Kebijakan dukungan untuk Azure Kubernetes Service

Artikel ini menjelaskan kebijakan dan batasan dukungan teknis untuk Azure Kubernetes Service (AKS). Ini juga merinci manajemen simpul agen, komponen sarana kontrol terkelola, komponen sumber terbuka pihak ketiga, dan manajemen keamanan atau patch.

Pembaruan dan rilis layanan

• Untuk informasi rilis, lihat catatan rilis AKS.
• Untuk informasi tentang fitur pratinjau, lihat peta strategi AKS.

Fitur terkelola di AKS

AKS adalah campuran dari Infrastructure as a Service (IaaS) dan Platform as a Service (PaaS). Komponen cloud IaaS dasar, seperti komponen komputasi atau jaringan, memungkinkan Anda mengakses kontrol tingkat rendah dan opsi penyesuaian. Sebaliknya, AKS menyediakan penyebaran Kubernetes siap pakai yang memberi Anda rangkaian konfigurasi dan kemampuan umum yang Anda butuhkan untuk kluster Anda. Sebagai pengguna AKS, Anda memiliki opsi penyesuaian dan penyebaran terbatas. Sebagai gantinya, Anda tidak perlu khawatir atau mengelola kluster Kubernetes secara langsung.

Dengan AKS, Anda mendapatkan sarana kontrol yang terkelola sepenuhnya. Sarana kontrol berisi semua komponen dan layanan yang anda butuhkan untuk mengoperasikan dan mengirimkan kluster Kubernetes kepada pengguna akhir. Microsoft memelihara dan mengoperasikan semua komponen Kubernetes.

Microsoft mengelola dan memantau komponen berikut melalui sarana kontrol:

• Server API Kubelet atau Kubernetes.
• etcd atau penyimpanan nilai kunci yang kompatibel, menyediakan Kualitas Layanan (QoS), skalabilitas, dan runtime.
• Layanan DNS seperti kube-dns atau CoreDNS.
• Proksi atau jaringan Kubernetes, kecuali ketika BYOCNI digunakan.
• Add-on atau komponen sistem lain yang berjalan di namespace layanan kube-system.

Beberapa komponen, seperti simpul agen, memiliki tanggung jawab bersama, di mana Anda harus membantu memelihara kluster AKS. Input pengguna diperlukan, misalnya, untuk menerapkan patch keamanan sistem operasi (OS) node agen.

Layanan ini dikelola dengan cara bahwa Microsoft dan tim AKS menyebarkan, mengoperasikan, dan bertanggung jawab atas ketersediaan dan fungsionalitas layanan. Pelanggan tidak dapat mengubah komponen terkelola ini. Microsoft membatasi kustomisasi untuk memastikan pengalaman pengguna yang konsisten dan dapat diskalakan.

Tanggung jawab bersama

Saat kluster dibuat, Anda menentukan node agen Kubernetes yang dibuat oleh AKS. Beban kerja Anda dijalankan pada simpul (node) ini.

Karena simpul agen Anda menjalankan kode privat dan menyimpan data sensitif, Microsoft Support hanya dapat mengaksesnya dengan cara yang terbatas. Microsoft Support tidak dapat masuk, menjalankan perintah pada, atau melihat log untuk simpul ini tanpa izin tegas atau bantuan Anda.

Setiap modifikasi yang dilakukan langsung ke node agen menggunakan salah satu API IaaS membuat kluster tidak didukung. Setiap modifikasi yang diterapkan pada node agen harus dilakukan menggunakan mekanisme kubernetes-native seperti DaemonSet.

Demikian pula, meskipun Anda dapat menambahkan metadata apa pun ke kluster dan simpul, seperti tag dan label, mengubah metadata yang dibuat sistem membuat kluster tidak didukung.

Cakupan dukungan AKS

Bagian berikut menjelaskan skenario yang didukung dan tidak didukung untuk dukungan teknis AKS.

