Политики поддержки для службы Azure Kubernetes
В этой статье описываются политики технической поддержки и ограничения для Служба Azure Kubernetes (AKS). Он также содержит сведения об управлении узлами агента, компонентах управляемой плоскости управления, компонентах с открытым исходным кодом сторонних производителей и управлении исправлениями или безопасностью.
Обновления и выпуски службы
- Сведения о выпусках см. в заметках о выпуске AKS.
- Сведения о предварительных версиях функций см. в схеме развития AKS.
Управляемые функции в AKS
Облачные компоненты базовой инфраструктуры как услуги (IaaS), такие как компоненты вычислений или сети, предоставляют пользователям доступ к элементам управления и параметрам настройки на низком уровне. В отличие от этого, AKS предоставляет готовое развертывание Kubernetes, которое предоставляет общий набор конфигураций и возможностей, необходимых для кластера. У вас, как у пользователя AKS, имеются ограниченные возможности настройки и развертывания. В свою очередь вам не нужно будет беспокоиться о непосредственном управлении кластерами Kubernetes.
С помощью AKS клиент получает полностью контролируемый уровень управления. Плоскость управления содержит все компоненты и службы, необходимые для работы и доставки кластеров Kubernetes конечным пользователям. Корпорация Майкрософт поддерживает и управляет всеми компонентами Kubernetes.
Корпорация Майкрософт управляет и отслеживает следующие компоненты с помощью плоскости управления:
- Серверы kubelet или API Kubernetes.
- Etcd или совместимое хранилище пар "ключ-значение", обеспечивающее качество обслуживания, масштабируемость и время работы.
- Службы DNS (например, kube-dns или CoreDNS).
- Прокси-сервер Kubernetes или сеть, за исключением случаев, когда используется BYOCNI
- Любые другие надстройки или системные компоненты, работающие в пространстве имен kube-system.
AKS не является решением "платформа как услуга" (PaaS). Некоторые компоненты, такие как узлы агента, несут общую ответственность, где необходимо поддерживать кластер AKS. Ввод данных пользователем требуется, например, для установки обновлений системы безопасности операционной системы узла агента.
Службы являются управляемыми в том смысле, что корпорация Майкрософт и группа AKS развертывают и обслуживают их, а также отвечают за доступность и функциональность этих служб. Клиенты не могут изменять эти управляемые компоненты. Корпорация Майкрософт ограничивает возможности настройки, обеспечивая согласованное и масштабируемое взаимодействие с пользователями.
Общая ответственность
При создании кластера клиент определяет узлы агента Kubernetes, создаваемые AKS. На этих узлах выполняются клиентские рабочие нагрузки.
Так как узлы агента выполняют частный код и хранят конфиденциальные данные, служба поддержки Майкрософт могут получить к ним доступ только в ограниченном порядке. Служба поддержки Майкрософт не может входить на узлы, выполнять на них команды или просматривать журналы без явного разрешения или содействия клиента.
Любые изменения, внесенные непосредственно на узлы агента с помощью любого из API IaaS, отрисовывает кластер неподдерживаемым. Любое изменение, примененное к узлам агента, необходимо выполнить с помощью собственных механизмов kubernetes, таких как Daemon Sets
.
Аналогичным образом можно добавить все метаданные в кластер и узлы, такие как теги и метки, изменение любого созданного системой метаданных отрисовывает неподдерживаемый кластер.
Право на поддержку AKS
Поддерживаемые сценарии
Корпорация Майкрософт предоставляет техническую поддержку при следующих обстоятельствах.
- Подключение ко всем компонентам Kubernetes, предоставляемым и поддерживаемым службой Kubernetes, таким как сервер API.
- Управление, время работы, QoS и операции служб уровня управления Kubernetes (например, плоскость управления Kubernetes, сервер API и т. д. и coreDNS).
