Usar Máquinas Virtuais Confidenciais (CVM) no cluster do Serviço Kubernetes do Azure (AKS)

Você pode usar tamanhos confidenciais de VM (DCav5/ECav5) para adicionar um pool de nós ao cluster AKS com o CVM. VMs confidenciais com suporte a AMD SEV-SNP trazem um novo conjunto de recursos de segurança para proteger os dados em uso com criptografia de memória VM completa. Esses recursos permitem que os pools de nós com o CVM direcionem a migração de cargas de trabalho de contêiner altamente confidenciais para o AKS sem qualquer refatoração de código, enquanto se beneficiam dos recursos do AKS. Os nós em um pool de nós criado com a CVM usam uma imagem personalizada do Ubuntu 20.04 especialmente configurada para a CVM. Para obter mais detalhes sobre o CVM, consulte Suporte a pools de nós de VM confidenciais no AKS com VMs confidenciais AMD SEV-SNP.

Antes de começar

Antes de começar, certifique-se de que tem o seguinte:

• Um cluster AKS existente.
• Os SKUs das séries DCasv5 e DCadsv5 ou ECasv5 e ECadsv5 estão disponíveis para sua assinatura.

Limitações

As seguintes limitações se aplicam ao adicionar um pool de nós com CVM ao AKS:

• Não é possível usar --enable-fips-imageo , ARM64 ou Azure Linux.
• Não é possível atualizar um pool de nós existente para usar o CVM.
• As SKUs DCasv5 e DCadsv5-series ou ECasv5 e ECadsv5-series devem estar disponíveis para sua assinatura na região onde o cluster é criado.

Adicionar um pool de nós com o CVM ao AKS

• Adicione um pool de nós com CVM ao AKS usando o az aks nodepool add comando e defina como node-vm-size Standard_DCa4_v5.

  az aks nodepool add \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool \
      --node-count 3 \
      --node-vm-size Standard_DC4as_v5 
  

Verificar se o pool de nós usa o CVM

• Verifique se um pool de nós usa o CVM usando o az aks nodepool show comando e verifique se o vmSize é Standard_DCa4_v5.

  az aks nodepool show \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool \
      --query 'vmSize'
  

  O comando e a saída de exemplo a seguir mostram que o pool de nós usa o CVM:

  az aks nodepool show \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool \
      --query 'vmSize'
  
  "Standard_DC4as_v5"
  

Remover um pool de nós com CVM de um cluster AKS

• Remova um pool de nós com CVM de um cluster AKS usando o az aks nodepool delete comando.

  az aks nodepool delete \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool
  

Próximos passos

Neste artigo, você aprendeu como adicionar um pool de nós com o CVM a um cluster AKS. Para obter mais informações sobre o CVM, consulte Suporte a pools de nós de VM confidenciais no AKS com VMs confidenciais AMD SEV-SNP.