Zasady pomocy technicznej dla Azure Kubernetes Service

Ten artykuł zawiera szczegółowe informacje na temat zasad pomocy technicznej i ograniczeń dotyczących Azure Kubernetes Service (AKS). W tym artykule opisano również zarządzanie węzłami agenta, zarządzane składniki płaszczyzny sterowania, składniki open source innych firm oraz zarządzanie zabezpieczeniami lub poprawkami.

Aktualizacje i wydania usługi

Funkcje zarządzane w usłudze AKS

Podstawowe składniki chmury infrastruktury jako usługi (IaaS), takie jak składniki obliczeniowe lub sieciowe, umożliwiają dostęp do kontrolek niskiego poziomu i opcji dostosowywania. Natomiast usługa AKS udostępnia gotowe do użycia wdrożenie platformy Kubernetes, które zapewnia wspólny zestaw konfiguracji i możliwości potrzebnych dla klastra. Jako użytkownik usługi AKS masz ograniczone opcje dostosowywania i wdrażania. W zamian nie musisz martwić się bezpośrednio o klastry Kubernetes ani zarządzać nimi.

Dzięki usłudze AKS uzyskasz w pełni zarządzaną płaszczyznę sterowania. Płaszczyzna sterowania zawiera wszystkie składniki i usługi, które należy obsługiwać i udostępniać klastry Kubernetes użytkownikom końcowym. Wszystkie składniki platformy Kubernetes są obsługiwane przez firmę Microsoft.

Firma Microsoft zarządza następującymi składnikami i monitoruje je za pośrednictwem płaszczyzny sterowania:

  • Serwery interfejsu API Kubelet lub Kubernetes
  • Etcd lub zgodny magazyn par klucz-wartość, zapewniając jakość usług (QoS), skalowalność i środowisko uruchomieniowe
  • Usługi DNS (na przykład kube-dns lub CoreDNS)
  • Serwer proxy lub sieć Kubernetes (z wyjątkiem sytuacji, gdy jest używany interfejs BYOCNI )
  • Wszelkie dodatkowe dodatki lub składnik systemu uruchomiony w przestrzeni nazw kube-system

Usługa AKS nie jest rozwiązaniem Typu platforma jako usługa (PaaS). Niektóre składniki, takie jak węzły agenta, mają wspólną odpowiedzialność, gdzie użytkownicy muszą pomóc w utrzymaniu klastra usługi AKS. Dane wejściowe użytkownika są wymagane, na przykład w celu zastosowania poprawki zabezpieczeń systemu operacyjnego węzła agenta.

Usługi są zarządzane w tym sensie, że firma Microsoft i zespół usługi AKS wdrażają, działają i są odpowiedzialne za dostępność i funkcjonalność usług. Klienci nie mogą zmieniać tych składników zarządzanych. Firma Microsoft ogranicza dostosowywanie, aby zapewnić spójne i skalowalne środowisko użytkownika.

Wspólna odpowiedzialność

Po utworzeniu klastra należy zdefiniować węzły agenta Kubernetes tworzone przez usługę AKS. Obciążenia są wykonywane w tych węzłach.

Ponieważ węzły agenta wykonują kod prywatny i przechowują poufne dane, pomoc techniczna firmy Microsoft mogą uzyskiwać do nich dostęp tylko w bardzo ograniczony sposób. pomoc techniczna firmy Microsoft nie można zalogować się do, wykonać poleceń ani wyświetlić dzienników dla tych węzłów bez wyraźnego uprawnienia lub pomocy.

Wszelkie modyfikacje wykonywane bezpośrednio w węzłach agenta przy użyciu dowolnego interfejsu API IaaS renderuje klaster nieobsługiwany. Wszelkie modyfikacje wprowadzone w węzłach agenta muszą być wykonywane przy użyciu mechanizmów natywnych dla platformy Kubernetes, takich jak Daemon Sets.

