Często zadawane pytania dotyczące usługi AKS

Ten artykuł zawiera odpowiedzi na niektóre z najczęściej zadawanych pytań dotyczących usługi Azure Kubernetes Service (AKS).

Pomoc techniczna

Czy usługa AKS oferuje umowę dotyczącą poziomu usług?

Usługa AKS zapewnia gwarancje umowy dotyczącej poziomu usług (SLA) w warstwie cenowej Standardowa z funkcją umowy SLA czasu pracy.

Co to jest obsługa platformy i co obejmuje?

Obsługa platformy to ograniczony plan pomocy technicznej dla nieobsługiwanych klastrów w wersji n-3. Obsługa platformy obejmuje tylko obsługę infrastruktury platformy Azure.

Aby uzyskać więcej informacji, zobacz zasady pomocy technicznej platformy.

Czy usługa AKS automatycznie uaktualnia nieobsługiwane klastry?

Tak, usługa AKS inicjuje automatyczne uaktualnienia dla nieobsługiwanych klastrów. Gdy klaster w wersji n-3 (gdzie n jest najnowszą obsługiwaną wersją pomocniczą usługi AKS, która jest ogólnie dostępna) zostanie usunięty do n-4, usługa AKS automatycznie uaktualni klaster do n-2, aby pozostać w zasadach pomocy technicznej usługi AKS.

Aby uzyskać więcej informacji, zobacz Obsługiwane wersje platformy Kubernetes, Okna planowanej konserwacji i Automatyczne uaktualnienia.

Czy można uruchamiać kontenery systemu Windows Server w usłudze AKS?

Tak, usługa AKS obsługuje kontenery systemu Windows Server. Aby uzyskać więcej informacji, zobacz Często zadawane pytania dotyczące systemu Windows Server w usłudze AKS.

Czy mogę zastosować rabaty na rezerwację platformy Azure do węzłów agenta usługi AKS?

Węzły agenta usługi AKS są rozliczane jako standardowe maszyny wirtualne platformy Azure. Jeśli zakupiono rezerwacje platformy Azure dla rozmiaru maszyny wirtualnej używanej w usłudze AKS, rabaty te są stosowane automatycznie.

Operacje

Czy mogę przenieść lub zmigrować klaster między dzierżawami platformy Azure?

Nie. Przenoszenie klastra usługi AKS między dzierżawami jest obecnie nieobsługiwane.

Czy mogę przenieść lub zmigrować klaster między subskrypcjami?

Nie. Przenoszenie klastra usługi AKS między subskrypcjami jest obecnie nieobsługiwane.

Czy mogę przenieść mój klaster usługi AKS lub zasoby infrastruktury usługi AKS do innych grup zasobów lub zmienić ich nazwę?

Nie. Przenoszenie lub zmienianie nazwy klastra usługi AKS i skojarzonych z nim zasobów nie jest obsługiwane.

Czy mogę przywrócić klaster po jego usunięciu?

Nie. Nie można przywrócić klastra po jego usunięciu. Po usunięciu klastra grupa zasobów węzła i wszystkie jej zasoby również zostaną usunięte.

Jeśli chcesz zachować dowolne zasoby, przenieś je do innej grupy zasobów przed usunięciem klastra. Jeśli chcesz chronić przed przypadkowymi usunięciami, możesz zablokować zarządzaną grupę zasobów usługi AKS, która hostuje zasoby klastra przy użyciu blokady grupy zasobów węzła.

Czy mogę skalować klaster usługi AKS do zera?

Możesz całkowicie zatrzymać uruchomiony klaster usługi AKS lub skalować automatycznie wszystkie lub określone User pule węzłów do zera.

Nie można bezpośrednio skalować pul węzłów systemowych do zera.

Czy można użyć interfejsów API zestawu skalowania maszyn wirtualnych do ręcznego skalowania?

Nie. Operacje skalowania korzystające z interfejsów API zestawu skalowania maszyn wirtualnych nie są obsługiwane. Możesz użyć interfejsów API usługi AKS (az aks scale).

Czy można użyć zestawów skalowania maszyn wirtualnych do ręcznego skalowania do zera węzłów?

Nie. Operacje skalowania korzystające z interfejsów API zestawu skalowania maszyn wirtualnych nie są obsługiwane. Interfejs API usługi AKS umożliwia skalowanie pul węzłów niesystemowych na zero lub zatrzymanie klastra .

Czy mogę zatrzymać lub cofnąć przydział wszystkich maszyn wirtualnych?

Nie. Ta konfiguracja nie jest obsługiwana. Zatrzymaj klaster .

Dlaczego dwie grupy zasobów są tworzone za pomocą usługi AKS?

Usługa AKS opiera się na wielu zasobach infrastruktury platformy Azure, w tym zestawach skalowania maszyn wirtualnych, sieciach wirtualnych i dyskach zarządzanych. Te integracje umożliwiają zastosowanie wielu podstawowych funkcji platformy Azure w zarządzanym środowisku Kubernetes udostępnianym przez usługę AKS. Na przykład większość typów maszyn wirtualnych platformy Azure można używać bezpośrednio z usługą AKS, a rezerwacje platformy Azure umożliwiają automatyczne otrzymywanie rabatów na te zasoby.

Aby włączyć tę architekturę, każde wdrożenie usługi AKS obejmuje dwie grupy zasobów:

1. Należy utworzyć pierwszą grupę zasobów. Ta grupa zawiera tylko zasób usługi Kubernetes. Dostawca zasobów usługi AKS automatycznie tworzy drugą grupę zasobów podczas wdrażania. Przykładem drugiej grupy zasobów jest MC_myResourceGroup_myAKSCluster_eastus. Aby uzyskać informacje na temat określania nazwy tej drugiej grupy zasobów, zobacz następną sekcję.
2. Druga grupa zasobów, znana jako grupa zasobów węzła, zawiera wszystkie zasoby infrastruktury skojarzone z klastrem. Te zasoby obejmują maszyny wirtualne węzła Kubernetes, sieć wirtualną i magazyn. Domyślnie grupa zasobów węzła ma nazwę taką jak MC_myResourceGroup_myAKSCluster_eastus. Usługa AKS automatycznie usuwa grupę zasobów węzła za każdym razem, gdy klaster zostanie usunięty. Użyj tej grupy zasobów tylko dla zasobów, które współużytkujące cykl życia klastra.

Uwaga

Modyfikowanie dowolnego zasobu w grupie zasobów węzła w klastrze usługi AKS jest nieobsługiwaną akcją i spowoduje niepowodzenie operacji klastra. Możesz uniemożliwić wprowadzanie zmian w grupie zasobów węzła. Blokuj użytkownikom modyfikowanie zasobów zarządzanych przez klaster usługi AKS.

