Gambar OS simpul peningkatan otomatis

AKS menyediakan beberapa saluran peningkatan otomatis yang didedikasikan untuk pembaruan keamanan OS tingkat simpul tepat waktu. Saluran ini berbeda dari peningkatan versi Kubernetes tingkat kluster dan menggantikannya.

Interaksi antara peningkatan otomatis OS simpul dan peningkatan otomatis kluster

Pembaruan keamanan OS tingkat node dirilis pada tingkat yang lebih cepat daripada patch Kubernetes atau pembaruan versi minor. Saluran peningkatan otomatis OS simpul memberi Anda fleksibilitas dan memungkinkan strategi yang disesuaikan untuk pembaruan keamanan OS tingkat simpul. Kemudian, Anda dapat memilih paket terpisah untuk peningkatan otomatis versi Kubernetes tingkat kluster. Yang terbaik adalah menggunakan peningkatan otomatis tingkat kluster dan saluran peningkatan otomatis OS simpul bersama-sama. Penjadwalan dapat disempurnakan dengan menerapkan dua set jendela - aksManagedAutoUpgradeSchedule pemeliharaan terpisah untuk saluran peningkatan otomatis kluster dan aksManagedNodeOSUpgradeSchedule untuk saluran peningkatan otomatis OS simpul.

Saluran untuk peningkatan gambar OS simpul

Saluran yang dipilih menentukan waktu peningkatan. Saat membuat perubahan pada saluran peningkatan otomatis OS simpul, izinkan hingga 24 jam agar perubahan diterapkan. Setelah Anda mengubah dari satu saluran ke saluran lain, reimage akan dipicu mengarah ke simpul bergulir.

Catatan

Peningkatan otomatis gambar OS node tidak akan memengaruhi versi Kubernetes kluster. Ini hanya berfungsi untuk kluster dalam versi yang didukung.

Saluran peningkatan berikut tersedia. Anda diizinkan untuk memilih salah satu opsi ini:

Saluran	Deskripsi	Perilaku khusus OS
None	Simpul Anda tidak memiliki pembaruan keamanan yang diterapkan secara otomatis. Ini berarti Anda bertanggung jawab sepenuhnya atas pembaruan keamanan Anda.	T/A
Unmanaged	Pembaruan OS diterapkan secara otomatis melalui infrastruktur patching bawaan OS. Komputer yang baru dialokasikan awalnya tidak dikirim. Infrastruktur OS menambalnya di beberapa titik.	Ubuntu dan Azure Linux (kumpulan simpul CPU) menerapkan patch keamanan melalui peningkatan tanpa pengawas/dnf-otomatis kira-kira sekali per hari sekitar pukul 06.00 UTC. Windows tidak secara otomatis menerapkan patch keamanan, sehingga opsi ini bertingkah setara dengan None. Anda harus mengelola proses reboot dengan menggunakan alat seperti kured.
SecurityPatch	Saluran ini dalam pratinjau dan memerlukan pengaktifan bendera NodeOsUpgradeChannelPreviewfitur . Lihat bagian prasyarat untuk detailnya. AKS secara teratur memperbarui hard disk virtual node (VHD) dengan patch dari penjaga gambar berlabel "hanya keamanan." Mungkin ada gangguan ketika patch keamanan diterapkan ke simpul. Ketika patch diterapkan, VHD diperbarui dan mesin yang ada ditingkatkan ke VHD tersebut, menghormati jendela pemeliharaan dan pengaturan lonjakan. Opsi ini dikenakan biaya tambahan untuk menghosting VHD di grup sumber daya simpul Anda. Jika Anda menggunakan saluran ini, peningkatan tanpa pengawas Linux dinonaktifkan secara default.	Azure Linux tidak mendukung saluran ini pada VM yang mendukung GPU. SecurityPatch bekerja pada versi patch yang tidak digunakan lagi, selama versi Kubernetes minor masih didukung.
NodeImage	AKS memperbarui simpul dengan VHD yang baru di-patch yang berisi perbaikan keamanan dan perbaikan bug pada irama mingguan. Pembaruan ke VHD baru mengganggu, mengikuti jendela pemeliharaan dan pengaturan lonjakan. Tidak ada biaya VHD tambahan yang dikeluarkan saat memilih opsi ini. Jika Anda menggunakan saluran ini, peningkatan tanpa pengawas Linux dinonaktifkan secara default. Peningkatan gambar node mendukung versi patch yang tidak digunakan lagi, selama versi Kubernetes minor masih didukung.

