使用英语阅读

通过


你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

在 Azure Kubernetes 服务 (AKS) 群集中使用机密虚拟机 (CVM)

你可以使用机密 VM 大小 (DCav5/ECav5) 通过 CVM 将节点池添加到 AKS 群集。 支持 AMD SEV-SNP 的机密 VM 带来了一组新的安全功能,通过完整的 VM 内存加密来保护使用中的数据。 借助这些功能,同时受益于 AKS 的功能,具有 CVM 的节点池能够将高度敏感的容器工作负载迁移到 AKS,而无需任何代码重构。 通过 CVM 创建的节点池中的节点使用专为 CVM 配置的自定义 Ubuntu 20.04 映像。 有关 CVM 的更多详细信息,请参阅 AKS 上具有 AMD SEV-SNP 机密 VM 的机密 VM 节点池支持

开始之前

在开始之前,请确保具有以下各项:

限制

将具有 CVM 的节点池添加到 AKS 时,以下限制适用:

将具有 CVM 的节点池添加到 AKS

  • 使用 az aks nodepool add 命令将具有 CVM 的节点池添加到 AKS,并将 node-vm-size 设置为 Standard_DCa4_v5

    az aks nodepool add \
        --resource-group myResourceGroup \
        --cluster-name myAKSCluster \
        --name cvmnodepool \
        --node-count 3 \
        --node-vm-size Standard_DC4as_v5 
    

验证节点池是否使用 CVM

  • 使用 az aks nodepool show 命令验证节点池是否使用了 CVM,并验证 vmSize 是否为 Standard_DCa4_v5

    az aks nodepool show \
        --resource-group myResourceGroup \
        --cluster-name myAKSCluster \
        --name cvmnodepool \
        --query 'vmSize'
    

    以下示例命令和输出显示节点池使用 CVM:

    az aks nodepool show \
        --resource-group myResourceGroup \
        --cluster-name myAKSCluster \
        --name cvmnodepool \
        --query 'vmSize'
    
    "Standard_DC4as_v5"
    

从 AKS 群集中删除具有 CVM 的节点池

  • 使用 az aks nodepool delete 命令从 AKS 群集中移除具有 CVM 的节点池。

    az aks nodepool delete \
        --resource-group myResourceGroup \
        --cluster-name myAKSCluster \
        --name cvmnodepool
    

后续步骤

本文介绍了如何将具有 CVM 的节点池添加到 AKS 群集。 有关 CVM 的详细信息,请参阅 AKS 上具有 AMD SEV-SNP 机密 VM 的机密 VM 节点池支持