Czy mogę podać własną nazwę dla grupy zasobów węzła usługi AKS?

Domyślnie usługa AKS nazywa grupę zasobów węzła MC_resourcegroupname_clustername_location, ale możesz podać własną nazwę.

Aby określić własną nazwę grupy zasobów, zainstaluj rozszerzenie interfejsu wiersza polecenia platformy Azure w wersji 0.3.2 lub nowszej aks-preview. Podczas tworzenia klastra usługi AKS przy użyciu polecenia użyj parametru az aks create--node-resource-group i określ nazwę grupy zasobów. Jeśli używasz szablonu usługi Azure Resource Manager do wdrożenia klastra usługi AKS, możesz zdefiniować nazwę grupy zasobów przy użyciu nodeResourceGroup właściwości .

• Dostawca zasobów platformy Azure automatycznie tworzy pomocniczą grupę zasobów.
• Niestandardową nazwę grupy zasobów można określić tylko podczas tworzenia klastra.

Podczas pracy z grupą zasobów węzła nie można wykonywać następujących czynności:

• Określ istniejącą grupę zasobów dla grupy zasobów węzła.
• Określ inną subskrypcję dla grupy zasobów węzła.
• Zmień nazwę grupy zasobów węzła po utworzeniu klastra.
• Określ nazwy zarządzanych zasobów w grupie zasobów węzła.
• Modyfikowanie lub usuwanie tagów utworzonych przez platformę Azure zasobów zarządzanych w grupie zasobów węzła.

Czy mogę zmodyfikować tagi i inne właściwości zasobów usługi AKS w grupie zasobów węzła?

W przypadku modyfikowania lub usuwania tagów utworzonych przez platformę Azure i innych właściwości zasobów w grupie zasobów węzła mogą wystąpić nieoczekiwane błędy skalowania i uaktualniania. Usługa AKS umożliwia tworzenie i modyfikowanie tagów niestandardowych utworzonych przez użytkowników końcowych oraz dodawanie tych tagów podczas tworzenia puli węzłów. Możesz na przykład utworzyć lub zmodyfikować tagi niestandardowe, aby przypisać jednostkę biznesową lub centrum kosztów. Inną opcją jest utworzenie zasad platformy Azure z zakresem w zarządzanej grupie zasobów.

Tagi utworzone przez platformę Azure są tworzone dla odpowiednich usług platformy Azure i należy je zawsze zezwalać. W przypadku usługi AKS istnieją aks-managed tagi i .k8s-azure Modyfikowanie dowolnych tagów utworzonych przez platformę Azure w zasobach w grupie zasobów węzła w klastrze usługi AKS jest nieobsługiwaną akcją, która przerywa cel poziomu usług (SLO).

Uwaga

W przeszłości nazwa Owner tagu była zarezerwowana dla usługi AKS do zarządzania publicznym adresem IP przypisanym do adresu IP frontonu modułu równoważenia obciążenia. Teraz usługi używają prefiksu aks-managed . W przypadku starszych zasobów nie używaj zasad platformy Azure do stosowania nazwy tagu Owner . W przeciwnym razie wszystkie zasoby we wdrożeniu klastra usługi AKS i operacjach aktualizacji zostaną przerwane. To ograniczenie nie dotyczy nowo utworzonych zasobów.

Dlaczego w klastrze są widoczne wersje programu Helm zarządzane przez usługę aks i dlaczego ich liczba poprawek stale rośnie?

Usługa AKS używa programu Helm do dostarczania składników do klastra. Możesz bezpiecznie zignorować aks-managed prefiksowane wersje programu Helm. Stale rosnące wersje tych wersji programu Helm są oczekiwane i bezpieczne.

Limity przydziału, limity i dostępność regionów

Które regiony platformy Azure obecnie udostępniają usługę AKS?

Aby uzyskać pełną listę dostępnych regionów, zobacz AKS regions and availability (Regiony i dostępność usługi AKS).

Czy mogę rozłożyć klaster usługi AKS w różnych regionach?

Nie. Klastry usługi AKS są zasobami regionalnymi i nie mogą obejmować regionów. Aby uzyskać wskazówki dotyczące tworzenia architektury obejmującej wiele regionów, zobacz najlepsze rozwiązania dotyczące ciągłości działania i odzyskiwania po awarii.

Czy mogę rozłożyć klaster usługi AKS w różnych strefach dostępności?

Tak, klaster usługi AKS można wdrożyć w co najmniej jednej strefie dostępności w regionach, które je obsługują.

Czy mogę mieć różne rozmiary maszyn wirtualnych w jednym klastrze?

Tak, możesz użyć różnych rozmiarów maszyn wirtualnych w klastrze usługi AKS, tworząc wiele pul węzłów.

Jaki jest limit rozmiaru obrazu kontenera w usłudze AKS?

Usługa AKS nie ustawia limitu rozmiaru obrazu kontenera. Ale im większy obraz, tym większe zapotrzebowanie na pamięć. Większy rozmiar może potencjalnie przekroczyć limity zasobów lub ogólną dostępną pamięć węzłów roboczych. Domyślnie rozmiar maszyny wirtualnej Standard_DS2_v2 dla klastra usługi AKS jest ustawiony na 7 GiB.

Gdy obraz kontenera jest zbyt duży, podobnie jak w zakresie terabajtów (TB), kubelet może nie być w stanie ściągnąć go z rejestru kontenerów do węzła z powodu braku miejsca na dysku.

W przypadku węzłów systemu Windows Server usługa Windows Update nie jest uruchamiana automatycznie i stosuje najnowsze aktualizacje. Uaktualnienie należy wykonać w klastrze i pulach węzłów systemu Windows Server w klastrze usługi AKS. Postępuj zgodnie z regularnym harmonogramem na podstawie cyklu wydania usługi Windows Update i własnego procesu weryfikacji. Ten proces uaktualniania tworzy węzły, które uruchamiają najnowszy obraz i poprawki systemu Windows Server, a następnie usuwa starsze węzły. Aby uzyskać więcej informacji na temat tego procesu, zobacz Uaktualnianie puli węzłów w usłudze AKS.

Czy obrazy usługi AKS są wymagane do uruchomienia jako katalog główny?

Następujące obrazy mają wymagania funkcjonalne do uruchomienia jako katalog główny, a wyjątki muszą zostać zgłoszone dla dowolnych zasad:

• mcr.microsoft.com/oss/kubernetes/coredns
• mcr.microsoft.com/azuremonitor/containerinsights/ciprod
• mcr.microsoft.com/oss/calico/node
• mcr.microsoft.com/oss/kubernetes-csi/azuredisk-csi

Zabezpieczenia, dostęp i tożsamość

Czy mogę ograniczyć, kto ma dostęp do serwera interfejsu API Kubernetes?

