Támogatási szabályzatok Azure Kubernetes Service

Ez a cikk a Azure Kubernetes Service (AKS) technikai támogatási szabályzataival és korlátozásaival kapcsolatos részleteket ismerteti. A cikk emellett az ügynökcsomópont-kezelést, a felügyelt vezérlősík összetevőit, a külső nyílt forráskódú összetevőket, valamint a biztonság- vagy javításkezelést is ismerteti.

Szolgáltatásfrissítések és -kiadások

Felügyelt funkciók az AKS-ben

A szolgáltatásként nyújtott alapinfrastruktúra (IaaS) felhőösszetevői, például a számítási vagy hálózati összetevők lehetővé teszik az alacsony szintű vezérlőkhöz és testreszabási lehetőségekhez való hozzáférést. Ezzel szemben az AKS kulcsrakész Kubernetes-üzembe helyezést biztosít, amely a fürthöz szükséges általános konfigurációkat és képességeket biztosítja. AKS-felhasználóként korlátozott testreszabási és üzembehelyezési lehetőségekkel rendelkezik. Cserébe nem kell közvetlenül a Kubernetes-fürtök miatt aggódnia vagy kezelnie.

Az AKS-sel egy teljesen felügyelt vezérlősíkot kap. A vezérlősík tartalmazza a Kubernetes-fürtök üzemeltetéséhez és a végfelhasználók számára történő biztosításához szükséges összes összetevőt és szolgáltatást. Minden Kubernetes-összetevőt a Microsoft tart fenn és üzemeltet.

A Microsoft a vezérlősíkon keresztül felügyeli és figyeli a következő összetevőket:

  • Kubelet- vagy Kubernetes API-kiszolgálók
  • Etcd vagy egy kompatibilis kulcs-érték tároló, amely szolgáltatásminőséget (QoS), méretezhetőséget és futtatókörnyezetet biztosít
  • DNS-szolgáltatások (például kube-dns vagy CoreDNS)
  • Kubernetes-proxy vagy hálózatkezelés (kivéve a BYOCNI használatát)
  • A kube-system névtérben futó további bővítmények vagy rendszerösszetevők

Az AKS nem szolgáltatásként nyújtott platform (PaaS) megoldás. Egyes összetevők, például az ügynökcsomópontok megosztott felelősséggel tartoznak, amelyekben a felhasználóknak segíteniük kell az AKS-fürt karbantartását. Felhasználói bevitelre van szükség például egy ügynökcsomópont operációs rendszer (OS) biztonsági javításának alkalmazásához.

A szolgáltatások kezelése abban az értelemben történik, hogy a Microsoft és az AKS csapata üzembe helyezi, működteti és felelős a szolgáltatás rendelkezésre állásáért és működéséért. Az ügyfelek nem módosíthatják ezeket a felügyelt összetevőket. A Microsoft korlátozza a testreszabást a konzisztens és méretezhető felhasználói élmény biztosítása érdekében.

Megosztott feladatkörök

Fürt létrehozásakor meg kell határoznia az AKS által létrehozott Kubernetes-ügynökcsomópontokat. A számítási feladatok ezeken a csomópontokon lesznek végrehajtva.

Mivel az ügynökcsomópontok privát kódot hajtanak végre, és bizalmas adatokat tárolnak, Microsoft ügyfélszolgálata csak nagyon korlátozott módon férhetnek hozzá. Microsoft ügyfélszolgálata nem tud bejelentkezni, parancsokat végrehajtani vagy megtekinteni ezekhez a csomópontokhoz a kifejezett engedélye vagy segítsége nélkül.

Az ügynökcsomópontokon az IaaS API-k használatával végzett módosítások a fürtöt nem támogatják. Az ügynökcsomópontokon végzett módosításokat kubernetes-natív mechanizmusokkal kell elvégezni, például Daemon Sets.

Hasonlóképpen, bár bármilyen metaadatot hozzáadhat a fürthöz és a csomópontokhoz, például címkéket és címkéket, a rendszer által létrehozott metaadatok módosítása a fürtöt nem támogatja.

Az AKS támogatási lefedettsége

A Microsoft technikai támogatást nyújt az alábbi példákhoz:

