Csomópont operációsrendszer-lemezképének automatikus frissítése
Az AKS több automatikus frissítési csatornát biztosít, amely az operációs rendszer időszerű, csomópontszintű biztonsági frissítéseit tartalmazza. Ez a csatorna eltér a fürtszintű Kubernetes-verziófrissítésektől, és felülírja azt.
A csomópont operációs rendszerének automatikus frissítése és a fürt automatikus frissítése közötti interakciók
A csomópontszintű operációs rendszer biztonsági frissítései gyorsabban jelennek meg, mint a Kubernetes-javítások vagy az alverziófrissítések. A csomópont operációs rendszer automatikus frissítési csatornája rugalmasságot biztosít, és lehetővé teszi a csomópontszintű operációs rendszer biztonsági frissítéseinek testre szabott stratégiáját. Ezután választhat egy külön csomagot a fürtszintű Kubernetes-verzió automatikus frissítéséhez.
A legjobb, ha a fürtszintű automatikus frissítéseket és a csomópont operációs rendszer automatikus frissítési csatornáját együtt használja. Az ütemezés finomhangolható úgy, hogy két külön karbantartási ablakotaksManagedAutoUpgradeSchedule
- alkalmaz a fürt automatikus frissítési csatornájára és aksManagedNodeOSUpgradeSchedule
a csomópont operációs rendszer automatikus frissítési csatornájára.
Csomópont operációsrendszer-képfrissítéseinek csatornái
A kiválasztott csatorna határozza meg a frissítések időzítését. A csomópont operációs rendszer automatikus frissítési csatornáinak módosításakor a módosítások érvénybe lépése akár 24 órát is igénybe vehet. Ha az egyik csatornáról egy másik csatornára vált, a rendszer elindít egy újraimázst, amely gördülő csomópontokhoz vezet.
Feljegyzés
A csomópont operációsrendszer-lemezképének automatikus frissítése nem befolyásolja a fürt Kubernetes-verzióját. Csak támogatott verziójú fürtök esetén működik.
A következő frissítési csatornák érhetők el. Az alábbi lehetőségek közül választhat:
Csatorna | Leírás | Operációsrendszer-specifikus viselkedés |
---|---|---|
None |
A csomópontok nem alkalmazzák automatikusan a biztonsági frissítéseket. Ez azt jelenti, hogy kizárólag Ön felelős a biztonsági frissítésekért. | n/a |
Unmanaged |
A rendszer automatikusan alkalmazza az operációsrendszer-frissítéseket az operációs rendszer beépített javítási infrastruktúrájában. Az újonnan lefoglalt gépek kezdetben nem lesznek kiosztva. Az operációs rendszer infrastruktúrája egy bizonyos ponton javítja őket. | Az Ubuntu és az Azure Linux (CPU-csomópontkészletek) a biztonsági javításokat felügyelet nélküli frissítéssel/dnf-automatikusan, nagyjából naponta egyszer, 06:00 (UTC) körül alkalmazzák. A Windows nem alkalmazza automatikusan a biztonsági javításokat, így ez a beállítás ugyanúgy működik, mint None a . Az újraindítási folyamatot egy olyan eszközzel kell kezelnie, mint a kured. |
SecurityPatch |
Ez a csatorna előzetes verzióban érhető el, és engedélyeznie kell a funkciójelzőt NodeOsUpgradeChannelPreview . A részletekért tekintse meg az előfeltételek szakaszt. Az AKS rendszeresen frissíti a csomópont virtuális merevlemezét (VHD) a rendszerkép-karbantartó "csak biztonsági" címkével ellátott javításaival. A biztonsági javítások csomópontokra való alkalmazásakor fennakadások lehetnek. A javítások alkalmazásakor a VHD frissül, a meglévő gépek pedig erre a VHD-re frissülnek, betartva a karbantartási időszakokat és a túlfeszültség-beállításokat. Ez a beállítás a virtuális merevlemezek csomópont-erőforráscsoportban való üzemeltetésének többletköltségével jár. Ha ezt a csatornát használja, a Linux felügyelet nélküli frissítései alapértelmezés szerint le lesznek tiltva. |
Az Azure Linux nem támogatja ezt a csatornát GPU-kompatibilis virtuális gépeken. SecurityPatch Az elavult javításverziókon működik, amíg az alverzió kubernetes-verziója továbbra is támogatott. |
NodeImage |
