Zasady pomocy technicznej dla usługi Azure Kubernetes

W tym artykule opisano zasady i ograniczenia pomocy technicznej dotyczące usługi Azure Kubernetes Service (AKS). Zawiera również szczegółowe omówienie zarządzania węzłami agenta, składnikami zarządzanej płaszczyzny sterowania, składnikami open source dostarczonymi przez firmy trzecie oraz zarządzania bezpieczeństwem i poprawkami.

Aktualizacje i wydania usługi

• Aby uzyskać informacje o wersji, zobacz Uwagi do wydania AKS.
• Aby uzyskać informacje na temat funkcji w wersji zapoznawczej, zobacz plan AKS.

Funkcje zarządzane w Azure Kubernetes Service (AKS)

Podstawowe składniki chmury infrastruktury jako usługi (IaaS), takie jak składniki obliczeniowe lub sieciowe, umożliwiają dostęp do kontrolek niskiego poziomu i opcji dostosowywania. Natomiast usługa AKS udostępnia gotowe wdrożenie platformy Kubernetes, które zapewnia wspólny zestaw konfiguracji i możliwości potrzebnych dla klastra. Jako użytkownik usługi AKS masz ograniczone opcje dostosowywania i wdrażania. W zamian nie musisz martwić się bezpośrednio o klastry Kubernetes ani zarządzać nimi.

Dzięki usłudze AKS uzyskasz w pełni zarządzaną warstwę sterującą. Płaszczyzna sterowania zawiera wszystkie składniki i usługi potrzebne do obsługi i dostarczania klastrów Kubernetes użytkownikom końcowym. Firma Microsoft utrzymuje i obsługuje wszystkie składniki platformy Kubernetes.

Firma Microsoft zarządza następującymi składnikami i monitoruje je za pośrednictwem płaszczyzny sterowania:

• Serwery API Kubeleta lub Kubernetes
• Etcd lub zgodny magazyn klucz-wartość, gwarantujący jakość usług (QoS), skalowalność i czas działania
• Usługi DNS (na przykład kube-dns lub CoreDNS)
• Serwer proxy lub sieć platformy Kubernetes, z wyjątkiem sytuacji, w których jest używana funkcja BYOCNI
• Inne dodatki lub składniki systemu działające w przestrzeni nazw kube-system.

Usługa AKS nie jest rozwiązaniem Typu platforma jako usługa (PaaS). Niektóre składniki, takie jak węzły agentów, mają wspólną odpowiedzialność, co oznacza, że musisz współpracować w utrzymywaniu klastra AKS. Dane wejściowe użytkownika są wymagane, na przykład w celu zastosowania poprawki zabezpieczeń systemu operacyjnego (OS) węzła agenta.

Usługi są zarządzane w taki sposób, że firma Microsoft i zespół AKS wdrażają, działają i są odpowiedzialne za dostępność i funkcjonalność usługi. Klienci nie mogą zmieniać tych składników zarządzanych. Firma Microsoft ogranicza dostosowywanie, aby zapewnić spójne i skalowalne środowisko użytkownika.

Shared responsibility

Po utworzeniu klastra należy zdefiniować węzły agenta Kubernetes tworzone przez usługę AKS. Obciążenia są wykonywane na tych węzłach.

Ponieważ węzły agenta wykonują kod prywatny i przechowują poufne dane, pomoc techniczna firmy Microsoft może uzyskiwać dostęp do nich tylko w ograniczony sposób. Pomoc techniczna firmy Microsoft nie może zalogować się, wykonywać poleceń ani wyświetlać dzienników dla tych węzłów bez Twojej wyraźnej zgody lub pomocy.

Wszelkie modyfikacje wprowadzone bezpośrednio w węzłach agenta przy użyciu dowolnego interfejsu API IaaS powodują, że klaster jest nieobsługiwany. Wszelkie modyfikacje zastosowane do węzłów agenta muszą być wykonywane przy użyciu mechanizmów natywnych dla Kubernetes, takich jak Daemon Sets.

Podobnie, chociaż można dodać wszystkie metadane do klastra i węzłów, takie jak tagi i etykiety, zmiana dowolnego z utworzonych przez system metadanych powoduje, że klaster nie jest obsługiwany.

