Häufig gestellte Fragen (FAQ) zu LUIS

Enthält Antworten auf einige der häufig gestellten Fragen zu Azure Kubernetes Service (AKS).

Unterstützung

Bietet AKS eine Vereinbarung zum Servicelevel?

AKS bietet Sla-Garantien (Service Level Agreement) im Standard-Preisniveau mit dem SLA-Feature "Uptime".

Was ist Plattformunterstützung, und was beinhaltet sie?

Plattformunterstützung ist ein reduzierter Supportplan für nicht unterstützte n-3-Versionscluster. Plattformunterstützung umfasst nur Azure-Infrastrukturunterstützung.

Weitere Informationen finden Sie in den Plattformunterstützungsrichtlinien.

Führt AKS ein automatisches Upgrade für meine nicht unterstützten Cluster durch?

AKS initiiert automatische Upgrades für nicht unterstützte Cluster. Wenn ein Cluster in einer n-3-Version (wobei n die neueste unterstützte AKS-Nebenversion ist, die allgemein verfügbar ist) auf n-4 eingestellt wird, aktualisiert AKS den Cluster automatisch auf n-2, um in einer AKS-Supportrichtlinie zu verbleiben.

Weitere Informationen finden Sie unter Unterstützten Kubernetes-Versionen, geplanten Wartungsfensternund automatischen Upgrades.

Kann ich Windows Server-Container unter AKS ausführen?

AKS unterstützt auch Windows Server-Container. Weitere Informationen finden Sie unter Häufig gestellte Fragen zu Windows Server auf AKS.

Kann ich Rabatte für Azure-Reservierungen auf meine AKS-Agent-Knoten anwenden?

AKS-Agentknoten werden als virtuelle Azure-Standardcomputer (VMs) abgerechnet. Wenn Sie also Azure-Reservierungen für die von Ihnen in AKS verwendete VM-Größe erworben haben, werden diese Rabatte automatisch angewendet.

Vorgänge

Kann ich meinen Cluster zwischen Azure-Mandanten verschieben oder migrieren?

Nein. Das Verschieben Ihres AKS-Clusters zwischen Mandanten wird derzeit nicht unterstützt.

Kann ich meinen Cluster zwischen Abonnements verschieben oder migrieren?

Nein. Das Verschieben Ihres AKS-Clusters zwischen Abonnements wird derzeit nicht unterstützt.

Kann ich meine AKS-Cluster- oder AKS-Infrastrukturressourcen in andere Ressourcengruppen verschieben oder sie umbenennen?

Nein. Das Verschieben oder Umbenennen Ihres AKS-Clusters und der zugehörigen Ressourcen wird nicht unterstützt.

Kann ich meinen Cluster nach dem Löschen wiederherstellen?

Nein. Sie können den Cluster nach dem Löschen nicht wiederherstellen. Wenn Sie den Cluster löschen, werden auch die Knotenressourcengruppe und alle zugehörigen Ressourcen gelöscht.

Wenn Sie eine Ihrer Ressourcen beibehalten möchten, verschieben Sie sie in eine andere Ressourcengruppe, bevor Sie den Cluster löschen. Wenn Sie vor versehentlichen Löschvorgängen schützen möchten, können Sie die verwaltete AKS-Ressourcengruppe sperren, die Ihre Clusterressourcen hostet, indem Sie die Sperrung der Knotenressourcengruppe verwenden.

Kann ich meinen AKS-Cluster auf 0 (null) skalieren?

Sie können einen ausgeführten AKS-Cluster vollständig beenden oder alle oder bestimmte User Knotenpools automatisch auf Null skalieren oder skalieren.

Systemknotenpools können nicht direkt auf Null skaliert werden.

Kann ich die VM-Skalierungssatz-APIs verwenden, um manuell zu skalieren?

Nein. Skalierungsvorgänge, die die VM-Skalierungssatz-APIs verwenden, werden nicht unterstützt. Sie können die AKS-APIs (az aks scale) verwenden.

Kann ich Skalierungssätze für virtuelle Computer verwenden, um manuell auf Nullknoten zu skalieren?

Nein. Skalierungsvorgänge, die die VM-Skalierungssatz-APIs verwenden, werden nicht unterstützt. Sie können die AKS-API verwenden, um Nichtsystemknotenpools auf Null zu skalieren oder stattdessen den Cluster zu beenden .

Kann ich alle meine virtuellen Computer beenden oder verlagern?

Nein. Diese Konfiguration wird nicht unterstützt. Beenden Sie den Cluster stattdessen.

Warum werden zwei Ressourcengruppen mit AKS erstellt?

AKS baut auf vielen Azure-Infrastrukturressourcen auf, darunter Skalierungsgruppen für virtuelle Computer, virtuelle Netzwerke und verwaltete Datenträger. Diese Integrationen ermöglichen Ihnen, viele der Kernfunktionen der Azure-Plattform in der von AKS bereitgestellten verwalteten Kubernetes-Umgebung zu nutzen. Sie können z. B. die meisten Azure-VM-Typen direkt mit AKS verwenden, und Sie können Azure Reservations verwenden, um Rabatte für diese Ressourcen automatisch zu erhalten.

Um diese Architektur zu ermöglichen, umfass jede AKS-Bereitstellung zwei Ressourcengruppen:

1. Die erste Ressourcengruppe wird von Ihnen erstellt. Diese Gruppe enthält nur die Kubernetes-Dienstressource. Der AKS-Ressourcenanbieter erstellt während der Bereitstellung automatisch die zweite Ressourcengruppe. MC_myResourceGroup_myAKSCluster_eastus ist ein Beispiel für die zweite Ressourcengruppe. Informationen dazu, wie Sie den Namen dieser zweiten Ressourcengruppe angeben, finden Sie im nächsten Abschnitt.
2. Die zweite Ressourcengruppe, als Knotenressourcengruppe bezeichnet, enthält alle Infrastrukturressourcen für den Cluster. Diese Ressourcen umfassen die virtuellen Computer des Kubernetes-Knotens, virtuelle Netzwerke und Speicher. Standardmäßig lautet der Name der Knotenressourcengruppe z. B. MC_myResourceGroup_myAKSCluster_eastus. AKS löscht die Knotenressourcengruppe automatisch, wenn Sie den Cluster löschen. Verwenden Sie diese Ressourcengruppe nur für Ressourcen, die den Lebenszyklus des Clusters gemeinsam nutzen.

Hinweis

Das Ändern einer Ressource unter der Knotenressourcengruppe im AKS-Cluster ist eine nicht unterstützte Aktion und führt zu Fehlern im Clusterbetrieb. Sie können verhindern, dass Änderungen an der Knotenressourcengruppe vorgenommen werden. Benutzer daran hindern, Ressourcen zu ändern , die der AKS-Cluster verwaltet.

Kann ich einen eigenen Namen für die AKS-Knotenressourcengruppe angeben?