Podobnie podczas dodawania jakichkolwiek metadanych do klastra i węzłów, takich jak tagi i etykiety, zmiana dowolnego z utworzonych przez system metadanych spowoduje renderowanie klastra nieobsługiwanego.

Pokrycie pomocy technicznej usługi AKS

Firma Microsoft zapewnia pomoc techniczną dotyczącą następujących przykładów:

  • Łączność ze wszystkimi składnikami platformy Kubernetes zapewnia i obsługuje usługę Kubernetes, takimi jak serwer interfejsu API.
  • Zarządzanie, czas pracy, QoS i operacje usług płaszczyzny sterowania Kubernetes (na przykład płaszczyzna sterowania Kubernetes, serwer interfejsu API itp.) i coreDNS).
  • Magazyn danych Etcd. Obsługa obejmuje automatyczne, przezroczyste kopie zapasowe wszystkich danych itp. co 30 minut na potrzeby planowania awarii i przywracania stanu klastra. Te kopie zapasowe nie są dostępne bezpośrednio dla Ciebie ani dla żadnych użytkowników. Zapewniają one niezawodność i spójność danych. Wycofywanie lub przywracanie na żądanie nie jest obsługiwane jako funkcja.
  • Wszystkie punkty integracji w sterowniku dostawcy usług w chmurze platformy Azure dla platformy Kubernetes. Obejmują one integracje z innymi usługami platformy Azure, takimi jak moduły równoważenia obciążenia, trwałe woluminy lub sieć (Kubernetes i Azure CNI, z wyjątkiem sytuacji, gdy jest używana funkcja BYOCNI ).
  • Pytania lub problemy dotyczące dostosowywania składników płaszczyzny sterowania, takich jak serwer interfejsu API Kubernetes itp., i coreDNS.
  • Problemy z siecią, takie jak Azure CNI, kubenet lub inne problemy z dostępem do sieci i funkcjami, z wyjątkiem sytuacji, gdy jest używana funkcja BYOCNI . Problemy mogą obejmować rozpoznawanie nazw DNS, utratę pakietów, routing itd. Firma Microsoft obsługuje różne scenariusze sieciowe:
    • Platforma Kubenet i sieć CNI platformy Azure korzystające z zarządzanych sieci wirtualnych lub z niestandardowymi podsieciami (bring your own).
    • Łączność z innymi usługami i aplikacjami platformy Azure
    • Kontrolery ruchu przychodzącego i konfiguracje ruchu przychodzącego lub modułu równoważenia obciążenia
    • Wydajność i opóźnienie sieci
    • Zasady sieciowe

Uwaga

Wszystkie akcje klastra podejmowane przez firmę Microsoft/AKS są wykonywane za zgodą użytkownika w ramach wbudowanej roli aks-service Kubernetes i wbudowanego powiązania aks-service-rolebindingroli . Ta rola umożliwia usłudze AKS rozwiązywanie i diagnozowanie problemów z klastrem, ale nie może modyfikować uprawnień ani tworzyć ról lub powiązań ról ani innych akcji o wysokim poziomie uprawnień. Dostęp do ról jest włączony tylko w ramach aktywnych biletów pomocy technicznej z dostępem just in time (JIT).

Firma Microsoft nie zapewnia pomocy technicznej dla następujących przykładów:

  • Pytania dotyczące korzystania z platformy Kubernetes. Na przykład pomoc techniczna firmy Microsoft nie zapewnia porad dotyczących tworzenia niestandardowych kontrolerów ruchu przychodzącego, używania obciążeń aplikacji ani stosowania pakietów oprogramowania lub narzędzi innych firm lub oprogramowania typu open source.

    Uwaga

    pomoc techniczna firmy Microsoft może doradzać w zakresie funkcjonalności, dostosowywania i dostrajania klastra AKS (na przykład problemów i procedur dotyczących operacji platformy Kubernetes).

  • Projekty typu open source innych firm, które nie są dostarczane jako część płaszczyzny sterowania kubernetes lub wdrażane z klastrami usługi AKS. Te projekty mogą obejmować Istio, Helm, Envoy lub inne.

