Usar CVM (Máquinas Virtuais Confidenciais) no cluster do AKS (Serviço de Kubernetes do Azure)

Você pode usar os tamanhos de VM confidenciais (DCav5/ECav5) para adicionar um pool de nós ao cluster do AKS com CVM. As VMs confidenciais com suporte ao AMD SEV-SNP oferecem um novo conjunto de recursos de segurança para proteger dados ativos com criptografia de memória de VM completa. Esses recursos permitem que pools de nós com CVM direcionem a migração de cargas de trabalho de contêiner altamente confidenciais para o AKS sem nenhuma refatoração de código enquanto se beneficia dos recursos do AKS. Os nós em um pool de nós criados com CVM usam uma imagem personalizada do Ubuntu 20.04 configurada especialmente para CVM. Para obter mais detalhes sobre CVM, consulte Suporte aos pools de nós de VMs Confidenciais no AKS com VMs confidenciais AMD SEV-SNP.

Antes de começar

Antes de começar, certifique-se de que você tenha o seguinte:

• Um cluster AKS novo ou existente.
• As SKUs das séries DCasv5 e DCadsv5 ou séries ECasv5 e ECadsv5 disponíveis para sua assinatura.

Limitações

As seguintes limitações se aplicam ao adicionar um pool de nós com CVM ao AKS:

• Você não pode usar o --enable-fips-image, o ARM64 ou o Azure Linux.
• Você não pode atualizar um pool de nós existente para usar o CVM.
• As SKUs das séries DCasv5 e DCadsv5 ou das séries ECasv5 e ECadsv5 precisarão estar disponíveis para sua assinatura na região em que o cluster for criado.

Adicionar um pool de nós com o CVM ao AKS

• Adicione um pool de nós com CVM ao AKS usando o comando az aks nodepool add e defina node-vm-size como Standard_DCa4_v5 .

  az aks nodepool add \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool \
      --node-count 3 \
      --node-vm-size Standard_DC4as_v5 
  

Verificar se o pool de nós usa o CVM

• Verifique se um pool de nós usa CVM usando o comando az aks nodepool show e verifique se vmSize é Standard_DCa4_v5.

  az aks nodepool show \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool \
      --query 'vmSize'
  

  O seguinte exemplo de comando e saída mostra que o pool de nós usa o CVM:

  az aks nodepool show \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool \
      --query 'vmSize'
  
  "Standard_DC4as_v5"
  

Remover um pool de nós com o CVM de um cluster do AKS

• Remova um pool de nós com CVM de um cluster do AKS usando o comando az aks nodepool delete.

  az aks nodepool delete \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool
  

Próximas etapas

Neste artigo, você aprendeu a adicionar um pool de nós com o CVM a um cluster do AKS. Para obter mais informações sobre o CVM, consulte Suporte aos pools de nós de VMs Confidenciais no AKS com VMs confidenciais AMD SEV-SNP.