Automatické upgrade imagí operačního systému uzlu

AKS poskytuje několik kanálů automatického upgradu vyhrazených pro včasné aktualizace zabezpečení operačního systému na úrovni uzlů. Tento kanál se liší od upgradů verzí Kubernetes na úrovni clusteru a nahrazuje ho.

Interakce mezi automatickým upgradem operačního systému uzlu a automatickým upgradem clusteru

Aktualizace zabezpečení operačního systému na úrovni uzlů se vydávají rychleji než aktualizace oprav Kubernetes nebo podverze. Kanál automatického upgradu operačního systému uzlu poskytuje flexibilitu a umožňuje přizpůsobenou strategii pro aktualizace zabezpečení operačního systému na úrovni uzlu. Pak můžete zvolit samostatný plán pro automatické upgrady verze Kubernetes na úrovni clusteru. Nejlepší je používat automatické upgrady na úrovni clusteru i kanál automatického upgradu operačního systému uzlu společně. Plánování je možné vyladit použitím dvou samostatných sad časových intervalů - aksManagedAutoUpgradeSchedule údržby pro kanál automatického upgradu clusteru a aksManagedNodeOSUpgradeSchedule kanálu automatického upgradu operačního systému uzlu.

Kanály pro upgrady imagí operačního systému uzlu

Vybraný kanál určuje načasování upgradů. Při provádění změn kanálů automatického upgradu operačního systému uzlu počkejte až 24 hodin, než se změny projeví. Jakmile změníte kanál z jednoho kanálu na jiný, aktivuje se opětovné vytvoření, což povede k postupnému uzlu.

Poznámka:

Automatický upgrade image operačního systému uzlu neovlivní verzi Kubernetes clusteru. Funguje jenom pro cluster v podporované verzi.

K dispozici jsou následující kanály upgradu. Můžete si vybrat jednu z těchto možností:

Kanál	Popis	Chování specifické pro operační systém
None	Uzly nemají automaticky použité aktualizace zabezpečení. To znamená, že jste zodpovědní výhradně za aktualizace zabezpečení.	–
Unmanaged	Aktualizace operačního systému se použijí automaticky prostřednictvím integrované infrastruktury oprav operačního systému. Nově přidělené počítače jsou zpočátku nepatchované. Infrastruktura operačního systému je v určitém okamžiku opravuje.	Ubuntu a Azure Linux (fondy uzlů procesoru) používají opravy zabezpečení prostřednictvím bezobslužného upgradu/dnf-automatic zhruba jednou denně kolem 06:00 UTC. Windows automaticky nepoužívá opravy zabezpečení, takže tato možnost se chová stejně jako None. Proces restartování budete muset spravovat pomocí nástroje, jako je kured.
SecurityPatch	Tento kanál je ve verzi Preview a vyžaduje povolení příznaku NodeOsUpgradeChannelPreviewfunkce . Podrobnosti najdete v části Požadavky. AKS pravidelně aktualizuje virtuální pevný disk uzlu (VHD) opravami z bitové kopie s popiskem "pouze zabezpečení". Pokud se na uzly použijí opravy zabezpečení, může dojít k přerušení. Po použití oprav se virtuální pevný disk aktualizuje a stávající počítače se upgradují na tento virtuální pevný disk, dodržují časové intervaly údržby a nastavení přepětí. Tato možnost způsobuje dodatečné náklady na hostování virtuálních pevných disků ve skupině prostředků uzlu. Pokud používáte tento kanál, jsou bezobslužné upgrady Linuxu ve výchozím nastavení zakázané.	Azure Linux nepodporuje tento kanál na virtuálních počítačích s podporou GPU. SecurityPatch funguje u verzí oprav, které jsou zastaralé, pokud je podverze Kubernetes stále podporovaná.
NodeImage	AKS aktualizuje uzly pomocí nově opraveného virtuálního pevného disku, který obsahuje opravy zabezpečení a opravy chyb v týdenním tempu. Aktualizace nového virtuálního pevného disku je rušivá, a to podle časových intervalů údržby a nastavení přepětí. Při výběru této možnosti se neúčtují žádné další náklady na virtuální pevný disk. Pokud používáte tento kanál, jsou bezobslužné upgrady Linuxu ve výchozím nastavení zakázané. Upgrady imagí uzlů podporují verze oprav, které jsou zastaralé, pokud je podverze Kubernetes stále podporovaná.

