Az AKS-sel kapcsolatos gyakori kérdések

Az AKS SLA-garanciákat biztosít a Standard tarifacsomagban az Uptime SLA funkcióval.

A platformtámogatás csökkentett támogatási csomag a nem támogatott "N-3" verziójú fürtökhöz. A platformtámogatás csak az Azure-infrastruktúra támogatását tartalmazza.

További információkért tekintse meg a platform támogatási szabályzatát.

Igen, az AKS automatikus frissítéseket kezdeményez a nem támogatott fürtök esetében. Ha egy n-3 verziójú fürt (ahol n a legújabb támogatott AKS GA alverzió) n-4-re csökken, az AKS automatikusan n-2-re frissíti a fürtöt, hogy megmaradjon az AKS támogatási szabályzatában.

További információ: Támogatott Kubernetes-verziók, tervezett karbantartási időszakok és automatikus frissítések.

Igen, az AKS támogatja a Windows Server-tárolókat. További információ: Windows Server on AKS – GYAKORI KÉRDÉSEK.

Az AKS-ügynökcsomópontok számlázása standard Azure-beli virtuális gépekként van kiszámlázva. Ha az AKS-ben használt virtuálisgép-mérethez vásárolt Azure-foglalásokat , a rendszer automatikusan alkalmazza ezeket a kedvezményeket.

Nem, az AKS-fürt bérlők közötti áthelyezése jelenleg nem támogatott.

Nem, az AKS-fürt előfizetések közötti áthelyezése jelenleg nem támogatott.

Nem, az AKS-fürt és a hozzá tartozó erőforrások áthelyezése vagy átnevezése nem támogatott.

Nem, a törlés után nem állíthatja vissza a fürtöt. A fürt törlésekor a csomópont erőforráscsoportja és annak összes erőforrása is törlődik.

Ha meg szeretné tartani bármelyik erőforrását, a fürt törlése előtt helyezze át őket egy másik erőforráscsoportba. Ha védelmet szeretne biztosítani a véletlen törlésekkel szemben, zárolhatja a fürterőforrásokat üzemeltető AKS által felügyelt erőforráscsoportot a Csomópont erőforráscsoport zárolásával.

A futó AKS-fürtöket teljesen leálltathatja, illetve az összes vagy adott User csomópontkészletet nullára skálázhatja vagy automatikusan skálázhatja.

A rendszercsomópontkészleteket nem lehet közvetlenül nullára méretezni.

Nem, a virtuálisgép-méretezési csoport API-kkal végzett méretezési műveletek nem támogatottak. Használhatja az AKS API-kat (az aks scale).

Nem, a virtuálisgép-méretezési csoport API-kkal végzett méretezési műveletek nem támogatottak. Az AKS API használatával a nem rendszerszintű csomópontkészleteket nullára skálázhatja, vagy leállíthatja a fürtöt .

Nem, ez nem támogatott konfiguráció. Állítsa le helyette a fürtöt .

Nem, a virtuálisgép-méretezési csoport API-kkal végzett méretezési műveletek nem támogatottak. Használhatja az AKS API-kat (az aks scale). Az AKS számos Azure-infrastruktúra-erőforrásra épül, beleértve a virtuálisgép-méretezési csoportokat, a virtuális hálózatokat és a felügyelt lemezeket. Ezek az integrációk lehetővé teszik az Azure-platform számos alapvető funkciójának alkalmazását az AKS által biztosított felügyelt Kubernetes-környezetben. A legtöbb Azure-beli virtuálisgép-típus például közvetlenül az AKS-sel használható, az Azure Reservations pedig arra használható, hogy automatikusan kedvezményeket kapjon ezekre az erőforrásokra.

Az architektúra engedélyezéséhez minden AKS-telepítés két erőforráscsoportra terjed ki:

1. Hozza létre az első erőforráscsoportot. Ez a csoport csak a Kubernetes szolgáltatás erőforrását tartalmazza. Az AKS-erőforrás-szolgáltató automatikusan létrehozza a második erőforráscsoportot az üzembe helyezés során. A második erőforráscsoportra példa a MC_myResourceGroup_myAKSCluster_eastus. A második erőforráscsoport nevének megadásáról a következő szakaszban olvashat.
2. A második erőforráscsoport, az úgynevezett csomópont-erőforráscsoport a fürthöz társított összes infrastruktúra-erőforrást tartalmazza. Ezek az erőforrások közé tartoznak a Kubernetes-csomópont virtuális gépei, a virtuális hálózatkezelés és a tárolás. Alapértelmezés szerint a csomópont erőforráscsoportjának neve MC_myResourceGroup_myAKSCluster_eastus. Az AKS automatikusan törli a csomópont erőforráscsoportját, amikor törli a fürtöt. Ezt az erőforráscsoportot csak a fürt életciklusát megosztó erőforrásokhoz érdemes használni.

