Soluções no Azure para Intel SGX

Você pode implantar máquinas virtuais (VM) Intel Software Guard Extension (Intel SGX) para uso na computação confidencial do Azure.

Tamanhos e regiões disponíveis atualmente

Para obter uma lista de tamanhos de VM Intel SGX, use a Interface de Linha de Comando do Azure (CLI do Azure). Instale a CLI do Azure se ainda não tiver feito isso. Em seguida, execute o seguinte comando para listar os tamanhos do Intel SGX com informações sobre região e zona de disponibilidade.

az vm list-skus `
    --size Standard_DC `
    --all `
    --output table

Requisitos de host dedicado

A implantação de uma VM da série Standard_DC8_v2, Standard_DC48s_v3 ou Standard_DC48ds_v3 ocupa o host completo. Outros inquilinos ou subscrições não partilham o anfitrião. Essa família de SKUs de VM fornece o isolamento necessário para atender aos requisitos normativos de conformidade e segurança. Normalmente, você pode precisar de um serviço de host dedicado para atender a esses requisitos.

Para esses tamanhos de VM, o servidor host físico aloca todos os recursos de hardware disponíveis, incluindo memória EPC, somente para sua máquina virtual. Essa implantação não é a mesma que o serviço de Host Dedicado do Azure em outras famílias de VMs.

Considerações sobre implementação

Considere os seguintes fatores ao planejar a implantação da VM Intel SGX no Azure.

Subscrição do Azure

Para implantar uma instância de VM de computação confidencial, considere uma assinatura pré-paga ou outra opção de compra. As contas gratuitas do Azure não têm uma cota alta o suficiente para o número necessário de núcleos de computação do Azure.

Preços e disponibilidade regional

Encontre os preços das VMs DCsv2, DCsv3 e DCdsv3 na página de preços das VMs do Azure. Verifique a tabela de produtos disponíveis por região para disponibilidade em diferentes regiões do Azure.

Quota de núcleos

Talvez seja necessário aumentar a cota de núcleos em sua assinatura do Azure a partir do valor padrão. Sua assinatura também pode limitar o número de núcleos que você pode implantar em determinadas famílias de tamanhos de VM, incluindo DCsv2-Series. Você pode solicitar um aumento de cota sem nenhum custo. Os limites padrão podem ser diferentes com base na sua categoria de assinatura.

Se tiver necessidades de capacidade de grande escala, contacte o Suporte do Azure. As cotas do Azure são limites de crédito, não garantias de capacidade. Seja qual for a sua quota, só é cobrado pelos núcleos que utilizar.

Redimensionamento

Devido ao hardware especializado, você só pode redimensionar instâncias de VM Intel SGX dentro da mesma família de tamanhos. Por exemplo, você só pode redimensionar uma VM da série DCsv2 de um tamanho da série DCsv2 para outro.

Image

Para fornecer suporte ao Intel SGX em instâncias de computação confidenciais, todas as implantações devem ser executadas em imagens da 2ª geração. A computação confidencial do Azure suporta cargas de trabalho executadas no Ubuntu 20.04 Gen 2, Windows Server 2019 Gen 2 e Ubuntu 22.04 Gen 2. Para obter mais informações sobre cenários com e sem suporte, consulte Suporte para VMs de Geração 2 no Azure.

Armazenamento

As VMs da série DCsv2 suportam SSD padrão e SSD Premium, exceto DC8_v2.

As VMs das séries DCsv3 e DCdsv3 suportam SSD padrão, SSD Premium e Ultra Disk.

Considerações sobre alta disponibilidade e recuperação de desastres

Ao usar VMs do Azure, você é responsável por criar uma solução de alta disponibilidade (HA) e recuperação de desastres para evitar qualquer tempo de inatividade.

A computação confidencial do Azure não oferece suporte à redundância de zona por meio das zonas de disponibilidade do Azure no momento. Para obter a mais alta disponibilidade e redundância para computação confidencial, use Conjuntos de disponibilidade. Devido a restrições de hardware, os Conjuntos de Disponibilidade para instâncias de computação confidenciais só podem ter um máximo de 10 domínios de atualização.

Modelo de implantação com o Azure Resource Manager (ARM)

O Azure Resource Manager é o serviço de implementação e gestão do Azure. Você pode usar a camada de gerenciamento do serviço para criar, atualizar e excluir recursos em sua assinatura do Azure. Há recursos de gerenciamento, como controle de acesso, bloqueios e tags. Use esses recursos para proteger e organizar seus recursos após a implantação.

Para saber mais sobre os modelos do Azure Resource Manager (modelos ARM), consulte a Visão geral de modelos.

Para implantar usando modelos ARM, consulte Máquinas virtuais em um modelo do Azure Resource Manager. Certifique-se de especificar as propriedades corretas para vmSize e seu imageReference.

Tamanhos de VM

Especifique um dos seguintes tamanhos em seu modelo ARM no recurso VM. Esta cadeia de caracteres é vmSize em propriedades.

  [
        "Standard_DC1s_v2",
        "Standard_DC2s_v2",
        "Standard_DC4s_v2",
        "Standard_DC8_v2",
        "Standard_DC1s_v3",
        "Standard_DC2s_v3",
        "Standard_DC4s_v3",
        "Standard_DC8s_v3",
        "Standard_DC16s_v3",
        "Standard_DC24s_v3",
        "Standard_DC32s_v3",
        "Standard_DC48s_v3",
        "Standard_DC1ds_v3",
        "Standard_DC2ds_v3",
        "Standard_DC4ds_v3",
        "Standard_DC8ds_v3",
        "Standard_DC16ds_v3",
        "Standard_DC24ds_v3",
        "Standard_DC32ds_v3",
        "Standard_DC48ds_v3",
      ],

Imagem do SO Gen2

Em propriedades, você também precisa especificar uma imagem em storageProfile. Use apenas uma das imagens a seguir para seu imageReference.

  "2019-datacenter-gensecond": {
    "offer": "WindowsServer",
    "publisher": "MicrosoftWindowsServer",
    "sku": "2019-datacenter-gensecond",
    "version": "latest"
  },
  "20_04-lts-gen2": {
    "offer": "0001-com-ubuntu-server-focal",
    "publisher": "Canonical",
    "sku": "20_04-lts-gen2",
    "version": "latest"
  }
  "22_04-lts-gen2": {
    "offer": "0001-com-ubuntu-server-jammy",
    "publisher": "Canonical",
    "sku": "22_04-lts-gen2",
    "version": "latest"
  },

Próximo passo