Automatické upgrade imagí operačního systému uzlu
AKS poskytuje několik kanálů automatického upgradu vyhrazených pro včasné aktualizace zabezpečení operačního systému na úrovni uzlů. Tento kanál se liší od upgradů verzí Kubernetes na úrovni clusteru a nahrazuje ho.
Interakce mezi automatickým upgradem operačního systému uzlu a automatickým upgradem clusteru
Aktualizace zabezpečení operačního systému na úrovni uzlů se vydávají rychleji než aktualizace oprav Kubernetes nebo podverze. Kanál automatického upgradu operačního systému uzlu poskytuje flexibilitu a umožňuje přizpůsobenou strategii pro aktualizace zabezpečení operačního systému na úrovni uzlu. Pak můžete zvolit samostatný plán pro automatické upgrady verze Kubernetes na úrovni clusteru.
Nejlepší je používat automatické upgrady na úrovni clusteru i kanál automatického upgradu operačního systému uzlu společně. Plánování je možné vyladit použitím dvou samostatných sad časových intervalů - aksManagedAutoUpgradeSchedule
údržby pro kanál automatického upgradu clusteru a aksManagedNodeOSUpgradeSchedule
kanálu automatického upgradu operačního systému uzlu.
Kanály pro upgrady imagí operačního systému uzlu
Vybraný kanál určuje načasování upgradů. Při provádění změn kanálů automatického upgradu operačního systému uzlu počkejte až 24 hodin, než se změny projeví. Jakmile změníte kanál z jednoho kanálu na jiný, aktivuje se opětovné vytvoření, což povede k postupnému uzlu.
Poznámka:
Automatický upgrade image operačního systému uzlu neovlivní verzi Kubernetes clusteru. Funguje jenom pro cluster v podporované verzi.
K dispozici jsou následující kanály upgradu. Můžete si vybrat jednu z těchto možností:
Kanál | Popis | Chování specifické pro operační systém |
---|---|---|
None |
Uzly nemají automaticky použité aktualizace zabezpečení. To znamená, že jste zodpovědní výhradně za aktualizace zabezpečení. | – |
Unmanaged |
Aktualizace operačního systému se použijí automaticky prostřednictvím integrované infrastruktury oprav operačního systému. Nově přidělené počítače jsou zpočátku nepatchované. Infrastruktura operačního systému je v určitém okamžiku opravuje. | Ubuntu a Azure Linux (fondy uzlů procesoru) používají opravy zabezpečení prostřednictvím bezobslužného upgradu/dnf-automatic zhruba jednou denně kolem 06:00 UTC. Windows automaticky nepoužívá opravy zabezpečení, takže tato možnost se chová stejně jako None . Proces restartování budete muset spravovat pomocí nástroje, jako je kured. |
SecurityPatch |
Tento kanál je ve verzi Preview a vyžaduje povolení příznaku NodeOsUpgradeChannelPreview funkce . Podrobnosti najdete v části Požadavky. AKS pravidelně aktualizuje virtuální pevný disk uzlu (VHD) opravami z bitové kopie s popiskem "pouze zabezpečení". Pokud se na uzly použijí opravy zabezpečení, může dojít k přerušení. Po použití oprav se virtuální pevný disk aktualizuje a stávající počítače se upgradují na tento virtuální pevný disk, dodržují časové intervaly údržby a nastavení přepětí. Tato možnost způsobuje dodatečné náklady na hostování virtuálních pevných disků ve skupině prostředků uzlu. Pokud používáte tento kanál, jsou bezobslužné upgrady Linuxu ve výchozím nastavení zakázané. |
Azure Linux nepodporuje tento kanál na virtuálních počítačích s podporou GPU. SecurityPatch funguje u verzí oprav, které jsou zastaralé, pokud je podverze Kubernetes stále podporovaná. |
NodeImage |
AKS aktualizuje uzly pomocí nově opraveného virtuálního pevného disku, který obsahuje opravy zabezpečení a opravy chyb v týdenním tempu. Aktualizace nového virtuálního pevného disku je rušivá, a to podle časových intervalů údržby a nastavení přepětí. Při výběru této možnosti se neúčtují žádné další náklady na virtuální pevný disk. Pokud používáte tento kanál, jsou bezobslužné upgrady Linuxu ve výchozím nastavení zakázané. Upgrady imagí uzlů podporují verze oprav, které jsou zastaralé, pokud je podverze Kubernetes stále podporovaná. |
