Образы ОС узла автоматического обновления

AKS предоставляет несколько каналов автоматического обновления, предназначенных для своевременного обновления системы безопасности ос на уровне узла. Этот канал отличается от обновлений версий Kubernetes на уровне кластера и заменяет его.

Связь между автоматическим обновлением ОС узла и автоматическим обновлением кластера

Обновления системы безопасности на уровне узла выпускаются быстрее, чем исправление Kubernetes или незначительные обновления версий. Канал автоматического обновления ОС узла обеспечивает гибкость и позволяет настроить стратегию для обновлений системы безопасности на уровне узла. Затем можно выбрать отдельный план для автоматического обновления версий Kubernetes на уровне кластера. Лучше всего использовать автоматические обновления на уровне кластера и канал автоматического обновления ОС узла. Планирование можно точно настроить, применив два отдельных набора периодов - aksManagedAutoUpgradeSchedule обслуживания для канала автоматического обновления кластера и aksManagedNodeOSUpgradeSchedule для канала автоматического обновления ОС узла.

Каналы обновления образа ОС узла

Выбранный канал определяет время обновления. При внесении изменений в каналы автоматического обновления ОС узла до 24 часов, чтобы изменения вступили в силу. После перехода с одного канала на другой канал будет активирован повторная версия, приводящей к скользящим узлам.

Примечание.

Автоматическое обновление образа ОС узла не повлияет на версию Kubernetes кластера. Он работает только для кластера в поддерживаемой версии.

Доступны следующие каналы обновления. Вы можете выбрать один из следующих вариантов:

Канал	Description	Поведение для конкретной ОС
None	Узлы не применяются автоматически. Это означает, что вы несете ответственность за обновления системы безопасности.	Н/П
Unmanaged	Обновления ОС применяются автоматически через встроенную инфраструктуру исправлений ОС. Только что выделенные компьютеры изначально не находятся в несоотвленном формате. Инфраструктура ОС исправляет их в какой-то момент.	Ubuntu и Azure Linux (пулы узлов ЦП) применяют исправления безопасности с помощью автоматического обновления/dnf-automatic примерно один раз в день около 06:00 UTC. Windows не применяет автоматически исправления безопасности, поэтому этот параметр ведет себя эквивалентно None. Вам потребуется управлять процессом перезагрузки с помощью средства, например курированного.
SecurityPatch	Этот канал находится в предварительной версии и требует включения флага NodeOsUpgradeChannelPreviewфункции. Дополнительные сведения см. в разделе предварительных требований. AKS регулярно обновляет виртуальный жесткий диск узла (VHD) с исправлениями из модуля обслуживания образа с меткой "только безопасность". При применении исправлений безопасности к узлам могут возникнуть нарушения. При применении исправлений виртуальный жесткий диск обновляется и существующие компьютеры обновляются до этого виртуального жесткого диска, учитывая периоды обслуживания и параметры всплеска. Этот параметр повлечет за собой дополнительные затраты на размещение виртуальных жестких жестких модулей в группе ресурсов узла. Если вы используете этот канал, автоматические обновления Linux отключены по умолчанию.	Azure Linux не поддерживает этот канал на виртуальных машинах с поддержкой GPU. SecurityPatch работает с версиями исправлений, которые устарели, если дополнительная версия Kubernetes по-прежнему поддерживается.
NodeImage	AKS обновляет узлы с недавно исправленным виртуальным жестким диском, содержащим исправления безопасности и исправления ошибок на еженедельной частоте. Обновление нового виртуального жесткого диска нарушается, после периодов обслуживания и параметров всплеска. При выборе этого варианта не взимается дополнительная стоимость виртуального жесткого диска. Если вы используете этот канал, автоматические обновления Linux отключены по умолчанию. Обновления образа узла поддерживают устаревшие версии исправлений, пока не поддерживается дополнительная версия Kubernetes.

