Megosztás a következőn keresztül:


Az Azure Kubernetes szolgáltatás támogatási irányelvei

Ez a cikk az Azure Kubernetes Service (AKS) technikai támogatási szabályzatait és korlátozásait ismerteti. Emellett részletezi az ügynökcsomópontok kezelését, a felügyelt vezérlősík összetevőit, a külső nyílt forráskódú összetevőket, valamint a biztonsági vagy javításkezelést.

Szolgáltatásfrissítések és -kiadások

Felügyelt funkciók az AKS-ben

A szolgáltatásként nyújtott alapinfrastruktúra (IaaS) felhőösszetevői, például a számítási vagy hálózati összetevők lehetővé teszik az alacsony szintű vezérlőkhöz és testreszabási lehetőségekhez való hozzáférést. Ezzel szemben az AKS egy kulcsrakész Kubernetes-üzembe helyezést biztosít, amely a fürthöz szükséges konfigurációk és képességek közös készletét biztosítja. AKS-felhasználóként korlátozott testreszabási és üzembehelyezési lehetőségekkel rendelkezik. Cserébe nem kell közvetlenül a Kubernetes-fürtök miatt aggódnia vagy kezelnie.

Az AKS-sel egy teljesen felügyelt vezérlősíkot kap. A vezérlősík tartalmazza a Kubernetes-fürtök üzemeltetéséhez és a végfelhasználókhoz való eljuttatásához szükséges összes összetevőt és szolgáltatást. A Microsoft fenntartja és üzemelteti az összes Kubernetes-összetevőt.

A Microsoft a vezérlősíkon keresztül felügyeli és figyeli a következő összetevőket:

  • Kubelet- vagy Kubernetes API-kiszolgálók
  • Etcd vagy egy kompatibilis kulcs-érték tároló, amely szolgáltatásminőséget (QoS), méretezhetőséget és futtatókörnyezetet biztosít
  • DNS-szolgáltatások (például kube-dns vagy CoreDNS)
  • Kubernetes-proxy vagy hálózatkezelés, kivéve a BYOCNI használatát
  • A kube-rendszer névterében futó egyéb bővítmények vagy rendszerösszetevők.

Az AKS nem egy szolgáltatásként nyújtott platform (PaaS) megoldás. Egyes összetevők, például az ügynökcsomópontok megosztott felelősséggel tartoznak, amelyekben segítenie kell az AKS-fürt karbantartását. Felhasználói bemenetre van szükség például egy ügynökcsomópont operációs rendszer biztonsági javításának alkalmazásához.

A szolgáltatások kezelése abban az értelemben történik, hogy a Microsoft és az AKS csapata üzembe helyezi, működteti és felelős a szolgáltatások rendelkezésre állásáért és működéséért. Az ügyfelek nem módosíthatják ezeket a felügyelt összetevőket. A Microsoft korlátozza a testreszabást a konzisztens és méretezhető felhasználói élmény biztosítása érdekében.

Megosztott feladatkörök

Fürt létrehozásakor meg kell határoznia az AKS által létrehozott Kubernetes-ügynökcsomópontokat. A számítási feladatok ezeken a csomópontokon lesznek végrehajtva.

Mivel az ügynökcsomópontok privát kódot hajtanak végre és bizalmas adatokat tárolnak, Microsoft ügyfélszolgálata csak korlátozott módon férhetnek hozzá. Microsoft ügyfélszolgálata nem tud bejelentkezni, parancsokat végrehajtani és naplókat megtekinteni ezekhez a csomópontokhoz az Ön kifejezett engedélye vagy segítsége nélkül.

Az ügynökcsomópontokon az IaaS API-k bármelyikének használatával végzett módosítások nem teszik a fürtöt nem támogatottvá. Az ügynökcsomópontokra alkalmazott módosításokat kubernetes-natív mechanizmusokkal kell elvégezni, például Daemon Sets.

Hasonlóképpen, bár bármilyen metaadatot hozzáadhat a fürthöz és a csomópontokhoz, például címkéket és címkéket, a rendszer által létrehozott metaadatok módosítása nem támogatja a fürtöt.

