Zasady pomocy technicznej dla usługi Azure Kubernetes

  • Artykuł

W tym artykule opisano zasady i ograniczenia pomocy technicznej dotyczące usługi Azure Kubernetes Service (AKS). Zawiera on również szczegółowe informacje na temat zarządzania węzłami agenta, składników płaszczyzny sterowania zarządzanego, składników open source innych firm oraz zarządzania zabezpieczeniami lub poprawkami.

Aktualizacje i wydania usługi

  • Aby uzyskać informacje o wersji, zobacz Informacje o wersji usługi AKS.
  • Aby uzyskać informacje na temat funkcji w wersji zapoznawczej, zobacz plan usługi AKS.

Funkcje zarządzane w usłudze AKS

Podstawowe składniki chmury infrastruktury jako usługi (IaaS), takie jak składniki obliczeniowe lub sieciowe, umożliwiają dostęp do kontrolek niskiego poziomu i opcji dostosowywania. Natomiast usługa AKS udostępnia gotowe wdrożenie platformy Kubernetes, które zapewnia wspólny zestaw konfiguracji i możliwości potrzebnych dla klastra. Jako użytkownik usługi AKS masz ograniczone opcje dostosowywania i wdrażania. W zamian nie musisz martwić się bezpośrednio o klastry Kubernetes ani zarządzać nimi.

Dzięki usłudze AKS uzyskasz w pełni zarządzaną płaszczyznę sterowania. Płaszczyzna sterowania zawiera wszystkie składniki i usługi potrzebne do obsługi i dostarczania klastrów Kubernetes użytkownikom końcowym. Firma Microsoft utrzymuje i obsługuje wszystkie składniki platformy Kubernetes.

Firma Microsoft zarządza następującymi składnikami i monitoruje je za pośrednictwem płaszczyzny sterowania:

  • Serwery interfejsu API Kubelet lub Kubernetes
  • Etcd lub zgodny magazyn klucz-wartość, zapewniając jakość usług (QoS), skalowalność i środowisko uruchomieniowe
  • Usługi DNS (na przykład kube-dns lub CoreDNS)
  • Serwer proxy lub sieć platformy Kubernetes, z wyjątkiem sytuacji, w których jest używana funkcja BYOCNI
  • Wszystkie inne dodatki lub składnik systemu uruchomiony w przestrzeni nazw kube-system.

Usługa AKS nie jest rozwiązaniem Typu platforma jako usługa (PaaS). Niektóre składniki, takie jak węzły agentów, mają wspólną odpowiedzialność, gdzie należy pomóc w utrzymaniu klastra usługi AKS. Dane wejściowe użytkownika są wymagane, na przykład w celu zastosowania poprawki zabezpieczeń systemu operacyjnego (OS) węzła agenta.

Usługi są zarządzane w taki sposób, że firma Microsoft i zespół AKS wdrażają, działają i są odpowiedzialne za dostępność i funkcjonalność usługi. Klienci nie mogą zmieniać tych składników zarządzanych. Firma Microsoft ogranicza dostosowywanie, aby zapewnić spójne i skalowalne środowisko użytkownika.

Wspólna odpowiedzialność

Po utworzeniu klastra należy zdefiniować węzły agenta Kubernetes tworzone przez usługę AKS. Obciążenia są wykonywane w tych węzłach.

Ponieważ węzły agenta wykonują kod prywatny i przechowują poufne dane, pomoc techniczna firmy Microsoft mogą uzyskiwać do nich dostęp tylko w ograniczony sposób. pomoc techniczna firmy Microsoft nie można zalogować się do, wykonywać poleceń ani wyświetlać dzienników dla tych węzłów bez wyraźnego uprawnienia lub pomocy.

Wszelkie modyfikacje wprowadzone bezpośrednio w węzłach agenta przy użyciu dowolnego interfejsu API IaaS powodują, że klaster jest nieobsługiwany. Wszelkie modyfikacje zastosowane do węzłów agenta muszą być wykonywane przy użyciu mechanizmów natywnych kubernetes, takich jak Daemon Sets.