Nastavení kanálu automatického upgradu operačního systému uzlu na novém clusteru

Azure CLI

• Nastavte kanál automatického upgradu operačního systému uzlu v novém clusteru pomocí az aks create příkazu s parametrem --node-os-upgrade-channel . Následující příklad nastaví kanál automatického upgradu operačního systému uzlu na SecurityPatch.

  az aks create --resource-group myResourceGroup --name myAKSCluster --node-os-upgrade-channel SecurityPatch
  

Azure Portal

1. Na webu Azure Portal vyberte Vytvořit kontejnery>prostředků>Azure Kubernetes Service (AKS).

2. Na kartě Základy v části Podrobnosti o clusteru vyberte požadovaný typ kanálu z rozevíracího seznamu Typ kanálu zabezpečení uzlu.

   

3. Vyberte Plánovač kanálu zabezpečení a zvolte požadované časové období údržby pomocí funkce Plánovaná údržba. Doporučujeme vybrat výchozí možnost Každý týden v neděli (doporučeno).

   

4. Dokončete zbývající kroky pro vytvoření clusteru.

Nastavení kanálu automatického upgradu operačního systému uzlu v existujícím clusteru

Azure CLI

• Nastavte kanál automatického upgradu uzlu v existujícím clusteru pomocí az aks update příkazu s parametrem --node-os-upgrade-channel . Následující příklad nastaví kanál automatického upgradu operačního systému uzlu na SecurityPatch.

  az aks update --resource-group myResourceGroup --name myAKSCluster --node-os-upgrade-channel SecurityPatch
  

Azure Portal

1. Na webu Azure Portal přejděte do clusteru AKS.

2. V části Nastavení vyberte Konfigurace clusteru.

3. V části Aktualizace zabezpečení vyberte požadovaný typ kanálu z rozevíracího seznamu Typ kanálu zabezpečení uzlu.

   

4. V případě plánovače kanálu zabezpečení vyberte Přidat plán.

5. Na stránce Přidat plán údržby nakonfigurujte následující nastavení časového období údržby pomocí funkce Plánovaná údržba:

   • Opakování: Vyberte požadovanou frekvenci pro časové období údržby. Doporučujeme vybrat týdenní výběr.
   • Frekvence: Vyberte požadovaný den v týdnu pro časové období údržby. Doporučujeme vybrat neděli.
   • Datum zahájení údržby: Vyberte požadované datum zahájení časového období údržby.
   • Čas zahájení údržby: Vyberte požadovaný čas spuštění časového období údržby.
   • Posun UTC: Vyberte požadovaný posun UTC pro časové období údržby. Pokud není nastavená, výchozí hodnota je +00:00.

   

6. Vyberte Uložit>použít.

Aktualizace vlastnictví a plánu

Výchozí četnost znamená, že se nepoužívá žádné časové období plánované údržby.

Kanál	vlastnictví Aktualizace	Výchozí četnost
Unmanaged	Aktualizace zabezpečení řízené operačním systémem AKS nemá nad těmito aktualizacemi žádnou kontrolu.	Přibližně 6:00 UTC pro Ubuntu a Azure Linux. Měsíčně pro Windows.
SecurityPatch	Otestované, plně spravované a použité AKS s využitím postupů bezpečného nasazení Další informace najdete v tématu Zvýšení zabezpečení a odolnosti kanonických úloh v Azure.	Týdenní.
NodeImage	AKS	Týdenní.

Poznámka:

Aktualizace zabezpečení Systému Windows se vydávají každý měsíc, ale při použití Unmanaged kanálu se tyto aktualizace nebudou automaticky instalovat na uzly Windows. Pokud zvolíte Unmanaged kanál, musíte proces restartování spravovat pomocí nástroje, jako je kured , aby se správně použily opravy zabezpečení.

Požadavky na kanál SecurityPatch

Pokud chcete kanál používat SecurityPatch , cluster musí podporovat tyto požadavky:

• Musí používat verzi 11-02-preview rozhraní API nebo novější.
• Pokud používáte Azure CLI, musí být nainstalovaná aks-preview verze rozšíření rozhraní příkazového řádku nebo novější.0.5.166
• Příznak NodeOsUpgradeChannelPreview funkce musí být ve vašem předplatném povolený.

