الأسئلة المتداولة عن AKS

توفر AKS ضمانات اتفاقية مستوى الخدمة في مستوى التسعير القياسي مع ميزة اتفاقية مستوى الخدمة في وقت التشغيل.

دعم النظام الأساسي هو خطة دعم مخفضة لمجموعات الإصدار "N-3" غير المدعومة. يتضمن دعم النظام الأساسي دعم البنية الأساسية ل Azure فقط.

لمزيد من المعلومات، راجع نهج دعم النظام الأساسي.

نعم، يبدأ AKS الترقيات التلقائية للمجموعات غير المدعومة. عندما يكون نظام مجموعة في إصدار n-3 (حيث n هو أحدث إصدار ثانوي مدعوم من AKS GA) على وشك الإفلات إلى n-4، تقوم AKS تلقائيا بترقية نظام المجموعة إلى n-2 للبقاء في نهج دعم AKS.

لمزيد من المعلومات، راجع إصدارات Kubernetes المدعومة ونوافذ الصيانة المخطط لها والترقيات التلقائية.

نعم، تدعم AKS حاويات Windows Server. لمزيد من المعلومات، راجع حاويات Windows Server على AKS.

تتم فوترة عُقَد عامل AKS كأجهزة ظاهرية قياسية لـ Azure. إذا قمت بشراء حجوزات Azure لحجم الجهاز الظاهري الذي تستخدمه في AKS، يتم تطبيق هذه الخصومات تلقائيا.

لا، نقل نظام مجموعة AKS الخاص بك بين المستأجرين غير مدعوم حاليا.

لا، نقل نظام مجموعة AKS بين الاشتراكات غير مدعوم حاليا.

لا، لا يتم دعم نقل نظام مجموعة AKS والموارد المرتبطة به أو إعادة تسميتها.

لا، لا يمكنك استعادة نظام المجموعة بعد حذفه. عند حذف نظام المجموعة، يتم أيضا حذف مجموعة موارد العقدة وجميع مواردها.

إذا كنت ترغب في الاحتفاظ بأي من مواردك، فانقلها إلى مجموعة موارد أخرى قبل حذف نظام المجموعة. إذا كنت ترغب في الحماية من الحذف العرضي، يمكنك تأمين مجموعة الموارد المدارة من AKS التي تستضيف موارد نظام المجموعة باستخدام تأمين مجموعة موارد العقدة.

يمكنك إيقاف نظام مجموعة AKS قيد التشغيل بالكامل أو تغيير الحجم أو التحجيم التلقائي لجميع أو تجمعات العقد المحددة User إلى الصفر.

لا يمكنك تحجيم تجمعات عقدة النظام مباشرة إلى الصفر.

لا، عمليات التحجيم باستخدام واجهات برمجة تطبيقات مجموعة مقياس الجهاز الظاهري غير مدعومة. يمكنك استخدام واجهات برمجة تطبيقات AKS (az aks scale).

لا، عمليات التحجيم باستخدام واجهات برمجة تطبيقات مجموعة مقياس الجهاز الظاهري غير مدعومة. يمكنك استخدام واجهة برمجة تطبيقات AKS لتوسيع نطاق تجمعات العقد غير النظامية إلى الصفر أو إيقاف نظام المجموعة بدلا من ذلك.

لا، هذا ليس تكوينا مدعوما. قم بإيقاف مقطع التخزين بدلًا من ذلك.

لا، عمليات التحجيم باستخدام واجهات برمجة تطبيقات مجموعة مقياس الجهاز الظاهري غير مدعومة. يمكنك استخدام واجهات برمجة تطبيقات AKS (az aks scale). تعتمد AKS على العديد من موارد البنية الأساسية ل Azure، بما في ذلك مجموعات مقياس الجهاز الظاهري والشبكات الظاهرية والأقراص المدارة. تمكنك عمليات التكامل هذه من تطبيق العديد من القدرات الأساسية للنظام الأساسي Azure داخل بيئة Kubernetes المدارة التي توفرها AKS. على سبيل المثال، يمكن استخدام معظم أنواع الأجهزة الظاهرية Azure مباشرة مع AKS ويمكن استخدام Azure Reservations لتلقي خصومات على هذه الموارد تلقائيًّا.

