Menggunakan Confidential Virtual Machines (CVM) di kluster Azure Kubernetes Service (AKS)

Confidential Virtual Machines (CVM) menawarkan keamanan dan kerahasiaan yang kuat untuk penyewa. CVM menawarkan Hardware Trusted Execution Environment (TEE) berbasis VM yang memanfaatkan fitur keamanan SEV-SNP untuk menolak hypervisor dan akses kode manajemen host lainnya ke memori dan status VM, memberikan pertahanan perlindungan mendalam terhadap akses operator. Fitur-fitur ini memungkinkan kumpulan simpul dengan CVM untuk menargetkan migrasi beban kerja kontainer yang sangat sensitif ke AKS tanpa pemfaktoran ulang kode sekaligus mendapat manfaat dari fitur AKS. Misalnya, Anda mungkin memerlukan CVM jika Anda memiliki hal berikut:

Beban kerja yang menangani data penting keamanan dan/atau data pelanggan sensitif
Layanan yang diperlukan untuk memenuhi berbagai persyaratan kepatuhan, terutama untuk kontrak pemerintah. Tanpa solusi yang dapat diskalakan untuk mengamankan data, ini berpotensi menyebabkan hilangnya akreditasi dan kontrak.

Dalam artikel ini, Anda akan belajar cara membuat node pool AKS menggunakan ukuran VM Confidential.

Ukuran VM rahasia yang didukung AKS

Azure menawarkan pilihan opsi Trusted Execution Environment (TEE) dari AMD dan Intel. TEE ini memungkinkan Anda membuat lingkungan VM Rahasia dengan rasio harga-ke-performa yang sangat baik, semuanya tanpa memerlukan perubahan kode apa pun.

VM Rahasia berbasis AMD, menggunakan teknologi AMD SEV-SNP, yang diperkenalkan dengan prosesor EPYC™ Gen AMD ketiga.
VM Rahasia berbasis Intel menggunakan Intel TDX, dengan prosesor Intel® Xeon® Generasi keempat.

Kedua teknologi memiliki implementasi yang berbeda. Namun keduanya memberikan perlindungan serupa dari tumpukan infrastruktur cloud. Untuk informasi selengkapnya, lihat Ukuran VM CVM.

Fitur Keamanan

CVM menawarkan peningkatan keamanan berikut dibandingkan dengan ukuran komputer virtual (VM) lainnya:

Isolasi berbasis perangkat keras yang kuat antara komputer virtual, hypervisor, dan kode manajemen host.
Kebijakan pengesahan yang dapat disesuaikan untuk memastikan kepatuhan host sebelum penyebaran.
Enkripsi disk OS Rahasia berbasis cloud sebelum boot pertama.
Kunci enkripsi VM yang dimiliki dan dikelola oleh platform atau pelanggan (opsional).
Rilis kunci aman dengan pengikatan kriptografi antara pengesahan platform yang berhasil dan kunci enkripsi VM.
Instans Modul Platform Tepercaya (TPM) virtual khusus untuk pengesahan dan perlindungan kunci dan rahasia di komputer virtual.
Kemampuan boot aman yang mirip dengan Peluncuran tepercaya untuk Azure VM

Bagaimana cara kerjanya?

Jika Anda menjalankan beban kerja yang memerlukan kerahasiaan dan integritas yang ditingkatkan, Anda dapat memperoleh manfaat dari enkripsi memori dan keamanan yang ditingkatkan tanpa perubahan kode dalam aplikasi Anda. Semua pod pada simpul CVM Anda adalah bagian dari batas kepercayaan yang sama. Simpul dalam kumpulan simpul yang dibuat dengan CVM menggunakan gambar simpul yang disesuaikan dan dikustomisasi khusus untuk CVM.

Versi OS yang Didukung

Anda dapat membuat kumpulan simpul CVM pada jenis OS Linux (Ubuntu dan Azure Linux). Namun, tidak semua versi OS mendukung kumpulan simpul CVM.

