Azure Kubernetes Service (AKS) kümesinde Gizli Sanal Makineler (CVM) kullanma

Gizli Sanal Makineler (CVM), kiracılar için güçlü güvenlik ve gizlilik sunar. CVM'ler, SEV-SNP güvenlik özelliklerinden yararlanarak hiper yöneticinin ve diğer ana makine yönetim kodlarının VM belleğine ve durumuna erişimini engelleyen, böylece operatör erişimine karşı çok katmanlı koruma sağlayan VM tabanlı donanım güvenilir yürütme ortamı (TEE) sunar. Bu özellikler, CVM ile düğüm havuzlarının AKS'nin özelliklerinden yararlanırken kod yeniden düzenlemesi yapmadan son derece hassas kapsayıcı iş yüklerinin AKS'ye geçişini hedeflemesini sağlar. Örneğin, aşağıdakilere sahipseniz CVM'ye ihtiyacınız olabilir:

• Güvenlik açısından kritik verileri ve/veya hassas müşteri verilerini işleyen iş yükleri
• Özellikle kamu sözleşmeleri için çeşitli uyumluluk gereksinimlerini karşılamak için gereken hizmetler. Verilerin güvenliğini sağlamak için ölçeklenebilir bir çözüm olmadan bu durum akreditasyon ve sözleşme kaybına yol açabilir.

Bu makalede, Gizli VM boyutlarını kullanarak AKS düğüm havuzları oluşturmayı öğreneceksiniz.

AKS tarafından desteklenen gizli VM boyutları

AKS, üçüncü Nesil AMD EPYC™ işlemcilerle sunulan AMD SEV-SNP teknolojisini kullanan AMD tabanlı Gizli VM'leri destekler. Bu VM'ler, kod değişikliği gerektirmeden mükemmel fiyat-performans oranlarına sahip donanım tabanlı bir Güvenilen Yürütme Ortamı (TEE) sağlar.

Uyarı

Intel TDX tabanlı Gizli VM'ler şu anda AKS'de desteklenmemektedir.

Daha fazla bilgi için bkz. CVM VM boyutları.

Güvenlik Özellikleri

CVM'ler, diğer sanal makine (VM) boyutlarıyla karşılaştırıldığında aşağıdaki güvenlik iyileştirmelerini sunar:

• Sanal makineler, hipervizör ve ana makine yönetim kodu arasında sağlam donanım tabanlı yalıtım.
• Dağıtımdan önce sunucunun uyumluluğunu sağlamak için özelleştirilebilir doğrulama ilkeleri.
• Platformun veya müşterinin (isteğe bağlı olarak) sahip olduğu ve yönettiği VM şifreleme anahtarları.
• Platformun başarılı kanıtlamasının ve VM'nin şifreleme anahtarları arasında kriptografik bağ kullanarak güvenli anahtar çıkışı.
• Sanal makinede anahtarların ve gizli bilgilerin doğrulanması ve korunması için ayrılmış sanal Güvenilir Platform Modülü (TPM) örneği.
• Azure sanal makineleri için Trusted launch benzeri güvenli önyükleme özelliği

Nasıl çalışır?

Gelişmiş gizlilik ve bütünlük gerektiren bir iş yükü çalıştırıyorsanız, uygulamanızda kod değişikliği olmadan bellek şifrelemesi ve gelişmiş güvenlikten yararlanabilirsiniz. CVM düğümünüzün tüm podları aynı güven sınırının bir parçasıdır. CVM ile oluşturulan bir düğüm havuzundaki düğümler, CVM için özel olarak yapılandırılmış özelleştirilmiş bir düğüm görüntüsü kullanır.

Desteklenen İşletim Sistemi Sürümleri

Linux işletim sistemi türlerinde (Ubuntu ve Azure Linux) CVM düğüm havuzları oluşturabilirsiniz. Ancak, tüm işletim sistemi sürümleri CVM düğüm havuzlarını desteklemez.

