Support policies for Azure Kubernetes Service

تصف هذه المقالة سياسات الدعم الفني والقيود الخاصة بخدمة خدمة Azure Kubernetes ‏(AKS). كما أنه يفصل إدارة عقدة العامل ومكونات وحدة التحكم المدارة ومكونات المصدر المفتوح التابعة لجهة خارجية وإدارة الأمان أو التصحيح.

تحديثات وإصدارات الخدمة

  • لمعلومات الإصدار، راجع AKS releasenotes.
  • للحصول على معلومات حول ميزات المعاينة، راجع <خارطة الطريق c0>AKS.

الميزات المُدارة في AKS

AKS هو مزيج من البنية التحتية كخدمة (IaaS) والمنصة كخدمة (PaaS). مكونات السحابة الأساسية لIaaS، مثل مكونات الحوسبة أو الشبكات، تتيح لك الوصول إلى عناصر تحكم منخفضة المستوى وخيارات تخصيص. على النقيض من ذلك، يوفر AKS توزيع Kubernetes تسليم المفتاح الذي يمنحك مجموعة مشتركة من التكوينات والقدرات التي تحتاجها لنظام المجموعة الخاص بك. بصفتك مستخدم AKS، لديك خيارات تخصيص ونشر محدودة. في المقابل، لا داعي للقلق بشأن مجموعات Kubernetes أو إدارتها مباشرةً.

مع AKS، يمكنك الحصول على وحدة تحكم مدارة بالكامل. تحتوي وحدة التحكم على جميع المكونات والخدمات التي تحتاجها لتشغيل مجموعات Kubernetes وتسليمها للمستخدمين النهائيين. تقوم Microsoft بصيانة وتشغيل جميع مكونات Kubernetes.

تدير Microsoft وتراقب المكونات التالية عبر مستوى التحكم:

  • خوادم Kubelet أو Kubernetes.
  • etcd أو مخزن قيم المفاتيح المتوافق، يوفر جودة الخدمة (QoS)، وقابلية التوسع، ووقت التشغيل.
  • خدمات DNS مثل kube-dns أو CoreDNS.
  • بروكسي كوبيرنتيز أو الشبكات، إلا عند استخدام BYOCNI .
  • أي وظائف إضافية أخرى أو مكون نظام قيد التشغيل في مساحة اسم نظام kube.

بعض المكونات، مثل عقد الوكلاء، لها مسؤولية مشتركة، حيث يجب عليك المساعدة في صيانة عنقود AKS. يلزم إدخال المستخدم، على سبيل المثال، لتطبيق تصحيح أمان لنظام تشغيل عقدة الوكيل (OS).

الخدمات مدارة بمعنى أن Microsoft وفريق AKS ينشرون ويشغلون ويتولى مسؤولية توفر الخدمة ووظائفها. لا يمكن للعملاء تغيير هذه المكونات المدارة. تحد Microsoft من التخصيص لضمان تجربة مستخدم متسقة وقابلة للتوسع.

المسؤولية المشتركة

عندما يتم إنشاء مجموعة، فإنك تحدد عُقد وكيل Kubernetes التي تنشئها AKS. يتم تنفيذ أحمال العمل الخاصة بك على هذه العقد.

نظرا لأن عقد الوكلاء لديك تنفذ شيفرة خاصة وتخزن بيانات حساسة، يمكن ل Microsoft Support الوصول إليها بطريقة محدودة فقط. لا يمكن لدعم Microsoft Support تسجيل الدخول أو تنفيذ الأوامر أو عرض السجلات لهذه العقد دون إذنك الصريح أو مساعدتك.

أي تعديل يتم إجراؤه مباشرة على عقد العامل باستخدام أي من واجهات برمجة تطبيقات IaaS يجعل نظام المجموعة غير مدعوم. أي تعديل يطبق على عقد الوكيل يجب أن يتم باستخدام آليات أصلية في كوبيرنتيز مثل .DaemonSet

وبالمثل، رغم أنك قد تضيف أي بيانات وصفية إلى المجموعة والعقد، مثل العلامات والتسميات، فإن تغيير أي من البيانات الوصفية التي ينشئها النظام يجعل العنقود غير مدعومة.

