Megosztás a következőn keresztül:

Az Azure Kubernetes szolgáltatás támogatási irányelvei

  • Cikk

Ez a cikk az Azure Kubernetes Service (AKS) technikai támogatási szabályzatait és korlátozásait ismerteti. Emellett részletezi az ügynökcsomópontok kezelését, a felügyelt vezérlősík összetevőit, a külső nyílt forráskódú összetevőket, valamint a biztonsági vagy javításkezelést.

Szolgáltatásfrissítések és -kiadások

Felügyelt funkciók az AKS-ben

A szolgáltatásként nyújtott alapinfrastruktúra (IaaS) felhőösszetevői, például a számítási vagy hálózati összetevők lehetővé teszik az alacsony szintű vezérlőkhöz és testreszabási lehetőségekhez való hozzáférést. Ezzel szemben az AKS egy kulcsrakész Kubernetes-telepítést kínál, amely a klaszterhez szükséges közös konfigurációk és képességek készletét biztosítja. AKS-felhasználóként korlátozott testreszabási és üzembehelyezési lehetőségekkel rendelkezik. Cserébe nem kell a Kubernetes-fürtökkel közvetlenül aggódnia vagy foglalkoznia.

Az AKS-sel egy teljesen felügyelt vezérlősíkot kap. A vezérlősík tartalmazza a Kubernetes-fürtök üzemeltetéséhez és a végfelhasználókhoz való eljuttatásához szükséges összes összetevőt és szolgáltatást. A Microsoft fenntartja és üzemelteti az összes Kubernetes-összetevőt.

A Microsoft a vezérlősíkon keresztül felügyeli és figyeli a következő összetevőket:

  • Kubelet- vagy Kubernetes API-kiszolgálók
  • Etcd vagy egy kompatibilis kulcs-érték tároló, amely szolgáltatásminőséget (QoS), méretezhetőséget és futtatókörnyezetet biztosít
  • DNS-szolgáltatások (például kube-dns vagy CoreDNS)
  • Kubernetes-proxy vagy hálózatkezelés, kivéve, ha a BYOCNI-t használják
  • A kube-rendszer névterében futó egyéb bővítmények vagy rendszerösszetevők.

Az AKS nem egy szolgáltatásként nyújtott platform (PaaS) megoldás. Egyes összetevők, például az ügynökcsomópontok megosztott felelősséggel tartoznak, amelyekben segítenie kell az AKS-fürt karbantartását. Felhasználói bemenetre van szükség például egy ügynökcsomópont operációs rendszer biztonsági javításának alkalmazásához.

A szolgáltatások kezelése abban az értelemben történik, hogy a Microsoft és az AKS csapata üzembe helyezi, működteti és felelős a szolgáltatások rendelkezésre állásáért és működéséért. Az ügyfelek nem módosíthatják ezeket a felügyelt összetevőket. A Microsoft korlátozza a testreszabást a konzisztens és méretezhető felhasználói élmény biztosítása érdekében.

Megosztott feladatkörök

Fürt létrehozásakor meg kell határoznia az AKS által létrehozott Kubernetes-ügynökcsomópontokat. A számítási feladatok ezeken a csomópontokon lesznek végrehajtva.

Mivel az ügynökcsomópontok privát kódot hajtanak végre és bizalmas adatokat tárolnak, Microsoft ügyfélszolgálata csak korlátozott módon férhetnek hozzá. Microsoft ügyfélszolgálata nem tud bejelentkezni, parancsokat végrehajtani és naplókat megtekinteni ezekhez a csomópontokhoz az Ön kifejezett engedélye vagy segítsége nélkül.

Az ügynökcsomópontokon az IaaS API-k bármelyikének használatával végzett módosítások a fürtöt támogatásképtelenné teszik. Az ügynökcsomópontokra alkalmazott módosításokat kubernetes-natív mechanizmusokkal kell elvégezni, például Daemon Sets.

Hasonlóképpen, bár bármilyen metaadatot hozzáadhat a fürthez és a csomópontokhoz, például címkéket vagy attribútumokat, a rendszer által létrehozott metaadatok módosítása a fürtöt nem teszi támogatottá.

