Azure Confidential VM オプション
Azure では、AMD と Intel の両方からの高信頼実行環境 (TEE) オプションを選択できます。 これらの TEE により、コードをまったく変更することなく、優れた費用対効果で機密 VM を作成できます。
AMD ベースの機密 VM の場合、使用されるテクノロジは、第 3 世代 AMD EPYC™ プロセッサで導入された AMD SEV-SNP です。 一方、Intel ベースの機密 VM では、第 4 世代 Intel® Xeon® プロセッサで導入されたテクノロジである Intel TDX を利用しています。 いずれのテクノロジも実装が異なりますが、両方ともクラウド インフラストラクチャ スタックから同様の保護を提供します。
サイズ
次の VM サイズが提供されます。
| サイズ ファミリ | TEE | 説明 |
|---|---|---|
| DCasv5 シリーズ | 機密 VM | リモート記憶域を使用する汎用 CVM。 ローカルの一時ディスクはありません。 |
| DCadsv5 シリーズ | 機密 VM | 一時ディスクを使用する汎用 CVM。 |
| ECasv5 シリーズ | 機密 VM | リモート ストレージを使用するメモリ最適化 CVM。 ローカルの一時ディスクはありません。 |
| ECadsv5 シリーズ | 機密 VM | ローカルの一時ディスクを使用する汎用 CVM。 |
| DCesv5 シリーズ | Intel TDX | リモート記憶域を使用する汎用 CVM。 ローカルの一時ディスクはありません。 |
| DCedsv5 シリーズ | Intel TDX | 一時ディスクを使用する汎用 CVM。 |
| ECesv5 シリーズ | Intel TDX | リモート ストレージを使用するメモリ最適化 CVM。 ローカルの一時ディスクはありません。 |
| ECedsv5 シリーズ | Intel TDX | ローカルの一時ディスクを使用する汎用 CVM。 |
Note
メモリ最適化コンフィデンシャル VM では、vCPU 数あたりのメモリの比率が 2 倍になります。
Azure CLI コマンド
コンフィデンシャル VM で Azure CLI を使用できます。
コンフィデンシャル VM サイズの一覧を表示するには、次のコマンドを実行します。 <vm-series> を、使用するシリーズに置き換えます。 出力には、使用可能なリージョンと可用性ゾーンに関する情報が表示されます。
vm_series='DCASv5'
az vm list-skus \
--size dc \
--query "[?family=='standard${vm_series}Family'].{name:name,locations:locationInfo[0].location,AZ_a:locationInfo[0].zones[0],AZ_b:locationInfo[0].zones[1],AZ_c:locationInfo[0].zones[2]}" \
--all \
--output table
より詳細な一覧については、代わりに次のコマンドを実行します。
vm_series='DCASv5'
az vm list-skus \
--size dc \
--query "[?family=='standard${vm_series}Family']"
デプロイに関する考慮事項
コンフィデンシャル VM をデプロイする前に、次の設定と選択肢を検討してください。
Azure サブスクリプション
機密 VM インスタンスをデプロイするには、 従量課金制サブスクリプション またはその他の購入オプションを検討してください。 Azure 無料アカウントをお使いの場合、適切な数の Azure コンピューティング コア用のクォータが与えられません。
場合によっては、Azure サブスクリプションのコア クォータを既定値から増やす必要があります。 既定の制限は、サブスクリプション カテゴリによって異なる場合があります。 サブスクリプションによっては、コンフィデンシャル VM のサイズを含む特定の VM サイズ ファミリにデプロイできるコア数が制限されることがあります。
クォータを増やすためのリクエストは、オンライン カスタマー サポートに申請してください。
大規模な容量が必要な場合は、Azure サポートにお問い合わせください。 Azure のクォータは容量保証ではなくクレジット制限です。 使用するコアに対してだけ料金が発生します。
価格
価格オプションについては、「Linux Virtual Machines の料金」をご覧ください。
リージョン別の提供状況
可用性情報については、Azure リージョンで使用できる VM 製品に関するページを参照してください。
サイズ変更
Confidential VM は特殊なハードウェア上で実行されます。そのため、同じリージョンで Confidential VM インスタンスのサイズを他のサイズに変更することしかできません。 たとえば、DCasv5 シリーズの VM がある場合は、別の DCasv5 シリーズのインスタンスや DCesv5 シリーズ インスタンスにサイズを変更できます。
