Azure では、AMD と Intel の両社が提供する高信頼実行環境 (TEE) オプションを選択することができます。 これらの TEE により、コードをまったく変更することなく、優れた費用対効果で機密 VM 環境を作成できます。
AMD ベースの機密 VM の場合、使用されるテクノロジは、第 3 世代 AMD EPYC™ プロセッサで導入された AMD SEV-SNP です。 一方、Intel ベースの Confidential VM は、第 5 世代 Intel Xeon® プロセッサで導入されたテクノロジである Intel® TDX を利用します。 いずれのテクノロジも実装が異なりますが、両方ともクラウド インフラストラクチャ スタックから同様の保護を提供しています。
サイズ
次の VM サイズが提供されます。
| サイズ ファミリ | TEE | 説明 |
|---|---|---|
| DCasv5 シリーズ | AMD SEV-SNP | リモート ストレージ を使用する汎用 CVM。 ローカルの一時ディスクはありません。 |
| DCadsv5 シリーズ | AMD SEV-SNP | ローカル一時ディスクを使用する汎用 CVM。 |
| ECasv5 シリーズ | AMD SEV-SNP | リモート ストレージを使用するメモリ最適化 CVM。 ローカルの一時ディスクはありません。 |
| ECadsv5 シリーズ | AMD SEV-SNP | ローカル一時ディスクを使用する汎用 CVM。 |
| DCasv6 シリーズ | AMD SEV-SNP | リモート ストレージ を使用する汎用 CVM。 ローカルの一時ディスクはありません。 |
| DCadsv6 シリーズ | AMD SEV-SNP | ローカル一時ディスクを使用する汎用 CVM。 |
| ECasv6 シリーズ | AMD SEV-SNP | リモート ストレージを使用するメモリ最適化 CVM。 ローカルの一時ディスクはありません。 |
| ECadsv6 シリーズ | AMD SEV-SNP | ローカル一時ディスクを使用する汎用 CVM。 |
| DCesv6 シリーズ | Intel TDX | リモート ストレージ を使用する汎用 CVM。 ローカルの一時ディスクはありません。 |
| DCedsv6 シリーズ | Intel TDX | ローカル一時ディスクを使用する汎用 CVM。 |
| ECesv6 シリーズ | Intel TDX | リモート ストレージを使用するメモリ最適化 CVM。 ローカルの一時ディスクはありません。 |
| ECedsv6 シリーズ | Intel TDX | ローカル一時ディスクを使用する汎用 CVM。 |
| NCCadsH100v5 シリーズ | AMD SEV-SNP と NVIDIA H100 Tensor Core GPU | 機密 GPU を使用する CVM。 |
注
メモリ最適化コンフィデンシャル VM では、vCPU 数あたりのメモリの比率が 2 倍になります。
Azure CLI コマンド
コンフィデンシャル VM で Azure CLI を使用できます。
コンフィデンシャル VM サイズの一覧を表示するには、次のコマンドを実行します。
<vm-series> を、使用するシリーズに置き換えます。 出力には、使用可能なリージョンと可用性ゾーンに関する情報が表示されます。
vm_series='DCASv5'
az vm list-skus \
--size dc \
--query "[?family=='standard${vm_series}Family'].{name:name,locations:locationInfo[0].location,AZ_a:locationInfo[0].zones[0],AZ_b:locationInfo[0].zones[1],AZ_c:locationInfo[0].zones[2]}" \
--all \
--output table
より詳細な一覧については、代わりに次のコマンドを実行します。
vm_series='DCASv5'
az vm list-skus \
--size dc \
--query "[?family=='standard${vm_series}Family']"
デプロイに関する考慮事項
コンフィデンシャル VM をデプロイする前に、次の設定と選択肢を検討してください。
Azure サブスクリプション
機密 VM インスタンスをデプロイするには、従量課金制サブスクリプションまたは他の購入オプションを検討してください。 Azure 無料アカウントをお使いの場合、適切な数の Azure コンピューティング コア用のクォータが与えられません。
場合によっては、Azure サブスクリプションのコア クォータを既定値から増やす必要があります。 既定の制限は、サブスクリプション カテゴリによって異なる場合があります。 サブスクリプションによっては、コンフィデンシャル VM のサイズを含む特定の VM サイズ ファミリにデプロイできるコア数が制限されることがあります。
クォータを増やすためのリクエストは、オンライン カスタマー サポートに申請してください。
大規模な容量が必要な場合は、Azure サポートにお問い合わせください。 Azure のクォータは容量保証ではなくクレジット制限です。 使用するコアに対してだけ料金が発生します。
価格
価格オプションについては、「Linux Virtual Machines の料金」をご覧ください。
リージョン別の提供状況
可用性情報については、Azure リージョンで使用できる VM 製品に関するページを参照してください。
サイズ変更中
機密 VM は特殊なハードウェア上で実行されます。そのため、機密 VM インスタンスのサイズを他のサイズに変更することは、同じリージョンでのみ可能です。 たとえば、DCasv5 シリーズの VM がある場合は、別の DCasv5 シリーズ インスタンスまたは DCesv6 シリーズ インスタンスにサイズを変更できます。
コンフィデンシャル以外の VM のサイズをコンフィデンシャル VM に変更することはできません。
高可用性とディザスター リカバリー
コンフィデンシャル VM のための高可用性およびディザスター リカバリー ソリューションを作成する必要があります。 これらのシナリオの計画は、長時間のダウンタイムを最小限に抑えて回避するのに役立ちます。
ARM テンプレートを使用したデプロイ
Azure Resource Manager は、Azure のデプロイおよび管理サービスです。 次のようにすることができます。
- アクセス制御、ロック、タグなどの管理機能を使用して、デプロイ後にリソースをセキュリティ保護および整理します。
- 管理レイヤーを使用して、Azure サブスクリプション内のリソースを作成、更新、削除します。
- Azure Resource Manager テンプレート (ARM テンプレート) を使用して、AMD プロセッサにコンフィデンシャル VM をデプロイします。
パラメーター セクション (parameters) で、VM の次のプロパティを指定したことを確認してください。
- VM サイズ (
vmSize)。 さまざまなコンフィデンシャル VM ファミリとサイズから選択します。 - OS イメージ名 (
osImageName)。 修飾された OS イメージから選択します。 - ディスク暗号化の種類 (
securityType) VMGS のみの暗号化 (VMGuestStateOnly) または完全な OS ディスクの事前暗号化 (DiskWithVMGuestState) から選択します。これにより、プロビジョニング時間が長くなる可能性があります。
次のステップ
詳細については、「機密 VM の概要」を参照してください。