Zakres wsparcia AKS

Supported scenarios

Firma Microsoft zapewnia pomoc techniczną dotyczącą następujących przykładów:

• Zapewnienie łączności ze wszystkimi składnikami Kubernetes, które obsługuje i wspiera serwis Kubernetes, na przykład z serwerem API.
• Zarządzanie, czas pracy, QoS i operacje usług płaszczyzny sterowania Kubernetes (na przykład płaszczyzna sterowania Kubernetes, serwer interfejsu API itp.) i coreDNS.
• Magazyn danych etcd. Obsługa obejmuje automatyczne, przezroczyste kopie zapasowe wszystkich danych itp. co 30 minut na potrzeby planowania awarii i przywracania stanu klastra. Te kopie zapasowe nie są dostępne bezpośrednio dla Ciebie ani dla nikogo innego. Zapewniają one niezawodność i spójność danych. Wycofywanie lub przywracanie na żądanie nie jest obsługiwane jako funkcja.
• Wszystkie punkty integracji w sterowniku dostawcy usług w chmurze platformy Azure dla platformy Kubernetes. Obejmują one integracje z innymi usługami platformy Azure, takimi jak moduły równoważenia obciążenia, trwałe woluminy lub sieć (Kubernetes i Azure CNI, z wyjątkiem sytuacji, w których jest używana funkcja BYOCNI ).
• Pytania lub problemy dotyczące dostosowywania składników płaszczyzny sterowania, takich jak serwer interfejsu API Kubernetes itp., i coreDNS.
• Problemy z siecią, takie jak Azure CNI, kubenet lub inne problemy z dostępem do sieci i funkcjami, z wyjątkiem sytuacji, w których jest używana funkcja BYOCNI . Problemy mogą obejmować rozpoznawanie nazw DNS, utratę pakietów, routing itd. Firma Microsoft obsługuje różne scenariusze sieciowe:
  • Kubenet i Azure CNI używające zarządzanych sieci wirtualnych lub własnych podsieci.
  • Łączność z innymi usługami i aplikacjami platformy Azure
  • Kontrolery wejścia zarządzane przez firmę Microsoft lub konfiguracje modułu równoważenia obciążenia.
  • Wydajność i opóźnienie sieci
  • Składniki i funkcje zasad sieci zarządzanych przez firmę Microsoft

Note

Wszelkie akcje klastra podejmowane przez firmę Microsoft/AKS są wykonywane za zgodą użytkownika, w oparciu o wbudowaną rolę Kubernetes aks-service oraz powiązanie roli aks-service-rolebinding. Ta rola umożliwia usłudze AKS rozwiązywanie i diagnozowanie problemów z klastrem, ale nie może modyfikować uprawnień ani tworzyć ról ani powiązań ról ani innych akcji o wysokim poziomie uprawnień. Dostęp do roli jest włączony tylko w ramach aktywnych biletów pomocy technicznej z dostępem just in time (JIT).

Unsupported scenarios

Firma Microsoft nie zapewnia pomocy technicznej w następujących scenariuszach:

• Pytania dotyczące korzystania z platformy Kubernetes. Na przykład pomoc techniczna firmy Microsoft nie udostępnia porad dotyczących tworzenia niestandardowych kontrolerów ruchu przychodzącego, używania obciążeń aplikacji ani stosowania pakietów oprogramowania lub narzędzi innych firm lub oprogramowania typu open source.

  Note

  pomoc techniczna firmy Microsoft może doradzać w zakresie funkcji, dostosowywania i dostrajania klastra AKS (na przykład problemów i procedur dotyczących operacji platformy Kubernetes).

• Projekty open source zewnętrzne, które nie są udostępniane jako część planu sterowania Kubernetes ani wdrażane z klastrami AKS. Te projekty mogą obejmować Istio, Helm, Envoy lub inne.

  Note

  Firma Microsoft może zapewnić najlepszą pomoc techniczną dla projektów open source innych firm, takich jak Helm. Jeśli narzędzie open source innej firmy integruje się z dostawcą chmury Platformy Azure Kubernetes lub innymi usterkami specyficznymi dla usługi AKS, firma Microsoft obsługuje przykłady i aplikacje z dokumentacji firmy Microsoft.