Az AKS támogatási lefedettsége

Támogatott esetek

A Microsoft az alábbi példákhoz nyújt technikai támogatást:

  • Csatlakozás a Kubernetes szolgáltatás által biztosított és támogatott összes Kubernetes-összetevőhöz, például az API-kiszolgálóhoz.
  • A Kubernetes vezérlősík-szolgáltatásainak felügyelete, üzemideje, QoS és műveletei (például Kubernetes vezérlősík, API-kiszolgáló stb. és coreDNS).
  • Etcd-adattár. A támogatás magában foglalja az összes stb. adat automatikus, átlátható biztonsági mentését 30 percenként a vésztervezéshez és a fürtállapot helyreállításához. Ezek a biztonsági másolatok nem érhetők el közvetlenül Ön vagy bárki más számára. Ezek biztosítják az adatok megbízhatóságát és konzisztenciáját. Az igény szerinti visszaállítás vagy visszaállítás funkcióként nem támogatott.
  • A Kubernetes Azure felhőszolgáltatói illesztőprogramjának minden integrációs pontja. Ezek közé tartoznak más Azure-szolgáltatásokba, például terheléselosztókba, állandó kötetekbe vagy hálózatkezelésbe (Kubernetes és Azure CNI, kivéve, ha a BYOCNI használatban van).
  • A vezérlősík-összetevők, például a Kubernetes API-kiszolgáló stb. és a coreDNS testreszabásával kapcsolatos kérdések vagy problémák.
  • A hálózatkezeléssel kapcsolatos problémák, például az Azure CNI, a Kubenet vagy más hálózati hozzáféréssel és funkciókkal kapcsolatos problémák, kivéve, ha a BYOCNI használatban van. A problémák közé tartozhat a DNS-feloldás, a csomagvesztés, az útválasztás stb. A Microsoft különböző hálózati forgatókönyveket támogat:
    • Kubenet és Azure CNI felügyelt virtuális hálózatokkal vagy egyéni (saját) alhálózatokkal.
    • Kapcsolódás más Azure-szolgáltatásokhoz és -alkalmazásokhoz
    • Microsoft által felügyelt bejövőforgalom-vezérlők vagy terheléselosztó-konfigurációk
    • Hálózati teljesítmény és késés
    • A Microsoft által felügyelt hálózati házirendek összetevői és funkciói

Feljegyzés

A Microsoft/AKS által végrehajtott fürtműveletek az Ön hozzájárulásával, beépített Kubernetes-szerepkörrel aks-service és beépített szerepkör-kötéssel aks-service-rolebindingvégezhetők el. Ez a szerepkör lehetővé teszi, hogy az AKS elhárítsa és diagnosztizálja a fürttel kapcsolatos problémákat, de nem módosíthatja az engedélyeket, és nem hozhat létre szerepköröket, szerepkör-kötéseket vagy egyéb magas jogosultsági szintű műveleteket. A szerepkör-hozzáférés csak az aktív támogatási jegyekben engedélyezett, igény szerinti (JIT) hozzáféréssel.

Nem támogatott forgatókönyvek

A Microsoft nem nyújt technikai támogatást a következő forgatókönyvekhez:

  • A Kubernetes használatával kapcsolatos kérdések. A Microsoft ügyfélszolgálata például nem ad tanácsot az egyéni bejövőforgalom-vezérlők létrehozásához, az alkalmazás számítási feladatainak használatához, illetve külső vagy nyílt forráskódú szoftvercsomagok vagy -eszközök alkalmazásához.

    Feljegyzés

    Microsoft ügyfélszolgálata tanácsot adhat az AKS-fürt funkcióival, testreszabásával és finomhangolásával kapcsolatban (például a Kubernetes üzemeltetési problémáival és eljárásaival kapcsolatban).

  • Külső, nyílt forráskódú projektek, amelyek nem a Kubernetes vezérlősíkjának részeként, vagy AKS-fürtökkel üzemelnek. Ilyen projektek lehetnek például az Istio, a Helm, az Envoy vagy más projektek.

