Installatiekopieën van het besturingssysteem van het knooppunt automatisch upgraden
AKS biedt meerdere kanalen voor automatisch upgraden die zijn toegewezen aan beveiligingsupdates op knooppuntniveau. Dit kanaal verschilt van kubernetes-versie-upgrades op clusterniveau en vervangt het.
Interacties tussen automatische upgrade van het knooppuntbesturingssysteem en automatische upgrade van cluster
Beveiligingsupdates op knooppuntniveau worden sneller uitgebracht dan kubernetes-patch- of secundaire versie-updates. Het kanaal voor automatische upgrade van het knooppuntbesturingssysteem biedt u flexibiliteit en maakt een aangepaste strategie mogelijk voor beveiligingsupdates op knooppuntniveau. Vervolgens kunt u een afzonderlijk plan kiezen voor automatische upgrades van Kubernetes-versies op clusterniveau.
Het is raadzaam om zowel automatische upgrades op clusterniveau als het kanaal voor automatische upgrade van het knooppuntbesturingssysteem samen te gebruiken. Planning kan worden afgestemd door twee afzonderlijke sets onderhoudsvensters - aksManagedAutoUpgradeSchedule
toe te passen voor het kanaal voor automatische upgrade van het cluster en aksManagedNodeOSUpgradeSchedule
voor het kanaal voor automatische upgrade van het knooppuntbesturingssysteem.
Kanalen voor upgrades van installatiekopieën van nodebesturingssystemen
Het geselecteerde kanaal bepaalt de timing van upgrades. Wanneer u wijzigingen aanbrengt in kanalen voor automatische upgrade van het knooppuntbesturingssysteem, kunt u maximaal 24 uur wachten totdat de wijzigingen van kracht worden. Zodra u van het ene kanaal naar het andere kanaal overgaat, wordt er een nieuwe installatiekopie geactiveerd die leidt tot rolling knooppunten.
Notitie
Automatische upgrade van installatiekopieën van het knooppuntbesturingssysteem heeft geen invloed op de Kubernetes-versie van het cluster. Het werkt alleen voor een cluster in een ondersteunde versie.
De volgende upgradekanalen zijn beschikbaar. U kunt een van deze opties kiezen:
Channel | Beschrijving | Besturingssysteemspecifiek gedrag |
---|---|---|
None |
Op uw knooppunten worden geen beveiligingsupdates automatisch toegepast. Dit betekent dat u alleen verantwoordelijk bent voor uw beveiligingsupdates. | N.v.t. |
Unmanaged |
Updates van het besturingssysteem worden automatisch toegepast via de ingebouwde patchinfrastructuur van het besturingssysteem. Nieuw toegewezen machines worden in eerste instantie niet gepatcht. De infrastructuur van het besturingssysteem patches op een bepaald moment. | Ubuntu en Azure Linux (CPU-knooppuntgroepen) passen beveiligingspatches toe via een upgrade zonder toezicht/dnf-automatisch ongeveer één keer per dag rond 06:00 UTC. Windows past niet automatisch beveiligingspatches toe, dus deze optie gedraagt zich op dezelfde manier als None . U moet het herstartproces beheren met behulp van een hulpprogramma zoals kured. |
SecurityPatch |
Dit kanaal is in preview en vereist het inschakelen van de functievlag NodeOsUpgradeChannelPreview . Raadpleeg de sectie vereisten voor meer informatie. AKS werkt de virtuele harde schijf (VHD) van het knooppunt regelmatig bij met patches van de onderhoudsfunctie voor installatiekopieën met het label Alleen beveiliging. Er kunnen onderbrekingen optreden wanneer de beveiligingspatches worden toegepast op de knooppunten. Wanneer de patches worden toegepast, wordt de VHD bijgewerkt en worden bestaande machines bijgewerkt naar die VHD, waarbij onderhoudsvensters en piekinstellingen worden uitgevoerd. Met deze optie worden de extra kosten in rekening gebracht voor het hosten van de VHD's in uw knooppuntresourcegroep. Als u dit kanaal gebruikt, worden upgrades zonder toezicht van Linux standaard uitgeschakeld. |
Azure Linux biedt geen ondersteuning voor dit kanaal op VM's met GPU-functionaliteit. SecurityPatch werkt op patchversies die zijn afgeschaft, zolang de secundaire Kubernetes-versie nog steeds wordt ondersteund. |
NodeImage |