In AKS wird der Knotenressourcengruppe standardmäßig der Name MC_resourcegroupname_clustername_location zugewiesen, Sie können jedoch auch einen eigenen Namen angeben.

Installieren Sie die aks-preview-Erweiterungsversion 0.3.2 oder höher der Azure CLI, wenn Sie einen eigenen Ressourcengruppennamen angeben möchten. Wenn Sie einen AKS-Cluster mithilfe des az aks create Befehls erstellen, verwenden Sie den --node-resource-group Parameter, und geben Sie einen Namen für die Ressourcengruppe an. Wenn Sie eine Azure Resource Manager-Vorlage zum Bereitstellen eines AKS-Clusters verwenden, können Sie den Ressourcengruppennamen mithilfe der nodeResourceGroup Eigenschaft definieren.

• Der Azure-Ressourcenanbieter erstellt automatisch die sekundäre Ressourcengruppe.
• Sie können einen benutzerdefinierten Ressourcengruppennamen nur angeben, wenn Sie den Cluster erstellen.

Während Sie mit der Knotenressourcengruppe arbeiten, können Sie folgendes nicht ausführen:

• Angeben einer vorhandenen Ressourcengruppe als Knotenressourcengruppe
• Angeben eines anderen Abonnements für die Knotenressourcengruppe
• Ändern Sie den Namen der Knotenressourcengruppe, nachdem Sie den Cluster erstellt haben.
• Angeben von Namen für die verwalteten Ressourcen innerhalb der Knotenressourcengruppe
• Ändern oder Löschen von Azure erstellter Tags für verwaltete Ressourcen innerhalb der Knotenressourcengruppe

Kann ich Tags und andere Eigenschaften der AKS-Ressourcen in der Knotenressourcengruppe ändern?

Wenn Sie die in Azure erstellten Tags und andere Ressourceneigenschaften in der Knotenressourcengruppe ändern oder löschen, kann dies zu unerwarteten Skalierungs- und Aktualisierungsfehlern führen. Mit AKS können Sie benutzerdefinierte Tags erstellen und ändern, die von Endbenutzern erstellt wurden, und Sie können diese Tags hinzufügen, wenn Sie einen Knotenpool erstellen. Sie können benutzerdefinierte Tags erstellen oder ändern, um beispielsweise eine Geschäftseinheit oder eine Kostenstelle zuzuweisen. Eine weitere Option besteht darin, Azure-Richtlinien mit einem Bereich für die verwaltete Ressourcengruppe zu erstellen.

Azure-erstellte Tags werden für ihre jeweiligen Azure-Dienste erstellt, und Sie sollten sie immer zulassen. Für AKS gibt es die Tags aks-managed und k8s-azure. Von Azure erstellte Tags für Ressourcen unter der Knotenressourcengruppe im AKS-Cluster dürfen nicht geändert werden, da dies zu einer Verletzung des Servicelevelziels (Service-Level Objective, SLO) führt.

Hinweis

In der Vergangenheit wurde der Tagname Owner für AKS reserviert, um die öffentliche IP zu verwalten, die auf der Front-End-IP des Lastenausgleichs zugewiesen ist. Jetzt verwenden Dienste das aks-managed Präfix. Verwenden Sie bei älteren Ressourcen keine Azure-Richtlinien, um den Owner Tagnamen anzuwenden. Andernfalls treten bei allen Ressourcen für Ihre AKS-Clusterbereitstellungs- und -Updatevorgänge Fehler auf. Diese Einschränkung gilt nicht für neu erstellte Ressourcen.

Warum sehe ich Aks verwaltete Helm-Versionen auf meinem Cluster, und warum nimmt die Revisionsanzahl weiter zu?

AKS verwendet Helm, um Komponenten an Ihren Cluster zu liefern. Sie können die präfixierten Helm-Versionen sicher ignorieren aks-managed . Kontinuierliche Überarbeitungen dieser Helm-Versionen werden erwartet und sicher.

Quoten, Grenzwerte und regionale Verfügbarkeit

In welchen Azure-Regionen wird AKS derzeit zur Verfügung gestellt?

Eine vollständige Liste der verfügbaren Regionen finden Sie unter AKS-Regionen und Verfügbarkeit.

Kann ich einen AKS-Cluster regionsübergreifend verteilen?

Nein. AKS-Cluster sind regionale Ressourcen und können sich nicht über mehrere Regionen erstrecken. Anleitungen zum Erstellen einer Architektur, die mehrere Regionen umfasst, finden Sie unter bewährte Methoden für Geschäftskontinuität und Notfallwiederherstellung.

Kann ich einen AKS-Cluster über Verfügbarkeitszonen hinweg verteilen?

Sie können einen AKS-Cluster über eine oder mehrere Verfügbarkeitszonen hinweg in Regionen bereitstellen, die diese unterstützen.

Kann ich unterschiedliche VM-Größen in einem einzigen Cluster verwenden?

Ja, Sie können unterschiedliche VM-Größen in Ihrem AKS-Cluster verwenden, indem Sie mehrere Knotenpools erstellen.

Was ist die Größenbeschränkung für ein Containerimage in AKS?

AKS legt keinen Grenzwert für die Größe des Containerimages fest. Je größer das Bild ist, desto höher ist die Speichernachfrage. Eine höhere Größe könnte potenziell Ressourcenlimits oder den gesamten verfügbaren Arbeitsspeicher von Workerknoten überschreiten. Standardmäßig ist der Arbeitsspeicher für die VM-Größe Standard_DS2_v2 für einen AKS-Cluster auf 7 GiB festgelegt.

Wenn ein Containerimage übermäßig groß ist, wie im Terabyte (TB)-Bereich, kann das Kubelet es möglicherweise nicht aus Der Containerregistrierung zu einem Knoten ziehen, da nicht genügend Speicherplatz vorhanden ist.

Für Windows Server-Knoten werden die neuesten Updates von Windows Update nicht automatisch ausgeführt und angewendet. Sie sollten ein Upgrade auf dem Cluster und den Windows Server-Knotenpools in Ihrem AKS-Cluster durchführen. Befolgen Sie einen regelmäßigen Zeitplan basierend auf dem Windows Update-Veröffentlichungszyklus und Ihrem eigenen Überprüfungsprozess. Dieser Upgradevorgang erstellt Knoten, die das neueste Windows Server-Image und Patches ausführen, und entfernt dann die älteren Knoten. Weitere Informationen zu diesem Prozess finden Sie unter Durchführen eines Upgrades für einen Knotenpool in AKS.

Sind AKS-Images für eine Ausführung als root erforderlich?

Die folgenden Bilder weisen funktionale Anforderungen auf, die als Stamm ausgeführt werden müssen, und Ausnahmen müssen für alle Richtlinien abgelegt werden:

• mcr.microsoft.com/oss/kubernetes/coredns
• mcr.microsoft.com/azuremonitor/containerinsights/ciprod
• mcr.microsoft.com/oss/calico/node
• mcr.microsoft.com/oss/kubernetes-csi/azuredisk-csi

Sicherheit, Zugriff und Identität

Kann ich einschränken, wer Zugriff auf den Kubernetes-API-Server hat?