تغطية دعم AKS

تصف الأقسام التالية السيناريوهات المدعومة وغير المدعومة للدعم الفني ل AKS.

السيناريوهات المدعومة

توفر Microsoft الدعم الفني للأمثلة التالية:

  • الاتصال بجميع مكونات كوبيرنتيز التي توفرها وتدعمها خدمة كوبيرنيتس، مثل خادم واجهة برمجة التطبيقات (API).
  • الإدارة، وقت التشغيل، جودة الخدمة (QoS)، وعمليات خدمات مستوى التحكم في كوبيرنتيز مثل مستوى تحكم كوبيرنيتس، خادم API، etcdوcoreDNS.
  • etcd مخزن البيانات. يشمل الدعم نسخا احتياطية آلية وشفافة لجميع etcd البيانات كل 30 دقيقة للتخطيط للكوارث واستعادة حالة العنقود. لا تتوفر هذه النسخ الاحتياطية مباشرة لك أو لأي شخص آخر. أنها تضمن موثوقية البيانات والاتساق. التراجع أو الاستعادة عند الطلب غير مدعوم كميزة.
  • أي نقاط تكامل في برنامج تشغيل مزود السحابة Azure ل Kubernetes. تشمل هذه التكاملات مع خدمات Azure أخرى مثل موازن الأحمال، والأحجام الدائمة، أو الشبكات (كوبيرنتيز و Azure CNI، باستثناء الحالات التي يكون فيها BYOCNI قيد الاستخدام).
  • أسئلة أو قضايا حول تخصيص مكونات مستوى التحكم مثل خادم Kubernetes API ، etcdو coreDNS.
  • مشاكل في الشبكات، مثل Azure CNI أو Kubenet أو غيرها من مشاكل الوصول والوظائف الشبكية، باستثناء استخدام BYOCNI. يمكن أن تتضمن المشكلات حل DNS وفقدان الحزمة والتوجيه وما إلى ذلك. تدعم Microsoft سيناريوهات شبكة متنوعة:
    • Kubenet و Azure CNI باستخدام شبكات VNET المدارة أو مع شبكات فرعية مخصصة (أحضر شباك خاصة).
    • الاتصال بخدمات وتطبيقات Azure الأخرى.
    • وحدات تحكم الدخول المدارة من Microsoft أو إعدادات موازن الأحمول.
    • أداء الشبكة وكمون التأخير.
    • مكونات ووظائف <سياسات >c0network المدارة Microsoft.

أي إجراءات تجمعية تقوم بها Microsoft/AKS تتم بموافقتك بموجب دور Kubernetes المدمج aks-service وربط الدور المدمج aks-service-rolebinding، الذي يربط الدور بهوية خدمة aks-support Microsoft Support. يمكّن هذا الدور AKS من استكشاف مشكلات المجموعة وتشخيصها، ولكن لا يمكنه تعديل الأذونات أو إنشاء أدوار أو ارتباطات أدوار أو إجراءات امتياز أخرى عالية. لا يتم تمكين الوصول إلى الدور إلا في ظل تذاكر الدعم النشطة مع الوصول في الوقت المناسب (JIT) فقط.

سيناريوهات غير معتمدة

لا توفر Microsoft الدعم الفني للسيناريوهات التالية:

  • أسئلة حول كيفية استخدام Kubernetes. على سبيل المثال، لا يقدم Microsoft Support نصائح حول كيفية إنشاء وحدات تحكم دخول مخصصة، أو استخدام أعباء عمل التطبيقات، أو تطبيق حزم أو أدوات برمجية من طرف ثالث أو مفتوح المصدر.

    يمكن لدعم Microsoft Support تقديم المشورة حول وظائف تجمع AKS، والتخصيص، والضبط (على سبيل المثال، مشاكل وإجراءات عمليات Kubernetes).

  • مشاريع الجهات الخارجية مفتوحة المصدر التي لم يتم توفيرها كجزء من مستوى التحكم Kubernetes أو تم نشرها مع مجموعات AKS. قد تشمل هذه المشاريع Istio أو Helm أو Envoy أو غيرهم.