Bu tablo desteklenen işletim sistemi sürümlerini içerir:

İşletim Sistemi Türü	İşletim Sistemi SKU'su	CVM desteği	CVM varsayılan
Linux işletim sistemi	Ubuntu	Destekleniyor	Ubuntu 20.04, K8s sürüm 1.24-1.34 için varsayılandır. Ubuntu 24.04, K8s sürüm 1.35-1.38 için varsayılandır.
Linux işletim sistemi	Ubuntu2204	Desteklenmiyor	AKS, Ubuntu 22.04 için CVM'yi desteklemez.
Linux işletim sistemi	Ubuntu2404	Destekleniyor	CVM, K8s 1.32-1.38'de desteklenir Ubuntu2404 .
Linux işletim sistemi	AzureLinux	Azure Linux 3.0'da desteklenir	K8s sürüm 1.28-1.36 için CVM etkinleştirilirken Azure Linux 3 varsayılandır.
Linux işletim sistemi	flatcar	Desteklenmez	AKS için Flatcar Container Linux CVM'yi desteklemez.
Linux işletim sistemi	AzureLinuxOSGuard	Desteklenmez	AKS için OS Guard ile Azure Linux CVM'yi desteklemez.
Windows	Tüm Windows işletim sistemi SKU'ları	Desteklenmiyor

Ubuntu veya AzureLinux kullanılırkenosSKU, varsayılan işletim sistemi sürümü CVM'yi desteklemiyorsa, AKS varsayılan olarak işletim sisteminin CVM tarafından desteklenen en son sürümüne sahip olur. Örneğin, Linux düğüm havuzları için Ubuntu 22.04 varsayılandır. 22.04 şu anda CVM'yi desteklemediğinden AKS, Linux CVM özellikli düğüm havuzları için varsayılan olarak Ubuntu 20.04 olarak ayarlanmıştır.

Sınırlamalar

AKS'ye CVM ile bir düğüm havuzu eklerken aşağıdaki sınırlamalar geçerlidir:

• FIPS, ARM64, Güvenilir Başlatma veya Pod Yalıtımı'nı kullanamazsınız.
• Mevcut düğüm havuzunu CVM boyutuna geçirecek şekilde güncelleştiremezsiniz. Geçiş yapmak için düğüm havuzunuzu yeniden boyutlandırmanız gerekir.
• CVM'i Windows düğüm havuzlarıyla kullanamazsınız.
• Azure Linux ile CVM şu anda önizleme aşamasındadır.

Önkoşullar

Başlamadan önce aşağıdakilere sahip olduğunuzdan emin olun:

• Var olan bir AKS kümesi.
• CVM boyutları, kümenin oluşturulduğu bölgede aboneliğiniz için kullanılabilir olmalıdır. CVM boyutuna sahip bir düğüm havuzu oluşturmak için yeterli kotanız olmalıdır.
• Azure Linux işletim sistemi kullanıyorsanız uzantıyı yüklemeniz, uzantıyı aks-previewaks-preview güncelleştirmeniz ve önizleme özelliği bayrağını kaydetmeniz gerekir. Ubuntu kullanıyorsanız bu adımları atlayabilirsiniz.

Azure Linux kullanıyorsanız

Ubuntu için CVM'ler GA'dır, ancak Azure Linux ile CVM'ler şu anda önizleme aşamasındadır. CvM düğüm havuzlarını Azure Linux ile tercih ettiğiniz işletim sistemi olarak kullanmak istiyorsanız uzantıyı etkinleştirdiğinizden ve bayrağı kaydettiğinizden emin olun.

Uzantıyı yükleme aks-preview

1. aks-preview komutunu kullanarak Azure CLI uzantısını az extension add yükleyin.

   Önemli

   AKS önizleme özellikleri self servis ve kabul temelinde kullanılabilir. Önizlemeler "olduğu gibi" ve "mevcut olduğu şekilde" sağlanmakta olup, hizmet seviyesi anlaşmalarına ve sınırlı garantilere dahil edilmemektedir. AKS önizlemeleri, müşteri desteği ekibi tarafından maksimum çaba gösterilerek kısmen ele alınmaktadır. Bu nedenle, bu özellikler üretim kullanımı için tasarlanmamıştır. Daha fazla bilgi için aşağıdaki destek makalelerine bakın:

   • AKS destek politikaları
   • Azure Destek Sıkça Sorulan Sorular

   az extension add --name aks-preview
   

2. komutunu kullanarak uzantının en son sürümüne güncelleştirin az extension update .

   az extension update --name aks-preview
   

Özellik bayrağını kaydet AzureLinuxCVMPreview

1. AzureLinuxCVMPreview[az feature register][az-feature-register] komutunu kullanarak özellik bayrağını kaydedin.

   az feature register --namespace "Microsoft.ContainerService" --name "AzureLinuxCVMPreview"
   

