Utilizar Máquinas Virtuais Confidenciais (CVM) no cluster do Azure Kubernetes Service (AKS)
Pode utilizar tamanhos de VM confidenciais (DCav5/ECav5) para adicionar um conjunto de nós ao cluster do AKS com CVM. As VMs confidenciais com suporte AMD SEV-SNP trazem um novo conjunto de funcionalidades de segurança para proteger os dados em utilização com encriptação de memória de VM completa. Estas funcionalidades permitem que os conjuntos de nós com CVM direcionem a migração de cargas de trabalho de contentor altamente confidenciais para o AKS sem qualquer refatorização de código enquanto beneficiam das funcionalidades do AKS. Os nós num conjunto de nós criado com CVM utilizam uma imagem personalizada do Ubuntu 20.04 especialmente configurada para CVM. Para obter mais detalhes sobre o CVM, veja Suporte confidencial de conjuntos de nós de VM no AKS com VMs confidenciais DO SEV-SNP do AMD.
Antes de começar
Antes de começar, certifique-se de que tem o seguinte:
- Um cluster do AKS existente.
- Os SKUs da série DCasv5 e DCadsv5 ou ECasv5 e ECadsv5 disponíveis para a sua subscrição.
Limitações
Aplicam-se as seguintes limitações ao adicionar um conjunto de nós com CVM ao AKS:
- Não pode utilizar
--enable-fips-image
, ARM64 ou Linux do Azure. - Não pode atualizar um conjunto de nós existente para utilizar o CVM.
- Os SKUs da série DCasv5 e DCadsv5 ou ECasv5 e ECadsv5 têm de estar disponíveis para a sua subscrição na região onde o cluster é criado.
Adicionar um conjunto de nós com o CVM ao AKS
Adicione um conjunto de nós com CVM ao AKS com o
az aks nodepool add
comando e defina comoStandard_DCa4_v5
node-vm-size
.az aks nodepool add \ --resource-group myResourceGroup \ --cluster-name myAKSCluster \ --name cvmnodepool \ --node-count 3 \ --node-vm-size Standard_DC4as_v5
Verificar se o conjunto de nós utiliza CVM
Verifique se um conjunto de nós utiliza CVM com o
az aks nodepool show
comando e verifique sevmSize
éStandard_DCa4_v5
.az aks nodepool show \ --resource-group myResourceGroup \ --cluster-name myAKSCluster \ --name cvmnodepool \ --query 'vmSize'
O comando e a saída de exemplo seguintes mostram que o conjunto de nós utiliza CVM:
az aks nodepool show \ --resource-group myResourceGroup \ --cluster-name myAKSCluster \ --name cvmnodepool \ --query 'vmSize' "Standard_DC4as_v5"
Remover um conjunto de nós com CVM de um cluster do AKS
Remova um conjunto de nós com CVM de um cluster do AKS com o
az aks nodepool delete
comando .az aks nodepool delete \ --resource-group myResourceGroup \ --cluster-name myAKSCluster \ --name cvmnodepool
Passos seguintes
Neste artigo, aprendeu a adicionar um conjunto de nós com CVM a um cluster do AKS. Para obter mais informações sobre o CVM, veja Suporte confidencial de conjuntos de nós de VM no AKS com VMs confidenciais DO SEV-SNP do AMD.