• Oprogramowanie zamknięte firm trzecich. To oprogramowanie może obejmować narzędzia do skanowania zabezpieczeń i urządzenia sieciowe lub oprogramowanie.

• Konfigurowanie lub rozwiązywanie problemów z kodem specyficznym dla aplikacji lub zachowaniem aplikacji lub narzędzi innych firm działających w klastrze usługi AKS. Obejmuje to problemy z wdrażaniem aplikacji, które nie są związane z samą platformą AKS.

• Wystawianie, odnawianie lub zarządzanie certyfikatami dla aplikacji działających w usłudze AKS.

• Dostosowania sieci inne niż wymienione w dokumentacji usługi AKS. Na przykład pomoc techniczna firmy Microsoft nie może skonfigurować urządzeń ani urządzeń wirtualnych przeznaczonych do zapewnienia ruchu wychodzącego dla klastra usługi AKS, takiego jak sieci VPN lub zapory.

  Note

  Na zasadzie najlepszych starań, pomoc techniczna firmy Microsoft może doradzać w zakresie konfiguracji wymaganej dla usługi Azure Firewall, ale nie w przypadku urządzeń innych firm.

• Niestandardowe lub zewnętrzne (firm trzecich) wtyczki CNI używane w trybie BYOCNI.

• Konfigurowanie lub rozwiązywanie problemów z zasadami sieci niezarządzanymi przez firmę Microsoft. W przypadku stosowania zasad sieciowych, pomoc techniczna firmy Microsoft nie może rozwiązać problemów wynikających z niestandardowych konfiguracji zasad sieciowych.

• Konfigurowanie lub rozwiązywanie problemów z kontrolerami ruchu przychodzącego niezarządzanymi przez firmę Microsoft, takimi jak nginx, kong, traefik itp. Obejmuje to rozwiązywanie problemów z funkcjami, które pojawiają się po operacjach specyficznych dla usługi AKS, takich jak zaprzestanie działania kontrolera ruchu przychodzącego po uaktualnieniu wersji rozwiązania Kubernetes. Takie problemy mogą wynikać z niezgodności między wersją kontrolera ruchu przychodzącego a nową wersją platformy Kubernetes. W przypadku w pełni obsługiwanej opcji rozważ użycie opcji kontrolera ruchu przychodzącego zarządzanego przez firmę Microsoft.

• Konfigurowanie lub rozwiązywanie problemów z zestawami DaemonSet (w tym skryptami) używanymi do dostosowywania konfiguracji węzłów. Chociaż korzystanie z zestawu DaemonSets jest zalecanym podejściem do dostosowywania, modyfikowania lub instalowania oprogramowania innej firmy na węzłach agenta klastra, gdy parametry pliku konfiguracji są niewystarczające, pomoc techniczna firmy Microsoft nie może rozwiązywać problemów wynikających z skryptów niestandardowych używanych w zestawach DaemonSet ze względu na ich niestandardowy charakter.

• Scenariusze autonomiczne i proaktywne. pomoc techniczna firmy Microsoft zapewnia reaktywną pomoc techniczną, aby pomóc w rozwiązywaniu aktywnych problemów w odpowiednim czasie i w profesjonalny sposób. Obsługa rezerwowa lub aktywna w celu wyeliminowania ryzyka operacyjnego, zwiększenia dostępności i optymalizacji wydajności nie jest uwzględniana. Uprawnieni klienci mogą skontaktować się z zespołem ds. kont, aby uzyskać nominację do usługi Azure Event Management. Jest to płatna usługa dostarczana przez inżynierów pomocy technicznej firmy Microsoft, która obejmuje proaktywną ocenę ryzyka i pokrycie rozwiązania podczas wydarzenia.

