSH o una password.You have the choice of using an SSH public key or a Password for authentication. L'opzione più sicura è SSH.SSH is more secure. Per istruzioni su come generare una chiave SSH, vedere l'articolo su come creare chiavi SSH in Linux e Mac per le VM Linux in Azure.For instructions on how to generate an SSH key, see Create SSH keys on Linux and Mac for Linux VMs in Azure.

    • Nome utente: immettere il nome dell'amministratore della macchina virtuale.Username: Enter the Administrator name for the VM.

    • Chiave pubblica SSH: se applicabile, immettere la chiave pubblica RSA.SSH public key: If applicable, enter your RSA public key.

    • Password: se applicabile, immettere la password per l'autenticazione.Password: If applicable, enter your password for authentication.

    • Porte in ingresso pubbliche: scegliere Consenti porte selezionate e selezionare SSH (22) e HTTP (80) nell'elenco Selezionare le porte in ingresso pubbliche.Public inbound ports: Choose Allow selected ports and select SSH (22) and HTTP (80) in the Select public inbound ports list. Se si distribuisce una macchina virtuale Windows, selezionare HTTP (80) e RDP (3389) .If you're deploying a Windows VM, select HTTP (80) and RDP (3389). In questo argomento di avvio rapido questo passaggio è necessario per connettersi alla VM e completare la configurazione di Open Enclave SDK.In this quickstart, this step is necessary to connect to the VM and complete the Open Enclave SDK configuration.

    Porte in ingresso

  7. Apportare modifiche nella scheda Dischi.Make changes in the Disks tab.

    • Se è stata scelta una macchina virtuale DC1s_v2, DC2s_v2, DC4s_V2, scegliere il tipo di disco SSD Standard o SSD Premium.If you chose a DC1s_v2, DC2s_v2, DC4s_V2 virtual machine, choose a disk type that is either Standard SSD or Premium SSD.
    • Se è stata scelta una macchina virtuale DC8_v2, scegliere SDD Standard come tipo di disco.If you chose a DC8_v2 virtual machine, choose Standard SSD as your disk type.
  8. Apportare eventuali modifiche alle impostazioni nelle schede seguenti o mantenere quelle predefinite.Make any changes you want to the settings in the following tabs or keep the default settings.

    • ReteNetworking
    • GestioneManagement
    • Configurazione guestGuest config
    • TagTags
  9. Selezionare Rivedi e crea.Select Review + create.

  10. Nel riquadro Rivedi e crea selezionare Crea.In the Review + create pane, select Create.

Nota

Procedere con la sezione successiva e continuare con questa esercitazione se è stata distribuita una VM Linux.Proceed to the next section and continue with this tutorial if you deployed a Linux VM. Se è stata distribuita una VM Windows, seguire questa procedura per connettersi alla VM Windows e quindi installare OE SDK in Windows.If you deployed a Windows VM, follow these steps to connect to your Windows VM and then install the OE SDK on Windows.

Connettersi alla VM LinuxConnect to the Linux VM

Se si usa già una shell BASH, connettersi alla VM di Azure con il comando ssh.If you already use a BASH shell, connect to the Azure VM using the ssh command. Nel comando seguente, sostituire il nome utente e l'indirizzo IP della VM per connettersi alla propria VM Linux.In the following command, replace the VM user name and IP address to connect to your Linux VM.

ssh azureadmin@40.55.55.555

L'indirizzo IP pubblico della VM è disponibile nella relativa sezione Panoramica del portale di Azure.You can find the Public IP address of your VM in the Azure portal, under the Overview section of your virtual machine.

Indirizzo IP nel portale di Azure

Se l'esecuzione avviene in Windows e non si ha una shell BASH, installare un client SSH, ad esempio PuTTY.If you're running on Windows and don't have a BASH shell, install an SSH client, such as PuTTY.

  1. Scaricare e installare PuTTY.Download and install PuTTY.

  2. Eseguire PuTTY.Run PuTTY.

  3. Nella schermata di configurazione di PuTTY immettere l'indirizzo IP pubblico della VM.On the PuTTY configuration screen, enter your VM's public IP address.

  4. Selezionare Apri e immettere nome utente e password quando richiesto.Select Open and enter your username and password at the prompts.

Per altre informazioni sulla connessione alle VM Linux, vedere l'articolo su come creare una VM Linux in Azure con il portale.For more information about connecting to Linux VMs, see Create a Linux VM on Azure using the Portal.

Nota

Se viene visualizzato un avviso di sicurezza PuTTY relativo alla mancata memorizzazione nella cache della chiave host del server, scegliere tra le opzioni seguenti.If you see a PuTTY security alert about the server's host key not being cached in the registry, choose from the following options. Se si considera attendibile l'host, selezionare per aggiungere la chiave nella cache di PuTTy e continuare a la procedura di connessione.If you trust this host, select Yes to add the key to PuTTy's cache and continue connecting. Se si vuole eseguire la connessione una sola volta, senza aggiungere la chiave nella cache, selezionare No.If you want to carry on connecting just once, without adding the key to the cache, select No. Se non si considera attendibile l'host, selezionare Annulla per abbandonare la connessione.If you don't trust this host, select Cancel to abandon the connection.