Es gibt zwei Optionen zum Einschränken des Zugriffs auf den API-Server:

• Verwenden Sie autorisierte IP-Bereiche des API-Servers , wenn Sie einen öffentlichen Endpunkt für den API-Server verwalten möchten, aber den Zugriff auf eine Reihe vertrauenswürdiger IP-Bereiche einschränken möchten.
• Verwenden Sie einen privaten Cluster , wenn Sie den ZUGRIFF auf den API-Server nur innerhalb Ihres virtuellen Netzwerks einschränken möchten.

Werden Sicherheitsupdates auf AKS-Agent-Knoten angewendet?

AKS patches CVEs, die jede Woche einen Hersteller fix haben . CVEs ohne Fix warten auf einen Anbieter-Fix, bevor sie behoben werden können. Die AKS-Bilder werden innerhalb von 30 Tagen automatisch aktualisiert. Es wird empfohlen, ein aktualisiertes Knotenimage in regelmäßigen Abständen anzuwenden, um sicherzustellen, dass die neuesten gepatchten Images und Betriebssystempatches angewendet und aktuell sind. Sie können diese Aufgabe ausführen:

• Manuell über das Azure-Portal oder die Azure-CLI.
• Durch ein Upgrade des AKS-Clusters. Der Cluster aktualisiert Kabel und Entwässerungsknoten automatisch. Dann bringt es einen neuen Knoten online mit dem neuesten Ubuntu-Image und einer neuen Patch-Version oder einer kleineren Kubernetes-Version. Weitere Informationen finden Sie unter Aktualisieren eines AKS-Clusters.
• Mithilfe eines Knotenimageupgrades.

Gibt es Sicherheitsbedrohungen, die auf AKS abzielen, die ich kennen sollte?

Microsoft bietet Anleitungen für andere Aktionen, die Sie ergreifen können, um Ihre Workloads über Dienste wie Microsoft Defender für Container zu sichern. Informationen zu einer Sicherheitsbedrohung im Zusammenhang mit AKS und Kubernetes finden Sie unter Neue große Kampagnenziele Kubeflow (8. Juni 2021).

Speichert AKS Kundendaten außerhalb der Region des Clusters?

Nein. Alle Daten werden in der Region des Clusters gespeichert.

Wie kann ich Probleme vermeiden, bei denen das Festlegen des Berechtigungsbesitzes lange dauert, wenn das Volume viele Dateien enthält?

Wenn Ihr Pod traditionell als nichtroot-Benutzer ausgeführt wird (was er sollte), müssen Sie einen fsGroup Parameter innerhalb des Sicherheitskontexts des Pods angeben, damit das Volume vom Pod lesbar und schreibbar ist. Weitere Informationen zu dieser Anforderung finden Sie unter Konfigurieren eines Sicherheitskontexts für einen Pod oder Container.

Ein Nebeneffekt der Einstellung fsGroup besteht darin, dass Kubernetes jedes Mal, wenn ein Volume bereitgestellt wird, die chown() Befehle chmod() rekursiv für alle Dateien und Verzeichnisse innerhalb des Volumes verwenden muss (mit wenigen Ausnahmen). Dieses Szenario tritt auch dann auf, wenn der Gruppenbesitz des Volumes bereits mit dem angeforderten fsGroup Parameter übereinstimmt. Diese Konfiguration kann für größere Volumes mit vielen kleinen Dateien teuer sein, was dazu führen kann, dass der Pod-Start sehr lange dauert. Dieses Szenario war ein bekanntes Problem vor v1.20. Die Problemumgehung besteht darin, den Pod so festzulegen, dass er als Stamm ausgeführt wird:

apiVersion: v1
kind: Pod
metadata:
  name: security-context-demo
spec:
  securityContext:
    runAsUser: 0
    fsGroup: 0

Das Problem wurde mit Kubernetes, Version 1.20, behoben. Weitere Informationen finden Sie unter Kubernetes 1.20: Granulare Steuerung von Volumenberechtigungsänderungen.

Netzwerk

Wie kommuniziert die verwaltete Steuerebene mit meinen Knoten?

AKS verwendet eine sichere Tunnelkommunikation, damit die api-server einzelnen Knoten kubelets kommunizieren können, auch in separaten virtuellen Netzwerken. Der Tunnel wird durch die gegenseitige Transport Layer Security-Verschlüsselung gesichert. Der aktuelle Haupttunnel, den AKS verwendet , ist Konnectivity, zuvor als apiserver-network-proxy bekannt. Stellen Sie sicher, dass alle Netzwerkregeln den erforderlichen Azure-Netzwerkregeln und vollqualifizierten Domänennamen (FQDNs) entsprechen.

Können meine Pods den FQDN des API-Servers anstelle der Cluster-IP-Adresse verwenden?

Ja, Sie können Pods die Anmerkung kubernetes.azure.com/set-kube-service-host-fqdn hinzufügen, um die Variable KUBERNETES_SERVICE_HOST auf den Domänennamen des API-Servers anstelle der IP-Adresse des Clusterdiensts festzulegen. Diese Änderung ist in Fällen hilfreich, in denen ihr Clusterausgang über eine Layer 7-Firewall erfolgt. Ein Beispiel hierfür ist die Verwendung von Azure Firewall mit Anwendungsregeln.

Kann ich Netzwerksicherheitsgruppen mit AKS konfigurieren?

AKS wendet keine Netzwerksicherheitsgruppen (NSGs) auf sein Subnetz an und ändert keine der NSGs, die diesem Subnetz zugeordnet sind. AKS ändert nur die NSG-Einstellungen der Netzwerkschnittstelle. Wenn Sie die Container-Netzwerkschnittstelle (Container Network Interface, CNI) verwenden, müssen Sie auch sicherstellen, dass die Sicherheitsregeln in den NSGs Datenverkehr zwischen den Bereichen Node und pod classless interdomain routing (CIDR) zulassen. Wenn Sie kubenet verwenden, müssen Sie auch sicherstellen, dass die Sicherheitsregeln in den NSGs Datenverkehr zwischen dem Knoten und pod CIDR zulassen. Weitere Informationen finden Sie unter Netzwerksicherheitsgruppen.

Wie funktioniert die Zeitsynchronisierung in AKS?

AKS-Knoten führen den chrony-Dienst aus, der Zeit vom lokalen Host abruft. Container, die auf Pods ausgeführt werden, erhalten die Zeit von den AKS-Knoten. Anwendungen, die innerhalb eines Containers geöffnet werden, verwenden Zeit vom Container des Pods.

Add-ons, Erweiterungen und Integrationen

Kann ich benutzerdefinierte VM-Erweiterungen verwenden?

