你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 机密计算 (ACC) 使组织能够安全地处理和协作处理敏感数据,例如个人数据或受保护的健康信息 (PHI)。 ACC 通过可信执行环境 (TEE) 保护正在使用的数据,从而提供针对未经授权访问的内置保护。 这可以实现跨组织边界的安全实时分析和协作机器学习。
了解体系结构
Azure Database for PostgreSQL 通过可信执行环境 (TEE) 支持 Azure 机密计算,这些环境是基于硬件的、独立的 CPU 内存区域。 TEE 内处理的数据受到保护,操作系统、虚拟机监控程序或其他应用程序无法访问。
- 代码在 TEE 内以纯文本形式运行,但在 Enclave 外仍保持加密状态。
- 对静态数据、传输中和使用中的数据进行加密。
- 受到操作系统、虚拟机监控程序或其他应用程序的保护,无法被访问。
Processors
通过在创建新服务器时选择受支持的机密虚拟机 (VM) SKU,Azure Database for PostgreSQL 支持 Azure 机密计算。 有两个处理器可供选择:
AMD SEV-SNP
虚拟机 SKU
支持 Azure Database for PostgreSQL 的 Azure 机密计算 (ACC) 的 SKU 包括:
| SKU 名称 | Processor | vCore 数 | 内存 (GiB) | 最大 IOPS | 最大 I/O 带宽 (MBps) |
|---|---|---|---|---|---|
| Dcadsv5 | AMD SEV-SNP | 2-96 | 8-384 | 3750-80000 | 48-1200 |
| Ecadsv5 | AMD SEV-SNP | 2-96 | 16-672 | 3750-80000 | 48-1200 |
部署
可以使用各种方法(例如 Azure 门户、Azure CLI、ARM 模板、Bicep、Terraform、Azure PowerShell、REST API 等)通过 ACC 部署 Azure Database for PostgreSQL。
在本示例中,我们使用 Azure 门户。
按照以下步骤部署 Azure Database for PostgreSQL 服务器:
选择“阿联酋北部”作为区域。
选择“计算 + 存储”下的“配置服务器”。
在“计算和存储”选项卡上,选择计算层和计算处理器。
选择“计算大小”,并根据需求选择机密计算 SKU 和大小。
部署服务器。
Compare
Azure 机密计算虚拟机与 Azure 机密计算的比较情况如下。
| 功能 / 特点 | 机密计算虚拟机 | Azure Database for PostgreSQL 的 ACC |
|---|---|---|
| 硬件信任根 | 是的 | 是的 |
| 受信任的启动 | 是的 | 是的 |
| 内存隔离和加密 | 是的 | 是的 |
| Azure 密钥管理 | 是的 | 是的 |
| 远程证明 | 是的 | 否 |
限制和注意事项
在生产环境中部署之前,请务必仔细评估这些限制。
- 机密计算仅适用于阿联酋北部区域和西欧区域。
- 不支持将时间点还原 (PITR) 从非机密计算 SKU 迁移到机密计算 SKU。