Gambar OS simpul peningkatan otomatis

AKS menyediakan beberapa saluran peningkatan otomatis yang didedikasikan untuk pembaruan keamanan OS tingkat simpul tepat waktu. Saluran ini berbeda dari peningkatan versi Kubernetes tingkat kluster dan menggantikannya.

Interaksi antara peningkatan otomatis OS simpul dan peningkatan otomatis kluster

Pembaruan keamanan OS tingkat node dirilis pada tingkat yang lebih cepat daripada patch Kubernetes atau pembaruan versi minor. Saluran peningkatan otomatis OS simpul memberi Anda fleksibilitas dan memungkinkan strategi yang disesuaikan untuk pembaruan keamanan OS tingkat simpul. Kemudian, Anda dapat memilih paket terpisah untuk peningkatan otomatis versi Kubernetes tingkat kluster. Yang terbaik adalah menggunakan peningkatan otomatis tingkat kluster dan saluran peningkatan otomatis OS simpul bersama-sama. Penjadwalan dapat disempurnakan dengan menerapkan dua set jendela - aksManagedAutoUpgradeSchedule pemeliharaan terpisah untuk saluran peningkatan otomatis kluster dan aksManagedNodeOSUpgradeSchedule untuk saluran peningkatan otomatis OS simpul.

Saluran untuk peningkatan gambar OS simpul

Saluran yang dipilih menentukan waktu peningkatan. Saat membuat perubahan pada saluran peningkatan otomatis OS simpul, izinkan hingga 24 jam agar perubahan diterapkan. Setelah Anda mengubah dari satu saluran ke saluran lain, reimage dipicu mengarah ke simpul bergulir.

Catatan

Peningkatan otomatis gambar OS node tidak akan memengaruhi versi Kubernetes kluster. Dimulai dengan API versi 2023-06-01, default untuk setiap kluster baru yang dibuat adalah NodeImage.

Saluran peningkatan berikut tersedia. Anda diizinkan untuk memilih salah satu opsi ini:

Saluran	Deskripsi	Perilaku khusus OS
None	Simpul Anda tidak memiliki pembaruan keamanan yang diterapkan secara otomatis. Ini berarti Anda bertanggung jawab sepenuhnya atas pembaruan keamanan Anda.	T/A
Unmanaged	Pembaruan OS diterapkan secara otomatis melalui infrastruktur patching bawaan OS. Komputer yang baru dialokasikan awalnya tidak dikirim. Infrastruktur OS menambalnya di beberapa titik.	Ubuntu dan Azure Linux (kumpulan simpul CPU) menerapkan patch keamanan melalui peningkatan tanpa pengawas/dnf-otomatis kira-kira sekali per hari sekitar pukul 06.00 UTC. Windows tidak secara otomatis menerapkan patch keamanan, sehingga opsi ini bertingkah setara dengan None. Anda perlu mengelola proses reboot dengan menggunakan alat seperti kured.
SecurityPatch	Patch keamanan OS, yang diuji AKS, dikelola sepenuhnya, dan diterapkan dengan praktik penyebaran yang aman. AKS secara teratur memperbarui hard disk virtual node (VHD) dengan patch dari penjaga gambar berlabel "hanya keamanan." Mungkin ada gangguan ketika patch keamanan diterapkan ke simpul. Namun AKS membatasi gangguan dengan hanya mengganti node Anda hanya jika diperlukan, seperti untuk paket keamanan kernel tertentu. Ketika patch diterapkan, VHD diperbarui dan mesin yang ada ditingkatkan ke VHD tersebut, menghormati jendela pemeliharaan dan pengaturan lonjakan. Jika AKS memutuskan bahwa mencitrakan ulang simpul tidak diperlukan, AKS akan melakukan patch simpul secara langsung tanpa menguras pod dan tidak melakukan pembaruan VHD. Opsi ini dikenakan biaya tambahan untuk menghosting VHD di grup sumber daya simpul Anda. Jika Anda menggunakan saluran ini, peningkatan tanpa pengawas Linux dinonaktifkan secara default.	Azure Linux tidak mendukung saluran ini pada VM yang mendukung GPU. SecurityPatch bekerja pada versi patch kubernetes yang tidak digunakan lagi, selama versi Kubernetes minor masih didukung.
NodeImage	AKS memperbarui simpul dengan VHD yang baru di-patch yang berisi perbaikan keamanan dan perbaikan bug pada irama mingguan. Pembaruan ke VHD baru mengganggu, mengikuti jendela pemeliharaan dan pengaturan lonjakan. Tidak ada biaya VHD tambahan yang dikeluarkan saat memilih opsi ini. Jika Anda menggunakan saluran ini, peningkatan tanpa pengawas Linux dinonaktifkan secara default. Peningkatan gambar node mendukung versi patch yang tidak digunakan lagi, selama versi Kubernetes minor masih didukung. Gambar node diuji AKS, dikelola sepenuhnya, dan diterapkan dengan praktik penyebaran yang aman