Tak, istnieją dwie opcje ograniczania dostępu do serwera interfejsu API:

• Użyj zakresów autoryzowanych adresów IP serwera interfejsu API , jeśli chcesz zachować publiczny punkt końcowy dla serwera interfejsu API, ale ograniczyć dostęp do zestawu zaufanych zakresów adresów IP.
• Użyj klastra prywatnego , jeśli chcesz ograniczyć dostęp do serwera interfejsu API tylko z sieci wirtualnej.

Czy aktualizacje zabezpieczeń są stosowane do węzłów agenta usługi AKS?

Poprawki AKS cves, które mają poprawkę dostawcy co tydzień. CvEs bez poprawki czekają na poprawkę dostawcy, zanim będą mogły zostać skorygowane. Obrazy usługi AKS są automatycznie aktualizowane w ciągu 30 dni. Zalecamy zastosowanie zaktualizowanego obrazu węzła w regularnym cyklu, aby upewnić się, że wszystkie najnowsze poprawki obrazów i poprawek systemu operacyjnego są stosowane i aktualne. To zadanie można wykonać:

• Ręcznie za pośrednictwem witryny Azure Portal lub interfejsu wiersza polecenia platformy Azure.
• Uaktualniając klaster usługi AKS. Klaster uaktualnia węzły cordonu i opróżniania automatycznie. Następnie zostanie wyświetlony nowy węzeł w trybie online z najnowszym obrazem systemu Ubuntu i nową wersją poprawki lub pomocniczą wersją rozwiązania Kubernetes. Aby uzyskać więcej informacji, zobacz Uaktualnianie klastra usługi AKS.
• Za pomocą uaktualnienia obrazu węzła.

Czy istnieją zagrożenia bezpieczeństwa przeznaczone dla usługi AKS, o których powinienem wiedzieć?

Firma Microsoft udostępnia wskazówki dotyczące innych akcji, które można wykonać w celu zabezpieczenia obciążeń za pośrednictwem usług, takich jak Microsoft Defender for Containers. Aby uzyskać informacje na temat zagrożenia bezpieczeństwa związanego z usługami AKS i Kubernetes, zobacz New large-scale campaign targets Kubeflow (8 czerwca 2021 r.).

Czy usługa AKS przechowuje dane klientów poza regionem klastra?

Nie. Wszystkie dane są przechowywane w regionie klastra.

Jak uniknąć problemów z powolnym ustawianiem własności uprawnień, gdy wolumin zawiera wiele plików?

Tradycyjnie, jeśli zasobnik jest uruchomiony jako użytkownik inny niż główny (który powinien), należy określić fsGroup parametr wewnątrz kontekstu zabezpieczeń zasobnika, aby wolumin był czytelny i zapisywalny przez zasobnik. Aby uzyskać więcej informacji na temat tego wymagania, zobacz Konfigurowanie kontekstu zabezpieczeń dla zasobnika lub kontenera.

Efektem ubocznym ustawienia fsGroup jest to, że za każdym razem, gdy wolumin jest zainstalowany, platforma Kubernetes musi używać chown() poleceń i chmod() rekursywnie dla wszystkich plików i katalogów wewnątrz woluminu (z kilkoma wyjątkami). Ten scenariusz występuje nawet wtedy, gdy własność grupy woluminu jest już zgodna z żądanym fsGroup parametrem. Ta konfiguracja może być kosztowna w przypadku większych woluminów z dużą częścią małych plików, co może spowodować, że uruchamianie zasobnika może zająć dużo czasu. Ten scenariusz był znanym problemem przed 1.20. Obejście polega na ustawieniu zasobnika tak, aby był uruchamiany jako katalog główny:

apiVersion: v1
kind: Pod
metadata:
  name: security-context-demo
spec:
  securityContext:
    runAsUser: 0
    fsGroup: 0

Problem został rozwiązany przy użyciu platformy Kubernetes w wersji 1.20. Aby uzyskać więcej informacji, zobacz Kubernetes 1.20: Szczegółowa kontrola nad zmianami uprawnień woluminu.

Sieć

Jak zarządzana płaszczyzna sterowania komunikuje się z moimi węzłami?

Usługa AKS używa bezpiecznej komunikacji tunelu, aby umożliwić api-server komunikację między węzłami i poszczególnymi węzłami, nawet w oddzielnych sieciach wirtualnych. Tunel jest zabezpieczony za pośrednictwem wzajemnego szyfrowania zabezpieczeń warstwy transportu. Bieżący główny tunel używany przez usługę AKS to Konnectivity, wcześniej znany jako apiserver-network-proxy. Sprawdź, czy wszystkie reguły sieci są zgodne z wymaganymi regułami sieci platformy Azure i w pełni kwalifikowaną nazwą domeny (FQDN).

Czy moje zasobniki mogą używać nazwy FQDN serwera interfejsu API zamiast adresu IP klastra?

Tak, możesz dodać adnotację kubernetes.azure.com/set-kube-service-host-fqdn do zasobników, aby ustawić KUBERNETES_SERVICE_HOST zmienną na nazwę domeny serwera interfejsu API zamiast adresu IP usługi klastra. Ta modyfikacja jest przydatna w przypadkach, gdy ruch wychodzący klastra odbywa się za pośrednictwem zapory warstwy 7. Przykładem jest użycie usługi Azure Firewall z regułami aplikacji.

Czy można skonfigurować sieciowe grupy zabezpieczeń za pomocą usługi AKS?

Usługa AKS nie stosuje sieciowych grup zabezpieczeń do podsieci i nie modyfikuje żadnej sieciowej grupy zabezpieczeń skojarzonej z tą podsiecią. Usługa AKS modyfikuje tylko ustawienia sieciowej grupy zabezpieczeń interfejsu sieciowego. Jeśli używasz interfejsu sieciowego kontenera (CNI), musisz również upewnić się, że reguły zabezpieczeń w sieciowych grupach zabezpieczeń zezwalają na ruch między węzłem a zakresami routingu międzydomenowego bezklasowego (CIDR). Jeśli używasz rozwiązania kubenet, musisz również upewnić się, że reguły zabezpieczeń w sieciowych grupach zabezpieczeń zezwalają na ruch między węzłem i zasobnikami CIDR. Aby uzyskać więcej informacji, zobacz Sieciowe grupy zabezpieczeń.

Jak działa synchronizacja czasu w usłudze AKS?

Węzły usługi AKS uruchamiają usługę chrony, która ściąga czas z hosta lokalnego. Kontenery uruchamiane na zasobnikach uzyskują czas z węzłów usługi AKS. Aplikacje otwierane wewnątrz kontenera używają czasu z kontenera zasobnika.