Настройка канала автоматического обновления ОС узла в новом кластере

Azure CLI

• Задайте канал автоматического обновления ОС узла в новом кластере с помощью az aks create команды с параметром --node-os-upgrade-channel . В следующем примере для канала автоматического обновления ОС узла устанавливается значение SecurityPatch.

  az aks create --resource-group myResourceGroup --name myAKSCluster --node-os-upgrade-channel SecurityPatch
  

Портал Azure

1. В портал Azure выберите "Создать контейнеры> ресурсов>"Служба Azure Kubernetes (AKS).

2. На вкладке "Основные сведения" в разделе "Сведения о кластере" выберите нужный тип канала в раскрывающемся списке "Тип канала безопасности узла".

   

3. Выберите планировщик каналов безопасности и выберите требуемое время обслуживания с помощью функции планового обслуживания. Рекомендуется выбрать параметр по умолчанию каждую неделю в воскресенье (рекомендуется).

   

4. Выполните оставшиеся действия, чтобы создать кластер.

Настройка канала автоматического обновления ОС узла в существующем кластере

Azure CLI

• Задайте канал автоматического обновления ос узла в существующем кластере с помощью az aks update команды с параметром --node-os-upgrade-channel . В следующем примере для канала автоматического обновления ОС узла устанавливается значение SecurityPatch.

  az aks update --resource-group myResourceGroup --name myAKSCluster --node-os-upgrade-channel SecurityPatch
  

Портал Azure

1. В портал Azure перейдите к кластеру AKS.

2. В разделе Параметры выберите конфигурацию кластера.

3. В разделе "Обновления системы безопасности" выберите нужный тип канала в раскрывающемся списке " Тип канала безопасности узла".

   

4. Для планировщика канала безопасности выберите "Добавить расписание".

5. На странице "Добавление расписания обслуживания" настройте следующие параметры периода обслуживания с помощью функции планового обслуживания:

   • Повторяется. Выберите нужную частоту для периода обслуживания. Рекомендуется выбрать еженедельно.
   • Частота. Выберите нужный день недели для периода обслуживания. Мы рекомендуем выбрать воскресенье.
   • Дата начала обслуживания: выберите нужную дату начала периода обслуживания.
   • Время начала обслуживания: выберите требуемое время начала для периода обслуживания.
   • Смещение в формате UTC: выберите требуемое смещение в формате UTC для периода обслуживания. Если значение не задано, значение по умолчанию — +00:00.

   

6. Нажмите кнопку ">Сохранить применить".

Обновление собственности и графика

Частота по умолчанию означает, что не применяется плановое время обслуживания.

Канал	владение Обновления	Частота по умолчанию
Unmanaged	Обновления безопасности на основе ОС. AKS не контролирует эти обновления.	Ночью около 6AM UTC для Ubuntu и Azure Linux. Ежемесячно для Windows.
SecurityPatch	AKS-тестируемый, полностью управляемый и применяемый с безопасными методами развертывания. Дополнительные сведения см. в статье о повышении безопасности и устойчивости канонических рабочих нагрузок в Azure.	Еженедельно.
NodeImage	AKS	Еженедельно.

Примечание.

Хотя обновления системы безопасности Windows выпускаются ежемесячно, использование Unmanaged канала не будет автоматически применять эти обновления к узлам Windows. При выборе Unmanaged канала необходимо управлять процессом перезагрузки с помощью средства, например курированного , чтобы правильно применить исправления безопасности.

Требования к каналу SecurityPatch

Чтобы использовать SecurityPatch канал, кластер должен поддерживать следующие требования:

• Необходимо использовать версию API или более позднюю версию 11-02-preview
• При использовании Azure CLI необходимо установить версию расширения CLI aks-preview или более позднюю версию 0.5.166
• Флаг NodeOsUpgradeChannelPreview компонента должен быть включен в подписке

Регистрация NodeOsUpgradeChannelPreview

Зарегистрируйте флаг компонента NodeOsUpgradeChannelPreview, используя команду az feature register, как показано в указанном ниже примере.

az feature register --namespace "Microsoft.ContainerService" --name "NodeOsUpgradeChannelPreview"

Через несколько минут отобразится состояние Registered (Зарегистрировано). Проверьте состояние регистрации с помощью команды az feature show :

az feature show --namespace "Microsoft.ContainerService" --name "NodeOsUpgradeChannelPreview"