    Feljegyzés

    A Microsoft minden tőle telhetőt megtesz az olyan külső nyílt forráskódú projektekhez, mint a Helm. Ha a külső nyílt forráskódú eszköz integrálható a Kubernetes Azure felhőszolgáltatójával vagy más AKS-specifikus hibákkal, a Microsoft támogatja a Microsoft dokumentációjában szereplő példákat és alkalmazásokat.

  • Külső gyártótól származó, zárt forráskódú szoftver. Ez a szoftver tartalmazhat biztonsági ellenőrző eszközöket és hálózati eszközöket vagy szoftvereket.

  • Az AKS-fürtben futó külső alkalmazások vagy eszközök alkalmazásspecifikus kódjának vagy viselkedésének konfigurálása vagy hibaelhárítása. Ide tartoznak azok az alkalmazástelepítési problémák, amelyek nem kapcsolódnak magához az AKS-platformhoz.

  • Tanúsítványok kiállítása, megújítása vagy kezelése az AKS-en futó alkalmazásokhoz.

  • Az AKS dokumentációjában felsoroltaktól eltérő hálózati testreszabások. Például Microsoft ügyfélszolgálata nem konfigurálhatók az AKS-fürt kimenő forgalmának biztosítására szolgáló eszközök vagy virtuális berendezések, például VPN-ek vagy tűzfalak.

    Feljegyzés

    A legjobb megoldásként Microsoft ügyfélszolgálata tanácsot adhat az Azure Firewallhoz szükséges konfigurációval kapcsolatban, más külső eszközök esetében azonban nem.

  • BYOCNI módban használt egyéni vagy külső CNI beépülő modulok.

  • Nem Microsoft által felügyelt hálózati szabályzatok konfigurálása vagy hibaelhárítása. A hálózati házirendek használata támogatott, Microsoft ügyfélszolgálata nem vizsgálhatók az egyéni hálózati házirend-konfigurációkból eredő problémák.

  • Nem Microsoft által felügyelt bejövőforgalom-vezérlők, például nginx, kong, traefik stb. konfigurálása vagy hibaelhárítása. Ez magában foglalja az AKS-specifikus műveletek után felmerülő funkciókkal kapcsolatos problémákat, például egy bejövőforgalom-vezérlő működését a Kubernetes-verziófrissítést követően. Ezek a problémák a bejövőforgalom-vezérlő és az új Kubernetes-verzió közötti inkompatibilitásból eredhetnek. A teljes mértékben támogatott beállításhoz érdemes lehet a Microsoft által felügyelt bejövőforgalom-vezérlőt igénybe venni.

  • A csomópontkonfigurációk testreszabásához használt DaemonSets (beleértve a szkripteket is) konfigurálása vagy hibaelhárítása. Bár a DaemonSets használata a harmadik féltől származó szoftverek hangolásának, módosításának vagy telepítésének ajánlott módszere a fürtügynök-csomópontokon, ha a konfigurációs fájlparaméterek nem elegendőek, Microsoft ügyfélszolgálata egyéni jellegük miatt nem háríthatók el a DaemonSetsben használt egyéni szkriptekből eredő problémák.

  • Készenléti és proaktív forgatókönyvek. Microsoft ügyfélszolgálata reaktív támogatást nyújt az aktív problémák időben és professzionális módon történő megoldásához. A készenléti vagy proaktív támogatás azonban nem vonatkozik a működési kockázatok kiküszöbölésére, a rendelkezésre állás növelésére és a teljesítmény optimalizálására. A jogosult ügyfelek kapcsolatba léphetnek a fiókcsoportjukkal, hogy jelölést kapjon az Azure Event Management szolgáltatásra. A Microsoft támogatási mérnökei által nyújtott fizetős szolgáltatás, amely proaktív megoldáskockázat-felmérést és lefedettséget tartalmaz az esemény során.