Nein. AKS ist ein verwalteter Dienst. Die Manipulation der Infrastruktur as a Service (IaaS)-Ressourcen wird nicht unterstützt. Nutzen Sie die Kubernetes-APIs und -Mechanismen zum Installieren benutzerdefinierter Komponenten. Verwenden Sie beispielsweise DaemonSets, um alle erforderlichen Komponenten zu installieren.

Welche Kubernetes-Zugangssteuerungen werden von AKS unterstützt? Können Zulassungscontroller hinzugefügt oder entfernt werden?

AKS unterstützt die folgenden Zugangssteuerungen:

• NamespaceLifecycle
• LimitRanger
• ServiceAccount
• DefaultIngressClass
• DefaultStorageClass
• DefaultTolerationSeconds
• MutatingAdmissionWebhook
• ValidatingAdmissionWebhook
• ResourceQuota
• PodNodeSelector
• PodTolerationRestriction
• ExtendedResourceToleration

Derzeit können Sie die Liste der Zugriffssteuerungen in AKS nicht ändern.

Kann ich in AKS Zugangscontrollerwebhooks verwenden?

Ja, Sie können Zugangscontrollerwebhooks in AKS verwenden. Es wird empfohlen, interne AKS-Namespaces auszuschließen, die mit der control-plane Bezeichnung gekennzeichnet sind. Zum Beispiel:

namespaceSelector:
    matchExpressions:
    - key: control-plane
      operator: DoesNotExist

AKS firewalls the API server egress so that your admission controller webhooks need to be accessible from the cluster.

Kann sich der Regler-Webhooks auf kube-system und interne AKS-Namespaces auswirken?

Um die Stabilität des Systems zu schützen und benutzerdefinierte Steuerungscontroller daran zu hindern, interne Dienste im kube-system Namespace zu beeinflussen, verfügt AKS über einen Admissions Enforcer, der automatisch ausgeschlossen kube-system wird und interne AKS-Namespaces. Dieser Dienst stellt sicher, dass sich die benutzerdefinierten Steuerungscontroller nicht auf die Dienste auswirken, die kube-systemausgeführt werden.

Wenn Sie einen kritischen Anwendungsfall für die kube-system Bereitstellung von Inhalten haben (nicht empfohlen) zur Unterstützung Ihres benutzerdefinierten Zulassungs-Webhooks, können Sie die folgende Bezeichnung oder Anmerkung hinzufügen, damit die Erzwingungs-Erzwingungs-Erzwingung ignoriert wird:

• Bezeichnung: "admissions.enforcer/disabled": "true"
• Anmerkung: "admissions.enforcer/disabled": true

Ist Azure Key Vault in AKS integriert?

Azure Key Vault-Anbieter für Secrets Store CSI-Treiber bietet native Integration von Azure Key Vault in AKS.

Kann ich kryptografische FIPS-Bibliotheken bei Bereitstellungen in AKS verwenden?

Knoten, die mit Federal Information Processing Standards (FIPS) aktiviert sind, werden jetzt auf Linux-basierten Knotenpools unterstützt. Weitere Informationen finden Sie unter Hinzufügen eines FIPS-fähigen Knotenpools.

Wie werden AKS-Add-Ons aktualisiert?

Alle Patches, einschließlich ein Sicherheitspatch, werden automatisch auf den AKS-Cluster angewendet. Alles, was größer als ein Patch ist, z. B. Änderungen an Haupt- oder Nebenversionen (die wesentliche Änderungen an Ihren bereitgestellten Objekten aufweisen können), werden aktualisiert, wenn Sie den Cluster aktualisieren, wenn eine neue Version verfügbar ist. Informationen dazu, wann eine neue Version verfügbar ist, finden Sie in den AKS-Versionshinweisen.

Was ist der Zweck der AKS Linux-Erweiterung, die auf meinem virtuellen Linux-Computer installiert ist, legt Instanzen fest?

Die AKS Linux-Erweiterung ist eine Azure-VM-Erweiterung, die Überwachungstools auf Kubernetes-Workerknoten installiert und konfiguriert. Die Erweiterung ist auf allen neuen und vorhandenen Linux-Knoten installiert. Sie konfiguriert die folgenden Überwachungstools:

• Node-Exporter: Sammelt Hardware-Telemetrie von der VM und stellt sie mithilfe eines Metrikenendpunkts zur Verfügung. Anschließend kann ein Überwachungstool, z. B. Prometheus, diese Metriken verschrotten.
• Knotenproblemerkennung: Zielt darauf ab, verschiedene Knotenprobleme für Upstream-Ebenen im Clusterverwaltungsstapel sichtbar zu machen. Es ist eine systemierte Einheit, die auf jedem Knoten ausgeführt wird, Knotenprobleme erkennt und diese mithilfe und NodeConditionsmithilfe Events des API-Servers des Clusters an den API-Server des Clusters meldet.
• ig: Ist ein eBPF-basiertes Open-Source-Framework zum Debuggen und Beobachten von Linux- und Kubernetes-Systemen. Es stellt eine Reihe von Tools (oder Gadgets) bereit, die relevante Informationen sammeln, die Benutzer verwenden können, um die Ursache von Leistungsproblemen, Abstürze oder anderen Anomalien zu identifizieren. Dank seiner Unabhängigkeit von Kubernetes können Benutzer*innen es auch zur Fehlersuche bei Problemen auf der Steuerungsebene einsetzen.

Diese Tools helfen dabei, die Beobachtbarkeit bei vielen Problemen im Zusammenhang mit knotenbezogener Integrität bereitzustellen, z. B.:

• Probleme mit dem Infrastrukturdaemon: NTP-Dienst nach unten
• Hardwareprobleme: Ungültige CPU, Arbeitsspeicher oder Datenträger
• Kernelprobleme: Kernel-Deadlock, beschädigtes Dateisystem
• Probleme mit der Containerlaufzeit: Nicht reagierender Laufzeitdaemon

Die Erweiterung erfordert keinen zusätzlichen ausgehenden Zugriff auf URLs, IP-Adressen oder Ports, die über die dokumentierten AKS-Ausgangsanforderungen hinausgehen. Es sind keine besonderen in Azure erteilten Berechtigungen erforderlich. Es wird kubeconfig verwendet, um eine Verbindung mit dem API-Server herzustellen, um die erfassten Überwachungsdaten zu senden.

Behandeln von Clusterproblemen

Warum dauert es so lange, meinen Cluster zu löschen?

Die meisten Cluster werden auf Benutzeranforderung gelöscht. In einigen Fällen, insbesondere in Fällen, in denen Sie Ihre eigene Ressourcengruppe mitbringen oder ressourcenübergreifende Gruppenvorgänge ausführen, kann das Löschen mehr Zeit oder sogar einen Fehler in Anspruch nehmen. Wenn Sie ein Problem mit Löschungen haben, überprüfen Sie, ob Sie keine Sperren für die Ressourcengruppe haben. Stellen Sie außerdem sicher, dass alle Ressourcen außerhalb der Ressourcengruppe von der Ressourcengruppe getrennt werden.

