Azure Arc で有効になっている AKS のサポート ポリシー

適用対象: AKS on Azure Stack HCI 22H2、AKS on Windows Server

この記事では、Arc で有効になっている AKS のテクニカル サポート ポリシーと制限事項について詳しく説明します。この記事では、クラスター ノード管理、コントロール プレーン コンポーネント、サードパーティのオープンソース コンポーネント、セキュリティまたはパッチ管理についても説明します。

サービスの更新とリリース

• Microsoft では、最初のリリース日から始まる Kubernetes マイナー バージョンごとに 1 年間のサポート期間を提供しています。 この期間中、AKS Arc は、継続的なサポートを確保するために、後続のマイナー バージョンまたはパッチ バージョンをリリースします。
• 非推奨のマイナー バージョンで動作する Kubernetes クラスターは、サポート対象となるサポートされているバージョンに更新する必要があります。
• マイナー バージョンが非推奨になると、このバージョンでまだ実行されているクラスターは引き続き機能します。 スケールアップやスケールダウンなどの操作は引き続き実行できますが、クラスター操作中に AKS Arc に警告が表示されます。
• マイナー バージョンが非推奨になると、Microsoft サーバーから削除されます。 その時点で、このバージョンを使用する Kubernetes クラスターは Kubernetes または OS のバージョンを更新できないため、最新リリースにアップグレードする必要があります。 場合によっては、システムが正常な状態でない場合、このアップグレードは完全な再デプロイを意味する場合もあります。

リリース情報については、 AKS Arc のリリース ノートを参照してください。 プレビューの機能の詳細については、「 AKS Arc プレビュー機能」を参照してください。

AKS Arc のマネージド機能

AKS Arc ユーザーは、カスタマイズとデプロイのオプションが限られています。 ただし、Kubernetes クラスターコントロール プレーンとインストールを直接心配したり、管理したりする必要はありません。 コンピューティング コンポーネントやネットワーク コンポーネントなどのサービスとしての基盤 (IaaS) クラウド コンポーネントを使用すると、低レベルの制御とカスタマイズ オプションにアクセスできます。

一方、AKS Arc には、クラスターに必要な構成と機能の共通セットを提供するターンキー Kubernetes デプロイが用意されています。 AKS Arc を使用すると、部分的に管理されたコントロール プレーンを取得できます。 このコントロール プレーンには、ユーザーが Kubernetes クラスターを操作してエンド ユーザーに提供するために必要なすべてのコンポーネントとサービスが含まれています。 Microsoft では、すべての Kubernetes コンポーネントを維持しています。

Microsoft では、管理クラスターと関連する仮想マシンの基本イメージを通じて、次のコンポーネントを維持しています。

• kubelet または Kubernetes API サーバー。
• etcd または互換性のあるキー値ストア。サービス品質 (QoS)、スケーラビリティ、ランタイムを提供します。
• DNS サービス (CoreDNS など kube-dns )。
• Kubernetes プロキシまたはネットワーク。
• 名前空間で実行されているその他の kube-system アドオンまたはシステム コンポーネント。

AKS Arc は、サービスとしてのプラットフォーム (PaaS) ソリューションではありません。 ワークロード クラスター、コントロール プレーン、ワーカー ノードなどの一部のコンポーネントは、責任を共有しています。 ユーザーは Kubernetes クラスターの維持に役立つ必要があります。 たとえば、オペレーティング システム (OS) のセキュリティ パッチを適用するには、または新しい Kubernetes バージョンに更新するには、ユーザー入力が必要です。

サービスは、Microsoft と AKS チームが、ワークロード クラスターの管理クラスター、コントロール プレーン、およびエージェント ノードをデプロイするツールを提供するという意味で 管理 されます。 これらのマネージド コンポーネントは変更できません。 Microsoft では、一貫したスケーラブルなユーザー エクスペリエンスを確保するためにカスタマイズを制限しています。 クラウドで完全にカスタマイズ可能なソリューションについては、 AKS エンジンに関するページを参照してください。

サポートされているバージョン ポリシー

AKS Arc の Kubernetes バージョンは、 Kubernetes バージョン ポリシーに従います。

AKS Arc では、サポートされているバージョンの一覧外のクラスターに対してランタイム (またはその他) の保証は行われません。 "サポート対象外" とは、次のことを意味します。

• クラスターは、非推奨のマイナー バージョンで動作します。 実行しているバージョンがサポートされているバージョンの一覧に含まれていない。
• サポートを要求するときに、クラスターをサポートされているバージョンにアップグレードするように求められます。

