Używanie poufnych maszyn wirtualnych (CVM) w klastrze usługi Azure Kubernetes Service (AKS)

Aby dodać pulę węzłów do klastra AKS za pomocą narzędzia CVM, możesz użyć poufnych rozmiarów maszyn wirtualnych (DCav5/ECav5 ). Poufne maszyny wirtualne z obsługą protokołu AMD SEV-SNP udostępniają nowy zestaw funkcji zabezpieczeń w celu ochrony danych w użyciu przy użyciu pełnego szyfrowania pamięci maszyny wirtualnej. Te funkcje umożliwiają pule węzłów z cvM, aby kierować migrację wysoce wrażliwych obciążeń kontenerów do usługi AKS bez żadnej refaktoryzacji kodu, jednocześnie korzystając z funkcji usługi AKS. Węzły w puli węzłów utworzonej za pomocą cvM używają dostosowanego obrazu ubuntu 20.04 specjalnie skonfigurowanego dla CVM. Aby uzyskać więcej informacji na temat cvM, zobacz Poufne pule węzłów maszyn wirtualnych w usłudze AKS z poufnymi maszynami wirtualnymi AMD SEV-SNP.

Zanim rozpoczniesz

Przed rozpoczęciem upewnij się, że masz następujące elementy:

• Istniejący klaster usługi AKS.
• Jednostki SKU serii DCasv5 i DCadsv5 lub ECasv5 i ECadsv5 są dostępne dla twojej subskrypcji.

Ograniczenia

Podczas dodawania puli węzłów z cvm do usługi AKS obowiązują następujące ograniczenia:

• Nie można używać systemu --enable-fips-image, ARM64 ani platformy Azure w systemie Linux.
• Nie można uaktualnić istniejącej puli węzłów, aby użyć narzędzia CVM.
• Jednostki SKU serii DCasv5 i DCadsv5 lub ECasv5 i ECadsv5 muszą być dostępne dla twojej subskrypcji w regionie, w którym jest tworzony klaster.

Dodawanie puli węzłów za pomocą narzędzia CVM do usługi AKS

• Dodaj pulę węzłów z cvM do usługi AKS przy użyciu az aks nodepool add polecenia i ustaw parametr na node-vm-size Standard_DCa4_v5.

  az aks nodepool add \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool \
      --node-count 3 \
      --node-vm-size Standard_DC4as_v5 
  

Sprawdzanie, czy pula węzłów używa cvM

• Sprawdź, czy pula węzłów używa narzędzia CVM przy użyciu az aks nodepool show polecenia i sprawdź, czy parametr vmSize to Standard_DCa4_v5.

  az aks nodepool show \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool \
      --query 'vmSize'
  

  Następujące przykładowe polecenie i dane wyjściowe pokazują, że pula węzłów używa cvM:

  az aks nodepool show \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool \
      --query 'vmSize'
  
  "Standard_DC4as_v5"
  

Usuwanie puli węzłów z cvM z klastra usługi AKS

• Usuń pulę węzłów z cvM z klastra az aks nodepool delete usługi AKS przy użyciu polecenia .

  az aks nodepool delete \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool
  

Następne kroki

W tym artykule przedstawiono sposób dodawania puli węzłów z cvM do klastra usługi AKS. Aby uzyskać więcej informacji na temat cvM, zobacz Poufne pule węzłów maszyn wirtualnych w usłudze AKS z poufnymi maszynami wirtualnymi AMD SEV-SNP.