لتمكين هذه البنية، يمتد كل نشر AKS لمجموعتي موارد:

1. إنشاء مجموعة الموارد الأولى. تحتوي هذه المجموعة على مورد خدمة Kubernetes فقط. يقوم موفر موارد AKS بإنشاء مجموعة الموارد الثانية تلقائيًّا أثناء التوزيع. مثال لمجموعة الموارد الثانية هو MC_myResourceGroup_myAKSCluster_eastus. للحصول على معلومات حول كيفية تحديد اسم مجموعة الموارد الثانية هذه، راجع المقطع التالي.
2. تحتوي مجموعة الموارد الثانية، المعروفة باسم مجموعة موارد العقدة،على كافة موارد البنية الأساسية المقترنة بمقطع التخزين. تتضمن هذه الموارد عقدة Kubernetes VMs والشبكات الظاهرية والتخزين. بشكل افتراضي، مجموعة موارد العقدة اسم مثل MC_myResourceGroup_myAKSCluster_eastus. تحذف AKS تلقائيا مجموعة موارد العقدة كلما حذفت نظام المجموعة. يجب استخدام نظام المجموعة هذا فقط للموارد التي تشترك في دورة حياة نظام المجموعة.

بشكل افتراضي، تقوم AKS بتسمية مجموعة موارد العقدة MC_resourcegroupname_clustername_location، ولكن يمكنك توفير اسمك الخاص.

لتحديد اسم مجموعة الموارد الخاصة بك، قم بتثبيت الإصدار الملحق واجهة سطر الأوامر Azure CLI من aks-preview0.3.2 أو أحدث. عند إنشاء نظام مجموعة AKS باستخدام الأمر [az aks create][az-aks-create]، استخدم المعلمة --node-resource-group وحدد اسما لمجموعة الموارد. إذا كنت تستخدم قالب Azure Resource Manager لنشر مجموعة AKS، يمكنك تعريف اسم مجموعة الموارد باستخدام خاصية nodeResourceGroup .

• يقوم موفر موارد Azure تلقائيا بإنشاء مجموعة الموارد الثانوية.
• يمكنك تحديد اسم مجموعة موارد مخصصة فقط عند إنشاء مقطع التخزين.

أثناء العمل مع مجموعة موارد العقدة، ضع في اعتبارك أنه لا يمكنك:

• تحديد مجموعة موارد موجودة لمجموعة موارد العقدة.
• تحديد اشتراك مختلف لمجموعة موارد العقدة.
• تغيير اسم مجموعة موارد العقدة بعد إنشاء مقطع التخزين.
• تحديد أسماء الموارد المدارة ضمن مجموعة موارد العقدة.
• تعديل أو حذف العلامات Azure المنشأة للموارد المدارة ضمن مجموعة موارد العقدة.

قد تحصل على أخطاء غير متوقعة في التحجيم والترقية إذا قمت بتعديل أو حذف العلامات التي تم إنشاؤها بواسطة Azure وخصائص الموارد الأخرى في مجموعة موارد العقدة. يسمح لك AKS بإنشاء وتعديل العلامات المخصصة التي تم إنشاؤها بواسطة المستخدمين النهائيين، ويمكنك إضافة هذه العلامات عند إنشاء تجمع عقدة. قد ترغب في إنشاء علامات مخصصة أو تعديلها، على سبيل المثال، لتعيين وحدة أعمال أو مركز تكلفة. خيار آخر هو إنشاء نهج Azure مع نطاق على مجموعة الموارد المدارة.

