Avbildningar av nodoperativsystem för automatisk uppgradering

AKS tillhandahåller flera kanaler för automatisk uppgradering som är dedikerade till säkerhetsuppdateringar på nodnivå i tid. Den här kanalen skiljer sig från kubernetes-versionsuppgraderingar på klusternivå och ersätter den.

Interaktioner mellan automatisk uppgradering av nodoperativsystem och automatisk uppgradering av kluster

Säkerhetsuppdateringar på nodnivå släpps snabbare än Uppdateringar av Kubernetes-korrigeringar eller delversioner. Den automatiska uppgraderingskanalen för nodoperativsystem ger dig flexibilitet och möjliggör en anpassad strategi för säkerhetsuppdateringar på nodnivå. Sedan kan du välja en separat plan för automatiska uppgraderingar av Kubernetes-versioner på klusternivå. Det är bäst att använda både automatiska uppgraderingar på klusternivå och den automatiska uppgraderingskanalen för nodens operativsystem tillsammans. Schemaläggning kan finjusteras genom att tillämpa två separata uppsättningar med underhållsperioder - aksManagedAutoUpgradeSchedule för den automatiska uppgraderingskanalen för klustret och aksManagedNodeOSUpgradeSchedule för nodens kanal för automatisk uppgradering av operativsystemet.

Kanaler för nod-OS-avbildningsuppgraderingar

Den valda kanalen avgör tidpunkten för uppgraderingar. När du gör ändringar i nod-operativsystemets automatiska uppgraderingskanaler kan det ta upp till 24 timmar innan ändringarna börjar gälla. När du byter från en kanal till en annan kanal utlöses en ombildning som leder till rullande noder.

Kommentar

Automatisk uppgradering av Node OS-avbildning påverkar inte klustrets Kubernetes-version.

Följande uppgraderingskanaler är tillgängliga. Du kan välja något av följande alternativ:

Kanal	beskrivning	OS-specifikt beteende
None	Dina noder har inte säkerhetsuppdateringar som tillämpas automatiskt. Det innebär att du är ensam ansvarig för dina säkerhetsuppdateringar.	Ej tillämpligt
Unmanaged	OS-uppdateringar tillämpas automatiskt via den inbyggda operativsystemets korrigeringsinfrastruktur. Nyligen allokerade datorer är från början okopplade. Operativsystemets infrastruktur korrigerar dem någon gång.	Ubuntu och Azure Linux (CPU-nodpooler) tillämpar säkerhetskorrigeringar via obevakad uppgradering/dnf-automatisk ungefär en gång per dag runt 06:00 UTC. Windows tillämpar inte säkerhetskorrigeringar automatiskt, så det här alternativet fungerar på samma sätt som None. Du måste hantera omstartsprocessen med hjälp av ett verktyg som kured.
SecurityPatch	Säkerhetskorrigeringar för operativsystem, som är AKS-testade, fullständigt hanterade och tillämpade med säkra distributionsmetoder. AKS uppdaterar regelbundet nodens virtuella hårddisk (VHD) med korrigeringar från bildunderhållaren märkt "endast säkerhet". Det kan uppstå avbrott när säkerhetskorrigeringarna tillämpas på noderna, men AKS begränsar störningar genom att endast omimera noderna när det behövs, till exempel för vissa kernelsäkerhetspaket. När korrigeringarna tillämpas uppdateras den virtuella hårddisken och befintliga datorer uppgraderas till den virtuella hårddisken, vilket respekterar underhållsperioder och överspänningsinställningar. Om AKS bestämmer sig för att det inte är nödvändigt att återskapa noder korrigeras noderna live utan att poddar töms och ingen VHD-uppdatering utförs. Det här alternativet medför den extra kostnaden för att vara värd för de virtuella hårddiskarna i nodresursgruppen. Om du använder den här kanalen inaktiveras obevakade Linux-uppgraderingar som standard.	Azure Linux stöder inte den här kanalen på GPU-aktiverade virtuella datorer. SecurityPatch fungerar på kubernetes-korrigeringsversioner som är inaktuella, så länge den mindre Kubernetes-versionen fortfarande stöds.
NodeImage	AKS uppdaterar noderna med en nyligen korrigerad virtuell hårddisk som innehåller säkerhetskorrigeringar och buggkorrigeringar varje vecka. Uppdateringen av den nya virtuella hårddisken är störande, efter underhållsperioder och överspänningsinställningar. Ingen extra VHD-kostnad uppstår när du väljer det här alternativet. Om du använder den här kanalen inaktiveras obevakade Linux-uppgraderingar som standard. Nodbilduppgraderingar stöder korrigeringsversioner som är inaktuella, så länge den mindre Kubernetes-versionen fortfarande stöds. Nodbilder är AKS-testade, fullständigt hanterade och tillämpas med säkra distributionsmetoder