Dodatki, rozszerzenia i integracje

Czy mogę używać niestandardowych rozszerzeń maszyn wirtualnych?

Nie. Usługa AKS jest usługą zarządzaną. Manipulowanie zasobami infrastruktury jako usługi (IaaS) nie jest obsługiwane. Aby zainstalować składniki niestandardowe, użyj interfejsów API i mechanizmów platformy Kubernetes. Na przykład użyj poleceń DaemonSets, aby zainstalować wszystkie wymagane składniki.

Jakie kontrolery przyjęć platformy Kubernetes obsługują usługę AKS? Czy można dodać lub usunąć kontrolery dostępu?

Usługa AKS obsługuje następujące kontrolery przyjęć:

• NamespaceLifecycle
• LimitRanger
• ServiceAccount
• DefaultIngressClass
• DefaultStorageClass
• DefaultTolerationSeconds
• MutatingAdmissionWebhook
• ValidatingAdmissionWebhook
• ResourceQuota
• PodNodeSelector
• PodTolerationRestriction
• ExtendedResourceToleration

Obecnie nie można zmodyfikować listy kontrolerów dostępu w usłudze AKS.

Czy mogę używać elementów webhook kontrolera dostępu w usłudze AKS?

Tak, można użyć elementów webhook kontrolera dostępu w usłudze AKS. Zalecamy wykluczenie wewnętrznych przestrzeni nazw usługi AKS oznaczonych etykietą control-plane . Na przykład:

namespaceSelector:
    matchExpressions:
    - key: control-plane
      operator: DoesNotExist

Usługa AKS blokuje ruch wychodzący serwera interfejsu API, aby elementy webhook kontrolera dostępu były dostępne z poziomu klastra.

Czy elementy webhook kontrolera wpływu na platformę kube-system i wewnętrzne przestrzenie nazw usługi AKS?

Aby chronić stabilność systemu i zapobiegać wpływowi niestandardowych kontrolerów przyjęć na wewnętrzne usługi w kube-system przestrzeni nazw, usługa AKS ma wymuszający przyjęcia, który automatycznie wyklucza kube-system i wewnętrzne przestrzenie nazw usługi AKS. Ta usługa gwarantuje, że niestandardowe kontrolery dostępu nie mają wpływu na usługi uruchomione w programie kube-system.

Jeśli masz krytyczny przypadek użycia do wdrażania elementu w systemie kube-system (niezalecane) w obsłudze niestandardowego elementu webhook przyjęcia, możesz dodać następującą etykietę lub adnotację, aby wymuszać przyznanie go zignorować:

• Etykieta: "admissions.enforcer/disabled": "true"
• Adnotacja: "admissions.enforcer/disabled": true

Czy usługa Azure Key Vault jest zintegrowana z usługą AKS?

Dostawca usługi Azure Key Vault dla sterownika CSI magazynu wpisów tajnych zapewnia natywną integrację usługi Azure Key Vault z usługą AKS.

Czy można używać bibliotek kryptograficznych FIPS z wdrożeniami w usłudze AKS?

Węzły, które są włączone przy użyciu federalnych standardów przetwarzania informacji (FIPS) są teraz obsługiwane w pulach węzłów opartych na systemie Linux. Aby uzyskać więcej informacji, zobacz Dodawanie puli węzłów z obsługą protokołu FIPS.

Jak są aktualizowane dodatki usługi AKS?

Każda poprawka, w tym poprawka zabezpieczeń, jest automatycznie stosowana do klastra usługi AKS. Wszystkie zmiany większe niż poprawki, takie jak zmiany wersji głównej lub pomocniczej (które mogą mieć zmiany powodujące niezgodność w wdrożonych obiektach), są aktualizowane po zaktualizowaniu klastra, jeśli jest dostępna nowa wersja. Aby uzyskać informacje na temat dostępności nowej wersji, zobacz Informacje o wersji usługi AKS.

Jaki jest cel rozszerzenia systemu Linux usługi AKS, które widzę na wystąpieniach zestawów skalowania maszyn wirtualnych z systemem Linux?

Rozszerzenie usługi AKS dla systemu Linux to rozszerzenie maszyny wirtualnej platformy Azure, które instaluje i konfiguruje narzędzia do monitorowania w węzłach roboczych platformy Kubernetes. Rozszerzenie jest instalowane we wszystkich nowych i istniejących węzłach systemu Linux. Konfiguruje następujące narzędzia do monitorowania:

• Eksporter węzła: zbiera dane telemetryczne sprzętowe z maszyny wirtualnej i udostępnia je przy użyciu punktu końcowego metryk. Następnie narzędzie do monitorowania, takie jak Prometheus, może złomować te metryki.
• Narzędzie do wykrywania problemów z węzłem: ma na celu uwidocznienie różnych problemów z węzłami w warstwach nadrzędnych w stosie zarządzania klastrem. Jest to jednostka systemowa, która działa w każdym węźle, wykrywa problemy z węzłami i zgłasza je do serwera interfejsu API klastra przy użyciu poleceń Events i NodeConditions.
• ig: to oparta na eBPF platforma typu open source do debugowania i obserwacji systemów Linux i Kubernetes. Udostępnia zestaw narzędzi (lub gadżetów), które zbierają istotne informacje, których użytkownicy mogą używać do identyfikowania przyczyny problemów z wydajnością, awarii lub innych anomalii. W szczególności jego niezależność od platformy Kubernetes umożliwia użytkownikom korzystanie z niego również w przypadku debugowania problemów z płaszczyzną sterowania.

Te narzędzia ułatwiają obserwowanie wielu problemów związanych z kondycją węzła, takich jak:

• Problemy z demonem infrastruktury: Usługa NTP nie działa
• Problemy sprzętowe: Zły procesor CPU, pamięć lub dysk
• Problemy z jądrami: Zakleszczenie jądra, uszkodzony system plików
• Problemy ze środowiskiem uruchomieniowym kontenera: Demon środowiska uruchomieniowego, który nie odpowiada

Rozszerzenie nie wymaga dodatkowego dostępu wychodzącego do żadnych adresów URL, adresów IP ani portów poza udokumentowanymi wymaganiami dotyczącymi ruchu wychodzącego usługi AKS. Nie wymaga żadnych specjalnych uprawnień przyznanych na platformie Azure. Służy kubeconfig do nawiązywania połączenia z serwerem interfejsu API w celu wysyłania zebranych danych monitorowania.

Rozwiązywanie problemów z klastrem

Dlaczego usunięcie klastra trwa tak długo?