- Хранилище данных Etcd. Поддержка включает в себя автоматизированное прозрачное резервное копирование всех данных etcd каждые 30 минут для планирования аварийного восстановления и восстановления состояния кластера. Эти резервные копии недоступны напрямую для вас или других пользователей. Они гарантируют надежность и согласованность данных. Откат или восстановление по запросу не поддерживается в качестве функции.
- Любые точки интеграции в драйвере поставщика облачных служб Azure для Kubernetes. К ним относятся интеграции с другими службами Azure, такими как подсистемы балансировки нагрузки, постоянные тома или сети (Kubernetes и Azure CNI, за исключением случаев использования BYOCNI).
- Вопросы или проблемы, касающиеся настройки компонентов уровня управления, таких как сервер API Kubernetes, etcd и coreDNS.
- Проблемы с сетью, например Azure CNI, kubenet или другие проблемы доступа и функциональности сети, за исключением случаев использования BYOCNI. Эти проблемы могут быть связаны с разрешением DNS, потерей пакетов, маршрутизацией и т. д. Корпорация Майкрософт поддерживает различные сетевые сценарии:
- Kubenet и Azure CNI с использованием управляемых виртуальных сетей или настраиваемых (собственных) подсетей.
- Подключение к другим службам и приложениям Azure.
- Управляемые корпорацией Майкрософт контроллеры входящего трафика или конфигурации подсистемы балансировки нагрузки
- Производительность и задержка сетей.
- Компоненты и функциональные возможности, управляемые корпорацией Майкрософт
Примечание.
Все действия кластера, выполняемые Корпорацией Майкрософт или AKS, выполняются с вашим согласием в соответствии со встроенной ролью aks-service
Kubernetes и встроенной привязкой aks-service-rolebinding
ролей. Эта роль позволяет AKS устранять неполадки в работе кластера и диагностировать их, но она не может изменять разрешения и создавать роли или привязки ролей, а также осуществлять другие действия с высоким уровнем привилегий. Доступ к роли возможен только в рамках активных запросов в службу поддержки с JIT-доступом.
Неподдерживаемые сценарии
Корпорация Майкрософт не предоставляет техническую поддержку для следующих сценариев:
Вопросы об использовании Kubernetes. Например, служба поддержки Майкрософт не предоставляет рекомендаций о том, как создавать пользовательские контроллеры входящего трафика, использовать рабочие нагрузки приложений или применять программные пакеты или средства сторонних разработчиков или с открытым кодом.
Примечание.
Служба поддержки Майкрософт может рекомендовать функции, конфигурацию и настройки кластера AKS (например, в случае проблем в работе Kubernetes).
Проекты сторонних разработчиков с открытым кодом, которые не входят в уровень управления Kubernetes или не развернуты вместе с кластерами AKS. Это могут быть проекты Istio, Helm, Envoy и пр.
Примечание.
Корпорация Майкрософт может предоставить оптимальную поддержку для сторонних проектов с открытым кодом, таких как Helm. В случае проблем со сторонним инструментом с открытым кодом, интегрированным с поставщиком облачных служб Azure Kubernetes, или других проблем, связанных с AKS, корпорация Майкрософт предоставляет примеры и приложения из своей документации.
Стороннее программное обеспечение с закрытым кодом. Это могут быть средства проверки безопасности, устройства или программное обеспечение для сетевого взаимодействия.
Настройка или устранение неполадок, связанных с кодом приложения или поведением сторонних приложений или инструментов, работающих в кластере AKS. Это включает проблемы с развертыванием приложений, не связанные с самой платформой AKS.
Выдача, продление или управление сертификатами для приложений, работающих в AKS.
Индивидуальные настройки сети, кроме перечисленных в документации по AKS. Например, служба поддержки Майкрософт не удается настроить устройства или виртуальные устройства, предназначенные для предоставления исходящего трафика для кластера AKS, например виртуальных сетей или брандмауэров.
Примечание.
На основе наилучших усилий служба поддержки Майкрософт может рекомендовать конфигурацию, необходимую для Брандмауэр Azure, но не для других сторонних устройств.