Az AKS támogatási lefedettsége

Támogatott esetek

A Microsoft az alábbi példákhoz nyújt technikai támogatást:

  • Csatlakozás a Kubernetes szolgáltatás által biztosított és támogatott összes Kubernetes-összetevőhöz, például az API-kiszolgálóhoz.
  • A Kubernetes vezérlősík-szolgáltatásainak felügyelete, üzemideje, QoS és műveletei (például Kubernetes vezérlősík, API-kiszolgáló stb. és coreDNS).
  • Etcd-adattár. A támogatás magában foglalja az összes etcd adat automatikus, átlátható biztonsági mentését 30 percenként a katasztrófaelhárítási tervezéshez és a fürtállapot helyreállításához. Ezek a biztonsági másolatok nem érhetők el közvetlenül Ön vagy bárki más számára. Ezek biztosítják az adatok megbízhatóságát és konzisztenciáját. Az igény szerinti visszagörgetés vagy helyreállítás nem támogatott funkcióként.
  • A Kubernetes Azure felhőszolgáltatói illesztőprogramjának minden integrációs pontja. Ezek közé tartoznak más Azure-szolgáltatásokkal való integrációk, például terheléselosztók, állandó kötetek vagy hálózati funkciók (Kubernetes és Azure CNI, kivéve, ha a BYOCNI használatban van).
  • A vezérlősík-összetevők, például a Kubernetes API-kiszolgáló stb. és a coreDNS testreszabásával kapcsolatos kérdések vagy problémák.
  • A hálózatkezeléssel kapcsolatos problémák, például az Azure CNI, a Kubenet vagy más hálózati hozzáféréssel és funkciókkal kapcsolatos problémák, kivéve, ha a BYOCNI használatban van. A problémák közé tartozhat a DNS-feloldás, a csomagvesztés, az útválasztás stb. A Microsoft különböző hálózati forgatókönyveket támogat:
    • Kubenet és Azure CNI felügyelt virtuális hálózatokkal vagy egyéni (saját) alhálózatokkal.
    • Kapcsolódás más Azure-szolgáltatásokhoz és -alkalmazásokhoz
    • Microsoft által felügyelt bejövőforgalom-vezérlők vagy terheléselosztó-konfigurációk
    • Hálózati teljesítmény és késés
    • A Microsoft által felügyelt hálózati házirendek összetevői és funkciói

Feljegyzés

A Microsoft/AKS által végrehajtott fürtműveletek az Ön hozzájárulásával beépített Kubernetes-szerepkörrel aks-service és beépített szerepkör-kötéssel aks-service-rolebinding végezhetők el. Ez a szerepkör lehetővé teszi, hogy az AKS elhárítsa és diagnosztizálja a fürttel kapcsolatos problémákat, de nem módosíthatja az engedélyeket, és nem hozhat létre szerepköröket, szerepkör-kötéseket vagy egyéb magas jogosultsági szintű műveleteket. A szerepkör-hozzáférés csak az aktív támogatási jegyekben engedélyezett, just-in-time (JIT) hozzáférés mellett.

Nem támogatott forgatókönyvek

A Microsoft nem nyújt technikai támogatást a következő forgatókönyvekhez:

  • A Kubernetes használatával kapcsolatos kérdések. A Microsoft ügyfélszolgálata például nem ad tanácsot az egyéni bejövőforgalom-vezérlők létrehozásához, az alkalmazás számítási feladatainak használatához, illetve külső vagy nyílt forráskódú szoftvercsomagok vagy -eszközök alkalmazásához.

    Feljegyzés

    Microsoft ügyfélszolgálata tanácsot adhat az AKS-fürt funkcióival, testreszabásával és finomhangolásával kapcsolatban (például a Kubernetes üzemeltetési problémáival és eljárásaival kapcsolatban).

  • Külső, nyílt forráskódú projektek, amelyek nem a Kubernetes vezérlősíkjának részeként és nem AKS-fürtökkel telepítve vannak. Ilyen projektek lehetnek például az Istio, a Helm, az Envoy vagy más projektek.

