Använda CONFIDENTIAL Virtual Machines (CVM) i Azure Kubernetes Service-kluster (AKS)

Du kan använda konfidentiella VM-storlekar (DCav5/ECav5) för att lägga till en nodpool i AKS-klustret med CVM. Konfidentiella virtuella datorer med STÖD för AMD SEV-SNP ger en ny uppsättning säkerhetsfunktioner för att skydda data som används med fullständig vm-minneskryptering. De här funktionerna gör det möjligt för nodpooler med CVM att rikta migreringen av mycket känsliga containerarbetsbelastningar till AKS utan kodrefaktorisering och dra nytta av funktionerna i AKS. Noderna i en nodpool som skapats med CVM använder en anpassad Ubuntu 20.04-avbildning som är särskilt konfigurerad för CVM. Mer information om CVM finns i Avsnittet om stöd för konfidentiella VM-nodpooler på AKS med konfidentiella virtuella AMD SEV-SNP-datorer.

Innan du börjar

Kontrollera att du har följande innan du börjar:

• Ett befintligt AKS-kluster.
• DCasv5- och DCadsv5-serien eller ECasv5- och ECadsv5-seriens SKU:er är tillgängliga för din prenumeration.

Begränsningar

Följande begränsningar gäller när du lägger till en nodpool med CVM i AKS:

• Du kan inte använda --enable-fips-image, ARM64 eller Azure Linux.
• Du kan inte uppgradera en befintlig nodpool för att använda CVM.
• DCasv5- och DCadsv5-serien eller ECasv5- och ECadsv5-seriens SKU:er måste vara tillgängliga för din prenumeration i den region där klustret skapas.

Lägga till en nodpool med CVM i AKS

• Lägg till en nodpool med CVM i AKS med kommandot az aks nodepool add och ange node-vm-size till Standard_DCa4_v5.

  az aks nodepool add \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool \
      --node-count 3 \
      --node-vm-size Standard_DC4as_v5 
  

Kontrollera att nodpoolen använder CVM

• Kontrollera att en nodpool använder CVM med kommandot az aks nodepool show och kontrollera att vmSize är Standard_DCa4_v5.

  az aks nodepool show \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool \
      --query 'vmSize'
  

  Följande exempelkommando och utdata visar att nodpoolen använder CVM:

  az aks nodepool show \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool \
      --query 'vmSize'
  
  "Standard_DC4as_v5"
  

Ta bort en nodpool med CVM från ett AKS-kluster

• Ta bort en nodpool med CVM från ett AKS-kluster med kommandot az aks nodepool delete .

  az aks nodepool delete \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool
  

Nästa steg

I den här artikeln har du lärt dig hur du lägger till en nodpool med CVM i ett AKS-kluster. Mer information om CVM finns i Avsnittet om stöd för konfidentiella VM-nodpooler på AKS med konfidentiella virtuella AMD SEV-SNP-datorer.