Použití důvěrných virtuálních počítačů (CVM) v clusteru Azure Kubernetes Service (AKS)

K přidání fondu uzlů do clusteru AKS pomocí CVM můžete použít důvěrné velikosti virtuálních počítačů (DCav5/ECav5 ). Důvěrné virtuální počítače s podporou AMD SEV-SNP přinášejí novou sadu funkcí zabezpečení pro ochranu dat při úplném šifrování paměti virtuálního počítače. Tyto funkce umožňují fondům uzlů s CVM cílit na migraci vysoce citlivých úloh kontejnerů do AKS bez refaktoringu kódu a zároveň využívat výhod funkcí AKS. Uzly ve fondu uzlů vytvořeném pomocí CVM používají přizpůsobenou image Ubuntu 20.04 speciálně nakonfigurovanou pro CVM. Další podrobnosti o CVM najdete v tématu Podpora fondů důvěrných uzlů virtuálních počítačů v AKS s důvěrnými virtuálními počítači AMD SEV-SNP.

Než začnete

Než začnete, ujistěte se, že máte následující:

• Existující cluster AKS.
• Skladové položky řady DCasv5 a DCadsv5 nebo ECasv5 a ECadsv5 series dostupné pro vaše předplatné.

Omezení

Při přidávání fondu uzlů s CVM do AKS platí následující omezení:

• Nemůžete použít --enable-fips-imageArm64 ani Azure Linux.
• Nemůžete upgradovat existující fond uzlů tak, aby používal CVM.
• Skladové položky řady DCasv5 a DCadsv5 nebo ECasv5 a ECadsv5-series musí být dostupné pro vaše předplatné v oblasti, ve které je cluster vytvořen.

Přidání fondu uzlů s CVM do AKS

• Přidejte fond uzlů s CVM do AKS pomocí az aks nodepool add příkazu a nastavte na node-vm-size Standard_DCa4_v5hodnotu .

  az aks nodepool add \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool \
      --node-count 3 \
      --node-vm-size Standard_DC4as_v5 
  

Ověření, že fond uzlů používá CVM

• Pomocí příkazu ověřte, že fond uzlů používá CVMaz aks nodepool show, a ověřte, že je Standard_DCa4_v5.vmSize

  az aks nodepool show \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool \
      --query 'vmSize'
  

  Následující příklad příkazu a výstupu ukazuje, že fond uzlů používá CVM:

  az aks nodepool show \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool \
      --query 'vmSize'
  
  "Standard_DC4as_v5"
  

Odebrání fondu uzlů pomocí CVM z clusteru AKS

• Pomocí příkazu odeberte fond uzlů s CVM z clusteru az aks nodepool delete AKS.

  az aks nodepool delete \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool
  

Další kroky

V tomto článku jste zjistili, jak přidat fond uzlů s CVM do clusteru AKS. Další informace o CVM naleznete v tématu Podpora fondů důvěrných uzlů virtuálních počítačů v AKS s důvěrnými virtuálními počítači AMD SEV-SNP.