  • Csatlakozás a Kubernetes szolgáltatás által biztosított és támogatott összes Kubernetes-összetevőhöz, például az API-kiszolgálóhoz.
  • A Kubernetes vezérlősík-szolgáltatásainak (például Kubernetes vezérlősík, API-kiszolgáló stb.) kezelése, üzemideje, QoS és műveletei.
  • Etcd-adattár. A támogatás magában foglalja az összes stb. adat automatikus, átlátható biztonsági mentését 30 percenként a vésztervezéshez és a fürtállapot helyreállításához. Ezek a biztonsági másolatok nem érhetők el közvetlenül Az Ön és a felhasználók számára. Ezek biztosítják az adatok megbízhatóságát és konzisztenciáját. Az igény szerinti visszaállítás vagy visszaállítás funkcióként nem támogatott.
  • Az Azure-felhőszolgáltató Kubernetes-illesztőjében található összes integrációs pont. Ezek közé tartoznak más Azure-szolgáltatásokba, például terheléselosztókba, állandó kötetekbe vagy hálózatkezelésbe (Kubernetes és Azure CNI, kivéve, ha a BYOCNI használatban van).
  • A vezérlősík összetevőinek testreszabásával kapcsolatos kérdések vagy problémák, például a Kubernetes API-kiszolgáló stb. és a coreDNS.
  • A hálózatkezeléssel, például az Azure CNI-vel, a kubenetel vagy más hálózati hozzáféréssel és működéssel kapcsolatos problémák, kivéve, ha a BYOCNI használatban van. A problémák közé tartozhat a DNS-feloldás, a csomagvesztés, az útválasztás stb. A Microsoft különböző hálózati forgatókönyveket támogat:
    • Kubenet és Azure CNI felügyelt VNET-ekkel vagy egyéni (saját) alhálózatokkal.
    • Kapcsolódás más Azure-szolgáltatásokhoz és -alkalmazásokhoz
    • Bejövőforgalom-vezérlők, bejövő vagy terheléselosztó konfigurációk
    • Hálózati teljesítmény és késés
    • Hálózati szabályzatok

Megjegyzés

A Microsoft/AKS által végrehajtott fürtműveletek felhasználói hozzájárulással, beépített Kubernetes-szerepkörrel aks-service és beépített szerepkörkötéssel aks-service-rolebindinghajtják végre. Ez a szerepkör lehetővé teszi, hogy az AKS elhárítsa és diagnosztizálja a fürttel kapcsolatos problémákat, de nem módosíthatja az engedélyeket, nem hozhat létre szerepköröket, szerepkörkötéseket vagy más magas jogosultsági szintű műveleteket. A szerepkör-hozzáférés csak igény szerinti (JIT) hozzáféréssel rendelkező aktív támogatási jegyek esetén engedélyezett.

A Microsoft nem nyújt technikai támogatást az alábbi példákhoz:

  • A Kubernetes használatával kapcsolatos kérdések. Például Microsoft ügyfélszolgálata nem ad tanácsot az egyéni bejövőforgalom-vezérlők létrehozásához, az alkalmazás számítási feladatainak használatához, illetve harmadik féltől származó vagy nyílt forráskódú szoftvercsomagok vagy -eszközök alkalmazásához.

    Megjegyzés

    Microsoft ügyfélszolgálata tanácsot adhat az AKS-fürt funkcióival, testreszabásával és finomhangolásával kapcsolatban (például a Kubernetes üzemeltetési problémáival és eljárásaival kapcsolatban).

  • Külső, nyílt forráskódú projektek, amelyek nem a Kubernetes vezérlősíkjának részeként, vagy AKS-fürtökkel üzembe helyezve jelennek meg. Ilyen projektek lehetnek például az Istio, a Helm, az Envoy vagy más projektek.

    Megjegyzés

    A Microsoft minden tőle telhetőt megtesz az olyan külső nyílt forráskódú projektekhez, mint a Helm. Ha a külső nyílt forráskódú eszköz integrálható a Kubernetes Azure-felhőszolgáltatóval vagy más AKS-specifikus hibákkal, a Microsoft támogatja a Microsoft dokumentációjából származó példákat és alkalmazásokat.

  • Külső gyártótól származó, zárt forráskódú szoftver. Ez a szoftver tartalmazhat biztonsági ellenőrző eszközöket és hálózati eszközöket vagy szoftvereket.
  • Az AKS dokumentációjában felsoroltaktól eltérő hálózati testreszabások.
  • BYOCNI módban használt egyéni vagy külső gyártótól származó CNI-beépülő modulok.

Az AKS-támogatás lefedettsége ügynökcsomópontokhoz

Microsoft-felelősségek az AKS-ügynökcsomópontokhoz

A Microsoft és a felhasználók osztoznak a Kubernetes-ügynökcsomópontokért, ahol:

  • Az alap operációs rendszer lemezképe kötelező kiegészítéseket (például monitorozási és hálózati ügynököket) is igényel.
  • Az ügynökcsomópontok automatikusan kapják meg az operációsrendszer-javításokat.
  • Az ügynökcsomópontokon futó Kubernetes vezérlősík-összetevőkkel kapcsolatos problémák automatikusan szervizelhetők. Ezek az összetevők az alábbiak:
    • Kube-proxy
    • Hálózati alagutak, amelyek kommunikációs útvonalakat biztosítanak a Kubernetes fő összetevőihez
    • Kubelet
    • Docker vagy containerd

Megjegyzés

Ha egy ügynökcsomópont nem működik, az AKS újraindíthatja az egyes összetevőket vagy a teljes ügynökcsomópontot. Ezek az újraindítási műveletek automatizáltak, és automatikus szervizelést biztosítanak a gyakori problémákhoz. Ha többet szeretne tudni az automatikus szervizelési mechanizmusokról, olvassa el a Csomópont automatikus javítása című témakört.