    Feljegyzés

    A Microsoft minden tőle telhetőt megtesz az olyan külső nyílt forráskódú projektekhez, mint a Helm. Ha a külső nyílt forráskódú eszköz integrálható a Kubernetes Azure felhőszolgáltatójával vagy más AKS-specifikus hibákkal, a Microsoft támogatja a Microsoft dokumentációjában szereplő példákat és alkalmazásokat.

  • Külső gyártótól származó, zárt forráskódú szoftver. Ez a szoftver tartalmazhat biztonsági ellenőrző eszközöket és hálózati eszközöket vagy szoftvereket.

  • Az AKS-fürtben futó külső alkalmazások vagy eszközök alkalmazásspecifikus kódjának vagy viselkedésének konfigurálása vagy hibaelhárítása. Ide tartoznak azok az alkalmazástelepítési problémák, amelyek nem kapcsolódnak magához az AKS-platformhoz.

  • Tanúsítványok kiállítása, megújítása vagy kezelése az AKS-en futó alkalmazásokhoz.

  • Az AKS dokumentációjában felsoroltaktól eltérő hálózati testreszabások. Például a Microsoft ügyfélszolgálata nem konfigurálhatja az AKS-fürt számára a kimenő forgalmat biztosító eszközöket vagy virtuális berendezéseket, mint például a VPN-eket vagy tűzfalakat.

    Feljegyzés

    A legjobb megoldásként Microsoft ügyfélszolgálata tanácsot adhat az Azure Firewallhoz szükséges konfigurációval kapcsolatban, más külső eszközök esetében azonban nem.

  • BYOCNI módban használt egyéni vagy külső CNI beépülő modulok.

  • Nem Microsoft által felügyelt hálózati szabályzatok konfigurálása vagy hibaelhárítása. A hálózati házirendek használata támogatott, Microsoft ügyfélszolgálata nem vizsgálhatók az egyéni hálózati házirend-konfigurációkból eredő problémák.

  • Nem Microsoft által felügyelt bejövőforgalom-vezérlők, például nginx, kong, traefik stb. konfigurálása vagy hibaelhárítása. Ez magában foglalja az AKS-specifikus műveletek után felmerülő funkciókkal kapcsolatos problémákat, például egy bejövőforgalom-vezérlő működését a Kubernetes-verziófrissítést követően. Ezek a problémák a bejövőforgalom-vezérlő és az új Kubernetes-verzió közötti inkompatibilitásból eredhetnek. A teljes mértékben támogatott beállításhoz érdemes lehet a Microsoft által felügyelt bejövőforgalom-vezérlőt igénybe venni.

  • A csomópontkonfigurációk testreszabásához használt DaemonSets (beleértve a szkripteket is) konfigurálása vagy hibaelhárítása. Bár a DaemonSetek használata az ajánlott módszer a harmadik féltől származó szoftverek finomhangolására, módosítására vagy telepítésére a fürtügynök-csomópontokon, amikor a konfigurációs fájl paraméterei nem elegendőek, a Microsoft ügyfélszolgálata nem tudja elhárítani a DaemonSetekben használt egyéni szkriptekből adódó problémákat azok testreszabott jellege miatt.

  • Készenléti és proaktív forgatókönyvek. Microsoft ügyfélszolgálata reaktív támogatást nyújt az aktív problémák időben és professzionális módon történő megoldásához. A készenléti vagy proaktív támogatás azonban nem vonatkozik a működési kockázatok kiküszöbölésére, a rendelkezésre állás növelésére és a teljesítmény optimalizálására. A jogosult ügyfelek kapcsolatba léphetnek a fiókcsoportjukkal, hogy jelölést kapjon az Azure Event Management szolgáltatásra. A Microsoft támogatási mérnökei által nyújtott fizetős szolgáltatás, amely proaktív megoldáskockázat-felmérést és lefedettséget tartalmaz az esemény során.