コンフィデンシャル以外の VM のサイズをコンフィデンシャル VM に変更することはできません。
ゲスト OS のサポート
コンフィデンシャル VM の OS イメージは、セキュリティと互換性について特定の要件を満たす必要があります。 認定されたイメージでは、セキュリティで保護されたマウント、構成証明、オプションのコンフィデンシャル OS ディスク暗号化、基になるクラウド インフラストラクチャからの分離がサポートされます。 これらのイメージには次のものが含まれます。
- Ubuntu 20.04 LTS (AMD SEV-SNP サポートのみ)
- Ubuntu 22.04 LTS
- Red Hat Enterprise Linux 9.3 (AMD SEV-SNP サポートのみ)
- Windows Server 2019 Datacenter - x64 Gen 2 (AMD SEV-SNP サポートのみ)
- Windows Server 2019 Datacenter Server Core - x64 Gen 2 (AMD SEV-SNP サポートのみ)
- Windows Server 2022 Datacenter - x64 Gen 2
- Windows Server 2022 Datacenter: Azure Edition Core - x64 Gen 2
- Windows Server 2022 Datacenter: Azure Edition - x64 Gen 2
- Windows Server 2022 Datacenter Server Core - x64 Gen 2
- Windows 11 Enterprise N バージョン 22H2 -x64 Gen 2
- Windows 11 Pro バージョン 22H2 ZH-CN -x64 Gen 2
- Windows 11 Pro バージョン 22H2 -x64 Gen 2
- Windows 11 Pro N バージョン 22H2 -x64 Gen 2
- Windows 11 Enterprise バージョン 22H2 -x64 Gen 2
- Windows 11 Enterprise マルチセッション バージョン 22H2 -x64 Gen 2
より多くの OS イメージに機密 OS ディスク暗号化をオンボーディングするよう取り組んでいるため、テスト可能なさまざまなイメージを早期プレビューで利用できます。 以下の方法でサインアップできます。
- Red Hat Enterprise Linux 9.3 (Intel TDX のサポート)
- SUSE Enterprise Linux 15 SP5 (Intel TDX、AMD SEV-SNP のサポート)
- SUSE Enterprise Linux 15 SAP SP5 (Intel TDX、AMD SEV-SNP のサポート)
サポートされている VM シナリオとサポートされていない VM シナリオの詳細は、Azure での第 2 世代 VM のサポートを参照してください。
高可用性とディザスター リカバリー
コンフィデンシャル VM のための高可用性およびディザスター リカバリー ソリューションを作成する必要があります。 これらのシナリオの計画は、長時間のダウンタイムを最小限に抑えて回避するのに役立ちます。
ARM テンプレートを使用したデプロイ
Azure Resource Manager は、Azure のデプロイおよび管理サービスです。 次のことを実行できます。
- アクセス制御、ロック、タグなどの管理機能を使用して、デプロイ後にリソースをセキュリティ保護および整理します。
- 管理レイヤーを使用して、Azure サブスクリプション内のリソースを作成、更新、削除します。
- Azure Resource Manager テンプレート (ARM テンプレート) を使用して、AMD プロセッサにコンフィデンシャル VM をデプロイします。 コンフィデンシャル VM 用に使用できる ARM テンプレートがあります。
パラメーター セクション (parameters) で、VM の次のプロパティを指定したことを確認してください。
- VM サイズ (
vmSize)。 さまざまなコンフィデンシャル VM ファミリとサイズから選択します。 - OS イメージ名 (
osImageName)。 修飾された OS イメージから選択します。 - ディスク暗号化の種類 (
securityType) VMGS のみの暗号化 (VMGuestStateOnly) または完全な OS ディスクの事前暗号化 (DiskWithVMGuestState) から選択します。これにより、プロビジョニング時間が長くなる可能性があります。 Intel TDX インスタンスの場合のみ、VMGS や OS ディスクの暗号化を行わない別のセキュリティの種類 (NonPersistedTPM) もサポートしています。
次のステップ
詳細については、Confidential VM のよくあるご質問を参照してください。