Często zadawane pytania dotyczące usługi AKS

Ten artykuł zawiera odpowiedzi na niektóre z najczęściej zadawanych pytań dotyczących Azure Kubernetes Service (AKS).

Wsparcie

Czy AKS oferuje umowę SLA?

Usługa AKS zapewnia gwarancje umowy dotyczącej poziomu usług (SLA) w warstwie cenowej Standard z funkcją SLA gwarantującą czas działania.

Co to jest obsługa platformy i co obejmuje?

Obsługa platformy to ograniczony plan pomocy technicznej dla nieobsługiwanych klastrów w wersji n-3. Obsługa platformy obejmuje tylko obsługę infrastruktury Azure.

Aby uzyskać więcej informacji, zobacz zasady pomocy technicznej platformy.

Czy usługa AKS automatycznie uaktualnia nieobsługiwane klastry?

Tak, usługa AKS inicjuje automatyczne uaktualnienia dla nieobsługiwanych klastrów. Gdy klaster w wersji n-3 (gdzie n jest najnowszą obsługiwaną wersją podrzędną usługi AKS, która jest ogólnie dostępna) zbliża się do spadku do n-4, usługa AKS automatycznie uaktualnia klaster do n-2, aby pozostać zgodnym z zasadami wsparcia AKS.

Aby uzyskać więcej informacji, zobacz Obsługiwane wersje platformy Kubernetes, Okna planowanej konserwacji i Automatyczne uaktualnienia.

Czy mogę zastosować rabaty na rezerwacje Azure do węzłów agenta usługi AKS?

Węzły agenta usługi AKS są rozliczane jako standardowe maszyny wirtualne Azure. Jeśli zakupiono rezerwacje Azure dla rozmiaru maszyny wirtualnej używanej w usłudze AKS, te rabaty są stosowane automatycznie.

Operacje

Czy mogę uruchamiać kontenery Windows Server w usłudze AKS?

Tak, usługa AKS obsługuje kontenery Windows Server. Aby uzyskać więcej informacji, zobacz Windows Server w usłudze AKS — często zadawane pytania.

Jakie systemy operacyjne Linux są obsługiwane w usłudze AKS?

Usługa AKS obsługuje cztery główne systemy operacyjne Linux, w tym Ubuntu Linux, Azure Linux, Azure Linux OS Guard i Flatcar Container Linux for AKS. Podczas określania --os-type Linux podczas tworzenia puli węzłów lub tworzenia klastra domyślny system operacyjny to Ubuntu Linux.

Jakie wersje systemów operacyjnych są obsługiwane w usłudze AKS?

W przypadku korzystania z --os-sku Ubuntu AKS w wersjach Kubernetes 1.25-1.34, domyślnie używany jest system Ubuntu 22.04. Usługa AKS domyślnie używa systemu Ubuntu 24.04 na platformie Kubernetes w wersji 1.35 lub nowszej. Gdy korzystasz z --os-sku AzureLinux, AKS domyślnie włącza Azure Linux 3.0 w wersjach Kubernetes 1.32 lub nowszych. W niektórych scenariuszach, takich jak pule węzłów z obsługą protokołu FIPS, domyślna wersja systemu operacyjnego może się różnić. Aby uzyskać więcej informacji, zobacz obrazy węzłów .

Czy mogę przenieść lub zmigrować klaster między dzierżawami Azure?

Nie. Przenoszenie klastra usługi AKS między dzierżawami jest obecnie nieobsługiwane.

Czy mogę przenieść lub zmigrować klaster między subskrypcjami?

Nie. Przenoszenie klastra usługi AKS między subskrypcjami jest obecnie nieobsługiwane.

Czy mogę przenieść lub zmigrować klaster do innej sieci wirtualnej?

Nie. Przenoszenie klastra usługi AKS do innej sieci wirtualnej jest obecnie nieobsługiwane.

Czy mogę przenieść mój klaster usługi AKS lub zasoby infrastruktury usługi AKS do innych grup zasobów lub zmienić ich nazwę?

Nie. Przenoszenie lub zmienianie nazwy klastra usługi AKS i skojarzonych z nim zasobów nie jest obsługiwane.

Czy mogę przywrócić klaster po jego usunięciu?

Nie. Nie można przywrócić klastra po jego usunięciu. Po usunięciu klastra grupa zasobów węzła i wszystkie jej zasoby również zostaną usunięte.

Jeśli chcesz zachować dowolne zasoby, przenieś je do innej grupy zasobów przed usunięciem klastra. Jeśli chcesz chronić przed przypadkowymi usunięciami, możesz zablokować zarządzaną grupę zasobów usługi AKS, która hostuje zasoby klastra przy użyciu blokady grupy zasobów węzła.

Czy mogę zmniejszyć klaster usługi AKS do zera?

Możesz całkowicie zatrzymać uruchomiony klaster AKS lub skalować lub autoskalować wszystkie lub określone User pule węzłów do zera.

Nie można bezpośrednio skalować pul węzłów systemowych do zera.

Czy mogę użyć API zestawu skalowania maszyn wirtualnych do ręcznego skalowania?

Nie. Operacje skalowania, które używają API zestawów skalowania maszyn wirtualnych, nie są obsługiwane. Możesz użyć interfejsów API usługi AKS (az aks scale).

Czy można użyć zestawów skalowania maszyn wirtualnych do ręcznego skalowania do zera węzłów?

Nie. Operacje skalowania korzystające z interfejsów API zestawu skalowania maszyn wirtualnych nie są obsługiwane. Interfejs API usługi AKS umożliwia skalowanie pul węzłów niesystemowych do zera, lub zatrzymanie klastra.

Czy mogę zatrzymać lub cofnąć przydział wszystkich maszyn wirtualnych?

Nie. Ta konfiguracja nie jest obsługiwana. Zatrzymaj klaster.

Dlaczego dwie grupy zasobów są tworzone za pomocą usługi AKS?

Usługa AKS bazuje na wielu zasobach infrastruktury Azure, w tym zestawach skalowania maszyn wirtualnych, sieciach wirtualnych i dyskach zarządzanych. Te integracje umożliwiają zastosowanie wielu podstawowych funkcji platformy Azure w zarządzanym środowisku Kubernetes udostępnianym przez usługę AKS. Na przykład większość typów maszyn wirtualnych Azure można używać bezpośrednio z usługą AKS i możesz użyć Azure Rezerwacje, aby automatycznie otrzymywać rabaty na te zasoby.

Aby włączyć tę architekturę, każde wdrożenie usługi AKS obejmuje dwie grupy zasobów:

1. Należy utworzyć pierwszą grupę zasobów. Ta grupa zawiera tylko zasób usługi Kubernetes. Dostawca zasobów usługi AKS automatycznie tworzy drugą grupę zasobów podczas wdrażania. Przykładem drugiej grupy zasobów jest MC_myResourceGroup_myAKSCluster_eastus. Aby uzyskać informacje na temat określania nazwy tej drugiej grupy zasobów, zobacz następną sekcję.
2. Druga grupa zasobów, znana jako grupa zasobów węzła, zawiera wszystkie zasoby infrastruktury skojarzone z klastrem. Te zasoby obejmują maszyny wirtualne węzła Kubernetes, sieć wirtualną i magazyn. Domyślnie grupa zasobów węzła ma nazwę taką jak MC_myResourceGroup_myAKSCluster_eastus. Usługa AKS automatycznie usuwa grupę zasobów węzła za każdym razem, gdy klaster zostanie usunięty. Używaj tej grupy zasobów tylko dla zasobów, które współdzielą cykl życia klastra.

