你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 机密计算 (ACC) 使组织能够安全地处理和协作处理敏感数据,例如个人数据或受保护的健康信息 (PHI)。 ACC 通过可信执行环境 (TEE) 保护正在使用的数据,从而提供针对未经授权访问的内置保护。 此保护可实现跨组织边界的安全实时分析和协作机器学习。
了解体系结构
Azure Database for PostgreSQL 通过可信执行环境 (TEE) 支持 Azure 机密计算,这些环境是基于硬件的、独立的 CPU 内存区域。 操作系统、虚拟机管理程序和其他应用程序无法访问 TEE 内处理的数据。
- 代码在 TEE 内以纯文本形式运行,但在 Enclave 外仍保持加密状态。
- 对静态数据、传输中和使用中的数据进行加密。
- 操作系统、虚拟机管理程序和其他应用程序无法访问受保护的数据。
Processors
创建新的服务器时,通过选择受支持的机密虚拟机(VM) SKU,在 Azure Database for PostgreSQL 中启用 Azure Confidential Computing。 仅支持 AMD SEV-SNP 处理器。
注释
Azure Database for PostgreSQL 目前不支持 Intel TDX 处理器。
虚拟机 SKU
支持 Azure 机密计算(ACC)的 Azure Database for PostgreSQL 的 SKU 包括:
| SKU 名称 | 处理器 | vCore 数 | 内存 (GiB) | 最大 IOPS | 最大 I/O 带宽 (MBps) |
|---|---|---|---|---|---|
| Dcadsv5 | AMD SEV-SNP | 2-96 | 8-384 | 3750-80000 | 48-1200 |
| Ecadsv5 | AMD SEV-SNP | 2-96 | 16-672 | 3750-80000 | 48-1200 |
部署
可以使用各种方法(例如 Azure 门户、Azure CLI、ARM 模板、Bicep、Terraform、Azure PowerShell、REST API 等)通过 ACC 部署 Azure Database for PostgreSQL。
对于此示例,请使用 Azure 门户。
按照以下步骤部署 Azure Database for PostgreSQL 服务器:
选择“阿联酋北部”作为区域。
选择“计算 + 存储”下的“配置服务器”。
在“计算和存储”选项卡上,选择计算层和计算处理器。
选择“计算大小”,并根据需求选择机密计算 SKU 和大小。
部署服务器。
Compare
让我们比较 Azure 机密计算虚拟机和 Azure 机密计算。
| 功能 / 特点 | 机密计算虚拟机 | Azure Database for PostgreSQL 的 ACC |
|---|---|---|
| 硬件信任根 | 是的 | 是的 |
| 受信任的启动 | 是的 | 是的 |
| 内存隔离和加密 | 是的 | 是的 |
| Azure 密钥管理 | 是的 | 是的 |
| 远程证明 | 是的 | 否 |
限制和注意事项
在生产环境中部署之前,请仔细评估这些限制。
- 机密计算仅适用于阿联酋北部区域和西欧区域。
- 仅支持 AMD SEV-SNP 处理器。 Intel TDX 处理器当前与 Azure Database for PostgreSQL 不兼容。
- 不允许从非机密计算版本向机密计算版本执行时间点还原 (PITR)。