サポートされている Kubernetes バージョンの詳細については、「 サポートされている Kubernetes バージョン」を参照してください。

AKS Arc は、これらの製品のプラットフォーム バージョンサポート期間に従います。 つまり、サポートされていないバージョンの製品では AKS Arc はサポートされていません。 詳細については、サポートポリシーを参照してください。

• Azure Stack HCI でサポートされているバージョン情報
• Windows Server 2019 Datacenter 以降でサポートされているバージョン

Shared responsibility

クラスターを作成するときは、AKS Arc によって作成される Kubernetes エージェント ノードを定義します。 ユーザーのワークロードは、これらのノードで実行されます。

エージェント ノードはプライベート コードを実行し、機密データを格納するため、Microsoft サポートはそれらに対するアクセスが制限されています。 Microsoft サポートサインインしてコマンドを実行したり、これらのノードのログを高速アクセス許可やサポートなしで表示したりすることはできません。 IaaS API のいずれかを使用してエージェント ノードを直接変更すると、クラスターはサポートされません。 エージェント ノードに対して行われた変更は、 などの Daemon SetsKubernetes ネイティブ メカニズムを使用して行う必要があります。

同様に、タグやラベルなどのメタデータをクラスターとノードに追加できますが、システムで作成されたメタデータを変更すると、クラスターはサポートされません。

AKS Arc サポート カバレッジ

Microsoft では、次の機能とコンポーネントのテクニカル サポートを提供しています。

• API サーバーなど、Kubernetes Service によって提供およびサポートされるすべての Kubernetes コンポーネントへの接続。
• Kubernetes コントロール プレーン サービス (Kubernetes コントロール プレーン、API サーバー、etcd、coreDNS など)。
• etcd データ ストア。
• Azure Arc および Azure Billing サービスとの統合。
• Kubernetes API サーバー、etcd、coreDNS などのコントロール プレーン コンポーネントのカスタマイズに関する質問または問題。
• ネットワーク、ネットワーク アクセス、および機能に関する問題。 DNS 解決、パケット損失、ルーティングなどの問題が発生する可能性があります。 Microsoft では、次のさまざまなネットワーク シナリオをサポートしています。
  • Flannel および Calico CNI の基本インストールのサポート。 これらの CNI はコミュニティ主導でサポートされています。 Microsoft サポートでは、基本的なインストールと構成のサポートのみが提供されます。
  • その他の Azure サービスおよびアプリケーションへの接続。
  • イングレス コントローラー、イングレスまたはロード バランサーの構成。
  • ネットワークのパフォーマンスと待機時間。

注意

Microsoft AKS Arc サポート チームによって実行されるすべてのクラスター アクションは、ユーザーの同意と支援によって行われます。 サポート エンジニアのアクセスを構成しない限り、Microsoft サポートはクラスターにログインしません。

Microsoft では、次の領域でテクニカル サポートを提供していません。

• Kubernetes の使用方法に関する質問。 たとえば、Microsoft サポートでは、カスタムのイングレス コント ローラーの作成方法、アプリケーションのワークロードの使用方法、サード パーティまたはオープン ソースのソフトウェア パッケージやツールの適用方法に対するアドバイスは提供していません。

  Note

  Microsoft サポートは、AKS Arc でのクラスター機能、カスタマイズ、チューニング (Kubernetes 操作の問題や手順など) についてアドバイスできます。

• Kubernetes コントロール プレーンの一部として提供されていない、またはクラスターが AKS Arc で作成されるときにデプロイされないサードパーティのオープンソース プロジェクト。これらのプロジェクトには、Istio、Helm、Envoy などが含まれる場合があります。

  Note

  Microsoft では、Helm などのサード パーティのオープン ソース プロジェクトに対してベスト エフォートのサポートを提供できます。 サードパーティのオープンソース ツールが Kubernetes やその他の AKS Arc 固有のバグと統合されている場合、Microsoft は Microsoft ドキュメントの例とアプリケーションをサポートしています。

• サード パーティのクローズド ソース ソフトウェア。 このソフトウェアには、セキュリティ スキャン ツール、およびネットワーク デバイスまたはソフトウェアが含まれる場合があります。

• AKS Arc ドキュメントに記載されているもの以外のネットワークのカスタマイズ。

エージェント ノードの AKS Arc サポート カバレッジ

AKS Arc エージェント ノードに対する Microsoft の責任

Microsoft とユーザーは、次の場合に、Kubernetes エージェント ノードに対する責任を共有します。

• 基本 OS イメージには、追加が必要です (監視エージェントやネットワーク エージェントなど)。

• エージェント ノードが OS 修正プログラムを自動的に受信する。

• 更新サイクル中、またはエージェント ノードの再デプロイ時に、エージェント ノード上で実行される Kubernetes コントロール プレーン コンポーネントに関する問題が自動修復される。 コンポーネントには、次が含まれます。

