Zásady podpory pro Azure Kubernetes Service

Tento článek popisuje zásady technické podpory a omezení pro Azure Kubernetes Service (AKS). Obsahuje také podrobnosti o správě uzlů agenta, komponentách spravované řídicí roviny, opensourcových komponentách třetích stran a správě zabezpečení nebo oprav.

Aktualizace a verze služeb

Spravované funkce v AKS

Základní cloudové komponenty infrastruktury jako služby (IaaS), jako jsou výpočetní nebo síťové komponenty, umožňují přístup k nízkoúrovňovým ovládacím prvkům a možnostem přizpůsobení. Naproti tomu AKS poskytuje nasazení Kubernetes na klíč, které poskytuje společnou sadu konfigurací a možností, které potřebujete pro váš cluster. Jako uživatel AKS máte omezené možnosti přizpůsobení a nasazení. Za to se nemusíte starat o clustery Kubernetes ani je přímo spravovat.

S AKS získáte plně spravovanou řídicí rovinu. Řídicí rovina obsahuje všechny komponenty a služby, které potřebujete k provozu a doručování clusterů Kubernetes koncovým uživatelům. Microsoft udržuje a provozuje všechny komponenty Kubernetes.

Microsoft spravuje a monitoruje následující komponenty prostřednictvím řídicí roviny:

  • Servery rozhraní API Kubelet nebo Kubernetes
  • Etcd nebo kompatibilní úložiště párů klíč-hodnota, které poskytuje technologii QoS (Quality of Service), škálovatelnost a modul runtime
  • Služby DNS (například kube-dns nebo CoreDNS)
  • Proxy server Nebo sítě Kubernetes, s výjimkou případů, kdy se používá BYOCNI
  • Všechny ostatní doplňky nebo systémové komponenty spuštěné v oboru názvů kube-system.

AKS není řešení paaS (platforma jako služba). Některé komponenty, například uzly agentů, mají sdílenou odpovědnost, kde musíte pomoct s údržbou clusteru AKS. Uživatelský vstup se vyžaduje například k použití opravy zabezpečení operačního systému uzlu agenta.

Služby se spravují v tom smyslu, že Microsoft a tým AKS nasazují, provozují a zodpovídají za dostupnost a funkčnost služby. Zákazníci nemohou tyto spravované komponenty změnit. Microsoft omezuje přizpůsobení, aby se zajistilo konzistentní a škálovatelné uživatelské prostředí.

Společná odpovědnost

Při vytváření clusteru definujete uzly agenta Kubernetes, které AKS vytvoří. Vaše úlohy se spouští na těchto uzlech.

Vzhledem k tomu, že uzly agenta provádějí privátní kód a ukládají citlivá data, podpora Microsoftu k nim mají přístup jen omezeným způsobem. podpora Microsoftu se nemůže přihlásit k těmto uzlům, spouštět příkazy ani zobrazovat protokoly pro tyto uzly bez vašeho výslovného oprávnění nebo pomoci.

Jakékoli změny provedené přímo v uzlech agenta pomocí některého z rozhraní API IaaS znemožní cluster. Všechny změny uzlů agenta se musí provést pomocí nativních mechanismů Kubernetes, jako Daemon Setsje .

Podobně platí, že i když můžete do clusteru a uzlů přidat jakákoli metadata, jako jsou značky a popisky, změna jakéhokoli ze systémem vytvořená metadat vykreslí cluster jako nepodporovaný.

Pokrytí podpory AKS

Microsoft poskytuje technickou podporu pro následující příklady:

  • Připojení ke všem komponentám Kubernetes, které služba Kubernetes poskytuje a podporuje, jako je server rozhraní API.
  • Správa, dostupnost, QoS a operace služeb řídicí roviny Kubernetes (například řídicí rovina Kubernetes, server rozhraní API atd. a coreDNS).
  • Úložiště dat Etcd. Podpora zahrnuje automatizované transparentní zálohování všech dat etcd každých 30 minut pro plánování havárie a obnovení stavu clusteru. Tyto zálohy nejsou přímo dostupné vám ani nikomu jinému. Zajišťují spolehlivost a konzistenci dat. Vrácení zpět nebo obnovení na vyžádání se jako funkce nepodporuje.
  • Všechny body integrace v ovladači poskytovatele cloudu Azure pro Kubernetes Patří mezi ně integrace do dalších služeb Azure, jako jsou nástroje pro vyrovnávání zatížení, trvalé svazky nebo sítě (Kubernetes a Azure CNI, s výjimkou případů, kdy se používá BYOCNI ).
  • Dotazy nebo problémy související s přizpůsobením komponent řídicí roviny, jako je server rozhraní Kubernetes API atd. a coreDNS
  • Problémy se sítěmi, jako jsou Azure CNI, kubenet nebo jiné problémy s přístupem k síti a funkcemi, s výjimkou případů, kdy se používá BYOCNI Problémy můžou zahrnovat překlad DNS, ztrátu paketů, směrování atd. Microsoft podporuje různé síťové scénáře:
    • Kubenet a Azure CNI s využitím spravovaných virtuálních sítí nebo s vlastními podsítěmi (přineste si vlastní).
    • Připojení k dalším službám a aplikacím Azure
    • Kontrolery příchozího přenosu dat a konfigurace příchozího přenosu dat nebo nástroje pro vyrovnávání zatížení
    • Výkon a latence sítě
    • Zásady sítě

Poznámka

Všechny akce clusteru prováděné Microsoftem nebo AKS se provádějí s vaším souhlasem v rámci předdefinované role aks-service Kubernetes a předdefinované vazby aks-service-rolebindingrole. Tato role umožňuje AKS řešit a diagnostikovat problémy s clustery, ale nemůže upravovat oprávnění, vytvářet role, vazby rolí ani jiné akce s vysokými oprávněními. Přístup k rolím je povolen pouze v rámci aktivních lístků podpory s přístupem za běhu (JIT).

Microsoft neposkytuje technickou podporu pro následující scénáře:

  • Dotazy týkající se používání Kubernetes například podpora Microsoftu neposkytuje rady k vytváření vlastních kontrolerů příchozího přenosu dat, používání úloh aplikací nebo používání softwarových balíčků nebo nástrojů třetích stran nebo opensourcových softwarových balíčků nebo nástrojů.

    Poznámka

    podpora Microsoftu vám poradí s funkcemi, přizpůsobeními a laděním clusteru AKS (například problémy a postupy operací Kubernetes).

  • Opensourcové projekty třetích stran, které nejsou k dispozici jako součást řídicí roviny Kubernetes nebo nasazené s clustery AKS. Mezi tyto projekty může patřit Istio, Helm, envoy a další.

    Poznámka

    Microsoft může poskytovat maximální podporu pro opensourcové projekty třetích stran, jako je Helm. Tam, kde se opensourcový nástroj třetí strany integruje s poskytovatelem cloudu Kubernetes Azure nebo s jinými chybami specifickými pro AKS, Microsoft podporuje příklady a aplikace z dokumentace Microsoftu.

  • Software třetích stran s uzavřeným zdrojovým kódem. Tento software může zahrnovat nástroje pro kontrolu zabezpečení a síťová zařízení nebo software.

  • Jiná přizpůsobení sítě než ta, která jsou uvedená v dokumentaci k AKS.

  • Vlastní moduly plug-in CNI nebo moduly plug-in CNI třetích stran používané v režimu BYOCNI

  • Pohotovostní a proaktivní scénáře. podpora Microsoftu poskytuje reaktivní podporu, která pomáhá včas a profesionálně řešit aktivní problémy. Pohotovostní nebo proaktivní podpora, která vám pomůže eliminovat provozní rizika, zvýšit dostupnost a optimalizovat výkon, se ale nevztahuje. Opravňující zákazníci můžou kontaktovat svůj obchodní tým a požádat ho o nominaci na službu Azure Event Management. Jedná se o placenou službu poskytovanou pracovníky podpory Microsoftu, která zahrnuje proaktivní posouzení rizik řešení a pokrytí během události.

