Решения в Azure для Intel SGX
Вы можете развернуть виртуальные машины Intel Software Guard (Intel SGX) для использования в конфиденциальных вычислениях Azure.
Доступные размеры и регионы
Чтобы получить список размеров виртуальных машин Intel SGX, используйте интерфейс командной строки Azure (Azure CLI). Установите Azure CLI , если вы еще этого не сделали. Затем выполните следующую команду, чтобы получить список размеров Intel SGX с сведениями о регионе и зоне доступности.
az vm list-skus `
--size Standard_DC `
--all `
--output table
Требования к выделенному узлу
Развертывание виртуальной машины серии Standard_DC8_v2, Standard_DC48s_v3 или Standard_DC48ds_v3 занимает полный узел. Другие клиенты или подписки не совместно используют узел. Это семейство номеров SKU виртуальных машин обеспечивает изоляцию, которая может потребоваться для соответствия требованиям и нормативным требованиям безопасности. Как правило, для удовлетворения этих требований может потребоваться выделенная служба узлов.
Для этих размеров виртуальных машин физический сервер узла выделяет все доступные аппаратные ресурсы, включая память EPC, только для виртуальной машины. Это развертывание не совпадает со службой выделенного узла Azure в других семействах виртуальных машин.
Рекомендации по развертыванию
При планировании развертывания виртуальной машины Intel SGX в Azure следует учитывать следующие факторы.
Подписка Azure.
Чтобы развернуть экземпляр виртуальной машины конфиденциальных вычислений, рассмотрите подписку с оплатой по мере использования или другой вариант покупки. У бесплатных учетных записей Azure недостаточно квоты для необходимого количества вычислительных ядер Azure.
Цены и региональная доступность
Найдите цены на виртуальные машины DCsv2, DCsv3 и DCdsv3 на странице цен на виртуальные машины Azure. Проверьте таблицу продуктов, доступных по регионам, для доступности в разных регионах Azure.
Квота ядер
Возможно, потребуется увеличить квоту ядер в подписке Azure из значения по умолчанию. Подписка также может ограничить количество ядер, которые можно развернуть в определенных семействах размеров виртуальных машин, включая DCsv2-Series. Вы можете запросить увеличение квоты без оплаты. Ограничения по умолчанию могут отличаться в зависимости от категории подписки.
Если у вас есть крупномасштабные потребности в емкости, обратитесь в службу поддержки Azure. Квоты Azure — это ограничения по кредитам, а не гарантированная емкость. Независимо от квоты, плата взимается только за ядра, которые вы используете.
Изменение размера
Благодаря своему специализированному оборудованию вы можете изменять размер только экземпляров виртуальных машин Intel SGX в одном семействе размеров. Например, можно изменить размер виртуальной машины серии DCsv2 с одного размера серии DCsv2 на другой.
Image
Чтобы обеспечить поддержку Intel SGX в конфиденциальных вычислительных экземплярах, все развертывания должны выполняться на образах поколения 2. Конфиденциальные вычисления Azure поддерживают рабочие нагрузки, работающие в Ubuntu 20.04-го поколения, Windows Server 2019-го поколения и Ubuntu 22.04-го поколения 2-го поколения. Дополнительные сведения о поддерживаемых и неподдерживаемых сценариях см. в статье о поддержке виртуальных машин поколения 2 в Azure.
Хранилище
Виртуальные машины серии DCsv2 поддерживают SSD уровня "Стандартный" и SSD уровня "Премиум", за исключением DC8_v2.
Виртуальные машины серии DCsv3 и DCdsv3 поддерживают SSD уровня "Стандартный", SSD уровня "Премиум" и "Ультра".
Рекомендации по высокой доступности и аварийному восстановлению
При использовании виртуальных машин Azure вы несете ответственность за создание решения высокого уровня доступности и аварийного восстановления, чтобы избежать простоя.
Конфиденциальные вычисления Azure не поддерживают избыточность зоны через зоны доступности Azure в настоящее время. Если вам нужны конфиденциальные вычисления с максимальным уровнем доступности и избыточности, используйте группы доступности. В силу аппаратных ограничений группы доступности для экземпляров конфиденциальных вычислений могут содержать не более 10 доменов обновления.
Развертывание с помощью шаблона Azure Resource Manager (ARM)
Azure Resource Manager — это служба развертывания и управления для Azure. Уровень управления службы можно использовать для создания, обновления и удаления ресурсов в подписке Azure. Существуют такие функции управления, как управление доступом, блокировки и теги. Используйте эти функции для защиты и упорядочения ресурсов после развертывания.
Дополнительные сведения о шаблонах Azure Resource Manager (шаблоны ARM) см. в обзоре шаблонов.
Сведения о развертывании с помощью шаблонов ARM см. в статье "Виртуальные машины" в шаблоне Azure Resource Manager. Обязательно укажите правильные свойства для vmSize и imageReference.
Размеры виртуальных машин
Укажите один из следующих размеров в шаблоне ARM в ресурсе виртуальной машины. Эта строка — vmSize в свойствах.
[
"Standard_DC1s_v2",
"Standard_DC2s_v2",
"Standard_DC4s_v2",
"Standard_DC8_v2",
"Standard_DC1s_v3",
"Standard_DC2s_v3",
"Standard_DC4s_v3",
"Standard_DC8s_v3",
"Standard_DC16s_v3",
"Standard_DC24s_v3",
"Standard_DC32s_v3",
"Standard_DC48s_v3",
"Standard_DC1ds_v3",
"Standard_DC2ds_v3",
"Standard_DC4ds_v3",
"Standard_DC8ds_v3",
"Standard_DC16ds_v3",
"Standard_DC24ds_v3",
"Standard_DC32ds_v3",
"Standard_DC48ds_v3",
],
Образ операционной системы 2-го поколения
В разделе свойств также необходимо указать изображение в хранилищеProfile. Укажите только один из следующих образов в параметре imageReference.
"2019-datacenter-gensecond": {
"offer": "WindowsServer",
"publisher": "MicrosoftWindowsServer",
"sku": "2019-datacenter-gensecond",
"version": "latest"
},
"20_04-lts-gen2": {
"offer": "0001-com-ubuntu-server-focal",
"publisher": "Canonical",
"sku": "20_04-lts-gen2",
"version": "latest"
}
"22_04-lts-gen2": {
"offer": "0001-com-ubuntu-server-jammy",
"publisher": "Canonical",
"sku": "22_04-lts-gen2",
"version": "latest"
},