Większość klastrów jest usuwana na żądanie użytkownika. W niektórych przypadkach, szczególnie w przypadku przeniesienia własnej grupy zasobów lub wykonania zadań między grupami zasobów usunięcie może zająć więcej czasu, a nawet zakończyć się niepowodzeniem. Jeśli masz problem z usunięciem, sprawdź dwukrotnie, czy nie masz blokad w grupie zasobów. Upewnij się również, że wszystkie zasoby spoza grupy zasobów nie są skojarzone z grupą zasobów.

Dlaczego tworzenie lub aktualizowanie klastra trwa tak długo?

Jeśli masz problemy z tworzeniem i aktualizowaniem klastrów, upewnij się, że nie masz żadnych przypisanych zasad ani ograniczeń usługi, które mogą uniemożliwić klastrowi usługi AKS zarządzanie zasobami, takimi jak maszyny wirtualne, moduły równoważenia obciążenia lub tagi.

Jeśli mam zasobniki lub wdrożenia w stanach NodeLost lub Unknown, czy nadal mogę uaktualnić klaster?

Możesz, ale nie zalecamy tego. Wykonaj aktualizacje, gdy stan klastra jest znany i w dobrej kondycji.

Jeśli mam klaster z co najmniej jednym węzłem w złej kondycji lub jeśli jest on zamknięty, czy mogę przeprowadzić uaktualnienie?

Nie. Usuń lub usuń wszystkie węzły, które są w stanie niepowodzenia lub w inny sposób z klastra przed uaktualnieniem.

Próbowano usunąć klaster, ale widzę błąd "[Errno 11001] getaddrinfo nie powiodło się".

Najczęściej ten błąd występuje, jeśli masz co najmniej jedną sieciową grupę zabezpieczeń, która jest nadal skojarzona z klastrem. Usuń je i spróbuj ponownie usunąć klaster.

Uruchomiono uaktualnienie, ale teraz moje zasobniki są w pętlach awaryjnych i sond gotowości kończą się niepowodzeniem.

Upewnij się, że jednostka usługi nie wygasła. Aby uzyskać więcej informacji, zobacz AKS service principal and AKS update credentials ( Jednostki usługi AKS i poświadczenia aktualizacji usługi AKS).

Mój klaster działał, ale nagle nie mogę aprowizować modułów równoważenia obciążenia ani instalować trwałych oświadczeń woluminów.

Upewnij się, że jednostka usługi nie wygasła. Aby uzyskać więcej informacji, zobacz AKS service principal and AKS update credentials ( Jednostki usługi AKS i poświadczenia aktualizacji usługi AKS).

Ten artykuł zawiera odpowiedzi na niektóre z najczęściej zadawanych pytań dotyczących usługi Azure Kubernetes Service (AKS).

Usługa AKS zapewnia gwarancje umowy dotyczącej poziomu usług (SLA) w warstwie cenowej Standardowa z funkcją umowy SLA czasu pracy.

Obsługa platformy to ograniczony plan pomocy technicznej dla nieobsługiwanych klastrów w wersji n-3. Obsługa platformy obejmuje tylko obsługę infrastruktury platformy Azure.

Aby uzyskać więcej informacji, zobacz zasady pomocy technicznej platformy.

Tak, usługa AKS inicjuje automatyczne uaktualnienia dla nieobsługiwanych klastrów. Gdy klaster w wersji n-3 (gdzie n jest najnowszą obsługiwaną wersją pomocniczą usługi AKS, która jest ogólnie dostępna) zostanie usunięty do n-4, usługa AKS automatycznie uaktualni klaster do n-2, aby pozostać w zasadach pomocy technicznej usługi AKS.

Aby uzyskać więcej informacji, zobacz Obsługiwane wersje platformy Kubernetes, Okna planowanej konserwacji i Automatyczne uaktualnienia.

Tak, usługa AKS obsługuje kontenery systemu Windows Server. Aby uzyskać więcej informacji, zobacz Często zadawane pytania dotyczące systemu Windows Server w usłudze AKS.

Węzły agenta usługi AKS są rozliczane jako standardowe maszyny wirtualne platformy Azure. Jeśli zakupiono rezerwacje platformy Azure dla rozmiaru maszyny wirtualnej używanej w usłudze AKS, rabaty te są stosowane automatycznie.

Nie. Przenoszenie klastra usługi AKS między dzierżawami jest obecnie nieobsługiwane.

Nie. Przenoszenie klastra usługi AKS między subskrypcjami jest obecnie nieobsługiwane.

Nie. Przenoszenie lub zmienianie nazwy klastra usługi AKS i skojarzonych z nim zasobów nie jest obsługiwane.

Nie. Nie można przywrócić klastra po jego usunięciu. Po usunięciu klastra grupa zasobów węzła i wszystkie jej zasoby również zostaną usunięte.

Jeśli chcesz zachować dowolne zasoby, przenieś je do innej grupy zasobów przed usunięciem klastra. Jeśli chcesz chronić przed przypadkowymi usunięciami, możesz zablokować zarządzaną grupę zasobów usługi AKS, która hostuje zasoby klastra przy użyciu blokady grupy zasobów węzła.

Możesz całkowicie zatrzymać uruchomiony klaster usługi AKS lub skalować automatycznie wszystkie lub określone User pule węzłów do zera.

Nie można bezpośrednio skalować pul węzłów systemowych do zera.

Nie. Operacje skalowania korzystające z interfejsów API zestawu skalowania maszyn wirtualnych nie są obsługiwane. Możesz użyć interfejsów API usługi AKS (az aks scale).

Nie. Operacje skalowania korzystające z interfejsów API zestawu skalowania maszyn wirtualnych nie są obsługiwane. Interfejs API usługi AKS umożliwia skalowanie pul węzłów niesystemowych na zero lub zatrzymanie klastra .

Nie. Ta konfiguracja nie jest obsługiwana. Zatrzymaj klaster .

Usługa AKS opiera się na wielu zasobach infrastruktury platformy Azure, w tym zestawach skalowania maszyn wirtualnych, sieciach wirtualnych i dyskach zarządzanych. Te integracje umożliwiają zastosowanie wielu podstawowych funkcji platformy Azure w zarządzanym środowisku Kubernetes udostępnianym przez usługę AKS. Na przykład większość typów maszyn wirtualnych platformy Azure można używać bezpośrednio z usługą AKS, a rezerwacje platformy Azure umożliwiają automatyczne otrzymywanie rabatów na te zasoby.