• Luki w zabezpieczeniach/CVE z poprawką dostawcy, która ma mniej niż 30 dni. Tak długo, jak korzystasz ze zaktualizowanego dysku VHD, nie powinieneś mieć żadnych luk w zabezpieczeniach obrazów kontenera ani CVE, dla których poprawki dostawcy mają ponad 30 dni. Klient ponosi odpowiedzialność za zaktualizowanie dysku VHD i udostępnienie filtrowanych list pomocy technicznej firmy Microsoft. Po zaktualizowaniu wirtualnego dysku twardego, klient ponosi odpowiedzialność za filtrowanie raportów o lukach w zabezpieczeniach lub CVEs i dostarczenie listy zawierającej wyłącznie luki naprawione przez dostawcę, których poprawki mają ponad 30 dni. Jeśli tak będzie, pomoc techniczna firmy Microsoft zapewni wewnętrzne działania i zaadresuje problemy z komponentami z poprawkami od dostawcy wydanymi ponad 30 dni temu. Ponadto firma Microsoft zapewnia wsparcie w zakresie luk w zabezpieczeniach / CVE tylko dla składników, którymi zarządza samodzielnie, takich jak obrazy węzłów usługi AKS oraz zarządzane obrazy kontenerów dla aplikacji wdrażanych podczas tworzenia klastra lub instalacji zarządzanego dodatku. Aby uzyskać więcej informacji na temat zarządzania lukami w zabezpieczeniach dla usługi AKS, odwiedź tę stronę.

• Niestandardowe przykłady kodu lub skrypty. Chociaż pomoc techniczna firmy Microsoft może dostarczać małe przykłady kodu i przeglądy małych przykładów kodu w ramach zgłoszenia do pomocy technicznej, aby zademonstrować sposób korzystania z funkcji produktu firmy Microsoft, pomoc techniczna firmy Microsoft nie może dostarczyć niestandardowych przykładów kodu specyficznych dla danego środowiska lub aplikacji.

Zakres wsparcia AKS dla węzłów agentów

Obowiązki firmy Microsoft dotyczące węzłów agenta usługi AKS

Firma Microsoft i Ty ponosisz odpowiedzialność za węzły agenta Kubernetes, w których:

• Podstawowy obraz systemu operacyjnego ma wymagane dodatki (takie jak monitorowanie i agenci sieci).
• Węzły agenta automatycznie otrzymują poprawki systemu operacyjnego.
• Problemy ze składnikami płaszczyzny sterowania Kubernetes działającymi na węzłach agenta są automatycznie korygowane. Te składniki obejmują następujące elementy:
  • Kube-proxy
  • Tunele sieciowe udostępniające ścieżki komunikacyjne do głównych składników platformy Kubernetes
  • Kubelet
  • containerd

Note

Jeśli węzeł agenta nie jest operacyjny, AKS może ponownie uruchomić poszczególne elementy lub cały węzeł agenta. Te operacje ponownego uruchamiania są zautomatyzowane i zapewniają automatyczne korygowanie typowych problemów. Jeśli chcesz dowiedzieć się więcej o mechanizmach automatycznego korygowania, zobacz Automatyczne naprawianie węzłów

Obowiązki klienta dotyczące węzłów agenta usługi AKS

Firma Microsoft udostępnia poprawki i nowe obrazy dla węzłów obrazów co tydzień. Aby zapewnić aktualność składników systemu operacyjnego i środowiska uruchomieniowego węzła agenta, należy regularnie stosować te poprawki i aktualizacje ręcznie lub automatycznie. Aby uzyskać więcej informacji, zobacz:

• Ręczna aktualizacja obrazów węzłów AKS
• Automatyczna aktualizacja obrazów węzłów usługi AKS

Podobnie, usługa AKS regularnie publikuje nowe poprawki Kubernetes i wersje pomniejsze. Te aktualizacje mogą zawierać ulepszenia zabezpieczeń lub funkcjonalności platformy Kubernetes. Jesteś odpowiedzialny za aktualizowanie wersji Kubernetes twoich klastrów zgodnie z polityką obsługi Kubernetes w AKS.