Alapértelmezés szerint az AKS elnevezi a csomópont erőforráscsoportját MC_resourcegroupname_clustername_location, de megadhat saját nevet.

Saját erőforráscsoport nevének megadásához telepítse az aks-preview Azure CLI-bővítmény 0.3.2-es vagy újabb verzióját. Ha az [az aks create][az-aks-create] paranccsal hoz létre AKS-fürtöt, használja a --node-resource-group paramétert, és adja meg az erőforráscsoport nevét. Ha Azure Resource Manager-sablont használ egy AKS-fürt üzembe helyezéséhez, az erőforráscsoport nevét a nodeResourceGroup tulajdonság használatával határozhatja meg.

• Az Azure-erőforrás-szolgáltató automatikusan létrehozza a másodlagos erőforráscsoportot.
• Egyéni erőforráscsoportnevet csak a fürt létrehozásakor adhat meg.

A csomópont erőforráscsoportjának használatakor vegye figyelembe, hogy nem:

• Adjon meg egy meglévő erőforráscsoportot a csomópont erőforráscsoporthoz.
• Adjon meg egy másik előfizetést a csomópont erőforráscsoporthoz.
• Módosítsa a csomópont erőforráscsoportjának nevét a fürt létrehozása után.
• Adja meg a csomópont erőforráscsoporton belüli felügyelt erőforrások nevét.
• A csomópont erőforráscsoportban lévő felügyelt erőforrások Azure által létrehozott címkéinek módosítása vagy törlése.

Előfordulhat, hogy váratlan skálázási és frissítési hibák lépnek fel, ha módosítja vagy törli az Azure által létrehozott címkéket és más erőforrástulajdonságokat a csomópont erőforráscsoportjában. Az AKS lehetővé teszi a végfelhasználók által létrehozott egyéni címkék létrehozását és módosítását, és ezeket a címkéket csomópontkészlet létrehozásakor is hozzáadhatja. Előfordulhat, hogy egyéni címkéket szeretne létrehozni vagy módosítani, például egy üzleti egység vagy költséghely hozzárendeléséhez. Egy másik lehetőség az Azure-szabályzatok létrehozása hatókörrel a felügyelt erőforráscsoporton.

Az Azure által létrehozott címkék a megfelelő Azure-szolgáltatásokhoz jönnek létre, és mindig engedélyezve kell lenniük. Az AKS-hez a címkék és k8s-azure a aks-managed címkék tartoznak. Az Azure által létrehozott címkék módosítása az AKS-fürt csomóponterőforrás-csoportjában lévő erőforrásokon nem támogatott művelet, amely megszakítja a szolgáltatásiszint-célkitűzést (SLO).

Az elérhető régiók teljes listáját az AKS-régiók és a rendelkezésre állás című témakörben találja.

Nem, az AKS-fürtök regionális erőforrások, és nem terjedhetnek ki régiókra. Az üzletmenet-folytonosságra és vészhelyreállításra vonatkozó ajánlott eljárásokat a több régiót tartalmazó architektúra létrehozásával kapcsolatos útmutatásért tekintheti meg.

Igen, üzembe helyezhet egy AKS-fürtöt egy vagy több rendelkezésre állási zónában az őket támogató régiókban.

Igen, több csomópontkészlet létrehozásával különböző virtuálisgép-méreteket használhat az AKS-fürtben.

Az AKS nem állít be korlátot a tárolólemezkép méretére. Fontos azonban tisztában lenni azzal, hogy minél nagyobb a kép, annál nagyobb a memóriaigény. A nagyobb méret meghaladhatja az erőforráskorlátokat vagy a feldolgozó csomópontok teljes rendelkezésre álló memóriáját. Alapértelmezés szerint egy AKS-fürt virtuálisgép-méretének Standard_DS2_v2 memóriája 7 GiB értékre van állítva.

Ha egy tárolólemezkép túl nagy, például a Terabájt (TBs) tartományban, előfordulhat, hogy a Kubelet nem tudja lekérni a tárolóregisztrációs adatbázisból egy csomópontra a lemezterület hiánya miatt.

