Uso de máquinas virtuales confidenciales (CVM) en el clúster de Azure Kubernetes Service (AKS)

Puede usar tamaños de VM confidenciales (DCav5/ECav5) para agregar un grupo de nodos a su clúster AKS con CVM. Las máquinas virtuales confidenciales con compatibilidad con AMD SEV-SNP aportan un nuevo conjunto de características de seguridad para proteger los datos en uso con cifrado de memoria de máquina virtual completa. Estas características permiten que los grupos de nodos con CVM tengan como destino la migración de cargas de trabajo de contenedor altamente confidenciales a AKS sin refactorización de código mientras se benefician de las características de AKS. Los nodos de un grupo de nodos creados con CVM usan una imagen personalizada de Ubuntu 20.04 especialmente configurada para CVM. Para más información sobre CVM, consulte Compatibilidad de grupos de nodos de máquina virtual confidencial en AKS con máquinas virtuales confidenciales de AMD SEV-SNP.

Antes de empezar

Antes de comenzar, asegúrese de que dispone de lo siguiente:

• Un clúster de AKS existente
• Las SKU de la serie DCasv5 y DCadsv5 o ECasv5 y ECadsv5 disponibles para su suscripción.

Limitaciones

Se aplican las siguientes limitaciones al agregar un grupo de nodos con CVM a AKS:

• No puede usar --enable-fips-image, ARM64 o Azure Linux.
• No se puede actualizar un grupo de nodos existente para usar CVM.
• Las SKU de la serie DCasv5 y DCadsv5 o ECasv5 y ECadsv5 deben estar disponibles para su suscripción en la región donde se crea el clúster.

Adición de un grupo de nodos con el CVM a AKS

• Agregue un grupo de nodos con CVM a AKS mediante el comando az aks nodepool add y establezca node-vm-size en Standard_DCa4_v5.

  az aks nodepool add \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool \
      --node-count 3 \
      --node-vm-size Standard_DC4as_v5 
  

Comprobación de que el grupo de nodos usa CVM

• Compruebe que un grupo de nodos usa CVM mediante el comando az aks nodepool show y que vmSize es Standard_DCa4_v5.

  az aks nodepool show \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool \
      --query 'vmSize'
  

  En el siguiente comando y salida de ejemplo se muestra que el grupo de nodos usa CVM:

  az aks nodepool show \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool \
      --query 'vmSize'
  
  "Standard_DC4as_v5"
  

Eliminación de un grupo de nodos con CVM de un clúster de AKS

• Elimine un grupo de nodos con CVM de un clúster AKS mediante el comando az aks nodepool delete.

  az aks nodepool delete \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool
  

Pasos siguientes

En este artículo ha aprendido a agregar un grupo de nodos de con CVM a un clúster de AKS. Para más información sobre CVM, consulte Compatibilidad de grupos de nodos de máquina virtual confidencial en AKS con máquinas virtuales confidenciales de AMD SEV-SNP.