Aplicar atualizações automáticas de segurança aos nós do AKS (Serviço de Kubernetes do Azure) usando o GitHub Actions

  • Artigo

As atualizações de segurança são uma parte fundamental da manutenção da segurança e da conformidade do cluster do AKS com as correções mais recentes para o SO subjacente. Essas atualizações incluem correções de segurança do SO ou atualizações de kernel. Algumas dessas atualizações exigem uma reinicialização do nó para concluir o processo.

Este artigo mostra como você pode automatizar o processo de atualização de nós do AKS usando o GitHub Actions e a CLI do Azure para criar uma tarefa de atualização com base no cron que é executado automaticamente.

Observação

Você também pode executar atualizações de imagem de nó automaticamente e agendar essas atualizações usando a manutenção planejada. Para obter mais informações, confira Atualizar automaticamente as imagens do nó.

Antes de começar

  • Este artigo pressupõe que você tenha um cluster do AKS. Se você precisar de um cluster AKS, crie um usando a CLI do Azure, Azure PowerShell ou portal do Azure.
  • Este artigo também assume que você tenha uma conta do GitHub e um repositório de perfil para hospedar suas ações. Se você não tiver um repositório, crie um repositório com o mesmo nome do seu nome de usuário do GitHub.
  • Será necessária a CLI do Azure versão 2.0.59 ou posterior instalada e configurada. Execute az --version para encontrar a versão. Se você precisa instalar ou atualizar, consulte Instalar a CLI do Azure.

Atualizar nós com az aks upgrade

O comando az aks upgrade oferece um tempo de inatividade zero para aplicar atualizações. O comando executa as seguintes ações:

  1. Aplica as atualizações mais recentes a todos os nós do cluster.
  2. Bloqueia (torna o nó indisponível para o agendamento de novas cargas de trabalho) e drena (move as cargas de trabalho existentes para outro nó) tráfego para os nós.
  3. Reinicia os nós.
  4. Permite que os nós atualizados recebam tráfego novamente.

O AKS não reiniciará automaticamente seus nós se você atualizá-los usando um método diferente.

Observação

Executar az aks upgrade com o sinalizador --node-image-only atualiza apenas as imagens do nó. Executar o comando sem o sinalizador atualiza as imagens do nó e a versão do painel de controle do Kubernetes. Para obter mais informações, confira os documentos para atualizações gerenciadas em nós e os documentos para atualizações de cluster .

Todos os nós do Kubernetes são executados em uma VM (máquina virtual) do Azure baseada no Windows ou Linux padrão. As VMs baseadas em Linux usam uma imagem do Ubuntu com o SO configurado para verificar automaticamente as atualizações todas as noites.

Quando você usa o comando az aks upgrade, a CLI do Azure cria uma onda de novos nós com as atualizações de segurança e kernel mais recentes. Esses novos nós são inicialmente isolados para impedir que qualquer aplicativo seja agendado para eles até que a atualização seja concluída. Após a conclusão da atualização, o Azure isola e drena os nós mais antigos e libera os novos, transferindo todos os aplicativos agendados para os novos nós.

Esse processo é melhor do que atualizar manualmente os kernels baseados em Linux porque o Linux requer uma reinicialização quando uma nova atualização de kernel é instalada. Se você atualizar o sistema operacional manualmente, também precisará reinicializar a VM, isolando e esvaziando manualmente todos os aplicativos.

Criar uma Ação do GitHub

cron é um utilitário que permite executar um conjunto de comandos ou trabalhos, em um agendamento automatizado. Para criar um trabalho para atualizar os nós do AKS em um agendamento automatizado, você precisará de um repositório para hospedar suas ações. O GitHub Actions geralmente é configurado no mesmo repositório que seu aplicativo, mas você pode usar qualquer repositório.

  1. Navegue para o seu repositório no GitHub.

  2. Selecione Ações.

  3. Selecione Novo fluxo de trabalho>Configurar um fluxo de trabalho por conta própria.

  4. Crie uma ação do GitHub chamada Atualizar imagens de nó de cluster com um gatilho de agendamento a ser executado a cada 15 dias às 3h. Copie o seguinte código para o YAML:

    name: Upgrade cluster node images
on:
  schedule:
    - cron: '0 3 */15 * *'

  5. Crie um trabalho chamado upgrade-node que executa em um agente do Ubuntu e se conecta à sua conta da CLI do Azure para executar o comando de atualização do nó. Copie o seguinte código para o YAML abaixo da chave on:

    jobs:
  upgrade-node:
    runs-on: ubuntu-latest

Configurar a CLI do Azure no fluxo de trabalho

  1. Na barra Pesquisa Ações no Marketplace, pesquise Logon do Azure.

  2. Selecione Logon do Azure.

    Search results showing two lines, the first action is called 'Azure Login' and the second 'Azure Container Registry Login'

  3. Em Instalação, selecione uma versão, como v1.4.6 e copie o snippet de código de instalação.

  4. Adicione a chave steps e as seguintes informações do snippet de código de instalação ao YAML:

    name: Upgrade cluster node images
on:
  schedule:
    - cron: '0 3 */15 * *'
jobs:
  upgrade-node:
    runs-on: ubuntu-latest
    steps:
      - name: Azure Login
        uses: Azure/login@v1.4.6
        with:
          creds: ${{ secrets.AZURE_CREDENTIALS }}

Criar credenciais para a CLI do Azure

  1. Em uma nova janela do navegador, crie uma nova entidade de serviço usando o comando az ad sp create-for-rbac. Certifique-se de substituir *{subscriptionID}* por sua própria ID da assinatura.

