Snabbstart: Skapa en virtuell Intel SGX-dator i Azure Portal

  • Artikel

Den här självstudien vägleder dig genom processen att distribuera virtuella Intel SGX-datorer med hjälp av Azure Portal. Annars rekommenderar vi att du följer Azure Marketplace mallar.

Förutsättningar

Om du inte har någon Azure-prenumeration skapar du ett konto innan du börjar.

Anteckning

Kostnadsfria utvärderingskonton har inte åtkomst till de virtuella datorerna i den här självstudien. Uppgradera till en Betala per användning-prenumeration.

Logga in på Azure

  1. Logga in på Azure Portal.

  2. Längst upp väljer du Skapa en resurs.

  3. I fönstret till vänster väljer du Beräkna.

  4. Välj Skapa virtuell dator.

    Distribuera en virtuell dator

Konfigurera en virtuell Intel SGX-dator

  1. Välj Prenumeration och Resursgrupp på fliken Grunder.

  2. För Namn på virtuell dator anger du ett namn för den nya virtuella datorn.

  3. Ange eller välj följande värden:

    • Region: Välj den Azure-region som passar dig.

      Anteckning

      Virtuella Intel SGX-datorer körs på specialiserad maskinvara i specifika regioner. Om du vill ha den senaste regionala tillgängligheten letar du efter DCsv2-serien eller DCsv3/DCdsv3-serien i tillgängliga regioner.

  4. Konfigurera operativsystemavbildningen som du vill använda för den virtuella datorn.

    • Välj Bild: I den här självstudien väljer du Ubuntu 20.04 LTS – Gen2. Du kan också välja Ubuntu 18.04 LTS – Gen2 eller Windows Server 2019.

    • Uppdatera till generation 2: Under Avbildning väljer du Konfigurera vm-generering, i det utfällbara fönstret och väljer sedan Generation 2.

      Bild

  5. Välj en virtuell dator med Intel SGX-funktioner genom att klicka på + Lägg till filter för att skapa ett filter, välja Typ för Filtertyp och kontrollera endast Konfidentiell beräkning i listan i nästa listruta.

    Virtuella datorer i DCsv2-serien

    Tips

    Du bör se storlekarna DC(number)s_v2, DC(number)s_v3 och DC(number)ds_v3. Läs mer.

  6. Fyll i följande information:

    • Autentiseringstyp: Välj offentlig SSH-nyckel om du skapar en virtuell Linux-dator.

      Anteckning

      Du kan välja mellan offentlig SSH-nyckel eller lösenord för autentisering. SSH är säkrare. Instruktioner om hur du genererar en SSH-nyckel finns i Skapa SSH-nycklar på Linux och Mac för virtuella Linux-datorer i Azure.

    • Användarnamn: Ange administratörsnamnet för den virtuella datorn.

    • Offentlig SSH-nyckel: Om det är tillämpligt anger du din offentliga RSA-nyckel.

    • Lösenord: Ange ditt lösenord för autentisering om det är tillämpligt.

    • Offentliga inkommande portar: Välj Tillåt valda portar och välj SSH (22) och HTTP (80) i listan Välj offentliga inkommande portar . Om du distribuerar en virtuell Windows-dator väljer du HTTP (80) och RDP (3389).

    Anteckning

    Att tillåta RDP/SSH-portar rekommenderas inte för produktionsdistributioner.

    Inkommande portar

  7. Gör ändringar på fliken Diskar .

    • DCsv2-serien stöder Standard SSD, Premium SSD stöds i DC1, DC2 och DC4.
    • DCsv3- och DCdsv3-serien stöder Standard SSD, Premium SSD och Ultra Disk

  8. Gör de ändringar du vill i inställningarna på följande flikar eller behåll standardinställningarna.

    • Nätverk
    • Hantering
    • Gästkonfiguration
    • Taggar

  9. Välj Granska + skapa.

  10. Välj Skapa i fönstret Granska + skapa.

Anteckning

Fortsätt till nästa avsnitt och fortsätt med den här självstudien om du har distribuerat en virtuell Linux-dator. Om du har distribuerat en virtuell Windows-dator följer du de här stegen för att ansluta till den virtuella Windows-datorn och installerar sedan OE SDK på Windows.

Ansluta till den virtuella Linux-datorn

Öppna valfri SSH-klient, till exempel Bash på Linux eller PowerShell i Windows. Kommandot ssh ingår vanligtvis i Linux, macOS och Windows. Om du använder Windows 7 eller äldre, där Win32 OpenSSH inte ingår som standard, bör du överväga att installera WSL eller använda Azure Cloud Shell från webbläsaren. I följande kommando ersätter du VM-användarnamnet och IP-adressen för att ansluta till din virtuella Linux-dator.

ssh azureadmin@40.55.55.555

Du hittar den offentliga IP-adressen för den virtuella datorn i Azure Portal under avsnittet Översikt på den virtuella datorn.

IP-adress i Azure Portal

Mer information om hur du ansluter till virtuella Linux-datorer finns i Skapa en virtuell Linux-dator i Azure med hjälp av portalen.

Installera Azure DCAP-klienten

Azure Data Center Attestation Primitives (DCAP), en ersättning för Intel Quote Provider Library (QPL), hämtar säkerheter för generering av offerter och offertvalidering direkt från THIM-tjänsten.

Tjänsten Trusted Hardware Identity Management (THIM) hanterar cachehantering av certifikat för alla betrodda körningsmiljöer (TEE) som finns i Azure och tillhandahåller information om betrodd databehandlingsbas (TCB) för att framtvinga en minimibaslinje för attesteringslösningar.

DCsv3 och DCdsv3 stöder endast ECDSA-baserad attestering och användarna måste installera Azure DCAP-klienten för att interagera med THIM och hämta TEE-säkerheter för offertgenerering under attesteringsprocessen. DCsv2 fortsätter att stödja EPID-baserad attestering.

Rensa resurser

När resursgruppen, den virtuella datorn och alla dess relaterade resurser inte längre behövs kan du ta bort den.

Välj resursgruppen för den virtuella datorn och välj sedan Ta bort. Bekräfta namnet på resursgruppen för att slutföra borttagningen av resurserna.

Nästa steg

I den här snabbstarten har du distribuerat och anslutit till din virtuella Intel SGX-dator. Mer information finns i Lösningar på Virtual Machines.

Upptäck hur du kan skapa program för konfidentiell databehandling genom att fortsätta till Open Enclave SDK-exemplen på GitHub.

Skapa open enclave SDK-exempel

Microsoft Azure Attestation är ett kostnadsfritt och ECDSA-baserat attesteringsramverk för fjärrkontroll av tillförlitligheten hos flera TEE:er och integriteten hos de binärfiler som körs i den. Läs mer