Aby włączyć tę architekturę, każde wdrożenie usługi AKS obejmuje dwie grupy zasobów:

1. Należy utworzyć pierwszą grupę zasobów. Ta grupa zawiera tylko zasób usługi Kubernetes. Dostawca zasobów usługi AKS automatycznie tworzy drugą grupę zasobów podczas wdrażania. Przykładem drugiej grupy zasobów jest MC_myResourceGroup_myAKSCluster_eastus. Aby uzyskać informacje na temat określania nazwy tej drugiej grupy zasobów, zobacz następną sekcję.
2. Druga grupa zasobów, znana jako grupa zasobów węzła, zawiera wszystkie zasoby infrastruktury skojarzone z klastrem. Te zasoby obejmują maszyny wirtualne węzła Kubernetes, sieć wirtualną i magazyn. Domyślnie grupa zasobów węzła ma nazwę taką jak MC_myResourceGroup_myAKSCluster_eastus. Usługa AKS automatycznie usuwa grupę zasobów węzła za każdym razem, gdy klaster zostanie usunięty. Użyj tej grupy zasobów tylko dla zasobów, które współużytkujące cykl życia klastra.

Uwaga

Modyfikowanie dowolnego zasobu w grupie zasobów węzła w klastrze usługi AKS jest nieobsługiwaną akcją i spowoduje niepowodzenie operacji klastra. Możesz uniemożliwić wprowadzanie zmian w grupie zasobów węzła. Blokuj użytkownikom modyfikowanie zasobów zarządzanych przez klaster usługi AKS.

Domyślnie usługa AKS nazywa grupę zasobów węzła MC_resourcegroupname_clustername_location, ale możesz podać własną nazwę.

Aby określić własną nazwę grupy zasobów, zainstaluj rozszerzenie interfejsu wiersza polecenia platformy Azure w wersji 0.3.2 lub nowszej aks-preview. Podczas tworzenia klastra usługi AKS przy użyciu polecenia użyj parametru az aks create--node-resource-group i określ nazwę grupy zasobów. Jeśli używasz szablonu usługi Azure Resource Manager do wdrożenia klastra usługi AKS, możesz zdefiniować nazwę grupy zasobów przy użyciu nodeResourceGroup właściwości .

• Dostawca zasobów platformy Azure automatycznie tworzy pomocniczą grupę zasobów.
• Niestandardową nazwę grupy zasobów można określić tylko podczas tworzenia klastra.

Podczas pracy z grupą zasobów węzła nie można wykonywać następujących czynności:

• Określ istniejącą grupę zasobów dla grupy zasobów węzła.
• Określ inną subskrypcję dla grupy zasobów węzła.
• Zmień nazwę grupy zasobów węzła po utworzeniu klastra.
• Określ nazwy zarządzanych zasobów w grupie zasobów węzła.
• Modyfikowanie lub usuwanie tagów utworzonych przez platformę Azure zasobów zarządzanych w grupie zasobów węzła.

W przypadku modyfikowania lub usuwania tagów utworzonych przez platformę Azure i innych właściwości zasobów w grupie zasobów węzła mogą wystąpić nieoczekiwane błędy skalowania i uaktualniania. Usługa AKS umożliwia tworzenie i modyfikowanie tagów niestandardowych utworzonych przez użytkowników końcowych oraz dodawanie tych tagów podczas tworzenia puli węzłów. Możesz na przykład utworzyć lub zmodyfikować tagi niestandardowe, aby przypisać jednostkę biznesową lub centrum kosztów. Inną opcją jest utworzenie zasad platformy Azure z zakresem w zarządzanej grupie zasobów.

Tagi utworzone przez platformę Azure są tworzone dla odpowiednich usług platformy Azure i należy je zawsze zezwalać. W przypadku usługi AKS istnieją aks-managed tagi i .k8s-azure Modyfikowanie dowolnych tagów utworzonych przez platformę Azure w zasobach w grupie zasobów węzła w klastrze usługi AKS jest nieobsługiwaną akcją, która przerywa cel poziomu usług (SLO).

Uwaga

W przeszłości nazwa Owner tagu była zarezerwowana dla usługi AKS do zarządzania publicznym adresem IP przypisanym do adresu IP frontonu modułu równoważenia obciążenia. Teraz usługi używają prefiksu aks-managed . W przypadku starszych zasobów nie używaj zasad platformy Azure do stosowania nazwy tagu Owner . W przeciwnym razie wszystkie zasoby we wdrożeniu klastra usługi AKS i operacjach aktualizacji zostaną przerwane. To ograniczenie nie dotyczy nowo utworzonych zasobów.

Usługa AKS używa programu Helm do dostarczania składników do klastra. Możesz bezpiecznie zignorować aks-managed prefiksowane wersje programu Helm. Stale rosnące wersje tych wersji programu Helm są oczekiwane i bezpieczne.

Aby uzyskać pełną listę dostępnych regionów, zobacz AKS regions and availability (Regiony i dostępność usługi AKS).

Nie. Klastry usługi AKS są zasobami regionalnymi i nie mogą obejmować regionów. Aby uzyskać wskazówki dotyczące tworzenia architektury obejmującej wiele regionów, zobacz najlepsze rozwiązania dotyczące ciągłości działania i odzyskiwania po awarii.

Tak, klaster usługi AKS można wdrożyć w co najmniej jednej strefie dostępności w regionach, które je obsługują.

Tak, możesz użyć różnych rozmiarów maszyn wirtualnych w klastrze usługi AKS, tworząc wiele pul węzłów.

Usługa AKS nie ustawia limitu rozmiaru obrazu kontenera. Ale im większy obraz, tym większe zapotrzebowanie na pamięć. Większy rozmiar może potencjalnie przekroczyć limity zasobów lub ogólną dostępną pamięć węzłów roboczych. Domyślnie rozmiar maszyny wirtualnej Standard_DS2_v2 dla klastra usługi AKS jest ustawiony na 7 GiB.

Gdy obraz kontenera jest zbyt duży, podobnie jak w zakresie terabajtów (TB), kubelet może nie być w stanie ściągnąć go z rejestru kontenerów do węzła z powodu braku miejsca na dysku.

W przypadku węzłów systemu Windows Server usługa Windows Update nie jest uruchamiana automatycznie i stosuje najnowsze aktualizacje. Uaktualnienie należy wykonać w klastrze i pulach węzłów systemu Windows Server w klastrze usługi AKS. Postępuj zgodnie z regularnym harmonogramem na podstawie cyklu wydania usługi Windows Update i własnego procesu weryfikacji. Ten proces uaktualniania tworzy węzły, które uruchamiają najnowszy obraz i poprawki systemu Windows Server, a następnie usuwa starsze węzły. Aby uzyskać więcej informacji na temat tego procesu, zobacz Uaktualnianie puli węzłów w usłudze AKS.

