سياسات الدعم لخدمة Azure Kubernetes

توضح هذه المقالة نهج الدعم الفني والقيود لخدمة Azure Kubernetes (AKS). كما أنه يفصل إدارة عقدة العامل ومكونات وحدة التحكم المدارة ومكونات المصدر المفتوح التابعة لجهة خارجية وإدارة الأمان أو التصحيح.

تحديثات وإصدارات الخدمة

  • للحصول على معلومات حول الإصدار، راجع ملاحظات إصدار AKS.
  • للحصول على معلومات حول ميزات المعاينة، راجع مخطط AKS.

الميزات المُدارة في AKS

تتيح لك مكونات السحابة الأساسية كخدمة (IaaS)، مثل مكونات الحوسبة أو الشبكة، الوصول إلى عناصر التحكم منخفضة المستوى وخيارات التخصيص. على النقيض من ذلك، يوفر AKS توزيع Kubernetes تسليم المفتاح الذي يمنحك مجموعة مشتركة من التكوينات والقدرات التي تحتاجها لنظام المجموعة الخاص بك. بصفتك مستخدم AKS، لديك خيارات تخصيص ونشر محدودة. في المقابل، لا داعي للقلق بشأن مجموعات Kubernetes أو إدارتها مباشرةً.

مع AKS، يمكنك الحصول على وحدة تحكم مدارة بالكامل. تحتوي وحدة التحكم على جميع المكونات والخدمات التي تحتاجها لتشغيل مجموعات Kubernetes وتسليمها للمستخدمين النهائيين. تحتفظ Microsoft بجميع مكونات Kubernetes وتشغلها.

تدير Microsoft المكونات التالية وتراقبها من خلال مستوى التحكم:

  • خوادم Kubelet أو Kubernetes API
  • Etcd أو متجر قيم مفتاح متوافق، يوفر جودة الخدمة (QoS) وقابلية التوسع ووقت التشغيل
  • خدمات DNS (على سبيل المثال، kube-dns أو CoreDNS)
  • وكيل Kubernetes أو شبكة الاتصال، إلا عند استخدام BYOCNI
  • أي وظائف إضافية أخرى أو مكون نظام قيد التشغيل في مساحة اسم نظام kube.

لا يعد AKS حلاً للنظام الأساسي كخدمة (PaaS). بعض المكونات، مثل عقد الوكيل، لها مسؤولية مشتركة، حيث يجب أن تساعد في الحفاظ على نظام مجموعة AKS. يلزم إدخال المستخدم، على سبيل المثال، لتطبيق تصحيح أمان لنظام تشغيل عقدة الوكيل (OS).

تتم إدارة الخدمات بمعنى أن Microsoft وفريق AKS ينشرون ويشغلون ويتحملون مسؤولية توفر الخدمة ووظائفها. لا يمكن للعملاء تغيير هذه المكونات المدارة. تحد Microsoft من التخصيص لضمان تجربة مستخدم متسقة وقابلة للتطوير.

المسؤولية المشتركة

عندما يتم إنشاء مجموعة، فإنك تحدد عُقد وكيل Kubernetes التي تنشئها AKS. يتم تنفيذ أحمال العمل الخاصة بك على هذه العقد.

نظرا لأن عقد الوكيل تنفذ التعليمات البرمجية الخاصة وتخزن البيانات الحساسة، يمكن لدعم Microsoft الوصول إليها بطريقة محدودة فقط. يتعذر على دعم Microsoft تسجيل الدخول إلى هذه العقد أو تنفيذ أوامر الدخول أو عرض السجلات الخاصة بها دون إذن أو مساعدة صريحة منك.

أي تعديل يتم إجراؤه مباشرة على عقد العامل باستخدام أي من واجهات برمجة تطبيقات IaaS يجعل نظام المجموعة غير مدعوم. يجب إجراء أي تعديل يتم تطبيقه على عقد العامل باستخدام آليات kubernetes-native مثل Daemon Sets.

وبالمثل، بينما يمكنك إضافة أي بيانات تعريف إلى نظام المجموعة والعقد، مثل العلامات والتسميات، فإن تغيير أي من بيانات التعريف التي أنشأها النظام يجعل نظام المجموعة غير مدعوم.