Ange den automatiska uppgraderingskanalen för nodens operativsystem i ett nytt kluster

Azure CLI

• Ange den automatiska uppgraderingskanalen för nodens operativsystem i ett nytt kluster med hjälp av az aks create kommandot med parametern --node-os-upgrade-channel . I följande exempel anges nodens kanal för automatisk uppgradering av operativsystemet till SecurityPatch.

  az aks create \
      --resource-group myResourceGroup \
      --name myAKSCluster \
      --node-os-upgrade-channel SecurityPatch \
      --generate-ssh-keys
  

Azure-portalen

1. I Azure-portalen väljer du Skapa en resursContainrar>>Azure Kubernetes Service (AKS).

2. På fliken Grundinställningar går du till Klusterinformation och väljer önskad kanaltyp i listrutan Nodsäkerhetskanaltyp .

   

3. Välj Security channel scheduler (Säkerhetskanalschemaläggare ) och välj önskat underhållsfönster med hjälp av funktionen Planerat underhåll. Vi rekommenderar att du väljer standardalternativet Varje vecka på söndag (rekommenderas).

   

4. Slutför de återstående stegen för att skapa klustret.

Ange den automatiska uppgraderingskanalen för nodens operativsystem i ett befintligt kluster

Azure CLI

• Ange kanalen för automatisk uppgradering av nodoperativsystem i ett befintligt kluster med kommandot az aks update med parametern --node-os-upgrade-channel . I följande exempel anges nodens kanal för automatisk uppgradering av operativsystemet till SecurityPatch.

  az aks update --resource-group myResourceGroup --name myAKSCluster --node-os-upgrade-channel SecurityPatch
  

Azure-portalen

1. I Azure-portalen navigerar du till ditt AKS-kluster.

2. I avsnittet Inställningar väljer du Klusterkonfiguration.

3. Under Säkerhetsuppdateringar väljer du önskad kanaltyp i listrutan Nodsäkerhetskanaltyp .

   

4. För Security Channel Scheduler väljer du Lägg till schema.

5. På sidan Lägg till underhållsschema konfigurerar du följande inställningar för underhållsfönstret med hjälp av funktionen Planerat underhåll:

   • Upprepar: Välj önskad frekvens för underhållsfönstret. Vi rekommenderar att du väljer Varje vecka.
   • Frekvens: Välj önskad veckodag för underhållsperioden. Vi rekommenderar att du väljer Söndag.
   • Startdatum för underhåll: Välj önskat startdatum för underhållsperioden.
   • Starttid för underhåll: Välj önskad starttid för underhållsperioden.
   • UTC-förskjutning: Välj önskad UTC-förskjutning för underhållsfönstret. Om det inte anges är standardvärdet +00:00.

   

6. Välj Spara>tillämpa.

Uppdatera ägarskap och schema

Standardtakt innebär att det inte finns någon planerad underhållsperiod.

Kanal	Uppdaterar ägarskap	Standardtakt
Unmanaged	Os-drivna säkerhetsuppdateringar. AKS har ingen kontroll över dessa uppdateringar.	Varje natt runt 06.00 UTC för Ubuntu och Azure Linux. Varje månad för Windows.
SecurityPatch	AKS-testad, fullständigt hanterad och tillämpad med säkra distributionsmetoder. Mer information finns i Ökad säkerhet och återhämtning för kanoniska arbetsbelastningar i Azure.	En gång i veckan.
NodeImage	AKS-testad, fullständigt hanterad och tillämpad med säkra distributionsmetoder. Mer realtidsinformation om versioner finns i AKS Node Images i Release Tracker	En gång i veckan.

Kommentar

Windows-säkerhetsuppdateringar släpps varje månad, men med hjälp av Unmanaged kanalen tillämpas inte uppdateringarna automatiskt på Windows-noder. Om du väljer Unmanaged kanalen måste du hantera omstartsprocessen för Windows-noder.

