Bagikan melalui


Kebijakan dukungan untuk Azure Kubernetes Service

Artikel ini menjelaskan kebijakan dan batasan dukungan teknis untuk Azure Kubernetes Service (AKS). Ini juga merinci manajemen simpul agen, komponen sarana kontrol terkelola, komponen sumber terbuka pihak ketiga, dan manajemen keamanan atau patch.

Pembaruan dan rilis layanan

  • Untuk informasi rilis, lihat catatan rilis AKS.
  • Untuk informasi tentang fitur pratinjau, lihat peta jalan AKS.

Fitur terkelola di AKS

Komponen cloud infrastruktur sebagai layanan (IaaS) dasar, seperti komponen komputasi atau jaringan, memungkinkan Anda mengakses kontrol tingkat rendah dan opsi penyesuaian. Sebaliknya, AKS menyediakan penyebaran Turnkey Kubernetes yang memberi Anda serangkaian konfigurasi dan kemampuan umum yang Anda butuhkan untuk kluster Anda. Sebagai pengguna AKS, Anda memiliki opsi penyesuaian dan penyebaran terbatas. Sebagai gantinya, Anda tidak perlu mengkhawatirkan atau mengelola kluster Kube secara langsung.

Dengan AKS, Anda mendapatkan sarana kontrol yang terkelola sepenuhnya. Sarana kontrol berisi semua komponen dan layanan yang anda butuhkan untuk mengoperasikan dan mengirimkan kluster Kubernetes kepada pengguna akhir. Microsoft memelihara dan mengoperasikan semua komponen Kubernetes.

Microsoft mengelola dan memantau komponen berikut melalui sarana kontrol:

  • Server API Kubelet atau Kube
  • Etcd atau penyimpanan bernilai kunci yang kompatibel, menyediakan Quality of Service (QoS), skalabilitas, dan runtime
  • Layanan DNS (misalnya, kube-dns atau CoreDNS)
  • Proksi atau jaringan Kubernetes, kecuali ketika BYOCNI digunakan
  • Add-on atau komponen sistem lain yang berjalan di namespace layanan kube-system.

AKS bukan solusi Platform-as-a-Service (PaaS). Beberapa komponen, seperti simpul agen, memiliki tanggung jawab bersama, di mana Anda harus membantu mempertahankan kluster AKS. Input pengguna diperlukan, misalnya, untuk menerapkan penambal keamanan sistem operasi (OS) simpul agen.

Layanan ini dikelola dalam arti Microsoft dan tim AKS menerapkan, mengoperasikan, dan bertanggung jawab atas ketersediaan dan fungsionalitas layanan. Pelanggan tidak dapat mengubah komponen terkelola ini. Microsoft membatasi penyesuaian untuk memastikan pengalaman pengguna yang konsisten dan dapat diskalakan.

Tanggung jawab bersama

Saat kluster dibuat, Anda menentukan simpul agen Kube yang dibuat oleh AKS. Beban kerja Anda dijalankan pada simpul ini.

Karena node agen Anda menjalankan kode pribadi dan menyimpan data sensitif, Dukungan Microsoft hanya dapat mengaksesnya dengan cara yang terbatas. Dukungan Microsoft tidak dapat masuk ke, menjalankan perintah, atau melihat log untuk simpul ini tanpa izin atau bantuan Anda.

Setiap modifikasi yang dilakukan langsung ke node agen menggunakan salah satu API IaaS membuat kluster tidak didukung. Setiap modifikasi yang diterapkan pada node agen harus dilakukan menggunakan mekanisme kubernetes-native seperti Daemon Sets.

Demikian pula, meskipun Anda dapat menambahkan metadata apa pun ke kluster dan node, seperti tag dan label, mengubah metadata yang dibuat sistem membuat kluster tidak didukung.

Cakupan dukungan AKS

Skenario yang didukung

Microsoft menyediakan tim dukungan untuk contoh-contoh berikut:

  • Konektivitas ke semua komponen Kube yang disediakan dan didukung oleh layanan Kube, seperti server API.
  • Manajemen, waktu aktif, QoS, dan operasi layanan sarana kontrol Kubernetes (Misalnya, sarana kontrol Kubernetes, server API, dlld, dan coreDNS).
  • Penyimpanan data etcd. Dukungan mencakup pencadangan otomatis dan transparan dari semua data etcd setiap 30 menit untuk perencanaan bencana dan pemulihan status kluster. Cadangan ini tidak tersedia secara langsung untuk Anda atau orang lain. Cadangan memastikan keandalan dan konsistensi data. Pemutaran kembali atau pemulihan sesuai permintaan tidak didukung sebagai fitur.
  • Setiap titik integrasi dalam driver penyedia cloud Azure untuk Kube. Hal ini termasuk integrasi ke layanan Azure lainnya seperti load balancer, volume persisten, atau jaringan (Kubernetes dan Azure CNI, kecuali saat BYOCNI sedang digunakan).
  • Pertanyaan atau masalah tentang penyesuaian komponen sarana kontrol seperti server Kubernetes API, etcd, dan coreDNS.
  • Masalah tentang jaringan, seperti Azure CNI, kubenet, atau masalah akses serta fungsionalitas jaringan lainnya, kecuali saat BYOCNI sedang digunakan. Masalah dapat mencakup resolusi DNS, kehilangan paket, perutean, dan sebagainya. Microsoft mendukung berbagai skenario jaringan:
    • Kubenet dan Azure CNI menggunakan VNET terkelola atau dengan subnet kustom (bawa sendiri).
    • Konektivitas ke layanan dan aplikasi Azure lainnya
    • Pengontrol ingress yang dikelola Microsoft atau konfigurasi load balancer
    • Kinerja dan latensi jaringan
    • Komponen dan fungsionalitas kebijakan jaringan yang dikelola Microsoft

Catatan

Setiap tindakan kluster yang diambil oleh Microsoft/AKS dibuat dengan persetujuan Anda di bawah peran aks-service Kubernetes bawaan dan pengikatan peran bawaan aks-service-rolebinding. Peran ini mengaktifkan AKS untuk memecahkan masalah dan mendiagnosis masalah kluster, tetapi tidak dapat mengubah izin atau membuat peran atau ikatan peran, atau tindakan hak istimewa tinggi lainnya. Akses peran hanya diaktifkan dalam tiket dukungan aktif dengan akses just-in-time (JIT).

Skenario yang tidak didukung

Microsoft tidak menyediakan dukungan teknis untuk skenario berikut:

  • Pertanyaan mengenai cara menggunakan Kube. Misalnya, Dukungan Microsoft tidak memberikan saran tentang cara membuat pengontrol ingress kustom, menggunakan beban kerja aplikasi, atau menerapkan paket atau alat perangkat lunak pihak ketiga atau sumber terbuka.

    Catatan

    Dukungan Microsoft dapat memberi saran tentang fungsionalitas, penyesuaian, dan penyetelan kluster AKS (misalnya, masalah dan prosedur operasi Kube).

  • Proyek sumber terbuka pihak ketiga yang tidak disediakan sebagai bagian dari sarana kontrol Kube atau disebarkan dengan kluster AKS. Proyek-proyek ini mungkin termasuk Istio, Helm, Envoy, atau lainnya.

    Catatan

    Microsoft dapat memberikan dukungan upaya terbaik untuk proyek sumber terbuka pihak ketiga seperti Helm. Jika alat sumber terbuka pihak ketiga terintegrasi dengan penyedia cloud Kube Azure atau bug khusus AKS lainnya, Microsoft mendukung contoh dan aplikasi dari dokumentasi Microsoft.

  • Perangkat lunak sumber tertutup pihak ketiga. Perangkat lunak ini dapat mencakup alat pemindaian keamanan dan perangkat jaringan atau perangkat lunak.

  • Mengonfigurasi atau memecahkan masalah kode atau perilaku khusus aplikasi dari aplikasi atau alat pihak ketiga yang berjalan dalam kluster AKS. Ini termasuk masalah penyebaran aplikasi yang tidak terkait dengan platform AKS itu sendiri.

  • Penerbitan, perpanjangan, atau manajemen sertifikat untuk aplikasi yang berjalan di AKS.

  • Penyesuaian jaringan selain yang tercantum dalam dokumentasi AKS. Misalnya, Dukungan Microsoft tidak dapat mengonfigurasi perangkat atau appliance virtual yang dimaksudkan untuk menyediakan lalu lintas keluar untuk kluster AKS, seperti VPN atau firewall.

    Catatan

    Berdasarkan upaya terbaik, Dukungan Microsoft dapat menyarankan konfigurasi yang diperlukan untuk Azure Firewall, tetapi tidak untuk perangkat pihak ketiga lainnya.

  • Plugin CNI kustom atau pihak ketiga yang digunakan dalam mode BYOCNI .

  • Mengonfigurasi atau memecahkan masalah kebijakan jaringan yang tidak dikelola Microsoft. Saat menggunakan kebijakan jaringan didukung, Dukungan Microsoft tidak dapat menyelidiki masalah yang berasal dari konfigurasi kebijakan jaringan kustom.

  • Mengonfigurasi atau memecahkan masalah pengontrol ingress yang tidak dikelola Microsoft, seperti nginx, kong, traefik, dll. Ini termasuk mengatasi masalah fungsionalitas yang muncul setelah operasi khusus AKS, seperti pengontrol ingress berhenti bekerja setelah peningkatan versi Kubernetes. Masalah tersebut dapat berasal dari ketidaksesuaian antara versi pengontrol ingress dan versi Kubernetes baru. Untuk opsi yang didukung penuh, pertimbangkan untuk memanfaatkan opsi pengontrol ingress yang dikelola Microsoft.

  • Mengonfigurasi atau memecahkan masalah DaemonSets (termasuk skrip) yang digunakan untuk menyesuaikan konfigurasi simpul. Meskipun menggunakan DaemonSets adalah pendekatan yang direkomendasikan untuk menyetel, memodifikasi, atau menginstal perangkat lunak pihak ketiga pada node agen kluster ketika parameter file konfigurasi tidak mencukupi, Dukungan Microsoft tidak dapat memecahkan masalah yang timbul dari skrip kustom yang digunakan di DaemonSets karena sifat kustomnya.

  • Skenario siaga dan proaktif. Dukungan Microsoft menyediakan dukungan reaktif untuk membantu menyelesaikan masalah aktif secara tepat waktu dan profesional. Namun, dukungan siaga atau proaktif untuk membantu Anda menghilangkan risiko operasional, meningkatkan ketersediaan, dan mengoptimalkan performa tidak tercakup. Pelanggan yang memenuhi syarat dapat menghubungi tim akun mereka untuk mendapatkan nominasi untuk layanan Azure Event Management. Ini adalah layanan berbayar yang dikirimkan oleh teknisi dukungan Microsoft yang mencakup penilaian dan cakupan risiko solusi proaktif selama peristiwa tersebut.

  • Kerentanan / CVE dengan perbaikan vendor yang berusia kurang dari 30 hari. Selama Anda menjalankan VHD yang diperbarui, Anda tidak boleh menjalankan kerentanan gambar kontainer / CVE dengan perbaikan vendor yang berusia lebih dari 30 hari. Pelanggan bertanggung jawab untuk memperbarui VHD dan menyediakan daftar yang difilter ke dukungan Microsoft. Setelah Anda memperbarui VHD, pelanggan bertanggung jawab untuk memfilter laporan kerentanan / CVE dan memberikan daftar hanya dengan kerentanan/CVE dengan perbaikan vendor yang berusia lebih dari 30 hari. Jika demikian, dukungan Microsoft akan memastikan untuk bekerja secara internal dan mengatasi komponen dengan perbaikan vendor yang dirilis lebih dari 30 hari yang lalu. Selain itu, Microsoft memberikan kerentanan / dukungan terkait CVE hanya untuk komponen yang dikelola Microsoft (yaitu, gambar simpul AKS, gambar kontainer terkelola untuk aplikasi yang disebarkan selama pembuatan kluster atau melalui penginstalan add-on terkelola). Untuk detail selengkapnya tentang pengelolaan kerentanan untuk AKS, silakan kunjungi halaman ini.

  • Sampel atau skrip kode kustom. Meskipun Dukungan Microsoft dapat memberikan sampel kode kecil dan ulasan sampel kode kecil dalam kasus dukungan untuk menunjukkan cara menggunakan fitur produk Microsoft, Dukungan Microsoft tidak dapat memberikan sampel kode kustom yang khusus untuk lingkungan atau aplikasi Anda.

Cakupan dukungan AKS untuk simpul agen

Tanggung jawab Microsoft untuk simpul agen AKS

Microsoft dan Anda berbagi tanggung jawab untuk node agen Kubernetes di mana:

  • Gambar OS dasar telah memerlukan penambahan (seperti agen pemantauan dan jaringan).
  • Simpul agen menerima patch OS secara otomatis.
  • Masalah pada komponen sarana kontrol Kube yang berjalan pada simpul agen secara otomatis diremediasi. Komponen-komponen ini termasuk di bawah ini:
    • Kube-proxy
    • Tunnel jaringan yang menyediakan jalur komunikasi ke komponen master Kube
    • Kubelet
    • containerd

Catatan

Jika simpul agen tidak beroperasi, AKS mungkin menghidupkan ulang komponen individu atau seluruh simpul agen. Operasi hidupkan ulang ini otomatis dan menyediakan remediasi otomatis untuk masalah umum. Jika Anda ingin tahu lebih banyak tentang mekanisme remediasi otomatis, lihat Perbaikan Otomatis Simpul

Tanggung jawab pelanggan untuk simpul agen AKS

Microsoft menyediakan patch dan gambar baru untuk simpul gambar Anda mingguan. Untuk menjaga OS simpul agen dan komponen runtime Anda tetap terbarui, Anda harus menerapkan patch dan pembaruan ini secara teratur baik secara manual atau otomatis. Untuk informasi selengkapnya, lihat:

Demikian pula, AKS secara teratur merilis patch Kubernetes baru dan versi minor. Pembaruan ini berisi peningkatan keamanan atau fungsionalitas untuk Kube. Anda bertanggung jawab untuk menjaga versi Kubernetes kluster Anda tetap diperbarui dan sesuai dengan kebijakan versi dukungan AKS Kubernetes.

Kustomisasi pengguna simpul agen

Catatan

Simpul agen AKS muncul di portal Azure sebagai sumber daya Azure IaaS standar. Namun, komputer virtual ini disebarkan ke dalam grup sumber daya Azure kustom (diawali dengan MC_*). Anda tidak dapat mengubah gambar OS dasar atau membuat kustomisasi langsung ke simpul ini menggunakan API atau sumber daya IaaS. Setiap perubahan kustom yang tidak dilakukan dari API AKS tidak akan bertahan melalui peningkatan, skala, pembaruan, atau boot ulang. Selain itu, setiap perubahan pada ekstensi simpul seperti CustomScriptExtension dapat menyebabkan perilaku yang tidak terduga dan harus dilarang. Hindari melakukan perubahan pada simpul agen kecuali Dukungan Microsoft mengarahkan Anda untuk membuat perubahan.

AKS mengelola siklus hidup dan operasi simpul agen atas nama Anda dan memodifikasi sumber daya IaaS yang terkait dengan simpul agen tidak didukung. Contoh operasi yang tidak didukung adalah menyesuaikan skala komputer virtual kumpulan simpul yang diatur dengan mengubah konfigurasi secara manual di portal Azure atau dari API.

Untuk konfigurasi atau paket khusus beban kerja, AKS merekomendasikan penggunaan Kube daemon sets.

Menggunakan kontainer istimewa daemon sets dan init Kubernetes memungkinkan Anda untuk menyetel/memodifikasi atau menginstal perangkat lunak pihak ketiga pada node agen kluster. Contoh penyesuaian tersebut termasuk menambahkan perangkat lunak pemindaian keamanan khusus atau memperbarui pengaturan sysctl.

Meskipun jalur ini direkomendasikan jika persyaratan di atas berlaku, rekayasa dan dukungan AKS tidak dapat membantu memecahkan masalah atau mendiagnosis modifikasi yang membuat simpul tidak tersedia karena kustom yang disebarkan daemon set.

Masalah keamanan dan patching

Jika kelemahan keamanan ditemukan di satu atau beberapa komponen terkelola AKS, tim AKS menambal semua kluster yang terpengaruh untuk mengurangi masalah. Atau, tim AKS memberi Anda panduan peningkatan.

Untuk simpul agen yang terpengaruh oleh kelemahan keamanan, Microsoft memberi tahu Anda dengan detail tentang dampak dan langkah-langkah untuk memperbaiki atau mengurangi masalah keamanan.

Pemeliharaan dan akses simpul

Meskipun Anda dapat masuk dan mengubah kluster agen, tidak disarankan melakukan operasi ini karena perubahan dapat membuat kluster tidak mendukung.

Port jaringan, akses, dan NSG

Anda hanya dapat menyesuaikan NSG pada subnet kustom. Anda tidak boleh menyesuaikan NSG pada subnet terkelola atau pada tingkat NIC simpul agen. AKS memiliki persyaratan egress untuk titik akhir tertentu, untuk mengontrol egress dan memastikan konektivitas yang diperlukan, lihat membatasi lalu lintas egress. Untuk penyerapan, persyaratan didasarkan pada aplikasi yang telah Anda sebarkan ke kluster.

Simpul Dihentikan, dibatalkan alokasinya, dan Tidak Siap

Jika Anda tidak memerlukan beban kerja AKS untuk berjalan terus menerus, Anda dapat menghentikan kluster AKS, yang menghentikan semua nodepool dan sarana kontrol. Anda dapat memulainya lagi jika diperlukan. Saat Anda menghentikan kluster menggunakan az aks stop perintah , status kluster dipertahankan hingga 12 bulan. Setelah 12 bulan, status kluster dan semua sumber dayanya dihapus.

Membatalkan alokasi semua node kluster secara manual dari API IaaS, Azure CLI, atau portal Azure tidak didukung untuk menghentikan kluster AKS atau nodepool. Kluster akan dianggap tidak didukung dan dihentikan oleh AKS setelah 30 hari. Kluster kemudian tunduk pada kebijakan pelestarian 12 bulan yang sama sebagai kluster yang dihentikan dengan benar.

Kluster dengan nol simpul Siap (atau semua Belum Siap) dan nol VM yang Berjalan akan dihentikan setelah 30 hari.

AKS berhak untuk mengarsipkan sarana kontrol yang telah dikonfigurasi dari pedoman dukungan untuk jangka waktu yang lama selama 30 hari atau lebih. AKS mempertahankan cadangan metadata kluster etcd dan dapat dengan mudah mengalokasikan kembali kluster. Realokasi ini dimulai oleh operasi PUT apa pun yang membawa kluster kembali ke dukungan, seperti peningkatan atau skala ke simpul agen aktif.

Semua kluster dalam langganan yang ditangguhkan akan segera dihentikan dan dihapus setelah 90 hari. Semua kluster dalam langganan yang dihapus akan segera dihapus.

Fitur alpha dan beta Kube yang tidak didukung

AKS hanya mendukung fitur stabil dan beta dalam proyek Kube upstream. Kecuali jika didokumentasikan, AKS tidak mendukung fitur alfa apa pun yang tersedia di proyek Kube upstream.

Mempratinjau fitur atau bendera fitur

Untuk fitur dan fungsionalitas yang memerlukan pengujian dan tanggapan pengguna yang diperluas, Microsoft merilis fitur pratinjau atau fitur baru di balik bendera fitur. Pertimbangkan fitur ini sebagai fitur prarilis atau beta.

Fitur pratinjau atau fitur bendera-fitur tidak dimaksudkan untuk produksi. Perubahan API dan perilaku yang sedang berlangsung, perbaikan bug, dan perubahan lainnya dapat mengakibatkan kluster dan waktu henti yang tidak stabil.

Fitur dalam pratinjau publik termasuk dalam dukungan upaya terbaik, karena fitur-fitur ini dalam pratinjau dan tidak dimaksudkan untuk produksi. Tim dukungan teknis AKS hanya memberikan dukungan selama jam kerja. Untuk informasi selengkapnya, lihat Tanya Jawab Umum Dukungan Azure.

Bug dan masalah upstream

Mengingat kecepatan pengembangan dalam proyek Kube upstream, bug selalu muncul. Beberapa bug ini tidak dapat di-patch atau diperbaiki dalam sistem AKS. Sebagai gantinya, perbaikan bug memerlukan patch yang lebih besar ke proyek upstream (seperti Kube, sistem operasi simpul atau agen, dan kernel). Untuk komponen yang dimiliki Microsoft (seperti penyedia cloud Azure), personel AKS dan Azure berkomitmen untuk memperbaiki masalah upstream dalam komunitas.

Ketika akar penyebab masalah dukungan teknis disebabkan oleh satu atau beberapa bug hulu, tim dukungan dan teknik AKS akan:

  • Mengidentifikasi dan menautkan bug upstream dengan detail pendukung apa pun untuk membantu menjelaskan mengapa masalah ini memengaruhi kluster atau beban kerja Anda. Pelanggan menerima tautan ke repositori yang diperlukan sehingga mereka dapat mengetahui masalah dan melihat kapan rilis baru akan memberikan perbaikan.

  • Menyediakan solusi atau mitigasi potensial. Jika masalah dapat dimitigasi, masalah yang diketahui diajukan di repositori AKS. Pengajuan masalah umum menjelaskan:

    • Masalahnya, termasuk tautan ke bug upstream.
    • Solusi dan detail tentang peningkatan atau persistensi solusi lainnya.
    • Garis waktu kasar untuk dimasukkannya masalah ini, berdasarkan irama rilis upstream.