  • 30 napnál nem régebbi szállítói javítással rendelkező biztonsági rések/ CVE-k. Mindaddig, amíg a frissített VHD-t futtatja, nem szabad tárolólemezkép biztonsági réseit / CV-eit futtatnia egy 30 naposnál régebbi szállítói javítással. Az ügyfél felelőssége, hogy frissítse a VHD-t, és szűrt listákat biztosítson a Microsoft ügyfélszolgálatának. Miután frissítette a VHD-t, az ügyfél felelőssége, hogy szűrje a biztonsági réseket / CVEs-jelentést, és csak a 30 naposnál régebbi szállítói javítással rendelkező biztonsági réseket/CVE-eket tartalmazó listát adjon meg. Ebben az esetben a Microsoft ügyfélszolgálata gondoskodik arról, hogy belsőleg működjön, és a több mint 30 nappal ezelőtt kiadott szállítói javítással kezelje az összetevőket. Emellett a Microsoft csak a Microsoft által felügyelt összetevőkhöz (például AKS-csomópont lemezképeihez, felügyelt tárolólemezképekhez) nyújt biztonsági rést/CVE-támogatást a fürt létrehozásakor vagy felügyelt bővítmény telepítésével üzembe helyezett alkalmazásokhoz. Az AKS-hez készült biztonságirés-kezelés további részletekért látogasson el erre az oldalra.

  • Egyéni kódminták vagy szkriptek. Bár Microsoft ügyfélszolgálata egy támogatási esetben kis kódmintákat és kis kódminták áttekintését is biztosíthatja a Microsoft-termékek funkcióinak használatához, Microsoft ügyfélszolgálata nem tud egyéni, a környezetére vagy alkalmazására jellemző kódmintákat biztosítani.

Az AKS támogatja az ügynökcsomópontok lefedettségét

Microsoft-feladatok az AKS-ügynökcsomópontokhoz

A Microsoft és Ön osztoznak a Kubernetes-ügynökcsomópontokért, ahol:

  • Az operációs rendszer alaprendszerképe további kiegészítéseket (például monitorozási és hálózati ügynököket) igényel.
  • Az ügynökcsomópontok automatikusan kapják meg az operációsrendszer-javításokat.
  • Az ügynökcsomópontokon futó Kubernetes vezérlősík-összetevőivel kapcsolatos problémák automatikusan szervizelhetők. Ezek az összetevők az alábbiakat tartalmazzák:
    • Kube-proxy
    • Hálózati alagutak, amelyek kommunikációs útvonalakat biztosítanak a Kubernetes fő összetevőihez
    • Kubelet
    • containerd

Feljegyzés

Ha egy ügynökcsomópont nem működik, az AKS újraindíthatja az egyes összetevőket vagy a teljes ügynökcsomópontot. Ezek az újraindítási műveletek automatizáltak, és automatikus szervizelést biztosítanak a gyakori problémákhoz. Ha többet szeretne tudni az automatikus szervizelési mechanizmusokról, olvassa el a Csomópont automatikus javítása című témakört .

Az AKS-ügynökcsomópontok ügyfélfeladatai

A Microsoft hetente biztosít javításokat és új képeket a képcsomópontokhoz. Az ügynökcsomópont operációs rendszerének és futtatókörnyezeti összetevőinek naprakészen tartásához ezeket a javításokat és frissítéseket manuálisan vagy automatikusan rendszeresen kell alkalmaznia. További információk:

Hasonlóképpen, az AKS rendszeresen kiadja az új Kubernetes-javításokat és alverziókat. Ezek a frissítések biztonsági vagy funkcióbeli fejlesztéseket tartalmazhatnak a Kubernetesben. Ön felelős a fürtök Kubernetes-verziójának frissítéséért, és az AKS Kubernetes támogatási verziószabályzatának megfelelően.