Когда состояние отражает зарегистрировано, обновите регистрацию поставщика ресурсов Microsoft.ContainerService с помощью команды az provider register:

az provider register --namespace Microsoft.ContainerService

Известные ошибки канала узла

• В настоящее время при настройке канала node-image автоматического обновления кластера он также автоматически задает канал NodeImageавтоматического обновления ОС узла. Невозможно изменить значение канала автоматического обновления ос узла, если канал автоматического обновления кластера не node-imageустановлен. Чтобы задать значение канала автоматического обновления ОС узла, проверка значение канала автоматического обновления кластера не node-imageявляется.

• Канал SecurityPatch не поддерживается в пулах узлов ОС Windows.

Примечание.

По умолчанию любой новый кластер, созданный с помощью версии API или более поздней версии, устанавливает значение NodeImageканала автоматического 06-01-2022 обновления ос узла. Все существующие кластеры, созданные с более ранней версией API, будут 06-01-2022 иметь значение канала автоматического обновления ОС узла, заданное None по умолчанию.

Периоды планового обслуживания ОС узла

Плановое обслуживание для автоматического обновления ОС узла начинается с указанного периода обслуживания.

Примечание.

Чтобы обеспечить правильную функциональность, используйте период обслуживания в течение четырех часов или более.

Дополнительные сведения о плановом обслуживании см. в статье Планирование периодов обслуживания для кластера Службы Azure Kubernetes Service (AKS) с помощью планового обслуживания.

Часто задаваемые вопросы об автоматическом обновлении ОС узла

• Как проверка текущее значение nodeOsUpgradeChannel в кластере?

az aks show Выполните команду и проверка "autoUpgradeProfile", чтобы определить, какое значение nodeOsUpgradeChannel задано:

az aks show --resource-group myResourceGroup --name myAKSCluster --query "autoUpgradeProfile"

• Как отслеживать состояние автоматического обновления ОС узла?

Чтобы просмотреть состояние автоматического обновления ОС узла, просмотрите журналы действий в кластере. Вы также можете искать определенные события, связанные с обновлением, как упоминание в кластере AKS. AKS также выдает события сетки событий, связанных с обновлением. Дополнительные сведения см. в статье AKS как источник сетки событий.

• Можно ли изменить значение канала автоматического обновления ос узла, если для канала автоматического обновления кластера задано node-image значение ?

№ В настоящее время при настройке канала node-image автоматического обновления кластера он также автоматически задает канал NodeImageавтоматического обновления ОС узла. Вы не можете изменить значение канала автоматического обновления ос узла, если канал автоматического обновления кластера не node-imageустановлен. Чтобы изменить значения канала автоматического обновления ос узла, убедитесь, что канал автоматического обновления кластера не node-imageобновлен.

• Почему рекомендуется SecurityPatch перенаправить Unmanaged канал?

В канале Unmanaged AKS не контролирует, как и когда доставляются обновления системы безопасности. С SecurityPatchпомощью обновлений системы безопасности полностью тестируются и следуйте рекомендациям по безопасному развертыванию. SecurityPatch также учитывает периоды обслуживания. Дополнительные сведения см. в статье о повышении безопасности и устойчивости канонических рабочих нагрузок в Azure.

• Разделы справки знать, применяется ли SecurityPatchNodeImage обновление к моему узлу?

Выполните следующую команду, чтобы получить метки узлов:

kubectl get nodes --show-labels

Среди возвращаемых меток вы увидите строку, аналогичную следующим выходным данным:

kubernetes.azure.com/node-image-version=AKSUbuntu-2204gen2containerd-202311.07.0

Ниже приведена AKSUbuntu-2204gen2containerdверсия базового образа узла. Если применимо, версия исправления безопасности обычно следует. В приведенном выше примере это 202311.07.0.

Те же сведения также можно найти в портал Azure в представлении меток узла:

Следующие шаги

Подробное обсуждение рекомендаций по обновлению и других рекомендаций см . в руководстве по исправлению и обновлению AKS.