Az AKS-ügynökcsomópontok ügyfélfelelősségvállalása

A Microsoft hetente biztosít javításokat és új lemezképeket a képcsomópontokhoz, de alapértelmezés szerint nem javítja ki automatikusan őket. Az ügynökcsomópont operációs rendszerének és futtatókörnyezeti összetevőinek javításához tartsa meg a csomópontok rendszerképének rendszeres frissítési ütemezését, vagy automatizálja azt.

Hasonlóképpen, az AKS rendszeresen kiadja az új kubernetes-javításokat és az alverziókat. Ezek a frissítések biztonsági vagy funkcióbeli fejlesztéseket tartalmazhatnak a Kubernetesben. Az AKS Kubernetes támogatási verziószabályzatának megfelelően ön felelős a fürtök Kubernetes-verziójának frissítéséért.

Ügynökcsomópontok felhasználói testreszabása

Megjegyzés

Az AKS-ügynökcsomópontok normál Azure IaaS-erőforrásokként jelennek meg a Azure Portal. Ezek a virtuális gépek azonban egy egyéni Azure-erőforráscsoportba vannak üzembe helyezve (általában MC_* előtaggal). Az IaaS API-k vagy erőforrások használatával nem módosíthatja az operációs rendszer alaprendszerképét, és nem végezhet közvetlen testreszabásokat ezeken a csomópontokon. Az AKS API-val nem végrehajtott egyéni módosítások nem maradnak meg frissítéssel, méretezéssel, frissítéssel vagy újraindítással. A csomópontok bővítményeinek bármilyen módosítása, például a CustomScriptExtension is váratlan viselkedéshez vezethet, és tiltani kell. Ne végezzen módosításokat az ügynökcsomópontokon, hacsak Microsoft ügyfélszolgálata nem utasítja a módosítások elvégzésére.

Az AKS kezeli az ügynökcsomópontok életciklusát és műveleteit az Ön nevében – az ügynökcsomópontokhoz társított IaaS-erőforrások módosítása nem támogatott. Nem támogatott művelet például a csomópontkészlet virtuálisgép-méretezési készletének testreszabása a konfigurációk manuális módosításával a virtuálisgép-méretezési csoport portálján vagy API-ján keresztül.

Számítási feladatspecifikus konfigurációkhoz vagy csomagokhoz az AKS a Kubernetes daemon setshasználatát javasolja.

A Kubernetes emelt daemon sets szintű és init-tárolóinak használatával harmadik féltől származó szoftvereket hangolhat/módosíthat vagy telepíthet a fürtügynök-csomópontokon. Ilyen testreszabások például az egyéni biztonsági ellenőrző szoftverek hozzáadása vagy a sysctl-beállítások frissítése.

Bár ez az elérési út a fenti követelmények teljesülése esetén ajánlott, az AKS mérnöki és támogatási szolgálata nem tud segítséget nyújtani olyan módosítások elhárításában vagy diagnosztizálásában, amelyek egy egyéni üzembe helyezés daemon setmiatt elérhetetlenné teszik a csomópontot.

Biztonsági problémák és javítások

Ha biztonsági hibát talál az AKS egy vagy több felügyelt összetevőjében, az AKS csapata az összes érintett fürtöt kijavítja a probléma megoldása érdekében. Másik lehetőségként a csapat frissítési útmutatást ad a felhasználóknak.

A biztonsági hiba által érintett ügynökcsomópontok esetében a Microsoft értesíti Önt a biztonsági probléma hatásáról és elhárításának lépéseiről (általában csomópontrendszerkép-frissítésről vagy fürtjavítás frissítéséről).

Csomópontok karbantartása és elérése

Bár bejelentkezhet és módosíthatja az ügynökcsomópontokat, ez a művelet nem ajánlott, mert a módosítások nem támogathatják a fürtöket.

Hálózati portok, hozzáférés és NSG-k

Az NSG-ket csak egyéni alhálózatokon szabhatja testre. Előfordulhat, hogy nem szabja testre az NSG-ket a felügyelt alhálózatokon vagy az ügynökcsomópontok hálózati adapterének szintjén. Az AKS meghatározott végpontokra vonatkozó kimenő forgalomra vonatkozó követelményekkel rendelkezik, a kimenő forgalom szabályozásához és a szükséges kapcsolat biztosításához lásd: kimenő forgalom korlátozása. Bejövő forgalom esetén a követelmények a fürtön üzembe helyezett alkalmazásokon alapulnak.