Dostosowywanie przez użytkownika węzłów agenta

Note

Węzły agenta usługi AKS są wyświetlane w witrynie Azure Portal jako standardowe zasoby IaaS platformy Azure. Jednak te maszyny wirtualne są wdrażane w niestandardowej grupie zasobów platformy Azure (poprzedzonej MC_*). Nie można zmienić podstawowego obrazu systemu operacyjnego ani dokonać bezpośrednich dostosowań w tych węzłach przy użyciu interfejsów API IaaS lub zasobów. Wszelkie niestandardowe zmiany, które nie są wykonywane z interfejsu API usługi AKS, nie będą utrwalane przez uaktualnienie, skalowanie, aktualizowanie ani ponowne uruchamianie. Ponadto wszelkie zmiany rozszerzeń węzłów, takich jak CustomScriptExtension , mogą prowadzić do nieoczekiwanego zachowania i powinny być zabronione. Unikaj przeprowadzania zmian w węzłach agenta, chyba że pomoc techniczna firmy Microsoft spowoduje wprowadzenie zmian.

Usługa AKS zarządza cyklem życia i operacjami węzłów agentów w Twoim imieniu, a modyfikowanie zasobów IaaS związanych z tymi węzłami nie jest obsługiwane. Przykładem nieobsługiwanej operacji jest dostosowywanie zestawu skalowania maszyn wirtualnych w puli węzłów poprzez ręczne zmienianie konfiguracji w portalu Azure lub za pomocą interfejsu API.

W przypadku konfiguracji lub pakietów specyficznych dla obciążenia usługa AKS zaleca korzystanie z Kubernetes daemon sets.

Korzystanie z uprzywilejowanych kontenerów Kubernetes daemon sets i kontenerów init umożliwia dostrojenie, modyfikowanie lub instalację oprogramowania stron trzecich na węzłach agenta klastra. Przykłady takich dostosowań obejmują dodawanie niestandardowego oprogramowania do skanowania zabezpieczeń lub aktualizowanie ustawień sysctl.

Chociaż ta ścieżka jest zalecana, jeśli powyższe wymagania mają zastosowanie, dział inżynierii i wsparcia technicznego usługi AKS nie może pomóc w rozwiązywaniu problemów ani diagnozowaniu modyfikacji, które powodują niedostępność węzła z powodu niestandardowego wdrożenia daemon set.

Problemy z zabezpieczeniami i stosowanie poprawek

Jeśli zostanie znaleziona usterka zabezpieczeń w co najmniej jednym z zarządzanych składników usługi AKS, zespół usługi AKS poprawia wszystkie klastry, których dotyczy problem. Alternatywnie zespół AKS oferuje wskazówki dotyczące aktualizacji.

W przypadku węzłów agenta, których dotyczy luka w zabezpieczeniach, firma Microsoft powiadamia Cię o szczegółach wpływu oraz krokach, które należy podjąć, aby naprawić lub złagodzić problem z zabezpieczeniami.

Konserwacja i dostęp do węzła

Mimo że można zalogować się do węzłów agenta i zmieniać je, odradza się wykonywanie tej operacji, ponieważ zmiany mogą sprawić, że klaster będzie nieobsługiwany.

Porty sieciowe, dostęp i grupy zabezpieczeń (NSG)

Można dostosować sieciowe grupy zabezpieczeń tylko na niestandardowych podsieciach. Nie można dostosowywać NSG w zarządzanych podsieciach ani na poziomie karty sieciowej węzłów agenta. Usługa AKS ma wymagania dotyczące ruchu wychodzącego do określonych punktów końcowych, aby kontrolować ruch wychodzący i zapewnić niezbędną łączność, zobacz Ograniczanie ruchu wychodzącego. W przypadku ingresu wymagania są oparte na aplikacjach, które wdrożyłeś w klastrze.

Zatrzymane, cofnięte przydziały i niegotowe węzły

Jeśli nie potrzebujesz, aby obciążenia AKS działały stale, możesz zatrzymać klaster AKS, co zatrzymuje wszystkie pule węzłów oraz płaszczyznę sterowania. Możesz uruchomić go ponownie w razie potrzeby. Po zatrzymaniu klastra przy użyciu az aks stop polecenia stan klastra jest zachowywany przez maksymalnie 12 miesięcy. Po upływie 12 miesięcy stan klastra i wszystkie jego zasoby zostaną usunięte.

Ręczne cofanie przydziału wszystkich węzłów klastra za pomocą interfejsów API IaaS, Azure CLI lub portalu platformy Azure nie jest obsługiwane, aby zatrzymać klaster AKS lub pulę węzłów. Klaster będzie uznany za nieobsługiwany i zatrzymany przez AKS po 30 dniach. Klastry są następnie objęte tymi samymi 12-miesięcznymi zasadami zachowywania co poprawnie zatrzymany klaster.