  • 30 napnál nem régebbi szállítói javítással rendelkező biztonsági rések/ CVE-k. Mindaddig, amíg a frissített VHD-t futtatja, nem szabad olyan tárolólemezkép biztonsági réseket és CVE-ket futtatnia, amelyekhez a szállító 30 napnál régebben adott ki javítást. Az ügyfél felelőssége, hogy frissítse a VHD-t, és szűrt listákat biztosítson a Microsoft ügyfélszolgálatának. Miután frissítette a VHD-t, az ügyfél felelőssége, hogy szűrje a biztonsági réseket / CVEs-jelentést, és csak a 30 naposnál régebbi szállítói javítással rendelkező biztonsági réseket/CVE-eket tartalmazó listát adjon meg. Ebben az esetben a Microsoft ügyfélszolgálata gondoskodik arról, hogy belsőleg működjön, és a több mint 30 nappal ezelőtt kiadott szállítói javítással kezelje az összetevőket. Emellett a Microsoft kizárólag a Microsoft által felügyelt összetevőkhöz nyújt biztonsági rés/CVE támogatást (például AKS-csomópont képekhez, felügyelt tárolóképekhez), amelyek az alkalmazások fürt létrehozásakor vagy egy felügyelt bővítmény telepítése során kerülnek üzembe helyezésre. Az AKS biztonsági réskezelésével kapcsolatos további részletekért látogasson el az oldalra.

  • Egyéni kódminták vagy szkriptek. Bár Microsoft ügyfélszolgálata egy támogatási esetben kis kódmintákat és kis kódminták áttekintését is biztosíthatja a Microsoft-termékek funkcióinak használatához, Microsoft ügyfélszolgálata nem tud egyéni, a környezetére vagy alkalmazására jellemző kódmintákat biztosítani.

Az AKS támogatja az ügynökcsomópontok lefedettségét

Microsoft-feladatok az AKS-ügynökcsomópontokhoz

A Microsoft és Ön osztoznak a Kubernetes-ügynökcsomópontokért, ahol:

  • Az operációs rendszer alaprendszerképe további kiegészítéseket (például monitorozási és hálózati ügynököket) igényel.
  • Az ügynökcsomópontok automatikusan kapják meg az operációsrendszer-javításokat.
  • Az ügynökcsomópontokon futó Kubernetes vezérlősík-összetevőivel kapcsolatos problémák automatikusan szervizelhetők. Ezek az összetevők az alábbiakat tartalmazzák:
    • Kube-proxy
    • Hálózati alagutak, amelyek kommunikációs útvonalakat biztosítanak a Kubernetes fő összetevőihez
    • Kubelet
    • containerd

Feljegyzés

Ha egy ügynökcsomópont nem működik, az AKS újraindíthatja az egyes összetevőket vagy a teljes ügynökcsomópontot. Ezek az újraindítási műveletek automatizáltak, és automatikus szervizelést biztosítanak a gyakori problémákhoz. Ha többet szeretne tudni az automatikus szervizelési mechanizmusokról, olvassa el a Csomópont automatikus javítása című témakört .

Az AKS-ügynökcsomópontok ügyfélfeladatai

A Microsoft hetente biztosít javításokat és új képeket a képcsomópontokhoz. Az ügynökcsomópont operációs rendszerének és futtatókörnyezeti összetevőinek naprakészen tartásához ezeket a javításokat és frissítéseket manuálisan vagy automatikusan rendszeresen kell alkalmaznia. További információk:

Hasonlóképpen, az AKS rendszeresen kiadja az új Kubernetes-javításokat és alverziókat. Ezek a frissítések biztonsági vagy funkcióbeli fejlesztéseket tartalmazhatnak a Kubernetesben. Ön felelős a fürtök Kubernetes-verziójának frissítéséért, és az AKS Kubernetes támogatási verziószabályzatának megfelelően.