تغطية دعم AKS

السيناريوهات المدعومة

توفر Microsoft الدعم الفني للأمثلة التالية:

  • الاتصال بجميع مكونات Kubernetes التي توفرها وتدعمها خدمة Kubernetes، مثل خادم واجهة برمجة التطبيقات.
  • إدارة ووقت التشغيل وQoS وعمليات خدمات وحدة تحكم Kubernetes (على سبيل المثال، وحدة تحكم Kubernetes وخادم API وما إلى ذلك و coreDNS).
  • متجر بيانات Etcd. يشتمل الدعم على نسخ احتياطية آلية وشفافة لجميع بيانات إلخ كل 30 دقيقة للتخطيط للكوارث واستعادة حالة المجموعة. لا تتوفر هذه النسخ الاحتياطية مباشرة لك أو لأي شخص آخر. أنها تضمن موثوقية البيانات والاتساق. لا يتم اعتماد العودة إلى الحالة السابقة أو الاستعادة عند الطلب كميزة.
  • أي نقاط تكامل في برنامج تشغيل موفر السحابة Azure لـ Kubernetes. يتضمن ذلك عمليات التكامل في خدمات Azure الأخرى مثل موازنات التحميل أو وحدات التخزين الثابتة أو الشبكات (Kubernetes وAzure CNI وإلا عند استخدام BYOCNI).
  • أسئلة أو مشكلات حول تخصيص مكونات مستوى التحكم مثل خادم Kubernetes API، وما إلى ذلك، و coreDNS.
  • المشكلات المتعلقة بالشبكات، مثل Azure CNI أو kubenet أو غير ذلك من مشكلات الوصول إلى الشبكة والوظائف، إلا عند استخدام BYOCNI. يمكن أن تتضمن المشكلات حل DNS وفقدان الحزمة والتوجيه وما إلى ذلك. تدعم Microsoft سيناريوهات الشبكات المختلفة:
    • Kubenet و Azure CNI باستخدام VNETs مُدارة أو مع شبكات فرعية مخصصة (خاصة بك).
    • الاتصال بخدمات وتطبيقات Azure الأخرى
    • وحدات تحكم الدخول التي تديرها Microsoft أو تكوينات موازن التحميل
    • أداء الشبكة والكمون
    • مكونات ووظائف نهج الشبكة التي تديرها Microsoft

إشعار

يتم إجراء أي إجراءات نظام المجموعة التي اتخذتها Microsoft/AKS بموافقتك بموجب دور aks-service Kubernetes المضمن وربط aks-service-rolebindingالدور المضمن . يمكّن هذا الدور AKS من استكشاف مشكلات المجموعة وتشخيصها، ولكن لا يمكنه تعديل الأذونات أو إنشاء أدوار أو ارتباطات أدوار أو إجراءات امتياز أخرى عالية. لا يتم تمكين الوصول إلى الدور إلا في ظل تذاكر الدعم النشطة مع الوصول في الوقت المناسب (JIT) فقط.

السيناريوهات غير المدعومة

لا توفر Microsoft الدعم التقني للسيناريوهات التالية:

  • أسئلة حول كيفية استخدام Kubernetes. على سبيل المثال، لا يقدم دعم Microsoft نصائح حول كيفية إنشاء وحدات تحكم دخول مخصصة، أو استخدام أحمال عمل التطبيق، أو تطبيق حزم أو أدوات برامج خارجية أو مفتوحة المصدر.

    إشعار

    يمكن لـ Microsoft Support تقديم المشورة بشأن وظائف مجموعة AKS والتخصيص والضبط (على سبيل المثال، مشكلات وإجراءات عمليات Kubernetes).

  • مشاريع الجهات الخارجية مفتوحة المصدر التي لم يتم توفيرها كجزء من مستوى التحكم Kubernetes أو تم نشرها مع مجموعات AKS. قد تشمل هذه المشاريع Istio أو Helm أو Envoy أو غيرهم.