Podobnie, chociaż można dodać wszelkie metadane do klastra i węzłów, takie jak tagi i etykiety, zmiana dowolnego z utworzonych przez system metadanych powoduje, że klaster nie jest obsługiwany.

Pokrycie obsługi usługi AKS

Firma Microsoft zapewnia pomoc techniczną dotyczącą następujących przykładów:

  • Połączenie ivity do wszystkich składników Kubernetes zapewnia i obsługuje usługę Kubernetes, takich jak serwer interfejsu API.
  • Zarządzanie, czas pracy, QoS i operacje usług płaszczyzny sterowania Kubernetes (na przykład płaszczyzna sterowania Kubernetes, serwer interfejsu API itp.) i coreDNS.
  • Magazyn danych etcd. Obsługa obejmuje automatyczne, przezroczyste kopie zapasowe wszystkich danych itp. co 30 minut na potrzeby planowania awarii i przywracania stanu klastra. Te kopie zapasowe nie są dostępne bezpośrednio dla Ciebie ani dla nikogo innego. Zapewniają one niezawodność i spójność danych. Wycofywanie lub przywracanie na żądanie nie jest obsługiwane jako funkcja.
  • Wszystkie punkty integracji w sterowniku dostawcy usług w chmurze platformy Azure dla platformy Kubernetes. Obejmują one integracje z innymi usługami platformy Azure, takimi jak moduły równoważenia obciążenia, trwałe woluminy lub sieć (Kubernetes i Azure CNI, z wyjątkiem sytuacji, w których jest używana funkcja BYOCNI ).
  • Pytania lub problemy dotyczące dostosowywania składników płaszczyzny sterowania, takich jak serwer interfejsu API Kubernetes itp., i coreDNS.
  • Problemy z siecią, takie jak Azure CNI, kubenet lub inne problemy z dostępem do sieci i funkcjami, z wyjątkiem sytuacji, w których jest używana funkcja BYOCNI . Problemy mogą obejmować rozpoznawanie nazw DNS, utratę pakietów, routing itd. Firma Microsoft obsługuje różne scenariusze sieciowe:
    • Platforma Kubenet i sieć CNI platformy Azure korzystające z zarządzanych sieci wirtualnych lub z niestandardowymi podsieciami (bring your own).
    • Połączenie z innymi usługami i aplikacjami platformy Azure
    • Kontrolery ruchu przychodzącego i konfiguracje ruchu przychodzącego lub modułu równoważenia obciążenia
    • Wydajność i opóźnienie sieci
    • Zasady sieciowe

Uwaga

Wszelkie akcje klastra podejmowane przez firmę Microsoft/AKS są wykonywane ze zgodą w ramach wbudowanej roli aks-service Kubernetes i wbudowanego powiązania aks-service-rolebindingroli. Ta rola umożliwia usłudze AKS rozwiązywanie i diagnozowanie problemów z klastrem, ale nie może modyfikować uprawnień ani tworzyć ról ani powiązań ról ani innych akcji o wysokim poziomie uprawnień. Dostęp do roli jest włączony tylko w ramach aktywnych biletów pomocy technicznej z dostępem just in time (JIT).

Firma Microsoft nie zapewnia pomocy technicznej w następujących scenariuszach:

  • Pytania dotyczące korzystania z platformy Kubernetes. Na przykład pomoc techniczna firmy Microsoft nie udostępnia porad dotyczących tworzenia niestandardowych kontrolerów ruchu przychodzącego, używania obciążeń aplikacji ani stosowania pakietów oprogramowania lub narzędzi innych firm lub oprogramowania typu open source.

    Uwaga

    pomoc techniczna firmy Microsoft może doradzać w zakresie funkcji, dostosowywania i dostrajania klastra AKS (na przykład problemów i procedur dotyczących operacji platformy Kubernetes).

  • Projekty open source innych firm, które nie są udostępniane jako część płaszczyzny sterowania kubernetes lub wdrażane z klastrami usługi AKS. Te projekty mogą obejmować Istio, Helm, Envoy lub inne.

    Uwaga

    Firma Microsoft może zapewnić najlepszą pomoc techniczną dla projektów open source innych firm, takich jak Helm. Jeśli narzędzie open source innej firmy integruje się z dostawcą chmury Platformy Azure Kubernetes lub innymi usterkami specyficznymi dla usługi AKS, firma Microsoft obsługuje przykłady i aplikacje z dokumentacji firmy Microsoft.