Ügynökcsomópontok felhasználói testreszabása

Feljegyzés

Az AKS-ügynökcsomópontok szabványos Azure IaaS-erőforrásokként jelennek meg az Azure Portalon. Ezek a virtuális gépek azonban egy egyéni Azure-erőforráscsoportba vannak üzembe helyezve (MC_*előtaggal). Nem módosíthatja az operációs rendszer alaprendszerképét, és nem végezhet közvetlen testreszabásokat ezeken a csomópontokon az IaaS API-k vagy -erőforrások használatával. Az AKS API-ból nem végrehajtott egyéni módosítások nem maradnak fenn frissítéssel, méretezéssel, frissítéssel vagy újraindítással. Emellett a csomópontok bővítményeinek( például a CustomScriptExtensionnak ) bármilyen módosítása váratlan viselkedéshez vezethet, ezért tilos. Ne végezzen módosításokat az ügynökcsomópontokon, hacsak Microsoft ügyfélszolgálata nem utasítja a módosítások elvégzésére.

Az AKS kezeli az ügynökcsomópontok életciklusát és műveleteit az Ön nevében, és az ügynökcsomópontokhoz társított IaaS-erőforrások módosítása nem támogatott. Nem támogatott művelet például a csomópontkészlet virtuálisgép-méretezési készletének testreszabása az Azure Portal konfigurációinak manuális módosításával vagy az API-ból.

Számítási feladatokhoz vagy csomagokhoz az AKS a Kubernetes daemon setshasználatát javasolja.

A Kubernetes privileged daemon sets és init tárolóinak használatával külső szoftvereket hangolhat/módosíthat vagy telepíthet a fürtügynök-csomópontokon. Ilyen testreszabások például az egyéni biztonsági ellenőrző szoftverek hozzáadása vagy a sysctl-beállítások frissítése.

Bár ez az elérési út a fenti követelmények alkalmazása esetén ajánlott, az AKS mérnöki és támogatási szolgálata nem tud segíteni azon módosítások hibaelhárításában vagy diagnosztizálásában, amelyek a csomópontot egy egyéni üzembe helyezés daemon setmiatt elérhetetlenné teszik.

Biztonsági problémák és javítás

Ha az AKS egy vagy több felügyelt összetevőjében biztonsági hiba található, az AKS-csapat javítócsomagot alkalmaz az összes érintett fürtön a probléma enyhítése érdekében. Másik lehetőségként az AKS csapata frissítési útmutatót is biztosít.

A biztonsági hiba által érintett ügynökcsomópontok esetében a Microsoft értesíti Önt a biztonsági probléma hatásáról és a megoldás lépéseiről.

Csomópont karbantartása és elérése

Bár bejelentkezhet és módosíthatja az ügynök-csomópontokat, ez a művelet nem ajánlott, mert a módosítások a fürt támogatását megakadályozhatják.

Hálózati portok, hozzáférés és NSG-k

Az NSG-k csak egyéni alhálózatokon szabhatók testre. Nem szabhatja testre az NSG-ket a felügyelt alhálózatokon vagy az ügynökcsomópontok NIC szintjén. Az AKS-nek meghatározott végpontokra vonatkozó kimenő követelményei vannak, a kimenő forgalom szabályozása és a szükséges kapcsolat biztosítása érdekében lásd a kimenő forgalom korlátozását. Bejövő forgalom esetén a követelmények a klaszteren üzembe helyezett alkalmazásokon alapulnak.

Leállított, deallokált és Nincs kész csomópontok

Ha nincs szüksége az AKS-számítási feladatok folyamatos futtatására, leállíthatja az AKS-fürtöt, amellyel leállítja az összes csomópontkészletet és a vezérlősíkot. Szükség esetén újra elindíthatja. Ha a az aks stop parancs használatával leállítja a fürtöt, a fürt állapota legfeljebb 12 hónapig megmarad. 12 hónap elteltével, a gépi fürt állapota és az összes erőforrása törlődik.

Az összes fürtcsomópont manuális dealokálása az IaaS API-kkal, az Azure CLI-vel vagy az Azure Portalon keresztül nem támogatott az AKS-fürt vagy csomópontkészlet leállításához. A fürtöt a rendszer nem támogatja, és 30 nap után leállítja az AKS. A fürtökre ugyanaz a 12 hónapos megőrzési szabályzat vonatkozik, mint egy megfelelően leállított fürtre.