    Uwaga

    Firma Microsoft może zapewnić najlepszą pomoc techniczną dla projektów open source innych firm, takich jak Helm. Jeśli narzędzie open source innej firmy integruje się z dostawcą chmury platformy Azure Kubernetes lub innymi usterkami specyficznymi dla usługi AKS, firma Microsoft obsługuje przykłady i aplikacje z dokumentacji firmy Microsoft.

  • Oprogramowanie zamknięte innej firmy. To oprogramowanie może obejmować narzędzia do skanowania zabezpieczeń i urządzenia sieciowe lub oprogramowanie.
  • Dostosowania sieci inne niż wymienione w dokumentacji usługi AKS.
  • Niestandardowe lub innej firmy wtyczki CNI używane w trybie BYOCNI .

Pokrycie obsługi usługi AKS dla węzłów agenta

Obowiązki firmy Microsoft dotyczące węzłów agenta usługi AKS

Firma Microsoft i użytkownicy ponoszą odpowiedzialność za węzły agenta Kubernetes, gdzie:

  • Podstawowy obraz systemu operacyjnego ma wymagane dodatki (takie jak monitorowanie i agenci sieci).
  • Węzły agenta automatycznie otrzymują poprawki systemu operacyjnego.
  • Problemy ze składnikami płaszczyzny sterowania Kubernetes uruchamianymi w węzłach agenta są automatycznie korygowane. Te składniki obejmują następujące elementy:
    • Kube-proxy
    • Tunele sieciowe, które zapewniają ścieżki komunikacyjne do składników głównych platformy Kubernetes
    • Kubelet
    • Platforma Docker lub containerd

Uwaga

Jeśli węzeł agenta nie działa, usługa AKS może ponownie uruchomić poszczególne składniki lub cały węzeł agenta. Te operacje ponownego uruchamiania są zautomatyzowane i zapewniają automatyczne korygowanie typowych problemów. Jeśli chcesz dowiedzieć się więcej o mechanizmach automatycznego korygowania, zobacz Automatyczne naprawianie węzłów

Obowiązki klienta dotyczące węzłów agenta usługi AKS

Firma Microsoft udostępnia poprawki i nowe obrazy dla węzłów obrazów co tydzień, ale domyślnie nie powoduje automatycznego stosowania poprawek. Aby zapewnić poprawkę systemu operacyjnego węzła agenta i składników środowiska uruchomieniowego, należy zachować regularny harmonogram uaktualniania obrazu węzła lub zautomatyzować go.

Podobnie usługa AKS regularnie publikuje nowe poprawki kubernetes i wersje pomocnicze. Te aktualizacje mogą zawierać ulepszenia zabezpieczeń lub funkcjonalności platformy Kubernetes. Odpowiadasz za aktualizowanie wersji kubernetes klastra i zgodnie z zasadami wersji pomocy technicznej usługi AKS Kubernetes.

Dostosowywanie przez użytkownika węzłów agenta

Uwaga

Węzły agenta usługi AKS są wyświetlane w Azure Portal jako zwykłe zasoby IaaS platformy Azure. Jednak te maszyny wirtualne są wdrażane w niestandardowej grupie zasobów platformy Azure (zwykle poprzedzonej MC_*). Nie można zmienić obrazu podstawowego systemu operacyjnego ani wykonać żadnych bezpośrednich dostosowań do tych węzłów przy użyciu interfejsów API IaaS lub zasobów. Wszelkie zmiany niestandardowe, które nie są wykonywane za pośrednictwem interfejsu API usługi AKS, nie będą utrwalane podczas uaktualniania, skalowania, aktualizowania ani ponownego uruchamiania. Ponadto wszelkie zmiany rozszerzeń węzłów, takie jak CustomScriptExtension, mogą prowadzić do nieoczekiwanego zachowania i powinny być zabronione. Unikaj przeprowadzania zmian w węzłach agenta, chyba że pomoc techniczna firmy Microsoft przekierowuje Cię do wprowadzania zmian.