Ügynökcsomópontok felhasználói testreszabása

Feljegyzés

Az AKS-ügynökcsomópontok szabványos Azure IaaS-erőforrásokként jelennek meg az Azure Portalon. Ezek a virtuális gépek azonban egy egyéni Azure-erőforráscsoportba vannak üzembe helyezve (MC_*előtaggal). Nem módosíthatja az operációs rendszer alaprendszerképét, és nem végezhet közvetlen testreszabásokat ezeken a csomópontokon az IaaS API-k vagy -erőforrások használatával. Az AKS API-ból nem végrehajtott egyéni módosítások nem maradnak fenn frissítéssel, méretezéssel, frissítéssel vagy újraindítással. Emellett a csomópontok bővítményeinek( például a CustomScriptExtensionnak ) bármilyen módosítása váratlan viselkedéshez vezethet, ezért tilos. Ne végezzen módosításokat az ügynökcsomópontokon, hacsak Microsoft ügyfélszolgálata nem utasítja a módosítások elvégzésére.

Az AKS kezeli az ügynökcsomópontok életciklusát és műveleteit az Ön nevében, és az ügynökcsomópontokhoz társított IaaS-erőforrások módosítása nem támogatott. Nem támogatott művelet például a csomópontkészlet virtuálisgép-méretezési készletének testreszabása az Azure Portal konfigurációinak manuális módosításával vagy az API-ból.

Számítási feladatokhoz vagy csomagokhoz az AKS a Kubernetes daemon setshasználatát javasolja.

A Kubernetes privileged daemon sets és init tárolóinak használatával külső szoftvereket hangolhat/módosíthat vagy telepíthet a fürtügynök-csomópontokon. Ilyen testreszabások például az egyéni biztonsági ellenőrző szoftverek hozzáadása vagy a sysctl-beállítások frissítése.

Bár ez az elérési út a fenti követelmények alkalmazása esetén ajánlott, az AKS mérnöki és támogatási szolgálata nem tud segíteni azon módosítások hibaelhárításában vagy diagnosztizálásában, amelyek a csomópontot egy egyéni üzembe helyezés daemon setmiatt elérhetetlenné teszik.

Biztonsági problémák és javítás

Ha az AKS egy vagy több felügyelt összetevőjében biztonsági hiba található, az AKS-csapat az összes érintett fürtöt kijavítja a probléma megoldása érdekében. Másik lehetőségként az AKS csapata frissítési útmutatót is biztosít.

A biztonsági hiba által érintett ügynökcsomópontok esetében a Microsoft értesíti Önt a biztonsági probléma hatásáról és a megoldás lépéseiről.

Csomópont karbantartása és elérése

Bár bejelentkezhet és módosíthatja az ügynökcsomópontokat, ez a művelet nem ajánlott, mert a módosítások nem támogathatják a fürtöket.

Hálózati portok, hozzáférés és NSG-k

Az NSG-k csak egyéni alhálózatokon szabhatók testre. Nem szabhatja testre az NSG-ket a felügyelt alhálózatokon vagy az ügynökcsomópontok hálózati adapter szintjén. Az AKS-nek meghatározott végpontokra vonatkozó kimenő követelményei vannak, a kimenő forgalom szabályozása és a szükséges kapcsolat biztosítása érdekében lásd a kimenő forgalom korlátozását. Bejövő forgalom esetén a követelmények a fürtön üzembe helyezett alkalmazásokon alapulnak.

Leállítva, felszabadítva és nem kész csomópontok

Ha nincs szüksége az AKS-számítási feladatok folyamatos futtatására, leállítja az AKS-fürtöt, amely leállítja az összes csomópontkészletet és a vezérlősíkot. Szükség esetén újra elindíthatja. Ha a parancs használatával leállítja a az aks stop fürtöt, a fürt állapota legfeljebb 12 hónapig megmarad. 12 hónap elteltével a fürt állapota és az összes erőforrása törlődik.

Az összes fürtcsomópont manuális felszabadítása az IaaS API-kból, az Azure CLI-ből vagy az Azure Portalról nem támogatott az AKS-fürtök vagy csomópontkészletek leállításához. A fürtöt a rendszer nem támogatja, és 30 nap után leállítja az AKS. A fürtökre ugyanaz a 12 hónapos megőrzési szabályzat vonatkozik, mint egy megfelelően leállított fürtre.

