Udostępnij za pośrednictwem

Szybki start: tworzenie maszyny wirtualnej Intel SGX w witrynie Azure Portal

  • Artykuł

Ten samouczek przeprowadzi Cię przez proces wdrażania maszyn wirtualnych Intel SGX przy użyciu witryny Azure Portal. W przeciwnym razie zalecamy stosowanie szablonów witryny Azure Marketplace .

Wymagania wstępne

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz konto.

Uwaga

Bezpłatne konta wersji próbnej nie mają dostępu do maszyn wirtualnych w tym samouczku. Przeprowadź uaktualnienie do subskrypcji z płatnością zgodnie z rzeczywistym użyciem.

Logowanie się do platformy Azure

  1. Zaloguj się do Portalu Azure.

  2. W górnej części wybierz pozycję Utwórz zasób.

  3. W okienku po lewej stronie wybierz pozycję Obliczenia.

  4. Wybierz pozycję Utwórz maszynę wirtualną.

    Wdrażanie maszyny wirtualnej

Konfigurowanie maszyny wirtualnej Intel SGX

  1. Na karcie Ustawienia podstawowe wybierz Subskrypcję i Grupę zasobów.

  2. W polu Nazwa maszyny wirtualnej wprowadź nazwę nowej maszyny wirtualnej.

  3. Wpisz lub wybierz poniższe wartości:

    • Region: wybierz odpowiedni region świadczenia usługi Azure.

      Uwaga

      Maszyny wirtualne Intel SGX działają na wyspecjalizowanym sprzęcie w określonych regionach. Aby uzyskać najnowszą dostępność regionalną, poszukaj serii DCsv2 lub DCsv3/DCdsv3 w dostępnych regionach.

  4. Skonfiguruj obraz systemu operacyjnego, który ma być używany dla maszyny wirtualnej.

    • Wybierz pozycję Obraz: na potrzeby tego samouczka wybierz pozycję Ubuntu 20.04 LTS — Gen2. Możesz również wybrać system Ubuntu 18.04 LTS — Gen2 lub Windows Server 2019.

    • Aktualizacja do generacji 2: poniżej pozycji Obraz wybierz pozycję Konfiguruj generowanie maszyn wirtualnych, w wysuwaniu, a następnie wybierz pozycję Generacja 2.

      obraz

  5. Wybierz maszynę wirtualną z funkcjami Intel SGX, klikając pozycję + Dodaj filtr, aby utworzyć filtr , wybierz pozycję Typ dla typu filtru i sprawdź tylko poufne obliczenia z listy na następnej liście rozwijanej.

    Maszyny wirtualne serii DCsv2

    Napiwek

    Powinny zostać wyświetlone rozmiary DC(number)s_v2, DC(number)s_v3 i DC(number)ds_v3. Dowiedz się więcej.

  6. Wprowadź następujące informacje:

    • Typ uwierzytelniania: wybierz klucz publiczny SSH, jeśli tworzysz maszynę wirtualną z systemem Linux.

      Uwaga

      Do uwierzytelniania możesz używać klucza publicznego SSH lub hasła. Protokół SSH jest bezpieczniejszy. Aby uzyskać instrukcje na temat sposobu generowania klucza SSH, zobacz Create SSH keys on Linux and Mac for Linux VMs in Azure (Tworzenie kluczy SSH w systemie Linux i na komputerach Mac dla maszyn wirtualnych z systemem Linux na platformie Azure).

    • Nazwa użytkownika: wprowadź nazwę administratora maszyny wirtualnej.

    • Klucz publiczny SSH: w razie potrzeby wprowadź klucz publiczny RSA.

    • Hasło: w razie potrzeby wprowadź hasło do uwierzytelniania.

    • Publiczne porty wejściowe: wybierz pozycję Zezwalaj na wybrane porty i wybierz pozycję SSH (22) i HTTP (80) na liście Wybierz publiczne porty wejściowe. Jeśli wdrażasz maszynę wirtualną z systemem Windows, wybierz pozycję HTTP (80) i RDP (3389).

    Uwaga

    Zezwalanie na porty RDP/SSH nie jest zalecane w przypadku wdrożeń produkcyjnych.

