Использование конфиденциальных Виртуальные машины (CVM) в кластере Служба Azure Kubernetes (AKS)

Вы можете использовать конфиденциальные размеры виртуальных машин (DCav5 или ECav5), чтобы добавить пул узлов в кластер AKS с ПОМОЩЬЮ CVM. Конфиденциальные виртуальные машины с поддержкой AMD SEV-SNP обеспечивают новый набор функций безопасности для защиты используемых данных с помощью полного шифрования памяти виртуальной машины. С помощью этих функций пулы узлов с CVM могут ориентироваться на миграцию конфиденциальных рабочих нагрузок контейнеров в AKS без рефакторинга кода, получая преимущества функций AKS. Узлы в пуле узлов, созданном с помощью CVM, используют образ Ubuntu 20.04, специально настроенный для CVM. Дополнительные сведения о CVM см. в статье Поддержка пулов узлов конфиденциальных виртуальных машин в AKS с конфиденциальными виртуальными машинами AMD SEV-SNP.

Подготовка к работе

Перед началом работы убедитесь, что у вас есть следующее:

• Существующий кластер AKS.
• Номера SKU DCasv5 и DCadsv5-series или ECasv5 и ECadsv5-series, доступные для вашей подписки.

Ограничения

При добавлении пула узлов с CVM в AKS применяются следующие ограничения:

• Нельзя использовать --enable-fips-image, ARM64 или Azure Linux.
• Обновить существующий пул узлов для использования CVM нельзя.
• Номера SKU DCasv5 и DCadsv5-series или ECasv5 и ECadsv5-series должны быть доступны для вашей подписки в регионе, где создается кластер.

Добавление пула узлов с CVM в AKS

• Добавьте пул узлов с CVM в AKS с помощью az aks nodepool add команды и задайте для node-vm-size параметра значение Standard_DCa4_v5.

  az aks nodepool add \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool \
      --node-count 3 \
      --node-vm-size Standard_DC4as_v5 
  

Проверка использования CVM в пуле узлов

• Убедитесь, что пул узлов использует CVM с помощью az aks nodepool show команды , и убедитесь, что vmSize имеет значение Standard_DCa4_v5.

  az aks nodepool show \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool \
      --query 'vmSize'
  

  В следующем примере команды и выходных данных показано, что пул узлов использует CVM:

  az aks nodepool show \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool \
      --query 'vmSize'
  
  "Standard_DC4as_v5"
  

Удаление пула узлов с CVM из кластера AKS

• Удалите пул узлов с CVM из кластера AKS с помощью az aks nodepool delete команды .

  az aks nodepool delete \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool
  

Дальнейшие действия

Из этой статьи вы узнали, как добавить пул узлов с CVM в кластер AKS. Дополнительные сведения о CVM см. в статье Поддержка пулов узлов конфиденциальных виртуальных машин в AKS с конфиденциальными виртуальными машинами AMD SEV-SNP.