Pokrytí podpory AKS pro uzly agentů

Odpovědnosti Microsoftu za uzly agenta AKS

Microsoft a vy sdílíte odpovědnost za uzly agenta Kubernetes, kde:

  • Základní image operačního systému obsahuje požadované doplňky (například agenti monitorování a sítě).
  • Uzly agenta přijímají opravy operačního systému automaticky.
  • Problémy s komponentami řídicí roviny Kubernetes, které běží na uzlech agenta, se automaticky opraví. Mezi tyto komponenty patří následující:
    • Kube-proxy
    • Síťové tunely, které poskytují komunikační cesty k hlavním komponentám Kubernetes
    • Kubelet
    • containerd

Poznámka

Pokud uzel agenta není funkční, může AKS restartovat jednotlivé komponenty nebo celý uzel agenta. Tyto operace restartování jsou automatizované a poskytují automatickou nápravu běžných problémů. Další informace o mechanismech automatické nápravy najdete v tématu Automatická oprava uzlu.

Odpovědnosti zákazníka za uzly agenta AKS

Microsoft poskytuje opravy a nové image pro uzly imagí každý týden, ale ve výchozím nastavení je automaticky neopravuje. Pokud chcete zachovat opravu operačního systému uzlu agenta a komponenty modulu runtime, měli byste zachovat běžný plán upgradu image uzlu nebo ho automatizovat.

Podobně AKS pravidelně vydává nové opravy a podverze Kubernetes. Tyto aktualizace můžou obsahovat vylepšení zabezpečení nebo funkcí Kubernetes. Zodpovídáte za udržování aktualizované verze kubernetes vašich clusterů a v souladu se zásadami podpory kubernetes v AKS.

Přizpůsobení uzlů agentů uživateli

Poznámka

Uzly agenta AKS se v Azure Portal zobrazují jako standardní prostředky Azure IaaS. Tyto virtuální počítače se ale nasadí do vlastní skupiny prostředků Azure (s předponou MC_*). Pomocí rozhraní API nebo prostředků IaaS nemůžete měnit základní image operačního systému ani provádět přímé přizpůsobení těchto uzlů. Všechny vlastní změny, které se neprovedou z rozhraní API AKS, se při upgradu, škálování, aktualizaci nebo restartování nezachovají. Navíc jakákoli změna rozšíření uzlů, jako je CustomScriptExtension , může vést k neočekávanému chování a měla by být zakázána. Vyhněte se provádění změn uzlů agentů, pokud vás podpora Microsoftu nenabádá k provedení změn.

AKS spravuje životní cyklus a operace uzlů agentů vaším jménem a úpravy prostředků IaaS přidružených k uzlům agenta se nepodporují. Příkladem nepodporované operace je přizpůsobení škálovací sady virtuálních počítačů fondu uzlů ruční změnou konfigurací v Azure Portal nebo z rozhraní API.

V případě konfigurací nebo balíčků specifických pro konkrétní úlohy AKS doporučuje používat Kubernetes daemon sets.

Použití privilegovaných daemon sets a inicializačních kontejnerů Kubernetes umožňuje vyladit/upravit nebo nainstalovat software třetích stran na uzlech agenta clusteru. Mezi příklady takových přizpůsobení patří přidání vlastního softwaru pro kontrolu zabezpečení nebo aktualizace nastavení sysctl.

I když se tato cesta doporučuje, pokud platí výše uvedené požadavky, technici a podpora AKS nemůžou pomoct s řešením potíží ani diagnostikou úprav, které vykreslí uzel jako nedostupný z důvodu vlastního nasazení daemon set.

Problémy se zabezpečením a opravy

Pokud se v jedné nebo několika spravovaných komponentách AKS najde chyba zabezpečení, tým AKS opraví všechny ovlivněné clustery, aby se tento problém zmírnil. Případně vám tým AKS poskytne pokyny k upgradu.

V případě uzlů agentů ovlivněných chybou zabezpečení vás Microsoft upozorní na podrobnosti o dopadu a postupu pro opravu nebo zmírnění problému se zabezpečením.

Údržba a přístup k uzlům

I když se můžete přihlásit k uzlům agenta a změnit je, tato operace se nedoporučuje, protože změny můžou cluster znepřístupnit.

Síťové porty, přístup a skupiny zabezpečení sítě

Skupiny zabezpečení sítě můžete přizpůsobit jenom ve vlastních podsítích. Skupiny zabezpečení sítě není možné přizpůsobit ve spravovaných podsítích nebo na úrovni síťové karty uzlů agenta. Služba AKS má požadavky na výchozí přenos dat na konkrétní koncové body. Pokud chcete řídit výchozí přenos dat a zajistit potřebné připojení, přečtěte si téma Omezení výchozího přenosu dat. Pro příchozí přenos dat jsou požadavky založené na aplikacích, které jste nasadili do clusteru.