Usługa AKS zarządza cyklem życia i operacjami węzłów agenta w Twoim imieniu — modyfikowanie zasobów IaaS skojarzonych z węzłami agenta nie jest obsługiwane. Przykładem nieobsługiwanej operacji jest dostosowywanie zestawu skalowania maszyn wirtualnych puli węzłów przez ręczne zmienianie konfiguracji za pośrednictwem portalu zestawu skalowania maszyn wirtualnych lub interfejsu API.

W przypadku konfiguracji lub pakietów specyficznych dla obciążenia usługa AKS zaleca korzystanie z platformy Kubernetes daemon sets.

Korzystanie z kontenerów uprzywilejowanych daemon sets i inicjowania platformy Kubernetes umożliwia dostrojenie/zmodyfikowanie lub zainstalowanie oprogramowania innej firmy w węzłach agenta klastra. Przykłady takich dostosowań obejmują dodawanie niestandardowego oprogramowania do skanowania zabezpieczeń lub aktualizowanie ustawień sysctl.

Chociaż ta ścieżka jest zalecana, jeśli powyższe wymagania mają zastosowanie, inżynieria i obsługa techniczna usługi AKS nie mogą pomóc w rozwiązywaniu problemów lub diagnozowaniu modyfikacji, które renderujące węzeł jest niedostępny z powodu wdrożenia daemon setniestandardowego.

Problemy z zabezpieczeniami i stosowanie poprawek

Jeśli usterka zabezpieczeń zostanie znaleziona w co najmniej jednym z zarządzanych składników usługi AKS, zespół usługi AKS załapie wszystkie klastry, których to dotyczy, aby rozwiązać ten problem. Alternatywnie zespół udzieli użytkownikom wskazówek dotyczących uaktualniania.

W przypadku węzłów agenta, których dotyczy błąd zabezpieczeń, firma Microsoft powiadomi Cię o szczegółach wpływu i krokach rozwiązywania problemu z zabezpieczeniami (zwykle uaktualnienie obrazu węzła lub uaktualnienie poprawki klastra).

Konserwacja i dostęp do węzła

Mimo że można zalogować się do węzłów agenta i zmienić je, nie zaleca się wykonywania tej operacji, ponieważ zmiany mogą nieobsługiwane przez klaster.

Porty sieciowe, dostęp i sieciowe grupy zabezpieczeń

Sieciowe grupy zabezpieczeń można dostosować tylko w niestandardowych podsieciach. Nie można dostosowywać sieciowych grup zabezpieczeń w zarządzanych podsieciach lub na poziomie karty sieciowej węzłów agenta. Usługa AKS ma wymagania dotyczące ruchu wychodzącego do określonych punktów końcowych, aby kontrolować ruch wychodzący i zapewnić niezbędną łączność, zobacz Ograniczanie ruchu wychodzącego. W przypadku ruchu przychodzącego wymagania są oparte na aplikacjach wdrożonych w klastrze.

Węzły zatrzymane, co najmniej przydzielone oraz węzły "Niegotowe"

Jeśli nie potrzebujesz obciążeń usługi AKS do ciągłego uruchamiania, możesz zatrzymać klaster usługi AKS , który zatrzymuje wszystkie pulę węzłów i płaszczyznę sterowania, a następnie uruchamiać go ponownie w razie potrzeby. Po zatrzymaniu klastra przy użyciu az aks stop polecenia stan klastra będzie zachowywany przez maksymalnie 12 miesięcy. Po upływie 12 miesięcy stan klastra i wszystkie jego zasoby zostaną usunięte.

Ręczne anulowanie przydzielania wszystkich węzłów klastra za pośrednictwem interfejsów API IaaS/interfejsu wiersza polecenia/portalu nie jest obsługiwanym sposobem zatrzymywania klastra lub puli węzłów usługi AKS. Klaster zostanie uznany za brak obsługi i zostanie zatrzymany przez usługę AKS po 30 dniach. Klastry będą następnie objęte tymi samymi 12-miesięcznymi zasadami zachowywania co poprawnie zatrzymany klaster.

