التحديث التلقائي لصور نظام تشغيل العقدة

النشر والاستكشاف

توفر AKS قنوات ترقية تلقائية متعددة مخصصة لتحديثات أمان نظام التشغيل على مستوى العقدة في الوقت المناسب. تختلف هذه القناة عن ترقيات إصدار Kubernetes على مستوى المجموعة و تحل محلها.

هام

ابتداء من 30 نوفمبر 2025، لم تعد خدمة Azure Kubernetes Service (AKS) تدعم أو توفر تحديثات الأمان ل Azure Linux 2.0. صورة عقدة Azure Linux 2.0 مجمدة عند إصدار 202512.06.0. ابتداء من 31 مارس 2026، سيتم إزالة صور العقد، ولن تتمكن من توسيع مجموعات العقد الخاصة بك. انتقل إلى نسخة Azure Linux المدعومة عن طريق ترقية مجموعات العقد إلى نسخة Kubernetes مدعومة أو الانتقال إلى osSku AzureLinux3. لمزيد من المعلومات، راجع مشكلة GitHub للتقاعدوإعلان تقاعد Azure Updates. للبقاء على اطلاع بالإعلانات والتحديثات، تابع ملاحظات إصدار AKS.

التفاعلات بين الترقية التلقائية لنظام تشغيل العقدة والترقية التلقائية للمجموعة

يتم إصدار تحديثات أمان نظام التشغيل على مستوى العقدة بمعدل أسرع من تصحيح Kubernetes أو تحديثات الإصدار الثانوي. تمنحك قناة التحديث التلقائي لنظام تشغيل العقدة المرونة وتمكن استراتيجية مخصصة لتحديثات أمان نظام التشغيل على مستوى العقدة. بعد ذلك، يمكنك اختيار خطة منفصلة لإصدار Kubernetes على مستوى المجموعة . من الأفضل استخدام كل من التحديثات التلقائية على مستوى نظام المجموعة وقناة التحديث التلقائي لنظام التشغيل العقدة معا. يمكن ضبط الجدولة عن طريق تطبيق مجموعتين منفصلتين من نوافذ صيانة - aksManagedAutoUpgradeSchedule لنظام المجموعة التحديث التلقائيaksManagedNodeOSUpgradeSchedule لقناة التحديث التلقائي لنظام التشغيل العقدة.

قنوات لترقيات صورة نظام التشغيل للعقدة

تحدد القناة المحددة توقيت الترقيات. عند إجراء تغييرات على قنوات الترقية التلقائية لنظام التشغيل العقدة، اسمح بما يصل إلى 24 ساعة حتى تسري التغييرات.

إشعار

• لا تؤثر الترقية التلقائية لصورة نظام تشغيل العقدة على إصدار Kubernetes لنظام المجموعة.
• بدءا من إصدار واجهة برمجة التطبيقات 2023-06-01، يكون الافتراضي لأي مجموعة AKS جديدة هو NodeImage.

تغييرات قناة نظام تشغيل العقدة التي تتسبب في إعادة تعيين

ستؤدي انتقالات قناة نظام تشغيل العقدة التالية إلى إعادة تعيين العقد:

من	لكي تتمكن من
غير مُدَار	اي
غير محدد	غير مُدَار
SecurityPatch	غير مُدَار
NodeImage	غير مُدَار
اي	غير مُدَار

قنوات ترقية نظام تشغيل العقدة المتوفرة

تتوفر قنوات الترقية التالية. يسمح لك باختيار أحد الخيارات التالية:

