Краткое руководство. Создание виртуальной машины Intel SGX на портале Azure

  • Статья

В этом учебнике описывается процесс развертывания виртуальных машин Intel SGX с помощью портала Azure. В противном случае мы рекомендуем использовать шаблоны Azure Marketplace.

Предварительные требования

Если у вас еще нет подписки Azure, создайте учетную запись Azure, прежде чем начинать работу.

Примечание

Учетные записи бесплатной пробной версии не предоставляют доступа к виртуальным машинам, которые упоминаются в этом руководстве. Перейдите на подписку с оплатой по мере использования.

Вход в Azure

  1. Войдите на портал Azure.

  2. В верхней части экрана выберите команду Создать ресурс.

  3. В боковой области слева выберите пункт Вычислить.

  4. Выберите Создать виртуальную машину.

    Развертывание виртуальной машины

Настройка виртуальной машины Intel SGX

  1. На вкладке Основы выберите Подписка и Группа ресурсов.

  2. В поле Имя виртуальной машины введите имя новой виртуальной машины.

  3. Введите или выберите следующие значения:

    • Регион. Выберите подходящий регион Azure.

      Примечание

      Виртуальные машины Intel SGX работают на специализированном оборудовании в определенных регионах. Чтобы получить последние сведения о региональной доступности, найдите серии DCsv2 или DCsv3 и DCdsv3 на странице доступности по регионам.

  4. Настройте образ операционной системы, который вы намерены использовать для виртуальной машины.

    • Выберите образ: для работы с этим руководством выберите Ubuntu 20.04 LTS (2-го поколения). Можно также выбрать Ubuntu 18.04 LTS (2-го поколения) или Windows Server 2019.

    • Обновление до поколения 2: под изображением в раскрывающемся окне выберите Configure VM generation (Настройка поколения виртуальной машины) и выберите Generation 2 (Поколение 2).

      Изображение

  5. Выберите виртуальную машину с возможностями Intel SGX, щелкнув + Добавить фильтр, чтобы создать фильтр, выберите Тип в поле Тип фильтра и проверка только конфиденциальные вычисления из списка в следующем раскрывающемся списке.

    Виртуальные машины серии DCsv2

    Совет

    Вы должны увидеть размеры DC(number)s_v2, DC(number)s_v3 и DC(number)ds_v3. Подробнее.

  6. Заполните следующие сведения:

    • Тип проверки подлинности. Выберите элемент Открытый ключ SSH, если вы создаете виртуальную машину Linux.

      Примечание

      Для проверки подлинности вы можете использовать открытый ключ или пароль SSH. SSH является более безопасным. Сведения о создании ключа SSH см. в статье Как создать и использовать пару из открытого и закрытого ключей SSH для виртуальных машин Linux в Azure.

    • Имя пользователя. Введите имя администратора для виртуальной машины.

    • Открытый ключ SSH. Введите открытый ключ RSA, если это применимо.

    • Пароль. Введите пароль, используемый для проверки подлинности, если это применимо.

    • Общедоступные входящие порты. Выберите команду Разрешить выбранные порты, а затем выберите порты SSH (22) и HTTP (80) в списке общедоступных входящих портов. Если вы развертываете виртуальную машину Windows, выберите HTTP (80) и RDP (3389) .

    Примечание

    Не рекомендуется разрешать порты RDP/SSH для рабочих развертываний.

    Входящие порты

  7. Внесите изменения на вкладке Диски.

    • Серия DCsv2 поддерживает SSD (цен. категория "Стандартный") , а SSD (цен. категория "Премиум") поддерживается в DC1, DC2 и DC4.
    • Серии DCsv3 и DCdsv3 поддерживают SSD (цен. категория "Стандартный") , SSD (цен. категория "Премиум") и Диски (цен. категория "Ультра") .

  8. На перечисленных ниже вкладках внесите в параметры нужные изменения или сохраните значения по умолчанию.

    • Сеть
    • Управление
    • Конфигурация гостевой ОС
    • Теги

  9. Выберите Review + create (Просмотреть и создать).

  10. В области Отзыв и создание выберите Создать.

Примечание

Если вы развернули виртуальную машину Linux, переходите к следующему разделу этого руководства. Если вы развернули виртуальную машину Windows, выполните эту процедуру для подключения к виртуальной машине Windows и установите пакет OE SDK для Windows.

Подключение к виртуальной машине Linux

Откройте клиент SSH по своему выбору, например Bash в Linux или PowerShell в Windows. Команда ssh обычно включается в Linux, macOS и Windows. Если вы используете Windows 7 или более ранней версии, в которой клиент Win32 OpenSSH недоступен по умолчанию, вы можете установить WSL или воспользоваться Azure Cloud Shell в браузере. В следующей команде замените имя пользователя и IP-адрес виртуальной машины, чтобы подключиться к виртуальной машине Linux.

ssh azureadmin@40.55.55.555

Общедоступный IP-адрес виртуальной машины можно получить на портале Azure в разделе "Обзор" для виртуальной машины.

IP-адрес на портале Azure

Дополнительные сведения о подключении к виртуальным машинам Linux см. в статье Создание виртуальной машины Linux с помощью портала Azure.

Установка клиента Azure DCAP

Примитивы аттестации центра обработки данных Azure (DCAP), которые заменяют библиотеку поставщиков котировок Intel (QPL), извлекает сопутствующие материалы для создания и проверки котировок непосредственно из службы THIM.

Служба доверенного управления удостоверениями оборудования (THIM) обрабатывает управление кэшем сертификатов для всех доверенных сред выполнения (TEE), находящихся в Azure, и предоставляет сведения о доверенной вычислительной базе (TCB), чтобы обеспечить минимальный базовый уровень для решений аттестации.

Серии DCsv3 и DCdsv3 поддерживают только аттестации на основе ECDSA, поэтому пользователям рекомендуем установить клиент Azure DCAP для взаимодействия с THIM и получения материалов TEE для создания цитаты в процессе аттестации. Серия DCsv2 по-прежнему поддерживает аттестацию на основе EPID.

Очистка ресурсов

Если группа ресурсов, виртуальная машина и все связанные с ними ресурсы вам больше не требуются, их можно удалить.

Выберите группу ресурсов для виртуальной машины и щелкните Удалить. Подтвердите имя группы ресурсов, чтобы завершить удаление ресурсов.

Дальнейшие действия

В этом кратком руководстве вы узнали, как развернуть виртуальную машину Intel SGX и подключиться к ней. Подробнее см. Решения в Виртуальных машинах.

Изучите возможности по созданию приложений конфиденциальных вычислений на примерах для пакета SDK Open Enclave на сайте GitHub.

Примеры создания приложений с помощью пакета SDK Open Enclave

Аттестация Microsoft Azure — это бесплатная платформа на основе аттестации ECDSA для удаленной проверки надежности нескольких сред TEE и целостности двоичных файлов, выполняемых в ней. Подробнее.