Confidential Virtual Machines (CVM) gebruiken in AKS-cluster (Azure Kubernetes Service)

U kunt vertrouwelijke VM-grootten (DCav5/ECav5) gebruiken om een knooppuntgroep toe te voegen aan uw AKS-cluster met CVM. Vertrouwelijke VM's met AMD SEV-SNP-ondersteuning bieden een nieuwe set beveiligingsfuncties voor het beveiligen van gegevens die in gebruik zijn met volledige versleuteling van HET VM-geheugen. Met deze functies kunnen knooppuntgroepen met CVM worden gericht op de migratie van zeer gevoelige containerworkloads naar AKS zonder codeherstructurering en profiteert u van de functies van AKS. De knooppunten in een knooppuntgroep die met CVM zijn gemaakt, gebruiken een aangepaste Ubuntu 20.04-installatiekopie die speciaal is geconfigureerd voor CVM. Zie Voor meer informatie over CVM ondersteuning voor vertrouwelijke VM-knooppuntgroepen op AKS met vertrouwelijke VM's met AMD SEV-SNP.

Voordat u begint

Voordat u begint, controleert u of u het volgende hebt:

• Een bestaand AKS-cluster.
• De DCasv5- en DCadsv5-serie of ECasv5- en ECadsv5-serie SKU's die beschikbaar zijn voor uw abonnement.

Beperkingen

De volgende beperkingen gelden voor het toevoegen van een knooppuntgroep met CVM aan AKS:

• U kunt ARM64 of Azure Linux niet gebruiken --enable-fips-image.
• U kunt een bestaande knooppuntgroep niet upgraden om CVM te gebruiken.
• De DCasv5- en DCadsv5-serie of ECasv5- en ECadsv5-serie-SKU's moeten beschikbaar zijn voor uw abonnement in de regio waar het cluster wordt gemaakt.

Een knooppuntgroep met de CVM toevoegen aan AKS

• Voeg een knooppuntgroep met CVM toe aan AKS met behulp van de az aks nodepool add opdracht en stel het node-vm-size in op Standard_DCa4_v5.

  az aks nodepool add \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool \
      --node-count 3 \
      --node-vm-size Standard_DC4as_v5 
  

Controleren of de knooppuntgroep CVM gebruikt

• Controleer of een knooppuntgroep CVM gebruikt met behulp van de az aks nodepool show opdracht en controleer of het vmSize is Standard_DCa4_v5.

  az aks nodepool show \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool \
      --query 'vmSize'
  

  In de volgende voorbeeldopdracht en uitvoer ziet u dat de knooppuntgroep CVM gebruikt:

  az aks nodepool show \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool \
      --query 'vmSize'
  
  "Standard_DC4as_v5"
  

Een knooppuntgroep met CVM verwijderen uit een AKS-cluster

• Verwijder een knooppuntgroep met CVM uit een AKS-cluster met behulp van de az aks nodepool delete opdracht.

  az aks nodepool delete \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool
  

Volgende stappen

In dit artikel hebt u geleerd hoe u een knooppuntgroep met CVM toevoegt aan een AKS-cluster. Zie Voor meer informatie over CVM ondersteuning voor vertrouwelijke VM-knooppuntgroepen op AKS met vertrouwelijke VM's met AMD SEV-SNP.