Использование конфиденциальных Виртуальные машины (CVM) в кластере Служба Azure Kubernetes (AKS)

Для добавления пула узлов в кластер AKS с cvM можно использовать конфиденциальные размеры виртуальных машин (DCav5/ECav5 ). Конфиденциальные виртуальные машины с поддержкой AMD SEV-SNP обеспечивают новый набор функций безопасности для защиты данных с полным шифрованием памяти виртуальной машины. С помощью этих функций пулы узлов с CVM могут ориентироваться на миграцию конфиденциальных рабочих нагрузок контейнеров в AKS без рефакторинга кода, получая преимущества функций AKS. Узлы в пуле узлов, созданном с помощью CVM, используют образ Ubuntu 20.04, специально настроенный для CVM. Дополнительные сведения о CVM см. в статье Поддержка пулов узлов конфиденциальных виртуальных машин в AKS с конфиденциальными виртуальными машинами AMD SEV-SNP.

Подготовка к работе

Прежде чем начать, убедитесь, что у вас есть следующее:

• Существующий кластер AKS.
• Номера SKU DCasv5 и DCadsv5-series или ECasv5 и ECadsv5-series, доступные для вашей подписки.

Ограничения

При добавлении пула узлов с CVM в AKS применяются следующие ограничения:

• Вы не можете использовать --enable-fips-image, ARM64 или Azure Linux.
• Обновить существующий пул узлов для использования CVM нельзя.
• Номера SKU DCasv5 и DCadsv5-series или ECasv5 и ECadsv5-series должны быть доступны для вашей подписки в регионе, где создается кластер.

Добавление пула узлов с CVM в AKS

• Добавьте пул узлов с CVM в AKS с помощью az aks nodepool add команды и задайте для нее значение node-vm-size Standard_DCa4_v5.

  az aks nodepool add \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool \
      --node-count 3 \
      --node-vm-size Standard_DC4as_v5 
  

Проверка использования CVM в пуле узлов

• Убедитесь, что пул узлов использует CVM с помощью az aks nodepool show команды и проверьте его vmSize Standard_DCa4_v5.

  az aks nodepool show \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool \
      --query 'vmSize'
  

  В следующем примере команды и выходных данных показано, что пул узлов использует CVM:

  az aks nodepool show \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool \
      --query 'vmSize'
  
  "Standard_DC4as_v5"
  

Удаление пула узлов с CVM из кластера AKS

• Удалите пул узлов с CVM из кластера AKS с помощью az aks nodepool delete команды.

  az aks nodepool delete \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool
  

Следующие шаги

Из этой статьи вы узнали, как добавить пул узлов с CVM в кластер AKS. Дополнительные сведения о CVM см. в статье Поддержка пулов узлов конфиденциальных виртуальных машин в AKS с конфиденциальными виртуальными машинами AMD SEV-SNP.