    يمكن ل Microsoft تقديم أفضل دعم ممكن لمشاريع مفتوحة المصدر من طرف ثالث مثل Helm. حيث تتكامل أداة المصدر المفتوح من طرف ثالث مع مزود Kubernetes Azure السحابي أو أخطاء أخرى خاصة ب AKS، تدعم Microsoft أمثلة وتطبيقات من وثائق Microsoft.

  • برنامج مغلق المصدر من جهة خارجية. يمكن أن يشتمل هذا البرنامج على أدوات فحص الأمان وأجهزة الشبكات أو البرامج.

  • تكوين أو استكشاف أخطاء التعليمات البرمجية الخاصة بالتطبيق أو سلوك تطبيقات الجهات الخارجية أو الأدوات التي تعمل داخل نظام مجموعة AKS. يتضمن ذلك مشكلات نشر التطبيق غير المتعلقة بالنظام الأساسي ل AKS نفسه.

  • إصدار الشهادات أو تجديدها أو إدارتها للتطبيقات التي تعمل على AKS.

  • تخصيصات الشبكة بخلاف تلك المدرجة في وثائق AKS. على سبيل المثال، لا يمكن Microsoft Support تكوين الأجهزة أو الأجهزة الافتراضية المصممة لتوفير حركة المرور الصادرة لعنقود AKS، مثل شبكات VPN أو الجدران النارية.

    على أساس أفضل جهد، قد ينصح Microsoft Support بكيفية الإعدادات المطلوبة ل Azure Firewall، لكن ليس لأجهزة طرف ثالث أخرى.

  • مكونات CNI الإضافية المخصصة أو الخارجية المستخدمة في وضع BYOCNI .

  • إعداد أو استكشاف مشاكل سياسات الشبكات غير المدارة من قبل Microsoft. بينما يدعم استخدام سياسات الشبكة، لا يستطيع دعم Microsoft التحقيق في المشكلات الناتجة عن تكوينات سياسات الشبكة المخصصة.

  • إعداد أو استكشاف أخطاء وحدات التحكم غير المدارة Microsoft مثل nginx، kong، traefik، وغيرها. يشمل ذلك معالجة مشاكل الوظائف التي تظهر بعد عمليات AKS الخاصة، مثل توقف وحدة التحكم عن العمل بعد ترقية نسخة Kubernetes. قد تنبع هذه المشكلات من عدم التوافق بين إصدار وحدة التحكم في الدخول وإصدار Kubernetes الجديد. للحصول على خيار مدعوم بالكامل، فكر في استخدام خيار وحدة تحكم الدخول Microsoft المدارة.

  • التكوين أو استكشاف DaemonSet الأخطاء (بما في ذلك السكريبتات) المستخدمة لتخصيص إعدادات العقد. على الرغم من أن استخدام هو الطريقة الموصى بها لضبط أو تعديل أو تثبيت برامج طرف ثالث على عقد وكيل العنقود عندما تكون <معلمات ملف التهيئة c1> التكوين غير كافية، إلا أن Microsoft Support لا يمكنها استكشاف المشكلات الناتجة عن السكريبتات المخصصة المستخدمة في بسبب طبيعتها المخصصة.

  • سيناريوهات الاستعداد والاستباقية. يوفر Microsoft Support دعما تفاعليا للمساعدة في حل المشكلات النشطة بطريقة مهنية وفي الوقت المناسب. ومع ذلك، لا يتم تغطية الدعم الاحتياطي أو الاستباقي لمساعدتك في التخلص من المخاطر التشغيلية وزيادة التوفر وتحسين الأداء. يمكن ل العملاء المؤهلين التواصل مع فريق حسابهم للترشيح لخدمة إدارة الفعاليات Azure . إنها خدمة مدفوعة يقدمها مهندسو دعم Microsoft وتشمل تقييما استباقيا لمخاطر الحلول وتغطية أثناء الحدث.