Uwaga

Modyfikowanie dowolnego zasobu w grupie zasobów węzła w klastrze usługi AKS jest nieobsługiwaną akcją i spowoduje niepowodzenie operacji klastra. Możesz uniemożliwić wprowadzanie zmian w grupie zasobów węzła. Blokuj użytkownikom modyfikowanie zasobów zarządzanych przez klaster usługi AKS.

Czy mogę podać własną nazwę dla grupy zasobów węzła usługi AKS?

Domyślnie usługa AKS nazywa grupę zasobów węzła jako MC_resourcegroupname_clustername_location, ale możesz podać własną nazwę.

Aby określić nazwę własnej grupy zasobów, zainstaluj aks-preview Azure CLI wersji rozszerzenia 0.3.2 lub nowszą. Podczas tworzenia klastra usługi AKS, używając polecenia az aks create, użyj parametru --node-resource-group i określ nazwę grupy zasobów. Jeśli używasz szablonu Azure Resource Manager do wdrożenia klastra usługi AKS, możesz zdefiniować nazwę grupy zasobów przy użyciu właściwości nodeResourceGroup.

• Dostawca zasobów Azure automatycznie tworzy pomocniczą grupę zasobów.
• Niestandardową nazwę grupy zasobów można określić tylko podczas tworzenia klastra.

Podczas pracy z grupą zasobów węzła nie można wykonywać następujących czynności:

• Określ istniejącą grupę zasobów dla grupy zasobów węzła.
• Określ inną subskrypcję dla grupy zasobów węzła.
• Zmień nazwę grupy zasobów węzła po utworzeniu klastra.
• Określ nazwy zarządzanych zasobów w grupie zasobów węzła.
• Modyfikowanie lub usuwanie tagów utworzonych przez Azure w zarządzanych zasobach w grupie zasobów dla węzłów.

Czy mogę zmodyfikować tagi i inne właściwości zasobów AKS w grupie zasobów węzła?

W przypadku modyfikowania lub usuwania tagów utworzonych Azure i innych właściwości zasobów w grupie zasobów węzła mogą wystąpić nieoczekiwane błędy skalowania i uaktualniania. Usługa AKS umożliwia tworzenie i modyfikowanie tagów niestandardowych utworzonych przez użytkowników końcowych oraz dodawanie tych tagów podczas tworzenia puli węzłów. Możesz na przykład utworzyć lub zmodyfikować tagi niestandardowe, aby przypisać jednostkę biznesową lub centrum kosztów. Inną opcją jest zastosowanie zasad i zmodyfikowanie tagów za pośrednictwem samego zasobu usługi AKS — w szczególności za pośrednictwem pul klastrów i węzłów.

Tagi tworzone przez Azure są tworzone dla odpowiednich usług Azure i należy je zawsze akceptować. W przypadku usługi AKS istnieją tagi aks-managed i k8s-azure. Modyfikowanie jakichkolwiek tagów utworzonych przez Azure na zasobach w grupie zasobów węzła w klastrze AKS jest nieobsługiwaną akcją, która narusza cel poziomu usługi (SLO).

Uwaga

W przeszłości nazwa tagu Owner była zarezerwowana dla usługi AKS do zarządzania adresem publicznym IP przypisanym do „frontonu” IP load balancera. Teraz usługi używają prefiksu aks-managed . W przypadku starszych zasobów nie używaj zasad Azure, aby zastosować nazwę tagu Owner. W przeciwnym razie wszystkie zasoby we wdrożeniu klastra usługi AKS i operacjach aktualizacji ulegną awarii. To ograniczenie nie dotyczy nowo utworzonych zasobów.

Dlaczego w klastrze są widoczne wersje programu Helm zarządzane przez usługę aks i dlaczego ich liczba poprawek stale rośnie?

Usługa AKS używa programu Helm do dostarczania składników do klastra. Możesz bezpiecznie zignorować aks-managed prefiksowane wersje programu Helm. Ciągłe zwiększanie wersji wydania programu Helm jest oczekiwane i bezpieczne.

Limity przydziałów, ograniczenia i dostępność regionów

Które regiony Azure obecnie zapewniają usługi AKS?

Aby uzyskać pełną listę dostępnych regionów, zobacz Regiony i dostępność usługi AKS.

Czy mogę rozłożyć klaster usługi AKS w różnych regionach?

Nie. Klastry usługi AKS są zasobami regionalnymi i nie mogą obejmować regionów. Aby uzyskać wskazówki dotyczące tworzenia architektury obejmującej wiele regionów, zobacz najlepsze rozwiązania dotyczące ciągłości działania i odzyskiwania po awarii.

Czy mogę rozłożyć klaster usługi AKS w różnych strefach dostępności?

Tak, klaster usługi AKS można wdrożyć w co najmniej jednej strefie dostępności w regionach, które je obsługują.

Czy mogę mieć różne rozmiary maszyn wirtualnych w jednym klastrze?

Tak, możesz użyć różnych rozmiarów maszyn wirtualnych w klastrze usługi AKS, tworząc wiele pul węzłów.

Jaki jest limit rozmiaru obrazu kontenera w usłudze AKS?

Usługa AKS nie ustawia limitu rozmiaru obrazu kontenera. Ale im większy obraz, tym większe zapotrzebowanie na pamięć. Większy rozmiar może potencjalnie przekroczyć limity zasobów lub ogólną dostępną pamięć węzłów roboczych. Domyślnie pamięć dla rozmiaru maszyny wirtualnej Standard_DS2_v2 dla klastra usługi AKS jest ustawiona na 7 GiB.

Gdy obraz kontenera jest zbyt duży, podobnie jak w zakresie terabajtów (TB), kubelet może nie być w stanie ściągnąć go z rejestru kontenerów do węzła z powodu braku miejsca na dysku.

W przypadku węzłów Windows Server Windows Update nie uruchamia się automatycznie i nie stosuje najnowszych aktualizacji. Należy przeprowadzić aktualizację klastra oraz pul węzłów Windows Server w klastrze AKS. Postępuj zgodnie z regularnym harmonogramem na podstawie cyklu wydawania Windows Update i własnego procesu weryfikacji. Ten proces uaktualniania tworzy węzły, w których uruchamiany jest najnowszy obraz Windows Server i poprawki, a następnie usuwa starsze węzły. Aby uzyskać więcej informacji na temat tego procesu, zobacz Uaktualnianie puli węzłów w usłudze AKS.

Czy obrazy AKS muszą być uruchamiane jako użytkownik root?

Następujące obrazy mają wymagania do uruchomienia jako użytkownik root, a wyjątki muszą zostać zgłoszone dla wszelkich zasad:

• mcr.microsoft.com/oss/kubernetes/coredns
• mcr.microsoft.com/azuremonitor/containerinsights/ciprod
• mcr.microsoft.com/oss/calico/node
• mcr.microsoft.com/oss/kubernetes-csi/azuredisk-csi

Zabezpieczenia, dostęp i tożsamość

Czy mogę ograniczyć, kto ma dostęp do serwera interfejsu API Kubernetes?

Tak, istnieją dwie opcje ograniczania dostępu do serwera interfejsu API:

• Użyj zakresów autoryzowanych adresów IP serwera interfejsu API , jeśli chcesz zachować publiczny punkt końcowy dla serwera interfejsu API, ale ograniczyć dostęp do zestawu zaufanych zakresów adresów IP.
• Użyj klastra prywatnego , jeśli chcesz ograniczyć dostęp do serwera interfejsu API tylko z sieci wirtualnej.