Windows Server-csomópontok esetén a Windows Update nem fut automatikusan, és nem alkalmazza a legújabb frissítéseket. A Windows Update kiadási ciklusa és a saját érvényesítési folyamata körüli rendszeres ütemezés szerint végezze el a frissítést az AKS-fürtön lévő fürtön és a Windows Server csomópontkészletén. Ez a frissítési folyamat létrehozza a legújabb Windows Server rendszerképet és javításokat futtató csomópontokat, majd eltávolítja a régebbi csomópontokat. További információ erről a folyamatról: Csomópontkészlet frissítése az AKS-ben.

Az alábbi rendszerképek működési követelményei a "Futtatás gyökérként" beállításra vonatkoznak, és kivételeket kell megadni a szabályzatok esetében:

• mcr.microsoft.com/oss/kubernetes/coredns
• mcr.microsoft.com/azuremonitor/containerinsights/ciprod
• mcr.microsoft.com/oss/calico/node
• mcr.microsoft.com/oss/kubernetes-csi/azuredisk-csi

Igen, két lehetőség van az API-kiszolgálóhoz való hozzáférés korlátozására:

• Ha nyilvános végpontot szeretne fenntartani az API-kiszolgálóhoz, de korlátozni szeretné a hozzáférést megbízható IP-tartományokhoz, használja az API Server által engedélyezett IP-tartományokat .
• Használjon privát fürtöt, ha korlátozni szeretné, hogy az API-kiszolgáló csak a virtuális hálózaton belülről legyen elérhető.

Az AKS minden héten kijavítja a "szállítói javítással" rendelkező önéletrajzokat. A javítás nélküli CV-k a "szállítói javításra" várnak, mielőtt javíthatóak lennének. Az AKS-rendszerképek 30 napon belül automatikusan frissülnek. Javasoljuk, hogy rendszeresen alkalmazza a frissített csomópontrendszerképet, hogy a legújabb javított rendszerképek és operációsrendszer-javítások mind alkalmazva legyenek és naprakészek legyenek. Ezt az alábbi módszerek egyikével teheti meg:

• Manuálisan, az Azure Portalon vagy az Azure CLI-vel.
• Az AKS-fürt frissítésével. A fürt automatikusan frissíti a kordon- és csatornacsomópontokat , majd online állapotba hoz egy új csomópontot a legújabb Ubuntu-lemezképpel és egy új javításverzióval vagy egy kisebb Kubernetes-verzióval. További információt az AKS-fürtök frissítését ismertető szakaszban talál.
• Csomópontrendszerkép-frissítéssel.

A Microsoft útmutatást nyújt a számítási feladatok biztonságossá tételéhez olyan szolgáltatásokon keresztül, mint a Microsoft Defender for Containers. A következő biztonsági fenyegetés az AKS-hez és a Kuberneteshez kapcsolódik, amellyel tisztában kell lennie:

• Az új nagy léptékű kampány a Kubeflow-t célozza meg (2021. június 8.).

Nem, minden adat a fürt régiójában van tárolva.

Hagyományosan, ha a pod nemroot felhasználóként fut (amit célszerű), a pod biztonsági környezetében meg kell adnia egy fsGroup értéket, hogy a kötet olvasható és írható legyen a pod számára. Erről a követelményről itt olvashat részletesebben.

A beállítás fsGroup egyik mellékhatása, hogy minden alkalommal, amikor egy kötet csatlakoztatva van, a Kubernetesnek rekurzívan chown() kell lennie, valamint a köteten belüli összes fájlnak és chmod() könyvtárnak (néhány alább felsorolt kivétellel). Ez a forgatókönyv akkor is előfordul, ha a kötet csoporttulajdona már megfelel a kértnek fsGroup. A sok kis fájllal rendelkező nagyobb kötetek esetében költséges lehet, ami a podindítás hosszú időt vehet igénybe. Ez a forgatókönyv már ismert probléma volt az 1.20-as verzió előtt, és a kerülő megoldás a pod futtatását állítja be gyökérként:

apiVersion: v1
kind: Pod
metadata:
  name: security-context-demo
spec:
  securityContext:
    runAsUser: 0
    fsGroup: 0

A probléma a Kubernetes 1.20-es verziójával lett megoldva. További információ: Kubernetes 1.20: A mennyiségi engedély módosításainak részletes szabályozása.

