Azure Confidential VM オプション
Azure では、AMD と Intel の両方からの高信頼実行環境 (TEE) オプションを選択できます。 これらの TEE により、コードをまったく変更することなく、優れた費用対効果で機密 VM を作成できます。
AMD ベースの機密 VM の場合、使用されるテクノロジは、第 3 世代 AMD EPYC™ プロセッサで導入された AMD SEV-SNP です。 一方、Intel ベースの機密 VM では、第 4 世代 Intel® Xeon® プロセッサで導入されたテクノロジである Intel TDX を利用しています。 いずれのテクノロジも実装が異なりますが、両方ともクラウド インフラストラクチャ スタックから同様の保護を提供します。
サイズ
次の VM サイズが提供されます。
| サイズ ファミリ | TEE | 説明 |
|---|---|---|
| DCasv5 シリーズ | 機密 VM | リモート記憶域を使用する汎用 CVM。 ローカルの一時ディスクはありません。 |
| DCadsv5 シリーズ | 機密 VM | 一時ディスクを使用する汎用 CVM。 |
| ECasv5 シリーズ | 機密 VM | リモート ストレージを使用するメモリ最適化 CVM。 ローカルの一時ディスクはありません。 |
| ECadsv5 シリーズ | 機密 VM | ローカルの一時ディスクを使用する汎用 CVM。 |
| DCesv5 シリーズ | Intel TDX | リモート記憶域を使用する汎用 CVM。 ローカルの一時ディスクはありません。 |
| DCedsv5 シリーズ | Intel TDX | 一時ディスクを使用する汎用 CVM。 |
| ECesv5 シリーズ | Intel TDX | リモート ストレージを使用するメモリ最適化 CVM。 ローカルの一時ディスクはありません。 |
| ECedsv5 シリーズ | Intel TDX | ローカルの一時ディスクを使用する汎用 CVM。 |
| NCCadsH100v5 シリーズ | AMD SEV-SNP と NVIDIA H100 Tensor Core GPU | Confidential GPU を搭載した CVM。 |
Note
メモリ最適化コンフィデンシャル VM では、vCPU 数あたりのメモリの比率が 2 倍になります。
Azure CLI コマンド
コンフィデンシャル VM で Azure CLI を使用できます。
コンフィデンシャル VM サイズの一覧を表示するには、次のコマンドを実行します。 <vm-series> を、使用するシリーズに置き換えます。 出力には、使用可能なリージョンと可用性ゾーンに関する情報が表示されます。
vm_series='DCASv5'
az vm list-skus \
--size dc \
--query "[?family=='standard${vm_series}Family'].{name:name,locations:locationInfo[0].location,AZ_a:locationInfo[0].zones[0],AZ_b:locationInfo[0].zones[1],AZ_c:locationInfo[0].zones[2]}" \
--all \
--output table
より詳細な一覧については、代わりに次のコマンドを実行します。
vm_series='DCASv5'
az vm list-skus \
--size dc \
--query "[?family=='standard${vm_series}Family']"
デプロイに関する考慮事項
コンフィデンシャル VM をデプロイする前に、次の設定と選択肢を検討してください。
Azure サブスクリプション
機密 VM インスタンスをデプロイするには、 従量課金制サブスクリプション またはその他の購入オプションを検討してください。 Azure 無料アカウントをお使いの場合、適切な数の Azure コンピューティング コア用のクォータが与えられません。
場合によっては、Azure サブスクリプションのコア クォータを既定値から増やす必要があります。 既定の制限は、サブスクリプション カテゴリによって異なる場合があります。 サブスクリプションによっては、コンフィデンシャル VM のサイズを含む特定の VM サイズ ファミリにデプロイできるコア数が制限されることがあります。
クォータを増やすためのリクエストは、オンライン カスタマー サポートに申請してください。
大規模な容量が必要な場合は、Azure サポートにお問い合わせください。 Azure のクォータは容量保証ではなくクレジット制限です。 使用するコアに対してだけ料金が発生します。
価格
価格オプションについては、「Linux Virtual Machines の料金」をご覧ください。
リージョン別の提供状況
可用性情報については、Azure リージョンで使用できる VM 製品に関するページを参照してください。
サイズ変更
Confidential VM は特殊なハードウェア上で実行されます。そのため、同じリージョンで Confidential VM インスタンスのサイズを他のサイズに変更することしかできません。 たとえば、DCasv5 シリーズの VM がある場合は、別の DCasv5 シリーズのインスタンスや DCesv5 シリーズ インスタンスにサイズを変更できます。
コンフィデンシャル以外の VM のサイズをコンフィデンシャル VM に変更することはできません。
高可用性とディザスター リカバリー
コンフィデンシャル VM のための高可用性およびディザスター リカバリー ソリューションを作成する必要があります。 これらのシナリオの計画は、長時間のダウンタイムを最小限に抑えて回避するのに役立ちます。
ARM テンプレートを使用したデプロイ
Azure Resource Manager は、Azure のデプロイおよび管理サービスです。 次のことを実行できます。
- アクセス制御、ロック、タグなどの管理機能を使用して、デプロイ後にリソースをセキュリティ保護および整理します。
- 管理レイヤーを使用して、Azure サブスクリプション内のリソースを作成、更新、削除します。
- Azure Resource Manager テンプレート (ARM テンプレート) を使用して、AMD プロセッサにコンフィデンシャル VM をデプロイします。
パラメーター セクション (parameters) で、VM の次のプロパティを指定したことを確認してください。
- VM サイズ (
vmSize)。 さまざまなコンフィデンシャル VM ファミリとサイズから選択します。 - OS イメージ名 (
osImageName)。 修飾された OS イメージから選択します。 - ディスク暗号化の種類 (
securityType) VMGS のみの暗号化 (VMGuestStateOnly) または完全な OS ディスクの事前暗号化 (DiskWithVMGuestState) から選択します。これにより、プロビジョニング時間が長くなる可能性があります。 Intel TDX インスタンスの場合のみ、VMGS や OS ディスクの暗号化を行わない別のセキュリティの種類 (NonPersistedTPM) もサポートしています。
次のステップ
詳細については、Confidential VM のよくあるご質問を参照してください。