Rövid útmutató: Intel SGX virtuális gép létrehozása az Azure Portalon

Ez az oktatóanyag végigvezeti az Intel SGX virtuális gépek Azure Portalon történő üzembe helyezésének folyamatán. Ellenkező esetben javasoljuk, hogy kövesse az Azure Marketplace-sablonokat .

Előfeltételek

Ha nem rendelkezik Azure-előfizetéssel, a kezdés előtt hozzon létre egy fiókot .

Bejelentkezés az Azure-ba

1. Jelentkezzen be az Azure Portal.

2. A tetején válassza az Erőforrás létrehozása lehetőséget.

3. A bal oldali panelen válassza a Számítás lehetőséget.

4. Válassza a Virtuális gép létrehozása lehetőséget.

   

Intel SGX virtuális gép konfigurálása

1. Az Alapszintű beállítások lapon válassza ki az előfizetést és az erőforráscsoportot.

2. A virtuális gép neveként adja meg az új virtuális gép nevét.

3. Írja be vagy válassza ki az alábbi értékeket:

   • Régió: Válassza ki az Önnek megfelelő Azure-régiót.

     Feljegyzés

     Az Intel SGX virtuális gépek speciális hardvereken futnak adott régiókban. A legújabb regionális rendelkezésre álláshoz keresse meg a DCsv2-sorozatot vagy a DCsv3/DCdsv3-sorozatot az elérhető régiókban.

4. Konfigurálja a virtuális géphez használni kívánt operációsrendszer-lemezképet.

   • Kép kiválasztása: Ebben az oktatóanyagban válassza az Ubuntu 20.04 LTS – Gen2 lehetőséget. Az Ubuntu 18.04 LTS – Gen2 vagy Windows Server 2019 lehetőséget is választhatja.

   • Frissítés a 2. generációra: A rendszerkép alatt válassza a Virtuális gép generációjának konfigurálása lehetőséget a kiugró menüben, majd válassza a 2. generációt.

     

5. Válasszon ki egy Intel SGX-képességekkel rendelkező virtuális gépet. Ehhez kattintson a + Szűrő hozzáadása elemre a szűrő létrehozásához, válassza a Típus szűrőtípus lehetőséget, és a következő legördülő listában csak a bizalmas számítást ellenőrizze.

   

   Tipp.

   A DC(number)s_v2, a DC(number)s_v3 és a DC(number)ds_v3 méretnek kell megjelennie. További információ.

6. Adja meg a következő adatokat:

   • Hitelesítési típus: Linux rendszerű virtuális gép létrehozásakor válassza ki az SSH nyilvános kulcsát .

     Feljegyzés

     Választhat, hogy a hitelesítéshez egy SSH-s nyilvános kulcsot vagy egy jelszót használ. Az SSH használata biztonságosabb. Az SSH-kulcs létrehozásával kapcsolatban lásd az SSH-kulcsok az Azure-ban történő létrehozásának lépéseit Linux és Mac rendszeren Linux rendszerű virtuális gépek számára.

   • Felhasználónév: Adja meg a virtuális gép rendszergazdai nevét.

   • SSH nyilvános kulcs: Ha van ilyen, adja meg az RSA nyilvános kulcsát.

   • Jelszó: Ha lehetséges, adja meg a jelszót a hitelesítéshez.

   • Nyilvános bejövő portok: Válassza a Kijelölt portok engedélyezése lehetőséget, és válassza az SSH (22) és a HTTP (80) lehetőséget a Nyilvános bejövő portok kiválasztása listában. Windows rendszerű virtuális gép üzembe helyezésekor válassza a HTTP (80) és az RDP (3389) lehetőséget.

   Feljegyzés

   Az RDP-/SSH-portok engedélyezése éles környezetekben nem ajánlott.

   

7. Végezze el a módosításokat a Lemezek lapon.

   • A DCsv2 sorozat támogatja a Standard SSD-t, a Prémium SSD-t a DC1, a DC2 és a DC4 támogatja.
   • A DCsv3 és a DCdsv3 sorozat támogatja a Standard SSD-t, a Prémium SSD-t és az Ultra Disket

8. Módosítsa a beállításokat az alábbi lapon, vagy tartsa meg az alapértelmezett beállításokat.

   • Hálózat
   • Felügyelet
   • Vendégkonfiguráció
   • Címkék

9. Válassza az Áttekintés + létrehozás lehetőséget.

10. A Véleményezés + létrehozás panelen válassza a Létrehozás lehetőséget.

Csatlakozás Linux rendszerű virtuális géphez

Nyissa meg a választott SSH-ügyfelet, például a Linuxon futó Basht vagy a Windows PowerShellt. A ssh parancs általában linuxos, macOS és Windows rendszerű. Ha Windows 7 vagy régebbi verziót használ, ahol a Win32 OpenSSH alapértelmezés szerint nem szerepel, fontolja meg a WSL telepítését vagy az Azure Cloud Shell böngészőből való használatát. A következő parancsban helyettesítse be a Linux rendszerű virtuális gép felhasználónevét és IP-címét a csatlakozáshoz.

ssh azureadmin@40.55.55.555

A virtuális gép nyilvános IP-címét az Azure Portalon, a virtuális gép Áttekintés szakaszában találja.

A Linux rendszerű virtuális gépekhez való csatlakozásról további információt a Linux rendszerű virtuális gép az Azure-ban a Portal használatával történő létrehozását ismertető cikkben talál.

Az Azure DCAP-ügyfél telepítése

Az Azure Data Center Attestation Primitives (DCAP), az Intel Quote Provider Library (QPL) helyettesítése közvetlenül a THIM szolgáltatásból kér le árajánlatgenerálási biztosítékot és idézőjel-érvényesítési biztosítékot.

A Megbízható hardveralapú identitáskezelés (THIM) szolgáltatás kezeli az Azure-ban található összes megbízható végrehajtási környezet (TEE) tanúsítványainak gyorsítótár-kezelését, és megbízható számítási alapadatokat (TCB) biztosít az igazolási megoldások minimális alapkonfigurációjának kikényszerítéséhez.

A DCsv3 és a DCdsv3 csak az ECDSA-alapú igazolást támogatja, és a felhasználóknak telepíteniük kell az Azure DCAP-ügyfelet, hogy kommunikáljanak a THIM-sel, és lekérhessék a TEE-biztosítékot az ajánlatkészítéshez az igazolási folyamat során. A DCsv2 továbbra is támogatja az EPID-alapú igazolást.

Az erőforrások eltávolítása

Ha már nincs rá szükség, törölheti az erőforráscsoportot, a virtuális gépet és az összes kapcsolódó erőforrást.

Válassza ki a virtuális gép erőforráscsoportját, majd válassza a Törlés lehetőséget. Erősítse meg az erőforráscsoport nevét az erőforrások törlésének befejezéséhez.

Következő lépések

Ebben a rövid útmutatóban üzembe helyezte és csatlakoztatta intel SGX virtuális gépét. További információ: Megoldások a virtuális gépeken.

A GitHubon található Open Enclave SDK-minták segítségével megtudhatja, hogyan hozhat létre bizalmas számítástechnikai alkalmazásokat.

A Microsoft Azure-igazolás ingyenes és ECDSA-alapú igazolási keretrendszer, amely távolról ellenőrzi a több TEE megbízhatóságát és a benne futó bináris fájlok integritását. További információ