Az AKS biztonságos alagútkommunikációval teszi lehetővé az api-kiszolgáló és az egyes csomópontok kubeletjei számára a kommunikációt még külön virtuális hálózatokon is. Az alagút mTLS-titkosítással van védve. Az AKS által használt jelenlegi fő alagút a Konnectivity, korábbi nevén apiserver-network-proxy. Ellenőrizze, hogy az összes hálózati szabály az Azure-beli szükséges hálózati szabályokat és teljes tartományneveket követi-e.

Igen, hozzáadhatja a megjegyzést kubernetes.azure.com/set-kube-service-host-fqdn a podokhoz, hogy a változót a KUBERNETES_SERVICE_HOST fürtszolgáltatás IP-címe helyett az API-kiszolgáló tartománynevére állítsa. Ez olyan esetekben hasznos, amikor a fürt kiesik egy 7. rétegbeli tűzfalon keresztül, például az Azure Firewall alkalmazásszabályokkal való használatakor.

Az AKS nem alkalmazza a hálózati biztonsági csoportokat (NSG-ket) az alhálózatára, és nem módosítja az alhálózathoz társított NSG-k egyikét sem. Az AKS csak a hálózati adapterek NSG-beállításait módosítja. CNI használata esetén gondoskodnia kell arról is, hogy az NSG-k biztonsági szabályai engedélyezik a csomópont és a pod CIDR-tartományai közötti forgalmat. Kubenet használata esetén gondoskodnia kell arról is, hogy az NSG-k biztonsági szabályai engedélyezik a csomópont és a pod CIDR közötti forgalmat. További információ: Hálózati biztonsági csoportok.

Az AKS-csomópontok a "chrony" szolgáltatást futtatják, amely időt kér le a localhostból. A podokon futó tárolók időt kapnak az AKS-csomópontoktól. A pod tárolójából indított alkalmazások használati ideje tárolóban.

Nem, az AKS egy menedzselt szolgáltatás, és az IaaS-erőforrások manipulálása nem támogatott. Egyéni összetevők telepítéséhez használja a Kubernetes API-kat és mechanizmusokat. A DaemonSets használatával például telepíthet szükséges összetevőket.

Az AKS a következő beléptető vezérlőket támogatja:

• NamespaceLifecycle
• LimitRanger
• ServiceAccount
• DefaultIngressClass
• DefaultStorageClass
• DefaultTolerationSeconds
• MutációAdmissionWebhook
• ValidatingAdmissionWebhook
• ResourceQuota
• PodNodeSelector
• PodTolerationRestriction
• ExtendedResourceToleration

Jelenleg nem módosíthatja a belépési vezérlők listáját az AKS-ben.

Igen, a belépésvezérlő webhookjait használhatja az AKS-en. Javasoljuk, hogy zárja ki a belső AKS-névtereket, amelyek a vezérlősík címkéjével vannak megjelölve. Példa:

namespaceSelector:
    matchExpressions:
    - key: control-plane
      operator: DoesNotExist

Az AKS tűzfala az API-kiszolgáló kimenő forgalmát teszi elérhetővé, így a beléptető webhookoknak elérhetőnek kell lenniük a fürtön belülről.

Annak érdekében, hogy megvédje a rendszer stabilitását, és megakadályozza, hogy az egyéni beléptető vezérlők hatással legyen a kube-rendszer belső szolgáltatásaira, az AKS névtér rendelkezik egy Beléptető érvényesítővel, amely automatikusan kizárja a kube-system és az AKS belső névtereit. Ez a szolgáltatás biztosítja, hogy az egyéni beléptető vezérlők ne befolyásolják a Kube-rendszerben futó szolgáltatásokat.

Ha az egyéni belépési webhookok támogatásához kritikus használati eset áll fenn a Kube-rendszeren való üzembe helyezéshez (nem ajánlott), akkor a következő címkét vagy széljegyzetet is hozzáadhatja, hogy a Belépés kényszerítő figyelmen kívül hagyja azt.

Címke: "admissions.enforcer/disabled": "true" vagy széljegyzet: "admissions.enforcer/disabled": true

Az Azure Key Vault-szolgáltató a Secrets Store CSI-illesztőprogramhoz az Azure Key Vault Natív integrációját biztosítja az AKS-be.

A FIPS-kompatibilis csomópontok mostantól támogatottak Linux-alapú csomópontkészleteken. További információ: FIPS-kompatibilis csomópontkészlet hozzáadása.