    إشعار

    يمكن أن توفر Microsoft أفضل دعم لمشاريع الجهات الخارجية مفتوحة المصدر مثل Helm. حيث تتكامل أداة المصدر المفتوح التابعة لجهة خارجية مع موفر السحابة Kubernetes Azure أو أخطاء أخرى خاصة بـ AKS، تدعم Microsoft الأمثلة والتطبيقات من وثائق Microsoft.

  • برنامج مغلق المصدر من جهة خارجية. يمكن أن يشتمل هذا البرنامج على أدوات فحص الأمان وأجهزة الشبكات أو البرامج.

  • تكوين أو استكشاف أخطاء التعليمات البرمجية الخاصة بالتطبيق أو سلوك تطبيقات الجهات الخارجية أو الأدوات التي تعمل داخل نظام مجموعة AKS. يتضمن ذلك مشكلات نشر التطبيق غير المتعلقة بالنظام الأساسي ل AKS نفسه.

  • إصدار الشهادات أو تجديدها أو إدارتها للتطبيقات التي تعمل على AKS.

  • تخصيصات الشبكة بخلاف تلك المدرجة في وثائق AKS. على سبيل المثال، لا يمكن لدعم Microsoft تكوين الأجهزة أو الأجهزة الظاهرية التي تهدف إلى توفير نسبة استخدام الشبكة الصادرة لمجموعة AKS، مثل الشبكات الظاهرية الخاصة أو جدران الحماية.

    إشعار

    على أساس أفضل جهد، قد يقدم دعم Microsoft المشورة بشأن التكوين المطلوب لجدار حماية Azure، ولكن ليس لأجهزة الجهات الخارجية الأخرى.

  • مكونات CNI الإضافية المخصصة أو الخارجية المستخدمة في وضع BYOCNI .

  • تكوين نهج الشبكة غير المدارة من Microsoft أو استكشاف الأخطاء وإصلاحها. أثناء اعتماد نهج الشبكة، لا يمكن ل "دعم Microsoft" التحقيق في المشكلات الناجمة عن تكوينات نهج الشبكة المخصصة.

  • تكوين أو استكشاف أخطاء وحدات التحكم في الدخول غير المدارة من Microsoft، مثل nginx و kong وtraefik وما إلى ذلك. يتضمن ذلك معالجة مشكلات الوظائف التي تنشأ بعد العمليات الخاصة ب AKS، مثل توقف وحدة تحكم الدخول عن العمل بعد ترقية إصدار Kubernetes. قد تنبع هذه المشكلات من عدم التوافق بين إصدار وحدة تحكم الدخول وإصدار Kubernetes الجديد. للحصول على خيار مدعوم بالكامل، ضع في اعتبارك الاستفادة من خيار وحدة تحكم الدخول التي تديرها Microsoft.

  • تكوين أو استكشاف أخطاء DaemonSets (بما في ذلك البرامج النصية) المستخدمة لتخصيص تكوينات العقدة. على الرغم من أن استخدام DaemonSets هو الأسلوب الموصى به لضبط أو تعديل أو تثبيت برامج الجهات الخارجية على عقد عامل نظام المجموعة عندما تكون معلمات ملف التكوين غير كافية، لا يمكن لدعم Microsoft استكشاف المشكلات الناشئة عن البرامج النصية المخصصة المستخدمة في DaemonSets وإصلاحها بسبب طبيعتها المخصصة.

  • سيناريوهات الاستعداد والاستباقية. يوفر دعم Microsoft دعما تفاعليا للمساعدة في حل المشكلات النشطة في الوقت المناسب وبطريقة احترافية. ومع ذلك، لا تتم تغطية الدعم الاحتياطي أو الاستباقي لمساعدتك في القضاء على المخاطر التشغيلية وزيادة التوفر وتحسين الأداء. يمكن للعملاء المؤهلين الاتصال بفريق الحساب للحصول على ترشيح لخدمة Azure Event Management. إنها خدمة مدفوعة الأجر يقدمها مهندسو دعم Microsoft تتضمن تقييما استباقيا لمخاطر الحل وتغطيته أثناء الحدث.