Warum dauert es so lange, meinen Cluster zu erstellen oder zu aktualisieren?

Wenn Sie Probleme beim Erstellen und Aktualisieren von Clustern haben, stellen Sie sicher, dass Keine zugewiesenen Richtlinien oder Diensteinschränkungen vorhanden sind, die das Verwalten von Ressourcen wie VMs, Lastenausgleichsmodulen oder Tags verhindern können, dass Ihr AKS-Cluster verwaltet wird.

Wenn ich Pods oder Bereitstellungen in NodeLost oder unbekannten Zuständen habe, kann ich meinen Cluster trotzdem aktualisieren?

Das können Sie, aber wir raten davon ab. Führen Sie Aktualisierungen durch, wenn der Status des Clusters bekannt und fehlerfrei ist.

Wenn ein Cluster mit mindestens einem Knoten in einem fehlerhaften Zustand vorhanden ist oder wenn er heruntergefahren wird, kann ich ein Upgrade durchführen?

Nein. Löschen oder entfernen Sie alle Knoten, die sich in einem fehlerhaften Zustand befinden, oder entfernen Sie sie vor dem Upgrade aus dem Cluster.

Ich habe versucht, meinen Cluster zu löschen, aber ich sehe den Fehler "[Errno 11001] getaddrinfo fehlgeschlagen.".

Dieser Fehler tritt am häufigsten auf, wenn sie mindestens eine NSGs verwenden, die dem Cluster noch zugeordnet sind. Entfernen Sie sie, und versuchen Sie erneut, den Cluster zu löschen.

Ich habe ein Upgrade ausgeführt, aber jetzt treten meine Pods in Absturzschleifen auf, und Bereitschaftssonden schlagen fehl.

Vergewissern Sie sich, dass Ihr Dienstprinzipal nicht abgelaufen ist. Weitere Informationen finden Sie unter AKS-Dienstprinzipal und AKS-Aktualisierungsanmeldeinformationen.

Mein Cluster funktionierte, aber plötzlich kann ich keine Lastenausgleichsgeräte bereitstellen oder dauerhafte Volumeansprüche bereitstellen.

Vergewissern Sie sich, dass Ihr Dienstprinzipal nicht abgelaufen ist. Weitere Informationen finden Sie unter AKS-Dienstprinzipal und AKS-Aktualisierungsanmeldeinformationen.

Enthält Antworten auf einige der häufig gestellten Fragen zu Azure Kubernetes Service (AKS).

AKS bietet Sla-Garantien (Service Level Agreement) im Standard-Preisniveau mit dem SLA-Feature "Uptime".

Plattformunterstützung ist ein reduzierter Supportplan für nicht unterstützte n-3-Versionscluster. Plattformunterstützung umfasst nur Azure-Infrastrukturunterstützung.

Weitere Informationen finden Sie in den Plattformunterstützungsrichtlinien.

AKS initiiert automatische Upgrades für nicht unterstützte Cluster. Wenn ein Cluster in einer n-3-Version (wobei n die neueste unterstützte AKS-Nebenversion ist, die allgemein verfügbar ist) auf n-4 eingestellt wird, aktualisiert AKS den Cluster automatisch auf n-2, um in einer AKS-Supportrichtlinie zu verbleiben.

Weitere Informationen finden Sie unter Unterstützten Kubernetes-Versionen, geplanten Wartungsfensternund automatischen Upgrades.

AKS unterstützt auch Windows Server-Container. Weitere Informationen finden Sie unter Häufig gestellte Fragen zu Windows Server auf AKS.

AKS-Agentknoten werden als virtuelle Azure-Standardcomputer (VMs) abgerechnet. Wenn Sie also Azure-Reservierungen für die von Ihnen in AKS verwendete VM-Größe erworben haben, werden diese Rabatte automatisch angewendet.

Nein. Das Verschieben Ihres AKS-Clusters zwischen Mandanten wird derzeit nicht unterstützt.

Nein. Das Verschieben Ihres AKS-Clusters zwischen Abonnements wird derzeit nicht unterstützt.

Nein. Das Verschieben oder Umbenennen Ihres AKS-Clusters und der zugehörigen Ressourcen wird nicht unterstützt.

Nein. Sie können den Cluster nach dem Löschen nicht wiederherstellen. Wenn Sie den Cluster löschen, werden auch die Knotenressourcengruppe und alle zugehörigen Ressourcen gelöscht.

Wenn Sie eine Ihrer Ressourcen beibehalten möchten, verschieben Sie sie in eine andere Ressourcengruppe, bevor Sie den Cluster löschen. Wenn Sie vor versehentlichen Löschvorgängen schützen möchten, können Sie die verwaltete AKS-Ressourcengruppe sperren, die Ihre Clusterressourcen hostet, indem Sie die Sperrung der Knotenressourcengruppe verwenden.

Sie können einen ausgeführten AKS-Cluster vollständig beenden oder alle oder bestimmte User Knotenpools automatisch auf Null skalieren oder skalieren.

Systemknotenpools können nicht direkt auf Null skaliert werden.

Nein. Skalierungsvorgänge, die die VM-Skalierungssatz-APIs verwenden, werden nicht unterstützt. Sie können die AKS-APIs (az aks scale) verwenden.

Nein. Skalierungsvorgänge, die die VM-Skalierungssatz-APIs verwenden, werden nicht unterstützt. Sie können die AKS-API verwenden, um Nichtsystemknotenpools auf Null zu skalieren oder stattdessen den Cluster zu beenden .

Nein. Diese Konfiguration wird nicht unterstützt. Beenden Sie den Cluster stattdessen.

AKS baut auf vielen Azure-Infrastrukturressourcen auf, darunter Skalierungsgruppen für virtuelle Computer, virtuelle Netzwerke und verwaltete Datenträger. Diese Integrationen ermöglichen Ihnen, viele der Kernfunktionen der Azure-Plattform in der von AKS bereitgestellten verwalteten Kubernetes-Umgebung zu nutzen. Sie können z. B. die meisten Azure-VM-Typen direkt mit AKS verwenden, und Sie können Azure Reservations verwenden, um Rabatte für diese Ressourcen automatisch zu erhalten.

