Utiliser les machines virtuelles confidentielles (CVM) dans un cluster Azure Kubernetes Service (AKS)

Vous pouvez utiliser les tailles de machines virtuelles confidentielles (DCav5/ECav5) pour ajouter un pool de nœuds à votre cluster AKS avec CVM. Les machines virtuelles confidentielles avec prise en charge AMD SEV-SNP apportent un nouvel ensemble de fonctionnalités de sécurité permettant de protéger les données en cours d’utilisation grâce au chiffrement complet de la mémoire des machines virtuelles. Ces fonctionnalités permettent aux pools de nœuds avec CVM de cibler la migration des charges de travail de conteneur hautement sensibles vers AKS sans refactorisation de code, tout en bénéficiant des fonctionnalités d’AKS. Les nœuds d’un pool de nœuds créés avec CVM utilisent une image Ubuntu 20.04 personnalisée spécialement configurée pour la machine virtuelle CVM. Pour plus d’informations sur la fonctionnalité CVM, consultez Prise en charge des pools de nœuds de machine virtuelle confidentielle sur AKS avec des machines virtuelles confidentielles AMD SEV-SNP.

Avant de commencer

Avant de commencer, assurez-vous de disposer des éléments suivants :

• Cluster AKS existant.
• Références SKU séries DCasv5 et DCadsv5 ou séries ECasv5 et ECadsv5 disponibles pour votre abonnement.

Limites

Les limitations suivantes s’appliquent quand vous ajoutez un pool de nœuds avec CVM à AKS :

• Vous ne pouvez pas utiliser --enable-fips-image, ARM64 ni Azure Linux.
• Vous ne pouvez pas mettre à niveau un pool de nœuds existant pour utiliser CVM.
• Les références SKU Séries DCasv5 et DCadsv5 ou Séries ECasv5 et ECadsv5 doivent être disponibles pour votre abonnement dans la région où le cluster est créé.

Ajouter un pool de nœuds avec la machine virtuelle CVM à AKS

• Ajoutez un pool de nœuds avec CVM à AKS à l’aide de la commande az aks nodepool add et définissez le node-vm-size sur Standard_DCa4_v5.

  az aks nodepool add \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool \
      --node-count 3 \
      --node-vm-size Standard_DC4as_v5 
  

Vérifier que le pool de nœuds utilise CVM

• Vérifiez l’utilisation de CVM par un pool de nœuds avec la commande az aks nodepool show et assurez-vous que vmSize est défini sur Standard_DCa4_v5.

  az aks nodepool show \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool \
      --query 'vmSize'
  

  L’exemple de commande et de sortie suivant montre que le pool de nœuds utilise la fonctionnalité CVM :

  az aks nodepool show \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool \
      --query 'vmSize'
  
  "Standard_DC4as_v5"
  

Supprimer un pool de nœuds avec CVM d’un cluster AKS

• Supprimez un pool de nœuds avec CVM d’un cluster AKS, utilisez la commande az aks nodepool delete.

  az aks nodepool delete \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool
  

Étapes suivantes

Dans cet article, vous avez découvert comment ajouter un pool de nœuds avec CVM à un cluster AKS. Pour plus d’informations sur la fonctionnalité CVM, consultez Prise en charge des pools de nœuds de machine virtuelle confidentielle sur AKS avec des machines virtuelles confidentielles AMD SEV-SNP.