Verwenden von Confidential Virtual Machines (CVM) in Azure Kubernetes Service-Clustern (AKS-Clustern)

Sie können Größen für vertrauliche VMs (DCav5/ECav5) verwenden, um Ihrem AKS-Cluster einen Knotenpool mit CVM hinzuzufügen. Vertrauliche VMs mit AMD SEV-SNP-Unterstützung enthalten eine Reihe neuer Sicherheitsfeatures zum Schutz von Daten während der Verwendung und mit vollständiger Verschlüsselung des VM-Arbeitsspeichers. Diese Features ermöglichen Knotenpools mit CVM die Migration von hochgradig vertraulichen Containerworkloads zu AKS ganz ohne Coderefactoring. Die Features von AKS können dabei ebenfalls genutzt werden. Die Knoten in einem Knotenpool, der mit CVM erstellt wurde, verwenden ein angepasstes Ubuntu 20.04-Image, das speziell für CVM konfiguriert ist. Weitere Informationen zu CVM finden Sie unter Unterstützung von Confidential-VM-Knotenpools auf AKS mit Confidential VMs der AMD SEV-SNP-Serie.

Voraussetzungen

Bevor Sie beginnen, sollten Sie sicherstellen, dass Folgendes vorhanden ist:

• Ein vorhandener AKS-Cluster.
• Die für Ihr Abonnement verfügbaren SKUs der DCasv5- und DCadsv5-Serie oder der ECasv5- und ECadsv5-Serie

Einschränkungen

Die folgenden Einschränkungen gelten beim Hinzufügen eines Knotenpools mit CVM zu AKS:

• Sie können nicht --enable-fips-image, ARM64 oder Azure Linux verwenden.
• Sie können keinen vorhandenen Knotenpool für die Verwendung von CVM upgraden.
• Die SKUs der DCasv5- und DCadsv5-Serie oder der ECasv5- und ECadsv5-Serie müssen für Ihr Abonnement in der Region verfügbar sein, in der der Cluster erstellt wird.

Hinzufügen eines Knotenpools mit CVM zu AKS

• Fügen Sie AKS mithilfe des Befehls az aks nodepool add einen Knotenpool mit CVM hinzu, und legen Sie node-vm-size auf Standard_DCa4_v5 fest.

  az aks nodepool add \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool \
      --node-count 3 \
      --node-vm-size Standard_DC4as_v5 
  

Überprüfen der Verwendung von CVM auf dem Knotenpool

• Überprüfen Sie mit dem Befehl az aks nodepool show, ob ein Knotenpool CVM verwendet, und vergewissern Sie sich, dass Standard_DCa4_v5 für vmSize festgelegt ist.

  az aks nodepool show \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool \
      --query 'vmSize'
  

  Der folgende Beispielbefehl und die Ausgabe zeigen, dass der Knotenpool CVM verwendet:

  az aks nodepool show \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool \
      --query 'vmSize'
  
  "Standard_DC4as_v5"
  

Entfernen eines Knotenpools mit CVM aus einem AKS-Cluster

• Verwenden Sie den Befehl az aks nodepool delete, um einen Knotenpool mit CVM aus einem AKS-Cluster zu entfernen.

  az aks nodepool delete \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool
  

Nächste Schritte

In diesem Artikel haben Sie erfahren, wie Sie einen Knotenpool mit CVM zu einem AKS-Cluster hinzufügen können. Weitere Informationen zu CVM finden Sie unter Unterstützung von Confidential-VM-Knotenpools auf AKS mit Confidential VMs der AMD SEV-SNP-Serie.