Možnosti důvěrného virtuálního počítače Azure
Azure nabízí možnost TEE (Trusted Execution Environment) od AMD i Intel. Tyto TEE umožňují vytvářet důvěrná prostředí virtuálních počítačů s vynikajícím poměrem ceny a výkonu, a to vše bez nutnosti změn kódu.
U důvěrných virtuálních počítačů založených na AMD je použitá technologie AMD SEV-SNP, která byla zavedena s procesory AMD EPYC™ třetí generace. Na druhou stranu důvěrné virtuální počítače založené na Intelu využívají technologii TDX založenou na Intelu, která byla představena se 4. generace procesory Intel® Xeon®. Obě technologie mají různé implementace, ale obě poskytují podobnou ochranu ze zásobníku cloudové infrastruktury.
Velikosti
Nabízíme následující velikosti virtuálních počítačů:
| Velikost rodiny | TEE | Popis |
|---|---|---|
| Řada DCasv5 | AMD SEV-SNP | CvM pro obecné účely se vzdáleným úložištěm Žádný místní dočasný disk. |
| Řada DCadsv5 | AMD SEV-SNP | CVM pro obecné účely s místním dočasným diskem. |
| Řada ECasv5 | AMD SEV-SNP | CVM optimalizované pro paměť se vzdáleným úložištěm. Žádný místní dočasný disk. |
| Řada ECadsv5 | AMD SEV-SNP | CVM optimalizované pro paměť s místním dočasným diskem. |
| Řada DCesv5 | Intel TDX | CvM pro obecné účely se vzdáleným úložištěm Žádný místní dočasný disk. |
| Řada DCedsv5 | Intel TDX | CVM pro obecné účely s místním dočasným diskem. |
| Řada ECesv5 | Intel TDX | CVM optimalizované pro paměť se vzdáleným úložištěm. Žádný místní dočasný disk. |
| Řada ECedsv5 | Intel TDX | CVM optimalizované pro paměť s místním dočasným diskem. |
| NCCadsH100v5-series | AMD SEV-SNP a NVIDIA H100 Tensor Core GPU | CVM s důvěrným GPU. |
Poznámka:
Důvěrné virtuální počítače optimalizované pro paměť nabízejí dvojnásobný poměr paměti na počet vCPU.
Příkazy Azure CLI
Azure CLI můžete použít s důvěrnými virtuálními počítači.
Pokud chcete zobrazit seznam důvěrných velikostí virtuálních počítačů, spusťte následující příkaz. Nahraďte <vm-series> řadou, kterou chcete použít. Výstup zobrazuje informace o dostupných oblastech a zónách dostupnosti.
vm_series='DCASv5'
az vm list-skus \
--size dc \
--query "[?family=='standard${vm_series}Family'].{name:name,locations:locationInfo[0].location,AZ_a:locationInfo[0].zones[0],AZ_b:locationInfo[0].zones[1],AZ_c:locationInfo[0].zones[2]}" \
--all \
--output table
Podrobnější seznam zobrazíte spuštěním následujícího příkazu:
vm_series='DCASv5'
az vm list-skus \
--size dc \
--query "[?family=='standard${vm_series}Family']"
Aspekty nasazení
Před nasazením důvěrných virtuálních počítačů zvažte následující nastavení a volby.
Předplatné Azure
Pokud chcete nasadit důvěrnou instanci virtuálního počítače, zvažte předplatné s průběžným platbou nebo jinou možnost nákupu. Pokud používáte bezplatný účet Azure, kvóta neumožňuje odpovídající počet výpočetních jader Azure.
Možná budete muset zvýšit kvótu jader ve vašem předplatném Azure z výchozí hodnoty. Výchozí limity se liší v závislosti na vaší kategorii předplatného. Vaše předplatné může také omezit počet jader, která můžete nasadit v určitých rodinách velikostí virtuálních počítačů, včetně důvěrných velikostí virtuálních počítačů.
Pokud chcete požádat o navýšení kvóty, otevřete online žádost o zákaznickou podporu.
Pokud potřebujete velkou kapacitu, obraťte se na podporu Azure. Kvóty Azure jsou limity kreditů, nikoli záruky kapacity. Za jádra, která používáte, se účtují jenom poplatky.
Ceny
Cenové možnosti najdete v tématu Ceny virtuálních počítačů s Linuxem.
Regionální dostupnost
Informace o dostupnosti najdete v produktech virtuálních počítačů, které jsou dostupné v jednotlivých oblastech Azure.
Změna velikosti
Důvěrné virtuální počítače běží na specializovaném hardwaru, takže můžete změnit velikost jenom důvěrných instancí virtuálních počítačů na jiné důvěrné velikosti ve stejné oblasti. Pokud máte například virtuální počítač řady DCasv5-series, můžete změnit velikost na jinou instanci DCasv5-series nebo instanci DCesv5-series.
Není možné změnit velikost neutajení virtuálního počítače na důvěrný virtuální počítač.
Vysoká dostupnost a zotavení po havárii
Zodpovídáte za vytváření řešení pro vysokou dostupnost a zotavení po havárii pro vaše důvěrné virtuální počítače. Plánování těchto scénářů pomáhá minimalizovat a vyhnout se prodlouženým výpadkům.
Nasazení pomocí šablon ARM
Azure Resource Manager je služba nasazování a správy pro Azure. Můžete provádět následující akce:
- Zabezpečte a uspořádejte prostředky po nasazení pomocí funkcí pro správu, jako je řízení přístupu, zámky a značky.
- Vytvářejte, aktualizujte a odstraňujte prostředky ve vašem předplatném Azure pomocí vrstvy správy.
- Pomocí šablon Azure Resource Manageru (šablon ARM) nasaďte důvěrné virtuální počítače na procesory AMD.
Nezapomeňte zadat následující vlastnosti pro virtuální počítač v části parametrů (parameters):
- Velikost virtuálního počítače (
vmSize). Vyberte si z různých důvěrných rodin a velikostí virtuálních počítačů. - Název image operačního systému (
osImageName). Vyberte si z kvalifikovaných imagí operačního systému. - Typ šifrování disku (
securityType). Vyberte si šifrování pouze VMGS (VMGuestStateOnly) nebo úplné předběžné šifrování disku s operačním systémem (DiskWithVMGuestState), což může vést k delší době zřizování. Pro instance Intel TDX podporujeme také jiný typ zabezpečení (NonPersistedTPM), který nemá šifrování disku VMGS ani operačního systému.
Další kroky
Další informace najdete v nejčastějších dotazech k důvěrným virtuálním počítačům.