AKS werkt de knooppunten bij met een nieuw gepatchte VHD met beveiligingscorrecties en bugfixes op een wekelijkse frequentie. De update voor de nieuwe VHD is verstorend, na onderhoudsvensters en piekinstellingen. Er worden geen extra VHD-kosten gemaakt bij het kiezen van deze optie. Als u dit kanaal gebruikt, worden upgrades zonder toezicht van Linux standaard uitgeschakeld. Upgrades van knooppuntinstallatiekopieën ondersteunen patchversies die zijn afgeschaft, zolang de secundaire Kubernetes-versie nog steeds wordt ondersteund. |
Het kanaal voor automatische upgrade van het knooppuntbesturingssysteem instellen op een nieuw cluster
Stel het kanaal voor automatische upgrade van het knooppuntbesturingssysteem in op een nieuw cluster met behulp van de
az aks create
opdracht met de--node-os-upgrade-channel
parameter. In het volgende voorbeeld wordt het kanaal voor automatische upgrade van het knooppuntbesturingssysteem ingesteld opSecurityPatch
.az aks create --resource-group myResourceGroup --name myAKSCluster --node-os-upgrade-channel SecurityPatch
Het kanaal voor automatische upgrade van het knooppuntbesturingssysteem instellen op een bestaand cluster
Stel het kanaal voor automatische upgrade van het knooppuntbesturingssysteem in op een bestaand cluster met behulp van de
az aks update
opdracht met de--node-os-upgrade-channel
parameter. In het volgende voorbeeld wordt het kanaal voor automatische upgrade van het knooppuntbesturingssysteem ingesteld opSecurityPatch
.az aks update --resource-group myResourceGroup --name myAKSCluster --node-os-upgrade-channel SecurityPatch
Eigendom en planning bijwerken
De standaardfrequentie betekent dat er geen gepland onderhoudsvenster wordt toegepast.
Channel | Eigendom bijwerken | Standaardfrequentie |
---|---|---|
Unmanaged |
Beveiligingsupdates op basis van het besturingssysteem. AKS heeft geen controle over deze updates. | 's Nachts rond 6AM UTC voor Ubuntu en Azure Linux. Maandelijks voor Windows. |
SecurityPatch |
AKS getest, volledig beheerd en toegepast met veilige implementatieprocedures. Raadpleeg verbeterde beveiliging en tolerantie van Canonical-workloads in Azure voor meer informatie. | Wekelijkse. |
NodeImage |
AKS | Wekelijkse. |
Notitie
Hoewel Windows-beveiligingsupdates maandelijks worden uitgebracht, worden deze updates niet automatisch toegepast op Windows-knooppunten met behulp van het Unmanaged
kanaal. Als u het Unmanaged
kanaal kiest, moet u het herstartproces beheren met behulp van een hulpprogramma zoals kured om beveiligingspatches correct toe te passen.
Vereisten voor SecurityPatch-kanaal
Als u het SecurityPatch
kanaal wilt gebruiken, moet uw cluster ondersteuning bieden voor deze vereisten:
- Moet api-versie
11-02-preview
of hoger gebruiken - Als u Azure CLI gebruikt, moet de
aks-preview
CLI-extensieversie0.5.166
of hoger zijn geïnstalleerd - De
NodeOsUpgradeChannelPreview
functievlag moet zijn ingeschakeld voor uw abonnement
NodeOsUpgradeChannelPreview registreren
Registreer de NodeOsUpgradeChannelPreview
functievlag met behulp van de opdracht az feature register , zoals wordt weergegeven in het volgende voorbeeld:
az feature register --namespace "Microsoft.ContainerService" --name "NodeOsUpgradeChannelPreview"
Het duurt enkele minuten voordat de status Geregistreerd wordt weergegeven. Controleer de registratiestatus met behulp van de opdracht az feature show :
az feature show --namespace "Microsoft.ContainerService" --name "NodeOsUpgradeChannelPreview"
Wanneer de status Geregistreerd is, vernieuwt u de registratie van de Resourceprovider Microsoft.ContainerService met behulp van de opdracht az provider register:
az provider register --namespace Microsoft.ContainerService
Bekende bugs in het nodekanaal
Wanneer u het kanaal
node-image
voor automatische upgrade van het cluster op dit moment instelt, wordt ook automatisch het kanaalNodeImage
voor automatische upgrade van het knooppuntbesturingssysteem ingesteld op . U kunt de waarde van het kanaal voor het automatisch upgraden van het knooppuntbesturingssysteem niet wijzigen als het kanaal voor automatische upgrade van het cluster isnode-image
. Als u de kanaalwaarde voor het automatisch upgraden van het knooppuntbesturingssysteem wilt instellen, controleert u of de kanaalwaarde voor het cluster automatisch upgraden nietnode-image
is.Het
SecurityPatch
kanaal wordt niet ondersteund in Windows OS-knooppuntgroepen.
