Usar CVM (Máquinas Virtuais Confidenciais) no cluster do AKS (Serviço de Kubernetes do Azure)
Você pode usar os tamanhos de VM confidenciais (DCav5/ECav5) para adicionar um pool de nós ao cluster do AKS com CVM. As VMs confidenciais com suporte ao AMD SEV-SNP oferecem um novo conjunto de recursos de segurança para proteger dados ativos com criptografia de memória de VM completa. Esses recursos permitem que pools de nós com CVM direcionem a migração de cargas de trabalho de contêiner altamente confidenciais para o AKS sem nenhuma refatoração de código enquanto se beneficia dos recursos do AKS. Os nós em um pool de nós criados com CVM usam uma imagem personalizada do Ubuntu 20.04 configurada especialmente para CVM. Para obter mais detalhes sobre CVM, consulte Suporte aos pools de nós de VMs Confidenciais no AKS com VMs confidenciais AMD SEV-SNP.
Antes de começar
Antes de começar, certifique-se de que você tenha o seguinte:
- Um cluster AKS novo ou existente.
- As SKUs das séries DCasv5 e DCadsv5 ou séries ECasv5 e ECadsv5 disponíveis para sua assinatura.
Limitações
As seguintes limitações se aplicam ao adicionar um pool de nós com CVM ao AKS:
- Você não pode usar o
--enable-fips-image
, o ARM64 ou o Azure Linux. - Você não pode atualizar um pool de nós existente para usar o CVM.
- As SKUs das séries DCasv5 e DCadsv5 ou das séries ECasv5 e ECadsv5 precisarão estar disponíveis para sua assinatura na região em que o cluster for criado.
Adicionar um pool de nós com o CVM ao AKS
Adicione um pool de nós com CVM ao AKS usando o comando
az aks nodepool add
e definanode-vm-size
comoStandard_DCa4_v5
.az aks nodepool add \ --resource-group myResourceGroup \ --cluster-name myAKSCluster \ --name cvmnodepool \ --node-count 3 \ --node-vm-size Standard_DC4as_v5
Verificar se o pool de nós usa o CVM
Verifique se um pool de nós usa CVM usando o comando
az aks nodepool show
e verifique sevmSize
éStandard_DCa4_v5
.az aks nodepool show \ --resource-group myResourceGroup \ --cluster-name myAKSCluster \ --name cvmnodepool \ --query 'vmSize'
O seguinte exemplo de comando e saída mostra que o pool de nós usa o CVM:
az aks nodepool show \ --resource-group myResourceGroup \ --cluster-name myAKSCluster \ --name cvmnodepool \ --query 'vmSize' "Standard_DC4as_v5"
Remover um pool de nós com o CVM de um cluster do AKS
Remova um pool de nós com CVM de um cluster do AKS usando o comando
az aks nodepool delete
.az aks nodepool delete \ --resource-group myResourceGroup \ --cluster-name myAKSCluster \ --name cvmnodepool
Próximas etapas
Neste artigo, você aprendeu a adicionar um pool de nós com o CVM a um cluster do AKS. Para obter mais informações sobre o CVM, consulte Suporte aos pools de nós de VMs Confidenciais no AKS com VMs confidenciais AMD SEV-SNP.
Azure Kubernetes Service