Następujące obrazy mają wymagania funkcjonalne do uruchomienia jako katalog główny, a wyjątki muszą zostać zgłoszone dla dowolnych zasad:

• mcr.microsoft.com/oss/kubernetes/coredns
• mcr.microsoft.com/azuremonitor/containerinsights/ciprod
• mcr.microsoft.com/oss/calico/node
• mcr.microsoft.com/oss/kubernetes-csi/azuredisk-csi

Tak, istnieją dwie opcje ograniczania dostępu do serwera interfejsu API:

• Użyj zakresów autoryzowanych adresów IP serwera interfejsu API , jeśli chcesz zachować publiczny punkt końcowy dla serwera interfejsu API, ale ograniczyć dostęp do zestawu zaufanych zakresów adresów IP.
• Użyj klastra prywatnego , jeśli chcesz ograniczyć dostęp do serwera interfejsu API tylko z sieci wirtualnej.

Poprawki AKS cves, które mają poprawkę dostawcy co tydzień. CvEs bez poprawki czekają na poprawkę dostawcy, zanim będą mogły zostać skorygowane. Obrazy usługi AKS są automatycznie aktualizowane w ciągu 30 dni. Zalecamy zastosowanie zaktualizowanego obrazu węzła w regularnym cyklu, aby upewnić się, że wszystkie najnowsze poprawki obrazów i poprawek systemu operacyjnego są stosowane i aktualne. To zadanie można wykonać:

• Ręcznie za pośrednictwem witryny Azure Portal lub interfejsu wiersza polecenia platformy Azure.
• Uaktualniając klaster usługi AKS. Klaster uaktualnia węzły cordonu i opróżniania automatycznie. Następnie zostanie wyświetlony nowy węzeł w trybie online z najnowszym obrazem systemu Ubuntu i nową wersją poprawki lub pomocniczą wersją rozwiązania Kubernetes. Aby uzyskać więcej informacji, zobacz Uaktualnianie klastra usługi AKS.
• Za pomocą uaktualnienia obrazu węzła.

Firma Microsoft udostępnia wskazówki dotyczące innych akcji, które można wykonać w celu zabezpieczenia obciążeń za pośrednictwem usług, takich jak Microsoft Defender for Containers. Aby uzyskać informacje na temat zagrożenia bezpieczeństwa związanego z usługami AKS i Kubernetes, zobacz New large-scale campaign targets Kubeflow (8 czerwca 2021 r.).

Nie. Wszystkie dane są przechowywane w regionie klastra.

Tradycyjnie, jeśli zasobnik jest uruchomiony jako użytkownik inny niż główny (który powinien), należy określić fsGroup parametr wewnątrz kontekstu zabezpieczeń zasobnika, aby wolumin był czytelny i zapisywalny przez zasobnik. Aby uzyskać więcej informacji na temat tego wymagania, zobacz Konfigurowanie kontekstu zabezpieczeń dla zasobnika lub kontenera.

Efektem ubocznym ustawienia fsGroup jest to, że za każdym razem, gdy wolumin jest zainstalowany, platforma Kubernetes musi używać chown() poleceń i chmod() rekursywnie dla wszystkich plików i katalogów wewnątrz woluminu (z kilkoma wyjątkami). Ten scenariusz występuje nawet wtedy, gdy własność grupy woluminu jest już zgodna z żądanym fsGroup parametrem. Ta konfiguracja może być kosztowna w przypadku większych woluminów z dużą częścią małych plików, co może spowodować, że uruchamianie zasobnika może zająć dużo czasu. Ten scenariusz był znanym problemem przed 1.20. Obejście polega na ustawieniu zasobnika tak, aby był uruchamiany jako katalog główny:

apiVersion: v1
kind: Pod
metadata:
  name: security-context-demo
spec:
  securityContext:
    runAsUser: 0
    fsGroup: 0

Problem został rozwiązany przy użyciu platformy Kubernetes w wersji 1.20. Aby uzyskać więcej informacji, zobacz Kubernetes 1.20: Szczegółowa kontrola nad zmianami uprawnień woluminu.

Usługa AKS używa bezpiecznej komunikacji tunelu, aby umożliwić api-server komunikację między węzłami i poszczególnymi węzłami, nawet w oddzielnych sieciach wirtualnych. Tunel jest zabezpieczony za pośrednictwem wzajemnego szyfrowania zabezpieczeń warstwy transportu. Bieżący główny tunel używany przez usługę AKS to Konnectivity, wcześniej znany jako apiserver-network-proxy. Sprawdź, czy wszystkie reguły sieci są zgodne z wymaganymi regułami sieci platformy Azure i w pełni kwalifikowaną nazwą domeny (FQDN).

Tak, możesz dodać adnotację kubernetes.azure.com/set-kube-service-host-fqdn do zasobników, aby ustawić KUBERNETES_SERVICE_HOST zmienną na nazwę domeny serwera interfejsu API zamiast adresu IP usługi klastra. Ta modyfikacja jest przydatna w przypadkach, gdy ruch wychodzący klastra odbywa się za pośrednictwem zapory warstwy 7. Przykładem jest użycie usługi Azure Firewall z regułami aplikacji.

Usługa AKS nie stosuje sieciowych grup zabezpieczeń do podsieci i nie modyfikuje żadnej sieciowej grupy zabezpieczeń skojarzonej z tą podsiecią. Usługa AKS modyfikuje tylko ustawienia sieciowej grupy zabezpieczeń interfejsu sieciowego. Jeśli używasz interfejsu sieciowego kontenera (CNI), musisz również upewnić się, że reguły zabezpieczeń w sieciowych grupach zabezpieczeń zezwalają na ruch między węzłem a zakresami routingu międzydomenowego bezklasowego (CIDR). Jeśli używasz rozwiązania kubenet, musisz również upewnić się, że reguły zabezpieczeń w sieciowych grupach zabezpieczeń zezwalają na ruch między węzłem i zasobnikami CIDR. Aby uzyskać więcej informacji, zobacz Sieciowe grupy zabezpieczeń.

Węzły usługi AKS uruchamiają usługę chrony, która ściąga czas z hosta lokalnego. Kontenery uruchamiane na zasobnikach uzyskują czas z węzłów usługi AKS. Aplikacje otwierane wewnątrz kontenera używają czasu z kontenera zasobnika.

Nie. Usługa AKS jest usługą zarządzaną. Manipulowanie zasobami infrastruktury jako usługi (IaaS) nie jest obsługiwane. Aby zainstalować składniki niestandardowe, użyj interfejsów API i mechanizmów platformy Kubernetes. Na przykład użyj poleceń DaemonSets, aby zainstalować wszystkie wymagane składniki.