Notitie
Standaard stelt elk nieuw cluster dat is gemaakt met een API-versie van 06-01-2022
of hoger, de kanaalwaarde voor automatische upgrade van het knooppuntbesturingssysteem in op NodeImage
. Bestaande clusters die zijn gemaakt met een API-versie die ouder zijn dan 06-01-2022
, hebben de kanaalwaarde voor automatisch upgraden van het knooppuntbesturingssysteem standaard ingesteld None
op.
Geplande onderhoudsvensters voor nodebesturingssystemen
Gepland onderhoud voor de automatische upgrade van het knooppuntbesturingssysteem begint bij het opgegeven onderhoudsvenster.
Notitie
Gebruik een onderhoudsvenster van vier uur of meer om de juiste functionaliteit te garanderen.
Zie Gepland onderhoud gebruiken om onderhoudsvensters te plannen voor uw AKS-cluster (Azure Kubernetes Service) voor meer informatie over gepland onderhoud.
Veelgestelde vragen over automatische upgrades van het nodebesturingssysteem
- Hoe kan ik de huidige waarde van nodeOsUpgradeChannel in een cluster controleren?
Voer de az aks show
opdracht uit en controleer 'autoUpgradeProfile' om te bepalen op welke waarde de nodeOsUpgradeChannel
waarde is ingesteld:
az aks show --resource-group myResourceGroup --name myAKSCluster --query "autoUpgradeProfile"
- Hoe kan ik de status van automatische upgrades van het knooppuntbesturingssysteem controleren?
Als u de status van automatische upgrades van het knooppuntbesturingssystemen wilt bekijken, zoekt u activiteitenlogboeken op in uw cluster. U kunt ook specifieke upgradegebeurtenissen opzoeken, zoals vermeld in Een AKS-cluster upgraden. AKS verzendt ook upgradegerelateerde Event Grid-gebeurtenissen. Zie AKS als een Event Grid-bron voor meer informatie.
- Kan ik de waarde van het kanaal voor het automatisch upgraden van het knooppuntbesturingssysteem wijzigen als mijn clusterkanaal voor automatische upgrade is ingesteld op
node-image
?
Nee Wanneer u het kanaalnode-image
voor automatische upgrade van het cluster op dit moment instelt, wordt ook automatisch het kanaal NodeImage
voor automatische upgrade van het knooppuntbesturingssysteem ingesteld op . U kunt de waarde van het kanaal voor het automatisch upgraden van het knooppuntbesturingssysteem niet wijzigen als het kanaal voor automatische upgrade van het cluster is node-image
. Als u de kanaalwaarden voor het automatisch upgraden van het knooppuntbesturingssysteem wilt wijzigen, moet u ervoor zorgen dat het kanaal voor automatische upgrade van het cluster niet node-image
is.
- Waarom wordt
SecurityPatch
aanbevolen viaUnmanaged
kanaal?
Op het Unmanaged
kanaal heeft AKS geen controle over hoe en wanneer de beveiligingsupdates worden geleverd. Hiermee SecurityPatch
worden de beveiligingsupdates volledig getest en volgen ze veilige implementatieprocedures. SecurityPatch
eert ook onderhoudsvensters. Zie Verbeterde beveiliging en tolerantie van Canonical-workloads in Azure voor meer informatie.
- Hoe kan ik weten of een
SecurityPatch
ofNodeImage
upgrade wordt toegepast op mijn knooppunt?
Voer de volgende opdracht uit om knooppuntlabels te verkrijgen:
kubectl get nodes --show-labels
Onder de geretourneerde labels ziet u een lijn die lijkt op de volgende uitvoer:
kubernetes.azure.com/node-image-version=AKSUbuntu-2204gen2containerd-202311.07.0
Hier is AKSUbuntu-2204gen2containerd
de versie van de basisknooppuntinstallatiekopieën. Indien van toepassing, volgt de versie van de beveiligingspatch doorgaans. In het bovenstaande voorbeeld is het 202311.07.0
.
Dezelfde details worden ook opgezoekd in Azure Portal onder de labelweergave van het knooppunt:
Volgende stappen
Zie AKS-patch- en upgraderichtlijnen voor een gedetailleerde bespreking van best practices en andere overwegingen voor upgrades.