Démarrage rapide : Créer une machine virtuelle Intel SGX dans le portail Azure
Ce didacticiel vous guide tout au long du processus de déploiement de machines virtuelles Intel SGX à l’aide du portail Azure. Autrement, nous vous recommandons de suivre les modèles de la Place de marché Azure.
Prérequis
Si vous n’avez pas d’abonnement Azure, créez un compte avant de commencer.
Notes
Les comptes associés à un essai gratuit n’ont pas accès aux machines virtuelles utilisées dans ce didacticiel. Veuillez passer à un abonnement avec paiement à l’utilisation.
Connexion à Azure
Connectez-vous au Portail Azure.
En haut, sélectionnez Créer une ressource.
Dans le volet gauche, sélectionnez Compute.
Sélectionnez Créer une machine virtuelle.
Configurer une machine virtuelle Intel SGX
Sous l’onglet De base, sélectionnez votre Abonnement et votre Groupe de ressources.
Dans Nom de la machine virtuelle, indiquez le nom de votre nouvelle machine virtuelle.
Tapez ou sélectionnez les valeurs suivantes :
Région : sélectionnez la région Azure qui vous convient.
Notes
Les machines virtuelles Intel SGX s’exécutent sur du matériel spécialisé dans des régions spécifiques. Pour connaître la disponibilité régionale la plus récente, recherchez les séries DCsv2 ou DCsv3/DCdsv3 dans les régions disponibles.
Configurez l’image du système d’exploitation à utiliser pour votre machine virtuelle.
Choisir une image : pour ce didacticiel, sélectionnez Ubuntu 20.04 LTS – Gen 2. Vous pouvez également sélectionner Ubuntu 18.04 LTS – Gen2 ou Windows Server 2019.
Mettre à jour vers Génération 2 : sous Image, sélectionnez Configurer la génération de machine virtuelle, dans le menu volant, puis Génération 2.
Choisissez une machine virtuelle avec les fonctionnalités Intel SGX en cliquant sur + Ajouter un filtre pour créer un filtre, sélectionnez Type pour le type de filtre et vérifiez uniquement le calcul confidentiel dans la liste déroulante suivante.
Conseil
Vous devriez voir les tailles DC(number)s_v2, DC(number)s_v3 et DC(number)ds_v3. Plus d’informations
Renseignez les informations suivantes :
Type d'authentification : Sélectionnez Clé publique SSH si vous créez une machine virtuelle Linux.
Notes
Vous pouvez choisir d’utiliser une clé publique SSH ou un mot de passe pour l’authentification. L’utilisation d’une clé SSH est plus sécurisée. Pour savoir comment générer une clé SSH, consultez Créer des clés SSH sur Linux et Mac pour les machines virtuelles Linux dans Azure.
Nom d’utilisateur : indiquez le nom d’administrateur pour la machine virtuelle.
Clé publique SSH : le cas échéant, entrez votre clé publique RSA.
Mot de passe : le cas échéant, entrez votre mot de passe pour l’authentification.
Ports d’entrée publics : choisissez Autoriser les ports sélectionnés, puis sélectionnez SSH (22) et HTTP (80) dans la liste Sélectionner les ports d’entrée publics. Si vous déployez une machine virtuelle Windows, sélectionnez HTTP (80) et RDP (3389) .
Notes
Autoriser les ports RDP/SSH n’est pas recommandé pour les déploiements de production.
Apportez les modifications souhaitées sous l’onglet Disques.
- La série DCsv2 prend en charge SSD Standard, SSD Premium est pris en charge sur DC1, DC2 et DC4.
- Les séries DCsv3 et DCdsv3 prennent en charge SSD Standard, SSD Premium et Disque Ultra
Apportez les modifications souhaitées aux paramètres des onglets suivants ou conservez les paramètres par défaut.
- Mise en réseau
- Gestion
- Configuration de l’invité
- Balises
Sélectionnez Revoir + créer.
Dans le volet Vérifier + créer, sélectionnez Créer.
Notes
Si vous avez déployé une machine virtuelle Linux, passez à la section suivante de ce tutoriel. Si vous avez déployé une machine virtuelle Windows, suivez cette procédure pour vous connecter à votre machine virtuelle Windows, puis installez le SDK OE sur Windows.
Se connecter à la machine virtuelle Linux
Ouvrez votre client SSH de votre choix, comme Bash sur Linux ou PowerShell sur Windows. La commande ssh
est généralement incluse dans Linux, macOS et Windows. Si vous utilisez Windows 7 ou version antérieure, où OpenSSH Win32 n’est pas inclus par défaut, envisagez d’installer WSL ou d’utiliser Azure Cloud Shell à partir du navigateur. Dans la commande suivante, remplacez le nom d’utilisateur et l’adresse IP de la machine virtuelle pour vous connecter à votre machine virtuelle Linux.
ssh azureadmin@40.55.55.555
Vous trouverez l’adresse IP publique de votre machine virtuelle dans le portail Azure, sous la section Vue d’ensemble de votre machine virtuelle.
Pour en savoir plus la connexion aux machines virtuelles Linux, consultez Création d’une machine virtuelle Linux sur Azure à l’aide du portail.
Installer un client Azure DCAP
Azure Data Center Attestation Primitives (DCAP), un remplacement d’Intel Quote Provider Library (QPL), extrait la documentation et les ressources de génération de devis et la documentation et les ressources de validation de devis directement à partir du service THIM.
Le service Gestion des identités matérielles approuvées (THIM) gère la gestion du cache des certificats pour tous les environnements d’exécution de confiance (TEE) résidant dans Azure et fournit des informations de base d’informatique de confiance (TCB) pour appliquer une ligne de base minimale pour les solutions d’attestation.
Les séries DCsv3 et DCdsv3 prennent uniquement en charge l’attestation ECDSA et les utilisateurs doivent installer le client Azure DCAP pour interagir avec THIM et récupérer les brochures pour la documentation des environnements d’exécution de confiance pour la génération de devis au cours du processus d’attestation. DCsv2 continue à prendre en charge l’attestation basée sur EPID.
Nettoyer les ressources
Dès que vous n’en avez plus besoin, vous pouvez supprimer le groupe de ressources, la machine virtuelle et toutes ses ressources associées.
Sélectionnez le groupe de ressources de la machine virtuelle, puis sélectionnez Supprimer. Confirmez le nom du groupe de ressources pour terminer la suppression des ressources.
Étapes suivantes
Dans ce guide de démarrage rapide, vous avez opéré un déploiement et une connexion à votre machine virtuelle Intel SGX. Pour plus d’informations, consultez Solutions sur les machines virtuelles.
Découvrez comment créer des applications d’informatique confidentielle en accédant aux exemples du SDK Open Enclave sur GitHub.
Microsoft Azure Attestation est un framework d’attestation ECDSA gratuit, qui permet de vérifier à distance la crédibilité de plusieurs environnements d’exécution de confiance et l’intégrité des fichiers binaires qui s’y trouvent. En savoir plus