  • ثغرات/CVE مع إصلاح من البائع أقل من 30 يوما. طالما أنك تستخدم VHD المحدث، لا ينبغي أن تشغل أي ثغرات في صورة الحاوية أو CVE مع إصلاح من البائع عمره أكثر من 30 يوما. تقع على عاتق العميل مسؤولية تحديث ملف VHD وتوفير قوائم مصفاة لدعم Microsoft. بعد تحديث ملف VHD، تقع على عاتق العميل مسؤولية تصفية الثغرات/تقرير CVE وتقديم قائمة فقط بالثغرات/CVE مع إصلاح من البائع مضى أكثر من 30 يوما. إذا كان هذا هو الحال، سيحرص دعم Microsoft على العمل داخليا ومعالجة المكونات مع إصلاح من البائع تم إصداره قبل أكثر من 30 يوما. بالإضافة إلى ذلك، توفر Microsoft دعما متعلقا بالثغرات النفسية/CVE فقط للمكونات المدارة من قبل Microsoft. على سبيل المثال، صور عقد AKS، صور الحاويات المدارة للتطبيقات التي يتم نشرها أثناء إنشاء العنقود أو من خلال تثبيت إضافة مدارة. لمزيد من التفاصيل حول إدارة الثغرات في AKS، يرجى زيارة Vulnerability management for خدمة Azure Kubernetes ‏(AKS).

  • نماذج التعليمات البرمجية المخصصة أو البرامج النصية. بينما يقدم Microsoft Support can عينات كود صغيرة ومراجعات لعينات كود صغيرة داخل صندوق دعم لتوضيح كيفية استخدام ميزات منتج Microsoft، فإن Microsoft Support can لا يمكنه توفير عينات كود مخصصة خاصة ببيئتك أو تطبيقك.

تغطية دعم AKS لعقد الوكيل

تصف الأقسام التالية مسؤوليات Microsoft والعملاء لعقد وكلاء AKS.

مسؤوليات Microsoft لعقد وكلاء AKS

Microsoft وأنت تحملان المسؤولية عن عقد وكلاء Kubernetes حيث:

  • صورة نظام التشغيل الأساسية تطلبت إضافات مثل وكلاء المراقبة والشبكة.
  • تتلقى عقد الوكيل تصحيحات نظام التشغيل تلقائيًا.
  • تتم معالجة المشكلات المتعلقة بمكونات مستوى التحكم Kubernetes التي تعمل على عقد الوكيل تلقائيًا. تشمل هذه المكونات العناصر التالية:
    • Kube-proxy
    • أنفاق الشبكات التي توفر مسارات اتصال لمكونات Kubernetes الرئيسية
    • Kubelet
    • containerd

إذا لم تكن عقدة العامل قيد التشغيل، فقد يقوم AKS بإعادة تشغيل المكونات الفردية أو عقدة العامل بأكملها. هذه العمليات مؤتمتة وتوفر معالجة تلقائية للمشاكل الشائعة. إذا كنت تريد معرفة المزيد عن آليات الإصلاح التلقائي، راجع الإصلاح التلقائي للعقدة.

مسؤوليات العميل لعقد وكيل AKS

توفر Microsoft تحديثات وصور جديدة لعقد الصور الخاصة بك أسبوعيا. للحفاظ على نظام تشغيل عقدة العامل ومكونات وقت التشغيل محدثة، يجب عليك تطبيق هذه التصحيحات والتحديثات بانتظام إما يدويا أو تلقائيا. لا تدعم Microsoft صور العقد التي يزيد عمرها عن 90 يوما. لمزيد من المعلومات، راجع:

وبالمثل، تصدر AKS بانتظام تصحيحات Kubernetes الجديدة والإصدارات الثانوية. يمكن أن تحتوي هذه التحديثات على تحسينات أمان أو وظائف لـ Kubernetes. أنت مسؤول عن الحفاظ على تحديث إصدار Kubernetes للمجموعات وفقا لنهج إصدار دعم AKS Kubernetes.