Czy aktualizacje zabezpieczeń są zastosowywane do węzłów agenta usługi AKS?

AKS co tydzień łata CVE, które mają poprawkę dostawcy. CVE bez poprawki czekają na poprawkę od dostawcy, zanim będą mogły zostać naprawione. Obrazy usługi AKS są automatycznie aktualizowane co 30 dni. Zalecamy regularne stosowanie zaktualizowanego obrazu węzła, aby upewnić się, że wszystkie najnowsze poprawki obrazów oraz systemu operacyjnego są stosowane i aktualne. To zadanie można wykonać:

• Ręcznie za pośrednictwem portalu Azure lub Azure CLI.
• Uaktualniając klaster AKS. Klaster automatycznie uaktualnia węzły cordon i drain. Następnie zostanie wyświetlony nowy węzeł w trybie online z najnowszym obrazem systemu Ubuntu i nową wersją poprawki lub pomocniczą wersją rozwiązania Kubernetes. Aby uzyskać więcej informacji, sprawdź Uaktualnij klaster AKS.
• Za pomocą aktualizacji obrazu węzła.

Czy istnieją zagrożenia bezpieczeństwa przeznaczone dla usługi AKS, o których powinienem wiedzieć?

Microsoft zawiera wskazówki dotyczące innych akcji, które można wykonać w celu zabezpieczenia obciążeń za pośrednictwem usług, takich jak Microsoft Defender for Containers. Aby uzyskać informacje na temat zagrożenia bezpieczeństwa związanego z AKS i Kubernetes, zobacz New large-scale campaign targets Kubeflow (8 czerwca 2021 r.).

Czy usługa AKS przechowuje dane klientów poza regionem klastra?

Nie. Wszystkie dane są przechowywane w regionie klastra.

Jak uniknąć problemów z powolnym ustawianiem własności uprawnień, gdy wolumin zawiera wiele plików?

Tradycyjnie, jeśli zasobnik jest uruchomiony jako użytkownik inny niż główny (który powinien), należy określić fsGroup parametr wewnątrz kontekstu zabezpieczeń zasobnika, aby wolumin był czytelny i zapisywalny przez zasobnik. Aby uzyskać więcej informacji na temat tego wymagania, zobacz Konfigurowanie kontekstu zabezpieczeń dla zasobnika lub kontenera.

Efektem ubocznym ustawienia fsGroup jest to, że za każdym razem, gdy wolumin jest montowany, platforma Kubernetes musi używać chown() i chmod() poleceń rekursywnie dla wszystkich plików i katalogów wewnątrz woluminu (z kilkoma wyjątkami). Ten scenariusz występuje nawet wtedy, gdy własność grupy woluminu jest już zgodna z żądanym fsGroup parametrem. Ta konfiguracja może być kosztowna w przypadku większych woluminów z wieloma małymi plikami, co może spowodować, że uruchamianie zasobnika zajmuje dużo czasu. Ten scenariusz był znanym problemem przed 1.20. Obejście polega na ustawieniu poda tak, aby był uruchamiany jako root:

apiVersion: v1
kind: Pod
metadata:
  name: security-context-demo
spec:
  securityContext:
    runAsUser: 0
    fsGroup: 0

Problem został rozwiązany przy użyciu platformy Kubernetes w wersji 1.20. Aby uzyskać więcej informacji, zobacz Kubernetes 1.20: Szczegółowa kontrola nad zmianami uprawnień woluminu.

Sieć

Jak zarządzana płaszczyzna sterowania komunikuje się z moimi węzłami?

Usługa AKS używa bezpiecznej komunikacji tunelu, aby umożliwić api-server oraz kubeletom na poszczególnych węzłach komunikację, nawet w oddzielnych sieciach wirtualnych. Tunel jest zabezpieczony poprzez wzajemne szyfrowanie TLS. Bieżący główny tunel używany przez usługę AKS to Konnectivity, wcześniej znany jako apiserver-network-proxy. Sprawdź, czy wszystkie reguły sieci spełniają wymogi wymaganych reguł sieci i w pełni kwalifikowanych nazw domen (FQDN) w Azure.

Czy moje zasobniki mogą używać nazwy FQDN serwera API zamiast adresu IP klastra?

Tak, możesz dodać adnotację kubernetes.azure.com/set-kube-service-host-fqdn do zasobników, aby ustawić KUBERNETES_SERVICE_HOST zmienną na nazwę domeny serwera interfejsu API zamiast adresu IP usługi klastra. Ta modyfikacja jest przydatna w przypadkach, gdy ruch wychodzący klastra odbywa się za pośrednictwem zapory warstwy 7. Przykładem jest użycie Azure Firewall z regułami aplikacji.

Czy można skonfigurować sieciowe grupy zabezpieczeń za pomocą usługi AKS?

Usługa AKS nie stosuje sieciowych grup zabezpieczeń do podsieci i nie modyfikuje żadnej sieciowej grupy zabezpieczeń skojarzonej z tą podsiecią. Usługa AKS modyfikuje tylko ustawienia grupy zabezpieczeń sieciowych dla interfejsu sieciowego. Jeśli używasz Container Network Interface (CNI), musisz również upewnić się, że reguły zabezpieczeń w sieciowych grupach zabezpieczeń (NSG) zezwalają na ruch między węzłem a zakresami CIDR (routingu międzydomenowego bezklasowego). Jeśli używasz rozwiązania kubenet, musisz również upewnić się, że reguły zabezpieczeń w sieciowych grupach zabezpieczeń zezwalają na ruch między węzłem i zasobnikami CIDR. Aby uzyskać więcej informacji, zobacz Sieciowe grupy zabezpieczeń.

Jak działa synchronizacja czasu w usłudze AKS?

Węzły usługi AKS uruchamiają usługę chrony, która synchronizuje czas z hosta lokalnego. Kontenery uruchamiane na podach uzyskują czas z węzłów AKS. Aplikacje otwierane wewnątrz kontenera używają czasu z kontenera poda.

Dodatki, rozszerzenia i integracje

Czy mogę używać niestandardowych rozszerzeń maszyn wirtualnych?

Nie. Usługa AKS jest usługą zarządzaną. Manipulowanie zasobami infrastruktury jako usługi (IaaS) nie jest obsługiwane. Aby zainstalować składniki niestandardowe, użyj interfejsów API i mechanizmów platformy Kubernetes. Na przykład użyj poleceń DaemonSets, aby zainstalować wszystkie wymagane składniki.

Jakie kontrolery przyjęć platformy Kubernetes obsługują usługę AKS? Czy można dodać lub usunąć kontrolery dostępu?

Usługa AKS obsługuje następujące kontrolery wejściowe:

• NamespaceLifecycle
• LimitRanger
• ServiceAccount
• DefaultIngressClass
• DefaultStorageClass
• DefaultTolerationSeconds
• MutatingAdmissionWebhook
• ValidatingAdmissionWebhook
• ResourceQuota
• PodNodeSelector
• PodTolerationRestriction
• ExtendedResourceToleration

Obecnie nie można zmodyfikować listy kontrolerów wstępu w AKS.

Czy mogę używać elementów webhook kontrolera dostępu w usłudze AKS?