Klastry z 0 węzłami "Gotowy" (lub wszystkie "Nie gotowe") i 0 Uruchomione maszyny wirtualne zostaną zatrzymane po upływie 30 dni.

Usługa AKS zastrzega sobie prawo do archiwizowania płaszczyzn sterowania skonfigurowanych poza wytycznymi pomocy technicznej przez dłuższy czas równy i dłuższy niż 30 dni. Usługa AKS obsługuje kopie zapasowe klastra itp. metadanych i może łatwo ponownie przydzielić klaster. Tę ponowną alokację można zainicjować przez dowolną operację PUT, która przywróci obsługę klastra, taką jak uaktualnienie lub skalowanie do aktywnych węzłów agenta.

Wszystkie klastry w wstrzymanej lub usuniętej subskrypcji zostaną natychmiast zatrzymane i usunięte po upływie 30 dni

Nieobsługiwane funkcje alfa i beta platformy Kubernetes

Usługa AKS obsługuje tylko funkcje stabilne i beta w nadrzędnym projekcie Kubernetes. Jeśli nie opisano inaczej, usługa AKS nie obsługuje żadnej funkcji alfa dostępnej w projekcie nadrzędnym Kubernetes.

Funkcje lub flagi funkcji w wersji zapoznawczej

W przypadku funkcji, które wymagają rozszerzonego testowania i opinii użytkowników, firma Microsoft udostępnia nowe funkcje lub funkcje w wersji zapoznawczej za flagą funkcji. Weź pod uwagę te funkcje jako funkcje w wersji wstępnej lub beta.

Funkcje w wersji zapoznawczej lub funkcje flagi funkcji nie są przeznaczone dla środowiska produkcyjnego. Bieżące zmiany w interfejsach API i zachowaniu, poprawki błędów i inne zmiany mogą spowodować niestabilne klastry i przestoje.

Funkcje w publicznej wersji zapoznawczej są objęte wsparciem "najlepszym wysiłkiem", ponieważ te funkcje są w wersji zapoznawczej i nie są przeznaczone dla środowiska produkcyjnego i są obsługiwane tylko przez zespoły pomocy technicznej usługi AKS w godzinach pracy. Aby uzyskać więcej informacji, zobacz:

Nadrzędne usterki i problemy

Biorąc pod uwagę szybkość programowania w nadrzędnym projekcie Kubernetes, niezmiennie pojawiają się błędy. Niektórych z tych usterek nie można zastosować poprawek ani obejść w systemie AKS. Zamiast tego poprawki błędów wymagają większych poprawek w projektach nadrzędnych (takich jak Kubernetes, node lub agent operating systems i jądro). W przypadku składników będących właścicielami firmy Microsoft (takich jak dostawca usług w chmurze platformy Azure) usługi AKS i personel platformy Azure są zobowiązani do rozwiązywania problemów nadrzędnych w społeczności.

Jeśli problem pomocy technicznej jest głównym przyczyną co najmniej jednego nadrzędnego błędu, zespoły pomocy technicznej i inżynieryjne usługi AKS będą:

  • Zidentyfikuj i połącz nadrzędne usterki z wszelkimi szczegółami pomocniczymi, aby wyjaśnić, dlaczego ten problem ma wpływ na klaster lub obciążenie. Klienci otrzymują linki do wymaganych repozytoriów, aby mogli obserwować problemy i sprawdzać, kiedy nowe wydanie udostępni poprawki.
  • Podaj potencjalne obejścia lub środki zaradcze. Jeśli problem można rozwiązać, znany problem zostanie złożony w repozytorium usługi AKS. W zgłoszeniu znanych problemów wyjaśniono:
    • Problem, w tym linki do nadrzędnych usterek.
    • Obejście problemu i szczegółowe informacje o uaktualnieniu lub innej trwałości rozwiązania.
    • Przybliżone osie czasu dołączania problemu na podstawie nadrzędnego tempa wydania.