Um diese Architektur zu ermöglichen, umfass jede AKS-Bereitstellung zwei Ressourcengruppen:

1. Die erste Ressourcengruppe wird von Ihnen erstellt. Diese Gruppe enthält nur die Kubernetes-Dienstressource. Der AKS-Ressourcenanbieter erstellt während der Bereitstellung automatisch die zweite Ressourcengruppe. MC_myResourceGroup_myAKSCluster_eastus ist ein Beispiel für die zweite Ressourcengruppe. Informationen dazu, wie Sie den Namen dieser zweiten Ressourcengruppe angeben, finden Sie im nächsten Abschnitt.
2. Die zweite Ressourcengruppe, als Knotenressourcengruppe bezeichnet, enthält alle Infrastrukturressourcen für den Cluster. Diese Ressourcen umfassen die virtuellen Computer des Kubernetes-Knotens, virtuelle Netzwerke und Speicher. Standardmäßig lautet der Name der Knotenressourcengruppe z. B. MC_myResourceGroup_myAKSCluster_eastus. AKS löscht die Knotenressourcengruppe automatisch, wenn Sie den Cluster löschen. Verwenden Sie diese Ressourcengruppe nur für Ressourcen, die den Lebenszyklus des Clusters gemeinsam nutzen.

Hinweis

Das Ändern einer Ressource unter der Knotenressourcengruppe im AKS-Cluster ist eine nicht unterstützte Aktion und führt zu Fehlern im Clusterbetrieb. Sie können verhindern, dass Änderungen an der Knotenressourcengruppe vorgenommen werden. Benutzer daran hindern, Ressourcen zu ändern , die der AKS-Cluster verwaltet.

In AKS wird der Knotenressourcengruppe standardmäßig der Name MC_resourcegroupname_clustername_location zugewiesen, Sie können jedoch auch einen eigenen Namen angeben.

Installieren Sie die aks-preview-Erweiterungsversion 0.3.2 oder höher der Azure CLI, wenn Sie einen eigenen Ressourcengruppennamen angeben möchten. Wenn Sie einen AKS-Cluster mithilfe des az aks create Befehls erstellen, verwenden Sie den --node-resource-group Parameter, und geben Sie einen Namen für die Ressourcengruppe an. Wenn Sie eine Azure Resource Manager-Vorlage zum Bereitstellen eines AKS-Clusters verwenden, können Sie den Ressourcengruppennamen mithilfe der nodeResourceGroup Eigenschaft definieren.

• Der Azure-Ressourcenanbieter erstellt automatisch die sekundäre Ressourcengruppe.
• Sie können einen benutzerdefinierten Ressourcengruppennamen nur angeben, wenn Sie den Cluster erstellen.

Während Sie mit der Knotenressourcengruppe arbeiten, können Sie folgendes nicht ausführen:

• Angeben einer vorhandenen Ressourcengruppe als Knotenressourcengruppe
• Angeben eines anderen Abonnements für die Knotenressourcengruppe
• Ändern Sie den Namen der Knotenressourcengruppe, nachdem Sie den Cluster erstellt haben.
• Angeben von Namen für die verwalteten Ressourcen innerhalb der Knotenressourcengruppe
• Ändern oder Löschen von Azure erstellter Tags für verwaltete Ressourcen innerhalb der Knotenressourcengruppe

Wenn Sie die in Azure erstellten Tags und andere Ressourceneigenschaften in der Knotenressourcengruppe ändern oder löschen, kann dies zu unerwarteten Skalierungs- und Aktualisierungsfehlern führen. Mit AKS können Sie benutzerdefinierte Tags erstellen und ändern, die von Endbenutzern erstellt wurden, und Sie können diese Tags hinzufügen, wenn Sie einen Knotenpool erstellen. Sie können benutzerdefinierte Tags erstellen oder ändern, um beispielsweise eine Geschäftseinheit oder eine Kostenstelle zuzuweisen. Eine weitere Option besteht darin, Azure-Richtlinien mit einem Bereich für die verwaltete Ressourcengruppe zu erstellen.

Azure-erstellte Tags werden für ihre jeweiligen Azure-Dienste erstellt, und Sie sollten sie immer zulassen. Für AKS gibt es die Tags aks-managed und k8s-azure. Von Azure erstellte Tags für Ressourcen unter der Knotenressourcengruppe im AKS-Cluster dürfen nicht geändert werden, da dies zu einer Verletzung des Servicelevelziels (Service-Level Objective, SLO) führt.

Hinweis

In der Vergangenheit wurde der Tagname Owner für AKS reserviert, um die öffentliche IP zu verwalten, die auf der Front-End-IP des Lastenausgleichs zugewiesen ist. Jetzt verwenden Dienste das aks-managed Präfix. Verwenden Sie bei älteren Ressourcen keine Azure-Richtlinien, um den Owner Tagnamen anzuwenden. Andernfalls treten bei allen Ressourcen für Ihre AKS-Clusterbereitstellungs- und -Updatevorgänge Fehler auf. Diese Einschränkung gilt nicht für neu erstellte Ressourcen.

AKS verwendet Helm, um Komponenten an Ihren Cluster zu liefern. Sie können die präfixierten Helm-Versionen sicher ignorieren aks-managed . Kontinuierliche Überarbeitungen dieser Helm-Versionen werden erwartet und sicher.

Eine vollständige Liste der verfügbaren Regionen finden Sie unter AKS-Regionen und Verfügbarkeit.

Nein. AKS-Cluster sind regionale Ressourcen und können sich nicht über mehrere Regionen erstrecken. Anleitungen zum Erstellen einer Architektur, die mehrere Regionen umfasst, finden Sie unter bewährte Methoden für Geschäftskontinuität und Notfallwiederherstellung.

Sie können einen AKS-Cluster über eine oder mehrere Verfügbarkeitszonen hinweg in Regionen bereitstellen, die diese unterstützen.

Ja, Sie können unterschiedliche VM-Größen in Ihrem AKS-Cluster verwenden, indem Sie mehrere Knotenpools erstellen.

AKS legt keinen Grenzwert für die Größe des Containerimages fest. Je größer das Bild ist, desto höher ist die Speichernachfrage. Eine höhere Größe könnte potenziell Ressourcenlimits oder den gesamten verfügbaren Arbeitsspeicher von Workerknoten überschreiten. Standardmäßig ist der Arbeitsspeicher für die VM-Größe Standard_DS2_v2 für einen AKS-Cluster auf 7 GiB festgelegt.

Wenn ein Containerimage übermäßig groß ist, wie im Terabyte (TB)-Bereich, kann das Kubelet es möglicherweise nicht aus Der Containerregistrierung zu einem Knoten ziehen, da nicht genügend Speicherplatz vorhanden ist.

Für Windows Server-Knoten werden die neuesten Updates von Windows Update nicht automatisch ausgeführt und angewendet. Sie sollten ein Upgrade auf dem Cluster und den Windows Server-Knotenpools in Ihrem AKS-Cluster durchführen. Befolgen Sie einen regelmäßigen Zeitplan basierend auf dem Windows Update-Veröffentlichungszyklus und Ihrem eigenen Überprüfungsprozess. Dieser Upgradevorgang erstellt Knoten, die das neueste Windows Server-Image und Patches ausführen, und entfernt dann die älteren Knoten. Weitere Informationen zu diesem Prozess finden Sie unter Durchführen eines Upgrades für einen Knotenpool in AKS.