القناة	‏‏الوصف	سلوك خاص بنظام التشغيل
None	لا تحتوي العقد الخاصة بك على تحديثات أمان مطبقة تلقائيا. وهذا يعني أنك وحدك المسؤول عن تحديثات الأمان الخاصة بك.	‏‫غير متوفر‬
Unmanaged	تقوم البنية الأساسية للتصحيح المدمجة لنظام التشغيل تلقائيا بتطبيق تحديثات نظام التشغيل. يتم إلغاء تصحيح الأجهزة المخصصة حديثا في البداية. تقوم البنية الأساسية لنظام التشغيل بتصحيحها في مرحلة ما.	يطبق Ubuntu وAzure Linux (تجمعات عقدة وحدة المعالجة المركزية) تصحيحات الأمان من خلال الترقية غير المراقبة/dnf-automatic مرة واحدة تقريبا يوميا حوالي الساعة 06:00 بالتوقيت العالمي المتفق عليه. لا يطبق Windows تصحيحات الأمان تلقائيا، لذلك يتصرف هذا الخيار بشكل مكافئ ل None. تحتاج إلى إدارة عملية إعادة التشغيل باستخدام أداة مثل kured. لا يدعم Unmanaged .
SecurityPatch	تصحيحات أمان نظام التشغيل، والتي يتم اختبارها بواسطة AKS وإدارتها بالكامل وتطبيقها مع ممارسات النشر الآمنة. تقوم AKS بتحديث القرص الثابت الظاهري للعقدة (VHD) بانتظام بتصحيحات من أداة صيانة الصور المسماة "الأمان فقط". قد تكون هناك اضطرابات عند تطبيق تصحيحات الأمان على العقد. ومع ذلك، فإن AKS تحد من الاضطرابات عن طريق إعادة تعيين العقد فقط عند الضرورة، مثل حزم أمان kernel معينة. عند تطبيق التصحيحات، يتم تحديث VHD وتتم ترقية الأجهزة الموجودة إلى هذا VHD، مع احترام نوافذ الصيانة وإعدادات الطفرة. إذا قررت AKS أن إعادة تعيين العقد ليست ضرورية، فإنه يصحح العقد مباشرة دون استنزاف الحجيرات ولا يقوم بإجراء تحديث VHD. يتحمل هذا الخيار تكلفة إضافية لاستضافة VHDs في مجموعة موارد العقدة الخاصة بك. إذا كنت تستخدم هذه القناة، يتم تعطيل ترقيات Linux غير المراقب بشكل افتراضي.	لا يدعم Azure Linux هذه القناة على الأجهزة الظاهرية التي تدعم وحدة معالجة الرسومات. SecurityPatch يعمل على إصدارات تصحيح kubernetes التي تم إهمالها، طالما أن إصدار Kubernetes الثانوي لا يزال مدعوما. لا يدعم Flatcar Container Linux ل AKSSecurityPatch .
NodeImage	تقوم AKS بتحديث العقد ب VHD مصحح حديثا يحتوي على إصلاحات أمان وإصلاحات الأخطاء على إيقاع أسبوعي. تحديث VHD الجديد معطلة، بعد نوافذ الصيانة وإعدادات الطفرة. لا يتم تكبد تكلفة VHD إضافية عند اختيار هذا الخيار. إذا كنت تستخدم هذه القناة، يتم تعطيل ترقيات Linux غير المراقب بشكل افتراضي. يتم دعم ترقيات صورة العقدة طالما أن الإصدار الثانوي لنظام المجموعة Kubernetes لا يزال في الدعم. يتم اختبار صور العقدة بواسطة AKS وإدارتها بالكامل وتطبيقها مع ممارسات النشر الآمنة.

ما الذي يجب اختياره - قناة SecurityPatch أو قناة NodeImage؟

هناك اعتباران مهمان يمكنك الاختيار بين قنوات SecurityPatch أو NodeImage.