Пользовательские или сторонние подключаемые модули CNI, используемые в режиме BYOCNI .
Настройка или устранение неполадок, не являющихся политиками сети, управляемыми корпорацией Майкрософт. Использование политик сети поддерживается, служба поддержки Майкрософт не может исследовать проблемы, связанные с конфигурациями настраиваемой политики сети.
Настройка или устранение неполадок, не управляемых корпорацией Майкрософт, контроллеров входящего трафика, таких как nginx, kong, traefik и т. д. Это включает в себя устранение проблем с функциональными возможностями, возникающими после операций, связанных с AKS, например контроллер входящего трафика для работы после обновления версии Kubernetes. Такие проблемы могут возникать из-за несовместимости между версией контроллера входящего трафика и новой версией Kubernetes. Для полностью поддерживаемого варианта рекомендуется использовать параметр контроллера входящего трафика, управляемого корпорацией Майкрософт.
Настройка или устранение неполадок daemonSets (включая скрипты), используемые для настройки конфигураций узлов. Хотя использование DaemonSets рекомендуется использовать для настройки, изменения или установки стороннего программного обеспечения на узлах агента кластера, если параметры файла конфигурации недостаточно, служба поддержки Майкрософт не могут устранять проблемы, возникающие из пользовательских скриптов, используемых в DaemonSets из-за их пользовательской природы.
Автономные и упреждающие сценарии. служба поддержки Майкрософт обеспечивает реактивную поддержку для решения активных проблем своевременно и профессионально. Однако резервная или упреждающая поддержка для устранения операционных рисков, повышения доступности и оптимизации производительности не рассматриваются. Соответствующие клиенты могут связаться со своей командой учетной записи, чтобы получить номинированную для службы управления событиями Azure. Это платная служба, предоставляемая инженерами поддержки Майкрософт, которая включает упреждающую оценку рисков решения и охват во время мероприятия.
Уязвимости / CVEs с исправлением поставщика, которое меньше 30 дней. Пока вы используете обновленный виртуальный жесткий диск, вам не следует запускать уязвимости образа контейнера / CVEs с исправлением поставщика, которое превышает 30 дней. Клиент несет ответственность за обновление виртуального жесткого диска и предоставление отфильтрованных списков в службу поддержки Майкрософт. После обновления виртуального жесткого диска клиент несет ответственность за фильтрацию уязвимостей или отчета CVEs и предоставить список только с уязвимостями или CVEs с исправлением поставщика, которое превышает 30 дней. Если это будет так, поддержка Майкрософт обязательно будет работать внутри организации и адресные компоненты с исправлением поставщика, выпущенном более 30 дней назад. Кроме того, корпорация Майкрософт предоставляет поддержку уязвимостей и CVE только для управляемых Корпорацией Майкрософт компонентов (например, образов узлов AKS, управляемых образов контейнеров для приложений, которые развертываются во время создания кластера или с помощью установки управляемой надстройки). Дополнительные сведения о управление уязвимостями для AKS см. на этой странице.
Пользовательские примеры кода или скрипты. Хотя служба поддержки Майкрософт могут предоставлять небольшие примеры кода и проверки небольших примеров кода в случае поддержки, чтобы продемонстрировать, как использовать функции продукта Майкрософт, служба поддержки Майкрософт не могут предоставлять пользовательские примеры кода, относящиеся к вашей среде или приложению.
Право на поддержку AKS для узлов агента
Обязательства корпорации Майкрософт в отношении узлов агента AKS
Корпорация Майкрософт и вы несете ответственность за узлы агента Kubernetes, где:
- Базовый образ ОС содержит необходимые дополнения (например, агенты мониторинга и сетевые агенты).
- Исправления ОС устанавливаются на узлы агента автоматически.
- Проблемы с компонентами уровня управления Kubernetes, которые выполняются на узлах агента, исправляются автоматически. К этим компонентам относятся следующие компоненты:
Kube-proxy
- сетевые туннели, предоставляющие пути взаимодействия с главными компонентами Kubernetes;
Kubelet
containerd
Примечание.
