Sdílet prostřednictvím

Rychlý start: Vytvoření virtuálního počítače Intel SGX na webu Azure Portal

  • Článek

Tento kurz vás provede procesem nasazení virtuálních počítačů Intel SGX pomocí webu Azure Portal. V opačném případě doporučujeme sledovat šablony Azure Marketplace .

Požadavky

Pokud nemáte předplatné Azure, vytvořte si účet , než začnete.

Poznámka:

Bezplatné zkušební účty nemají přístup k virtuálním počítačům v tomto kurzu. Upgradujte prosím na předplatné s průběžným platbou.

Přihlášení k Azure

  1. Přihlaste se na webu Azure Portal.

  2. Nahoře vyberte Vytvořit prostředek.

  3. V levém bočním podokně vyberte Výpočetní prostředky.

  4. Vyberte Vytvořit virtuální počítač.

    Nasazení virtuálního počítače

Konfigurace virtuálního počítače Intel SGX

  1. Na kartě Základy vyberte své předplatné a skupinu prostředků.

  2. Jako název virtuálního počítače zadejte název nového virtuálního počítače.

  3. Zadejte nebo vyberte tyto hodnoty:

    • Oblast: Vyberte oblast Azure, která je pro vás správná.

      Poznámka:

      Virtuální počítače Intel SGX běží na specializovaném hardwaru v konkrétních oblastech. Nejnovější dostupnost v jednotlivých oblastech najdete v dostupných oblastech na řadu DCsv2 nebo DCsv3/DCdsv3.řady.

  4. Nakonfigurujte image operačního systému, kterou chcete pro virtuální počítač použít.

    • Zvolte Obrázek: Pro účely tohoto kurzu vyberte Ubuntu 20.04 LTS – Gen2. Můžete také vybrat Ubuntu 18.04 LTS - Gen2 nebo Windows Server 2019.

    • Aktualizace na generaci 2: Pod imagí vyberte v informačním rámečku Konfigurovat generování virtuálních počítačů a pak vyberte 2. generace.

      image

  5. Vyberte virtuální počítač s možnostmi Intel SGX kliknutím na + Přidat filtr a vytvořte filtr , vyberte Typ pro typ filtru a v dalším rozevíracím seznamu zkontrolujte pouze důvěrné výpočetní prostředky .

    Virtuální počítače řady DCsv2

    Tip

    Měli byste vidět ds_v3 velikosti DC(číslo)s_v2, DC(číslo)s_v3 a DC(číslo).< a1/&ds_v3. Další informace.

  6. Vyplňte následující informace:

    • Typ ověřování: Pokud vytváříte virtuální počítač s Linuxem, vyberte veřejný klíč SSH.

      Poznámka:

      U ověřování máte na výběr mezi používáním veřejného klíče SSH nebo hesla. SSH je bezpečnější. Pokyny k vygenerování klíče SSH najdete v tématu Vytvoření klíčů SSH v Linuxu a na Macu pro virtuální počítače s Linuxem v Azure.

    • Uživatelské jméno: Zadejte jméno správce virtuálního počítače.

    • Veřejný klíč SSH: Pokud je to možné, zadejte veřejný klíč RSA.

    • Heslo: Pokud je to možné, zadejte heslo pro ověření.

    • Veřejné příchozí porty: Zvolte Povolit vybrané porty a v seznamu Vybrat veřejné příchozí porty vyberte SSH (22) a HTTP (80). Pokud nasazujete virtuální počítač s Windows, vyberte HTTP (80) a RDP (3389).

    Poznámka:

    Povolení portů RDP/SSH se nedoporučuje pro produkční nasazení.

    Příchozí porty

  7. Proveďte změny na kartě Disky .

    • DCsv2-series podporuje SSD úrovně Standard, SSD úrovně Premium se podporuje v rámci DC1, DC2 a DC4.
    • DCsv3 a DCdsv3-series podporují ssd úrovně Standard, SSD úrovně Premium a disk Úrovně Ultra.

  8. Proveďte všechny změny nastavení na následujících kartách nebo ponechte výchozí nastavení.

    • Sítě
    • Správa
    • Konfigurace hosta
    • Značky

  9. Vyberte Zkontrolovat a vytvořit.

  10. V podokně Zkontrolovat a vytvořit vyberte Vytvořit.

Poznámka:

Pokud jste nasadili virtuální počítač s Linuxem, přejděte k další části a pokračujte v tomto kurzu. Pokud jste nasadili virtuální počítač s Windows, připojte se k virtuálnímu počítači s Windows pomocí těchto kroků a pak nainstalujte sadu OE SDK ve Windows.

Připojení k virtuálnímu počítači s Linuxem

Otevřete libovolného klienta SSH, například Bash v Linuxu nebo PowerShellu ve Windows. Příkaz ssh je obvykle součástí Linuxu, macOS a Windows. Pokud používáte Windows 7 nebo starší, kde Win32 OpenSSH není ve výchozím nastavení zahrnutý, zvažte instalaci WSL nebo použití Azure Cloud Shellu z prohlížeče. V následujícím příkazu nahraďte uživatelské jméno a IP adresu virtuálního počítače pro připojení k vašemu virtuálnímu počítači s Linuxem.

ssh azureadmin@40.55.55.555

Veřejnou IP adresu virtuálního počítače najdete na webu Azure Portal v části Přehled vašeho virtuálního počítače.

IP adresa na webu Azure Portal

Další informace o připojení k virtuálním počítačům s Linuxem najdete v tématu Vytvoření virtuálního počítače s Linuxem v Azure pomocí portálu.

Instalace klienta Azure DCAP

Azure Data Center Attestation Primitives (DCAP) – náhrada za Knihovnu poskytovatelů Intel Quote (QPL), načte záruky generování nabídek a ověření nabídek přímo ze služby THIM.

Služba THIM (Trusted Hardware Identity Management) zpracovává správu certifikátů mezipaměti pro všechna důvěryhodná spouštěcí prostředí (TEE) umístěná v Azure a poskytuje informace o důvěryhodné výpočetní bázi (TCB) k vynucení minimálního směrného plánu pro řešení ověření identity.

Řadiče domény DCsv3 a DCdsv3 podporují pouze ověření identity založené na ECDSA a uživatelé musí nainstalovat klienta Azure DCAP pro interakci s THIM a načtení zajištění TEE pro generování nabídek během procesu ověření identity. Řadiče domény dcsv2 nadále podporují ověření identity založené na EPID.

Vyčištění prostředků

Pokud už ji nepotřebujete, můžete odstranit skupinu prostředků, virtuální počítač a všechny související prostředky.

Vyberte skupinu prostředků pro virtuální počítač a pak vyberte Odstranit. Potvrďte název skupiny prostředků a dokončete odstranění prostředků.

Další kroky

V tomto rychlém startu jste nasadili a připojili se k virtuálnímu počítači Intel SGX. Další informace najdete v tématu Řešení na virtuálních počítačích.

Seznamte se s tím, jak můžete vytvářet důvěrné výpočetní aplikace, a to tím, že budete pokračovat v ukázkách sady Open Enclave SDK na GitHubu.

Sestavení ukázek open Enklave SDK

Microsoft Azure Attestation je bezplatná architektura ověřování založená na ECDSA, která umožňuje vzdáleně ověřit důvěryhodnost více TEE a integritu binárních souborů spuštěných uvnitř. Další informace