Leállítva, lefoglalva és "Nem áll készen" csomópontok

Ha nincs szüksége az AKS-számítási feladatok folyamatos futtatására, leállítja az AKS-fürtöt , amely leállítja az összes csomópontkészletet és a vezérlősíkot, és szükség esetén újra elindíthatja. Ha a paranccsal állítja le a az aks stop fürtöt, a fürt állapota legfeljebb 12 hónapig megmarad. 12 hónap elteltével a fürt állapota és az összes erőforrása törlődik.

Az összes fürtcsomópontnak az IaaS API-kkal/CLI/portallal történő manuális kiosztása nem támogatja az AKS-fürtök vagy csomópontkészletek leállítását. A fürt nem lesz támogatott, és az AKS 30 nap elteltével leállítja. A fürtökre ugyanaz a 12 hónapos megőrzési szabályzat vonatkozik, mint egy megfelelően leállított fürtre.

A 0 "Ready" csomóponttal (vagy az összes "Nem kész") és 0 futó virtuális géppel rendelkező fürtök 30 nap elteltével leállnak.

Az AKS fenntartja a jogot, hogy a 30 napnál hosszabb időtartamig a támogatási irányelveken kívül konfigurált vezérlősíkokat archiválja. Az AKS fenntartja a fürt stb. metaadatainak biztonsági mentését, és könnyen újratelepítheti a fürtöt. Ezt az újraelosztást bármely PUT művelet kezdeményezheti, amely a fürtöt újra támogatja, például az aktív ügynökcsomópontokra való frissítést vagy skálázást.

A felfüggesztett vagy törölt előfizetés összes fürtje azonnal leáll, és 30 nap elteltével törlődik

A Kubernetes nem támogatott alfa- és bétafunkciói

Az AKS csak a felsőbb rétegbeli Kubernetes-projektben támogatja a stabil és béta funkciókat. Ha nincs más dokumentálva, az AKS nem támogatja a felsőbb rétegbeli Kubernetes-projektben elérhető alfafunkciókat.

Előzetes verziójú funkciók vagy funkciójelölők

A kiterjesztett tesztelést és felhasználói visszajelzést igénylő funkciók és funkciók esetében a Microsoft új előzetes verziójú funkciókat vagy funkciókat ad ki egy funkciójelölő mögött. Tekintsük ezeket a funkciókat előzetes vagy bétaverziós funkcióknak.

Az előzetes verziójú funkciók és a funkciójelölő funkciók nem éles környezetben való használatra szolgálnak. Az API-k és a viselkedés, a hibajavítások és egyéb változások folyamatos változásai instabil fürtöket és állásidőt eredményezhetnek.

A nyilvános előzetes verzió funkciói a "legjobb erőfeszítés" hatálya alá tartoznak, mivel ezek a funkciók előzetes verzióban érhetők el, és nem éles környezetben érhetők el, és az AKS technikai támogatási csapatai csak munkaidőben támogatják őket. További információkért lásd:

Felsőbb rétegbeli hibák és problémák

A kubernetes-projekt fejlesztésének gyorsasága miatt a hibák mindig felmerülnek. Ezen hibák némelyike nem javítható ki vagy nem használható az AKS-rendszeren belül. Ehelyett a hibajavítások nagyobb javításokat igényelnek a felsőbb rétegbeli projektekhez (például a Kuberneteshez, a csomópontokhoz vagy az ügynök operációs rendszerekhez és a kernelhez). A Microsoft tulajdonában lévő összetevők (például az Azure-felhőszolgáltató) esetében az AKS és az Azure személyzete elkötelezett a problémák megoldásában a közösségen belül.

Ha egy technikai támogatási problémát egy vagy több felsőbb rétegbeli hiba okoz, az AKS támogatási és mérnöki csapata a következőt fogja tapasztalni:

  • Azonosítsa és csatolja a felsőbb rétegbeli hibákat az esetleges kiegészítő részletekkel, amelyek segítenek megmagyarázni, hogy ez a probléma miért érinti a fürtöt vagy a számítási feladatot. Az ügyfelek a szükséges adattárakra mutató hivatkozásokat kapnak, így megtekinthetik a problémákat, és megnézhetik, hogy egy új kiadás mikor biztosít javításokat.
  • Adjon meg lehetséges áthidaló megoldásokat vagy kockázatcsökkentést. Ha a probléma elhárítható, egy ismert problémát a rendszer az AKS-adattárban fog benyújtani. Az ismert probléma bejelentése a következőt ismerteti:
    • A probléma, beleértve a felsőbb rétegbeli hibákra mutató hivatkozásokat is.
    • A megoldás kerülő megoldása és részletei.
    • A probléma felvételének hozzávetőleges ütemterve a felsőbb rétegbeli kiadási ütem alapján.