Mengatur saluran peningkatan otomatis OS simpul pada kluster baru

Azure CLI

• Atur saluran peningkatan otomatis OS simpul pada kluster baru menggunakan az aks create perintah dengan --node-os-upgrade-channel parameter . Contoh berikut mengatur saluran peningkatan otomatis OS simpul ke SecurityPatch.

  az aks create \
      --resource-group myResourceGroup \
      --name myAKSCluster \
      --node-os-upgrade-channel SecurityPatch \
      --generate-ssh-keys
  

Portal Azure

1. Di portal Azure, pilih Buat kontainer>sumber daya>Azure Kubernetes Service (AKS).

2. Di tab Dasar, di bawah Detail kluster, pilih jenis saluran yang diinginkan dari menu dropdown Jenis saluran keamanan node.

   

3. Pilih Penjadwal saluran keamanan dan pilih jendela pemeliharaan yang diinginkan menggunakan fitur Pemeliharaan Terencana. Sebaiknya pilih opsi default Setiap minggu pada hari Minggu (disarankan).

   

4. Selesaikan langkah-langkah yang tersisa untuk membuat kluster.

Mengatur saluran peningkatan otomatis OS simpul pada kluster yang ada

Azure CLI

• Atur saluran peningkatan otomatis os node pada kluster yang ada menggunakan az aks update perintah dengan --node-os-upgrade-channel parameter . Contoh berikut mengatur saluran peningkatan otomatis OS simpul ke SecurityPatch.

  az aks update --resource-group myResourceGroup --name myAKSCluster --node-os-upgrade-channel SecurityPatch
  

Portal Azure

1. Di portal Azure, navigasikan ke kluster AKS Anda.

2. Di bagian Pengaturan , pilih Konfigurasi kluster.

3. Di bawah Pembaruan keamanan, pilih jenis saluran yang diinginkan dari menu dropdown Jenis saluran keamanan node.

   

4. Untuk Penjadwal saluran keamanan, pilih Tambahkan jadwal.

5. Pada halaman Tambahkan jadwal pemeliharaan, konfigurasikan pengaturan jendela pemeliharaan berikut menggunakan fitur Pemeliharaan Terencana:

   • Ulangi: Pilih frekuensi yang diinginkan untuk jendela pemeliharaan. Sebaiknya pilih Mingguan.
   • Frekuensi: Pilih hari yang diinginkan dalam seminggu untuk jendela pemeliharaan. Sebaiknya pilih Hari Minggu.
   • Tanggal mulai pemeliharaan: Pilih tanggal mulai yang diinginkan untuk jendela pemeliharaan.
   • Waktu mulai pemeliharaan: Pilih waktu mulai yang diinginkan untuk jendela pemeliharaan.
   • Offset UTC: Pilih offset UTC yang diinginkan untuk jendela pemeliharaan. Jika tidak diatur, defaultnya adalah +00:00.

   

6. Pilih Simpan>Terapkan.

Memperbarui kepemilikan dan jadwal

Irama default berarti tidak ada jendela pemeliharaan terencana yang diterapkan.

Saluran	Memperbarui Kepemilikan	Irama default
Unmanaged	Pembaruan keamanan berbasis OS. AKS tidak memiliki kontrol atas pembaruan ini.	Setiap malam sekitar pukul 06.00 UTC untuk Ubuntu dan Azure Linux. Bulanan untuk Windows.
SecurityPatch	Teruji AKS, dikelola sepenuhnya, dan diterapkan dengan praktik penyebaran yang aman. Untuk informasi selengkapnya, lihat Peningkatan keamanan dan ketahanan beban kerja Kanonis di Azure.	Unduhan.
NodeImage	Teruji AKS, dikelola sepenuhnya, dan diterapkan dengan praktik penyebaran yang aman. Untuk informasi lebih real time tentang rilis, cari Gambar Simpul AKS di Pelacak rilis	Unduhan.

Catatan

Meskipun pembaruan keamanan Windows dirilis setiap bulan, menggunakan Unmanaged saluran tidak akan secara otomatis menerapkan pembaruan ini ke simpul Windows. Jika Anda memilih Unmanaged saluran, Anda perlu mengelola proses reboot untuk simpul Windows.

Batasan saluran node yang diketahui

• Saat ini, ketika Anda mengatur saluran peningkatan otomatis kluster ke node-image, itu juga secara otomatis mengatur saluran peningkatan otomatis OS simpul ke NodeImage. Anda tidak dapat mengubah nilai saluran peningkatan otomatis OS simpul jika saluran peningkatan otomatis kluster Anda adalah node-image. Untuk mengatur nilai saluran peningkatan otomatis OS simpul, periksa nilai saluran peningkatan otomatis kluster bukan node-image.