Tak, można użyć elementów webhook kontrolera dostępu w usłudze AKS. Zalecamy wykluczenie wewnętrznych przestrzeni nazw AKS, które są oznaczone etykietą control-plane. Na przykład:

namespaceSelector:
    matchExpressions:
    - key: control-plane
      operator: DoesNotExist

Usługa AKS blokuje ruch wychodzący serwera API, aby webhooki kontrolera przyjęć były dostępne z wnętrza klastra.

Czy webhooki kontrolera przyjęć mogą wpływać na przestrzeń nazw kube-system i wewnętrzne przestrzenie nazw AKS?

Aby chronić stabilność systemu i zapobiegać wpływowi niestandardowych kontrolerów przyjęć na wewnętrzne usługi w przestrzeni nazw kube-system, AKS posiada moduł egzekwujący przyjęcia, który automatycznie wyklucza kube-system oraz przestrzenie nazw wewnętrzne dla AKS. Ta usługa gwarantuje, że niestandardowe kontrolery dostępu nie mają wpływu na usługi uruchomione w programie kube-system.

Jeśli masz krytyczny przypadek użycia do wdrażania elementu w systemie kube-system (niezalecane) w obsłudze niestandardowego elementu webhook przyjęcia, możesz dodać następującą etykietę lub adnotację, aby wymuszać przyznanie go zignorować:

• Etykieta: "admissions.enforcer/disabled": "true"
• Adnotacja: "admissions.enforcer/disabled": true

Czy Azure Key Vault jest zintegrowana z usługą AKS?

Azure Key Vault dostawca dla sterownika CSI magazynu tajemnic zapewnia natywną integrację Azure Key Vault z usługą AKS.

Czy mogę używać bibliotek kryptograficznych FIPS z wdrożeniami w AKS?

Węzły, które są włączone przy użyciu federalnych standardów przetwarzania informacji (FIPS) są teraz obsługiwane w pulach węzłów opartych na systemie Linux. Aby uzyskać więcej informacji, zobacz Dodawanie puli węzłów z obsługą protokołu FIPS.

Jak są aktualizowane dodatki usługi AKS?

Każda poprawka, w tym poprawka zabezpieczeń, jest automatycznie stosowana do klastra usługi AKS. Wszystkie zmiany większe niż poprawki, takie jak zmiany wersji głównej lub pomocniczej (które mogą mieć zmiany powodujące niezgodność w wdrożonych obiektach), są aktualizowane po zaktualizowaniu klastra, jeśli jest dostępna nowa wersja. Aby uzyskać informacje na temat dostępności nowej wersji, zobacz informacje o wersji AKS.

Jaki jest cel rozszerzenia AKS dla systemu Linux, które widzę na instancjach Linux w zestawach skalowania maszyn wirtualnych?

Rozszerzenie usługi AKS dla systemu Linux to rozszerzenie maszyny wirtualnej Azure, które instaluje i konfiguruje narzędzia do monitorowania w węzłach roboczych platformy Kubernetes. Rozszerzenie jest instalowane we wszystkich nowych i istniejących węzłach systemu Linux. Konfiguruje następujące narzędzia do monitorowania:

• Node-exporter: Zbiera dane telemetryczne sprzętu z maszyny wirtualnej i udostępnia je poprzez punkt końcowy metryk. Następnie narzędzie do monitorowania, takie jak Prometheus, może zbierać te metryki.
• Narzędzie do wykrywania problemów z węzłem: ma na celu uwidocznienie różnych problemów z węzłami w warstwach nadrzędnych w stosie zarządzania klastrem. Jest to jednostka systemowa, która działa w każdym węźle, wykrywa problemy z węzłami i zgłasza je do serwera interfejsu API klastra przy użyciu poleceń Events i NodeConditions.
• ig: to oparta na eBPF platforma typu open source do debugowania i obserwacji systemów Linux i Kubernetes. Udostępnia zestaw narzędzi (lub gadżetów), które zbierają istotne informacje, których użytkownicy mogą używać do identyfikowania przyczyny problemów z wydajnością, awarii lub innych anomalii. W szczególności jego niezależność od platformy Kubernetes umożliwia użytkownikom korzystanie z niego również w przypadku debugowania problemów z płaszczyzną sterowania.

Te narzędzia ułatwiają obserwowanie wielu problemów związanych z kondycją węzła, takich jak:

• Problemy z demonem infrastruktury: Usługa NTP nie działa
• Problemy sprzętowe: Zły procesor CPU, pamięć lub dysk
• Problemy z jądrami: Zakleszczenie jądra, uszkodzony system plików
• Problemy ze środowiskiem uruchomieniowym kontenera: Demon środowiska uruchomieniowego, który nie odpowiada

Rozszerzenie nie wymaga dodatkowego dostępu wychodzącego do żadnych adresów URL, adresów IP ani portów poza udokumentowanymi wymaganiami dotyczącymi ruchu wychodzącego usługi AKS. Nie wymaga żadnych specjalnych uprawnień przyznanych w Azure. Służy kubeconfig do nawiązywania połączenia z serwerem interfejsu API w celu wysyłania zebranych danych monitorowania.

Rozwiązywanie problemów z klastrem

Dlaczego usunięcie klastra trwa tak długo?

Większość klastrów jest usuwana na żądanie użytkownika. W niektórych przypadkach, szczególnie w przypadku przeniesienia własnej grupy zasobów lub wykonania zadań między grupami zasobów usunięcie może zająć więcej czasu, a nawet zakończyć się niepowodzeniem. Jeśli masz problem z usunięciem, sprawdź dwukrotnie, czy nie masz blokad w grupie zasobów. Upewnij się również, że wszystkie zasoby spoza grupy zasobów nie są skojarzone z grupą zasobów.

Dlaczego tworzenie lub aktualizowanie klastra trwa tak długo?

Jeśli masz problemy z tworzeniem i aktualizowaniem klastrów, upewnij się, że nie masz żadnych przypisanych zasad ani ograniczeń usługi, które mogą uniemożliwić klastrowi usługi AKS zarządzanie zasobami, takimi jak maszyny wirtualne, moduły równoważenia obciążenia lub tagi.

Jeśli mam zasobniki lub wdrożenia w stanach NodeLost lub Unknown, czy nadal mogę uaktualnić klaster?

Możesz, ale nie zalecamy tego. Wykonaj aktualizacje, gdy stan klastra jest znany i w dobrej kondycji.

Jeśli mam klaster z co najmniej jednym węzłem w złej kondycji lub jeśli jest on zamknięty, czy mogę przeprowadzić uaktualnienie?

Nie. Usuń wszystkie węzły, które są w stanie awarii lub w inny sposób wymagają usunięcia z klastra przed aktualizacją.

Próbowałem usunąć mój klaster, ale widzę błąd "[Errno 11001] getaddrinfo nie powiodło się".

Najczęściej ten błąd występuje, jeśli masz co najmniej jedną NSG (sieciową grupę zabezpieczeń), która jest nadal skojarzona z klastrem. Usuń je i spróbuj ponownie usunąć klaster.

Uruchomiłem uaktualnienie, ale teraz moje kapsuły są w pętlach awarii, a sondy gotowości nie działają.

Upewnij się, że główna nazwa usługi nie wygasła. Aby uzyskać więcej informacji, zobacz AKS service principal and AKS update credentials ( Jednostki usługi AKS i poświadczenia aktualizacji usługi AKS).

Mój klaster działał, ale nagle nie mogę aprowizować modułów równoważenia obciążenia ani instalować trwałych oświadczeń woluminów.

Upewnij się, że konto usługi nie wygasło. Aby uzyskać więcej informacji, zobacz AKS service principal and AKS update credentials ( Jednostki usługi AKS i poświadczenia aktualizacji usługi AKS).

