Używanie Virtual Machines poufnych (CVM) w klastrze Azure Kubernetes Service (AKS)

Możesz użyć poufnych rozmiarów maszyn wirtualnych (DCav5/ECav5), aby dodać pulę węzłów do klastra usługi AKS za pomocą narzędzia CVM. Poufne maszyny wirtualne z obsługą protokołu AMD SEV-SNP oferują nowy zestaw funkcji zabezpieczeń w celu ochrony danych w użyciu przy użyciu pełnego szyfrowania pamięci maszyny wirtualnej. Te funkcje umożliwiają pule węzłów z oprogramowaniem CVM w celu kierowania migracji wysoce wrażliwych obciążeń kontenerów do usługi AKS bez refaktoryzacji kodu przy jednoczesnym korzyść z funkcji usługi AKS. Węzły w puli węzłów utworzonej za pomocą programu CVM używają dostosowanego obrazu systemu Ubuntu 20.04 specjalnie skonfigurowanego dla cvM. Aby uzyskać więcej informacji na temat cvM, zobacz Poufne pule węzłów maszyn wirtualnych w usłudze AKS z poufnymi maszynami wirtualnymi AMD SEV-SNP.

Zanim rozpoczniesz

Przed rozpoczęciem upewnij się, że masz następujące elementy:

• Istniejący klaster usługi AKS.
• Jednostki SKU serii DCasv5 i DCadsv5 lub ECasv5 i ECadsv5 dostępne dla twojej subskrypcji.

Ograniczenia

Podczas dodawania puli węzłów z programem CVM do usługi AKS obowiązują następujące ograniczenia:

• Nie można używać --enable-fips-imageusługi , ARM64 ani Azure Linux.
• Nie można uaktualnić istniejącej puli węzłów do korzystania z cvM.
• Jednostki SKU serii DCasv5 i DCadsv5 lub ECasv5 i ECadsv5 muszą być dostępne dla twojej subskrypcji w regionie, w którym jest tworzony klaster.

Dodawanie puli węzłów za pomocą narzędzia CVM do usługi AKS

• Dodaj pulę węzłów z narzędziem CVM do usługi AKS przy użyciu az aks nodepool add polecenia i ustaw wartość node-vm-sizeStandard_DCa4_v5.

  az aks nodepool add \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool \
      --node-count 3 \
      --node-vm-size Standard_DC4as_v5 
  

Sprawdzanie, czy pula węzłów używa narzędzia CVM

• Sprawdź, czy pula węzłów używa narzędzia CVM przy użyciu az aks nodepool show polecenia i sprawdź, czy jest to vmSizeStandard_DCa4_v5.

  az aks nodepool show \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool \
      --query 'vmSize'
  

  Następujące przykładowe polecenie i dane wyjściowe pokazują, że pula węzłów używa narzędzia CVM:

  az aks nodepool show \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool \
      --query 'vmSize'
  
  "Standard_DC4as_v5"
  

Usuwanie puli węzłów za pomocą narzędzia CVM z klastra usługi AKS

• Usuń pulę węzłów z cvM z klastra usługi AKS przy użyciu az aks nodepool delete polecenia .

  az aks nodepool delete \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool
  

Następne kroki

W tym artykule przedstawiono sposób dodawania puli węzłów z narzędziem CVM do klastra usługi AKS. Aby uzyskać więcej informacji na temat cvM, zobacz Poufne pule węzłów maszyn wirtualnych w usłudze AKS z poufnymi maszynami wirtualnymi AMD SEV-SNP.