Nastavení kanálu automatického upgradu operačního systému uzlu na novém clusteru
Nastavte kanál automatického upgradu operačního systému uzlu v novém clusteru pomocí
az aks create
příkazu s parametrem--node-os-upgrade-channel
. Následující příklad nastaví kanál automatického upgradu operačního systému uzlu naSecurityPatch
.az aks create --resource-group myResourceGroup --name myAKSCluster --node-os-upgrade-channel SecurityPatch
Nastavení kanálu automatického upgradu operačního systému uzlu v existujícím clusteru
Nastavte kanál automatického upgradu uzlu v existujícím clusteru pomocí
az aks update
příkazu s parametrem--node-os-upgrade-channel
. Následující příklad nastaví kanál automatického upgradu operačního systému uzlu naSecurityPatch
.az aks update --resource-group myResourceGroup --name myAKSCluster --node-os-upgrade-channel SecurityPatch
Aktualizace vlastnictví a plánu
Výchozí četnost znamená, že se nepoužívá žádné časové období plánované údržby.
Kanál | vlastnictví Aktualizace | Výchozí četnost |
---|---|---|
Unmanaged |
Aktualizace zabezpečení řízené operačním systémem AKS nemá nad těmito aktualizacemi žádnou kontrolu. | Přibližně 6:00 UTC pro Ubuntu a Azure Linux. Měsíčně pro Windows. |
SecurityPatch |
Otestované, plně spravované a použité AKS s využitím postupů bezpečného nasazení Další informace najdete v tématu Zvýšení zabezpečení a odolnosti kanonických úloh v Azure. | Týdenní. |
NodeImage |
AKS | Týdenní. |
Poznámka:
Aktualizace zabezpečení Systému Windows se vydávají každý měsíc, ale při použití Unmanaged
kanálu se tyto aktualizace nebudou automaticky instalovat na uzly Windows. Pokud zvolíte Unmanaged
kanál, musíte proces restartování spravovat pomocí nástroje, jako je kured , aby se správně použily opravy zabezpečení.
Požadavky na kanál SecurityPatch
Pokud chcete kanál používat SecurityPatch
, cluster musí podporovat tyto požadavky:
- Musí používat verzi
11-02-preview
rozhraní API nebo novější. - Pokud používáte Azure CLI, musí být nainstalovaná
aks-preview
verze rozšíření rozhraní příkazového řádku nebo novější.0.5.166
- Příznak
NodeOsUpgradeChannelPreview
funkce musí být ve vašem předplatném povolený.
Registrace NodeOsUpgradeChannelPreview
NodeOsUpgradeChannelPreview
Příznak funkce zaregistrujte pomocí příkazu az feature register, jak je znázorněno v následujícím příkladu:
az feature register --namespace "Microsoft.ContainerService" --name "NodeOsUpgradeChannelPreview"
Zobrazení stavu Zaregistrované trvá několik minut. Pomocí příkazu az feature show ověřte stav registrace:
az feature show --namespace "Microsoft.ContainerService" --name "NodeOsUpgradeChannelPreview"
Pokud se stav projeví jako zaregistrovaný, aktualizujte registraci poskytovatele prostředků Microsoft.ContainerService pomocí příkazu az provider register :
az provider register --namespace Microsoft.ContainerService
Známé chyby kanálu Node
Když v současné době nastavíte kanál automatického upgradu clusteru na
node-image
, automaticky nastaví kanál automatického upgradu operačního systému uzlu naNodeImage
. Pokud jenode-image
kanál automatického upgradu clusteru, nemůžete změnit hodnotu kanálu automatického upgradu operačního systému uzlu. Pokud chcete nastavit hodnotu kanálu automatického upgradu operačního systému uzlu, zkontrolujte, jestli hodnota kanálu automatického upgradu clusteru nenínode-image
.Kanál
SecurityPatch
není podporován ve fondech uzlů operačního systému Windows.