• Saluran SecurityPatch tidak didukung pada kumpulan simpul OS Windows.

Catatan

Gunakan CLI versi 2.61.0 atau lebih tinggi untuk SecurityPatch saluran.

Jendela pemeliharaan terencana OS simpul

Pemeliharaan terencana untuk peningkatan otomatis OS simpul dimulai pada jendela pemeliharaan yang Anda tentukan.

Catatan

Untuk memastikan fungsionalitas yang tepat, gunakan jendela pemeliharaan empat jam atau lebih.

Untuk informasi selengkapnya tentang Pemeliharaan Terencana, lihat Menggunakan Pemeliharaan Terencana untuk menjadwalkan jangka waktu pemeliharaan untuk kluster Azure Kubernetes Service (AKS) (pratinjau) Anda.

TANYA JAWAB UMUM peningkatan otomatis OS simpul

Bagaimana cara memeriksa nilai nodeOsUpgradeChannel saat ini pada kluster?

Jalankan az aks show perintah dan periksa "autoUpgradeProfile" untuk menentukan nilai apa yang nodeOsUpgradeChannel diatur ke:

az aks show --resource-group myResourceGroup --name myAKSCluster --query "autoUpgradeProfile"

Bagaimana cara memantau status peningkatan otomatis OS simpul?

Untuk melihat status peningkatan otomatis OS simpul Anda, cari log aktivitas di kluster Anda. Anda juga dapat mencari peristiwa terkait peningkatan tertentu seperti yang disebutkan dalam Meningkatkan kluster AKS. AKS juga memancarkan peristiwa Event Grid terkait peningkatan. Untuk mempelajari selengkapnya, lihat AKS sebagai sumber Event Grid.

Dapatkah saya mengubah nilai saluran peningkatan otomatis OS simpul jika saluran peningkatan otomatis kluster saya diatur ke node-image ?

Tidak. Saat ini, ketika Anda mengatur saluran peningkatan otomatis kluster ke node-image, itu juga secara otomatis mengatur saluran peningkatan otomatis OS simpul ke NodeImage. Anda tidak dapat mengubah nilai saluran peningkatan otomatis OS simpul jika saluran peningkatan otomatis kluster Anda adalah node-image. Agar dapat mengubah nilai saluran peningkatan otomatis OS simpul, pastikan saluran peningkatan otomatis kluster bukan node-image.

SecurityPatch Mengapa direkomendasikan melalui Unmanaged saluran?

Unmanaged Di saluran, AKS tidak memiliki kontrol atas bagaimana dan kapan pembaruan keamanan dikirimkan. Dengan SecurityPatch, pembaruan keamanan sepenuhnya diuji dan mengikuti praktik penyebaran yang aman. SecurityPatch juga menghormati jendela pemeliharaan. Untuk detail selengkapnya, lihat Peningkatan keamanan dan ketahanan beban kerja Kanonis di Azure.

Apakah SecurityPatch selalu mengarah pada gambar ulang node saya?

AKS membatasi reimage hanya jika benar-benar diperlukan, seperti paket kernel tertentu yang mungkin memerlukan reimage untuk diterapkan sepenuhnya. SecurityPatch dirancang untuk meminimalkan gangguan sebanyak mungkin. Jika AKS memutuskan untuk mencitrakan ulang simpul tidak diperlukan, AKS akan melakukan patch simpul secara langsung tanpa menguras pod dan tidak ada pembaruan VHD yang dilakukan dalam kasus seperti itu.

SecurityPatch Mengapa saluran perlu menjangkau snapshot.ubuntu.com titik akhir?

Dengan saluran, SecurityPatch node kluster Linux harus mengunduh patch keamanan dan pembaruan yang diperlukan dari layanan rekam jepret ubuntu yang dijelaskan dalam ubuntu-snapshots-on-azure-ensuring-predictability-and-consistency-in-cloud-deployments.

Bagaimana cara mengetahui apakah SecurityPatch peningkatan atau NodeImage diterapkan pada simpul saya?

Jalankan perintah berikut untuk mendapatkan label simpul:

kubectl get nodes --show-labels

Di antara label yang dikembalikan, Anda akan melihat baris yang mirip dengan output berikut:

kubernetes.azure.com/node-image-version=AKSUbuntu-2204gen2containerd-202311.07.0

Di sini, versi gambar simpul dasar adalah AKSUbuntu-2204gen2containerd. Jika berlaku, versi patch keamanan biasanya mengikuti. Dalam contoh di atas, itu adalah 202311.07.0.

Detail yang sama juga akan dicari di portal Azure di bawah tampilan label simpul:

Langkah berikutnya

Untuk diskusi terperinci tentang praktik terbaik peningkatan dan pertimbangan lainnya, lihat panduan patch dan peningkatan AKS.