Registrace NodeOsUpgradeChannelPreview

NodeOsUpgradeChannelPreview Příznak funkce zaregistrujte pomocí příkazu az feature register, jak je znázorněno v následujícím příkladu:

az feature register --namespace "Microsoft.ContainerService" --name "NodeOsUpgradeChannelPreview"

Zobrazení stavu Zaregistrované trvá několik minut. Pomocí příkazu az feature show ověřte stav registrace:

az feature show --namespace "Microsoft.ContainerService" --name "NodeOsUpgradeChannelPreview"

Pokud se stav projeví jako zaregistrovaný, aktualizujte registraci poskytovatele prostředků Microsoft.ContainerService pomocí příkazu az provider register :

az provider register --namespace Microsoft.ContainerService

Známé chyby kanálu Node

• Když v současné době nastavíte kanál automatického upgradu clusteru na node-image, automaticky nastaví kanál automatického upgradu operačního systému uzlu na NodeImage. Pokud je node-imagekanál automatického upgradu clusteru, nemůžete změnit hodnotu kanálu automatického upgradu operačního systému uzlu. Pokud chcete nastavit hodnotu kanálu automatického upgradu operačního systému uzlu, zkontrolujte, jestli hodnota kanálu automatického upgradu clusteru nenínode-image.

• Kanál SecurityPatch není podporován ve fondech uzlů operačního systému Windows.

Poznámka:

Ve výchozím nastavení jakýkoli nový cluster vytvořený s verzí 06-01-2022 rozhraní API nebo novější nastaví hodnotu kanálu automatického upgradu operačního systému uzlu na NodeImagehodnotu . Všechny existující clustery vytvořené ve starší verzi rozhraní API, než 06-01-2022 bude mít hodnotu kanálu automatického upgradu operačního systému uzlu nastavenou na None výchozí hodnotu.

Okna plánované údržby operačního systému Node

Plánovaná údržba automatického upgradu operačního systému uzlu začíná v zadaném časovém období údržby.

Poznámka:

Pokud chcete zajistit správnou funkčnost, použijte časové období údržby čtyři hodiny nebo více.

Další informace o plánované údržbě najdete v tématu Plánování časových období údržby pro cluster Azure Kubernetes Service (AKS).

Nejčastější dotazy k automatickým upgradům operačního systému Node

• Jak můžu zkontrolovat aktuální hodnotu nodeOsUpgradeChannel v clusteru?

az aks show Spusťte příkaz a zkontrolujte "autoUpgradeProfile", abyste zjistili, na jakou hodnotu je nastavenánodeOsUpgradeChannel:

az aks show --resource-group myResourceGroup --name myAKSCluster --query "autoUpgradeProfile"

• Jak můžu monitorovat stav automatických upgradů operačního systému uzlu?

Pokud chcete zobrazit stav automatických upgradů operačního systému uzlu, vyhledejte protokoly aktivit v clusteru. Můžete také vyhledat konkrétní události související s upgradem, jak je uvedeno v upgradu clusteru AKS. AKS také generuje události Event Gridu související s upgradem. Další informace najdete v AKS jako zdroj Event Gridu.

• Můžu změnit hodnotu kanálu automatického upgradu operačního systému uzlu, pokud je kanál automatického upgradu clusteru nastavený na node-image ?

Ne. Když v současné době nastavíte kanál automatického upgradu clusteru na node-image, automaticky nastaví kanál automatického upgradu operačního systému uzlu na NodeImage. Hodnotu kanálu automatického upgradu operačního systému uzlu nemůžete změnit, pokud je node-imagekanál automatického upgradu clusteru . Aby bylo možné změnit hodnoty kanálu automatického upgradu operačního systému uzlu, ujistěte se, že kanál automatického upgradu clusteru není node-image.

• Proč se SecurityPatch doporučuje přes Unmanaged kanál?

Unmanaged V kanálu nemá AKS žádnou kontrolu nad tím, jak a kdy se aktualizace zabezpečení doručí. Díky SecurityPatchtomu jsou aktualizace zabezpečení plně otestované a dodržují postupy bezpečného nasazení. SecurityPatch také dodržuje časové intervaly údržby. Další podrobnosti najdete v tématu Zvýšení zabezpečení a odolnosti kanonických úloh v Azure.

• Návody vědět, jestli SecurityPatchNodeImage je na mém uzlu použit upgrade?

Spuštěním následujícího příkazu získejte popisky uzlů:

kubectl get nodes --show-labels

U vrácených popisků by se měl zobrazit řádek podobný následujícímu výstupu:

kubernetes.azure.com/node-image-version=AKSUbuntu-2204gen2containerd-202311.07.0

Tady je AKSUbuntu-2204gen2containerdverze image základního uzlu . Pokud je to možné, verze opravy zabezpečení obvykle následuje. V předchozím příkladu je 202311.07.0to .

Stejné podrobnosti najdete také na webu Azure Portal v zobrazení popisku uzlu:

Další kroky

Podrobné informace o osvědčených postupech upgradu a dalších aspektech najdete v pokynech k opravám a upgradu AKS.