Gambar OS simpul peningkatan otomatis
AKS menyediakan beberapa saluran peningkatan otomatis yang didedikasikan untuk pembaruan keamanan OS tingkat simpul tepat waktu. Saluran ini berbeda dari peningkatan versi Kubernetes tingkat kluster dan menggantikannya.
Interaksi antara peningkatan otomatis OS simpul dan peningkatan otomatis kluster
Pembaruan keamanan OS tingkat node dirilis pada tingkat yang lebih cepat daripada patch Kubernetes atau pembaruan versi minor. Saluran peningkatan otomatis OS simpul memberi Anda fleksibilitas dan memungkinkan strategi yang disesuaikan untuk pembaruan keamanan OS tingkat simpul. Kemudian, Anda dapat memilih paket terpisah untuk peningkatan otomatis versi Kubernetes tingkat kluster.
Yang terbaik adalah menggunakan peningkatan otomatis tingkat kluster dan saluran peningkatan otomatis OS simpul bersama-sama. Penjadwalan dapat disempurnakan dengan menerapkan dua set jendela - aksManagedAutoUpgradeSchedule
pemeliharaan terpisah untuk saluran peningkatan otomatis kluster dan aksManagedNodeOSUpgradeSchedule
untuk saluran peningkatan otomatis OS simpul.
Saluran untuk peningkatan gambar OS simpul
Saluran yang dipilih menentukan waktu peningkatan. Saat membuat perubahan pada saluran peningkatan otomatis OS simpul, izinkan hingga 24 jam agar perubahan diterapkan. Setelah Anda mengubah dari satu saluran ke saluran lain, reimage akan dipicu mengarah ke simpul bergulir.
Catatan
Peningkatan otomatis gambar OS node tidak akan memengaruhi versi Kubernetes kluster. Ini hanya berfungsi untuk kluster dalam versi yang didukung.
Saluran peningkatan berikut tersedia. Anda diizinkan untuk memilih salah satu opsi ini:
Saluran | Deskripsi | Perilaku khusus OS |
---|---|---|
None |
Simpul Anda tidak memiliki pembaruan keamanan yang diterapkan secara otomatis. Ini berarti Anda bertanggung jawab sepenuhnya atas pembaruan keamanan Anda. | T/A |
Unmanaged |
Pembaruan OS diterapkan secara otomatis melalui infrastruktur patching bawaan OS. Komputer yang baru dialokasikan awalnya tidak dikirim. Infrastruktur OS menambalnya di beberapa titik. | Ubuntu dan Azure Linux (kumpulan simpul CPU) menerapkan patch keamanan melalui peningkatan tanpa pengawas/dnf-otomatis kira-kira sekali per hari sekitar pukul 06.00 UTC. Windows tidak secara otomatis menerapkan patch keamanan, sehingga opsi ini bertingkah setara dengan None . Anda harus mengelola proses reboot dengan menggunakan alat seperti kured. |
SecurityPatch |
Saluran ini dalam pratinjau dan memerlukan pengaktifan bendera NodeOsUpgradeChannelPreview fitur . Lihat bagian prasyarat untuk detailnya. AKS secara teratur memperbarui hard disk virtual node (VHD) dengan patch dari penjaga gambar berlabel "hanya keamanan." Mungkin ada gangguan ketika patch keamanan diterapkan ke simpul. Ketika patch diterapkan, VHD diperbarui dan mesin yang ada ditingkatkan ke VHD tersebut, menghormati jendela pemeliharaan dan pengaturan lonjakan. Opsi ini dikenakan biaya tambahan untuk menghosting VHD di grup sumber daya simpul Anda. Jika Anda menggunakan saluran ini, peningkatan tanpa pengawas Linux dinonaktifkan secara default. |
Azure Linux tidak mendukung saluran ini pada VM yang mendukung GPU. SecurityPatch bekerja pada versi patch yang tidak digunakan lagi, selama versi Kubernetes minor masih didukung. |
NodeImage |
AKS memperbarui simpul dengan VHD yang baru di-patch yang berisi perbaikan keamanan dan perbaikan bug pada irama mingguan. Pembaruan ke VHD baru mengganggu, mengikuti jendela pemeliharaan dan pengaturan lonjakan. Tidak ada biaya VHD tambahan yang dikeluarkan saat memilih opsi ini. Jika Anda menggunakan saluran ini, peningkatan tanpa pengawas Linux dinonaktifkan secara default. Peningkatan gambar node mendukung versi patch yang tidak digunakan lagi, selama versi Kubernetes minor masih didukung. |