A nulla kész csomóponttal (vagy az összes nem kész) és nulla futó virtuális géppel rendelkező fürtök 30 nap elteltével leállnak.

Az AKS fenntartja a jogot az olyan vezérlősíkok archiválására, amelyek 30 napnál hosszabb időtartamra, 30 napnál hosszabb időtartamra lettek konfigurálva. Az AKS fenntartja a fürt stb. metaadatainak biztonsági mentését, és könnyen újratelepítheti a fürtöt. Ezt az újraelosztást bármely OLYAN PUT művelet kezdeményezi, amely a fürtöt újra támogatja, például az aktív ügynökcsomópontokra való frissítést vagy skálázást.

A felfüggesztett előfizetés összes fürtje azonnal leáll, és 90 nap elteltével törlődik. A törölt előfizetés összes fürtje azonnal törlődik.

Nem támogatott alfa- és béta-Kubernetes-funkciók

Az AKS csak a felsőbb rétegbeli Kubernetes-projekt stabil és béta funkcióit támogatja. Ha nincs más dokumentálva, az AKS nem támogatja a felsőbb rétegbeli Kubernetes-projektben elérhető alfafunkciókat.

Előzetes verziójú funkciók vagy funkciójelzők

A kiterjesztett tesztelést és felhasználói visszajelzést igénylő funkciók és funkciók esetében a Microsoft új előzetes verziójú funkciókat vagy funkciókat ad ki egy funkciójelző mögött. Ezeket a funkciókat előzetes vagy bétaverziós funkcióknak tekintheti.

Az előzetes verziójú vagy a funkciójelző funkciók nem éles környezetben érhetők el. Az API-k és a viselkedés, a hibajavítások és egyéb módosítások folyamatban lévő változásai instabil fürtöket és állásidőt eredményezhetnek.

A nyilvános előzetes verzió funkciói a lehető legjobban támogatottak , mivel ezek a funkciók előzetes verzióban érhetők el, és nem éles környezetben érhetők el. Az AKS technikai támogatási csapatai csak munkaidőben nyújtanak támogatást. További információkért tekintse meg az Azure támogatási gyakori kérdéseit.

Felsőbb rétegbeli hibák és problémák

Tekintettel a kubernetes-projekt fejlesztésének sebességére, a hibák mindig felmerülnek. Ezen hibák némelyike nem javítható vagy nem használható az AKS-rendszeren belül. Ehelyett a hibajavítások nagyobb javításokat igényelnek a felsőbb rétegbeli projektekhez (például a Kuberneteshez, a csomópont- vagy ügynök operációs rendszerekhez és a kernelhez). A Microsoft tulajdonában lévő összetevők (például az Azure-felhőszolgáltató) esetében az AKS és az Azure személyzete elkötelezett a problémák megoldásában a közösségen belül.

Ha egy technikai támogatási probléma kiváltó oka egy vagy több felsőbb rétegbeli hiba, az AKS támogatási és mérnöki csapata a következőt fogja tenni:

  • Azonosítsa és csatolja a felsőbb rétegbeli hibákat az esetleges kiegészítő részletekkel, hogy segítsen elmagyarázni, hogy ez a probléma miért érinti a fürtöt vagy a számítási feladatot. Az ügyfelek a szükséges adattárakra mutató hivatkozásokat kapnak, így megnézhetik a problémákat, és láthatják, hogy egy új kiadás mikor biztosít javításokat.

  • Lehetséges áthidaló megoldásokat vagy kockázatcsökkentést biztosít. Ha a probléma elhárítható, egy ismert probléma megjelenik az AKS-adattárban. Az ismert probléma bejelentése a következőt ismerteti:

    • A probléma, beleértve a felsőbb rétegbeli hibákra mutató hivatkozásokat is.
    • A kerülő megoldás és a megoldás frissítésével vagy egy másik megőrzésének részletei.
    • A probléma felvételének hozzávetőleges ütemtervei a felsőbb rétegbeli kiadási ütem alapján.