Tabel ini mencakup versi OS yang didukung:

Jenis OS	SKU Sistem Operasi	Dukungan CVM	Default CVM
Linux	`Ubuntu`	Didukung	Ubuntu 20.04 adalah default untuk K8s versi 1.24-1.33. Ubuntu 24.04 adalah default untuk K8s versi 1.34-1.38.
Linux	`Ubuntu2204`	Tidak Didukung	AKS tidak mendukung CVM untuk Ubuntu 22.04.
Linux	`Ubuntu2404`	Didukung	CVM didukung di `Ubuntu2404` versi K8s 1.32-1.38.
Linux	`AzureLinux`	Didukung pada Azure Linux 3.0	Azure Linux 3 adalah default saat mengaktifkan CVM untuk K8s versi 1.28-1.36.
Linux	`flatcar`	Tidak didukung	Flatcar Container Linux untuk AKS tidak mendukung CVM.
Linux	`AzureLinuxOSGuard`	Tidak didukung	Azure Linux dengan OS Guard untuk AKS tidak mendukung CVM.
Windows	Semua SKU OS Windows	Tidak Didukung

Saat menggunakan Ubuntu atau AzureLinux sebagai osSKU, jika versi OS default tidak mendukung CVM, AKS default ke versi OS yang didukung CVM terbaru. Misalnya, Ubuntu 22.04 adalah default untuk kumpulan simpul Linux. Karena 22.04 saat ini tidak mendukung CVM, AKS menggunakan default Ubuntu 20.04 untuk pool node yang mendukung Linux CVM.

Limitations

Batasan berikut berlaku saat menambahkan kumpulan simpul dengan CVM ke AKS:

Anda tidak dapat menggunakan FIPS, ARM64, Peluncuran Tepercaya, atau Pod Sandboxing.
Anda tidak dapat memperbarui kumpulan simpul yang ada untuk bermigrasi ke ukuran CVM. Untuk bermigrasi, Anda harus mengubah ukuran kumpulan simpul Anda.
Anda tidak dapat menggunakan CVM dengan kumpulan simpul Windows.
CVM dengan Azure Linux saat ini dalam pratinjau.

Prasyarat

Sebelum memulai, pastikan Anda memiliki hal berikut:

Kluster AKS yang sudah ada.
Ukuran CVM harus tersedia untuk langganan Anda di wilayah di mana kluster tersebut dibuat. Anda harus memiliki kuota yang cukup untuk membuat kumpulan node dengan ukuran CVM.
Jika Anda menggunakan os Linux Azure, Anda perlu menginstal aks-preview ekstensi, memperbarui aks-preview ekstensi, dan mendaftarkan bendera fitur pratinjau. Jika Anda menggunakan Ubuntu, Anda dapat melewati langkah-langkah ini.

Jika Anda menggunakan Azure Linux

CVM untuk Ubuntu sudah GA, tetapi CVM dengan Azure Linux saat ini masih dalam pratinjau. Jika Anda ingin menggunakan kumpulan simpul CVM dengan Azure Linux sebagai OS pilihan, pastikan Anda mengaktifkan ekstensi dan mendaftarkan bendera.

Pasang `aks-preview` ekstensi

aks-preview Instal ekstensi Azure CLI menggunakan az extension add perintah .
Penting

Fitur pratinjau AKS tersedia atas dasar layanan mandiri dan pendaftaran sukarela. Pratinjau disediakan "apa adanya" dan "sebagaimana tersedia," dan pratinjau tersebut dikecualikan dari perjanjian tingkat layanan (SLA) serta garansi terbatas. Pratinjau AKS sebagian didukung oleh dukungan pelanggan berdasarkan upaya terbaik yang dapat dilakukan. Dengan demikian, fitur-fitur ini tidak dimaksudkan untuk penggunaan produksi. Untuk informasi lebih lanjut, lihat artikel dukungan berikut ini:
- Kebijakan dukungan AKS
- Tanya Jawab Umum dukungan Azure
```
az extension add --name aks-preview
```
Perbarui ke versi terbaru ekstensi menggunakan az extension update perintah .
```
az extension update --name aks-preview
```