Skenario yang didukung

Microsoft menyediakan dukungan teknis untuk contoh berikut:

• Konektivitas ke semua komponen Kubernetes yang disediakan dan didukung oleh layanan Kubernetes, seperti server API.
• Manajemen, waktu aktif, QoS, dan operasi layanan sarana kontrol Kubernetes seperti sarana kontrol Kubernetes, API server, etcd, dan coreDNS.
• etcd penyimpanan data. Dukungan mencakup pencadangan otomatis dan transparan dari semua etcd data setiap 30 menit untuk perencanaan bencana dan pemulihan status kluster. Cadangan ini tidak tersedia secara langsung untuk Anda atau orang lain. Mereka memastikan keandalan dan konsistensi data. Pemutaran kembali atau pemulihan sesuai permintaan tidak didukung sebagai fitur.
• Setiap titik integrasi di driver penyedia cloud Azure untuk Kubernetes. Ini termasuk integrasi ke layanan Azure lain seperti load balancer, volume persisten, atau jaringan (Kubernetes dan Azure CNI, kecuali ketika BYOCNI sedang digunakan).
• Pertanyaan atau masalah tentang penyesuaian komponen sarana kontrol seperti server API Kubernetes, etcd, dan coreDNS.
• Masalah tentang jaringan, seperti Azure CNI, kubenet, atau masalah akses dan fungsionalitas jaringan lainnya, kecuali saat BYOCNI sedang digunakan. Masalah dapat mencakup resolusi DNS, kehilangan paket, perutean, dan sebagainya. Microsoft mendukung berbagai skenario jaringan:
  • Kubenet dan Azure CNI menggunakan VNET terkelola atau dengan subnet kustom (bawa sendiri).
  • Konektivitas ke layanan dan aplikasi Azure lainnya.
  • pengontrol ingress yang dikelola Microsoft atau konfigurasi penyamarataan beban.
  • Performa dan latensi jaringan.
  • Komponen dan fungsionalitas kebijakan jaringan yang dikelola Microsoft.

Setiap tindakan kluster yang diambil oleh Microsoft/AKS dibuat dengan persetujuan Anda di bawah peran Kubernetes bawaan aks-service dan pengikatan peran bawaan aks-service-rolebinding, yang mengikat peran ke identitas layanan aks-support Microsoft Support. Peran ini mengaktifkan AKS untuk memecahkan masalah dan mendiagnosis masalah kluster, tetapi tidak dapat mengubah izin atau membuat peran atau ikatan peran, atau tindakan hak istimewa tinggi lainnya. Akses peran hanya diaktifkan dalam tiket dukungan aktif dengan akses just-in-time (JIT).

Skenario yang tidak didukung

Microsoft tidak memberikan dukungan teknis untuk skenario berikut:

• Pertanyaan mengenai cara menggunakan Kubernetes. Misalnya, Microsoft Support tidak memberikan saran tentang cara membuat pengontrol ingress kustom, menggunakan beban kerja aplikasi, atau menerapkan paket atau alat perangkat lunak pihak ketiga atau sumber terbuka.

  Microsoft Support dapat menyarankan fungsionalitas, penyesuaian, dan penyetelan kluster AKS (misalnya, masalah dan prosedur operasi Kubernetes).

• Proyek sumber terbuka pihak ketiga yang tidak disediakan sebagai bagian dari sarana kontrol Kube atau disebarkan dengan kluster AKS. Proyek-proyek ini mungkin termasuk Istio, Helm, Envoy, atau lainnya.

  Microsoft dapat memberikan dukungan upaya terbaik untuk proyek sumber terbuka pihak ketiga seperti Helm. Di mana alat sumber terbuka pihak ketiga terintegrasi dengan penyedia cloud kubernetes Azure atau bug khusus AKS lainnya, Microsoft mendukung contoh dan aplikasi dari dokumentasi Microsoft.

• Perangkat lunak sumber tertutup pihak ketiga. Perangkat lunak ini dapat mencakup alat pemindaian keamanan dan perangkat jaringan atau perangkat lunak.

• Mengonfigurasi atau memecahkan masalah kode atau perilaku khusus aplikasi dari aplikasi atau alat pihak ketiga yang berjalan dalam kluster AKS. Ini termasuk masalah penyebaran aplikasi yang tidak terkait dengan platform AKS itu sendiri.

• Penerbitan, perpanjangan, atau manajemen sertifikat untuk aplikasi yang berjalan di AKS.

• Penyesuaian jaringan selain yang tercantum dalam dokumentasi AKS. Misalnya, Microsoft Support tidak dapat mengonfigurasi perangkat atau appliance virtual yang dimaksudkan untuk menyediakan lalu lintas outbound untuk kluster AKS, seperti VPN atau firewall.

  Berdasarkan upaya terbaik, Microsoft Support mungkin menyarankan konfigurasi yang diperlukan untuk Azure Firewall, tetapi tidak untuk perangkat pihak ketiga lainnya.

• Plugin CNI khusus atau pihak ketiga yang dipakai dalam mode BYOCNI.

