你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
在 Azure Kubernetes 服务 (AKS) 群集中使用机密虚拟机 (CVM)
你可以使用机密 VM 大小 (DCav5/ECav5) 通过 CVM 将节点池添加到 AKS 群集。 支持 AMD SEV-SNP 的机密 VM 带来了一组新的安全功能,通过完整的 VM 内存加密来保护使用中的数据。 借助这些功能,同时受益于 AKS 的功能,具有 CVM 的节点池能够将高度敏感的容器工作负载迁移到 AKS,而无需任何代码重构。 通过 CVM 创建的节点池中的节点使用专为 CVM 配置的自定义 Ubuntu 20.04 映像。 有关 CVM 的更多详细信息,请参阅 AKS 上具有 AMD SEV-SNP 机密 VM 的机密 VM 节点池支持。
开始之前
在开始之前,请确保具有以下各项:
- 现有的 AKS 群集。
- 可用于订阅的 DCasv5 和 DCadsv5 系列或 ECasv5 和 ECadsv5 系列 SKU。
限制
将具有 CVM 的节点池添加到 AKS 时,以下限制适用:
- 无法使用
--enable-fips-image、ARM64 或 Azure Linux。 - 无法将现有节点池升级为使用 CVM。
- 在创建群集的区域中,DCasv5 和 DCadsv5 系列或 ECasv5 和 ECadsv5 系列 SKU 必须可供订阅使用。
将具有 CVM 的节点池添加到 AKS
使用
az aks nodepool add命令将具有 CVM 的节点池添加到 AKS,并将node-vm-size设置为Standard_DCa4_v5。az aks nodepool add \ --resource-group myResourceGroup \ --cluster-name myAKSCluster \ --name cvmnodepool \ --node-count 3 \ --node-vm-size Standard_DC4as_v5
验证节点池是否使用 CVM
使用
az aks nodepool show命令验证节点池是否使用了 CVM,并验证vmSize是否为Standard_DCa4_v5。az aks nodepool show \ --resource-group myResourceGroup \ --cluster-name myAKSCluster \ --name cvmnodepool \ --query 'vmSize'以下示例命令和输出显示节点池使用 CVM:
az aks nodepool show \ --resource-group myResourceGroup \ --cluster-name myAKSCluster \ --name cvmnodepool \ --query 'vmSize' "Standard_DC4as_v5"
从 AKS 群集中删除具有 CVM 的节点池
使用
az aks nodepool delete命令从 AKS 群集中移除具有 CVM 的节点池。az aks nodepool delete \ --resource-group myResourceGroup \ --cluster-name myAKSCluster \ --name cvmnodepool
后续步骤
本文介绍了如何将具有 CVM 的节点池添加到 AKS 群集。 有关 CVM 的详细信息,请参阅 AKS 上具有 AMD SEV-SNP 机密 VM 的机密 VM 节点池支持。
