Menggunakan Confidential Virtual Machines (CVM) di kluster Azure Kubernetes Service (AKS)

Anda dapat menggunakan ukuran VM rahasia (DCav5/ECav5) untuk menambahkan kumpulan simpul ke kluster AKS Anda dengan CVM. VM rahasia dengan dukungan AMD SEV-SNP menghadirkan serangkaian fitur keamanan baru untuk melindungi data yang digunakan dengan enkripsi memori VM penuh. Fitur-fitur ini memungkinkan kumpulan node dengan CVM untuk menargetkan migrasi beban kerja kontainer yang sangat sensitif ke AKS tanpa pemfaktoran ulang kode sambil mendapat manfaat dari fitur AKS. Node dalam kumpulan node yang dibuat dengan CVM menggunakan gambar Ubuntu 20.04 yang disesuaikan yang dikonfigurasi khusus untuk CVM. Untuk detail selengkapnya tentang CVM, lihat Dukungan kumpulan node mesin virtual rahasia di AKS dengan mesin virtual rahasia AMD SEV-SNP.

Sebelum Anda mulai

Sebelum memulai, pastikan Anda memiliki hal berikut:

• Kluster AKS yang sudah ada.
• SKU seri DCasv5 dan DCadsv5 atau seri ECasv5 dan ECadsv5 tersedia untuk langganan Anda.

Batasan

Batasan berikut berlaku saat menambahkan kumpulan node dengan CVM ke AKS:

• Anda tidak dapat menggunakan --enable-fips-image, ARM64, atau Azure Linux.
• Anda tidak dapat meningkatkan kumpulan node yang ada untuk menggunakan CVM.
• SKU seri DCasv5 dan DCadsv5 atau seri ECasv5 dan ECadsv5 harus tersedia untuk langganan Anda di wilayah tempat kluster dibuat.

Menambahkan kumpulan node dengan CVM ke AKS

• Tambahkan kumpulan simpul dengan CVM ke AKS menggunakan az aks nodepool add perintah dan atur ke node-vm-size Standard_DCa4_v5.

  az aks nodepool add \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool \
      --node-count 3 \
      --node-vm-size Standard_DC4as_v5 
  

Memverifikasi kumpulan node menggunakan CVM

• Verifikasi kumpulan simpul menggunakan CVM menggunakan az aks nodepool show perintah dan verifikasi vmSize adalah Standard_DCa4_v5.

  az aks nodepool show \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool \
      --query 'vmSize'
  

  Contoh perintah dan output berikut menunjukkan kumpulan node menggunakan CVM:

  az aks nodepool show \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool \
      --query 'vmSize'
  
  "Standard_DC4as_v5"
  

Menghapus kumpulan node dengan CVM dari kluster AKS

• Hapus kumpulan simpul dengan CVM dari kluster AKS menggunakan az aks nodepool delete perintah .

  az aks nodepool delete \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool
  

Langkah berikutnya

Dalam artikel ini, Anda telah mempelajari cara menambahkan kumpulan node dengan CVM ke kluster AKS. Untuk informasi selengkapnya tentang CVM, lihat Dukungan kumpulan node VM rahasia di AKS dengan VM rahasia AMD SEV-SNP.