Kända begränsningar för Nodkanal

• För närvarande, när du ställer in kanalen för automatisk uppgradering av klustret till node-image, anger den också automatiskt nodens kanal för automatisk uppgradering av operativsystemet till NodeImage. Du kan inte ändra värdet för den automatiska uppgraderingen av nod-operativsystemets kanal om den automatiska uppgraderingskanalen för klustret är node-image. Om du vill ange värdet för den automatiska uppgraderingskanalen för nodens operativsystem kontrollerar du att kanalvärdet för den automatiska uppgraderingen av klustret inte node-imageär .

• Kanalen SecurityPatch stöds inte i Windows OS-nodpooler.

Kommentar

Använd CLI version 2.61.0 eller senare för SecurityPatch kanalen.

Planerade underhållsperioder för Node OS

Planerat underhåll för den automatiska uppgraderingen av nodens operativsystem startar vid det angivna underhållsfönstret.

Kommentar

Använd ett underhållsperiod på fyra timmar eller mer för att säkerställa korrekt funktionalitet.

Mer information om planerat underhåll finns i Använda planerat underhåll för att schemalägga underhållsperioder för ditt AKS-kluster (Azure Kubernetes Service).

Vanliga frågor och svar om automatiska uppgraderingar av Node OS

• Hur kan jag kontrollera aktuellt nodeOsUpgradeChannel-värde i ett kluster?

az aks show Kör kommandot och kontrollera "autoUpgradeProfile" för att avgöra vilket värde nodeOsUpgradeChannel som är inställt på:

az aks show --resource-group myResourceGroup --name myAKSCluster --query "autoUpgradeProfile"

• Hur övervakar jag statusen för automatiska uppgraderingar av nodoperativsystem?

Om du vill visa status för dina automatiska uppgraderingar av nodens operativsystem letar du upp aktivitetsloggar i klustret. Du kan också söka efter specifika uppgraderingsrelaterade händelser enligt beskrivningen i Uppgradera ett AKS-kluster. AKS genererar även uppgraderingsrelaterade Event Grid-händelser. Mer information finns i AKS som en Event Grid-källa.

• Kan jag ändra värdet för den automatiska uppgraderingskanalen för nodens operativsystem om min kanal för automatisk uppgradering av klustret är inställd på node-image ?

Nej. För närvarande, när du ställer in kanalen för automatisk uppgradering av klustret till node-image, anger den också automatiskt nodens kanal för automatisk uppgradering av operativsystemet till NodeImage. Du kan inte ändra värdet för den automatiska uppgraderingskanalen för nodens operativsystem om den automatiska uppgraderingskanalen för klustret är node-image. För att kunna ändra värdena för den automatiska uppgraderingen av nodens operativsystem kontrollerar du att kanalen för automatisk uppgradering av klustret inte node-imageär .

• Varför rekommenderas SecurityPatch via Unmanaged kanalen?

Unmanaged I kanalen har AKS ingen kontroll över hur och när säkerhetsuppdateringarna levereras. Med SecurityPatchtestas säkerhetsuppdateringarna fullständigt och följer säkra distributionsmetoder. SecurityPatch respekterar även underhållsperioder. Mer information finns i Ökad säkerhet och återhämtning för kanoniska arbetsbelastningar i Azure.

• Leder SecurityPatch det alltid till en återimering av mina noder?

AKS begränsar omskapningar till endast när det är absolut nödvändigt, till exempel vissa kernelpaket som kan kräva en ombildning för att tillämpas fullt ut. SecurityPatch är utformad för att minimera störningar så mycket som möjligt. Om AKS beslutar att omimera noder inte är nödvändigt korrigeras noderna live utan att poddar töms och ingen VHD-uppdatering utförs i sådana fall.

• Hur vet jag om en SecurityPatch uppgradering NodeImage tillämpas på min nod?

Kör följande kommando för att hämta nodetiketter:

kubectl get nodes --show-labels

Bland de returnerade etiketterna bör du se en rad som liknar följande utdata:

kubernetes.azure.com/node-image-version=AKSUbuntu-2204gen2containerd-202311.07.0

Här är AKSUbuntu-2204gen2containerdbasnodens avbildningsversion . Om tillämpligt följer säkerhetskorrigeringsversionen vanligtvis. I exemplet ovan är 202311.07.0det .

Samma information visas också i Azure-portalen under vyn nodetikett:

Nästa steg

En detaljerad beskrivning av metodtips för uppgradering och andra överväganden finns i AKS-korrigerings- och uppgraderingsvägledning.