Dela via

Snabbstart: Skapa en virtuell Intel SGX-dator i Azure Portal

  • Artikel

Den här självstudien vägleder dig genom processen att distribuera virtuella Intel SGX-datorer med hjälp av Azure Portal. Annars rekommenderar vi att du följer Azure Marketplace-mallar .

Förutsättningar

Om du inte har någon Azure-prenumeration skapar du ett konto innan du börjar.

Kommentar

Kostnadsfria utvärderingskonton har inte åtkomst till de virtuella datorerna i den här självstudien. Uppgradera till en betala per användning-prenumeration.

Logga in på Azure

  1. Logga in på Azure Portal.

  2. Längst upp väljer du Skapa en resurs.

  3. I den vänstra rutan väljer du Beräkna.

  4. Välj Skapa virtuell dator.

    Distribuera en virtuell dator

Konfigurera en virtuell Intel SGX-dator

  1. Välj Prenumeration och Resursgrupp på fliken Grunder.

  2. För Namn på virtuell dator anger du ett namn för den nya virtuella datorn.

  3. Ange eller välj följande värden:

    • Region: Välj den Azure-region som passar dig.

      Kommentar

      Virtuella Intel SGX-datorer körs på specialiserad maskinvara i specifika regioner. För den senaste regionala tillgängligheten letar du efter DCsv2-serien eller DCsv3/DCdsv3-serien i tillgängliga regioner.

  4. Konfigurera operativsystemavbildningen som du vill använda för den virtuella datorn.

    • Välj Bild: I den här självstudien väljer du Ubuntu 20.04 LTS – Gen2. Du kan också välja Ubuntu 18.04 LTS – Gen2 eller Windows Server 2019.

    • Uppdatera till generation 2: Under Avbildning väljer du Konfigurera vm-generering, i det utfällbara fönstret och väljer sedan Generation 2.

      bild

  5. Välj en virtuell dator med Intel SGX-funktioner genom att klicka på + Lägg till filter för att skapa ett filter, välj Typ för filtertyp och kontrollera endast Konfidentiell beräkning i listan i nästa listruta.

    Virtuella datorer i DCsv2-serien

    Dricks

    Du bör se storlekarna DC(number)s_v2, DC(number)s_v3 och DC(number)ds_v3. Läs mer.

  6. Fyll i följande information:

    • Autentiseringstyp: Välj offentlig SSH-nyckel om du skapar en virtuell Linux-dator.

      Kommentar

      Du kan välja mellan offentlig SSH-nyckel eller lösenord för autentisering. SSH är säkrare. Instruktioner om hur du genererar en SSH-nyckel finns i Skapa SSH-nycklar på Linux och Mac för virtuella Linux-datorer i Azure.

    • Användarnamn: Ange administratörsnamnet för den virtuella datorn.

    • Offentlig SSH-nyckel: Ange om tillämpligt din offentliga RSA-nyckel.

    • Lösenord: Ange ditt lösenord för autentisering om det är tillämpligt.

    • Offentliga inkommande portar: Välj Tillåt valda portar och välj SSH (22) och HTTP (80) i listan Välj offentliga inkommande portar . Om du distribuerar en virtuell Windows-dator väljer du HTTP (80) och RDP (3389).

    Kommentar

    Att tillåta RDP/SSH-portar rekommenderas inte för produktionsdistributioner.

    Ingående portar

  7. Gör ändringar på fliken Diskar .

    • DCsv2-serien stöder Standard SSD, Premium SSD stöds i DC1, DC2 och DC4.
    • DCsv3- och DCdsv3-serien stöder Standard SSD, Premium SSD och Ultra Disk

  8. Gör eventuella ändringar som du vill göra i inställningarna på följande flikar eller behåll standardinställningarna.

    • Nätverk
    • Hantering
    • Gästkonfiguration
    • Taggar

  9. Välj Granska + skapa.

  10. Välj Skapa i fönstret Granska + skapa.

Kommentar

Fortsätt till nästa avsnitt och fortsätt med den här självstudien om du har distribuerat en virtuell Linux-dator. Om du har distribuerat en virtuell Windows-dator följer du de här stegen för att ansluta till den virtuella Windows-datorn och installerar sedan OE SDK i Windows.

Ansluta till den virtuella Linux-datorn

Öppna valfri SSH-klient, till exempel Bash på Linux eller PowerShell i Windows. Kommandot ssh ingår vanligtvis i Linux, macOS och Windows. Om du använder Windows 7 eller äldre, där Win32 OpenSSH inte ingår som standard, bör du överväga att installera WSL eller använda Azure Cloud Shell från webbläsaren. I följande kommando ersätter du VM-användarnamnet och IP-adressen för att ansluta till din virtuella Linux-dator.

ssh azureadmin@40.55.55.555

Du hittar den offentliga IP-adressen för den virtuella datorn i Azure Portal under avsnittet Översikt för den virtuella datorn.

IP-adress i Azure Portal

Mer information om hur du ansluter till virtuella Linux-datorer finns i Skapa en virtuell Linux-dator i Azure med hjälp av portalen.

Installera Azure DCAP-klienten

Azure Data Center Attestation Primitives (DCAP), en ersättning för Intel Quote Provider Library (QPL), hämtar säkerheter för generering av offerter och citerar valideringssäkerhet direkt från THIM-tjänsten.

Tjänsten Trusted Hardware Identity Management (THIM) hanterar cachehantering av certifikat för alla betrodda körningsmiljöer (TEE) som finns i Azure och tillhandahåller information om betrodd beräkningsbas (TCB) för att framtvinga en minimibaslinje för attesteringslösningar.

DCsv3 och DCdsv3 stöder endast ECDSA-baserad attestering och användarna måste installera Azure DCAP-klienten för att interagera med THIM och hämta TEE-säkerheter för offertgenerering under attesteringsprocessen. DCsv2 fortsätter att stödja EPID-baserad attestering.

Rensa resurser

När den inte längre behövs kan du ta bort resursgruppen, den virtuella datorn och alla dess relaterade resurser.

Välj resursgruppen för den virtuella datorn och välj sedan Ta bort. Bekräfta namnet på resursgruppen för att slutföra borttagningen av resurserna.

Nästa steg

I den här snabbstarten har du distribuerat och anslutit till din virtuella Intel SGX-dator. Mer information finns i Lösningar på virtuella datorer.

Upptäck hur du kan skapa konfidentiella databehandlingsprogram genom att fortsätta till Open Enclave SDK-exempel på GitHub.

Skapa Open Enclave SDK-exempel

Microsoft Azure Attestation är ett kostnadsfritt och ECDSA-baserat attesteringsramverk för fjärrautentisering av flera TEE:er och integriteten hos binärfilerna som körs i den. Läs mer