Если узел агента не работает, AKS может перезапускать отдельные компоненты или весь узел агента. Эти операции перезапуска автоматизированы и обеспечивают автоматическое исправление распространенных проблем. Дополнительные сведения о механизмах автоматического исправления см. в разделе Автоматическое восстановление узла.
Обязательства клиента в отношении узлов агента AKS
Корпорация Майкрософт предоставляет исправления и новые образы для узлов образов еженедельно. Чтобы обеспечить актуальность компонентов ОС узла агента и среды выполнения, следует регулярно применять эти исправления и обновления вручную или автоматически. Дополнительные сведения см. в разделе:
Аналогичным образом AKS регулярно выпускает новые исправления Kubernetes и дополнительные версии. Это относится к обновлениям, которые содержат улучшения системы безопасности или функциональности Kubernetes. Вы несете ответственность за обновление версии Kubernetes кластера и в соответствии с политикой версий поддержки AKS Kubernetes.
Пользовательская настройка узлов агента
Примечание.
Узлы агента AKS отображаются в портал Azure как стандартные ресурсы Azure IaaS. Однако эти виртуальные машины развертываются в настраиваемую группу ресурсов Azure (префикс с MC_*). Вы не можете изменить базовый образ ОС или внести прямые настройки на эти узлы с помощью API или ресурсов IaaS. Любые пользовательские изменения, которые не выполняются из API AKS, не будут сохраняться при обновлении, масштабировании, обновлении или перезагрузке. Кроме того, любое изменение расширений узлов, таких как CustomScriptExtension , может привести к неожиданному поведению и должно быть запрещено. Избегайте внесения изменений в узлы агента, если служба поддержки Майкрософт не направляет вам какие-либо изменения.
AKS управляет жизненным циклом и операциями узлов агента от вашего имени и изменением ресурсов IaaS, связанных с узлами агента, не поддерживается. Пример неподдерживаемой операции — настройка масштабируемого набора виртуальных машин пула узлов путем ручного изменения конфигураций в портал Azure или ИЗ API.
Для конфигураций или пакетов, связанных с рабочей нагрузкой, AKS рекомендует использовать наборы Kubernetesdaemon sets
.
Использование привилегированных daemon sets
контейнеров Kubernetes и инициализации позволяет настраивать или изменять или устанавливать стороннее программное обеспечение на узлах агента кластера. Например, это позволяет добавить пользовательское программное обеспечение для проверки безопасности или обновить параметры sysctl.
Хотя этот путь рекомендуется, если применяются указанные выше требования, инженерия AKS и поддержка не могут помочь в устранении неполадок или диагностике изменений, которые отображают узел недоступны из-за настраиваемого развернутого daemon set
.
Проблемы с безопасностью и установка исправлений
Если ошибка безопасности обнаружена в одном или нескольких управляемых компонентах AKS, команда AKS исправляет все затронутые кластеры, чтобы устранить проблему. Кроме того, команда AKS предоставляет рекомендации по обновлению.
Для узлов агента, затронутых недостатком безопасности, корпорация Майкрософт уведомляет вас о влиянии и действиях по устранению или устранению проблемы безопасности.
Обслуживание узлов и доступ к ним
Хотя клиенты могут входить на узлы агента и изменять их, делать это не рекомендуется, поскольку изменения могут привести к потере права на поддержку кластера.
Сетевые порты, доступ и группы безопасности сети
Можно настраивать группы безопасности сети только для пользовательских подсетей. Не допускается настройка групп безопасности сети в управляемых подсетях или на уровне сетевых адаптеров узлов агента. AKS имеет требования к выходу для конкретных конечных точек, чтобы контролировать исходящий трафик и обеспечивать необходимое подключение; см. раздел Ограничение исходящего трафика. Требования к входу учитывают приложения, развернутые в кластере.