Zastavené, uvolněné a nepřipravené uzly

Pokud nepotřebujete, aby úlohy AKS běžely nepřetržitě, můžete zastavit cluster AKS, který zastaví všechny fondy uzlů a řídicí rovinu. V případě potřeby ho můžete spustit znovu. Při zastavení clusteru az aks stop pomocí příkazu se jeho stav zachová po dobu až 12 měsíců. Po 12 měsících se odstraní stav clusteru a všechny jeho prostředky.

Ruční uvolnění všech uzlů clusteru z rozhraní API IaaS, Azure CLI nebo Azure Portal nepodporuje zastavení clusteru nebo fondu uzlů AKS. Cluster bude po 30 dnech považován za ukončený a služba AKS ho zastaví. Na clustery se pak vztahují stejné zásady uchovávání po 12 měsících jako správně zastavený cluster.

Clustery s nulou připravených uzlů (nebo všemi nepřipravenými) a žádnými spuštěnými virtuálními počítači se zastaví po 30 dnech.

AKS si vyhrazuje právo archivovat řídicí roviny, které byly nakonfigurovány mimo pokyny podpory po delší dobu rovnající se 30 dnům a více. AKS udržuje zálohy metadat clusteru atd. a může cluster snadno přerozdělit. Toto přerozdělení iniciuje jakákoli operace PUT, která cluster vrátí zpět do režimu podpory, jako je upgrade nebo škálování na uzly aktivního agenta.

Všechny clustery v pozastavené předplatném se okamžitě zastaví a po 90 dnech se odstraní. Všechny clustery v odstraněných předplatných se okamžitě odstraní.

Nepodporované alfa a beta funkce Kubernetes

AKS podporuje stabilní a beta funkce pouze v rámci upstreamového projektu Kubernetes. Pokud není uvedeno jinak, AKS nepodporuje žádnou alfa funkci, která je k dispozici v upstreamovém projektu Kubernetes.

Funkce nebo příznaky funkcí ve verzi Preview

Pro funkce, které vyžadují rozšířené testování a zpětnou vazbu uživatelů, Microsoft vydává nové funkce nebo funkce ve verzi Preview za příznakem funkce. Zvažte tyto funkce jako předběžné verze nebo beta funkce.

Funkce Preview nebo funkce s příznakem funkcí nejsou určené pro produkční prostředí. Probíhající změny v rozhraních API a chování, opravy chyb a další změny můžou vést k nestabilním clusterům a výpadkům.

Funkce ve verzi Public Preview spadají pod maximální podporu, protože tyto funkce jsou ve verzi Preview a nejsou určené pro produkční prostředí. Týmy technické podpory AKS poskytují podporu pouze během pracovní doby. Další informace najdete v nejčastějších dotazech k podpoře Azure.

Upstreamové chyby a problémy

Vzhledem k rychlosti vývoje v upstreamovém projektu Kubernetes dochází vždy k chybám. Některé z těchto chyb nelze v systému AKS opravovat ani je obejít. Místo toho opravy chyb vyžadují větší opravy upstreamových projektů (například Kubernetes, operační systémy uzlů nebo agentů a jádro). U komponent, které vlastní Microsoft (jako je poskytovatel cloudu Azure), se pracovníci AKS a Azure zavázali řešit problémy upstreamu v komunitě.

Pokud je původní příčinou problému s technickou podporou jedna nebo více upstreamových chyb, týmy podpory AKS a technické týmy:

  • Identifikujte upstreamové chyby a propojte je se všemi podpůrnými podrobnostmi, které vám pomůžou vysvětlit, proč tento problém ovlivňuje váš cluster nebo úlohu. Zákazníci obdrží odkazy na požadovaná úložiště, aby mohli watch problémy a zjistit, kdy nová verze poskytne opravy.

  • Uveďte možná alternativní řešení nebo omezení rizik. Pokud je možné tento problém zmírnit, je známý problém v úložišti AKS. Popis známého problému vysvětluje:

    • Problém, včetně odkazů na upstreamové chyby.
    • Alternativní řešení a podrobnosti o upgradu nebo jiném trvalosti řešení.
    • Přibližné časové osy pro zahrnutí problému na základě upstreamového tempa vydávání