A nulla Kész csomóponttal (vagy az összes Nem kész) és nulla Futó virtuális géppel rendelkező fürtök 30 nap elteltével kikapcsolásra kerülnek.

Az AKS fenntartja a jogot az olyan vezérlősíkok archiválására, amelyek a támogatási iránymutatásokon kívül esnek, és 30 napos vagy annál hosszabb időszakra lettek konfigurálva. Az AKS fenntartja a fürt etcd metaadatainak biztonsági mentését, és könnyen áthelyezheti a fürtöt. Ezt az újraelosztást bármelyik PUT művelet kezdeményezi, amely a fürtöt újra támogatás alá helyezi, például ha az aktív ügynökcsomópontokra történik a frissítés vagy a skálázás.

A felfüggesztett előfizetés összes klasztere azonnal le lesz állítva, és 90 nap elteltével törlődik. A törölt előfizetés összes fürtje azonnal törölve lesz.

Nem támogatott alfa- és béta-Kubernetes-funkciók

Az AKS csak a felsőbb rétegbeli Kubernetes-projekt stabil és béta funkcióit támogatja. Ha nincs más dokumentálva, az AKS nem támogatja a felsőbb rétegbeli Kubernetes-projektben elérhető alfafunkciókat.

Előzetes verziójú funkciók vagy funkciójelzők

A kiterjesztett tesztelést és felhasználói visszajelzést igénylő funkciók és funkciók esetében a Microsoft új előzetes verziójú funkciókat vagy funkciókat ad ki egy funkciójelző mögött. Ezeket a funkciókat előzetes vagy bétaverziós funkcióknak tekintheti.

Az előzetes verziójú vagy a funkciójelzők nem éles környezetben való használatra készültek. Az API-k és a viselkedés folyamatos változásai, a hibajavítások és egyéb módosítások instabil fürtöket és leállásokat eredményezhetnek.

A nyilvános előzetes funkciók korlátozott támogatással érhetők el, mivel ezek a funkciók előzetes fázisban vannak, és nem célszerűek éles használatra. Az AKS technikai támogatási csapatai csak munkaidőben nyújtanak támogatást. További információkért tekintse meg az Azure támogatási gyakori kérdéseit.

Felsőbb rétegbeli hibák és problémák

Tekintettel a kubernetes-projekt fejlesztésének sebességére, a hibák mindig felmerülnek. Ezen hibák némelyike nem javítható vagy nem használható az AKS-rendszeren belül. Ehelyett a hibajavítások nagyobb javításokat igényelnek a felsőbb rétegbeli projektekhez (például a Kuberneteshez, a csomópont- vagy ügynök operációs rendszerekhez és a kernelhez). A Microsoft tulajdonában lévő összetevők (például az Azure-felhőszolgáltató) esetében az AKS és az Azure személyzete elkötelezett a problémák megoldásában a közösségen belül.

Ha egy technikai támogatási probléma kiváltó oka egy vagy több felsőbb rétegbeli hiba, az AKS támogatási és mérnöki csapata a következőt fogja tenni:

  • Azonosítsa és csatolja a felsőbb rétegbeli hibákat az esetleges kiegészítő részletekkel, hogy segítsen elmagyarázni, hogy ez a probléma miért érinti a fürtöt vagy a számítási feladatot. Az ügyfelek a szükséges adattárakra mutató hivatkozásokat kapnak, így megnézhetik a problémákat, és láthatják, hogy egy új kiadás mikor biztosít javításokat.

  • Lehetséges áthidaló megoldásokat vagy kockázatcsökkentést biztosít. Ha a probléma elhárítható, egy ismert probléma megjelenik az AKS-adattárban. Az ismert probléma bejelentése a következőt ismerteti:

    • A probléma, beleértve a felsőbb rétegbeli hibákra mutató hivatkozásokat is.
    • Az alternatív megoldás, valamint a megoldás frissítésének vagy más megőrzésének részletei.
    • A probléma felvételének hozzávetőleges ütemtervei a felsőbb rétegbeli kiadási ütem alapján.