الخاصية	قناة NodeImage	قناة SecurityPatch	القناة الموصى بها
Speed of shipping	يمكن أن تستغرق المخططات الزمنية النموذجية للإنشاء والاختبار والإصدار والإطلاق ل VHD جديد حوالي أسبوعين بعد ممارسات النشر الآمنة. على الرغم من أنه في حالة CVEs، يمكن أن تحدث عمليات الإطلاق المتسارعة على أساس كل حالة على حدة. يمكن مراقبة التوقيت الدقيق عندما يصل VHD جديد إلى منطقة عبر تعقب الإصدار.	إصدارات SecurityPatch أسرع نسبيا من NodeImage، حتى مع ممارسات النشر الآمنة. يتمتع SecurityPatch بميزة "التصحيح المباشر" في بيئات Linux، حيث يؤدي التصحيح إلى "إعادة تصوير" انتقائية ولا يعيد التصوير في كل مرة يتم فيها تطبيق التصحيح. يتم التحكم في إعادة الصورة إذا حدث ذلك بواسطة نوافذ الصيانة.	SecurityPatch
Bugfixes	يحمل إصلاحات الأخطاء بالإضافة إلى إصلاحات الأمان.	يحمل بدقة إصلاحات الأمان فقط.	NodeImage

تعيين قناة التحديث التلقائي لنظام التشغيل للعقدة على نظام مجموعة جديد

Azure CLI

• قم بتعيين قناة الترقية التلقائية لنظام تشغيل العقدة على مجموعة جديدة باستخدام الأمر az aks create مع المعلمة --node-os-upgrade-channel. يعين المثال التالي قناة التحديث التلقائي لنظام التشغيل للعقدة إلى SecurityPatch.

export RANDOM_SUFFIX=$(openssl rand -hex 3)
export RESOURCE_GROUP="myResourceGroup$RANDOM_SUFFIX"
export AKS_CLUSTER="myAKSCluster$RANDOM_SUFFIX"
az aks create \
    --resource-group $RESOURCE_GROUP \
    --name $AKS_CLUSTER \
    --node-os-upgrade-channel SecurityPatch \
    --generate-ssh-keys

مدخل Microsoft Azure

1. في مدخل Microsoft Azure، حدد Create a resource>Containers>Azure Kubernetes Service (AKS).

2. في علامة التبويب Basics ، ضمن Cluster details، حدد نوع القناة المطلوبة من القائمة المنسدلة Node security channel type .

   

3. حدد جدولة قناة الأمان واختر نافذة الصيانة المطلوبة باستخدام ميزة الصيانة المخطط لها. نوصي بتحديد الخيار الافتراضي كل أسبوع يوم الأحد (مستحسن) .

   

4. أكمل الخطوات المتبقية لإنشاء نظام المجموعة.

تعيين قناة الترقية التلقائية لنظام تشغيل العقدة على مجموعة موجودة

• تعيين قناة التحديث التلقائي لنظام تشغيل العقدة على مجموعة موجودة باستخدام الأمر az aks update مع المعلمة --node-os-upgrade-channel. يعين المثال التالي قناة التحديث التلقائي لنظام التشغيل للعقدة إلى SecurityPatch.

az aks update --resource-group $RESOURCE_GROUP --name $AKS_CLUSTER --node-os-upgrade-channel SecurityPatch

النتائج:

{
  "autoUpgradeProfile": {
      "nodeOsUpgradeChannel": "SecurityPatch"
  }
}

مدخل Microsoft Azure

1. في مدخل Microsoft Azure، انتقل إلى نظام مجموعة AKS.

2. في قسم Settings ، حدد Cluster configuration.

3. ضمن تحديثات الأمان، حدد نوع القناة المطلوب من القائمة المنسدلة نوع قناة أمان العقدة.

   

4. بالنسبة لمجدول قناة الأمان، حدد إضافة جدول زمني.

5. في صفحة إضافة جدول الصيانة، قم بتكوين إعدادات نافذة الصيانة التالية باستخدام ميزة الصيانة المخطط لها:

   • التكرارات: حدد التردد المطلوب لنافذة الصيانة. نوصي بتحديد Weekly.
   • Frequency: حدد اليوم المطلوب من الأسبوع لنافذة الصيانة. نوصي بتحديد الأحد.
   • تاريخ بدء الصيانة: حدد تاريخ البدء المطلوب لنافذة الصيانة.
   • وقت بدء الصيانة: حدد وقت البدء المطلوب لنافذة الصيانة.
   • إزاحة UTC: حدد إزاحة UTC المطلوبة لنافذة الصيانة. إذا لم يتم تعيينه، يكون الافتراضي هو +00:00.