  • الثغرات الأمنية / CVEs مع إصلاح مورد عمره أقل من 30 يوما. طالما أنك تقوم بتشغيل VHD المحدث، فلا ينبغي أن تقوم بتشغيل أي ثغرات في صورة الحاوية / CVEs مع إصلاح مورد يزيد عمره عن 30 يوما. تقع على عاتق العميل مسؤولية تحديث VHD وتوفير قوائم تمت تصفيتها لدعم Microsoft. بمجرد تحديث VHD الخاص بك، تقع على عاتق العميل مسؤولية تصفية تقرير الثغرات الأمنية / CVEs وتوفير قائمة فقط مع الثغرات الأمنية / CVEs مع إصلاح المورد الذي يزيد عمره عن 30 يوما. إذا كان الأمر كذلك، فسيتأكد دعم Microsoft من العمل داخليا ومعالجة المكونات مع إصلاح المورد الذي تم إصداره منذ أكثر من 30 يوما. بالإضافة إلى ذلك، توفر Microsoft الدعم المتعلق بالثغرات الأمنية / CVE فقط للمكونات المدارة من Microsoft (أي صور عقدة AKS وصور الحاوية المدارة للتطبيقات التي يتم نشرها أثناء إنشاء نظام المجموعة أو عن طريق تثبيت وظيفة إضافية مدارة). لمزيد من التفاصيل حول إدارة الثغرات الأمنية ل AKS، يرجى زيارة هذه الصفحة.

  • نماذج التعليمات البرمجية المخصصة أو البرامج النصية. بينما يمكن أن يوفر دعم Microsoft نماذج تعليمات برمجية صغيرة ومراجعات لعينات التعليمات البرمجية الصغيرة داخل حالة دعم لتوضيح كيفية استخدام ميزات منتج Microsoft، لا يمكن أن يوفر دعم Microsoft نماذج تعليمات برمجية مخصصة خاصة بالبيئة أو التطبيق الخاص بك.

تغطية دعم AKS لعقد الوكيل

مسؤوليات Microsoft لعقد وكيل AKS

تشارك Microsoft وأنت مسؤولية عقد وكيل Kubernetes حيث:

  • تتطلب صورة نظام التشغيل الأساسي إضافات (مثل وكلاء المراقبة والشبكات).
  • تتلقى عقد الوكيل تصحيحات نظام التشغيل تلقائيًا.
  • تتم معالجة المشكلات المتعلقة بمكونات مستوى التحكم Kubernetes التي تعمل على عقد الوكيل تلقائيًا. تتضمن هذه المكونات ما يلي:
    • Kube-proxy
    • أنفاق الشبكات التي توفر مسارات اتصال لمكونات Kubernetes الرئيسية
    • Kubelet
    • containerd

إشعار

إذا كانت عقدة الوكيل غير عاملة، فقد تعيد AKS تشغيل المكونات الفردية أو عقدة الوكيل بأكملها. عمليات إعادة التشغيل هذه تلقائية وتوفر علاجًا تلقائيًا للمشكلات الشائعة. إذا كنت تريد معرفة المزيد حول آليات المعالجة التلقائية، فشاهد الإصلاح التلقائي للعقدة

مسؤوليات العميل لعقد وكيل AKS

توفر Microsoft تصحيحات وصورا جديدة لعقد الصور أسبوعيا. للحفاظ على نظام تشغيل عقدة العامل ومكونات وقت التشغيل محدثة، يجب عليك تطبيق هذه التصحيحات والتحديثات بانتظام إما يدويا أو تلقائيا. لمزيد من المعلومات، راجع:

وبالمثل، تصدر AKS بانتظام تصحيحات Kubernetes الجديدة والإصدارات الثانوية. يمكن أن تحتوي هذه التحديثات على تحسينات أمان أو وظائف لـ Kubernetes. أنت مسؤول عن الحفاظ على تحديث إصدار Kubernetes للمجموعات وفقا لنهج إصدار دعم AKS Kubernetes.