يتم إنشاء العلامات التي تم إنشاؤها بواسطة Azure لخدمات Azure الخاصة بها ويجب السماح بها دائما. بالنسبة إلى AKS، هناك علامات aks-managed و k8s-azure . يعد تعديل أي علامات تم إنشاؤها بواسطة Azure على الموارد ضمن مجموعة موارد العقدة في نظام مجموعة AKS إجراء غير مدعوم، والذي يكسر هدف مستوى الخدمة (SLO).

للحصول على قائمة كاملة بالمناطق المتاحة، راجع مناطق AKS ومدى توفرها.

لا، مجموعات AKS هي موارد إقليمية ولا يمكن أن تمتد عبر المناطق. راجع أفضل الممارسات لاستمرارية العمل والتعافي من الكوارث للحصول على إرشادات حول كيفية إنشاء بنية تتضمن مناطق متعددة.

نعم، يمكنك نشر نظام مجموعة AKS عبر منطقة توفر واحدة أو أكثر في المناطق التي تدعمها.

نعم، يمكنك استخدام أحجام مختلفة للأجهزة الظاهرية في نظام مجموعة AKS الخاص بك عن طريق إنشاء تجمعات عقد متعددة.

لا تقوم AKS بتعيين حد لحجم صورة الحاوية. ومع ذلك، من المهم أن نفهم أنه كلما كانت الصورة أكبر، زاد الطلب على الذاكرة. قد يتجاوز الحجم الأكبر حدود الموارد أو الذاكرة الإجمالية المتوفرة للعقد العاملة. بشكل افتراضي، تُعيّن الذاكرة لحجم الجهاز الظاهري Standard_DS2_v2 لمجموعة AKS إلى 7 غيغابايت.

عندما تكون صورة الحاوية كبيرة بشكل كبير، كما هو الحال في نطاق تيرابايت (TBs)، قد لا يتمكن kubelet من سحبها من سجل الحاوية إلى عقدة بسبب نقص مساحة القرص.

بالنسبة لعقد Windows Server، لا يتم تشغيل تحديث Windows تلقائيًّا وتطبيق آخر التحديثات. على جدول منتظم حول دورة إصدار تحديث Windows Update وعملية التحقق من الصحة الخاصة بك، يجب إجراء ترقية على مقطع تخزين وتجمع عقدة خادم Windows (التجمعات) في مقطع تخزين AKS الخاص بك. عملية الترقية هذه بإنشاء العقد التي تقوم بتشغيل أحدث Windows Server صورة وتصحيحات، ثم إزالة العقد القديمة. لمزيد من المعلومات حول هذه العملية، راجع ترقية تجمع عقدة في AKS.

تحتوي الصور التالية على متطلبات وظيفية لـ "تشغيل كجذر" ويلزم تقديم استثناءات لأي نهج:

• mcr.microsoft.com/oss/kubernetes/coredns
• mcr.microsoft.com/azuremonitor/containerinsights/ciprod
• mcr.microsoft.com/oss/calico/node
• mcr.microsoft.com/oss/kubernetes-csi/azuredisk-csi

نعم، هناك خياران للحد من الوصول إلى خادم API:

• استخدم نطاقات IP المعتمدة من خادم API إذا كنت تريد الاحتفاظ بنقطة نهاية عامة لخادم API ولكن تقييد الوصول إلى مجموعة نطاقات IP الموثوق بها.
• استخدم مقطع تخزين خاص إذا كنت تريد تحديد خادم API للوصول فقط من داخل شبكة الاتصال الظاهرية الخاصة بك.

تقوم AKS بتصحيح CVEs التي تحتوي على "إصلاح المورد" كل أسبوع. تنتظر CVEs بدون إصلاح "إصلاح المورد" قبل أن يمكن معالجتها. يتم تحديث صور AKS تلقائيا خلال 30 يوما. نوصي بتطبيق صورة عقدة محدثة على إيقاع منتظم للتأكد من تطبيق أحدث الصور المصححة وتصحيحات نظام التشغيل وتحديثها. يمكنك القيام بذلك باستخدام إحدى الطرق التالية:

• يدويًّا، من خلال مدخل Azure أو واجهة سطر الأوامر Azure CLI.
• عن طريق ترقية مقطع تخزين AKS. يطوّر مقطع تخزينالطوق واستنزاف العقد تلقائيًّا، ومن ثم جلب عقدة جديدة متصلة على الإنترنت مع أحدث نسخة Ubuntu وإصدار التصحيح الجديد أو نسخة Kubernetes طفيفة. لمزيد من المعلومات، راجع الترقية إلى مقطع تخزين AKS.
• باستخدام ترقية نسخة العقدة.