Wycofanie z użycia i uznanie za przestarzałe

Które wersje systemu operacyjnego Linux są przestarzałe w usłudze AKS?

Począwszy od 17 marca 2027 r., Azure Kubernetes Service (AKS) nie obsługuje już ani nie zapewnia aktualizacji zabezpieczeń Ubuntu 20.04. Wszystkie istniejące obrazy węzłów zostaną usunięte i nie będzie można skalować pul węzłów działających na systemie Ubuntu 20.04. Przeprowadź migrację do obsługiwanej wersji systemu Ubuntu, uaktualniając pule węzłów do platformy Kubernetes w wersji 1.35 lub nowszej. Aby uzyskać więcej informacji na temat tego wycofania, zobacz zgłoszenie GitHub o wycofaniu i ogłoszenie o wycofaniu aktualizacji Azure. Aby być na bieżąco z ogłoszeniami i aktualizacjami, śledź notatki z wydania AKS.

Które wersje systemu operacyjnego Windows są przestarzałe w usłudze AKS?

Od 1 marca 2026 r. Azure Kubernetes Service (AKS) nie obsługuje już pul węzłów Windows Server 2019. Pule węzłów z uruchomioną platformą Kubernetes w wersji 1.33 lub nowszej nie mogą używać Windows Server 2019. Począwszy od 01 kwietnia 2027 r., usługa AKS usunie wszystkie istniejące obrazy węzłów dla Windows Server 2019, co oznacza, że operacje skalowania zakończy się niepowodzeniem. Aby uzyskać więcej informacji na temat tego wycofania, zobacz zgłoszenie GitHub o wycofaniu i ogłoszenie o wycofaniu aktualizacji Azure. Aby być na bieżąco z ogłoszeniami i aktualizacjami, śledź notatki z wydania AKS. Począwszy od 15 marca 2027 r., Azure Kubernetes Service (AKS) nie obsługuje już pul węzłów Windows Server 2022. Pule węzłów z uruchomioną platformą Kubernetes w wersji 1.36 lub nowszej nie mogą używać Windows Server 2022. Począwszy od 1 kwietnia 2028 r., usługa AKS usunie wszystkie istniejące obrazy węzłów dla Windows Server 2022, co oznacza, że operacje skalowania zakończy się niepowodzeniem. Aby uzyskać więcej informacji na temat tego wycofania, zobacz zgłoszenie GitHub o wycofaniu i ogłoszenie o wycofaniu aktualizacji Azure. Aby być na bieżąco z ogłoszeniami i aktualizacjami, śledź notatki z wydania AKS.

Ten artykuł zawiera odpowiedzi na niektóre z najczęściej zadawanych pytań dotyczących Azure Kubernetes Service (AKS).

Usługa AKS zapewnia gwarancje umowy dotyczącej poziomu usług (SLA) w warstwie cenowej Standard z funkcją SLA gwarantującą czas działania.

Obsługa platformy to ograniczony plan pomocy technicznej dla nieobsługiwanych klastrów w wersji n-3. Obsługa platformy obejmuje tylko obsługę infrastruktury Azure.

Aby uzyskać więcej informacji, zobacz zasady pomocy technicznej platformy.

Tak, usługa AKS inicjuje automatyczne uaktualnienia dla nieobsługiwanych klastrów. Gdy klaster w wersji n-3 (gdzie n jest najnowszą obsługiwaną wersją podrzędną usługi AKS, która jest ogólnie dostępna) zbliża się do spadku do n-4, usługa AKS automatycznie uaktualnia klaster do n-2, aby pozostać zgodnym z zasadami wsparcia AKS.

Aby uzyskać więcej informacji, zobacz Obsługiwane wersje platformy Kubernetes, Okna planowanej konserwacji i Automatyczne uaktualnienia.

Węzły agenta usługi AKS są rozliczane jako standardowe maszyny wirtualne Azure. Jeśli zakupiono rezerwacje Azure dla rozmiaru maszyny wirtualnej używanej w usłudze AKS, te rabaty są stosowane automatycznie.

Tak, usługa AKS obsługuje kontenery Windows Server. Aby uzyskać więcej informacji, zobacz Windows Server w usłudze AKS — często zadawane pytania.

Usługa AKS obsługuje cztery główne systemy operacyjne Linux, w tym Ubuntu Linux, Azure Linux, Azure Linux OS Guard i Flatcar Container Linux for AKS. Podczas określania --os-type Linux podczas tworzenia puli węzłów lub tworzenia klastra domyślny system operacyjny to Ubuntu Linux.

W przypadku korzystania z --os-sku Ubuntu AKS w wersjach Kubernetes 1.25-1.34, domyślnie używany jest system Ubuntu 22.04. Usługa AKS domyślnie używa systemu Ubuntu 24.04 na platformie Kubernetes w wersji 1.35 lub nowszej. Gdy korzystasz z --os-sku AzureLinux, AKS domyślnie włącza Azure Linux 3.0 w wersjach Kubernetes 1.32 lub nowszych. W niektórych scenariuszach, takich jak pule węzłów z obsługą protokołu FIPS, domyślna wersja systemu operacyjnego może się różnić. Aby uzyskać więcej informacji, zobacz obrazy węzłów .

Nie. Przenoszenie klastra usługi AKS między dzierżawami jest obecnie nieobsługiwane.

Nie. Przenoszenie klastra usługi AKS między subskrypcjami jest obecnie nieobsługiwane.

Nie. Przenoszenie klastra usługi AKS do innej sieci wirtualnej jest obecnie nieobsługiwane.

Nie. Przenoszenie lub zmienianie nazwy klastra usługi AKS i skojarzonych z nim zasobów nie jest obsługiwane.

Nie. Nie można przywrócić klastra po jego usunięciu. Po usunięciu klastra grupa zasobów węzła i wszystkie jej zasoby również zostaną usunięte.

Jeśli chcesz zachować dowolne zasoby, przenieś je do innej grupy zasobów przed usunięciem klastra. Jeśli chcesz chronić przed przypadkowymi usunięciami, możesz zablokować zarządzaną grupę zasobów usługi AKS, która hostuje zasoby klastra przy użyciu blokady grupy zasobów węzła.

Możesz całkowicie zatrzymać uruchomiony klaster AKS lub skalować lub autoskalować wszystkie lub określone User pule węzłów do zera.

Nie można bezpośrednio skalować pul węzłów systemowych do zera.

Nie. Operacje skalowania, które używają API zestawów skalowania maszyn wirtualnych, nie są obsługiwane. Możesz użyć interfejsów API usługi AKS (az aks scale).

Nie. Operacje skalowania korzystające z interfejsów API zestawu skalowania maszyn wirtualnych nie są obsługiwane. Interfejs API usługi AKS umożliwia skalowanie pul węzłów niesystemowych do zera, lub zatrzymanie klastra.

Nie. Ta konfiguracja nie jest obsługiwana. Zatrzymaj klaster.

Usługa AKS bazuje na wielu zasobach infrastruktury Azure, w tym zestawach skalowania maszyn wirtualnych, sieciach wirtualnych i dyskach zarządzanych. Te integracje umożliwiają zastosowanie wielu podstawowych funkcji platformy Azure w zarządzanym środowisku Kubernetes udostępnianym przez usługę AKS. Na przykład większość typów maszyn wirtualnych Azure można używać bezpośrednio z usługą AKS i możesz użyć Azure Rezerwacje, aby automatycznie otrzymywać rabaty na te zasoby.