Mendaftarkan `AzureLinuxCVMPreview` penanda fitur

Daftarkan AzureLinuxCVMPreview bendera fitur menggunakan perintah [az feature register][az-feature-register].
```
az feature register --namespace "Microsoft.ContainerService" --name "AzureLinuxCVMPreview"
```
Verifikasi status pendaftaran menggunakan perintah [az feature show][az-feature-show]. Dibutuhkan beberapa menit agar status menampilkan Terdaftar.
```
az feature show --namespace Microsoft.ContainerService --name AzureLinuxCVMPreview
```
Saat status mencerminkan Terdaftar, perbarui pendaftaran penyedia layanan Microsoft.ContainerService menggunakan perintah [az provider register][az-provider-register].
```
az provider register --namespace Microsoft.ContainerService
```

Menambahkan kumpulan simpul dengan CVM ke kluster AKS Anda

Tambahkan kumpulan simpul dengan CVM ke kluster AKS Anda menggunakan az aks nodepool add perintah dan atur node-vm-size ke ukuran VM yang didukung.

az aks nodepool add \
    --resource-group myResourceGroup \
    --cluster-name myAKSCluster \
    --name cvmnodepool \
    --node-count 3 \
    --node-vm-size Standard_DC4as_v5

Jika Anda tidak menentukan osSKU atau osType, AKS default ke --os-type Linux dan --os-sku Ubuntu.

Meningkatkan kumpulan simpul yang ada dengan CVM ke Ubuntu 24.04

Tingkatkan kumpulan simpul yang ada dengan CVM ke Ubuntu 24.04 dari Ubuntu 20.04 menggunakan az aks nodepool update perintah . Atur os-sku sebagai Ubuntu2404.

  az aks nodepool update \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool \
      --os-sku Ubuntu2404

Nota

Kumpulan simpul yang merupakan Ubuntu 24.04 dengan CVM didukung dari kluster AKS versi 1.33. Selain itu, sebelum Ubuntu 24.04 menjadi GA, Anda perlu mendaftarkan fitur tersebut Ubuntu2404Preview . Untuk informasi selengkapnya, lihat here untuk mendaftarkan fitur.

Memverifikasi kumpulan simpul menggunakan CVM

Verifikasi kumpulan node menggunakan CVM dengan az aks nodepool show perintah dan verifikasi vmSize adalah Standard_DCa4_v5.

az aks nodepool show \
    --resource-group myResourceGroup \
    --cluster-name myAKSCluster \
    --name cvmnodepool \
    --query 'vmSize'

Contoh perintah dan output berikut menunjukkan kumpulan simpul menggunakan CVM:

az aks nodepool show \
    --resource-group myResourceGroup \
    --cluster-name myAKSCluster \
    --name cvmnodepool \
    --query 'vmSize'

"Standard_DC4as_v5"

Verifikasi kumpulan simpul menggunakan gambar CVM menggunakan az aks nodepool list perintah .

az aks nodepool list \
    --resource-group myResourceGroup \
    --cluster-name myAKSCluster \
    --name cvmnodepool \
    --query 'nodeImageVersion'

Contoh perintah dan output berikut menunjukkan kumpulan node menggunakan gambar CVM Ubuntu 20.04.

az aks nodepool show \
    --resource-group myResourceGroup \
    --cluster-name myAKSCluster \
    --name cvmnodepool \
    --query 'nodeImageVersion'

"AKSUbuntu-2004cvmcontainerd-202507.02.0"

Menghapus kumpulan simpul dengan CVM dari kluster AKS

Hapus kumpulan simpul dengan CVM dari gugus AKS menggunakan perintah az aks nodepool delete.

az aks nodepool delete \
    --resource-group myResourceGroup \
    --cluster-name myAKSCluster \
    --name cvmnodepool

Langkah selanjutnya

Dalam artikel ini, Anda mempelajari cara menambahkan kumpulan simpul dengan CVM ke kluster AKS.

Untuk informasi selengkapnya tentang CVM, lihat Dukungan kumpulan simpul VM Rahasia di AKS.
Untuk memigrasikan kumpulan simpul yang ada ke ukuran VM CVM, Anda dapat mengubah ukuran kumpulan simpul Anda.
Jika Anda hanya tertarik untuk mengaktifkan Peluncuran Tepercaya pada kumpulan simpul Anda, lihat Peluncuran Tepercaya di AKS.

Saran dan Komentar

Apakah halaman ini membantu?

Last updated on 2025-12-10