توفّر Microsoft إرشادات للإجراءات الأخرى التي يمكنك اتخاذها لتأمين أحمال العمل الخاصة بك من خلال خدمات مثل Microsoft Defender for Containers. يرتبط التهديد الأمني التالي ب AKS وKubernetes التي يجب أن تكون على علم بها:

• تستهدف حملة جديدة واسعة النطاق Kubeflow (8 يونيو 2021).

لا، يتم تخزين جميع البيانات في منطقة نظام المجموعة.

تقليديا إذا كان الجراب الخاص بك يعمل كمستخدم غير متجاوز للاخطاء (وهو ما يجب عليك)، يجب تحديد fsGroup داخل سياق أمان pod بحيث يمكن قراءة وحدة التخزين والكتابة بواسطة Pod. يتم تناول هذا المطلب بمزيد من التفصيل هنا.

يتمثل أحد الآثار الجانبية للإعداد fsGroup في أنه في كل مرة يتم فيها تحميل وحدة تخزين، يجب أن يتكرر chown() Kubernetes وجميع chmod() الملفات والدلائل داخل وحدة التخزين (مع بعض الاستثناءات المذكورة أدناه). يحدث هذا السيناريو حتى إذا كانت ملكية مجموعة وحدة التخزين تتطابق بالفعل مع المطلوب fsGroup. يمكن أن يكون مكلفا لوحدات التخزين الكبيرة مع الكثير من الملفات الصغيرة، ما قد يؤدي إلى بدء تشغيل الجراب يستغرق وقتا طويلا. شكّل هذا السيناريو مشكلة شائعة قبل الإصدار 1.20 وإن الحل البديل بتشغيل المجموعة كجذر:

apiVersion: v1
kind: Pod
metadata:
  name: security-context-demo
spec:
  securityContext:
    runAsUser: 0
    fsGroup: 0

حُلّت المشكلة باستخدام Kubernetes الإصدار 1.20. لمزيد من المعلومات، راجع Kubernetes 1.20: Granular Control of Volume Permission Changes.

يستخدم AKS اتصال نفق آمن للسماح لخادم api وkubelets العقدة الفردية للاتصال حتى على شبكات ظاهرية مُنفصلة. يتم تأمين النفق من خلال تشفير mTLS. النفق الرئيسي الحالي الذي تستخدمه خدمة AKS هو Konnectivity، المعروف سابقًا باسم apiserver-network-proxy. تحقّق من أن جميع قواعد الشبكة تتبع قواعد الشبكة المطلوبة من Azure وFQDNs.

نعم، يمكنك إضافة التعليق التوضيحي kubernetes.azure.com/set-kube-service-host-fqdn إلى pods لتعيين KUBERNETES_SERVICE_HOST المتغير إلى اسم المجال لخادم API بدلا من IP خدمة داخل نظام المجموعة. وهذا مفيد في الحالات التي يتم فيها خروج نظام المجموعة الخاص بك عبر جدار حماية الطبقة 7، مثل عند استخدام جدار حماية Azure مع قواعد التطبيق.

لا تُطبق AKS مجموعات أمان الشبكة (NSGs) على شبكتها الفرعية ولا تعدل أيّاً من مجموعات أمان الشبكة المرتبطة بتلك الشبكة الفرعية. تعدّل AKS إعدادات مجموعات أمان الشبكة لواجهات الشبكة فقط. إذا كنت تستخدم CNI، يجب عليك أيضًا التأكد من أن قواعد الأمان في NSGs تسمح بحركة المرور بين العقدة ونطاقات CIDR. في حال كنت تستخدم kubenet، عليك أيضًا التأكد من أن قواعد الأمان في NSGs تسمح بحركة المرور بين العقدة ومجموعة CIDR. للحصول على مزيٍد من المعلومات، راجع مجموعة أمان الشبكة.

