Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
A computação confidencial no Azure Container Apps ajuda a proteger cargas de trabalho containerizadas enquanto os dados estão a ser processados. Neste artigo, aprende quando usar computação confidencial, como funciona com perfis de carga de trabalho dedicados, como a ativar para uma aplicação container e como verificar se a sua aplicação corre numa infraestrutura de computação confidencial.
Benefícios da computação confidencial em Azure Container Apps
A computação confidencial complementa a encriptação do Azure em repouso e a encriptação em trânsito, protegendo os dados enquanto estão a ser processados. Quando executa cargas de trabalho num perfil de carga de computação confidencial, obtém:
- Isolamento baseado em hardware através do uso de Ambientes de Execução Confiáveis (TEEs).
- Encriptação dos dados na memória enquanto as cargas de trabalho estão a correr.
- Proteção contra acesso não autorizado a dados em uso, incluindo o acesso de operadores de infraestruturas.
A plataforma Azure e a infraestrutura de VM confidencial subjacente fornecem e fazem cumprir estas garantias. Para mais informações, consulte computação confidencial do Azure.
Quando usar computação confidencial
Utilize a computação confidencial no Azure Container Apps quando:
- As suas cargas de trabalho processam dados altamente sensíveis ou regulados.
- Proteger os dados enquanto estão a ser processados é um requisito.
- Quer os benefícios de segurança da computação confidencial sem gerir infraestrutura ou modificar código de aplicação.
Como funciona a computação confidencial
Ativa-se o cálculo confidencial ao nível do perfil de carga de trabalho, não ao nível da aplicação ou revisão individual do contentor. Quando adiciona um perfil de carga de trabalho dedicado da série DC ao seu ambiente, quaisquer aplicações contentores atribuídas a esse perfil correm automaticamente numa infraestrutura de computação confidencial apoiada por SKUs VM confidenciais.
Não precisas de configurar definições por aplicação ou por contentor. Implemente aplicações de contentores utilizando as mesmas imagens, ferramentas e fluxos de trabalho que cargas de trabalho não confidenciais. Não precisas de configurações especiais de runtime de contentores ou SDKs.
Pré-requisitos
Antes de ativar o cálculo confidencial, verifique se tem os seguintes itens:
- Um ambiente Azure Container Apps numa região suportada.
- Um perfil de carga de trabalho dedicado baseado num tipo de perfil de carga de trabalho da série DC.
- Uma aplicação de contentor à qual foi atribuído o perfil de carga de trabalho da série DC.
Ativar computação confidencial
O exemplo seguinte cria um ambiente Container Apps com um perfil de carga de trabalho da série DC e implementa uma aplicação container atribuída a esse perfil:
Crie o ambiente com um perfil de carga de trabalho da série DC.
az containerapp env create \ --name <ENVIRONMENT_NAME> \ --resource-group <RESOURCE_GROUP_NAME> \ --location <SUPPORTED_REGION> \ --workload-profile-type DC4 \ --workload-profile-name my-wp-confidentialCria a aplicação container e atribui-a ao perfil da carga de trabalho.
az containerapp create \ --name <CONTAINER_APP_NAME> \ --resource-group <RESOURCE_GROUP_NAME> \ --environment <ENVIRONMENT_NAME> \ --workload-profile-name my-wp-confidential \ --image <CONTAINER_IMAGE>
O --workload-profile-name my-wp-confidential parâmetro atribui a aplicação ao perfil de carga de trabalho da série DC, o que permite computação confidencial.
Para passos sobre a adição e gestão de perfis de carga de trabalho, consulte Gerenciar perfis de carga de trabalho com o CLI do Azure.
Verifique a sua configuração de computação confidencial
Use esta verificação rápida para confirmar que a aplicação está atribuída a um perfil de carga de trabalho da série DC.
CLI do Azure (Interface de Linha de Comando da Azure)
Obtenha o perfil de carga de trabalho atribuído à aplicação de contentor.
az containerapp show \ --name <CONTAINER_APP_NAME> \ --resource-group <RESOURCE_GROUP_NAME> \ --query properties.workloadProfileName \ -o tsvExemplo de saída:
my-wp-confidentialObtenha o tipo de perfil de carga de trabalho para esse perfil no ambiente.
az containerapp env workload-profile list \ --name <ENVIRONMENT_NAME> \ --resource-group <RESOURCE_GROUP_NAME> \ --query "[].{name:name,workloadProfileType:workloadProfileType}"Exemplo de saída:
[ { "name": "my-wp-confidential", "workloadProfileType": "DC4" } ]Neste exemplo,
my-wp-confidentialé um nome de perfil de exemplo. O nome do seu perfil pode ser diferente.
Se o perfil atribuído à sua aplicação tiver um workloadProfileType valor que começa por DC, como DC4 ou DC8, a aplicação está a correr numa infraestrutura de computação confidencial.
portal do Azure
- No portal do Azure, vá para seu aplicativo de contêiner.
- Na página de Visão Geral , note o valor Ambiente e aceda a esse ambiente.
- No ambiente de Aplicações Container, vá a Perfis de Carga de Trabalho.
- Encontre o perfil de carga de trabalho usado pela sua aplicação e verifique se o tipo e tamanho do perfil começam por
DC, comoDC4ouDC8.
Perfis de carga de trabalho suportados
A computação confidencial está disponível apenas em perfis de carga de trabalho dedicada da série DC. Os tamanhos suportados incluem:
- DC4
- DC8
- DC16
- DC32
- DC48
- DC64
- DC96
A disponibilidade destes perfis de carga de trabalho depende da região. Nem todas as regiões com perfis da série DC suportam computação confidencial. Para a lista atual de regiões onde computação confidencial está disponível, veja Regiões suportadas.
Regiões suportadas
Azure Container Apps suporta computação confidencial na região UAE North. Para solicitar a região, submeta uma questão em GitHub.