適用於 Intel SGX 的 Azure 解決方案

您可以部署 Intel Software Guard Extension (Intel SGX) 虛擬機器 (VM)，以供 Azure 機密運算使用。

目前可用的大小和區域

若要取得 Intel SGX VM 大小的清單，請使用 Azure 命令列介面 (Azure CLI)。 安裝 Azure CLI (如果您尚未安裝)。 然後執行下列命令，列出具有區域和可用性區域資訊的 Intel SGX 大小。

az vm list-skus `
    --size Standard_DC `
    --all `
    --output table

專用主機需求

部署 Standard_DC8_v2、Standard_DC48s_v3 或 Standard_DC48ds_v3 系列 VM 會佔用完整的主機。 其他租用戶或訂用帳戶不會共用主機。 此系列 VM SKU 提供您可能需要符合合規性和安全性法規需求的隔離。 一般而言，您可能需要專用的主機服務，以符合這些需求。

針對此類 VM 大小，實體主機伺服器僅會將所有可用的硬體資源配置到您的虛擬機器，包括 EPC 記憶體。 此部署與其他 VM 系列中的 Azure 專用主機服務不同。

部署考量

當您在 Azure 上規劃 Intel SGX VM 部署時，請考慮下列因素。

Azure 訂用帳戶

若要部署機密計算 VM 執行個體，請考慮隨用隨付訂用帳戶或其他購買選項。 Azure 免費帳戶沒有足夠的配額，可供必要的 Azure 計算核心數目使用。

定價和區域可用性

在 Azure VM 定價頁面上尋找 DCsv2、DCsv3 和 DCdsv3 VM 的價格。 檢查依區域提供的產資料表，以了解不同 Azure 區域中的可用性。

核心配額

您可能需要從預設值增加 Azure 訂用帳戶的核心配額。 您的訂用帳戶可能也會限制您可以在特定 VM 大小系列 (包括 DCsv2 系列) 中部署的核心數目。 您可以免費要求增加配額。 預設限制可能會根據您的訂用帳戶類別而有所不同。

如果您有大規模容量需求，則請連絡 Azure 支援。 Azure 配額為信用額度，而不是容量保證。 無論您的配額為何，您只需針對您使用的核心付費。

調整大小

由於其特殊硬體，您只能在相同大小系列內調整 Intel SGX VM 執行個體的大小。 例如，您只能將 DCsv2 系列 VM 的大小，從某一個 DCsv2 系列大小調整為另一個大小。

映像

若要在機密運算執行個體上提供 Intel SGX 支援，所有部署皆必須在第 2 代映像上執行。 Azure 機密運算支援在 Ubuntu 20.04 Gen 2、Windows Server 2019 Gen 2 和 Ubuntu 22.04 Gen 2 上執行的工作負載。 如需受支援和不受支援 案例的詳細資訊，請參閱 Azure 上第 2 代 VM 的支援。

儲存體

DCsv2 系列 VM 支援標準 SSD 和進階 SSD，但 DC8_v2 除外。

DCsv3 和 DCdsv3 系列 VM 支援標準 SSD、進階 SSD 和 Ultra 磁碟。

高可用性和災害復原考量

您使用 Azure 虛擬機器時，您必須負責建立高可用性 (HA) 和災害復原解決方案，以避免任何停機。

Azure 機密運算目前不支援透過 Azure 可用性區域進行區域備援。 若要取得適用於機密運算的最高可用性與備援，請使用可用性設定組。 由於硬體限制，機密運算執行個體的可用性設定組最多只能有 10 個更新網域。

透過 Azure Resource Manager (ARM) 範本進行部署

Azure Resource Manager 是 Azure 的部署與管理服務。 您可以使用該服務管理層建立、更新和刪除您 Azure 訂用帳戶中的資源。 此項目有存取控制、鎖定和標籤等管理功能。 使用這些功能來保護並組織部署後的資源。

若要了解 Azure Resource Manager 範本 (ARM 範本)，請參閱範本概觀。

若要使用 ARM 範本部署，請參閱 Azure Resource Manager 範本中的虛擬機器。 請務必為 vmSize 和 imageReference 指定正確屬性。

VM 大小

請在 VM 資源中指定下列其中一個 ARM 範本的大小。 這個字串是在 properties 中的 vmSize。

  [
        "Standard_DC1s_v2",
        "Standard_DC2s_v2",
        "Standard_DC4s_v2",
        "Standard_DC8_v2",
        "Standard_DC1s_v3",
        "Standard_DC2s_v3",
        "Standard_DC4s_v3",
        "Standard_DC8s_v3",
        "Standard_DC16s_v3",
        "Standard_DC24s_v3",
        "Standard_DC32s_v3",
        "Standard_DC48s_v3",
        "Standard_DC1ds_v3",
        "Standard_DC2ds_v3",
        "Standard_DC4ds_v3",
        "Standard_DC8ds_v3",
        "Standard_DC16ds_v3",
        "Standard_DC24ds_v3",
        "Standard_DC32ds_v3",
        "Standard_DC48ds_v3",
      ],

Gen2 OS 映像

在 properties 底下，您也必須指定 storageProfile 底下的映像。 針對您的 imageReference，「僅使用一個」下列映像。

  "2019-datacenter-gensecond": {
    "offer": "WindowsServer",
    "publisher": "MicrosoftWindowsServer",
    "sku": "2019-datacenter-gensecond",
    "version": "latest"
  },
  "20_04-lts-gen2": {
    "offer": "0001-com-ubuntu-server-focal",
    "publisher": "Canonical",
    "sku": "20_04-lts-gen2",
    "version": "latest"
  }
  "22_04-lts-gen2": {
    "offer": "0001-com-ubuntu-server-jammy",
    "publisher": "Canonical",
    "sku": "22_04-lts-gen2",
    "version": "latest"
  },

後續步驟

使用 Azure Marketplace 建立 Intel SGX VM