  • kube-proxy
  • Kubernetes マスター コンポーネントへの通信パスを提供するネットワーク トンネル:
    • kubelet
    • Moby または ContainerD

Note

エージェント ノードが動作していない場合、AKS Arc は個々のコンポーネントまたはエージェント ノード全体を再起動する可能性があります。 これらの自動再起動操作では、一般的な問題に対する自動修復が提供されます。

AKS Arc エージェント ノードに対するお客様の責任

Microsoft では、イメージ ノードの更新プログラムと新しいイメージを毎月提供していますが、既定ではパッチは自動的には適用されません。 エージェント ノードの OS とランタイム コンポーネントにパッチを適用し続けるためには、通常のアップグレード スケジュールを維持するか、修正プログラムの適用を自動化する必要があります。

同様に、AKS Arc では、新しい Kubernetes パッチとマイナー バージョンが定期的にリリースされます。 これらの更新プログラムには、Kubernetes に対するセキュリティまたは機能の強化が含まれていることがあります。 AKS Arc でサポートされているバージョン ポリシーに従って、クラスターの Kubernetes バージョンを更新しておく必要があります。

エージェント ノードのユーザー カスタマイズ

Note

AKS Arc エージェント ノードは、通常の仮想マシン リソースとして Hyper-V に表示されます。 これらの仮想マシンは、カスタム OS イメージと共にデプロイされ、Kubernetes コンポーネントがサポートおよび管理されます。 Hyper-V の API またはリソースを使用して、ベース OS イメージを変更したり、これらのノードを直接カスタマイズしたりすることはできません。 AKS-HCI API を介して行われなかったカスタム変更は、アップグレード、スケーリング、更新、または再起動を通じて保持されず、クラスターがサポートされていない状態になる可能性があります。 Microsoft サポートが変更を指示しない限り、エージェント ノードへの変更を実行しないでください。

AKS Arc は、エージェント ノード イメージのライフサイクルと操作をユーザーに代わって管理します。 エージェント ノードに関連付けられているリソースの変更はサポートされていません。 たとえば、Hyper-V API またはツールを使用して構成を手動で変更して仮想マシンのネットワーク設定をカスタマイズすることはサポートされていません。

ワークロード固有の構成またはパッケージの場合は、 Kubernetes デーモン セットを使用する必要があります。

Kubernetes 特権 daemon sets コンテナーと init コンテナーを使用する場合は、クラスター エージェント ノードにサード パーティ製ソフトウェアを調整または変更またはインストールできます。 たとえば、カスタム セキュリティ スキャン ソフトウェアや更新設定 sysctl を追加できます。 以前の要件が適用される場合は、このパスをお勧めしますが、AKS Arc のエンジニアリングとサポートは、カスタムデプロイが daemon set行われるためにノードを使用できなくなる変更のトラブルシューティングや診断には役立ちません。

セキュリティの問題と修正プログラムの適用

AKS Arc の 1 つ以上のマネージド コンポーネントにセキュリティ上の欠陥が見つかった場合、AKS Arc チームは、問題を軽減するために影響を受けるすべての OS イメージにパッチを適用し、チームはユーザーにアップグレード ガイダンスを提供します。

セキュリティ上の欠陥の影響を受けるエージェント ノードの場合、Microsoft は影響とセキュリティの問題を修正または軽減する手順の詳細を通知します。 通常、手順にはノード イメージのアップグレードまたはクラスターパッチのアップグレードが含まれます。

ノードのメンテナンスとアクセス

エージェント ノードのサインインと変更はできますが、変更によってクラスターがサポートされない可能性があるため、この操作はお勧めしません。

ネットワーク ポート、IP プール、およびアクセス

ネットワーク設定は、AKS Arc で定義されたサブネットを使用してのみカスタマイズできます。 エージェント ノードの NIC レベルでネットワーク設定をカスタマイズすることはできません。 AKS Arc には、エグレスを制御し、必要な接続を確保するために、特定のエンドポイントのエグレス要件があります。 詳細については、「 AKS Arc のシステム要件」を参照してください。

停止または切断されたクラスター

前述のように、Hyper-V API、CLI、または MMC を使用してすべてのクラスター ノードを手動で割り当て解除すると、クラスターはサポート対象外になります。