• Mengonfigurasi atau memecahkan masalah kebijakan jaringan yang tidak dikelola Microsoft. Saat menggunakan kebijakan jaringan didukung, Microsoft Support tidak dapat menyelidiki masalah yang berasal dari konfigurasi kebijakan jaringan kustom.

• Mengonfigurasi atau memecahkan masalah pengontrol ingress yang tidak dikelola Microsoft, seperti nginx, kong, traefik, dll. Ini termasuk mengatasi masalah fungsionalitas yang muncul setelah operasi khusus AKS, seperti pengontrol ingress berhenti bekerja setelah peningkatan versi Kubernetes. Masalah tersebut mungkin berasal dari ketidaksesuaian antara versi pengontrol ingress dan versi Kubernetes baru. Untuk opsi yang didukung penuh, pertimbangkan untuk menggunakan opsi pengontrol ingress yang dikelola Microsoft.

• Mengonfigurasi atau memecahkan masalah DaemonSet (termasuk skrip) yang digunakan untuk menyesuaikan konfigurasi simpul. Meskipun menggunakan DaemonSet adalah pendekatan yang disarankan untuk menyetel, memodifikasi, atau menginstal perangkat lunak pihak ketiga pada node agen kluster saat parameter file konfigurasi tidak mencukupi, Microsoft Support tidak dapat memecahkan masalah yang timbul dari skrip kustom yang digunakan dalam DaemonSet karena sifat kustomnya.

• Skenario siaga dan proaktif. Microsoft Support menyediakan dukungan reaktif untuk membantu menyelesaikan masalah aktif secara tepat waktu dan profesional. Namun, dukungan siaga atau proaktif untuk membantu Anda menghilangkan risiko operasional, meningkatkan ketersediaan, dan mengoptimalkan performa tidak tercakup. Pelanggan yang memenuhi syarat dapat menghubungi tim akun mereka untuk mendapatkan nominasi untuk layanan Manajemen Peristiwa Azure. Ini adalah layanan berbayar yang dikirimkan oleh teknisi dukungan Microsoft yang mencakup penilaian dan cakupan risiko solusi proaktif selama acara tersebut.

• Kerentanan/CVE dengan perbaikan vendor yang umurnya kurang dari 30 hari. Selama Anda menjalankan VHD yang diperbarui, Anda tidak boleh menjalankan kerentanan/CVE gambar kontainer apa pun dengan perbaikan vendor yang berusia lebih dari 30 hari. Pelanggan bertanggung jawab untuk memperbarui VHD dan menyediakan daftar tersaring kepada dukungan Microsoft. Setelah Anda memperbarui VHD, pelanggan bertanggung jawab untuk memfilter laporan kerentanan/CVE dan memberikan daftar yang hanya berisi kerentanan/CVE dengan perbaikan vendor yang berusia lebih dari 30 hari. Jika demikian, dukungan Microsoft akan memastikan untuk bekerja secara internal dan mengatasi komponen dengan perbaikan vendor yang dirilis lebih dari 30 hari yang lalu. Selain itu, Microsoft menyediakan kerentanan/dukungan terkait CVE hanya untuk komponen yang dikelola Microsoft. Misalnya, gambar simpul AKS, gambar kontainer terkelola untuk aplikasi yang disebarkan selama pembuatan kluster atau melalui penginstalan add-on terkelola. Untuk detail selengkapnya tentang manajemen kerentanan untuk AKS, kunjungi manajemen kerentanan untuk Azure Kubernetes Service (AKS).

• Sampel atau skrip kode kustom. Meskipun Microsoft Support dapat menyediakan sampel kode kecil dan ulasan sampel kode kecil dalam kasus dukungan untuk menunjukkan cara menggunakan fitur produk Microsoft, Microsoft Support tidak dapat menyediakan sampel kode kustom yang spesifik untuk lingkungan atau aplikasi Anda.

Cakupan dukungan AKS untuk node agen

Bagian berikut menjelaskan tanggung jawab Microsoft dan pelanggan terkait simpul agen AKS.

Microsoft tanggung jawab atas simpul agen AKS

Microsoft dan Anda berbagi tanggung jawab atas simpul agen Kubernetes di mana:

• Gambar OS dasar memiliki penambahan yang diperlukan seperti agen pemantauan dan jaringan.
• Simpul agen menerima patch OS secara otomatis.
• Masalah pada komponen sarana kontrol Kube yang berjalan pada simpul agen secara otomatis diremediasi. Komponen-komponen ini mencakup item berikut:
  • Kube-proxy
  • Terowongan jaringan yang menyediakan jalur komunikasi ke komponen master Kubernetes
  • Kubelet
  • containerd

Jika simpul agen tidak beroperasi, AKS mungkin memulai ulang komponen individual atau seluruh simpul agen. Operasi hidupkan ulang ini otomatis dan menyediakan remediasi otomatis untuk masalah umum. Jika Anda ingin mengetahui lebih lanjut tentang mekanisme remediasi otomatis, lihat Node Auto-Repair.