تخصيص المستخدم لعقد الوكيل

إشعار

تظهر عقد عامل AKS في مدخل Microsoft Azure كموارد Azure IaaS قياسية. ومع ذلك، يتم نشر هذه الأجهزة الظاهرية في مجموعة موارد Azure مخصصة (مسبوقة MC_*). لا يمكنك تغيير صورة نظام التشغيل الأساسي أو إجراء أي تخصيصات مباشرة لهذه العقد باستخدام واجهات برمجة تطبيقات IaaS أو الموارد. لن تستمر أي تغييرات مخصصة لم يتم إجراؤها من واجهة برمجة تطبيقات AKS من خلال الترقية أو التحجيم أو التحديث أو إعادة التشغيل. أيضا، يمكن أن يؤدي أي تغيير في ملحقات العقد مثل CustomScriptExtension إلى سلوك غير متوقع ويجب حظره. تجنب إجراء تغييرات على عقد الوكيل ما لم يوجهك دعم Microsoft لإجراء تغييرات.

تدير AKS دورة حياة عقد العامل وعملياتها نيابة عنك، ولا يتم دعم تعديل موارد IaaS المقترنة بعقد العامل. مثال على عملية غير مدعومة هو تخصيص مقياس الجهاز الظاهري لتجمع العقدة الذي تم تعيينه عن طريق تغيير التكوينات يدويا في مدخل Microsoft Azure أو من واجهة برمجة التطبيقات.

بالنسبة للتكوينات أو الحزم الخاصة بحمل العمل، توصي AKS باستخدام Kubernetes daemon sets.

يتيح لك استخدام حاويات Kubernetes المميزة daemon sets و init ضبط/تعديل أو تثبيت برامج الجهات الخارجية على عقد عامل نظام المجموعة. تتضمن أمثلة هذه التخصيصات إضافة برنامج فحص أمان مخصص أو تحديث إعدادات sysctl.

بينما يوصى بهذا المسار إذا تم تطبيق المتطلبات المذكورة أعلاه، لا يمكن أن تساعد هندسة ودعم AKS في استكشاف الأخطاء وإصلاحها أو تشخيص التعديلات التي تجعل العقدة غير متوفرة بسبب توزيع daemon setمخصص .

قضايا الأمان والتصحيح

إذا تم العثور على خلل أمني في واحد أو أكثر من المكونات المدارة من AKS، يقوم فريق AKS بتصحيح جميع المجموعات المتأثرة للتخفيف من المشكلة. بدلا من ذلك، يوفر لك فريق AKS إرشادات الترقية.

بالنسبة لعقد العامل المتأثرة بخلل أمني، تعلمك Microsoft بتفاصيل حول التأثير وخطوات إصلاح مشكلة الأمان أو التخفيف منها.

صيانة العقدة والوصول إليها

على الرغم من أنه يمكنك تسجيل الدخول إلى عُقد الوكيل وتغييرها، لا يُنصح بإجراء هذه العملية لأن التغييرات يمكن أن تجعل المجموعة غير قابلة للدعم.

منافذ الشبكة والوصول ومجموعات موردي المواد النووية

يمكنك فقط تخصيص مجموعات موردي المواد النووية على شبكات فرعية مخصصة. لا يجوز لك تخصيص مجموعات موردي المواد النووية على الشبكات الفرعية المُدارة أو على مستوى NIC لعقد الوكيل. لدى AKS متطلبات خروج لنقاط نهاية محددة، للتحكم في الخروج وضمان الاتصال الضروري، راجع الحد من حركة الخروج. للدخول، تعتمد المتطلبات على التطبيقات التي قمت بنشرها في نظام المجموعة.

العقد المتوقفة وغير المخصصة وغير الجاهزة

إذا لم تكن بحاجة إلى تشغيل أحمال عمل AKS الخاصة بك بشكل مستمر، يمكنك إيقاف مجموعة AKS، والتي توقف جميع مجمعات العقد ولوحة التحكم. يمكنك بدء تشغيله مرة أخرى عند الحاجة. عند إيقاف مجموعة باستخدام az aks stop الأمر ، يتم الاحتفاظ بحالة نظام المجموعة لمدة تصل إلى 12 شهرا. بعد 12 شهرا، يتم حذف حالة نظام المجموعة وجميع مواردها.

إلغاء تخصيص جميع عقد نظام المجموعة يدويا من واجهات برمجة تطبيقات IaaS أو Azure CLI أو مدخل Microsoft Azure غير مدعوم لإيقاف مجموعة AKS أو nodepool. سيتم اعتبار نظام المجموعة خارج الدعم وإيقافه بواسطة AKS بعد 30 يوما. ثم تخضع المجموعات لنفس نهج الاحتفاظ لمدة 12 شهرا مثل نظام مجموعة متوقف بشكل صحيح.