تخصيص المستخدم لعقد الوكيل

Note

تظهر عقد وكلاء AKS في بوابة Azure كموارد قياسية ل Azure IaaS المعتادة. ومع ذلك، يتم نشر هذه الآلات الافتراضية في مجموعة موارد Azure مخصصة (تسبق MC_\*). لا يمكنك تغيير صورة نظام التشغيل الأساسية أو إجراء أي تخصيصات مباشرة لهذه العقد باستخدام واجهات برمجة تطبيقات أو موارد IaaS. أي تغييرات مخصصة لا يتم تنفيذها من واجهة برمجة تطبيقات AKS لا تستمر حتى الترقية أو التوسع أو التحديث أو إعادة التشغيل. أيضا، أي تغيير في امتدادات العقد مثل ال يمكن CustomScriptExtension أن يؤدي إلى سلوك غير متوقع ويجب حظره. تجنب إجراء تغييرات على عقد الوكلاء إلا إذا وجهك دعم Microsoft Support لإجراء التغييرات.

تدير AKS دورة حياة عقد العامل وعملياتها نيابة عنك، ولا يتم دعم تعديل موارد IaaS المقترنة بعقد العامل. مثال على عملية غير مدعومة هو تخصيص مجموعة عقد على نطاق الآلة الافتراضية التي تم تعيينها عن طريق تغيير التكوينات يدويا في بوابة Azure أو من واجهة برمجة التطبيقات.

بالنسبة للتكوينات أو الحزم الخاصة بعبء العمل، توصي AKS باستخدام Kubernetes DaemonSet.

استخدام Kubernetes ذات DaemonSet الامتيازات والحاويات init يمكنك من ضبط أو تعديل أو تثبيت برامج طرف ثالث على عقد وكيل العنقود. تتضمن أمثلة هذه التخصيصات إضافة برنامج فحص أمان مخصص أو تحديث إعدادات sysctl.

على الرغم من أن هذا المسار موصى به إذا كانت المتطلبات المذكورة أعلاه تنطبق، إلا أن هندسة AKS ودعمها لا يمكن أن تساعد في استكشاف الأخطاء وإصلاحها أو تشخيص التعديلات التي تجعل العقدة غير متوفرة بسبب نشر DaemonSetمخصص.

قضايا الأمان والتصحيح

إذا تم العثور على خلل أمني في واحد أو أكثر من المكونات المدارة من AKS، يقوم فريق AKS بتصحيح جميع المجموعات المتأثرة للتخفيف من المشكلة. بدلا من ذلك، يوفر لك فريق AKS إرشادات الترقية.

بالنسبة للعقد الوكائلة المتأثرة بعيب أمني، تخبرك Microsoft بتفاصيل حول التأثير والخطوات اللازمة لإصلاح أو تخفيف المشكلة الأمنية.

صيانة العقدة والوصول إليها

على الرغم من أنه يمكنك تسجيل الدخول إلى عُقد الوكيل وتغييرها، لا يُنصح بإجراء هذه العملية لأن التغييرات يمكن أن تجعل المجموعة غير قابلة للدعم.

منافذ الشبكة والوصول ومجموعات موردي المواد النووية

يمكنك تخصيص مجموعات أمان الشبكة فقط على الشبكات الفرعية المخصصة. قد لا تقوم بتخصيص مجموعات أمان الشبكة على الشبكات الفرعية المدارة أو على مستوى بطاقة واجهة الشبكة (NIC) لعقد الوكيل. لدى AKS متطلبات خروج لنقاط نهاية محددة، للتحكم في الخروج وضمان الاتصال الضروري، راجع الحد من حركة الخروج. بالنسبة للدخول، المتطلبات تعتمد على التطبيقات التي نشرتها على العنقود.

العقد المتوقفة وغير المخصصة وغير الجاهزة

إذا لم تكن بحاجة لتشغيل أحمال عمل AKS بشكل مستمر، يمكنك إيقاف عنقود AKS، الذي يوقف جميع مجموعات العقد ومستوى التحكم. يمكنك بدء تشغيله مرة أخرى عند الحاجة. عند إيقاف مجموعة باستخدام az aks stop الأمر ، يتم الاحتفاظ بحالة نظام المجموعة لمدة تصل إلى 12 شهرا. بعد 12 شهرا، يتم حذف حالة نظام المجموعة وجميع مواردها.

لا يدعم توزيع جميع عقد العنقود يدويا من واجهات برمجة التطبيقات IaaS أو Azure CLI أو بوابة Azure لإيقاف مجموعة أو مجموعة عقدة AKS. سيتم اعتبار نظام المجموعة خارج الدعم وإيقافه بواسطة AKS بعد 30 يوما. ثم تخضع المجموعات لنفس نهج الاحتفاظ لمدة 12 شهرا مثل نظام مجموعة متوقف بشكل صحيح.