Остановлены, освобождены и не готовые узлы
Если рабочие нагрузки AKS не требуются для непрерывного выполнения, можно остановить кластер AKS, который останавливает все узлы и плоскость управления. При необходимости его можно запустить снова. При остановке кластера с помощью az aks stop
команды состояние кластера сохраняется до 12 месяцев. Через 12 месяцев состояние кластера и все его ресурсы удаляются.
Удаление всех узлов кластера вручную из API IaaS, Azure CLI или портал Azure не поддерживается, чтобы остановить кластер AKS или nodepool. Кластер будет считаться не поддерживается и остановлен AKS через 30 дней. Затем кластеры подвергаются той же политике сохранения 12 месяцев, что и правильно остановленный кластер.
Кластеры с нулевыми узлами "Готово" (или всеми не готовыми) и ноль запущенных виртуальных машин будут остановлены через 30 дней.
AKS сохраняет право на архивацию уровней управления, которые были настроены в соответствии с указаниями службы поддержки, на период до 30 дней. AKS обслуживает резервные копии метаданных etcd кластера и может быстро повторно выделить кластер. Это перемещение инициируется любой операцией PUT, возвращая кластер в поддержку, например обновление или масштабирование до активных узлов агента.
Все кластеры в приостановленной подписке будут остановлены немедленно и удалены через 90 дней. Все кластеры в удаленной подписке будут удалены немедленно.
Неподдерживаемые альфа- и бета-версии функций Kubernetes
AKS поддерживает только стабильные и бета-функции в вышестоящем проекте Kubernetes. Если не указано иное, AKS не поддерживает альфа- и бета-версии функций, доступные в вышестоящем проекте Kubernetes.
Предварительные версии компонентов или флаги компонентов
Функции и компоненты, для которых требуется длительное тестирование и сбор отзывов пользователей, корпорация Майкрософт выпускает сначала в режиме предварительной версии, и их нужно отдельно включать соответствующим флагом компонента. Такие функции можно рассматривать как предварительные или бета-версии.
Функции предварительной версии (с флагом компонента) не предназначены для рабочей среды. Регулярные изменения интерфейсов API и поведения компонентов, исправления ошибок и другие изменения могут привести к нестабильной работе и простоям кластеров.
Функции в общедоступной предварительной версии имеют поддержку лучших усилий , так как эти функции находятся в предварительной версии и не предназначены для рабочей среды. Группы технической поддержки AKS предоставляют поддержку только в рабочие часы. Дополнительные сведения см. в статье "Часто задаваемые вопросы о поддержке Azure".
Вышестоящие ошибки и проблемы
Учитывая скорость разработки в вышестоящем проекте Kubernetes, ошибки неизбежны. Некоторые из этих ошибок невозможно исправить или обойти в системе AKS. Вместо этого для исправления ошибок требуются более значительные исправления для вышестоящего проекта (такие как Kubernetes, операционные системы узлов или агентов, а также ядро). Для компонентов, принадлежащих корпорации Майкрософт (например, поставщика облачных служб Azure), сотрудники AKS и Azure обязуются устранять проблемы, о которых сообщается в сообществе.
Если первопричина проблемы технической поддержки возникает из-за одной или нескольких вышестоящих ошибок, служба поддержки AKS и инженерные команды будут:
Выявят и сопоставят вышестоящие ошибки с любыми дополнительными сведениями, которые помогут объяснить, почему эта проблема влияет на кластер или рабочую нагрузку. Клиенты получат ссылки на необходимые репозитории, чтобы они могли просмотреть проблемы и узнать, когда в новом выпуске будут предоставлены исправления.
Предлагаются возможные временные решения или исправления. Если проблема может быть устранена, известная проблема будет представлена в репозитории AKS. Описание известной проблемы содержит:
- суть проблемы, включая ссылки на вышестоящее ошибки;
- обходное решение и сведения об обновлении или другом действенном решении;
- приблизительные сроки устранения проблемы в соответствии с графиком выпуска вышестоящего проекта.
Azure Kubernetes Service