Mengatur saluran peningkatan otomatis OS simpul pada kluster baru

Azure CLI

• Atur saluran peningkatan otomatis OS simpul pada kluster baru menggunakan az aks create perintah dengan --node-os-upgrade-channel parameter . Contoh berikut mengatur saluran peningkatan otomatis OS simpul ke SecurityPatch.

  az aks create --resource-group myResourceGroup --name myAKSCluster --node-os-upgrade-channel SecurityPatch
  

Portal Azure

1. Di portal Azure, pilih Buat kontainer>sumber daya>Azure Kubernetes Service (AKS).

2. Di tab Dasar, di bawah Detail kluster, pilih jenis saluran yang diinginkan dari menu dropdown Jenis saluran keamanan node.

   

3. Pilih Penjadwal saluran keamanan dan pilih jendela pemeliharaan yang diinginkan menggunakan fitur Pemeliharaan Terencana. Sebaiknya pilih opsi default Setiap minggu pada hari Minggu (disarankan).

   

4. Selesaikan langkah-langkah yang tersisa untuk membuat kluster.

Mengatur saluran peningkatan otomatis OS simpul pada kluster yang ada

Azure CLI

• Atur saluran peningkatan otomatis os node pada kluster yang ada menggunakan az aks update perintah dengan --node-os-upgrade-channel parameter . Contoh berikut mengatur saluran peningkatan otomatis OS simpul ke SecurityPatch.

  az aks update --resource-group myResourceGroup --name myAKSCluster --node-os-upgrade-channel SecurityPatch
  

Portal Azure

1. Di portal Azure, navigasikan ke kluster AKS Anda.

2. Di bagian Pengaturan, pilih Konfigurasi kluster.

3. Di bawah Pembaruan keamanan, pilih jenis saluran yang diinginkan dari menu dropdown Jenis saluran keamanan node.

   

4. Untuk Penjadwal saluran keamanan, pilih Tambahkan jadwal.

5. Pada halaman Tambahkan jadwal pemeliharaan, konfigurasikan pengaturan jendela pemeliharaan berikut menggunakan fitur Pemeliharaan Terencana:

   • Ulangi: Pilih frekuensi yang diinginkan untuk jendela pemeliharaan. Sebaiknya pilih Mingguan.
   • Frekuensi: Pilih hari yang diinginkan dalam seminggu untuk jendela pemeliharaan. Sebaiknya pilih Hari Minggu.
   • Tanggal mulai pemeliharaan: Pilih tanggal mulai yang diinginkan untuk jendela pemeliharaan.
   • Waktu mulai pemeliharaan: Pilih waktu mulai yang diinginkan untuk jendela pemeliharaan.
   • Offset UTC: Pilih offset UTC yang diinginkan untuk jendela pemeliharaan. Jika tidak diatur, defaultnya adalah +00:00.

   

6. Pilih Simpan>Terapkan.

Memperbarui kepemilikan dan jadwal

Irama default berarti tidak ada jendela pemeliharaan terencana yang diterapkan.

Saluran	Memperbarui Kepemilikan	Irama default
Unmanaged	Pembaruan keamanan berbasis OS. AKS tidak memiliki kontrol atas pembaruan ini.	Setiap malam sekitar pukul 06.00 UTC untuk Ubuntu dan Azure Linux. Bulanan untuk Windows.
SecurityPatch	Teruji AKS, dikelola sepenuhnya, dan diterapkan dengan praktik penyebaran yang aman. Untuk informasi selengkapnya, lihat Peningkatan keamanan dan ketahanan beban kerja Kanonis di Azure.	Unduhan.
NodeImage	AKS	Unduhan.

Catatan

Meskipun pembaruan keamanan Windows dirilis setiap bulan, menggunakan Unmanaged saluran tidak akan secara otomatis menerapkan pembaruan ini ke simpul Windows. Jika Anda memilih Unmanaged saluran, Anda perlu mengelola proses reboot dengan menggunakan alat seperti kured untuk menerapkan patch keamanan dengan benar.

Persyaratan saluran SecurityPatch

Untuk menggunakan SecurityPatch saluran, kluster Anda harus mendukung persyaratan ini:

• Harus menggunakan versi API atau yang lebih 11-02-preview baru
• Jika menggunakan Azure CLI, aks-preview versi ekstensi CLI atau yang 0.5.166 lebih baru harus diinstal
• NodeOsUpgradeChannelPreview Bendera fitur harus diaktifkan pada langganan Anda

Daftarkan NodeOsUpgradeChannelPreview

Daftarkan NodeOsUpgradeChannelPreview bendera fitur dengan menggunakan perintah daftar fitur az, seperti yang ditunjukkan dalam contoh berikut:

az feature register --namespace "Microsoft.ContainerService" --name "NodeOsUpgradeChannelPreview"

Dibutuhkan beberapa menit agar status menampilkan Terdaftar. Verifikasi status pendaftaran dengan menggunakan perintah az feature show :

az feature show --namespace "Microsoft.ContainerService" --name "NodeOsUpgradeChannelPreview"

Saat status mencerminkan Terdaftar, refresh pendaftaran penyedia sumber daya Microsoft.ContainerService dengan menggunakan perintah az provider register :

az provider register --namespace Microsoft.ContainerService

Bug yang diketahui saluran node

• Saat ini, ketika Anda mengatur saluran peningkatan otomatis kluster ke node-image, itu juga secara otomatis mengatur saluran peningkatan otomatis OS simpul ke NodeImage. Anda tidak dapat mengubah nilai saluran peningkatan otomatis OS simpul jika saluran peningkatan otomatis kluster Anda adalah node-image. Untuk mengatur nilai saluran peningkatan otomatis OS simpul, periksa nilai saluran peningkatan otomatis kluster bukan node-image.

