Opções de VM Confidencial do Azure

O Azure oferece opções de TEE (Trusted Execution Environment) da AMD e da Intel. Esses TEEs permitem que você crie ambientes VM confidenciais com excelentes relações preço-desempenho, tudo sem exigir nenhuma alteração de código.

Para VMs confidenciais baseadas em AMD, a tecnologia usada é a AMD SEV-SNP, que foi introduzida com processadores AMD EPYC™ de 3ª geração. Por outro lado, as VMs confidenciais baseadas em Intel utilizam Intel TDX, uma tecnologia introduzida com processadores Intel® Xeon® de 4ª geração. Ambas as tecnologias têm implementações diferentes, no entanto, ambas fornecem proteções semelhantes da pilha de infraestrutura de nuvem.

Tamanhos

Oferecemos os seguintes tamanhos de VM:

Tamanho Família TEE Description
Série DCasv5 AMD SEV-SNP CVM de uso geral com armazenamento remoto. Nenhum disco temporário local.
Série DCadsv5 AMD SEV-SNP CVM de uso geral com disco temporário local.
Série ECasv5 AMD SEV-SNP CVM otimizado para memória com armazenamento remoto. Nenhum disco temporário local.
Série ECadsv5 AMD SEV-SNP CVM otimizado para memória com disco temporário local.
Série DCesv5 Intel TDX CVM de uso geral com armazenamento remoto. Nenhum disco temporário local.
Série DCedsv5 Intel TDX CVM de uso geral com disco temporário local.
Série ECesv5 Intel TDX CVM otimizado para memória com armazenamento remoto. Nenhum disco temporário local.
Série ECedsv5 Intel TDX CVM otimizado para memória com disco temporário local.
Série NCCadsH100v5 GPUs AMD SEV-SNP e NVIDIA H100 Tensor Core CVM com GPU Confidencial.

Nota

As VMs confidenciais otimizadas para memória oferecem o dobro da proporção de memória por contagem de vCPU.

Comandos da CLI do Azure

Você pode usar a CLI do Azure com suas VMs confidenciais.

Para ver uma lista de tamanhos de VM confidenciais, execute o seguinte comando. Substitua <vm-series> pela série que pretende utilizar. A saída mostra informações sobre regiões disponíveis e zonas de disponibilidade.

vm_series='DCASv5'
az vm list-skus \
    --size dc \
    --query "[?family=='standard${vm_series}Family'].{name:name,locations:locationInfo[0].location,AZ_a:locationInfo[0].zones[0],AZ_b:locationInfo[0].zones[1],AZ_c:locationInfo[0].zones[2]}" \
    --all \
    --output table

Para obter uma lista mais detalhada, execute o seguinte comando:

vm_series='DCASv5'
az vm list-skus \
    --size dc \
    --query "[?family=='standard${vm_series}Family']" 

Considerações sobre implementação

Considere as seguintes configurações e opções antes de implantar VMs confidenciais.

Subscrição do Azure

Para implantar uma instância de VM confidencial, considere uma assinatura pré-paga ou outra opção de compra. Se você estiver usando uma conta gratuita do Azure, a cota não permitirá o número apropriado de núcleos de computação do Azure.

Talvez seja necessário aumentar a cota de núcleos em sua assinatura do Azure a partir do valor padrão. Os limites padrão variam dependendo da sua categoria de assinatura. Sua assinatura também pode limitar o número de núcleos que você pode implantar em determinadas famílias de tamanhos de VM, incluindo os tamanhos confidenciais de VM.

Para solicitar um aumento de cota, abra uma solicitação de suporte ao cliente on-line.

Se tiver necessidades de capacidade de grande escala, contacte o Suporte do Azure. As cotas do Azure são limites de crédito, não garantias de capacidade. Você só incorre em cobranças pelos núcleos que usa.

Preços

Para obter opções de preços, consulte os preços das máquinas virtuais Linux.

Disponibilidade regional

Para obter informações sobre disponibilidade, consulte quais produtos de VM estão disponíveis por região do Azure.

Redimensionamento

As VMs confidenciais são executadas em hardware especializado, portanto, você só pode redimensionar instâncias confidenciais de VM para outros tamanhos confidenciais na mesma região. Por exemplo, se você tiver uma VM da série DCasv5, poderá redimensionar para outra instância da série DCasv5 ou uma instância da série DCesv5.

Não é possível redimensionar uma VM não confidencial para uma VM confidencial.

Recuperação de elevada disponibilidade e após desastre

Você é responsável por criar soluções de alta disponibilidade e recuperação de desastres para suas VMs confidenciais. O planejamento desses cenários ajuda a minimizar e evitar o tempo de inatividade prolongado.

Implantação com modelos ARM

O Azure Resource Manager é o serviço de implementação e gestão do Azure. Pode:

  • Proteja e organize seus recursos após a implantação com os recursos de gerenciamento, como controle de acesso, bloqueios e tags.
  • Crie, atualize e exclua recursos em sua assinatura do Azure usando a camada de gerenciamento.
  • Use modelos do Azure Resource Manager (modelos ARM) para implantar VMs confidenciais em processadores AMD.

Certifique-se de especificar as seguintes propriedades para sua VM na seção de parâmetros (parameters):

  • Tamanho da VM (vmSize). Escolha entre as diferentes famílias e tamanhos de VM confidenciais.
  • Nome da imagem do SO (osImageName). Escolha entre as imagens qualificadas do sistema operacional.
  • Tipo de encriptação de disco (securityType). Escolha entre criptografia somente VMGS (VMGuestStateOnly) ou pré-criptografia de disco completo do sistema operacional (DiskWithVMGuestState), o que pode resultar em tempos de provisionamento mais longos. Apenas para instâncias Intel TDX, também suportamos outro tipo de segurança (NonPersistedTPM) que não tem VMGS ou criptografia de disco do sistema operacional.

Próximos passos

Para obter mais informações, consulte nossas Perguntas frequentes sobre VM confidenciais.