  • Oprogramowanie zamknięte innej firmy. To oprogramowanie może obejmować narzędzia do skanowania zabezpieczeń i urządzenia sieciowe lub oprogramowanie.

  • Dostosowania sieci inne niż wymienione w dokumentacji usługi AKS.

  • Niestandardowe lub zewnętrzne wtyczki CNI używane w trybie BYOCNI .

  • Scenariusze autonomiczne i proaktywne. pomoc techniczna firmy Microsoft zapewnia reaktywną pomoc techniczną, aby pomóc w rozwiązywaniu aktywnych problemów w odpowiednim czasie i w profesjonalny sposób. Obsługa rezerwowa lub proaktywna, która pomaga wyeliminować zagrożenia operacyjne, zwiększyć dostępność i zoptymalizować wydajność, nie są uwzględnione. Uprawnieni klienci mogą skontaktować się z zespołem ds. kont, aby uzyskać nominację do usługi Azure Event Management. Jest to płatna usługa dostarczana przez inżynierów pomocy technicznej firmy Microsoft, która obejmuje proaktywną ocenę ryzyka i pokrycie rozwiązania podczas wydarzenia.

Pokrycie obsługi usługi AKS dla węzłów agenta

Obowiązki firmy Microsoft dotyczące węzłów agenta usługi AKS

Firma Microsoft i Ty ponosisz odpowiedzialność za węzły agenta Kubernetes, w których:

  • Podstawowy obraz systemu operacyjnego ma wymagane dodatki (takie jak monitorowanie i agenci sieci).
  • Węzły agenta automatycznie otrzymują poprawki systemu operacyjnego.
  • Problemy ze składnikami płaszczyzny sterowania platformy Kubernetes uruchamianymi w węzłach agenta są automatycznie korygowane. Te składniki obejmują następujące elementy:
    • Kube-proxy
    • Tunele sieciowe udostępniające ścieżki komunikacyjne do głównych składników platformy Kubernetes
    • Kubelet
    • containerd

Uwaga

Jeśli węzeł agenta nie działa, usługa AKS może ponownie uruchomić poszczególne składniki lub cały węzeł agenta. Te operacje ponownego uruchamiania są zautomatyzowane i zapewniają automatyczne korygowanie typowych problemów. Jeśli chcesz dowiedzieć się więcej o mechanizmach automatycznego korygowania, zobacz Automatyczne naprawianie węzłów

Obowiązki klienta dotyczące węzłów agenta usługi AKS

Firma Microsoft udostępnia poprawki i nowe obrazy dla węzłów obrazów co tydzień, ale domyślnie nie powoduje automatycznego stosowania poprawek. Aby zapewnić stosowanie poprawek składników systemu operacyjnego i środowiska uruchomieniowego węzła agenta, należy zachować regularny harmonogram uaktualniania obrazu węzła lub zautomatyzować go.

Podobnie usługa AKS regularnie publikuje nowe poprawki kubernetes i wersje pomocnicze. Te aktualizacje mogą zawierać ulepszenia zabezpieczeń lub funkcjonalności platformy Kubernetes. Odpowiadasz za aktualizowanie wersji kubernetes klastra i zgodnie z zasadami wersji pomocy technicznej usługi AKS Kubernetes.

Dostosowywanie przez użytkownika węzłów agenta

Uwaga

Węzły agenta usługi AKS są wyświetlane w witrynie Azure Portal jako standardowe zasoby IaaS platformy Azure. Jednak te maszyny wirtualne są wdrażane w niestandardowej grupie zasobów platformy Azure (poprzedzonej MC_*). Nie można zmienić obrazu podstawowego systemu operacyjnego ani dokonać żadnych bezpośrednich dostosowań w tych węzłach przy użyciu interfejsów API IaaS lub zasobów. Wszelkie zmiany niestandardowe, które nie są wykonywane z interfejsu API usługi AKS, nie będą utrwalane podczas uaktualniania, skalowania, aktualizowania ani ponownego uruchamiania. Ponadto wszelkie zmiany rozszerzeń węzłów, takich jak CustomScriptExtension , mogą prowadzić do nieoczekiwanego zachowania i powinny być zabronione. Unikaj przeprowadzania zmian w węzłach agenta, chyba że pomoc techniczna firmy Microsoft spowoduje wprowadzenie zmian.

