Opções de VMs confidenciais do Azure

O Azure oferece opções de ambiente de execução confiável (TEE) da AMD e da Intel. Esses TEEs permitem criar ambientes de VM confidenciais com excelentes relações preço/desempenho, tudo sem a necessidade de alterações de código.

Para VMs confidenciais baseadas em AMD, a tecnologia usada é AMD SEV-SNP, que foi introduzida com processadores AMD EPYC™ de 3ª geração. Por outro lado, as VMs confidenciais baseadas em Intel utilizam Intel TDX, uma tecnologia introduzida com processadores Intel® Xeon® de 4ª geração. Ambas as tecnologias têm implementações diferentes, mas ambas fornecem proteções semelhantes da pilha de infraestrutura em nuvem.

Tamanhos

Oferecemos os seguintes tamanhos de VM:

Família de tamanho TEE Descrição
DCasv5-series AMD SEV-SNP CVM de uso geral com armazenamento remoto. Nenhum disco temporário local.
DCadsv5-series AMD SEV-SNP CVM de uso geral com disco temporário local.
ECasv5-series AMD SEV-SNP CVM com otimização de memória e armazenamento remoto. Nenhum disco temporário local.
ECadsv5-series AMD SEV-SNP CVM com otimização de memória e disco temporário local.
Série DCesv5 Intel TDX CVM de uso geral com armazenamento remoto. Nenhum disco temporário local.
Série DCedsv5 Intel TDX CVM de uso geral com disco temporário local.
Série ECesv5 Intel TDX CVM com otimização de memória e armazenamento remoto. Nenhum disco temporário local.
Série ECedsv5 Intel TDX CVM com otimização de memória e disco temporário local.
NCCadsH100v5-series AMD SEV-SNP e NVIDIA H100 Tensor Core GPUs CVM com GPU Confidencial.

Observação

As VMs confidenciais com otimização de memória oferecem o dobro da taxa de memória por contagem de vCPU.

Comandos da CLI do Azure

Você pode usar a CLI do Azure com suas VMs confidenciais.

Para ver uma lista de tamanhos de VM confidenciais, execute o comando a seguir. Substitua <vm-series> pela série que você deseja usar. A saída mostra informações sobre regiões disponíveis e zonas de disponibilidade.

vm_series='DCASv5'
az vm list-skus \
    --size dc \
    --query "[?family=='standard${vm_series}Family'].{name:name,locations:locationInfo[0].location,AZ_a:locationInfo[0].zones[0],AZ_b:locationInfo[0].zones[1],AZ_c:locationInfo[0].zones[2]}" \
    --all \
    --output table

Para obter uma lista mais detalhada, execute o seguinte comando:

vm_series='DCASv5'
az vm list-skus \
    --size dc \
    --query "[?family=='standard${vm_series}Family']" 

Considerações de implantação

Considere as configurações e opções a seguir antes de implantar VMs confidenciais.

Assinatura do Azure

Para implantar uma instância de VM confidencial, considere o uso de uma assinatura paga conforme o uso ou outra opção de compra. Se você estiver usando uma conta gratuita do Azure, a cota não permitirá a quantidade apropriada de núcleos de computação do Azure.

Talvez seja preciso aumentar a cota de núcleos em sua assinatura do Azure, saindo do valor padrão. Os limites padrão variam dependendo de sua categoria de assinatura. Sua assinatura também pode limitar o número de núcleos que você pode implantar em determinadas famílias de tamanho de VM, incluindo os tamanhos de VM confidenciais.

Para solicitar um aumento de cota, abra uma solicitação de suporte ao cliente online.

Se precisar de capacidade em larga escala, contate o suporte do Azure. Cotas do Azure são limites de crédito, não garantias de capacidade. Você só incorre em encargos para os núcleos que usa.

Preços

Para opções de preço, confira Preço de Máquinas Virtuais do Linux.

Disponibilidade regional

Para obter informações de disponibilidade, confira quais produtos de VM estão disponíveis pela região do Azure.

Redimensionamento

As VMs confidenciais são executadas em hardware especializado, portanto, você só pode redimensionar instâncias de VM confidenciais para outros tamanhos confidenciais na mesma região. Por exemplo, se você tiver uma VM da série DCasv5, só poderá redimensioná-la para outra instância da série DCasv5 ou para uma instância da série DCesv5.

Não é possível redimensionar uma VM não confidencial para uma VM confidencial.

Alta disponibilidade e recuperação de desastre

Você é responsável por criar soluções de alta disponibilidade e recuperação de desastre para suas VMs confidenciais. Planejar esses cenários ajuda a minimizar e evitar tempo de inatividade prolongado.

Implantação com modelos do ARM

O Azure Resource Manager é o serviço de implantação e gerenciamento do Azure. Você poderá:

  • Proteja e organize seus recursos após a implantação com os recursos de gerenciamento, como controle de acesso, bloqueios e marcas.
  • Crie, atualize e exclua recursos em sua assinatura do Azure usando a camada de gerenciamento.
  • Use os modelos do ARM (modelos do Azure Resource Manager) para implantar VMs confidenciais em processadores AMD.

Especifique as seguintes propriedades para sua VM na seção de parâmetros (parameters):

  • Tamanho da VM (vmSize). Escolha entre as diferentes famílias e tamanhos de VM confidenciais.
  • Nome da imagem do SO (osImageName). Escolha entre as imagens qualificadas do SO.
  • Tipo de criptografia de disco (securityType). Escolha entre a criptografia somente VMGS (VMGuestStateOnly) ou a pré-criptografia completa do disco do sistema operacional (DiskWithVMGuestState), o que pode resultar em tempos de provisionamento mais longos. Somente no caso de instâncias do Intel TDX, também damos suporte a outro tipo de segurança (NonPersistedTPM), que não tem criptografia de disco do sistema operacional ou do VMGS.

Próximas etapas

Para obter mais informações, confira Perguntas frequentes sobre a VM confidencial.