Aby włączyć tę architekturę, każde wdrożenie usługi AKS obejmuje dwie grupy zasobów:

1. Należy utworzyć pierwszą grupę zasobów. Ta grupa zawiera tylko zasób usługi Kubernetes. Dostawca zasobów usługi AKS automatycznie tworzy drugą grupę zasobów podczas wdrażania. Przykładem drugiej grupy zasobów jest MC_myResourceGroup_myAKSCluster_eastus. Aby uzyskać informacje na temat określania nazwy tej drugiej grupy zasobów, zobacz następną sekcję.
2. Druga grupa zasobów, znana jako grupa zasobów węzła, zawiera wszystkie zasoby infrastruktury skojarzone z klastrem. Te zasoby obejmują maszyny wirtualne węzła Kubernetes, sieć wirtualną i magazyn. Domyślnie grupa zasobów węzła ma nazwę taką jak MC_myResourceGroup_myAKSCluster_eastus. Usługa AKS automatycznie usuwa grupę zasobów węzła za każdym razem, gdy klaster zostanie usunięty. Używaj tej grupy zasobów tylko dla zasobów, które współdzielą cykl życia klastra.

Uwaga

Modyfikowanie dowolnego zasobu w grupie zasobów węzła w klastrze usługi AKS jest nieobsługiwaną akcją i spowoduje niepowodzenie operacji klastra. Możesz uniemożliwić wprowadzanie zmian w grupie zasobów węzła. Blokuj użytkownikom modyfikowanie zasobów zarządzanych przez klaster usługi AKS.

Domyślnie usługa AKS nazywa grupę zasobów węzła jako MC_resourcegroupname_clustername_location, ale możesz podać własną nazwę.

Aby określić nazwę własnej grupy zasobów, zainstaluj aks-preview Azure CLI wersji rozszerzenia 0.3.2 lub nowszą. Podczas tworzenia klastra usługi AKS, używając polecenia az aks create, użyj parametru --node-resource-group i określ nazwę grupy zasobów. Jeśli używasz szablonu Azure Resource Manager do wdrożenia klastra usługi AKS, możesz zdefiniować nazwę grupy zasobów przy użyciu właściwości nodeResourceGroup.

• Dostawca zasobów Azure automatycznie tworzy pomocniczą grupę zasobów.
• Niestandardową nazwę grupy zasobów można określić tylko podczas tworzenia klastra.

Podczas pracy z grupą zasobów węzła nie można wykonywać następujących czynności:

• Określ istniejącą grupę zasobów dla grupy zasobów węzła.
• Określ inną subskrypcję dla grupy zasobów węzła.
• Zmień nazwę grupy zasobów węzła po utworzeniu klastra.
• Określ nazwy zarządzanych zasobów w grupie zasobów węzła.
• Modyfikowanie lub usuwanie tagów utworzonych przez Azure w zarządzanych zasobach w grupie zasobów dla węzłów.

W przypadku modyfikowania lub usuwania tagów utworzonych Azure i innych właściwości zasobów w grupie zasobów węzła mogą wystąpić nieoczekiwane błędy skalowania i uaktualniania. Usługa AKS umożliwia tworzenie i modyfikowanie tagów niestandardowych utworzonych przez użytkowników końcowych oraz dodawanie tych tagów podczas tworzenia puli węzłów. Możesz na przykład utworzyć lub zmodyfikować tagi niestandardowe, aby przypisać jednostkę biznesową lub centrum kosztów. Inną opcją jest zastosowanie zasad i zmodyfikowanie tagów za pośrednictwem samego zasobu usługi AKS — w szczególności za pośrednictwem pul klastrów i węzłów.

Tagi tworzone przez Azure są tworzone dla odpowiednich usług Azure i należy je zawsze akceptować. W przypadku usługi AKS istnieją tagi aks-managed i k8s-azure. Modyfikowanie jakichkolwiek tagów utworzonych przez Azure na zasobach w grupie zasobów węzła w klastrze AKS jest nieobsługiwaną akcją, która narusza cel poziomu usługi (SLO).

Uwaga

W przeszłości nazwa tagu Owner była zarezerwowana dla usługi AKS do zarządzania adresem publicznym IP przypisanym do „frontonu” IP load balancera. Teraz usługi używają prefiksu aks-managed . W przypadku starszych zasobów nie używaj zasad Azure, aby zastosować nazwę tagu Owner. W przeciwnym razie wszystkie zasoby we wdrożeniu klastra usługi AKS i operacjach aktualizacji ulegną awarii. To ograniczenie nie dotyczy nowo utworzonych zasobów.

Usługa AKS używa programu Helm do dostarczania składników do klastra. Możesz bezpiecznie zignorować aks-managed prefiksowane wersje programu Helm. Ciągłe zwiększanie wersji wydania programu Helm jest oczekiwane i bezpieczne.

Aby uzyskać pełną listę dostępnych regionów, zobacz Regiony i dostępność usługi AKS.

Nie. Klastry usługi AKS są zasobami regionalnymi i nie mogą obejmować regionów. Aby uzyskać wskazówki dotyczące tworzenia architektury obejmującej wiele regionów, zobacz najlepsze rozwiązania dotyczące ciągłości działania i odzyskiwania po awarii.

Tak, klaster usługi AKS można wdrożyć w co najmniej jednej strefie dostępności w regionach, które je obsługują.

Tak, możesz użyć różnych rozmiarów maszyn wirtualnych w klastrze usługi AKS, tworząc wiele pul węzłów.

Usługa AKS nie ustawia limitu rozmiaru obrazu kontenera. Ale im większy obraz, tym większe zapotrzebowanie na pamięć. Większy rozmiar może potencjalnie przekroczyć limity zasobów lub ogólną dostępną pamięć węzłów roboczych. Domyślnie pamięć dla rozmiaru maszyny wirtualnej Standard_DS2_v2 dla klastra usługi AKS jest ustawiona na 7 GiB.

Gdy obraz kontenera jest zbyt duży, podobnie jak w zakresie terabajtów (TB), kubelet może nie być w stanie ściągnąć go z rejestru kontenerów do węzła z powodu braku miejsca na dysku.

W przypadku węzłów Windows Server Windows Update nie uruchamia się automatycznie i nie stosuje najnowszych aktualizacji. Należy przeprowadzić aktualizację klastra oraz pul węzłów Windows Server w klastrze AKS. Postępuj zgodnie z regularnym harmonogramem na podstawie cyklu wydawania Windows Update i własnego procesu weryfikacji. Ten proces uaktualniania tworzy węzły, w których uruchamiany jest najnowszy obraz Windows Server i poprawki, a następnie usuwa starsze węzły. Aby uzyskać więcej informacji na temat tego procesu, zobacz Uaktualnianie puli węzłów w usłudze AKS.

Następujące obrazy mają wymagania do uruchomienia jako użytkownik root, a wyjątki muszą zostać zgłoszone dla wszelkich zasad:

• mcr.microsoft.com/oss/kubernetes/coredns
• mcr.microsoft.com/azuremonitor/containerinsights/ciprod
• mcr.microsoft.com/oss/calico/node
• mcr.microsoft.com/oss/kubernetes-csi/azuredisk-csi

Tak, istnieją dwie opcje ograniczania dostępu do serwera interfejsu API:

• Użyj zakresów autoryzowanych adresów IP serwera interfejsu API , jeśli chcesz zachować publiczny punkt końcowy dla serwera interfejsu API, ale ograniczyć dostęp do zestawu zaufanych zakresów adresów IP.
• Użyj klastra prywatnego , jeśli chcesz ograniczyć dostęp do serwera interfejsu API tylko z sieci wirtualnej.

