Utilizar Máquinas Virtuais Confidenciais (CVM) no cluster do Azure Kubernetes Service (AKS)

Pode utilizar tamanhos de VM confidenciais (DCav5/ECav5) para adicionar um conjunto de nós ao cluster do AKS com CVM. As VMs confidenciais com suporte AMD SEV-SNP trazem um novo conjunto de funcionalidades de segurança para proteger os dados em utilização com encriptação de memória de VM completa. Estas funcionalidades permitem que os conjuntos de nós com CVM direcionem a migração de cargas de trabalho de contentor altamente confidenciais para o AKS sem qualquer refatorização de código enquanto beneficiam das funcionalidades do AKS. Os nós num conjunto de nós criado com CVM utilizam uma imagem personalizada do Ubuntu 20.04 especialmente configurada para CVM. Para obter mais detalhes sobre o CVM, veja Suporte confidencial de conjuntos de nós de VM no AKS com VMs confidenciais DO SEV-SNP do AMD.

Antes de começar

Antes de começar, certifique-se de que tem o seguinte:

• Um cluster do AKS existente.
• Os SKUs da série DCasv5 e DCadsv5 ou ECasv5 e ECadsv5 disponíveis para a sua subscrição.

Limitações

Aplicam-se as seguintes limitações ao adicionar um conjunto de nós com CVM ao AKS:

• Não pode utilizar --enable-fips-image, ARM64 ou Linux do Azure.
• Não pode atualizar um conjunto de nós existente para utilizar o CVM.
• Os SKUs da série DCasv5 e DCadsv5 ou ECasv5 e ECadsv5 têm de estar disponíveis para a sua subscrição na região onde o cluster é criado.

Adicionar um conjunto de nós com o CVM ao AKS

• Adicione um conjunto de nós com CVM ao AKS com o az aks nodepool add comando e defina como Standard_DCa4_v5node-vm-size .

  az aks nodepool add \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool \
      --node-count 3 \
      --node-vm-size Standard_DC4as_v5 
  

Verificar se o conjunto de nós utiliza CVM

• Verifique se um conjunto de nós utiliza CVM com o az aks nodepool show comando e verifique se vmSize é Standard_DCa4_v5.

  az aks nodepool show \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool \
      --query 'vmSize'
  

  O comando e a saída de exemplo seguintes mostram que o conjunto de nós utiliza CVM:

  az aks nodepool show \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool \
      --query 'vmSize'
  
  "Standard_DC4as_v5"
  

Remover um conjunto de nós com CVM de um cluster do AKS

• Remova um conjunto de nós com CVM de um cluster do AKS com o az aks nodepool delete comando .

  az aks nodepool delete \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool
  

Passos seguintes

Neste artigo, aprendeu a adicionar um conjunto de nós com CVM a um cluster do AKS. Para obter mais informações sobre o CVM, veja Suporte confidencial de conjuntos de nós de VM no AKS com VMs confidenciais DO SEV-SNP do AMD.