Usługa AKS zarządza cyklem życia i operacjami węzłów agenta w Twoim imieniu i modyfikowaniem zasobów IaaS skojarzonych z węzłami agenta nie jest obsługiwana. Przykładem nieobsługiwanej operacji jest dostosowywanie zestawu skalowania maszyn wirtualnych puli węzłów przez ręczne zmienianie konfiguracji w witrynie Azure Portal lub z poziomu interfejsu API.

W przypadku konfiguracji lub pakietów specyficznych dla obciążenia usługa AKS zaleca korzystanie z rozwiązania Kubernetes daemon sets.

Korzystanie z kontenerów uprzywilejowanych daemon sets i inicjowania platformy Kubernetes umożliwia dostrojenie/zmodyfikowanie lub zainstalowanie oprogramowania innej firmy w węzłach agenta klastra. Przykłady takich dostosowań obejmują dodawanie niestandardowego oprogramowania do skanowania zabezpieczeń lub aktualizowanie ustawień sysctl.

Chociaż ta ścieżka jest zalecana, jeśli powyższe wymagania mają zastosowanie, inżynieria i obsługa techniczna usługi AKS nie mogą pomóc w rozwiązywaniu problemów lub diagnozowaniu modyfikacji, które renderują węzeł niedostępny z powodu wdrożenia daemon setniestandardowego.

Problemy z zabezpieczeniami i stosowanie poprawek

Jeśli zostanie znaleziona usterka zabezpieczeń w co najmniej jednym z zarządzanych składników usługi AKS, zespół usługi AKS poprawia wszystkie klastry, których dotyczy problem. Alternatywnie zespół usługi AKS udostępnia wskazówki dotyczące uaktualniania.

W przypadku węzłów agenta, których dotyczy luka w zabezpieczeniach, firma Microsoft powiadamia Cię o szczegółach wpływu i krokach, które należy rozwiązać lub rozwiązać problem z zabezpieczeniami.

Konserwacja i dostęp do węzła

Mimo że można zalogować się do węzłów agenta i zmienić je, wykonanie tej operacji jest zniechęcane, ponieważ zmiany mogą nieobsługiwane przez klaster.

Porty sieciowe, dostęp i sieciowe grupy zabezpieczeń

Sieciowe grupy zabezpieczeń można dostosować tylko w podsieciach niestandardowych. Sieciowe grupy zabezpieczeń mogą nie być dostosowane w zarządzanych podsieciach ani na poziomie karty sieciowej węzłów agenta. Usługa AKS ma wymagania dotyczące ruchu wychodzącego do określonych punktów końcowych, aby kontrolować ruch wychodzący i zapewnić niezbędną łączność, zobacz Ograniczanie ruchu wychodzącego. W przypadku ruchu przychodzącego wymagania są oparte na aplikacjach wdrożonych w klastrze.

Zatrzymano, cofnięto przydział i węzły Nie gotowe

Jeśli nie potrzebujesz obciążeń usługi AKS do ciągłego uruchamiania, możesz zatrzymać klaster usługi AKS, który zatrzymuje wszystkie pule węzłów i płaszczyznę sterowania. Możesz uruchomić go ponownie w razie potrzeby. Po zatrzymaniu klastra przy użyciu az aks stop polecenia stan klastra jest zachowywany przez maksymalnie 12 miesięcy. Po upływie 12 miesięcy stan klastra i wszystkie jego zasoby zostaną usunięte.

Ręczne cofnięcie przydziału wszystkich węzłów klastra z interfejsów API IaaS, interfejsu wiersza polecenia platformy Azure lub witryny Azure Portal nie jest obsługiwane w celu zatrzymania klastra usługi AKS ani puli węzłów. Klaster zostanie uznany za brak obsługi i zatrzymany przez usługę AKS po upływie 30 dni. Klastry są następnie objęte tymi samymi 12-miesięcznymi zasadami zachowywania co poprawnie zatrzymany klaster.