   

6. حدد حفظ>تطبيق.

تحديث الملكية والجدول الزمني

يعني إيقاع الإعداد الافتراضي أنه لا توجد نافذة صيانة مخططة مطبقة.

القناة	تحديث الملكية	إيقاع افتراضي
Unmanaged	تحديثات الأمان المستندة إلى نظام التشغيل. لا تتحكم AKS في هذه التحديثات.	ليلا حول 6AM UTC ل Ubuntu وAzure Linux. شهريا لنظام التشغيل Windows.
SecurityPatch	تم اختبار AKS وإدارتها بالكامل وتطبيقها مع ممارسات النشر الآمنة. لمزيد من المعلومات، راجع زيادة الأمان والمرونة لأحمال العمل المتعارف عليها على Azure.	عادة ما يكون أسرع من الأسبوعية، يحدد AKS إيقاع.
NodeImage	تم اختبار AKS وإدارتها بالكامل وتطبيقها مع ممارسات النشر الآمنة. لمزيد من المعلومات في الوقت الحقيقي حول الإصدارات، ابحث عن صور عقدة AKS في متعقب الإصدار	أسبوعي.

إشعار

بينما يتم إصدار تحديثات أمان Windows على أساس شهري، فإن استخدام القناة Unmanaged لن يطبق هذه التحديثات تلقائيا على عقد Windows. إذا اخترت القناة Unmanaged ، فستحتاج إلى إدارة عملية إعادة التشغيل لعقد Windows.

القيود المعروفة لقناة العقدة

• حاليا، عند تعيين قناة autoupgrade إلى node-image، فإنه يقوم أيضا تلقائيا بتعيين قناة الترقية التلقائية لنظام التشغيل العقدة إلى NodeImage. لا يمكنك تغيير قيمة قناة الترقية التلقائية لنظام التشغيل للعقدة إذا كانت قناة التحديث التلقائي لنظام المجموعة الخاصة بك node-image. لتعيين قيمة قناة الترقية التلقائية لنظام التشغيل للعقدة، تحقق من قناة التحديث التلقائي لنظام المجموعة غير node-image.

• SecurityPatch القناة غير مدعومة على تجمعات عقد نظام التشغيل Windows.

إشعار

استخدم الإصدار 2.61.0 من CLI أو أعلى للقناة SecurityPatch .

نوافذ الصيانة المخططة لنظام تشغيل العقدة

تبدأ الصيانة المخطط لها للترقية التلقائية لنظام التشغيل للعقدة في نافذة الصيانة المحددة.

إشعار

لضمان الوظائف المناسبة، استخدم نافذة صيانة من أربع ساعات أو أكثر.

لمزيدٍ من المعلومات، راجع استخدم الصيانة المخطط لها لجدولة نوافذ الصيانة لنظام مجموعة Azure Kubernetes Service (AKS) .

الأسئلة المتداولة حول الترقية التلقائية لنظام تشغيل العقدة

كيف يمكنني التحقق من قيمة nodeOsUpgradeChannel الحالية على نظام مجموعة؟

az aks show قم بتشغيل الأمر وتحقق من "autoUpgradeProfile" لتحديد القيمة التي nodeOsUpgradeChannel تم تعيينها إلى:

az aks show --resource-group $RESOURCE_GROUP --name $AKS_CLUSTER --query "autoUpgradeProfile"

النتائج:

{
  "nodeOsUpgradeChannel": "SecurityPatch"
}

كيف يمكنني مراقبة حالة التحديثات التلقائية لنظام التشغيل للعقدة؟

لعرض حالة الترقيات التلقائية لنظام التشغيل العقدة الخاصة بك، ابحث عن سجلات النشاط على نظام المجموعة الخاص بك. يمكنك أيضا البحث عن أحداث معينة متعلقة بالترقية كما هو مذكور في ترقية نظام مجموعة AKS. تصدر AKS أيضا أحداث Event Grid المتعلقة بالترقية. لمعرفة المزيد، راجع AKS كمصدر شبكة الأحداث.