AKS co tydzień łata CVE, które mają poprawkę dostawcy. CVE bez poprawki czekają na poprawkę od dostawcy, zanim będą mogły zostać naprawione. Obrazy usługi AKS są automatycznie aktualizowane co 30 dni. Zalecamy regularne stosowanie zaktualizowanego obrazu węzła, aby upewnić się, że wszystkie najnowsze poprawki obrazów oraz systemu operacyjnego są stosowane i aktualne. To zadanie można wykonać:

• Ręcznie za pośrednictwem portalu Azure lub Azure CLI.
• Uaktualniając klaster AKS. Klaster automatycznie uaktualnia węzły cordon i drain. Następnie zostanie wyświetlony nowy węzeł w trybie online z najnowszym obrazem systemu Ubuntu i nową wersją poprawki lub pomocniczą wersją rozwiązania Kubernetes. Aby uzyskać więcej informacji, sprawdź Uaktualnij klaster AKS.
• Za pomocą aktualizacji obrazu węzła.

Microsoft zawiera wskazówki dotyczące innych akcji, które można wykonać w celu zabezpieczenia obciążeń za pośrednictwem usług, takich jak Microsoft Defender for Containers. Aby uzyskać informacje na temat zagrożenia bezpieczeństwa związanego z AKS i Kubernetes, zobacz New large-scale campaign targets Kubeflow (8 czerwca 2021 r.).

Nie. Wszystkie dane są przechowywane w regionie klastra.

Tradycyjnie, jeśli zasobnik jest uruchomiony jako użytkownik inny niż główny (który powinien), należy określić fsGroup parametr wewnątrz kontekstu zabezpieczeń zasobnika, aby wolumin był czytelny i zapisywalny przez zasobnik. Aby uzyskać więcej informacji na temat tego wymagania, zobacz Konfigurowanie kontekstu zabezpieczeń dla zasobnika lub kontenera.

Efektem ubocznym ustawienia fsGroup jest to, że za każdym razem, gdy wolumin jest montowany, platforma Kubernetes musi używać chown() i chmod() poleceń rekursywnie dla wszystkich plików i katalogów wewnątrz woluminu (z kilkoma wyjątkami). Ten scenariusz występuje nawet wtedy, gdy własność grupy woluminu jest już zgodna z żądanym fsGroup parametrem. Ta konfiguracja może być kosztowna w przypadku większych woluminów z wieloma małymi plikami, co może spowodować, że uruchamianie zasobnika zajmuje dużo czasu. Ten scenariusz był znanym problemem przed 1.20. Obejście polega na ustawieniu poda tak, aby był uruchamiany jako root:

apiVersion: v1
kind: Pod
metadata:
  name: security-context-demo
spec:
  securityContext:
    runAsUser: 0
    fsGroup: 0

Problem został rozwiązany przy użyciu platformy Kubernetes w wersji 1.20. Aby uzyskać więcej informacji, zobacz Kubernetes 1.20: Szczegółowa kontrola nad zmianami uprawnień woluminu.

Usługa AKS używa bezpiecznej komunikacji tunelu, aby umożliwić api-server oraz kubeletom na poszczególnych węzłach komunikację, nawet w oddzielnych sieciach wirtualnych. Tunel jest zabezpieczony poprzez wzajemne szyfrowanie TLS. Bieżący główny tunel używany przez usługę AKS to Konnectivity, wcześniej znany jako apiserver-network-proxy. Sprawdź, czy wszystkie reguły sieci spełniają wymogi wymaganych reguł sieci i w pełni kwalifikowanych nazw domen (FQDN) w Azure.

Tak, możesz dodać adnotację kubernetes.azure.com/set-kube-service-host-fqdn do zasobników, aby ustawić KUBERNETES_SERVICE_HOST zmienną na nazwę domeny serwera interfejsu API zamiast adresu IP usługi klastra. Ta modyfikacja jest przydatna w przypadkach, gdy ruch wychodzący klastra odbywa się za pośrednictwem zapory warstwy 7. Przykładem jest użycie Azure Firewall z regułami aplikacji.

Usługa AKS nie stosuje sieciowych grup zabezpieczeń do podsieci i nie modyfikuje żadnej sieciowej grupy zabezpieczeń skojarzonej z tą podsiecią. Usługa AKS modyfikuje tylko ustawienia grupy zabezpieczeń sieciowych dla interfejsu sieciowego. Jeśli używasz Container Network Interface (CNI), musisz również upewnić się, że reguły zabezpieczeń w sieciowych grupach zabezpieczeń (NSG) zezwalają na ruch między węzłem a zakresami CIDR (routingu międzydomenowego bezklasowego). Jeśli używasz rozwiązania kubenet, musisz również upewnić się, że reguły zabezpieczeń w sieciowych grupach zabezpieczeń zezwalają na ruch między węzłem i zasobnikami CIDR. Aby uzyskać więcej informacji, zobacz Sieciowe grupy zabezpieczeń.

Węzły usługi AKS uruchamiają usługę chrony, która synchronizuje czas z hosta lokalnego. Kontenery uruchamiane na podach uzyskują czas z węzłów AKS. Aplikacje otwierane wewnątrz kontenera używają czasu z kontenera poda.

Nie. Usługa AKS jest usługą zarządzaną. Manipulowanie zasobami infrastruktury jako usługi (IaaS) nie jest obsługiwane. Aby zainstalować składniki niestandardowe, użyj interfejsów API i mechanizmów platformy Kubernetes. Na przykład użyj poleceń DaemonSets, aby zainstalować wszystkie wymagane składniki.

Usługa AKS obsługuje następujące kontrolery wejściowe:

• NamespaceLifecycle
• LimitRanger
• ServiceAccount
• DefaultIngressClass
• DefaultStorageClass
• DefaultTolerationSeconds
• MutatingAdmissionWebhook
• ValidatingAdmissionWebhook
• ResourceQuota
• PodNodeSelector
• PodTolerationRestriction
• ExtendedResourceToleration

Obecnie nie można zmodyfikować listy kontrolerów wstępu w AKS.

Tak, można użyć elementów webhook kontrolera dostępu w usłudze AKS. Zalecamy wykluczenie wewnętrznych przestrzeni nazw AKS, które są oznaczone etykietą control-plane. Na przykład:

namespaceSelector:
    matchExpressions:
    - key: control-plane
      operator: DoesNotExist

Usługa AKS blokuje ruch wychodzący serwera API, aby webhooki kontrolera przyjęć były dostępne z wnętrza klastra.

Aby chronić stabilność systemu i zapobiegać wpływowi niestandardowych kontrolerów przyjęć na wewnętrzne usługi w przestrzeni nazw kube-system, AKS posiada moduł egzekwujący przyjęcia, który automatycznie wyklucza kube-system oraz przestrzenie nazw wewnętrzne dla AKS. Ta usługa gwarantuje, że niestandardowe kontrolery dostępu nie mają wpływu na usługi uruchomione w programie kube-system.

Jeśli masz krytyczny przypadek użycia do wdrażania elementu w systemie kube-system (niezalecane) w obsłudze niestandardowego elementu webhook przyjęcia, możesz dodać następującą etykietę lub adnotację, aby wymuszać przyznanie go zignorować:

• Etykieta: "admissions.enforcer/disabled": "true"
• Adnotacja: "admissions.enforcer/disabled": true

Azure Key Vault dostawca dla sterownika CSI magazynu tajemnic zapewnia natywną integrację Azure Key Vault z usługą AKS.