Mengatur saluran peningkatan otomatis OS simpul pada kluster baru
Atur saluran peningkatan otomatis OS simpul pada kluster baru menggunakan
az aks create
perintah dengan--node-os-upgrade-channel
parameter . Contoh berikut mengatur saluran peningkatan otomatis OS simpul keSecurityPatch
.az aks create --resource-group myResourceGroup --name myAKSCluster --node-os-upgrade-channel SecurityPatch
Mengatur saluran peningkatan otomatis OS simpul pada kluster yang ada
Atur saluran peningkatan otomatis os node pada kluster yang ada menggunakan
az aks update
perintah dengan--node-os-upgrade-channel
parameter . Contoh berikut mengatur saluran peningkatan otomatis OS simpul keSecurityPatch
.az aks update --resource-group myResourceGroup --name myAKSCluster --node-os-upgrade-channel SecurityPatch
Memperbarui kepemilikan dan jadwal
Irama default berarti tidak ada jendela pemeliharaan terencana yang diterapkan.
Saluran | Memperbarui Kepemilikan | Irama default |
---|---|---|
Unmanaged |
Pembaruan keamanan berbasis OS. AKS tidak memiliki kontrol atas pembaruan ini. | Setiap malam sekitar pukul 06.00 UTC untuk Ubuntu dan Azure Linux. Bulanan untuk Windows. |
SecurityPatch |
Teruji AKS, dikelola sepenuhnya, dan diterapkan dengan praktik penyebaran yang aman. Untuk informasi selengkapnya, lihat Peningkatan keamanan dan ketahanan beban kerja Kanonis di Azure. | Unduhan. |
NodeImage |
AKS | Unduhan. |
Catatan
Meskipun pembaruan keamanan Windows dirilis setiap bulan, menggunakan Unmanaged
saluran tidak akan secara otomatis menerapkan pembaruan ini ke simpul Windows. Jika Anda memilih Unmanaged
saluran, Anda perlu mengelola proses reboot dengan menggunakan alat seperti kured untuk menerapkan patch keamanan dengan benar.
Persyaratan saluran SecurityPatch
Untuk menggunakan SecurityPatch
saluran, kluster Anda harus mendukung persyaratan ini:
- Harus menggunakan versi API atau yang lebih
11-02-preview
baru - Jika menggunakan Azure CLI,
aks-preview
versi ekstensi CLI atau yang0.5.166
lebih baru harus diinstal NodeOsUpgradeChannelPreview
Bendera fitur harus diaktifkan pada langganan Anda
Daftarkan NodeOsUpgradeChannelPreview
Daftarkan NodeOsUpgradeChannelPreview
bendera fitur dengan menggunakan perintah daftar fitur az, seperti yang ditunjukkan dalam contoh berikut:
az feature register --namespace "Microsoft.ContainerService" --name "NodeOsUpgradeChannelPreview"
Dibutuhkan beberapa menit agar status menampilkan Terdaftar. Verifikasi status pendaftaran dengan menggunakan perintah az feature show :
az feature show --namespace "Microsoft.ContainerService" --name "NodeOsUpgradeChannelPreview"
Saat status mencerminkan Terdaftar, refresh pendaftaran penyedia sumber daya Microsoft.ContainerService dengan menggunakan perintah az provider register :
az provider register --namespace Microsoft.ContainerService
Bug yang diketahui saluran node
Saat ini, ketika Anda mengatur saluran peningkatan otomatis kluster ke
node-image
, itu juga secara otomatis mengatur saluran peningkatan otomatis OS simpul keNodeImage
. Anda tidak dapat mengubah nilai saluran peningkatan otomatis OS simpul jika saluran peningkatan otomatis kluster Anda adalahnode-image
. Untuk mengatur nilai saluran peningkatan otomatis OS simpul, periksa nilai saluran peningkatan otomatis kluster bukannode-image
.Saluran
SecurityPatch
tidak didukung pada kumpulan simpul OS Windows.