تشغل عقد AKS خدمة "الترتيب الزمني"، والتي تسحب الوقت من المضيف المحلي. تحصل الحاويات التي تعمل على pods على الوقت من عقد AKS. التطبيقات التي تم تشغيلها داخل حاوية وقت الاستخدام من حاوية pod.

لا، إن AKS هي خدمة مدارة، والتلاعب بموارد IaaS غير مدعوم. لتثبيت مكونات مخصصة، استخدم واجهات برمجة التطبيقات Kubernetes APIs وآلياتها. على سبيل المثال، استخدم DaemonSets لتثبيت المكونات المطلوبة.

تدعم AKS وحدات التحكم التالية للقبول:

• NamespaceLifecycle
• LimitRanger
• حساب الخدمة
• الفئة الافتراضية
• DefaultStorageClass
• DefaultTolerationSeconds
• MutatingAdmissionWebhook
• ValidatingAdmissionWebhook
• ResourceQuota
• PodNodeSelector
• PodTolerationRestriction
• ExtendedResourceToleration

حاليًّا، لا يمكنك تعديل قائمة وحدات تحكم القبول في AKS.

نعم، يمكنك استخدام خطافات الويب لوحدة تحكم القبول على AKS. من المستحسن استبعاد مساحات أسماء AKS الداخلية، والتي تم وضع علامة عليها بتسمية مستوى التحكم. على سبيل المثال:

namespaceSelector:
    matchExpressions:
    - key: control-plane
      operator: DoesNotExist

جدران الحماية AKS تسمح لخادم API بالخروج حتى webhooks تحكم القبول الخاص بك تحتاج إلى أن تكون متاحة من داخل مقطع التخزين.

لحماية استقرار النظام ومنع وحدات تحكم القبول المخصصة من التأثير على الخدمات الداخلية في نظام kube، فإنه يحتوي مساحة اسم AKS على منفذ القبول، والذي يستبعد تلقائيًّا نظام kube ومساحات الأسماء الداخلية AKS. تضمن هذه الخدمة عدم تأثير وحدات تحكم القبول المخصصة على الخدمات التي تعمل بنظام kube.

إذا كانت لديك حالة استخدام حرجة لنشر شيء ما على نظام kube (غير مستحسن) لدعم خطاف الويب المخصص للقبول، يمكنك إضافة التسمية أو التعليق التوضيحي التالي بحيث يتجاهله فرض القبول.

التسمية: "admissions.enforcer/disabled": "true" أو التعليق التوضيحي: "admissions.enforcer/disabled": true

يوفّر موفر Azure Key Vault لبرنامج تشغيل CSI لمخزن البيانات السرية التكامل الأصلي لـ Azure Key Vault في AKS.

يتم الآن دعم العقد التي تدعم FIPS على تجمعات العقد المستندة إلى Linux. لمزيد من المعلومات، راجع Add a FIPS-enabled node pool.

يتم تطبيق أي تصحيح، بما في ذلك تصحيح الأمان، تلقائيا على نظام مجموعة AKS. يتم تحديث أي شيء أكبر من التصحيح، مثل تغييرات الإصدار الرئيسية أو الثانوية (التي يمكن أن تحتوي على تغييرات فاصلة على الكائنات المنشورة)، عند تحديث نظام المجموعة الخاص بك إذا كان هناك إصدار جديد متوفر. يمكنك العثور على وقت توفر إصدار جديد من خلال زيارة ملاحظات إصدار AKS.