Węzły, które są włączone przy użyciu federalnych standardów przetwarzania informacji (FIPS) są teraz obsługiwane w pulach węzłów opartych na systemie Linux. Aby uzyskać więcej informacji, zobacz Dodawanie puli węzłów z obsługą protokołu FIPS.

Każda poprawka, w tym poprawka zabezpieczeń, jest automatycznie stosowana do klastra usługi AKS. Wszystkie zmiany większe niż poprawki, takie jak zmiany wersji głównej lub pomocniczej (które mogą mieć zmiany powodujące niezgodność w wdrożonych obiektach), są aktualizowane po zaktualizowaniu klastra, jeśli jest dostępna nowa wersja. Aby uzyskać informacje na temat dostępności nowej wersji, zobacz informacje o wersji AKS.

Rozszerzenie usługi AKS dla systemu Linux to rozszerzenie maszyny wirtualnej Azure, które instaluje i konfiguruje narzędzia do monitorowania w węzłach roboczych platformy Kubernetes. Rozszerzenie jest instalowane we wszystkich nowych i istniejących węzłach systemu Linux. Konfiguruje następujące narzędzia do monitorowania:

• Node-exporter: Zbiera dane telemetryczne sprzętu z maszyny wirtualnej i udostępnia je poprzez punkt końcowy metryk. Następnie narzędzie do monitorowania, takie jak Prometheus, może zbierać te metryki.
• Narzędzie do wykrywania problemów z węzłem: ma na celu uwidocznienie różnych problemów z węzłami w warstwach nadrzędnych w stosie zarządzania klastrem. Jest to jednostka systemowa, która działa w każdym węźle, wykrywa problemy z węzłami i zgłasza je do serwera interfejsu API klastra przy użyciu poleceń Events i NodeConditions.
• ig: to oparta na eBPF platforma typu open source do debugowania i obserwacji systemów Linux i Kubernetes. Udostępnia zestaw narzędzi (lub gadżetów), które zbierają istotne informacje, których użytkownicy mogą używać do identyfikowania przyczyny problemów z wydajnością, awarii lub innych anomalii. W szczególności jego niezależność od platformy Kubernetes umożliwia użytkownikom korzystanie z niego również w przypadku debugowania problemów z płaszczyzną sterowania.

Te narzędzia ułatwiają obserwowanie wielu problemów związanych z kondycją węzła, takich jak:

• Problemy z demonem infrastruktury: Usługa NTP nie działa
• Problemy sprzętowe: Zły procesor CPU, pamięć lub dysk
• Problemy z jądrami: Zakleszczenie jądra, uszkodzony system plików
• Problemy ze środowiskiem uruchomieniowym kontenera: Demon środowiska uruchomieniowego, który nie odpowiada

Rozszerzenie nie wymaga dodatkowego dostępu wychodzącego do żadnych adresów URL, adresów IP ani portów poza udokumentowanymi wymaganiami dotyczącymi ruchu wychodzącego usługi AKS. Nie wymaga żadnych specjalnych uprawnień przyznanych w Azure. Służy kubeconfig do nawiązywania połączenia z serwerem interfejsu API w celu wysyłania zebranych danych monitorowania.

Większość klastrów jest usuwana na żądanie użytkownika. W niektórych przypadkach, szczególnie w przypadku przeniesienia własnej grupy zasobów lub wykonania zadań między grupami zasobów usunięcie może zająć więcej czasu, a nawet zakończyć się niepowodzeniem. Jeśli masz problem z usunięciem, sprawdź dwukrotnie, czy nie masz blokad w grupie zasobów. Upewnij się również, że wszystkie zasoby spoza grupy zasobów nie są skojarzone z grupą zasobów.

Jeśli masz problemy z tworzeniem i aktualizowaniem klastrów, upewnij się, że nie masz żadnych przypisanych zasad ani ograniczeń usługi, które mogą uniemożliwić klastrowi usługi AKS zarządzanie zasobami, takimi jak maszyny wirtualne, moduły równoważenia obciążenia lub tagi.

Możesz, ale nie zalecamy tego. Wykonaj aktualizacje, gdy stan klastra jest znany i w dobrej kondycji.

Nie. Usuń wszystkie węzły, które są w stanie awarii lub w inny sposób wymagają usunięcia z klastra przed aktualizacją.

Najczęściej ten błąd występuje, jeśli masz co najmniej jedną NSG (sieciową grupę zabezpieczeń), która jest nadal skojarzona z klastrem. Usuń je i spróbuj ponownie usunąć klaster.

Upewnij się, że główna nazwa usługi nie wygasła. Aby uzyskać więcej informacji, zobacz AKS service principal and AKS update credentials ( Jednostki usługi AKS i poświadczenia aktualizacji usługi AKS).

Upewnij się, że konto usługi nie wygasło. Aby uzyskać więcej informacji, zobacz AKS service principal and AKS update credentials ( Jednostki usługi AKS i poświadczenia aktualizacji usługi AKS).

Począwszy od 17 marca 2027 r., Azure Kubernetes Service (AKS) nie obsługuje już ani nie zapewnia aktualizacji zabezpieczeń Ubuntu 20.04. Wszystkie istniejące obrazy węzłów zostaną usunięte i nie będzie można skalować pul węzłów działających na systemie Ubuntu 20.04. Przeprowadź migrację do obsługiwanej wersji systemu Ubuntu, uaktualniając pule węzłów do platformy Kubernetes w wersji 1.35 lub nowszej. Aby uzyskać więcej informacji na temat tego wycofania, zobacz zgłoszenie GitHub o wycofaniu i ogłoszenie o wycofaniu aktualizacji Azure. Aby być na bieżąco z ogłoszeniami i aktualizacjami, śledź notatki z wydania AKS.

Od 1 marca 2026 r. Azure Kubernetes Service (AKS) nie obsługuje już pul węzłów Windows Server 2019. Pule węzłów z uruchomioną platformą Kubernetes w wersji 1.33 lub nowszej nie mogą używać Windows Server 2019. Począwszy od 01 kwietnia 2027 r., usługa AKS usunie wszystkie istniejące obrazy węzłów dla Windows Server 2019, co oznacza, że operacje skalowania zakończy się niepowodzeniem. Aby uzyskać więcej informacji na temat tego wycofania, zobacz zgłoszenie GitHub o wycofaniu i ogłoszenie o wycofaniu aktualizacji Azure. Aby być na bieżąco z ogłoszeniami i aktualizacjami, śledź notatki z wydania AKS. Począwszy od 15 marca 2027 r., Azure Kubernetes Service (AKS) nie obsługuje już pul węzłów Windows Server 2022. Pule węzłów z uruchomioną platformą Kubernetes w wersji 1.36 lub nowszej nie mogą używać Windows Server 2022. Począwszy od 1 kwietnia 2028 r., usługa AKS usunie wszystkie istniejące obrazy węzłów dla Windows Server 2022, co oznacza, że operacje skalowania zakończy się niepowodzeniem. Aby uzyskać więcej informacji na temat tego wycofania, zobacz zgłoszenie GitHub o wycofaniu i ogłoszenie o wycofaniu aktualizacji Azure. Aby być na bieżąco z ogłoszeniami i aktualizacjami, śledź notatki z wydania AKS.