Uso de máquinas virtuales confidenciales (CVM) en el clúster de Azure Kubernetes Service (AKS)
Puede usar tamaños de VM confidenciales (DCav5/ECav5) para agregar un grupo de nodos a su clúster AKS con CVM. Las máquinas virtuales confidenciales con compatibilidad con AMD SEV-SNP aportan un nuevo conjunto de características de seguridad para proteger los datos en uso con cifrado de memoria de máquina virtual completa. Estas características permiten que los grupos de nodos con CVM tengan como destino la migración de cargas de trabajo de contenedor altamente confidenciales a AKS sin refactorización de código mientras se benefician de las características de AKS. Los nodos de un grupo de nodos creados con CVM usan una imagen personalizada de Ubuntu 20.04 especialmente configurada para CVM. Para más información sobre CVM, consulte Compatibilidad de grupos de nodos de máquina virtual confidencial en AKS con máquinas virtuales confidenciales de AMD SEV-SNP.
Antes de comenzar, asegúrese de que dispone de lo siguiente:
- Un clúster de AKS existente
- Las SKU de la serie DCasv5 y DCadsv5 o ECasv5 y ECadsv5 disponibles para su suscripción.
Se aplican las siguientes limitaciones al agregar un grupo de nodos con CVM a AKS:
- No puede usar
--enable-fips-image
, ARM64 o Azure Linux. - No se puede actualizar un grupo de nodos existente para usar CVM.
- Las SKU de la serie DCasv5 y DCadsv5 o ECasv5 y ECadsv5 deben estar disponibles para su suscripción en la región donde se crea el clúster.
Agregue un grupo de nodos con CVM a AKS mediante el comando
az aks nodepool add
y establezcanode-vm-size
enStandard_DCa4_v5
.az aks nodepool add \ --resource-group myResourceGroup \ --cluster-name myAKSCluster \ --name cvmnodepool \ --node-count 3 \ --node-vm-size Standard_DC4as_v5
Compruebe que un grupo de nodos usa CVM mediante el comando
az aks nodepool show
y quevmSize
esStandard_DCa4_v5
.az aks nodepool show \ --resource-group myResourceGroup \ --cluster-name myAKSCluster \ --name cvmnodepool \ --query 'vmSize'
En el siguiente comando y salida de ejemplo se muestra que el grupo de nodos usa CVM:
az aks nodepool show \ --resource-group myResourceGroup \ --cluster-name myAKSCluster \ --name cvmnodepool \ --query 'vmSize' "Standard_DC4as_v5"
Elimine un grupo de nodos con CVM de un clúster AKS mediante el comando
az aks nodepool delete
.az aks nodepool delete \ --resource-group myResourceGroup \ --cluster-name myAKSCluster \ --name cvmnodepool
En este artículo ha aprendido a agregar un grupo de nodos de con CVM a un clúster de AKS. Para más información sobre CVM, consulte Compatibilidad de grupos de nodos de máquina virtual confidencial en AKS con máquinas virtuales confidenciales de AMD SEV-SNP.
Comentarios de Azure Kubernetes Service
Azure Kubernetes Service es un proyecto de código abierto. Seleccione un vínculo para proporcionar comentarios: