Immagini del sistema operativo del nodo di aggiornamento automatico
Il servizio Azure Kubernetes offre più canali di aggiornamento automatico dedicati agli aggiornamenti tempestivi della sicurezza del sistema operativo a livello di nodo. Questo canale è diverso dagli aggiornamenti della versione kubernetes a livello di cluster e lo sostituisce.
Interazioni tra l'aggiornamento automatico del sistema operativo del nodo e quello del cluster
Gli aggiornamenti della sicurezza del sistema operativo a livello di nodo vengono rilasciati a una velocità superiore rispetto agli aggiornamenti delle patch di Kubernetes o delle versioni secondarie. Il canale di aggiornamento automatico del sistema operativo del nodo offre flessibilità e abilita una strategia personalizzata per gli aggiornamenti della sicurezza del sistema operativo a livello di nodo. È quindi possibile scegliere un piano separato per gli aggiornamenti automatici della versione kubernetes a livello di cluster.
È consigliabile usare sia gli aggiornamenti automatici a livello di cluster che il canale di aggiornamento automatico del sistema operativo del nodo insieme. La pianificazione può essere ottimizzata applicando due set separati di finestre - aksManagedAutoUpgradeSchedule
di manutenzione per il canale di aggiornamento automatico del cluster e aksManagedNodeOSUpgradeSchedule
per il canale di aggiornamento automatico del sistema operativo del nodo.
Canali per gli aggiornamenti delle immagini del sistema operativo del nodo
Il canale selezionato determina la tempistica degli aggiornamenti. Quando si apportano modifiche ai canali di aggiornamento automatico del sistema operativo del nodo, attendere fino a 24 ore per rendere effettive le modifiche. Quando si passa da un canale a un altro canale, verrà attivata una ricreazione dell'immagine che porta ai nodi in sequenza.
Nota
L'aggiornamento automatico dell'immagine del sistema operativo del nodo non influisce sulla versione kubernetes del cluster. Funziona solo per un cluster in una versione supportata.
Sono disponibili i canali di aggiornamento seguenti. È possibile scegliere una di queste opzioni:
Channel | Descrizione | Comportamento specifico del sistema operativo |
---|---|---|
None |
I nodi non hanno aggiornamenti della sicurezza applicati automaticamente. Ciò significa che l'utente è responsabile esclusivamente degli aggiornamenti della sicurezza. | N/D |
Unmanaged |
Gli aggiornamenti del sistema operativo vengono applicati automaticamente tramite l'infrastruttura di applicazione di patch predefinita del sistema operativo. I computer appena allocati vengono inizialmente scollegati. L'infrastruttura del sistema operativo li applica a un certo punto. | Ubuntu e Azure Linux (pool di nodi CPU) applicano patch di sicurezza tramite aggiornamento automatico circa una volta al giorno intorno alle 06:00 UTC. Windows non applica automaticamente patch di sicurezza, quindi questa opzione si comporta in modo equivalente a None . Dovrai gestire il processo di riavvio usando uno strumento come kured. |
SecurityPatch |
Questo canale è in anteprima e richiede l'abilitazione del flag NodeOsUpgradeChannelPreview di funzionalità . Per informazioni dettagliate, vedere la sezione prerequisiti. Il servizio Azure Kubernetes aggiorna regolarmente il disco rigido virtuale (VHD) del nodo con patch del manutentore di immagini con etichetta "solo sicurezza". Potrebbero verificarsi interruzioni quando vengono applicate le patch di sicurezza ai nodi. Quando vengono applicate le patch, il disco rigido virtuale viene aggiornato e i computer esistenti vengono aggiornati a tale disco rigido virtuale, rispettando le finestre di manutenzione e le impostazioni di picco. Questa opzione comporta il costo aggiuntivo dell'hosting dei dischi rigidi virtuali nel gruppo di risorse del nodo. Se si usa questo canale, gli aggiornamenti automatici di Linux vengono disabilitati per impostazione predefinita. |
Linux di Azure non supporta questo canale nelle macchine virtuali abilitate per GPU. SecurityPatch funziona sulle versioni patch deprecate, purché la versione secondaria di Kubernetes sia ancora supportata. |
NodeImage |
Il servizio Azure Kubernetes aggiorna i nodi con un nuovo disco rigido virtuale con patch contenente correzioni di sicurezza e correzioni di bug a cadenza settimanale. L'aggiornamento al nuovo disco rigido virtuale è problematico, seguendo le finestre di manutenzione e le impostazioni di aumento. Quando si sceglie questa opzione non viene addebitato alcun costo aggiuntivo per il disco rigido virtuale. Se si usa questo canale, gli aggiornamenti automatici di Linux vengono disabilitati per impostazione predefinita. Gli aggiornamenti delle immagini del nodo supportano le versioni patch deprecate, purché la versione secondaria di Kubernetes sia ancora supportata. |
Impostare il canale di aggiornamento automatico del sistema operativo del nodo in un nuovo cluster
Impostare il canale di aggiornamento automatico del sistema operativo del nodo in un nuovo cluster usando il
az aks create
comando con il--node-os-upgrade-channel
parametro . Nell'esempio seguente il canale di aggiornamento automatico del sistema operativo del nodo viene impostato suSecurityPatch
.az aks create --resource-group myResourceGroup --name myAKSCluster --node-os-upgrade-channel SecurityPatch
Impostare il canale di aggiornamento automatico del sistema operativo del nodo in un cluster esistente
Impostare il canale di aggiornamento automatico del sistema operativo del nodo in un cluster esistente usando il
az aks update
comando con il--node-os-upgrade-channel
parametro . Nell'esempio seguente il canale di aggiornamento automatico del sistema operativo del nodo viene impostato suSecurityPatch
.az aks update --resource-group myResourceGroup --name myAKSCluster --node-os-upgrade-channel SecurityPatch
Aggiornare la proprietà e la pianificazione
La frequenza predefinita indica che non è stata applicata alcuna finestra di manutenzione pianificata.
Channel | proprietà Aggiornamenti | Frequenza predefinita |
---|---|---|
Unmanaged |
Aggiornamenti della sicurezza basati sul sistema operativo. Il servizio Azure Kubernetes non ha alcun controllo su questi aggiornamenti. | Notte intorno alle 6:00 UTC per Ubuntu e Azure Linux. Mensile per Windows. |
SecurityPatch |
Servizio Azure Kubernetes testato, completamente gestito e applicato con procedure di distribuzione sicure. Per altre informazioni, vedere Aumento della sicurezza e della resilienza dei carichi di lavoro Canonical in Azure. | Settimanale. |
NodeImage |
Servizio Azure Kubernetes | Settimanale. |
Nota
Anche se gli aggiornamenti della sicurezza di Windows vengono rilasciati su base mensile, l'uso del Unmanaged
canale non applicherà automaticamente questi aggiornamenti ai nodi di Windows. Se si sceglie il Unmanaged
canale, è necessario gestire il processo di riavvio usando uno strumento come kured per applicare correttamente le patch di sicurezza.
Requisiti del canale SecurityPatch
Per usare il SecurityPatch
canale, il cluster deve supportare questi requisiti:
- Deve usare la versione
11-02-preview
dell'API o versioni successive - Se si usa l'interfaccia della riga di comando di Azure, è necessario installare la versione
0.5.166
dell'estensione dell'interfaccia dellaaks-preview
riga di comando o successiva - Il
NodeOsUpgradeChannelPreview
flag di funzionalità deve essere abilitato nella sottoscrizione
Registrare NodeOsUpgradeChannelPreview
Registrare il flag di funzionalità NodeOsUpgradeChannelPreview
usando il comando az feature register, come illustrato nell'esempio seguente:
az feature register --namespace "Microsoft.ContainerService" --name "NodeOsUpgradeChannelPreview"
Sono necessari alcuni minuti per visualizzare lo stato Registered. Verificare lo stato della registrazione usando il comando az feature show:
az feature show --namespace "Microsoft.ContainerService" --name "NodeOsUpgradeChannelPreview"
Quando lo stato diventa Registrato, aggiornare la registrazione del provider di risorse Microsoft.ContainerService usando il comando az provider register:
az provider register --namespace Microsoft.ContainerService
Bug noti del canale del nodo
Attualmente, quando si imposta il canale di aggiornamento automatico del cluster su
node-image
, imposta automaticamente anche il canale di aggiornamento automatico del sistema operativo del nodo suNodeImage
. Non è possibile modificare il valore del canale di aggiornamento automatico del sistema operativo del nodo se il canale di aggiornamento automatico del cluster ènode-image
. Per impostare il valore del canale di aggiornamento automatico del sistema operativo del nodo, controllare che il valore del canale di aggiornamento automatico del cluster nonnode-image
sia .Il
SecurityPatch
canale non è supportato nei pool di nodi del sistema operativo Windows.
Nota
Per impostazione predefinita, qualsiasi nuovo cluster creato con una versione API di 06-01-2022
o versione successiva imposta il valore del canale di aggiornamento automatico del sistema operativo del nodo su NodeImage
. Per impostazione predefinita, tutti i cluster esistenti creati con una versione api precedente 06-01-2022
a quella del canale di aggiornamento automatico del sistema operativo del nodo saranno impostati su None
.
Finestre di manutenzione pianificata del sistema operativo del nodo
La manutenzione pianificata per l'aggiornamento automatico del sistema operativo del nodo viene avviata nella finestra di manutenzione specificata.
Nota
Per garantire una funzionalità appropriata, usare una finestra di manutenzione di quattro ore o più.
Per altre informazioni sulla manutenzione pianificata, vedere Usare la manutenzione pianificata per pianificare le finestre di manutenzione per il cluster del servizio Azure Kubernetes.
Domande frequenti sugli aggiornamenti automatici del sistema operativo del nodo
- Come è possibile controllare il valore nodeOsUpgradeChannel corrente in un cluster?
Eseguire il az aks show
comando e controllare "autoUpgradeProfile" per determinare il nodeOsUpgradeChannel
valore impostato su:
az aks show --resource-group myResourceGroup --name myAKSCluster --query "autoUpgradeProfile"
- Come è possibile monitorare lo stato degli aggiornamenti automatici del sistema operativo del nodo?
Per visualizzare lo stato degli aggiornamenti automatici del sistema operativo del nodo, cercare i log attività nel cluster. È anche possibile cercare eventi specifici correlati all'aggiornamento, come indicato in Aggiornare un cluster del servizio Azure Kubernetes. Il servizio Azure Kubernetes genera anche eventi di Griglia di eventi correlati all'aggiornamento. Per altre informazioni, vedere servizio Azure Kubernetes come origine di Griglia di eventi.
- È possibile modificare il valore del canale di aggiornamento automatico del sistema operativo del nodo se il canale di aggiornamento automatico del cluster è impostato su
node-image
?
No. Attualmente, quando si imposta il canale di aggiornamento automatico del cluster su node-image
, imposta automaticamente anche il canale di aggiornamento automatico del sistema operativo del nodo su NodeImage
. Non è possibile modificare il valore del canale di aggiornamento automatico del sistema operativo del nodo se il canale di aggiornamento automatico del cluster è node-image
. Per poter modificare i valori del canale di aggiornamento automatico del sistema operativo del nodo, assicurarsi che il canale di aggiornamento automatico del cluster non node-image
sia .
- Perché è
SecurityPatch
consigliato sulUnmanaged
canale?
Unmanaged
Nel canale il servizio Azure Kubernetes non ha alcun controllo su come e quando vengono recapitati gli aggiornamenti della sicurezza. Con SecurityPatch
, gli aggiornamenti della sicurezza sono completamente testati e seguono le procedure di distribuzione sicure. SecurityPatch
rispetta anche le finestre di manutenzione. Per altre informazioni, vedere Maggiore sicurezza e resilienza dei carichi di lavoro Canonici in Azure.
- Ricerca per categorie sapere se un
SecurityPatch
aggiornamento oNodeImage
viene applicato al nodo?
Eseguire il comando seguente per ottenere le etichette dei nodi:
kubectl get nodes --show-labels
Tra le etichette restituite dovrebbe essere visualizzata una riga simile all'output seguente:
kubernetes.azure.com/node-image-version=AKSUbuntu-2204gen2containerd-202311.07.0
In questo caso, la versione dell'immagine del nodo di base è AKSUbuntu-2204gen2containerd
. Se applicabile, la versione della patch di sicurezza segue in genere. Nell'esempio precedente si tratta di 202311.07.0
.
Gli stessi dettagli vengono inoltre cercati nella portale di Azure sotto la visualizzazione etichetta del nodo:
Passaggi successivi
Per una descrizione dettagliata delle procedure consigliate per l'aggiornamento e altre considerazioni, vedere Linee guida per l'aggiornamento e le patch del servizio Azure Kubernetes.