Tanggung jawab pelanggan terkait node agen AKS

Microsoft menyediakan patch dan gambar baru untuk simpul gambar Anda mingguan. Untuk menjaga OS simpul agen dan komponen runtime Anda tetap terbarui, Anda harus menerapkan patch dan pembaruan ini secara teratur baik secara manual atau otomatis. Microsoft tidak mendukung gambar simpul yang lebih lama dari 90 hari. Untuk informasi selengkapnya, lihat:

• Tingkatkan gambar simpul AKS secara manual.
• Meningkatkan gambar simpul AKS secara otomatis.

Demikian pula, AKS secara teratur merilis patch Kubernetes baru dan versi minor. Pembaruan ini dapat berisi peningkatan keamanan atau fungsionalitas untuk Kubernetes. Anda bertanggung jawab untuk menjaga versi Kubernetes kluster Anda tetap diperbarui dan sesuai dengan kebijakan versi dukungan AKS Kubernetes.

Kustomisasi oleh pengguna pada simpul-simpul agen

Note

Simpul agen AKS muncul di portal Azure sebagai sumber daya IaaS Azure standar. Namun, komputer virtual ini disebarkan ke dalam grup sumber daya Azure kustom (diawali dengan MC_\*). Anda tidak dapat mengubah gambar OS dasar atau membuat kustomisasi langsung ke simpul ini menggunakan API atau sumber daya IaaS. Setiap perubahan kustom yang tidak dilakukan dari API AKS tidak bertahan melalui peningkatan, skala, pembaruan, atau boot ulang. Selain itu, setiap perubahan pada ekstensi simpul seperti CustomScriptExtension dapat menyebabkan perilaku tak terduga dan harus dilarang. Hindari melakukan perubahan pada simpul agen kecuali Microsoft Support mengarahkan Anda untuk membuat perubahan.

AKS mengelola siklus hidup dan operasi simpul agen bagi Anda dan memodifikasi sumber daya IaaS yang terkait dengan simpul agen tidak didukung. Contoh operasi yang tidak didukung adalah menyesuaikan set skala mesin virtual pada kumpulan node dengan mengubah konfigurasi secara manual melalui portal Azure atau dari API.

Untuk konfigurasi atau paket khusus beban kerja, AKS merekomendasikan penggunaan Kubernetes DaemonSet.

Menggunakan hak istimewa DaemonSet Kubernetes dan init kontainer memungkinkan Anda untuk menyetel/memodifikasi atau menginstal perangkat lunak pihak ketiga pada node agen kluster. Contoh penyesuaian tersebut termasuk menambahkan perangkat lunak pemindaian keamanan khusus atau memperbarui pengaturan sysctl.

Meskipun jalur ini direkomendasikan jika persyaratan di atas berlaku, teknik dan dukungan AKS tidak dapat membantu memecahkan masalah atau mendiagnosis modifikasi yang membuat node tidak tersedia karena penyebaran kustom DaemonSet.

Masalah keamanan dan patching

Jika kelemahan keamanan ditemukan di satu atau beberapa komponen terkelola AKS, tim AKS menambal semua kluster yang terpengaruh untuk mengurangi masalah. Atau, tim AKS memberi Anda panduan peningkatan.

Untuk simpul agen yang terpengaruh oleh kelemahan keamanan, Microsoft memberi tahu Anda dengan detail tentang dampak dan langkah-langkah untuk memperbaiki atau mengurangi masalah keamanan.

Pemeliharaan dan akses simpul

Meskipun Anda dapat masuk dan mengubah kluster agen, tidak disarankan melakukan operasi ini karena perubahan dapat membuat kluster tidak mendukung.

Port jaringan, akses, dan NSG

Anda mungkin hanya dapat menyesuaikan NSG pada subnet yang dikustomisasi. Anda mungkin tidak menyesuaikan NSG pada subnet terkelola atau di tingkat NIC simpul agen. AKS memiliki persyaratan egress untuk titik akhir tertentu, untuk mengontrol egress dan memastikan konektivitas yang diperlukan, lihat membatasi lalu lintas egress. Untuk ingress, persyaratan didasarkan pada aplikasi yang telah Anda sebarkan ke kluster.