• Saluran SecurityPatch tidak didukung pada kumpulan simpul OS Windows.

Catatan

Secara default, setiap kluster baru yang dibuat dengan versi API atau yang lebih 06-01-2022 baru akan mengatur nilai saluran peningkatan otomatis OS simpul ke NodeImage. Setiap kluster yang ada yang dibuat dengan versi API yang lebih lama dari 06-01-2022 akan memiliki nilai saluran peningkatan otomatis OS simpul yang diatur ke None secara default.

Jendela pemeliharaan terencana OS simpul

Pemeliharaan terencana untuk peningkatan otomatis OS simpul dimulai pada jendela pemeliharaan yang Anda tentukan.

Catatan

Untuk memastikan fungsionalitas yang tepat, gunakan jendela pemeliharaan empat jam atau lebih.

Untuk informasi selengkapnya tentang Pemeliharaan Terencana, lihat Menggunakan Pemeliharaan Terencana untuk menjadwalkan jangka waktu pemeliharaan untuk kluster Azure Kubernetes Service (AKS) (pratinjau) Anda.

TANYA JAWAB UMUM peningkatan otomatis OS simpul

• Bagaimana cara memeriksa nilai nodeOsUpgradeChannel saat ini pada kluster?

Jalankan az aks show perintah dan periksa "autoUpgradeProfile" untuk menentukan nilai apa yang nodeOsUpgradeChannel diatur ke:

az aks show --resource-group myResourceGroup --name myAKSCluster --query "autoUpgradeProfile"

• Bagaimana cara memantau status peningkatan otomatis OS simpul?

Untuk melihat status peningkatan otomatis OS simpul Anda, cari log aktivitas di kluster Anda. Anda juga dapat mencari peristiwa terkait peningkatan tertentu seperti yang disebutkan dalam Meningkatkan kluster AKS. AKS juga memancarkan peristiwa Event Grid terkait peningkatan. Untuk mempelajari selengkapnya, lihat AKS sebagai sumber Event Grid.

• Dapatkah saya mengubah nilai saluran peningkatan otomatis OS simpul jika saluran peningkatan otomatis kluster saya diatur ke node-image ?

Tidak. Saat ini, ketika Anda mengatur saluran peningkatan otomatis kluster ke node-image, itu juga secara otomatis mengatur saluran peningkatan otomatis OS simpul ke NodeImage. Anda tidak dapat mengubah nilai saluran peningkatan otomatis OS simpul jika saluran peningkatan otomatis kluster Anda adalah node-image. Agar dapat mengubah nilai saluran peningkatan otomatis OS simpul, pastikan saluran peningkatan otomatis kluster bukan node-image.

• SecurityPatch Mengapa direkomendasikan melalui Unmanaged saluran?

Unmanaged Di saluran, AKS tidak memiliki kontrol atas bagaimana dan kapan pembaruan keamanan dikirimkan. Dengan SecurityPatch, pembaruan keamanan sepenuhnya diuji dan mengikuti praktik penyebaran yang aman. SecurityPatch juga menghormati jendela pemeliharaan. Untuk detail selengkapnya, lihat Peningkatan keamanan dan ketahanan beban kerja Kanonis di Azure.

• Bagaimana cara mengetahui apakah SecurityPatch peningkatan atau NodeImage diterapkan pada simpul saya?

Jalankan perintah berikut untuk mendapatkan label simpul:

kubectl get nodes --show-labels

Di antara label yang dikembalikan, Anda akan melihat baris yang mirip dengan output berikut:

kubernetes.azure.com/node-image-version=AKSUbuntu-2204gen2containerd-202311.07.0

Di sini, versi gambar simpul dasar adalah AKSUbuntu-2204gen2containerd. Jika berlaku, versi patch keamanan biasanya mengikuti. Dalam contoh di atas, itu adalah 202311.07.0.

Detail yang sama juga akan dicari di portal Azure di bawah tampilan label simpul:

Langkah berikutnya

Untuk diskusi terperinci tentang praktik terbaik peningkatan dan pertimbangan lainnya, lihat panduan patch dan peningkatan AKS.