Az AKS egy újonnan javított VHD-vel frissíti a csomópontokat, amely heti rendszerességgel tartalmaz biztonsági javításokat és hibajavításokat. Az új VHD frissítése zavaró, a karbantartási időszakokat és a túlfeszültség-beállításokat követve. Ennek a lehetőségnek a kiválasztásakor nem merül fel további VHD-költség. Ha ezt a csatornát használja, a Linux felügyelet nélküli frissítései alapértelmezés szerint le lesznek tiltva. A csomópontrendszerképek frissítései támogatják az elavult javításverziókat, amíg a kubernetes-verzió továbbra is támogatott. |
A csomópont operációs rendszerének automatikus frissítési csatornájának beállítása új fürtön
Állítsa be a csomópont operációs rendszerének automatikus frissítési csatornát egy új fürtre a
az aks create
paraméterrel rendelkező--node-os-upgrade-channel
paranccsal. Az alábbi példa a csomópont operációs rendszerének automatikus frissítési csatornát állítja beSecurityPatch
.az aks create --resource-group myResourceGroup --name myAKSCluster --node-os-upgrade-channel SecurityPatch
A csomópont operációs rendszerének automatikus frissítési csatornájának beállítása meglévő fürtön
Állítsa be a csomópont operációs rendszerének automatikus frissítési csatornát egy meglévő fürtön a
az aks update
paraméterrel rendelkező--node-os-upgrade-channel
paranccsal. Az alábbi példa a csomópont operációs rendszerének automatikus frissítési csatornát állítja beSecurityPatch
.az aks update --resource-group myResourceGroup --name myAKSCluster --node-os-upgrade-channel SecurityPatch
Tulajdonjog és ütemezés frissítése
Az alapértelmezett ütemezés azt jelenti, hogy nincs tervezett karbantartási időszak alkalmazva.
Csatorna | Frissítések tulajdonjoga | Alapértelmezett ütemezés |
---|---|---|
Unmanaged |
Operációsrendszer-alapú biztonsági frissítések. Az AKS nem szabályozza ezeket a frissítéseket. | Ubuntu és Azure Linux esetén éjjel 6 óra körül utc. Windows esetén havonta. |
SecurityPatch |
Az AKS által tesztelt, teljes körűen felügyelt és biztonságos üzembe helyezési eljárásokkal alkalmazott. További információkért tekintse meg a canonical számítási feladatok fokozott biztonságát és rugalmasságát az Azure-ban. | Heti. |
NodeImage |
AKS | Heti. |
Feljegyzés
Bár a Windows biztonsági frissítései havi rendszerességgel jelennek meg, a Unmanaged
csatorna használata nem alkalmazza automatikusan ezeket a frissítéseket a Windows-csomópontokra. Ha a csatornát Unmanaged
választja, a biztonsági javítások megfelelő alkalmazásához egy olyan eszközzel kell kezelnie az újraindítási folyamatot, mint a kured .
A SecurityPatch-csatorna követelményei
A csatorna használatához a SecurityPatch
fürtnek támogatnia kell az alábbi követelményeket:
- API-verziót vagy újabb verziót
11-02-preview
kell használnia - Az Azure CLI használata esetén telepíteni kell a
aks-preview
CLI-bővítmény verzióját vagy újabb verzióját0.5.166
- A
NodeOsUpgradeChannelPreview
funkciójelzőt engedélyezni kell az előfizetésben
NodeOsUpgradeChannelPreview regisztrálása
Regisztrálja a NodeOsUpgradeChannelPreview
funkciójelzőt az az feature register paranccsal, ahogyan az az alábbi példában látható:
az feature register --namespace "Microsoft.ContainerService" --name "NodeOsUpgradeChannelPreview"
Néhány percig tart, amíg az állapot megjelenik a Regisztrált állapotban. Ellenőrizze a regisztrációs állapotot az az feature show paranccsal:
az feature show --namespace "Microsoft.ContainerService" --name "NodeOsUpgradeChannelPreview"
Ha az állapot a Regisztrált állapotot tükrözi, frissítse a Microsoft.ContainerService erőforrás-szolgáltató regisztrációját az az provider register paranccsal:
az provider register --namespace Microsoft.ContainerService
Csomópontcsatorna ismert hibái
Jelenleg a fürt automatikus frissítési csatornájának
node-image
beállításakor automatikusan a csomópont operációs rendszerének automatikus frissítési csatornájaNodeImage
is lesz. Nem módosíthatja a csomópont operációs rendszerének automatikus frissítési csatornájának értékét, ha a fürt automatikus frissítési csatornája .node-image
A csomópont operációs rendszerének automatikus frissítési csatornaértékének beállításához ellenőrizze, hogy a fürt automatikus frissítési csatornájának értéke nemnode-image
.>A
SecurityPatch
csatorna windowsos operációsrendszer-csomópontkészleteken nem támogatott.
