在 Azure Kubernetes Service (AKS) 叢集中使用機密虛擬機器 (CVM)

您可以使用機密 VM 大小 (DCav5/ECav5)，以將節點集區新增至具有 CVM 的 AKS 叢集。 具有 AMD SEV-SNP 支援的機密 VM 引進了一組新的安全性功能，可搭配完整 VM 記憶體加密來保護使用中的資料。 這些功能可讓具有 CVM 的節點集區將高度敏感性容器工作負載移轉至 AKS，而不需要重構任何程式碼，同時還能受益於 AKS 的功能。 使用 CVM 所建立節點集區中的節點，會使用專為 CVM 所設定的自訂 Ubuntu 20.04 映像。 如需 CVM 的詳細資訊，請參閱 AKS 上的機密 VM 節點集區支援與 AMD SEV-SNP 機密 VM。

開始之前

開始之前，請確定您具備下列項目：

• 現有的 AKS 叢集。
• DCasv5 和 DCadsv5 系列或 ECasv5 和 ECadsv5 系列 SKU 可供您的訂用帳戶使用。

限制

將具有 CVM 的節點集區新增至 AKS 時，適用下列限制：

• 您無法使用 --enable-fips-image、ARM64 或 Azure Linux。
• 您無法升級現有的節點集區以使用 CVM。
• DCasv5 和 DCadsv5 系列或 ECasv5 和 ECadsv5 系列 SKU 必須可供您在叢集建立所在區域中的訂用帳戶使用。

將具有 CVM 的節點集區新增至 AKS

• 使用 az aks nodepool add 命令來將具有 CVM 的節點集區新增至 AKS，並將 node-vm-size 設定為 Standard_DCa4_v5。

  az aks nodepool add \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool \
      --node-count 3 \
      --node-vm-size Standard_DC4as_v5 
  

確認節點集區使用 CVM

• 使用 az aks nodepool show 命令來確認節點集區使用 CVM，並確認 vmSize 是 Standard_DCa4_v5。

  az aks nodepool show \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool \
      --query 'vmSize'
  

  下列範例命令和輸出顯示節點集區使用 CVM：

  az aks nodepool show \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool \
      --query 'vmSize'
  
  "Standard_DC4as_v5"
  

從 AKS 叢集中移除具有 CVM 的節點集區

• 使用 az aks nodepool delete 命令，以從 AKS 叢集中移除具有 CVM 的節點集區。

  az aks nodepool delete \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool
  

下一步

在本文中，您已瞭解如何將具有 CVM 的節點集區新增至 AKS 叢集。 如需關於 CVM 的詳細資訊，請參閱 AKS 上的機密 VM 節點集區支援與 AMD SEV-SNP 機密 VM。