Poznámka:
Ve výchozím nastavení jakýkoli nový cluster vytvořený s verzí 06-01-2022
rozhraní API nebo novější nastaví hodnotu kanálu automatického upgradu operačního systému uzlu na NodeImage
hodnotu . Všechny existující clustery vytvořené ve starší verzi rozhraní API, než 06-01-2022
bude mít hodnotu kanálu automatického upgradu operačního systému uzlu nastavenou na None
výchozí hodnotu.
Okna plánované údržby operačního systému Node
Plánovaná údržba automatického upgradu operačního systému uzlu začíná v zadaném časovém období údržby.
Poznámka:
Pokud chcete zajistit správnou funkčnost, použijte časové období údržby čtyři hodiny nebo více.
Další informace o plánované údržbě najdete v tématu Plánování časových období údržby pro cluster Azure Kubernetes Service (AKS).
Nejčastější dotazy k automatickým upgradům operačního systému Node
- Jak můžu zkontrolovat aktuální hodnotu nodeOsUpgradeChannel v clusteru?
az aks show
Spusťte příkaz a zkontrolujte "autoUpgradeProfile", abyste zjistili, na jakou hodnotu je nastavenánodeOsUpgradeChannel
:
az aks show --resource-group myResourceGroup --name myAKSCluster --query "autoUpgradeProfile"
- Jak můžu monitorovat stav automatických upgradů operačního systému uzlu?
Pokud chcete zobrazit stav automatických upgradů operačního systému uzlu, vyhledejte protokoly aktivit v clusteru. Můžete také vyhledat konkrétní události související s upgradem, jak je uvedeno v upgradu clusteru AKS. AKS také generuje události Event Gridu související s upgradem. Další informace najdete v AKS jako zdroj Event Gridu.
- Můžu změnit hodnotu kanálu automatického upgradu operačního systému uzlu, pokud je kanál automatického upgradu clusteru nastavený na
node-image
?
Ne. Když v současné době nastavíte kanál automatického upgradu clusteru na node-image
, automaticky nastaví kanál automatického upgradu operačního systému uzlu na NodeImage
. Hodnotu kanálu automatického upgradu operačního systému uzlu nemůžete změnit, pokud je node-image
kanál automatického upgradu clusteru . Aby bylo možné změnit hodnoty kanálu automatického upgradu operačního systému uzlu, ujistěte se, že kanál automatického upgradu clusteru není node-image
.
- Proč se
SecurityPatch
doporučuje přesUnmanaged
kanál?
Unmanaged
V kanálu nemá AKS žádnou kontrolu nad tím, jak a kdy se aktualizace zabezpečení doručí. Díky SecurityPatch
tomu jsou aktualizace zabezpečení plně otestované a dodržují postupy bezpečného nasazení. SecurityPatch
také dodržuje časové intervaly údržby. Další podrobnosti najdete v tématu Zvýšení zabezpečení a odolnosti kanonických úloh v Azure.
- Návody vědět, jestli
SecurityPatch
NodeImage
je na mém uzlu použit upgrade?
Spuštěním následujícího příkazu získejte popisky uzlů:
kubectl get nodes --show-labels
U vrácených popisků by se měl zobrazit řádek podobný následujícímu výstupu:
kubernetes.azure.com/node-image-version=AKSUbuntu-2204gen2containerd-202311.07.0
Tady je AKSUbuntu-2204gen2containerd
verze image základního uzlu . Pokud je to možné, verze opravy zabezpečení obvykle následuje. V předchozím příkladu je 202311.07.0
to .
Stejné podrobnosti najdete také na webu Azure Portal v zobrazení popisku uzlu:
Další kroky
Podrobné informace o osvědčených postupech upgradu a dalších aspektech najdete v pokynech k opravám a upgradu AKS.