Klastry z zerowymi węzłami gotowymi (lub wszystkie nie są gotowe) i zero Uruchomionych maszyn wirtualnych zostaną zatrzymane po upływie 30 dni.

Usługa AKS zastrzega sobie prawo do archiwizacji płaszczyzn kontrolnych, które zostały skonfigurowane niezgodnie z wytycznymi wsparcia na okresy 30 dni lub dłuższe. Usługa AKS obsługuje kopie zapasowe metadanych klastra etcd i może łatwo ponownie przydzielić klaster. Realokacja jest inicjowana przez każdą operację PUT przywracającą wsparcie klastra, taką jak aktualizacja lub skalowanie do aktywnych węzłów agenta.

Wszystkie klastry w wstrzymanej subskrypcji zostaną natychmiast zatrzymane i usunięte po upływie 90 dni. Wszystkie klastry w usuniętej subskrypcji zostaną natychmiast usunięte.

Nieobsługiwane funkcje alfa i beta Kubernetes

Usługa AKS obsługuje tylko funkcje stabilne i beta w nadrzędnym projekcie Kubernetes. Jeśli nie opisano inaczej, usługa AKS nie obsługuje żadnej funkcji alfa dostępnej w nadrzędnym projekcie Kubernetes.

Funkcje w wersji zapoznawczej lub flagi funkcji

W przypadku funkcji i funkcji, które wymagają rozszerzonego testowania i opinii użytkowników, firma Microsoft udostępnia nowe funkcje lub funkcje w wersji zapoznawczej za flagą funkcji. Rozważ te funkcje jako funkcje w wersji wstępnej lub beta.

Funkcje w wersji zapoznawczej lub funkcje zarządzane flagami funkcji nie są przeznaczone dla środowiska produkcyjnego. Trwające zmiany w interfejsach API i zachowaniu, poprawki błędów i inne zmiany mogą spowodować niestabilne klastry i przestoje.

Funkcje w publicznej wersji zapoznawczej są objęte najlepszą obsługą, ponieważ te funkcje są dostępne w wersji zapoznawczej i nie są przeznaczone do produkcji. Zespoły pomocy technicznej usługi AKS zapewniają pomoc techniczną tylko w godzinach pracy. Aby uzyskać więcej informacji, zobacz Często zadawane pytania dotyczące pomocy technicznej platformy Azure.

Nadrzędne usterki i problemy

Biorąc pod uwagę szybkość programowania w nadrzędnym projekcie Kubernetes, niezmiennie pojawiają się błędy. Niektórych z tych usterek nie można naprawić ani obejść w systemie AKS. Zamiast tego poprawki błędów wymagają większych poprawek w projektach nadrzędnych (takich jak Kubernetes, node lub agent operating systems i jądro). W przypadku składników będących własnością firmy Microsoft (takich jak dostawca usług chmury Azure), personel AKS i Azure zobowiązuje się do naprawy problemów upstream w społeczności.

Jeśli główną przyczyną problemu technicznego jest jedna lub więcej usterek po stronie źródłowej, zespoły wsparcia technicznego i inżynieryjne AKS będą:

• Zidentyfikuj i połącz nadrzędne usterki z wszelkimi szczegółami pomocniczymi, aby wyjaśnić, dlaczego ten problem ma wpływ na klaster lub obciążenie. Klienci otrzymują linki do wymaganych repozytoriów, aby mogli obserwować problemy i sprawdzać, kiedy nowe wydanie udostępni poprawki.

• Podaj potencjalne obejścia lub środki zaradcze. Jeśli problem można złagodzić, znany problem jest zgłaszany w repozytorium usługi AKS. Opis zgłoszenia znanego problemu:

  • Problem, w tym linki do źródłowych usterek.
  • Obejście oraz szczegółowe informacje dotyczące uaktualnienia lub dalszego utrzymania rozwiązania.
  • Przybliżone ramy czasowe uwzględnienia problemu na podstawie cyklu wydawniczego głównego źródła.