A rendszer automatikusan alkalmazza a javításokat, beleértve a biztonsági javításokat is az AKS-fürtre. Ha új kiadás érhető el, a fürt frissítésekor minden nagyobb, mint egy javítás, például a főverzió vagy az alverzió módosításai (amelyek az üzembe helyezett objektumok kompatibilitástörő változásait okozhatják). Az AKS kibocsátási megjegyzéseiben megtalálhatja, hogy mikor érhető el új kiadás.

Az AKS Linux-bővítmény egy Azure-beli virtuálisgép-bővítmény, amely monitorozási eszközöket telepít és konfigurál a Kubernetes-feldolgozó csomópontokon. A bővítmény minden új és meglévő Linux-csomópontra telepítve van. A következő monitorozási eszközöket konfigurálja:

• Csomópont-exportőr: Hardveres telemetriát gyűjt a virtuális gépről, és metrikavégpont használatával teszi elérhetővé. Ezután egy monitorozási eszköz, például a Prometheus, képes lekaparni ezeket a metrikákat.
• Csomópont-problémaérzékelő: Célja, hogy láthatóvá tegye a különböző csomópontproblémákat a fürtfelügyeleti verem felső rétegei számára. Ez egy rendszerezett egység, amely minden csomóponton fut, észleli a csomópontokkal kapcsolatos problémákat, és események és NodeConditions használatával jelenti őket a fürt API-kiszolgálójának.
• ig: Egy eBPF-alapú nyílt forráskódú keretrendszer Linux- és Kubernetes-rendszerek hibakereséséhez és megfigyeléséhez. Olyan eszközöket (vagy kisalkalmazásokat) biztosít, amelyek célja a releváns információk összegyűjtése, lehetővé téve a felhasználók számára a teljesítményproblémák, összeomlások vagy egyéb rendellenességek okának azonosítását. Nevezetesen a Kubernetestől való függetlensége lehetővé teszi a felhasználók számára, hogy a vezérlősík hibáinak elhárításához is alkalmazzák.

Ezek az eszközök segítenek a csomópontok állapotával kapcsolatos problémák megfigyelhetőségének biztosításában, például:

• Infrastruktúra démonproblémái: Az NTP szolgáltatás leállt
• Hardverproblémák: Nem megfelelő a processzor, a memória vagy a lemez
• Kernelproblémák: Kernel holtpont, sérült fájlrendszer
• Tároló futtatókörnyezeti problémái: Nem válaszoló futtatókörnyezeti démon

A bővítmény nem igényel további kimenő hozzáférést a dokumentált AKS-kimenő követelményeken túli URL-címekhez, IP-címekhez vagy portokhoz. Nem igényel különleges engedélyeket az Azure-ban. Kubeconfig használatával csatlakozik az API-kiszolgálóhoz az összegyűjtött figyelési adatok elküldéséhez.

A legtöbb fürtöt a rendszer felhasználói kérésre törli. Bizonyos esetekben, különösen azokban az esetekben, amikor saját erőforráscsoportot hoz létre, vagy kereszt-RG feladatokat hajt végre, a törlés több időt vehet igénybe, vagy akár sikertelen is lehet. Ha a törléssel kapcsolatos probléma merül fel, ellenőrizze, hogy nincsenek-e zárolások az RG-n, hogy az RG-n kívüli erőforrások nem kapcsolódnak-e az RG-hez, és így tovább.

Ha problémákat tapasztal a fürtműveletek létrehozásával és frissítésével kapcsolatban, győződjön meg arról, hogy nincsenek hozzárendelt szabályzatok vagy szolgáltatáskorlátozások, amelyek megakadályozhatják, hogy az AKS-fürt kezelje az erőforrásokat( például virtuális gépeket, terheléselosztókat, címkéket stb.).

Igen, de nem javasoljuk. Frissítéseket kell végrehajtania, ha a fürt állapota ismert és kifogástalan.

Nem, a frissítés előtt törölje/távolítsa el a sikertelen állapotú csomópontokat vagy más módon a fürtből.

Ez a hiba leggyakrabban akkor fordul elő, ha egy vagy több hálózati biztonsági csoport (NSG) még használatban van, amelyek a fürthöz vannak társítva. Távolítsa el őket, és próbálkozzon újra a törlési kísérlettel.

Ellenőrizze, hogy a szolgáltatásnév nem járt-e le. Lásd: AKS-szolgáltatásnév és AKS-frissítési hitelesítő adatok.

Ellenőrizze, hogy a szolgáltatásnév nem járt-e le. Lásd: AKS-szolgáltatásnév és AKS-frissítési hitelesítő adatok.