    Observação

    Este exemplo cria a função Contributor no escopo da Assinatura. Você pode fornecer a função e o escopo que atendem às suas necessidades. Para obter mais informações, consulte Funções internas do Azure e níveis de escopo do RBAC do Azure.

    az ad sp create-for-rbac --role Contributor --scopes /subscriptions/{subscriptionID} -o json

    Sua saída deve ser semelhante à saída do exemplo a seguir:

    {
  "appId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
  "displayName": "xxxxx-xxx-xxxx-xx-xx-xx-xx-xx",
  "password": "xxxxxxxxxxxxxxxxxxxxxxxxxxxx",
  "tenant": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
}

  2. Copie a saída e navegue até o seu repositório GitHub.

  3. Selecione Configurações >Segredos e variáveis>Ações>Novo segredo do repositório.

  4. Para Nome, insira AZURE_CREDENTIALS.

  5. Para Segredo, copie o conteúdo da saída que você recebeu ao criar a entidade de serviço.

  6. Selecione Adicionar Segredo.

Criar as etapas para executar os comandos da CLI do Azure

  1. Navegue até sua janela com o YAML de fluxo de trabalho.

  2. Na barra Pesquisa Ações no Marketplace, pesquise Ação da CLI do Azure.

  3. Selecione Ação da CLI do Azure.

    Search result for 'Azure CLI Action' with first result being shown as made by Azure

  4. Em Instalação, selecione uma versão, como v1.0.8, e copie o snippet de código de instalação.

  5. Cole o conteúdo da ação no YAML abaixo da etapa *Azure Login*, semelhante ao exemplo a seguir:

    name: Upgrade cluster node images
on:
  schedule:
    - cron: '0 3 */15 * *'
jobs:
  upgrade-node:
    runs-on: ubuntu-latest
    steps:
      - name: Azure Login
        uses: Azure/login@v1.4.6
        with:
          creds: ${{ secrets.AZURE_CREDENTIALS }}
      - name: Upgrade node images
        uses: Azure/cli@v1.0.8
        with:
          inlineScript: az aks upgrade -g {resourceGroupName} -n {aksClusterName} --node-image-only --yes

    Dica

    Você pode desacoplar os parâmetros -g e -n do comando criando novos segredos do repositório como fez para AZURE_CREDENTIALS.

    Se você criar segredos para esses parâmetros, você precisará substituir os espaços reservados {resourceGroupName} e {aksClusterName} por seus segredos equivalentes. Por exemplo: ${{secrets.RESOURCE_GROUP_NAME}} e ${{secrets.AKS_CLUSTER_NAME}}

  6. Renomeie o YAML como upgrade-node-images.yml.

  7. Selecione Confirmar alterações..., adicione uma mensagem de confirmação e selecione Confirmar alterações.

Executar Ação do GitHub manualmente

Você pode executar o fluxo de trabalho manualmente, além da execução agendada, adicionando um novo gatilho on chamado workflow_dispatch.

Observação

Se você quiser atualizar um único pool de nós em vez de todos os pools de nós no cluster, adicione o parâmetro --name ao comando az aks nodepool upgrade para especificar o nome do pool de nós. Por exemplo:

az aks nodepool upgrade -g {resourceGroupName} --cluster-name {aksClusterName} --name {{nodePoolName}} --node-image-only

  • Adicione o gatilho workflow_dispatch na chave on:

    name: Upgrade cluster node images
on:
  schedule:
    - cron: '0 3 */15 * *'
  workflow_dispatch:

    O arquivo YAML deve ser semelhante ao exemplo a seguir:

        name: Upgrade cluster node images
    on:
      schedule:
        - cron: '0 3 */15 * *'
      workflow_dispatch:
    jobs:
      upgrade-node:
        runs-on: ubuntu-latest
        steps:
          - name: Azure Login
            uses: Azure/login@v1.4.6
            with:
              creds: ${{ secrets.AZURE_CREDENTIALS }}
          - name: Upgrade node images
            uses: Azure/cli@v1.0.8
            with:
              inlineScript: az aks upgrade -g {resourceGroupName} -n {aksClusterName} --node-image-only --yes
          # Code for upgrading one or more node pools

Próximas etapas

Para obter mais informações sobre atualizações do AKS, confira os artigos e recursos a seguir:

Para obter uma discussão detalhada sobre as melhores práticas de atualização e outras considerações, veja Diretrizes de patch e atualização do AKS.