Azure 機密 VM 選項
Azure 提供 AMD 和 Intel 中信任執行環境 (TEE) 選項的選擇。 這些 TEE 可讓您建立具有絕佳價格與效能比率的機密 VM 環境,而不需要變更任何程式代碼。
針對 AMD 型機密 VM,所使用的技術是 AMD SEV-SNP,這是第三代 AMD EPYC™ 處理器引進的。 另一方面,Intel 型機密 VM 會使用 Intel TDX,這是第 4 代 Intel® Xeon® 處理器引進的技術。 這兩種技術都有不同的實作,但兩者都提供來自雲端基礎結構堆疊的類似保護。
規模
我們提供下列 VM 大小:
| 大小系列 | TEE | 描述 |
|---|---|---|
| DCasv5 系列 | AMD SEV-SNP | 具有遠端儲存體的一般用途 CVM。 無本機暫存磁碟。 |
| DCadsv5 系列 | AMD SEV-SNP | 具有本機暫存磁碟的一般用途 CVM。 |
| ECasv5 系列 | AMD SEV-SNP | 具有遠端儲存體的記憶體最佳化 CVM。 無本機暫存磁碟。 |
| ECadsv5 系列 | AMD SEV-SNP | 具有本機暫存磁碟的記憶體最佳化 CVM。 |
| DCesv5 系列 | Intel TDX | 具有遠端儲存體的一般用途 CVM。 無本機暫存磁碟。 |
| DCedsv5 系列 | Intel TDX | 具有本機暫存磁碟的一般用途 CVM。 |
| ECesv5 系列 | Intel TDX | 具有遠端儲存體的記憶體最佳化 CVM。 無本機暫存磁碟。 |
| ECedsv5 系列 | Intel TDX | 具有本機暫存磁碟的記憶體最佳化 CVM。 |
| NCCadsH100v5 系列 | AMD SEV-SNP 和 NVIDIA H100 Tensor Core GPU | 具有機密 GPU 的 CVM。 |
注意
記憶體最佳化機密 VM 提供每個 vCPU 計數的記憶體比率的雙倍。
Azure CLI 命令
您可以搭配使用 Azure CLI 與機密 VM。
若要查看機密 VM 大小清單,請執行下列命令。 將 <vm-series> 取代為您想要使用的系列。 輸出會顯示可用區域和可用性區域的相關資訊。
vm_series='DCASv5'
az vm list-skus \
--size dc \
--query "[?family=='standard${vm_series}Family'].{name:name,locations:locationInfo[0].location,AZ_a:locationInfo[0].zones[0],AZ_b:locationInfo[0].zones[1],AZ_c:locationInfo[0].zones[2]}" \
--all \
--output table
如需更詳細的清單,請改為執行下列命令:
vm_series='DCASv5'
az vm list-skus \
--size dc \
--query "[?family=='standard${vm_series}Family']"
部署考量
在部署機密 VM 之前,請考慮下列設定和選擇。
Azure 訂用帳戶
若要部署機密 VM 執行個體,請考慮隨用隨付訂用帳戶或其他購買選項。 如果您使用 Azure 免費帳戶,則配額不允許適當數量的 Azure 計算核心。
您可能需要從預設值增加 Azure 訂用帳戶的核心配額。 預設限制會根據您的訂用帳戶分類而不同。 您的訂用帳戶也可能會限制您可在特定 VM 大小系列 (包括機密 VM 大小) 中部署的核心數目。
若要要求增加配額,請開啟線上客戶支援要求。
如果您有大規模容量需求,則請連絡 Azure 支援。 Azure 配額為信用額度,而不是容量保證。 您只會產生所使用核心的費用。
定價
如需定價選項,請參閱 Linux 虛擬機器定價。
區域可用性
如需可用性資訊,請參閱 Azure 區域提供哪些 VM 產品。
調整大小
機密 VM 會在特殊硬體上執行,因此您只能將機密 VM 執行個體的大小調整為相同區域中的其他機密大小。 例如,如果您有 DCasv5 系列 VM,則可以將大小調整為另一個 DCasv5 系列執行個體或 DCesv5 系列執行個體。
您無法將非機密 VM 的大小調整為機密 VM。
客體 OS 支援
機密 VM 的 OS 映像必須符合特定安全性和相容性需求。 合格的映像支援安全掛接、證明、選擇性機密 OS 磁碟加密,以及與基礎雲端基礎結構的隔離。 這些映像包括:
- Ubuntu 20.04 LTS (僅支援 AMD SEV-SNP)
- Ubuntu 22.04 LTS
- Red Hat Enterprise Linux 9.3 (僅支援 AMD SEV-SNP)
- Windows Server 2019 Datacenter - x64 Gen 2 (僅支援 AMD SEV-SNP)
- Windows Server 2019 Datacenter Server Core - x64 Gen 2 (僅支援 AMD SEV-SNP)
- Windows Server 2022 Datacenter - x64 Gen 2
- Windows Server 2022 Datacenter:Azure Edition Core - x64 Gen 2
- Windows Server 2022 Datacenter:Azure Edition - x64 Gen 2
- Windows Server 2022 Datacenter Server Core - x64 Gen 2
- Windows 11 企業版 N,版本 22H2 -x64 Gen 2
- Windows 11 專業版,版本 22H2 ZH-CN -x64 Gen 2
- Windows 11 專業版,版本 22H2 -x64 Gen 2
- Windows 11 專業版 N,版本 22H2 -x64 Gen 2
- Windows 11 企業版,版本 22H2 -x64 Gen 2
- Windows 11 企業版多工作階段,版本 22H2 -x64 Gen 2
由於我們努力將更多具有機密 OS 磁碟加密的 OS 映像上線,因此早期預覽版中有各種映像可用於測試。 您可以註冊下列版本:
- Red Hat Enterprise Linux 9.3 (支援 Intel TDX)
- SUSE Enterprise Linux 15 SP5 (支援 Intel TDX、AMD SEV-SNP)
- SUSE Enterprise Linux 15 SAP SP5 (支援 Intel TDX、AMD SEV-SNP)
如需受支援和不受支援 VM 案例的詳細資訊,請參閱 Azure 上第 2 代 VM 的支援。
高可用性和災害復原
您負責為機密 VM 建立高可用性和災害復原解決方案。 規劃這些案例有助於將長時間停機降到最低,以及避免長時間停機。
使用 ARM 範本進行部署
Azure Resource Manager 是 Azure 的部署與管理服務。 您可以:
- 使用存取控制、鎖定和標記這類管理功能,以在部署後保護和組織您的資源。
- 使用管理層在 Azure 訂用帳戶中建立、更新和刪除資源。
- 使用 Azure Resource Manager 範本 (ARM 範本) 在 AMD 處理器上部署機密 VM。
請務必在 [參數] 區段中指定 VM 的下列屬性 (parameters):
- VM 大小 (
vmSize)。 從不同的機密 VM 系列和大小中進行選擇。 - OS 映像名稱 (
osImageName)。 從合格的 OS 映像中進行選擇。 - 磁碟加密類型 (
securityType)。 從僅限 VMGS 加密 (VMGuestStateOnly) 或完整 OS 磁碟預先加密 (DiskWithVMGuestState) 中進行選擇,這可能會導致佈建時間較長。 (僅限 Intel TDX 執行個體) 我們也支援沒有 VMGS 或 OS 磁碟加密的另一種安全性類型 (NonPersistedTPM)。
下一步
如需詳細資訊,請參閱我們的機密 VM 常見問題。