Usługa AKS obsługuje następujące kontrolery przyjęć:

• NamespaceLifecycle
• LimitRanger
• ServiceAccount
• DefaultIngressClass
• DefaultStorageClass
• DefaultTolerationSeconds
• MutatingAdmissionWebhook
• ValidatingAdmissionWebhook
• ResourceQuota
• PodNodeSelector
• PodTolerationRestriction
• ExtendedResourceToleration

Obecnie nie można zmodyfikować listy kontrolerów dostępu w usłudze AKS.

Tak, można użyć elementów webhook kontrolera dostępu w usłudze AKS. Zalecamy wykluczenie wewnętrznych przestrzeni nazw usługi AKS oznaczonych etykietą control-plane . Na przykład:

namespaceSelector:
    matchExpressions:
    - key: control-plane
      operator: DoesNotExist

Usługa AKS blokuje ruch wychodzący serwera interfejsu API, aby elementy webhook kontrolera dostępu były dostępne z poziomu klastra.

Aby chronić stabilność systemu i zapobiegać wpływowi niestandardowych kontrolerów przyjęć na wewnętrzne usługi w kube-system przestrzeni nazw, usługa AKS ma wymuszający przyjęcia, który automatycznie wyklucza kube-system i wewnętrzne przestrzenie nazw usługi AKS. Ta usługa gwarantuje, że niestandardowe kontrolery dostępu nie mają wpływu na usługi uruchomione w programie kube-system.

Jeśli masz krytyczny przypadek użycia do wdrażania elementu w systemie kube-system (niezalecane) w obsłudze niestandardowego elementu webhook przyjęcia, możesz dodać następującą etykietę lub adnotację, aby wymuszać przyznanie go zignorować:

• Etykieta: "admissions.enforcer/disabled": "true"
• Adnotacja: "admissions.enforcer/disabled": true

Dostawca usługi Azure Key Vault dla sterownika CSI magazynu wpisów tajnych zapewnia natywną integrację usługi Azure Key Vault z usługą AKS.

Węzły, które są włączone przy użyciu federalnych standardów przetwarzania informacji (FIPS) są teraz obsługiwane w pulach węzłów opartych na systemie Linux. Aby uzyskać więcej informacji, zobacz Dodawanie puli węzłów z obsługą protokołu FIPS.

Każda poprawka, w tym poprawka zabezpieczeń, jest automatycznie stosowana do klastra usługi AKS. Wszystkie zmiany większe niż poprawki, takie jak zmiany wersji głównej lub pomocniczej (które mogą mieć zmiany powodujące niezgodność w wdrożonych obiektach), są aktualizowane po zaktualizowaniu klastra, jeśli jest dostępna nowa wersja. Aby uzyskać informacje na temat dostępności nowej wersji, zobacz Informacje o wersji usługi AKS.

Rozszerzenie usługi AKS dla systemu Linux to rozszerzenie maszyny wirtualnej platformy Azure, które instaluje i konfiguruje narzędzia do monitorowania w węzłach roboczych platformy Kubernetes. Rozszerzenie jest instalowane we wszystkich nowych i istniejących węzłach systemu Linux. Konfiguruje następujące narzędzia do monitorowania:

• Eksporter węzła: zbiera dane telemetryczne sprzętowe z maszyny wirtualnej i udostępnia je przy użyciu punktu końcowego metryk. Następnie narzędzie do monitorowania, takie jak Prometheus, może złomować te metryki.
• Narzędzie do wykrywania problemów z węzłem: ma na celu uwidocznienie różnych problemów z węzłami w warstwach nadrzędnych w stosie zarządzania klastrem. Jest to jednostka systemowa, która działa w każdym węźle, wykrywa problemy z węzłami i zgłasza je do serwera interfejsu API klastra przy użyciu poleceń Events i NodeConditions.
• ig: to oparta na eBPF platforma typu open source do debugowania i obserwacji systemów Linux i Kubernetes. Udostępnia zestaw narzędzi (lub gadżetów), które zbierają istotne informacje, których użytkownicy mogą używać do identyfikowania przyczyny problemów z wydajnością, awarii lub innych anomalii. W szczególności jego niezależność od platformy Kubernetes umożliwia użytkownikom korzystanie z niego również w przypadku debugowania problemów z płaszczyzną sterowania.

Te narzędzia ułatwiają obserwowanie wielu problemów związanych z kondycją węzła, takich jak:

• Problemy z demonem infrastruktury: Usługa NTP nie działa
• Problemy sprzętowe: Zły procesor CPU, pamięć lub dysk
• Problemy z jądrami: Zakleszczenie jądra, uszkodzony system plików
• Problemy ze środowiskiem uruchomieniowym kontenera: Demon środowiska uruchomieniowego, który nie odpowiada

Rozszerzenie nie wymaga dodatkowego dostępu wychodzącego do żadnych adresów URL, adresów IP ani portów poza udokumentowanymi wymaganiami dotyczącymi ruchu wychodzącego usługi AKS. Nie wymaga żadnych specjalnych uprawnień przyznanych na platformie Azure. Służy kubeconfig do nawiązywania połączenia z serwerem interfejsu API w celu wysyłania zebranych danych monitorowania.

Większość klastrów jest usuwana na żądanie użytkownika. W niektórych przypadkach, szczególnie w przypadku przeniesienia własnej grupy zasobów lub wykonania zadań między grupami zasobów usunięcie może zająć więcej czasu, a nawet zakończyć się niepowodzeniem. Jeśli masz problem z usunięciem, sprawdź dwukrotnie, czy nie masz blokad w grupie zasobów. Upewnij się również, że wszystkie zasoby spoza grupy zasobów nie są skojarzone z grupą zasobów.

Jeśli masz problemy z tworzeniem i aktualizowaniem klastrów, upewnij się, że nie masz żadnych przypisanych zasad ani ograniczeń usługi, które mogą uniemożliwić klastrowi usługi AKS zarządzanie zasobami, takimi jak maszyny wirtualne, moduły równoważenia obciążenia lub tagi.

Możesz, ale nie zalecamy tego. Wykonaj aktualizacje, gdy stan klastra jest znany i w dobrej kondycji.

Nie. Usuń lub usuń wszystkie węzły, które są w stanie niepowodzenia lub w inny sposób z klastra przed uaktualnieniem.

Najczęściej ten błąd występuje, jeśli masz co najmniej jedną sieciową grupę zabezpieczeń, która jest nadal skojarzona z klastrem. Usuń je i spróbuj ponownie usunąć klaster.

Upewnij się, że jednostka usługi nie wygasła. Aby uzyskać więcej informacji, zobacz AKS service principal and AKS update credentials ( Jednostki usługi AKS i poświadczenia aktualizacji usługi AKS).

Upewnij się, że jednostka usługi nie wygasła. Aby uzyskać więcej informacji, zobacz AKS service principal and AKS update credentials ( Jednostki usługi AKS i poświadczenia aktualizacji usługi AKS).