2. [az feature show][az-feature-show] komutunu kullanarak kayıt durumunu doğrulayın. Durumun Kayıtlı olarak gösterilmesi birkaç dakika sürer.

   az feature show --namespace Microsoft.ContainerService --name AzureLinuxCVMPreview
   

3. Durum Kayıtlı olarak yansıtıldığında, [][az-provider-register] komutunu kullanarak az provider register kaynak sağlayıcısının kaydını yenileyin.

   az provider register --namespace Microsoft.ContainerService
   

AKS kümenize CVM içeren bir düğüm havuzu ekleme

• az aks nodepool add komutunu kullanarak AKS kümenize CVM içeren bir düğüm havuzu ekleyin ve node-vm-size öğesini desteklenen bir VM boyutu olarak ayarlayın.

  az aks nodepool add \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool \
      --node-count 3 \
      --node-vm-size Standard_DC4as_v5 
  

osSKU veya osType belirtmezseniz, AKS varsayılan olarak --os-type Linux ve --os-sku Ubuntu kullanır.

CVM ile mevcut düğüm havuzunu Ubuntu 24.04'e yükseltme

• komutunu kullanarak CVM ile mevcut düğüm havuzunu Ubuntu 20.04'ten Ubuntu 24.04'e yükseltin az aks nodepool update . olarak os-skuUbuntu2404ayarlayın.

    az aks nodepool update \
        --resource-group myResourceGroup \
        --cluster-name myAKSCluster \
        --name cvmnodepool \
        --os-sku Ubuntu2404
  

Uyarı

CVM içeren Ubuntu 24.04 düğüm havuzu AKS kümesi 1.33 sürümünde desteklenir. Ayrıca, Ubuntu 24.04 Genel Kullanımda olmadan önce Ubuntu2404Preview özelliğini kaydetmeniz gerekir. Daha fazla bilgi için bkz here . özelliği kaydetme.

Düğüm havuzunun CVM kullandığını doğrula

1. Bir düğüm havuzunun CVM kullandığını az aks nodepool show komutunu kullanarak doğrulayın ve vmSize öğesinin Standard_DCa4_v5 olduğunu kontrol edin.

   az aks nodepool show \
       --resource-group myResourceGroup \
       --cluster-name myAKSCluster \
       --name cvmnodepool \
       --query 'vmSize'
   

   Aşağıdaki örnek komut ve çıkış, düğüm havuzunun CVM kullandığını gösterir:

   az aks nodepool show \
       --resource-group myResourceGroup \
       --cluster-name myAKSCluster \
       --name cvmnodepool \
       --query 'vmSize'
   
   "Standard_DC4as_v5"
   

2. Komutunu kullanarak bir düğüm havuzunun az aks nodepool list CVM görüntüsü kullandığını doğrulayın.

   az aks nodepool list \
       --resource-group myResourceGroup \
       --cluster-name myAKSCluster \
       --name cvmnodepool \
       --query 'nodeImageVersion'
   

   Aşağıdaki örnek komut ve çıkış, düğüm havuzunun bir Ubuntu 20.04 CVM görüntüsü kullandığını gösterir:

   az aks nodepool show \
       --resource-group myResourceGroup \
       --cluster-name myAKSCluster \
       --name cvmnodepool \
       --query 'nodeImageVersion'
   
   "AKSUbuntu-2004cvmcontainerd-202507.02.0"
   

AKS kümesinden CVM ile düğüm havuzunu kaldırma

• komutunu kullanarak az aks nodepool delete AKS kümesinden CVM içeren bir düğüm havuzunu kaldırın.

  az aks nodepool delete \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool
  

Sonraki adımlar

Bu makalede, AKS kümesine CVM ile düğüm havuzu eklemeyi öğrendiniz.

• CVM hakkında daha fazla bilgi için bkz. AKS'de Gizli VM düğümü havuzları desteği.
• Mevcut bir düğüm havuzunu CVM vm boyutuna geçirmek için düğüm havuzunuzu yeniden boyutlandırabilirsiniz.
• Yalnızca düğüm havuzlarınızda Güvenilen Başlatma'yı etkinleştirmek istiyorsanız bkz. AKS'de Güvenilen Başlatma.