Csomópont operációsrendszer-lemezképének automatikus frissítése

Az AKS több automatikus frissítési csatornát biztosít, amely az operációs rendszer időszerű, csomópontszintű biztonsági frissítéseit tartalmazza. Ez a csatorna eltér a fürtszintű Kubernetes-verziófrissítésektől, és felülírja azt.

A csomópont operációs rendszerének automatikus frissítése és a fürt automatikus frissítése közötti interakciók

A csomópontszintű operációs rendszer biztonsági frissítései gyorsabban jelennek meg, mint a Kubernetes-javítások vagy az alverziófrissítések. A csomópont operációs rendszer automatikus frissítési csatornája rugalmasságot biztosít, és lehetővé teszi a csomópontszintű operációs rendszer biztonsági frissítéseinek testre szabott stratégiáját. Ezután választhat egy külön csomagot a fürtszintű Kubernetes-verzió automatikus frissítéséhez. A legjobb, ha a fürtszintű automatikus frissítéseket és a csomópont operációs rendszer automatikus frissítési csatornáját együtt használja. Az ütemezés finomhangolható úgy, hogy két külön karbantartási ablakotaksManagedAutoUpgradeSchedule - alkalmaz a fürt automatikus frissítési csatornájára és aksManagedNodeOSUpgradeSchedule a csomópont operációs rendszer automatikus frissítési csatornájára.

Csomópont operációsrendszer-képfrissítéseinek csatornái

A kiválasztott csatorna határozza meg a frissítések időzítését. A csomópont operációs rendszer automatikus frissítési csatornáinak módosításakor a módosítások érvénybe lépése akár 24 órát is igénybe vehet. Ha az egyik csatornáról egy másik csatornára vált, a rendszer elindít egy újraimázst, amely működésbe lépő csomópontokhoz vezet.

Feljegyzés

A csomópont operációsrendszer-lemezképének automatikus frissítése nem befolyásolja a fürt Kubernetes-verzióját.

A következő frissítési csatornák érhetők el. Az alábbi lehetőségek közül választhat:

Csatorna	Leírás	Operációsrendszer-specifikus viselkedés
None	A csomópontok nem alkalmazzák automatikusan a biztonsági frissítéseket. Ez azt jelenti, hogy kizárólag Ön felelős a biztonsági frissítésekért.	n/a
Unmanaged	A rendszer automatikusan alkalmazza az operációsrendszer-frissítéseket az operációs rendszer beépített javítási infrastruktúrájában. Az újonnan lefoglalt gépek kezdetben nem lesznek kiosztva. Az operációs rendszer infrastruktúrája egy bizonyos ponton javítja őket.	Az Ubuntu és az Azure Linux (CPU-csomópontkészletek) a biztonsági javításokat felügyelet nélküli frissítéssel/dnf-automatikusan, nagyjából naponta egyszer, 06:00 (UTC) körül alkalmazzák. A Windows nem alkalmazza automatikusan a biztonsági javításokat, így ez a beállítás ugyanúgy működik, mint Nonea . Az újraindítási folyamatot egy olyan eszközzel kell kezelnie, mint a kured.
SecurityPatch	Az operációs rendszer biztonsági javításai, amelyek az AKS által tesztelt, teljes körűen felügyelt és biztonságos üzembe helyezési eljárásokkal alkalmazhatók. Az AKS rendszeresen frissíti a csomópont virtuális merevlemezét (VHD) a rendszerkép-karbantartó "csak biztonsági" címkével ellátott javításaival. Előfordulhatnak fennakadások, amikor a biztonsági javításokat a csomópontokra alkalmazza a rendszer, az AKS azonban korlátozza a fennakadásokat, mivel csak szükség esetén, például bizonyos kernelbiztonsági csomagok esetében korlátozza a csomópontok újraimálását. A javítások alkalmazásakor a VHD frissül, a meglévő gépek pedig erre a VHD-re frissülnek, betartva a karbantartási időszakokat és a túlfeszültség-beállításokat. Ha az AKS úgy dönt, hogy nem szükséges újraimázni a csomópontokat, akkor a podok ürítése nélkül javítja a csomópontokat, és nem végez VHD-frissítést. Ez a beállítás a virtuális merevlemezek csomópont-erőforráscsoportban való üzemeltetésének többletköltségével jár. Ha ezt a csatornát használja, a Linux felügyelet nélküli frissítései alapértelmezés szerint le lesznek tiltva.	Az Azure Linux nem támogatja ezt a csatornát GPU-kompatibilis virtuális gépeken. SecurityPatch A kubernetes-javítás elavult verzióin működik, amíg a kubernetes alverziója továbbra is támogatott.
NodeImage	Az AKS egy újonnan javított VHD-vel frissíti a csomópontokat, amely heti rendszerességgel tartalmaz biztonsági javításokat és hibajavításokat. Az új VHD frissítése zavaró, a karbantartási időszakokat és a túlfeszültség-beállításokat követve. Ennek a lehetőségnek a kiválasztásakor nem merül fel további VHD-költség. Ha ezt a csatornát használja, a Linux felügyelet nélküli frissítései alapértelmezés szerint le lesznek tiltva. A csomópontrendszerképek frissítései támogatják az elavult javításverziókat, amíg a kubernetes-verzió továbbra is támogatott. A csomópontrendszerképek AKS-teszteléssel, teljes körű felügyelettel és biztonságos üzembe helyezési eljárásokkal alkalmazhatók