    Porty wejściowe

  7. Wprowadź zmiany na karcie Dyski.

    • Seria DCsv2 obsługuje dyski SSD w warstwie Standardowa, SSD w warstwie Premium jest obsługiwana na kontrolerach DC1, DC2 i DC4.
    • Systemy DCsv3 i DCdsv3 obsługują dyski SSD w warstwie Standardowa, SSD w warstwie Premium i Ultra Disk

  8. Wprowadź wszelkie zmiany, które chcesz wprowadzić na poniższych kartach, lub zachowaj ustawienia domyślne.

    • Sieć
    • Zarządzanie
    • Konfiguracja gościa
    • Tagi

  9. Wybierz pozycję Przejrzyj i utwórz.

  10. W okienku Przeglądanie + tworzenie wybierz pozycję Utwórz.

Uwaga

Przejdź do następnej sekcji i przejdź do tego samouczka, jeśli wdrożono maszynę wirtualną z systemem Linux. Jeśli wdrożono maszynę wirtualną z systemem Windows, wykonaj następujące kroki, aby nawiązać połączenie z maszyną wirtualną z systemem Windows, a następnie zainstalować zestaw OE SDK w systemie Windows.

Nawiązywanie połączenia z maszyną wirtualną z systemem Linux

Otwórz wybranego klienta SSH, na przykład powłokę Bash w systemie Linux lub program PowerShell w systemie Windows. Polecenie ssh jest zwykle zawarte w systemach Linux, macOS i Windows. Jeśli używasz systemu Windows 7 lub starszego, w którym system Win32 OpenSSH nie jest domyślnie dołączony, rozważ zainstalowanie programu WSL lub użycie usługi Azure Cloud Shell z przeglądarki. W poniższym poleceniu zastąp nazwę użytkownika i adres IP maszyny wirtualnej, aby nawiązać połączenie z maszyną wirtualną z systemem Linux.

ssh azureadmin@40.55.55.555

Publiczny adres IP maszyny wirtualnej można znaleźć w witrynie Azure Portal w sekcji Przegląd maszyny wirtualnej.

Adres IP w witrynie Azure Portal

Aby uzyskać więcej informacji na temat nawiązywania połączenia z maszynami wirtualnymi z systemem Linux, zobacz Create a Linux VM on Azure using the Portal (Tworzenie maszyny wirtualnej z systemem Linux na platformie Azure przy użyciu portalu).

Instalowanie klienta usługi Azure DCAP

Azure Data Center Attestation Primitives (DCAP) — zastąpienie biblioteki Intel Quote Provider Library (QPL), pobiera zabezpieczenia generowania cytatów i zabezpieczenia weryfikacji cudzysłowu bezpośrednio z usługi THIM.

Usługa Trusted Hardware Identity Management (THIM) obsługuje zarządzanie pamięcią podręczną certyfikatów dla wszystkich zaufanych środowisk wykonywania (TEE) znajdujących się na platformie Azure i udostępnia informacje o zaufanej bazie obliczeniowej (TCB) w celu wymuszenia minimalnej linii bazowej dla rozwiązań zaświadczania.

Certyfikaty DCsv3 i DCdsv3 obsługują tylko zaświadczenie oparte na usłudze ECDSA, a użytkownicy muszą zainstalować klienta usługi Azure DCAP w celu interakcji z rozwiązaniem THIM i pobrać zabezpieczenia TEE na potrzeby generowania oferty podczas procesu zaświadczania. DCsv2 nadal obsługuje zaświadczania oparte na EPID.

Czyszczenie zasobów

Gdy grupa zasobów, maszyna wirtualna i wszystkie powiązane z nią zasoby nie będą już potrzebne, możesz usunąć grupę zasobów.

Wybierz grupę zasobów dla maszyny wirtualnej, a następnie wybierz pozycję Usuń. Potwierdź nazwę grupy zasobów, aby zakończyć usuwanie zasobów.

Następne kroki

W tym przewodniku Szybki start wdrożono maszynę wirtualną Intel SGX i nawiązano z nim połączenie. Aby uzyskać więcej informacji, zobacz Rozwiązania na maszynach wirtualnych.

Dowiedz się, jak tworzyć poufne aplikacje obliczeniowe, kontynuując korzystanie z przykładów zestawu SDK Open Enclave w usłudze GitHub.

Tworzenie przykładów zestawu SDK otwartej enklawy

Zaświadczanie platformy Microsoft Azure jest bezpłatne i oparte na ecDSA struktury zaświadczania, aby zdalnie zweryfikować wiarygodność wielu tee i integralność plików binarnych uruchomionych w niej. Dowiedz się więcej