هل يمكنني تغيير قيمة قناة الترقية التلقائية لنظام التشغيل للعقدة إذا تم تعيين قناة الترقية التلقائية لنظام المجموعة إلى node-image؟

‏‏لا. حاليا، عند تعيين قناة autoupgrade إلى node-image، فإنه يقوم أيضا تلقائيا بتعيين قناة الترقية التلقائية لنظام التشغيل العقدة إلى NodeImage. لا يمكنك تغيير قيمة قناة الترقية التلقائية لنظام التشغيل للعقدة إذا كانت قناة التحديث التلقائي لنظام المجموعة الخاصة بك node-image. لكي تتمكن من تغيير قيم قناة الترقية التلقائية لنظام التشغيل للعقدة، تأكد من عدم قناة node-image .

لماذا يوصى SecurityPatch باستخدام القناة Unmanaged ؟

على القناة Unmanaged ، لا تتحكم AKS في كيفية ووقت تسليم تحديثات الأمان. مع SecurityPatch، يتم اختبار تحديثات الأمان بالكامل واتباع ممارسات النشر الآمنة. SecurityPatch كما يكرم نوافذ الصيانة. لمزيد من المعلومات، راجع زيادة الأمان والمرونة لأحمال العمل المتعارف عليها على Azure.

هل SecurityPatch يؤدي دائما إلى إعادة تعيين العقد الخاصة بي؟

تحد AKS من إعادة الرسم إلى عند الضرورة فقط، مثل حزم نواة معينة قد تتطلب إعادة رسم للحصول على تطبيق كامل. SecurityPatch تم تصميمه لتقليل الاضطرابات قدر الإمكان. إذا قررت AKS أن إعادة تعيين العقد ليست ضرورية، فإنه يصحح العقد مباشرة دون استنزاف الجرابات ولا يتم إجراء تحديث VHD في مثل هذه الحالات.

SecurityPatch لماذا تتطلب القناة الوصول snapshot.ubuntu.com إلى نقطة النهاية؟

مع القناة SecurityPatch ، يجب على عقد نظام مجموعة Linux تنزيل تصحيحات الأمان والتحديثات المطلوبة من خدمة لقطة ubuntu الموضحة في عمليات نشر ubuntu-snapshots-on-azure-ensuring-predictability-and-consistency-in-cloud-deployments.

كيف أعمل معرفة ما إذا كان SecurityPatch يتم تطبيق أو NodeImage ترقية على العقدة الخاصة بي؟

kubectl get nodes --show-labels قم بتشغيل الأمر لسرد العقد في نظام المجموعة وتسمياتها.

من بين التسميات التي تم إرجاعها، يجب أن تشاهد سطرا مشابها للإخراج التالي:

kubernetes.azure.com/node-image-version=AKSUbuntu-2204gen2containerd-202410.27.0-2024.12.01

هنا، إصدار صورة العقدة الأساسية هو AKSUbuntu-2204gen2containerd-202410.27.0. إذا كان ذلك ممكنا، عادة ما يتبع إصدار تصحيح الأمان. في المثال أعلاه، يكون 2024.12.01.

كما يمكن البحث عن نفس التفاصيل في مدخل Microsoft Azure ضمن عرض تسمية العقدة:

الخطوات التالية

للحصول على مناقشة مفصلة حول أفضل ممارسات الترقية والاعتبارات الأخرى، راجع تصحيح AKS وإرشادات الترقية.