Simpul Dihentikan, Dibatalkan Alokasinya, dan Tidak Siap

Jika Anda tidak memerlukan beban kerja AKS untuk berjalan terus menerus, Anda dapat menghentikan kluster AKS, yang menghentikan semua kumpulan simpul dan sarana kontrol. Anda dapat memulainya lagi jika diperlukan. Saat Anda menghentikan kluster menggunakan az aks stop perintah , status kluster dipertahankan hingga 12 bulan. Setelah 12 bulan, status kluster dan semua sumber dayanya dihapus.

Mendealokasi semua simpul kluster secara manual dari API IaaS, Azure CLI, atau Portal Azure tidak didukung untuk menghentikan kluster AKS atau kumpulan simpul. Kluster akan dianggap tidak didukung dan dihentikan oleh AKS setelah 30 hari. Kluster-kluster tersebut kemudian mengikuti kebijakan pelestarian selama 12 bulan yang sama seperti kluster yang dihentikan dengan benar.

Kluster dengan nol simpul Siap (atau semua Belum Siap) dan nol VM yang Berjalan akan dihentikan setelah 30 hari.

AKS berhak untuk mengarsipkan sarana kontrol yang telah dikonfigurasi dari pedoman dukungan untuk jangka waktu yang lama selama 30 hari atau lebih. AKS mempertahankan cadangan metadata kluster etcd dan dapat dengan mudah merealokasi kluster. Realokasi ini dimulai oleh operasi PUT apa pun yang mengembalikan kluster ke status didukung, seperti peningkatan atau skala ke node agen aktif.

Semua kluster dalam langganan yang ditangguhkan akan segera dihentikan dan dihapus setelah 90 hari. Semua kluster dalam langganan yang dihapus akan segera dihapus.

Fitur alpha dan beta Kube yang tidak didukung

AKS hanya mendukung fitur stabil dan beta dalam proyek Kube upstream. Kecuali didokumenkan lain, AKS tidak mendukung fitur alfa apa pun yang tersedia di proyek Kubernetes upstream.

Mempratinjau fitur atau bendera fitur

Untuk fitur dan fungsionalitas yang memerlukan pengujian dan umpan balik pengguna yang diperluas, Microsoft merilis fitur atau fitur pratinjau baru di belakang bendera fitur. Pertimbangkan fitur ini sebagai fitur prarilis atau beta.

Fitur pratinjau atau fitur bendera tidak dimaksudkan untuk produksi. Perubahan API dan perilaku yang sedang berlangsung, perbaikan bug, dan perubahan lainnya dapat mengakibatkan kluster dan waktu henti yang tidak stabil.

Fitur dalam pratinjau publik termasuk dalam dukungan usaha terbaik, karena fitur-fitur ini masih dalam tahap pratinjau dan belum ditujukan untuk produksi. Tim dukungan teknis AKS hanya memberikan dukungan selama jam kerja. Untuk informasi selengkapnya, lihat FAQ Dukungan Azure.

Bug dan masalah di hulu

Mengingat kecepatan pengembangan dalam proyek Kubernetes upstream, bug tidak dapat dihindari. Beberapa bug ini tidak dapat di-patch atau diperbaiki dalam sistem AKS. Sebaliknya, perbaikan bug memerlukan patch yang lebih besar ke proyek upstream (seperti Kubernetes, sistem operasi node atau agen, dan kernel). Untuk komponen yang Microsoft miliki (seperti penyedia cloud Azure), personel AKS dan Azure berkomitmen untuk memperbaiki masalah di hulu di komunitas.

Ketika akar penyebab masalah dukungan teknis disebabkan oleh satu atau beberapa bug hulu, tim dukungan dan teknik AKS akan:

• Mengidentifikasi dan menautkan bug upstream dengan detail pendukung apa pun untuk membantu menjelaskan mengapa masalah ini memengaruhi kluster atau beban kerja Anda. Pelanggan menerima tautan ke repositori yang diperlukan sehingga mereka dapat menonton masalah dan melihat kapan rilis baru memberikan perbaikan.
• Menyediakan solusi atau mitigasi potensial. Jika masalah dapat dimitigasi, masalah yang diketahui diajukan di repositori AKS. Laporan masalah yang diketahui menjelaskan:
  • Masalahnya, termasuk tautan ke bug upstream.
  • Alternatif solusi dan detail tentang peningkatan atau persistensi solusi lainnya.
  • Garis waktu kasar untuk dimasukkannya isu ini, berdasarkan kejadwalan rilis upstream.