Catatan
Secara default, setiap kluster baru yang dibuat dengan versi API atau yang lebih 06-01-2022
baru akan mengatur nilai saluran peningkatan otomatis OS simpul ke NodeImage
. Setiap kluster yang ada yang dibuat dengan versi API yang lebih lama dari 06-01-2022
akan memiliki nilai saluran peningkatan otomatis OS simpul yang diatur ke None
secara default.
Jendela pemeliharaan terencana OS simpul
Pemeliharaan terencana untuk peningkatan otomatis OS simpul dimulai pada jendela pemeliharaan yang Anda tentukan.
Catatan
Untuk memastikan fungsionalitas yang tepat, gunakan jendela pemeliharaan empat jam atau lebih.
Untuk informasi selengkapnya tentang Pemeliharaan Terencana, lihat Menggunakan Pemeliharaan Terencana untuk menjadwalkan jangka waktu pemeliharaan untuk kluster Azure Kubernetes Service (AKS) (pratinjau) Anda.
TANYA JAWAB UMUM peningkatan otomatis OS simpul
- Bagaimana cara memeriksa nilai nodeOsUpgradeChannel saat ini pada kluster?
Jalankan az aks show
perintah dan periksa "autoUpgradeProfile" untuk menentukan nilai apa yang nodeOsUpgradeChannel
diatur ke:
az aks show --resource-group myResourceGroup --name myAKSCluster --query "autoUpgradeProfile"
- Bagaimana cara memantau status peningkatan otomatis OS simpul?
Untuk melihat status peningkatan otomatis OS simpul Anda, cari log aktivitas di kluster Anda. Anda juga dapat mencari peristiwa terkait peningkatan tertentu seperti yang disebutkan dalam Meningkatkan kluster AKS. AKS juga memancarkan peristiwa Event Grid terkait peningkatan. Untuk mempelajari selengkapnya, lihat AKS sebagai sumber Event Grid.
- Dapatkah saya mengubah nilai saluran peningkatan otomatis OS simpul jika saluran peningkatan otomatis kluster saya diatur ke
node-image
?
Tidak. Saat ini, ketika Anda mengatur saluran peningkatan otomatis kluster ke node-image
, itu juga secara otomatis mengatur saluran peningkatan otomatis OS simpul ke NodeImage
. Anda tidak dapat mengubah nilai saluran peningkatan otomatis OS simpul jika saluran peningkatan otomatis kluster Anda adalah node-image
. Agar dapat mengubah nilai saluran peningkatan otomatis OS simpul, pastikan saluran peningkatan otomatis kluster bukan node-image
.
SecurityPatch
Mengapa direkomendasikan melaluiUnmanaged
saluran?
Unmanaged
Di saluran, AKS tidak memiliki kontrol atas bagaimana dan kapan pembaruan keamanan dikirimkan. Dengan SecurityPatch
, pembaruan keamanan sepenuhnya diuji dan mengikuti praktik penyebaran yang aman. SecurityPatch
juga menghormati jendela pemeliharaan. Untuk detail selengkapnya, lihat Peningkatan keamanan dan ketahanan beban kerja Kanonis di Azure.
- Bagaimana cara mengetahui apakah
SecurityPatch
peningkatan atauNodeImage
diterapkan pada simpul saya?
Jalankan perintah berikut untuk mendapatkan label simpul:
kubectl get nodes --show-labels
Di antara label yang dikembalikan, Anda akan melihat baris yang mirip dengan output berikut:
kubernetes.azure.com/node-image-version=AKSUbuntu-2204gen2containerd-202311.07.0
Di sini, versi gambar simpul dasar adalah AKSUbuntu-2204gen2containerd
. Jika berlaku, versi patch keamanan biasanya mengikuti. Dalam contoh di atas, itu adalah 202311.07.0
.
Detail yang sama juga akan dicari di portal Azure di bawah tampilan label simpul:
Langkah berikutnya
Untuk diskusi terperinci tentang praktik terbaik peningkatan dan pertimbangan lainnya, lihat panduan patch dan peningkatan AKS.