Installare Open enclave SDK (OE SDK) Install the Open Enclave SDK (OE SDK)

Seguire le istruzioni dettagliate per installare OE SDK nella macchina virtuale serie DCsv2 che esegue un'immagine Ubuntu 18.04 LTS Gen 2.Follow the step-by-step instructions to install the OE SDK on your DCsv2-Series virtual machine running an Ubuntu 18.04 LTS Gen 2 image.

Se la macchina virtuale viene eseguita in Ubuntu 18.04 LTS Gen 2, è necessario seguire le istruzioni di installazione per Ubuntu 18.04.If your virtual machine runs on Ubuntu 18.04 LTS Gen 2, you'll need to follow installation instructions for Ubuntu 18.04.

1. Configurare i repository Intel e Microsoft APT1. Configure the Intel and Microsoft APT Repositories

echo 'deb [arch=amd64] https://download.01.org/intel-sgx/sgx_repo/ubuntu bionic main' | sudo tee /etc/apt/sources.list.d/intel-sgx.list
wget -qO - https://download.01.org/intel-sgx/sgx_repo/ubuntu/intel-sgx-deb.key | sudo apt-key add -

echo "deb http://apt.llvm.org/bionic/ llvm-toolchain-bionic-7 main" | sudo tee /etc/apt/sources.list.d/llvm-toolchain-bionic-7.list
wget -qO - https://apt.llvm.org/llvm-snapshot.gpg.key | sudo apt-key add -

echo "deb [arch=amd64] https://packages.microsoft.com/ubuntu/18.04/prod bionic main" | sudo tee /etc/apt/sources.list.d/msprod.list
wget -qO - https://packages.microsoft.com/keys/microsoft.asc | sudo apt-key add -

2. Installare il driver DCAP di Intel SGX2. Install the Intel SGX DCAP Driver

In alcune versioni di Ubuntu potrebbe essere già installato il driver Intel SGX.Some versions of Ubuntu may already have the Intel SGX driver installed. Controllare usando il comando seguente:Check using the following command:

dmesg | grep -i sgx
[  106.775199] sgx: intel_sgx: Intel SGX DCAP Driver {version}

Se l'output è vuoto, installare il driver:If the output is blank, install the driver:

sudo apt update
sudo apt -y install dkms
wget https://download.01.org/intel-sgx/sgx-dcap/1.7/linux/distro/ubuntu18.04-server/sgx_linux_x64_driver_1.35.bin -O sgx_linux_x64_driver.bin
chmod +x sgx_linux_x64_driver.bin
sudo ./sgx_linux_x64_driver.bin

Avviso

Usare l'ultima versione del driver DCAP di Intel SGX disponibile sul sito SGX di Intel.Please use the latest Intel SGX DCAP driver from Intel's SGX site.

3. Installare i pacchetti e le dipendenze di Intel e Open Enclave3. Install the Intel and Open Enclave packages and dependencies

sudo apt -y install clang-8 libssl-dev gdb libsgx-enclave-common libprotobuf10 libsgx-dcap-ql libsgx-dcap-ql-dev az-dcap-client open-enclave

Nota

Questo passaggio installa anche il pacchetto az-dcap-client, che è necessario per l'esecuzione dell'attestazione remota in Azure.This step also installs the az-dcap-client package which is necessary for performing remote attestation in Azure.

4. Verificare l'installazione di Open Enclave SDK4. Verify the Open Enclave SDK install

Vedere le informazioni sull'uso di Open Enclave SDK in GitHub per verificare e usare l'SDK installato.See Using the Open Enclave SDK on GitHub for verifying and using the installed SDK.

Pulire le risorseClean up resources

Quando non servono più, è possibile eliminare il gruppo di risorse, la macchina virtuale e tutte le risorse correlate.When no longer needed, you can delete the resource group, virtual machine, and all related resources.

Selezionare il gruppo di risorse per la macchina virtuale, quindi fare clic su Elimina.Select the resource group for the virtual machine, then select Delete. Confermare il nome del gruppo di risorse da terminare eliminando le risorse.Confirm the name of the resource group to finish deleting the resources.

Passaggi successiviNext steps

In questo argomento di avvio rapido è stata distribuita una macchina virtuale di confidential computing ed è stato installato Open Enclave SDK.In this quickstart, you deployed a confidential computing virtual machine, and installed the Open Enclave SDK. Per altre informazioni sulle macchine virtuali di confidential computing in Azure, vedere Soluzioni nelle macchine virtuali.For more information about confidential computing virtual machines on Azure, see Solutions on Virtual Machines.

Per altre informazioni su come creare applicazioni di confidential computing, continuare con gli esempi di Open Enclave SDK in GitHub.Discover how you can build confidential computing applications, by continuing to the Open Enclave SDK samples on GitHub.