Klastry z zerowymi węzłami gotowymi (lub wszystkie nie są gotowe) i zero Uruchomionych maszyn wirtualnych zostaną zatrzymane po upływie 30 dni.

Usługa AKS zastrzega sobie prawo do archiwizowania płaszczyzn kontroli, które zostały skonfigurowane poza wytycznymi pomocy technicznej dla dłuższych okresów równych i dłuższych niż 30 dni. Usługa AKS obsługuje kopie zapasowe metadanych klastra itp. i może łatwo ponownie przydzielić klaster. Ta lokalizacja jest inicjowana przez dowolną operację PUT, która przywróci obsługę klastra, taką jak uaktualnienie lub skalowanie do aktywnych węzłów agenta.

Wszystkie klastry w wstrzymanej subskrypcji zostaną natychmiast zatrzymane i usunięte po upływie 90 dni. Wszystkie klastry w usuniętej subskrypcji zostaną natychmiast usunięte.

Nieobsługiwane funkcje alfa i beta kubernetes

Usługa AKS obsługuje tylko funkcje stabilne i beta w nadrzędnym projekcie Kubernetes. Jeśli nie opisano inaczej, usługa AKS nie obsługuje żadnej funkcji alfa dostępnej w nadrzędnym projekcie Kubernetes.

Funkcje lub flagi funkcji w wersji zapoznawczej

W przypadku funkcji i funkcji, które wymagają rozszerzonego testowania i opinii użytkowników, firma Microsoft udostępnia nowe funkcje lub funkcje w wersji zapoznawczej za flagą funkcji. Rozważ te funkcje jako funkcje w wersji wstępnej lub beta.

Funkcje w wersji zapoznawczej lub funkcje flagi funkcji nie są przeznaczone dla środowiska produkcyjnego. Trwające zmiany w interfejsach API i zachowaniu, poprawki błędów i inne zmiany mogą spowodować niestabilne klastry i przestoje.

Funkcje w publicznej wersji zapoznawczej są objęte najlepszą obsługą, ponieważ te funkcje są w wersji zapoznawczej i nie są przeznaczone do produkcji. Zespoły pomocy technicznej usługi AKS zapewniają pomoc techniczną tylko w godzinach pracy. Aby uzyskać więcej informacji, zobacz Często zadawane pytania dotyczące pomocy technicznej platformy Azure.

Nadrzędne usterki i problemy

Biorąc pod uwagę szybkość programowania w nadrzędnym projekcie Kubernetes, niezmiennie pojawiają się błędy. Niektórych z tych usterek nie można zastosować poprawek ani obejść w systemie AKS. Zamiast tego poprawki błędów wymagają większych poprawek w projektach nadrzędnych (takich jak Kubernetes, node lub agent operating systems i jądro). W przypadku składników będących właścicielami firmy Microsoft (takich jak dostawca usług w chmurze platformy Azure) usługi AKS i personel platformy Azure są zobowiązani do rozwiązywania problemów nadrzędnych w społeczności.

Jeśli główną przyczyną problemu z pomocą techniczną jest co najmniej jedna nadrzędna usterka, zespoły pomocy technicznej i inżynieryjne usługi AKS będą:

  • Zidentyfikuj i połącz nadrzędne usterki z wszelkimi szczegółami pomocniczymi, aby wyjaśnić, dlaczego ten problem ma wpływ na klaster lub obciążenie. Klienci otrzymują linki do wymaganych repozytoriów, aby mogli obserwować problemy i sprawdzać, kiedy nowe wydanie udostępni poprawki.

  • Podaj potencjalne obejścia lub środki zaradcze. Jeśli problem można rozwiązać, znany problem jest zgłaszany w repozytorium usługi AKS. Opis zgłoszenia znanego problemu:

    • Problem, w tym linki do nadrzędnych usterek.
    • Obejście i szczegółowe informacje o uaktualnieniu lub innej trwałości rozwiązania.
    • Przybliżone osie czasu dołączania problemu na podstawie nadrzędnego tempa wydania.