Intel SGX 向けの Azure でのソリューション

Azure Confidential Computing で使用するために、Intel Software Guard Extension (Intel SGX) 仮想マシン (VM) をデプロイできます。

現在利用できるサイズとリージョン

Intel SGX VM サイズの一覧を取得するには、Azure コマンドライン インターフェイス (Azure CLI) を使用します。 まだ行っていなければ、Azure CLI をインストールします。 次に、次のコマンドを実行して、リージョンと利用可能なゾーンの情報を含む Intel SGX サイズを一覧表示します。

az vm list-skus `
    --size Standard_DC `
    --all `
    --output table

専用ホストの要件

Standard_DC8_v2Standard_DC48s_v3、または Standard_DC48ds_v3 シリーズ VM をデプロイすると、完全なホストが占有されます。 他のテナントまたはサブスクリプションはホストを共有できません。 この VM 製品群は、コンプライアンスやセキュリティの規制要件を満たすために必要となる隔離機能を提供します。 通常、これらの要件を満たすために専用のホスト サービスが必要になる場合があります。

これらの VM サイズでは、物理ホスト サーバーは EPC メモリを含む利用可能なすべてのハードウェア リソースを、仮想マシンのみに割り当てます。 このデプロイは、他の VM ファミリの Azure Dedicated Host サービスとは異なります。

デプロイに関する考慮事項

Azure での Intel SGX VM のデプロイを計画する場合は、次の要因を考慮してください。

Azure サブスクリプション

Confidential Computing VM インスタンスをデプロイするには、従量課金制サブスクリプションまたは他の購入オプションを検討してください。 Azure 無料アカウント には、必要な数の Azure コンピューティング コアに対する十分なクォータがありません。

価格とリージョンの提供状況

DCsv2DCsv3DCdsv3 の各 VM の価格は、Azure VMs の価格ページで確認できます。 異なる Azure リージョンでの利用可能性は、リージョン別利用可能製品の表を確認してください。

コア クォータ

場合によっては、Azure サブスクリプションのコア クォータを既定値から増やす必要があります。 サブスクリプションによっては、DCsv2-Series を含む特定の VM サイズ ファミリにデプロイできるコア数が制限されることがあります。 クォータの増加を要求します (無料)。 既定値の制限は、サブスクリプション カテゴリによって異なる場合があります。

大規模な容量が必要な場合は、Azure サポートにお問い合わせください。 Azure のクォータは容量保証ではなくクレジット制限です。 クォータに関係なく、使用したコアに対してのみ課金されます。

サイズ変更

特殊なハードウェアが使用されるため、SGX VM インスタンスのサイズ変更は同じサイズ ファミリ内でのみ可能です。 たとえば、DCsv2-Series の VM は DCsv2-Series のあるサイズから別のサイズにのみ変更できます。

Image

機密コンピューティング インスタンスでインテル SGX をサポートするには、すべてのデプロイメントが第 2 世代のイメージで実行される必要があります。 Azure コンフィデンシャル コンピューティングは、 Ubuntu 20.04 Gen 2Windows Server 2019 Gen 2 および Ubuntu 22.04 Gen 2で実行されているワークロードをサポートしています。 サポートされているシナリオとサポートされていないシナリオの詳細は、Azure での第 2 世代 VM のサポート を参照してください。

記憶域

DCsv2-series VMs は、DC8_v2 を覗き、Standard SSD および Premium SSD に対応しています。

DCsv3 および DCdsv3-series VMs は、Standard SSD、Premium SSD、および Ultra Disk をサポートしています。

高可用性とディザスター リカバリーの考慮事項

Azure VM を使用する際には、ダウンタイムを回避するための高可用性 (HA) とディザスター リカバリー ソリューションを構築する責任があります。

Azure Confidential Computing では現時点で、Azure 可用性ゾーンによるゾーン冗長がサポートされていません。 Confidential Computing で可用性と冗長性を最大にするには、可用性セットを使用します。 ハードウェアに制約があるため、Confidential Computing インスタンスの可用性セットに指定できる更新ドメインは最大で 10 です。

Azure Resource Manager (ARM) テンプレートを使用したデプロイ

Azure Resource Manager は、Azure のデプロイおよび管理サービスです。 サービスの管理層を利用して、Azure サブスクリプションのリソースを作成、更新、削除することができます。 アクセス制御、ロック、タグなどの管理機能があります。 デプロイ後にリソースをセキュリティで保護および整理するには、これらの機能を使用します。

Azure Resource Manager テンプレート (ARM テンプレート) については、テンプレートの概要に関するページを参照してください。

ARM テンプレートを使用してデプロイするには、Azure Resource Manager テンプレート内の仮想マシンを参照してください。 vmSizeimageReference に正しいプロパティを指定してください。

VM サイズ

VM リソースの ARM テンプレートで次のサイズのいずれかを指定します。 この文字列は [プロパティ]vmSize です。

  [
        "Standard_DC1s_v2",
        "Standard_DC2s_v2",
        "Standard_DC4s_v2",
        "Standard_DC8_v2",
        "Standard_DC1s_v3",
        "Standard_DC2s_v3",
        "Standard_DC4s_v3",
        "Standard_DC8s_v3",
        "Standard_DC16s_v3",
        "Standard_DC24s_v3",
        "Standard_DC32s_v3",
        "Standard_DC48s_v3",
        "Standard_DC1ds_v3",
        "Standard_DC2ds_v3",
        "Standard_DC4ds_v3",
        "Standard_DC8ds_v3",
        "Standard_DC16ds_v3",
        "Standard_DC24ds_v3",
        "Standard_DC32ds_v3",
        "Standard_DC48ds_v3",
      ],

Gen2 OS イメージ

[プロパティ] の下では、[storageProfile] 下のイメージも指定する必要があります。 imageReference には、次のイメージのうち "1 つだけ" を使用します。

  "2019-datacenter-gensecond": {
    "offer": "WindowsServer",
    "publisher": "MicrosoftWindowsServer",
    "sku": "2019-datacenter-gensecond",
    "version": "latest"
  },
  "20_04-lts-gen2": {
    "offer": "0001-com-ubuntu-server-focal",
    "publisher": "Canonical",
    "sku": "20_04-lts-gen2",
    "version": "latest"
  }
  "22_04-lts-gen2": {
    "offer": "0001-com-ubuntu-server-jammy",
    "publisher": "Canonical",
    "sku": "22_04-lts-gen2",
    "version": "latest"
  },

次のステップ