Feljegyzés
Alapértelmezés szerint a 06-02-es verziójú vagy újabb API-verzióval 06-01-2023
létrehozott új fürtök a csomópont operációs rendszerének automatikus frissítési csatornaértékét NodeImage
állítják be. Az API-verzióval korábban 06-01-2023
létrehozott meglévő fürtök esetében alapértelmezés szerint a csomópont operációs rendszerének automatikus frissítési csatornaértéke lesz beállítva None
.
Csomópont operációs rendszerének tervezett karbantartási időszakai
A csomópont operációs rendszerének automatikus frissítéséhez tervezett karbantartás a megadott karbantartási időszakon kezdődik.
Feljegyzés
A megfelelő működés biztosítása érdekében használjon négy vagy több órás karbantartási időszakot.
A tervezett karbantartásról további információt az Azure Kubernetes Service(AKS) fürt karbantartási időszakainak ütemezéséhez a Tervezett karbantartás használata című témakörben talál.
Csomópont operációs rendszerének automatikus frissítései – gyakori kérdések
- Hogyan ellenőrizhetim a fürt aktuális nodeOsUpgradeChannel értékét?
Futtassa a az aks show
parancsot, és ellenőrizze az "autoUpgradeProfile"-t annak megállapításához, hogy a nodeOsUpgradeChannel
következő értékre van-e beállítva:
az aks show --resource-group myResourceGroup --name myAKSCluster --query "autoUpgradeProfile"
- Hogyan monitorozhatom a csomópont operációs rendszerének automatikus frissítéseinek állapotát?
A csomópont operációs rendszer automatikus frissítéseinek állapotának megtekintéséhez keresse meg a fürt tevékenységnaplóit . Az AKS-fürtök frissítésével kapcsolatos konkrét eseményeket is megkereshet. Az AKS a frissítéssel kapcsolatos Event Grid-eseményeket is bocsát ki. További információkért tekintse meg az AKS-t Event Grid-forrásként.
- Módosíthatjam a csomópont operációs rendszerének automatikus frissítési csatornájának értékét, ha a fürt automatikus frissítési csatornája be van állítva
node-image
?
Szám Jelenleg a fürt automatikus frissítési csatornájának node-image
beállításakor automatikusan a csomópont operációs rendszerének automatikus frissítési csatornája NodeImage
is lesz. Nem módosíthatja a csomópont operációs rendszerének automatikus frissítési csatornájának értékét, ha a fürt automatikus frissítési csatornája .node-image
A csomópont operációs rendszerének automatikus frissítési csatornaértékeinek módosításához győződjön meg arról, hogy a fürt automatikus frissítési csatornája nem node-image
.
- Miért ajánlott csatornán
SecurityPatch
keresztülUnmanaged
?
A csatornán az Unmanaged
AKS-nek nincs szabályozva a biztonsági frissítések kézbesítésének módjára és időpontjára. Ezzel SecurityPatch
a biztonsági frissítéseket teljes mértékben teszteljük, és követjük a biztonságos üzembe helyezési eljárásokat. SecurityPatch
a karbantartási időszakokat is tiszteletben tartja. További részletekért lásd: A canonical számítási feladatok fokozott biztonsága és rugalmassága az Azure-ban.
- Hogyan tudja, hogy
SecurityPatch
a csomóponton alkalmaz-e frissítést vagyNodeImage
frissítést?
Futtassa a következő parancsot a csomópontcímkék beszerzéséhez:
kubectl get nodes --show-labels
A visszaadott címkék között a következő kimenethez hasonló sort kell látnia:
kubernetes.azure.com/node-image-version=AKSUbuntu-2204gen2containerd-202311.07.0
Itt az alapcsomópont lemezképének verziója.AKSUbuntu-2204gen2containerd
Ha van ilyen, a biztonsági javítás verziója általában a következő. A fenti példában ez a következő 202311.07.0
: .
Ugyanezeket a részleteket az Azure Portalon is megkeresheti a csomópontcímke nézetben:
Következő lépések
A frissítési ajánlott eljárások és egyéb szempontok részletes ismertetését az AKS-javítás és a frissítési útmutató ismerteti.