سيتم إيقاف المجموعات التي تحتوي على صفر عقد جاهزة (أو جميعها غير جاهزة) و صفر تشغيل الأجهزة الظاهرية بعد 30 يوما.

تحتفظ AKS بالحق في أرشفة طائرات التحكم التي تم تكوينها خارج إرشادات الدعم لفترات طويلة تساوي 30 يومًا وتتجاوزها. يحتفظ AKS بنسخ احتياطية لبيانات وصفية العنقود etcd ويمكنه بسهولة إعادة تخصيص العنقود. يتم بدء هذا التخصيص من خلال أي عملية PUT تعيد العنقود إلى الدعم، مثل الترقية أو التوسع إلى عقد الوكيل النشطة.

سيتم إيقاف جميع المجموعات في اشتراك معلق على الفور وحذفها بعد 90 يوما. سيتم حذف جميع المجموعات في اشتراك محذوف على الفور.

ميزات alpha و beta Kubernetes غير المعتمدة

تدعم AKS الميزات الثابتة والتجريبية فقط ضمن مشروع Kubernetes المنبع. ما لم يتم توثيق خلاف ذلك، لا يدعم AKS أي ميزة ألفا متاحة في مشروع Kubernetes الصادر عن الأصل.

معاينة الميزات أو أعلام الميزة

بالنسبة للميزات والوظائف التي تتطلب اختبارا موسعا وملاحظات المستخدم، تصدر Microsoft ميزات معاينة جديدة أو ميزات خلف علامة ميزة. ضع في اعتبارك هذه الميزات كميزات تجريبية أو تجريبية.

ميزات المعاينة أو ميزات علامة الميزة ليست مخصصة للإنتاج. يمكن أن تؤدي التغييرات المستمرة في واجهات برمجة التطبيقات والسلوك وإصلاحات الأخطاء والتغييرات الأخرى إلى مجموعات غير مستقرة ووقت تعطل.

تندرج الميزات في المعاينة العامة ضمن دعم أفضل الجهود ، حيث أن هذه الميزات قيد المعاينة وليست مخصصة للإنتاج. تقدم فرق الدعم الفني في AKS الدعم خلال ساعات العمل فقط. لمزيد من المعلومات، راجع Azure الأسئلة الشائعة للدعم.

البق والقضايا المنبع

نظرًا لسرعة التطوير في مشروع Kubernetes المنبع، تظهر الأخطاء دائمًا. لا يمكن تصحيح بعض هذه الأخطاء أو حلها داخل نظام AKS. بدلا من ذلك، تتطلب إصلاحات الأخطاء ترقيعات أكبر للمشاريع المتصاعدة (مثل Kubernetes، وأنظمة تشغيل العقد أو الوكلاء، والنواة). بالنسبة للمكونات التي تملكها Microsoft (مثل مزود السحابة Azure)، يلتزم موظفو AKS وAzure بإصلاح المشكلات في المراحل العليا من المجتمع.

عندما يكون السبب الجذري لقضية الدعم التقني بسبب خطأ واحد أو أكثر في المصدر، فإن فرق دعم وهندسة AKS سوف:

  • حدد الأخطاء الأولية واربطها بأي تفاصيل داعمة للمساعدة في توضيح سبب تأثير هذه المشكلة على المجموعة أو عبء العمل لديك. يتلقى العملاء روابط إلى المستودعات المطلوبة حتى يتمكنوا من متابعة المشاكل ومعرفة متى يوفر الإصدار الجديد إصلاحات.
  • توفير الحلول الممكنة أو التخفيف. إذا أمكن تخفيف المشكلة، يتم تقديم <مشكلة >معروفة في مستودع AKS. توضح القضية المعروفة ما يلي:
    • المشكلة، بما في ذلك روابط البق المنبع.
    • الحل والتفاصيل حول الترقية أو استمرار الحل.
    • جداول زمنية تقريبية لإدراج المشكلة، بناءً على إيقاع الإصدار الأولي.
  • Last updated on