90 日を超える間停止されたクラスターは更新できなくなります。 この状態のクラスターのコントロール プレーンは 30 日後にサポート対象外であり、最新バージョンに更新することはできません。

AKS Arc の管理クラスターは、アップグレードやノード プールのスケーリングなどの 2 日目の操作を維持するために、少なくとも 30 日ごとに、既知の Azure エンドポイントへの HTTPS 送信トラフィックを介して Azure に接続できる必要があります。 30 日以内に管理クラスターが切断された場合、管理クラスターと Azure Stack HCI が再接続して Azure に同期するまで、ワークロードは引き続き実行され、期待どおりに動作します。 再接続すると、1 日 2 回の操作を復旧し、想定どおりに続行する必要があります。 詳細については、「 Azure Stack HCI Azure 接続の要件 」を参照してください。 30 日後、Azure Stack HCI は新しい仮想マシンの作成を防ぎます。

クラスターが Windows Server 2019 または Windows Server 2022 で実行されている場合、基になるホスト プラットフォームには 30 日間の定期的な接続要件はありません。

注意

30 日間の期間の開始/終了は、AKS Arc と Azure Stack HCI の有効期間と異なる場合があります。 Hyper-V API/CLI/MMC を介してすべてのクラスター ノードを手動で停止または割り当て解除し、30 日を超える長期にわたって定期的なメンテナンス手順を実行しない場合、クラスターはサポート対象外になります。

削除済みまたは一時停止中のサブスクリプション

Azure サブスクリプションが中断または削除された場合、60 日間の制限に達する前にサブスクリプションが復帰しない限り、AKS クラスターは 60 日後にサポート対象外になります。 前述の他のすべての制限も適用されます。 サブスクリプションが削除されると、Azure へのクラスター接続を復旧できず、Azure に再接続できるようにするには、Azure Stack HCI と AKS Arc を再デプロイする必要があります。

サポートされていないプレビューとベータ版の Kubernetes 機能

AKS Arc では、アップストリーム Kubernetes プロジェクトの安定したベータ機能のみがサポートされます。 特に記載されていない限り、AKS Arc では、アップストリーム Kubernetes プロジェクトで使用できるプレビュー機能はサポートされていません。

プレビュー機能または機能フラグ

拡張テストとユーザー フィードバックを必要とする機能の場合、Microsoft では、新しいプレビュー機能または機能フラグの背後にある機能をリリースします。 これらのプレリリースまたはベータ版の機能を検討してください。 プレビュー機能または機能フラグは、運用環境向けではありません。 API と動作の継続的な変更、バグの修正、その他の変更により、クラスターが不安定になったり、ダウンタイムが生じたりする可能性があります。

パブリック プレビューの機能は"ベスト エフォート" サポートを受け取ります。これらの機能はプレビュー段階であり、運用環境向けではありません。 これらの機能は、営業時間中にのみ AKS Arc テクニカル サポート チームによってサポートされます。 詳細については、「Azure サポート FAQ」を参照してください。

アップストリームのバグと問題

アップストリームの Kubernetes プロジェクトにおける開発速度では、バグが必ず発生します。 これらのバグの一部は、AKS Arc システム内で修正プログラムを適用したり、回避したりすることはできません。 代わりに、バグの修正では、アップストリームのプロジェクト (Kubernetes、ノードまたはエージェントのオペレーティング システム、カーネルなど) に対する大規模な修正プログラムが必要になります。 Microsoft が所有するコンポーネント (Azure Stack HCI 用のクラスター API プロバイダーなど) の場合、AKS Arc と Azure の担当者は、コミュニティの上流にある問題の修正に取り組んでいます。

テクニカル サポートの問題が 1 つ以上のアップストリームバグによって根本原因である場合、AKS Arc サポートチームとエンジニアリング チームは次のことを行います。

• アップストリームのバグを特定し、その問題がお客様のクラスターやワークロードに影響する理由を説明するのに役立つサポートの詳細にリンクします。 お客様は、問題を監視し、新しいリリースで修正プログラムがいつ提供されるかを確認できるよう、必要なリポジトリへのリンクを受け取ります。
• 潜在的な回避策または軽減策を提供します。 問題を軽減できる場合 は、AKS on Azure Stack HCI and Windows Server リポジトリに既知の問題が報告されます。 既知の問題の記録には、次の内容が示されます。
  • アップストリームのバグへのリンクを含む問題
  • ソリューションのアップグレードまたはその他のオプションに関する回避策と詳細。
  • アップストリームのリリース周期に基づく、問題の組み込みの大まかなタイムライン

次の手順

• サポート チケットを開く
• リソースの制限とスケーリングの詳細を確認する