A csomópont operációs rendszerének automatikus frissítési csatornájának beállítása új fürtön

Azure CLI

• Állítsa be a csomópont operációs rendszerének automatikus frissítési csatornát egy új fürtre a az aks create paraméterrel rendelkező --node-os-upgrade-channel paranccsal. Az alábbi példa a csomópont operációs rendszerének automatikus frissítési csatornát állítja be SecurityPatch.

  az aks create \
      --resource-group myResourceGroup \
      --name myAKSCluster \
      --node-os-upgrade-channel SecurityPatch \
      --generate-ssh-keys
  

Azure Portalra

1. Az Azure Portalon válassza az Erőforrás-tárolók>>létrehozása Azure Kubernetes Service (AKS) lehetőséget.

2. Az Alapszintű beállítások lap Fürt részletei csoportjában válassza ki a kívánt csatornatípust a Csomópont biztonsági csatorna típusának legördülő listájából.

   

3. Válassza a Biztonsági csatorna ütemezőjét , és válassza ki a kívánt karbantartási időszakot a Tervezett karbantartás funkcióval. Javasoljuk, hogy vasárnap minden héten válassza az alapértelmezett beállítást (ajánlott).

   

4. A fürt létrehozásához hajtsa végre a többi lépést.

A csomópont operációs rendszerének automatikus frissítési csatornájának beállítása meglévő fürtön

Azure CLI

• Állítsa be a csomópont operációs rendszerének automatikus frissítési csatornát egy meglévő fürtön a az aks update paraméterrel rendelkező --node-os-upgrade-channel paranccsal. Az alábbi példa a csomópont operációs rendszerének automatikus frissítési csatornát állítja be SecurityPatch.

  az aks update --resource-group myResourceGroup --name myAKSCluster --node-os-upgrade-channel SecurityPatch
  

Azure Portalra

1. Az Azure Portalon keresse meg az AKS-fürtöt.

2. A Beállítások szakaszban válassza a Fürtkonfiguráció lehetőséget.

3. A Biztonsági frissítések területen válassza ki a kívánt csatornatípust a Csomópont biztonsági csatorna típusának legördülő listájából.

   

4. A Biztonsági csatorna ütemezője beállításnál válassza az Ütemezés hozzáadása lehetőséget.

5. A Karbantartási ütemezés hozzáadása lapon konfigurálja a következő karbantartási időszak beállításait a Tervezett karbantartás funkcióval:

   • Ismétlések: Válassza ki a karbantartási időszak kívánt gyakoriságát. Javasoljuk, hogy válassza a Heti lehetőséget.
   • Gyakoriság: Válassza ki a hét kívánt napját a karbantartási időszakhoz. Javasoljuk, hogy válassza a vasárnapot.
   • Karbantartás kezdő dátuma: Válassza ki a karbantartási időszak kívánt kezdési dátumát.
   • Karbantartási kezdési időpont: Válassza ki a karbantartási időszak kívánt kezdési idejét.
   • UTC eltolás: Válassza ki a karbantartási időszak kívánt UTC-eltolását. Ha nincs beállítva, az alapértelmezett érték +00:00.

   

6. Válassza az Alkalmaz mentése lehetőséget.>

Tulajdonjog és ütemezés frissítése

Az alapértelmezett ütemezés azt jelenti, hogy nincs tervezett karbantartási időszak alkalmazva.

Csatorna	Tulajdonosi frissítések	Alapértelmezett ütemezés
Unmanaged	Operációsrendszer-alapú biztonsági frissítések. Az AKS nem szabályozza ezeket a frissítéseket.	Ubuntu és Azure Linux esetén éjjel 6 óra körül utc. Windows esetén havonta.
SecurityPatch	Az AKS által tesztelt, teljes körűen felügyelt és biztonságos üzembe helyezési eljárásokkal alkalmazott. További információkért tekintse meg a canonical számítási feladatok fokozott biztonságát és rugalmasságát az Azure-ban.	Heti.
NodeImage	Az AKS által tesztelt, teljes körűen felügyelt és biztonságos üzembe helyezési eljárásokkal alkalmazott. A kiadásokkal kapcsolatos valós idejű információkért keresse meg az AKS-csomópont lemezképeit a Kiadáskövetésben	Heti.

Feljegyzés

Bár a Windows biztonsági frissítései havi rendszerességgel jelennek meg, a Unmanaged csatorna használata nem alkalmazza automatikusan ezeket a frissítéseket a Windows-csomópontokra. Ha a csatornát Unmanaged választja, kezelnie kell a Windows-csomópontok újraindítási folyamatát.