Die folgenden Bilder weisen funktionale Anforderungen auf, die als Stamm ausgeführt werden müssen, und Ausnahmen müssen für alle Richtlinien abgelegt werden:

• mcr.microsoft.com/oss/kubernetes/coredns
• mcr.microsoft.com/azuremonitor/containerinsights/ciprod
• mcr.microsoft.com/oss/calico/node
• mcr.microsoft.com/oss/kubernetes-csi/azuredisk-csi

Es gibt zwei Optionen zum Einschränken des Zugriffs auf den API-Server:

• Verwenden Sie autorisierte IP-Bereiche des API-Servers , wenn Sie einen öffentlichen Endpunkt für den API-Server verwalten möchten, aber den Zugriff auf eine Reihe vertrauenswürdiger IP-Bereiche einschränken möchten.
• Verwenden Sie einen privaten Cluster , wenn Sie den ZUGRIFF auf den API-Server nur innerhalb Ihres virtuellen Netzwerks einschränken möchten.

AKS patches CVEs, die jede Woche einen Hersteller fix haben . CVEs ohne Fix warten auf einen Anbieter-Fix, bevor sie behoben werden können. Die AKS-Bilder werden innerhalb von 30 Tagen automatisch aktualisiert. Es wird empfohlen, ein aktualisiertes Knotenimage in regelmäßigen Abständen anzuwenden, um sicherzustellen, dass die neuesten gepatchten Images und Betriebssystempatches angewendet und aktuell sind. Sie können diese Aufgabe ausführen:

• Manuell über das Azure-Portal oder die Azure-CLI.
• Durch ein Upgrade des AKS-Clusters. Der Cluster aktualisiert Kabel und Entwässerungsknoten automatisch. Dann bringt es einen neuen Knoten online mit dem neuesten Ubuntu-Image und einer neuen Patch-Version oder einer kleineren Kubernetes-Version. Weitere Informationen finden Sie unter Aktualisieren eines AKS-Clusters.
• Mithilfe eines Knotenimageupgrades.

Microsoft bietet Anleitungen für andere Aktionen, die Sie ergreifen können, um Ihre Workloads über Dienste wie Microsoft Defender für Container zu sichern. Informationen zu einer Sicherheitsbedrohung im Zusammenhang mit AKS und Kubernetes finden Sie unter Neue große Kampagnenziele Kubeflow (8. Juni 2021).

Nein. Alle Daten werden in der Region des Clusters gespeichert.

Wenn Ihr Pod traditionell als nichtroot-Benutzer ausgeführt wird (was er sollte), müssen Sie einen fsGroup Parameter innerhalb des Sicherheitskontexts des Pods angeben, damit das Volume vom Pod lesbar und schreibbar ist. Weitere Informationen zu dieser Anforderung finden Sie unter Konfigurieren eines Sicherheitskontexts für einen Pod oder Container.

Ein Nebeneffekt der Einstellung fsGroup besteht darin, dass Kubernetes jedes Mal, wenn ein Volume bereitgestellt wird, die chown() Befehle chmod() rekursiv für alle Dateien und Verzeichnisse innerhalb des Volumes verwenden muss (mit wenigen Ausnahmen). Dieses Szenario tritt auch dann auf, wenn der Gruppenbesitz des Volumes bereits mit dem angeforderten fsGroup Parameter übereinstimmt. Diese Konfiguration kann für größere Volumes mit vielen kleinen Dateien teuer sein, was dazu führen kann, dass der Pod-Start sehr lange dauert. Dieses Szenario war ein bekanntes Problem vor v1.20. Die Problemumgehung besteht darin, den Pod so festzulegen, dass er als Stamm ausgeführt wird:

apiVersion: v1
kind: Pod
metadata:
  name: security-context-demo
spec:
  securityContext:
    runAsUser: 0
    fsGroup: 0

Das Problem wurde mit Kubernetes, Version 1.20, behoben. Weitere Informationen finden Sie unter Kubernetes 1.20: Granulare Steuerung von Volumenberechtigungsänderungen.

AKS verwendet eine sichere Tunnelkommunikation, damit die api-server einzelnen Knoten kubelets kommunizieren können, auch in separaten virtuellen Netzwerken. Der Tunnel wird durch die gegenseitige Transport Layer Security-Verschlüsselung gesichert. Der aktuelle Haupttunnel, den AKS verwendet , ist Konnectivity, zuvor als apiserver-network-proxy bekannt. Stellen Sie sicher, dass alle Netzwerkregeln den erforderlichen Azure-Netzwerkregeln und vollqualifizierten Domänennamen (FQDNs) entsprechen.

Ja, Sie können Pods die Anmerkung kubernetes.azure.com/set-kube-service-host-fqdn hinzufügen, um die Variable KUBERNETES_SERVICE_HOST auf den Domänennamen des API-Servers anstelle der IP-Adresse des Clusterdiensts festzulegen. Diese Änderung ist in Fällen hilfreich, in denen ihr Clusterausgang über eine Layer 7-Firewall erfolgt. Ein Beispiel hierfür ist die Verwendung von Azure Firewall mit Anwendungsregeln.

AKS wendet keine Netzwerksicherheitsgruppen (NSGs) auf sein Subnetz an und ändert keine der NSGs, die diesem Subnetz zugeordnet sind. AKS ändert nur die NSG-Einstellungen der Netzwerkschnittstelle. Wenn Sie die Container-Netzwerkschnittstelle (Container Network Interface, CNI) verwenden, müssen Sie auch sicherstellen, dass die Sicherheitsregeln in den NSGs Datenverkehr zwischen den Bereichen Node und pod classless interdomain routing (CIDR) zulassen. Wenn Sie kubenet verwenden, müssen Sie auch sicherstellen, dass die Sicherheitsregeln in den NSGs Datenverkehr zwischen dem Knoten und pod CIDR zulassen. Weitere Informationen finden Sie unter Netzwerksicherheitsgruppen.

AKS-Knoten führen den chrony-Dienst aus, der Zeit vom lokalen Host abruft. Container, die auf Pods ausgeführt werden, erhalten die Zeit von den AKS-Knoten. Anwendungen, die innerhalb eines Containers geöffnet werden, verwenden Zeit vom Container des Pods.

Nein. AKS ist ein verwalteter Dienst. Die Manipulation der Infrastruktur as a Service (IaaS)-Ressourcen wird nicht unterstützt. Nutzen Sie die Kubernetes-APIs und -Mechanismen zum Installieren benutzerdefinierter Komponenten. Verwenden Sie beispielsweise DaemonSets, um alle erforderlichen Komponenten zu installieren.

AKS unterstützt die folgenden Zugangssteuerungen:

• NamespaceLifecycle
• LimitRanger
• ServiceAccount
• DefaultIngressClass
• DefaultStorageClass
• DefaultTolerationSeconds
• MutatingAdmissionWebhook
• ValidatingAdmissionWebhook
• ResourceQuota
• PodNodeSelector
• PodTolerationRestriction
• ExtendedResourceToleration

Derzeit können Sie die Liste der Zugriffssteuerungen in AKS nicht ändern.