ملحق AKS Linux هو ملحق Azure VM يقوم بتثبيت وتكوين أدوات المراقبة على عقد عامل Kubernetes. يتم تثبيت الملحق على جميع عقد Linux الجديدة والحالية. يقوم بتكوين أدوات المراقبة التالية:

• مصدر العقدة: يجمع بيانات تتبع الاستخدام للأجهزة من الجهاز الظاهري ويجعلها متاحة باستخدام نقطة نهاية المقاييس. بعد ذلك، تكون أداة المراقبة، مثل Prometheus، قادرة على استخراج هذه المقاييس.
• Node-problem-detector: يهدف إلى جعل مشاكل العقد المختلفة مرئية لطبقات المصدر في مكدس إدارة نظام المجموعة. إنها وحدة نظامية تعمل على كل عقدة، وتكتشف مشكلات العقدة، وتقاريرها إلى خادم واجهة برمجة تطبيقات نظام المجموعة باستخدام الأحداث وNodeConditions.
• ig: إطار عمل مفتوح المصدر مدعوم من eBPF لتصحيح أخطاء أنظمة Linux وKubernetes ومراقبتها. يوفر مجموعة من الأدوات (أو الأدوات الذكية) المصممة لجمع المعلومات ذات الصلة، ما يسمح للمستخدمين بتحديد سبب مشكلات الأداء أو الأعطال أو الحالات الشاذة الأخرى. وتجدر الإشارة إلى أن استقلالها عن Kubernetes يمكن المستخدمين من استخدامها أيضا لتصحيح مشكلات وحدة التحكم.

تساعد هذه الأدوات على توفير إمكانية الملاحظة حول العديد من المشاكل المتعلقة بصحة العقدة، مثل:

• مشكلات البرنامج الخفي للبنية الأساسية: خدمة NTP معطلة
• مشكلات الأجهزة: وحدة المعالجة المركزية (CPU) أو الذاكرة أو القرص غير الصالح
• مشكلات Kernel: توقف Kernel التام، نظام الملفات التالفة
• مشكلات وقت تشغيل الحاوية: البرنامج الخفي لوقت التشغيل غير المستجيب

لا يتطلب الملحق وصولا خارجيا إضافيا إلى أي عناوين URL أو عناوين IP أو منافذ تتجاوز متطلبات خروج AKS الموثقة. لا يتطلب أي أذونات خاصة تم منحها في Azure. يستخدم kubeconfig للاتصال بخادم API لإرسال بيانات المراقبة التي تم جمعها.

يتم حذف معظم المجموعات بناء على طلب المستخدم. في بعض الحالات، خاصة الحالات التي تحضر فيها مجموعة الموارد الخاصة بك أو تقوم بتنفيذ مهام عبر RG، قد يستغرق الحذف وقتا أكثر أو حتى يفشل. إذا كانت لديك مشكلة في عمليات الحذف، فتحقق من عدم وجود تأمينات على RG، وأن أي موارد خارج RG غير مرتبطة ب RG، وهكذا.

إذا كانت لديك مشكلات في إنشاء وتحديث عمليات نظام المجموعة، فتأكد من عدم وجود أي نهج أو قيود خدمة معينة قد تمنع نظام مجموعة AKS من إدارة الموارد مثل الأجهزة الظاهرية وموازنات التحميل والعلامات وما إلى ذلك.

يمكنك ذلك، ولكننا لا نوصي بذلك. يجب إجراء التحديثات عندما تكون حالة نظام المجموعة معروفة وصحية.

لا، احذف/أزل أي عقد في حالة فشل أو غير ذلك من نظام المجموعة قبل الترقية.

الأكثر شيوعا، ينشأ هذا الخطأ إذا كان لديك مجموعة أمان شبكة واحدة أو أكثر (NSGs) لا تزال قيد الاستخدام المقترنة بالمجموعة. إزالتها ومحاولة حذف مرة أخرى.

تأكد من أن أصل الخدمة لم تنته صلاحيته. راجع كيان خدمة AKS وبيانات اعتماد تحديث AKS.

تأكد من أن أصل الخدمة لم تنته صلاحيته. راجع كيان خدمة AKS وبيانات اعتماد تحديث AKS.