A csomópontcsatorna ismert korlátozásai

• Jelenleg a fürt automatikus frissítési csatornájának node-image beállításakor automatikusan a csomópont operációs rendszerének automatikus frissítési csatornája NodeImageis lesz. Nem módosíthatja a csomópont operációs rendszerének automatikus frissítési csatornájának értékét, ha a fürt automatikus frissítési csatornája .node-image A csomópont operációs rendszerének automatikus frissítési csatornaértékének beállításához ellenőrizze, hogy a fürt automatikus frissítési csatornájának értéke nemnode-image.>

• A SecurityPatch csatorna windowsos operációsrendszer-csomópontkészleteken nem támogatott.

Feljegyzés

Használja a CLI 2.61.0-s vagy újabb verzióját a SecurityPatch csatornához.

Csomópont operációs rendszerének tervezett karbantartási időszakai

A csomópont operációs rendszerének automatikus frissítéséhez tervezett karbantartás a megadott karbantartási időszakon kezdődik.

Feljegyzés

A megfelelő működés biztosítása érdekében használjon négy vagy több órás karbantartási időszakot.

A tervezett karbantartásról további információt az Azure Kubernetes Service(AKS) fürt karbantartási időszakainak ütemezéséhez a Tervezett karbantartás használata című témakörben talál.

Csomópont operációs rendszerének automatikus frissítései – gyakori kérdések

Hogyan ellenőrizhetim a fürt aktuális nodeOsUpgradeChannel értékét?

Futtassa a az aks show parancsot, és ellenőrizze az "autoUpgradeProfile"-t annak megállapításához, hogy a nodeOsUpgradeChannel következő értékre van-e beállítva:

az aks show --resource-group myResourceGroup --name myAKSCluster --query "autoUpgradeProfile"

Hogyan monitorozhatom a csomópont operációs rendszerének automatikus frissítéseinek állapotát?

A csomópont operációs rendszer automatikus frissítéseinek állapotának megtekintéséhez keresse meg a fürt tevékenységnaplóit . Az AKS-fürtök frissítésével kapcsolatos konkrét eseményeket is megkereshet. Az AKS a frissítéssel kapcsolatos Event Grid-eseményeket is bocsát ki. További információkért tekintse meg az AKS-t Event Grid-forrásként.

Módosíthatjam a csomópont operációs rendszerének automatikus frissítési csatornájának értékét, ha a fürt automatikus frissítési csatornája be van állítva node-image ?

Szám Jelenleg a fürt automatikus frissítési csatornájának node-image beállításakor automatikusan a csomópont operációs rendszerének automatikus frissítési csatornája NodeImageis lesz. Nem módosíthatja a csomópont operációs rendszerének automatikus frissítési csatornájának értékét, ha a fürt automatikus frissítési csatornája .node-image A csomópont operációs rendszerének automatikus frissítési csatornaértékeinek módosításához győződjön meg arról, hogy a fürt automatikus frissítési csatornája nem node-image.

Miért ajánlott csatornán SecurityPatch keresztül Unmanaged ?

A csatornán az Unmanaged AKS-nek nincs szabályozva a biztonsági frissítések kézbesítésének módjára és időpontjára. Ezzel SecurityPatcha biztonsági frissítéseket teljes mértékben teszteljük, és követjük a biztonságos üzembe helyezési eljárásokat. SecurityPatch a karbantartási időszakokat is tiszteletben tartja. További részletekért lásd: A canonical számítási feladatok fokozott biztonsága és rugalmassága az Azure-ban.

Mindig SecurityPatch a csomópontok újraimulásához vezet?

Az AKS csak akkor korlátozza az újrakonimációt, ha feltétlenül szükséges, például bizonyos kernelcsomagokra, amelyek teljes körű alkalmazásához újraimázsra lehet szükség. SecurityPatch úgy lett kialakítva, hogy a lehető legkisebbre csökkentse a fennakadásokat. Ha az AKS úgy dönt, hogy a csomópontok újraimálása nem szükséges, akkor a csomópontokat élőben javítja ki podok ürítése nélkül, és ilyen esetekben nem végez VHD-frissítést.

Hogyan tudja, hogy SecurityPatch a csomóponton alkalmaz-e frissítést vagy NodeImage frissítést?

Futtassa a következő parancsot a csomópontcímkék beszerzéséhez:

kubectl get nodes --show-labels

A visszaadott címkék között a következő kimenethez hasonló sort kell látnia:

kubernetes.azure.com/node-image-version=AKSUbuntu-2204gen2containerd-202311.07.0

Itt az alapcsomópont lemezképének verziója.AKSUbuntu-2204gen2containerd Ha van ilyen, a biztonsági javítás verziója általában a következő. A fenti példában ez a következő 202311.07.0: .

Ugyanezeket a részleteket az Azure Portalon is megkeresheti a csomópontcímke nézetben:

Következő lépések

A frissítési ajánlott eljárások és egyéb szempontok részletes ismertetését az AKS-javítás és a frissítési útmutató ismerteti.