Ja, Sie können Zugangscontrollerwebhooks in AKS verwenden. Es wird empfohlen, interne AKS-Namespaces auszuschließen, die mit der control-plane Bezeichnung gekennzeichnet sind. Zum Beispiel:

namespaceSelector:
    matchExpressions:
    - key: control-plane
      operator: DoesNotExist

AKS firewalls the API server egress so that your admission controller webhooks need to be accessible from the cluster.

Um die Stabilität des Systems zu schützen und benutzerdefinierte Steuerungscontroller daran zu hindern, interne Dienste im kube-system Namespace zu beeinflussen, verfügt AKS über einen Admissions Enforcer, der automatisch ausgeschlossen kube-system wird und interne AKS-Namespaces. Dieser Dienst stellt sicher, dass sich die benutzerdefinierten Steuerungscontroller nicht auf die Dienste auswirken, die kube-systemausgeführt werden.

Wenn Sie einen kritischen Anwendungsfall für die kube-system Bereitstellung von Inhalten haben (nicht empfohlen) zur Unterstützung Ihres benutzerdefinierten Zulassungs-Webhooks, können Sie die folgende Bezeichnung oder Anmerkung hinzufügen, damit die Erzwingungs-Erzwingungs-Erzwingung ignoriert wird:

• Bezeichnung: "admissions.enforcer/disabled": "true"
• Anmerkung: "admissions.enforcer/disabled": true

Azure Key Vault-Anbieter für Secrets Store CSI-Treiber bietet native Integration von Azure Key Vault in AKS.

Knoten, die mit Federal Information Processing Standards (FIPS) aktiviert sind, werden jetzt auf Linux-basierten Knotenpools unterstützt. Weitere Informationen finden Sie unter Hinzufügen eines FIPS-fähigen Knotenpools.

Alle Patches, einschließlich ein Sicherheitspatch, werden automatisch auf den AKS-Cluster angewendet. Alles, was größer als ein Patch ist, z. B. Änderungen an Haupt- oder Nebenversionen (die wesentliche Änderungen an Ihren bereitgestellten Objekten aufweisen können), werden aktualisiert, wenn Sie den Cluster aktualisieren, wenn eine neue Version verfügbar ist. Informationen dazu, wann eine neue Version verfügbar ist, finden Sie in den AKS-Versionshinweisen.

Die AKS Linux-Erweiterung ist eine Azure-VM-Erweiterung, die Überwachungstools auf Kubernetes-Workerknoten installiert und konfiguriert. Die Erweiterung ist auf allen neuen und vorhandenen Linux-Knoten installiert. Sie konfiguriert die folgenden Überwachungstools:

• Node-Exporter: Sammelt Hardware-Telemetrie von der VM und stellt sie mithilfe eines Metrikenendpunkts zur Verfügung. Anschließend kann ein Überwachungstool, z. B. Prometheus, diese Metriken verschrotten.
• Knotenproblemerkennung: Zielt darauf ab, verschiedene Knotenprobleme für Upstream-Ebenen im Clusterverwaltungsstapel sichtbar zu machen. Es ist eine systemierte Einheit, die auf jedem Knoten ausgeführt wird, Knotenprobleme erkennt und diese mithilfe und NodeConditionsmithilfe Events des API-Servers des Clusters an den API-Server des Clusters meldet.
• ig: Ist ein eBPF-basiertes Open-Source-Framework zum Debuggen und Beobachten von Linux- und Kubernetes-Systemen. Es stellt eine Reihe von Tools (oder Gadgets) bereit, die relevante Informationen sammeln, die Benutzer verwenden können, um die Ursache von Leistungsproblemen, Abstürze oder anderen Anomalien zu identifizieren. Dank seiner Unabhängigkeit von Kubernetes können Benutzer*innen es auch zur Fehlersuche bei Problemen auf der Steuerungsebene einsetzen.

Diese Tools helfen dabei, die Beobachtbarkeit bei vielen Problemen im Zusammenhang mit knotenbezogener Integrität bereitzustellen, z. B.:

• Probleme mit dem Infrastrukturdaemon: NTP-Dienst nach unten
• Hardwareprobleme: Ungültige CPU, Arbeitsspeicher oder Datenträger
• Kernelprobleme: Kernel-Deadlock, beschädigtes Dateisystem
• Probleme mit der Containerlaufzeit: Nicht reagierender Laufzeitdaemon

Die Erweiterung erfordert keinen zusätzlichen ausgehenden Zugriff auf URLs, IP-Adressen oder Ports, die über die dokumentierten AKS-Ausgangsanforderungen hinausgehen. Es sind keine besonderen in Azure erteilten Berechtigungen erforderlich. Es wird kubeconfig verwendet, um eine Verbindung mit dem API-Server herzustellen, um die erfassten Überwachungsdaten zu senden.

Die meisten Cluster werden auf Benutzeranforderung gelöscht. In einigen Fällen, insbesondere in Fällen, in denen Sie Ihre eigene Ressourcengruppe mitbringen oder ressourcenübergreifende Gruppenvorgänge ausführen, kann das Löschen mehr Zeit oder sogar einen Fehler in Anspruch nehmen. Wenn Sie ein Problem mit Löschungen haben, überprüfen Sie, ob Sie keine Sperren für die Ressourcengruppe haben. Stellen Sie außerdem sicher, dass alle Ressourcen außerhalb der Ressourcengruppe von der Ressourcengruppe getrennt werden.

Wenn Sie Probleme beim Erstellen und Aktualisieren von Clustern haben, stellen Sie sicher, dass Keine zugewiesenen Richtlinien oder Diensteinschränkungen vorhanden sind, die das Verwalten von Ressourcen wie VMs, Lastenausgleichsmodulen oder Tags verhindern können, dass Ihr AKS-Cluster verwaltet wird.

Das können Sie, aber wir raten davon ab. Führen Sie Aktualisierungen durch, wenn der Status des Clusters bekannt und fehlerfrei ist.

Nein. Löschen oder entfernen Sie alle Knoten, die sich in einem fehlerhaften Zustand befinden, oder entfernen Sie sie vor dem Upgrade aus dem Cluster.

Dieser Fehler tritt am häufigsten auf, wenn sie mindestens eine NSGs verwenden, die dem Cluster noch zugeordnet sind. Entfernen Sie sie, und versuchen Sie erneut, den Cluster zu löschen.

Vergewissern Sie sich, dass Ihr Dienstprinzipal nicht abgelaufen ist. Weitere Informationen finden Sie unter AKS-Dienstprinzipal und AKS-Aktualisierungsanmeldeinformationen.

Vergewissern Sie sich, dass Ihr Dienstprinzipal nicht abgelaufen ist. Weitere Informationen finden Sie unter AKS-Dienstprinzipal und AKS-Aktualisierungsanmeldeinformationen.