Opciones de VM de Azure Confidential
Azure ofrece una selección de opciones del entorno de ejecución de confianza (TEE) tanto de AMD como de Intel. Estos TEE permiten crear entornos de VM confidenciales con excelentes relaciones de precio a rendimiento, todo ello sin necesidad de cambios de código.
En el caso de las máquinas virtuales confidenciales basadas en AMD, la tecnología utilizada es AMD SEV-SNP, que se introdujo con procesadores AMD EPYC™ de 3ª generación. Por otro lado, las máquinas virtuales confidenciales basadas en Intel usan Intel TDX, una tecnología introducida con procesadores Intel® Xeon® de 4ª generación. Ambas tecnologías tienen implementaciones diferentes, pero proporcionan protecciones similares de la pila de infraestructura en la nube.
Tamaños
Ofrecemos los siguientes tamaños de máquina virtual:
| Familia de tamaños | TEE | Descripción |
|---|---|---|
| Serie DCasv5 | AMD SEV-SNP | CVM de uso general con almacenamiento remoto. No hay ningún disco temporal local. |
| Serie DCadsv5 | AMD SEV-SNP | CVM de uso general con disco temporal local. |
| Serie ECasv5 | AMD SEV-SNP | CVM optimizadas para memoria con almacenamiento remoto. No hay ningún disco temporal local. |
| Serie ECadsv5 | AMD SEV-SNP | CVM optimizadas para memoria con disco temporal local. |
| Serie DCesv5 | Intel TDX | CVM de uso general con almacenamiento remoto. No hay ningún disco temporal local. |
| Serie DCedsv5 | Intel TDX | CVM de uso general con disco temporal local. |
| Serie ECesv5 | Intel TDX | CVM optimizadas para memoria con almacenamiento remoto. No hay ningún disco temporal local. |
| Serie ECedsv5 | Intel TDX | CVM optimizadas para memoria con disco temporal local. |
| Serie NCCadsH100v5 | GPUs de AMD SEV-SNP y NVIDIA H100 Tensor Core | CVM con GPU confidencial. |
Nota:
Las máquinas virtuales confidenciales optimizadas para memoria ofrecen el doble de memoria por recuento de vCPU.
Comandos de la CLI de Azure
Puede usar la CLI de Azure con las máquinas virtuales confidenciales.
Para ver una lista de tamaños de máquina virtual confidenciales, ejecute el siguiente comando. Reemplace <vm-series> por la versión que desea usar. La salida muestra información sobre las regiones disponibles y las zonas de disponibilidad.
vm_series='DCASv5'
az vm list-skus \
--size dc \
--query "[?family=='standard${vm_series}Family'].{name:name,locations:locationInfo[0].location,AZ_a:locationInfo[0].zones[0],AZ_b:locationInfo[0].zones[1],AZ_c:locationInfo[0].zones[2]}" \
--all \
--output table
Para obtener una lista más detallada, ejecute el siguiente comando en su lugar:
vm_series='DCASv5'
az vm list-skus \
--size dc \
--query "[?family=='standard${vm_series}Family']"
Consideraciones de la implementación
Tenga en cuenta la siguiente configuración y opciones antes de implementar máquinas virtuales confidenciales.
Suscripción de Azure
Para implementar una instancia de máquina virtual confidencial, puede usar una suscripción de pago por uso u otra opción de compra. Si está usando una cuenta gratuita de Azure, la cuota no permite el número apropiado de núcleos de proceso de Azure.
Quizá tenga que aumentar la cuota de núcleos de su suscripción de Azure partiendo del valor predeterminado. Los límites predeterminados varían en función de la categoría de suscripción. La suscripción también puede limitar el número de núcleos que puede implementar en determinadas familias de tamaños de máquina virtual, incluidos los tamaños de máquina virtual confidenciales.
Para solicitar un aumento de cuota, abra una solicitud de soporte técnico al cliente en línea.
Si tiene necesidades de capacidad a gran escala, póngase en contacto con el Soporte técnico de Azure. Las cuotas de Azure son límites de crédito, no garantías de capacidad. Solo se incurre en cargos por los núcleos que use.
Precios
Para ver las opciones de precios, consulte los precios de Linux Virtual Machines.
Disponibilidad regional
Para obtener información sobre disponibilidad, consulte qué productos de máquina virtual están disponibles por región de Azure.
Cambio de tamaño
Las máquinas virtuales confidenciales se ejecutan en hardware especializado, por lo que solo puede cambiar el tamaño de las instancias de máquina virtual confidenciales a otros tamaños confidenciales de la misma región. Por ejemplo, si tiene una máquina virtual de la serie DCasv5, puede cambiar el tamaño a otra instancia de la serie DCasv5 o a una instancia de la serie DCesv5.
No es posible cambiar el tamaño de una máquina virtual no confidencial a una máquina virtual confidencial.
Alta disponibilidad y recuperación ante desastres
Es responsable de crear soluciones de alta disponibilidad y recuperación ante desastres para las máquinas virtuales confidenciales. La planificación de estos escenarios ayuda a minimizar y evitar los tiempos de inactividad prolongados.
Implementación con plantillas de ARM
Azure Resource Manager es el servicio de implementación y administración para Azure. Puede:
- Proteja y organice los recursos después de la implementación con las características de administración, como el control de acceso, los bloqueos y las etiquetas.
- Cree, actualice y elimine recursos en su suscripción de Azure mediante la capa de administración.
- Use plantillas de Azure Resource Manager (plantillas de ARM) para implementar máquinas virtuales confidenciales en procesadores AMD.
Asegúrese de especificar las siguientes propiedades para la máquina virtual en la sección de parámetros (parameters):
- Tamaño de máquina virtual (
vmSize). Elija entre las diferentes familias y tamaños confidenciales de máquinas virtuales. - Nombre de imagen del sistema operativo (
osImageName). Elija entre las imágenes de sistema operativo calificadas. - Tipo de cifrado de disco (
securityType). Elija entre cifrado solo de VMGS (VMGuestStateOnly) o cifrado previo de disco completo del sistema operativo (DiskWithVMGuestState), lo que podría dar lugar a tiempos de aprovisionamiento más largos. En el caso de las instancias de Intel TDX, solo se admite otro tipo de seguridad (NonPersistedTPM) que no tenga cifrado de disco vmGS ni del sistema operativo.
Pasos siguientes
Para obtener más información, consulte las preguntas más frecuentes sobre máquinas virtuales confidenciales.