سيتم إيقاف المجموعات التي تحتوي على صفر عقد جاهزة (أو جميعها غير جاهزة) و صفر تشغيل الأجهزة الظاهرية بعد 30 يوما.

تحتفظ AKS بالحق في أرشفة طائرات التحكم التي تم تكوينها خارج إرشادات الدعم لفترات طويلة تساوي 30 يومًا وتتجاوزها. تحتفظ AKS بنسخ احتياطية من البيانات الوصفية العنقودية وما إلى ذلك ويمكنها إعادة تخصيص الكتلة بسهولة. يتم بدء إعادة التخصيص هذه بواسطة أي عملية PUT تعيد نظام المجموعة إلى الدعم، مثل الترقية أو المقياس إلى عقد الوكيل النشطة.

سيتم إيقاف جميع المجموعات في اشتراك معلق على الفور وحذفها بعد 90 يوما. سيتم حذف جميع المجموعات في اشتراك محذوف على الفور.

ميزات alpha و beta Kubernetes غير المعتمدة

تدعم AKS الميزات الثابتة والتجريبية فقط ضمن مشروع Kubernetes المنبع. ما لم يتم توثيقه بخلاف ذلك، لا تدعم AKS أي ميزة ألفا متوفرة في مشروع Kubernetes المنبع.

معاينة الميزات أو أعلام الميزة

بالنسبة للميزات والوظائف التي تتطلب اختبارًا موسعًا وتعليقات المستخدمين، تصدر Microsoft ميزات أو ميزات معاينة جديدة خلف علامة الميزة. ضع في اعتبارك هذه الميزات كميزات تجريبية أو تجريبية.

ميزات المعاينة أو ميزات علامة الميزة ليست مخصصة للإنتاج. يمكن أن تؤدي التغييرات المستمرة في واجهات برمجة التطبيقات والسلوك وإصلاحات الأخطاء والتغييرات الأخرى إلى مجموعات غير مستقرة ووقت تعطل.

تندرج الميزات في المعاينة العامة ضمن أفضل دعم للجهد ، حيث إن هذه الميزات قيد المعاينة وليست مخصصة للإنتاج. توفر فرق الدعم التقني في AKS الدعم خلال ساعات العمل فقط. لمزيد من المعلومات، راجع الأسئلة المتداولة حول دعم Azure.

البق والقضايا المنبع

نظرًا لسرعة التطوير في مشروع Kubernetes المنبع، تظهر الأخطاء دائمًا. لا يمكن تصحيح بعض هذه الأخطاء أو حلها داخل نظام AKS. بدلاً من ذلك، تتطلب إصلاحات الأخطاء تصحيحات أكبر للمشروعات الأولية (مثل Kubernetes وأنظمة تشغيل العقدة أو الوكيل و kernel). بالنسبة للمكونات التي تمتلكها Microsoft (مثل موفر السحابة Azure)، يلتزم موظفو AKS و Azure بإصلاح المشكلات الأولية في المجتمع.

عندما يكون السبب الجذري لقضية الدعم التقني بسبب خطأ واحد أو أكثر في المصدر، فإن فرق دعم وهندسة AKS سوف:

  • حدد الأخطاء الأولية واربطها بأي تفاصيل داعمة للمساعدة في توضيح سبب تأثير هذه المشكلة على المجموعة أو عبء العمل لديك. يتلقى العملاء روابط إلى المستودعات المطلوبة حتى يتمكنوا من مشاهدة المشكلات ومعرفة متى سيوفر الإصدار الجديد إصلاحات.

  • توفير الحلول الممكنة أو التخفيف. إذا كان من الممكن تخفيف المشكلة، يتم تقديم مشكلة معروفة في مستودع AKS. يوضح ملف المشكلة المعروف ما يلي:

    • المشكلة، بما في ذلك روابط البق المنبع.
    • الحل والتفاصيل حول الترقية أو استمرار الحل.
    • جداول زمنية تقريبية لإدراج المشكلة، بناءً على إيقاع الإصدار الأولي.