Использование конфиденциального Виртуальные машины (CVM) в кластере Служба Azure Kubernetes (AKS)

Статья
11/29/2022
Чтение занимает 2 мин

Вы можете использовать общедоступные размеры конфиденциальных виртуальных машин (DCav5/ECav5), чтобы добавить пул узлов в кластер AKS с CVM. Конфиденциальные виртуальные машины с поддержкой AMD SEV-SNP обеспечивают новый набор функций безопасности для защиты используемых данных с помощью полного шифрования памяти виртуальных машин. С помощью этих функций пулы узлов с CVM могут ориентироваться на миграцию конфиденциальных рабочих нагрузок контейнеров в AKS без рефакторинга кода, получая преимущества функций AKS. Узлы в пуле узлов, созданном с помощью CVM, используют образ Ubuntu 20.04, специально настроенный для CVM. Дополнительные сведения о CVM см. в статье Поддержка пулов узлов конфиденциальных виртуальных машин в AKS с конфиденциальными виртуальными машинами AMD SEV-SNP.

Добавление пула узлов с CVM в кластер AKS сейчас находится на этапе предварительной версии.

Перед началом

Подписка Azure. Если у вас нет подписки Azure, создайте бесплатную учетную запись.
Установленный Azure CLI.
Существующий кластер AKS в регионе westus, eastus, westeurope или northeurope.
Номера SKU DCasv5 и DCadsv5-series или ECasv5 и ECadsv5-series, доступные для вашей подписки.

Ограничения

При добавлении пула узлов с CVM в AKS применяются следующие ограничения:

Нельзя использовать --enable-fips-image, ARM64 или Mariner.
Обновить существующий пул узлов для использования CVM нельзя.
Номера SKU DCasv5 и DCadsv5-series или ECasv5 и ECadsv5-series должны быть доступны для вашей подписки в регионе, где создается кластер.

Добавление пула узлов с CVM в AKS

Чтобы добавить пул узлов с CVM в AKS, используйте az aks nodepool add и задайте значение node-vm-size равным Standard_DCa4_v5. Пример:

az aks nodepool add \
    --resource-group myResourceGroup \
    --cluster-name myAKSCluster \
    --name cvmnodepool \
    --node-count 3 \
    --node-vm-size Standard_DC4as_v5

Проверка использования CVM в пуле узлов

Чтобы проверить использование CVM в пуле узлов, используйте az aks nodepool show и проверьте, что значение vmSize равно Standard_DCa4_v5. Пример:

az aks nodepool show \
    --resource-group myResourceGroup \
    --cluster-name myAKSCluster \
    --name cvmnodepool \
    --query 'vmSize'

В следующем примере команды и выходных данных показано, что пул узлов использует CVM:

az aks nodepool show \
    --resource-group myResourceGroup \
    --cluster-name myAKSCluster \
    --name cvmnodepool \
    --query 'vmSize'

"Standard_DC4as_v5"

Удаление пула узлов с CVM из кластера AKS

Чтобы удалить пул узлов с CVM из кластера AKS, используйте az aks nodepool delete. Пример:

az aks nodepool delete \
    --resource-group myResourceGroup \
    --cluster-name myAKSCluster \
    --name cvmnodepool

Дальнейшие действия

Из этой статьи вы узнали, как добавить пул узлов с CVM в кластер AKS. Дополнительные сведения о CVM см. в статье Поддержка пулов узлов конфиденциальных виртуальных машин в AKS с конфиденциальными виртуальными машинами AMD SEV-SNP.