你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

适用于 Intel SGX 的 Azure 上的解决方案

可以部署 Intel Software Guard Extension (Intel SGX) 虚拟机 (VM) 以用于 Azure 机密计算。

当前可用大小和区域

要获取 Intel SGX VM 规格的列表，请使用 Azure 命令行界面 (Azure CLI)。 如果尚未安装 Azure CLI，请安装。 然后，运行以下命令列出 Intel SGX 大小以及区域和可用区信息。

az vm list-skus `
    --size Standard_DC `
    --all `
    --output table

专用主机要求

部署 Standard_DC8_v2、Standard_DC48s_v3 或 Standard_DC48ds_v3 系列 VM 会占用整个主机。 其他租户或订阅不共享主机。 这一系列 VM SKU 提供了满足合规性和安全法规要求所需的隔离。 通常，你可能需要专门的主机服务来满足这些要求。

对于这些 VM 规格，物理主机服务器仅将所有可用硬件资源（包括 EPC 内存）分配给你的虚拟机。 此部署与其他 VM 系列中的 Azure 专用主机服务不同。

部署注意事项

在 Azure 上规划 Intel SGX VM 部署时，请考虑以下因素。

Azure 订阅

若要部署机密计算 VM 实例，请考虑使用即用即付订阅或其他购买选项。 Azure 免费帐户的配额不够高，不足以用于所需的 Azure 计算核心数。

定价和区域可用性

在 Azure VM 定价页面上查找 DCsv2、DCsv3 和 DCdsv3 VM 的定价。 查看可用产品（按区域）表格，了解不同在不同 Azure 区域中的可用性。

核心配额

可能需要在 Azure 订阅中在默认值的基础上增加核心配额。 订阅可能也会限制可在特定 VM 大小系列（包括 DCsv2 系列）中部署的核心数目。 你可以免费请求增加配额。 默认限制可能因你的订阅类别而异。

如果有大规模容量需求，请与 Azure 支持部门联系。 Azure 配额为信用额度，而不是容量保障。 无论配额如何，都只根据所用的核心数计费。

调整大小

由于这些实例包含专用的硬件，你只能在同一大小系列内调整 Intel SGX VM 实例的大小。 例如，对于 DCsv2 系列 VM，只能将其从一种 DCsv2 系列大小调整为另一种 DCsv2 系列大小。

图像

若要在机密计算实例上提供 Intel SGX 支持，所有部署必须在第 2 代映像上运行。 Azure 机密计算支持在 Ubuntu 20.04 Gen 2、 Windows Server 2019 Gen 2 和 Ubuntu 22.04 Gen 2 上运行的工作负荷。 有关支持方案和不支持方案的更多信息，请参阅 Azure 对第 2 代 VM 的支持。

存储

DCsv2 系列 VMs 支持标准 SSD 和高级 SSD，但DC8_v2 除外。

DCsv3 和 DCdsv3 系列支持标准 SSD、高级 SSD 和超级磁盘。

高可用性和灾难恢复注意事项

使用 Azure VM 时，你负责制定高可用性 (HA) 和灾难恢复解决方案以避免任何停机。

Azure 机密计算目前不支持通过 Azure 可用性区域实现区域冗余。 若要实现机密计算的最高可用性和冗余，请使用可用性集。 由于硬件限制，机密计算实例的可用性集最多只能包含 10 个更新域。

使用 Azure 资源管理器 (ARM) 模板进行部署

Azure 资源管理器是 Azure 的部署和管理服务。 你可以使用服务的管理层在 Azure 订阅中创建、更新和删除资源。 有访问控制、锁和标签等管理功能。 使用这些功能在部署后保护和组织资源。

若要了解 Azure 资源管理器模板（ARM 模板），请参阅部署概述。

要使用 ARM 模板进行部署，请参阅 Azure 资源管理器模板中的虚拟机。 确保为 vmSize 和你的 imageReference 指定正确的属性。

VM 大小

在 VM 资源的 ARM 模板中指定以下大小之一。 此字符串是 properties 中的 vmSize。

  [
        "Standard_DC1s_v2",
        "Standard_DC2s_v2",
        "Standard_DC4s_v2",
        "Standard_DC8_v2",
        "Standard_DC1s_v3",
        "Standard_DC2s_v3",
        "Standard_DC4s_v3",
        "Standard_DC8s_v3",
        "Standard_DC16s_v3",
        "Standard_DC24s_v3",
        "Standard_DC32s_v3",
        "Standard_DC48s_v3",
        "Standard_DC1ds_v3",
        "Standard_DC2ds_v3",
        "Standard_DC4ds_v3",
        "Standard_DC8ds_v3",
        "Standard_DC16ds_v3",
        "Standard_DC24ds_v3",
        "Standard_DC32ds_v3",
        "Standard_DC48ds_v3",
      ],

Gen2 OS 映像

在 properties 下，还必须在 storageProfile 下指定映像。 请仅将以下某一映像用于 imageReference。

  "2019-datacenter-gensecond": {
    "offer": "WindowsServer",
    "publisher": "MicrosoftWindowsServer",
    "sku": "2019-datacenter-gensecond",
    "version": "latest"
  },
  "20_04-lts-gen2": {
    "offer": "0001-com-ubuntu-server-focal",
    "publisher": "Canonical",
    "sku": "20_04-lts-gen2",
    "version": "latest"
  }
  "22_04-lts-gen2": {
    "offer": "0001-com-ubuntu-server-jammy",
    "publisher": "Canonical",
    "sku": "22_04-lts-gen2",
    "version": "latest"
  },

后续步骤

使用 Azure 市场创建 Intel SGX VM