Läs på engelska

Dela via


Supportpolicyer för Azure Kubernetes Service.

Den här artikeln beskriver tekniska supportprinciper och begränsningar för Azure Kubernetes Service (AKS). Den innehåller även information om hantering av agentnoder, komponenter för hanterade kontrollplan, komponenter med öppen källkod från tredje part samt säkerhets- eller korrigeringshantering.

Tjänstuppdateringar och -versioner

  • Information om viktig information finns i viktig information om AKS.
  • Information om förhandsversionsfunktioner finns i AKS-översikten.

Hanterade funktioner i AKS

Basinfrastruktur som en tjänst (IaaS) molnkomponenter, till exempel beräknings- eller nätverkskomponenter, ger dig åtkomst till kontroller på låg nivå och anpassningsalternativ. AKS tillhandahåller däremot en nyckelfärdig Kubernetes-distribution som ger dig en gemensam uppsättning konfigurationer och funktioner som du behöver för klustret. Som AKS-användare har du begränsade anpassnings- och distributionsalternativ. I utbyte behöver du inte bekymra dig om eller hantera Kubernetes-kluster direkt.

Med AKS får du ett fullständigt hanterat kontrollplan. Kontrollplanet innehåller alla komponenter och tjänster som du behöver för att använda och leverera Kubernetes-kluster till slutanvändare. Microsoft underhåller och driver alla Kubernetes-komponenter.

Microsoft hanterar och övervakar följande komponenter via kontrollplanet:

  • Kubelet- eller Kubernetes API-servrar
  • Etcd eller ett kompatibelt nyckelvärdeslager som tillhandahåller tjänstkvalitet (QoS), skalbarhet och körning
  • DNS-tjänster (till exempel kube-dns eller CoreDNS)
  • Kubernetes-proxy eller nätverk, förutom när BYOCNI används
  • Andra tillägg eller systemkomponenter som körs i kube-system-namnområdet.

AKS är inte en PaaS-lösning (Plattform som en tjänst). Vissa komponenter, till exempel agentnoder, har delat ansvar, där du måste hjälpa till att underhålla AKS-klustret. Användarindata krävs, till exempel för att tillämpa en säkerhetskorrigering för agentnodens operativsystem (OS).

Tjänsterna hanteras i den meningen att Microsoft och AKS-teamet distribuerar, driver och ansvarar för tjänstens tillgänglighet och funktioner. Kunder kan inte ändra dessa hanterade komponenter. Microsoft begränsar anpassningen för att säkerställa en konsekvent och skalbar användarupplevelse.

Delat ansvar

När ett kluster skapas definierar du kubernetes-agentnoderna som AKS skapar. Dina arbetsbelastningar körs på dessa noder.

Eftersom dina agentnoder kör privat kod och lagrar känsliga data kan Microsoft Support endast komma åt dem på ett begränsat sätt. Microsoft Support kan inte logga in på, köra kommandon i eller visa loggar för dessa noder utan din uttryckliga behörighet eller hjälp.

Ändringar som görs direkt i agentnoderna med någon av IaaS-API:erna gör att klustret inte stöds. Alla ändringar som tillämpas på agentnoderna måste göras med hjälp av kubernetes-inbyggda mekanismer, till exempel Daemon Sets.

På samma sätt kan du lägga till metadata i klustret och noderna, till exempel taggar och etiketter, men om du ändrar någon av de metadata som skapats av systemet återges klustret som inte stöds.

AKS-supporttäckning

Stödda scenarier

Microsoft tillhandahåller teknisk support för följande exempel:

  • Anslutning till alla Kubernetes-komponenter som Kubernetes-tjänsten tillhandahåller och stöder, till exempel API-servern.
  • Hantering, drifttid, QoS och drift av Kubernetes-kontrollplanstjänster (till exempel Kubernetes-kontrollplan, API-server osv. och coreDNS).
  • Etcd-datalager. Supporten omfattar automatiserade, transparenta säkerhetskopior av alla etcd-data var 30:e minut för katastrofplanering och återställning av klustertillstånd. Dessa säkerhetskopior är inte direkt tillgängliga för dig eller någon annan. De säkerställer datatillförlitlighet och konsekvens. Återställning eller återställning på begäran stöds inte som en funktion.
  • Alla integreringsplatser i Azure-molnleverantörens drivrutin för Kubernetes. Dessa omfattar integreringar i andra Azure-tjänster, till exempel lastbalanserare, beständiga volymer eller nätverk (Kubernetes och Azure CNI, förutom när BYOCNI används).
  • Frågor om eller problem med anpassning av kontrollplanskomponenter som Kubernetes API-servern osv. och coreDNS.
  • Problem med nätverk, till exempel Azure CNI, kubenet eller andra problem med nätverksåtkomst och funktioner, förutom när BYOCNI används. Problem kan vara DNS-matchning, paketförlust, routning och så vidare. Microsoft har stöd för olika nätverksscenarier:
    • Kubenet och Azure CNI använder hanterade virtuella nätverk eller med anpassade (bring your own) undernät.
    • Anslutning till andra Azure-tjänster och -program
    • Microsoft-hanterade ingresskontrollanter eller konfigurationer av lastbalanserare
    • Nätverksprestanda och svarstid
    • Komponenter och funktioner för Microsoft-hanterade nätverksprinciper

Anteckning

Alla klusteråtgärder som vidtas av Microsoft/AKS görs med ditt medgivande under en inbyggd Kubernetes-roll aks-service och inbyggd rollbindning aks-service-rolebinding. Den här rollen gör det möjligt för AKS att felsöka och diagnostisera klusterproblem, men kan inte ändra behörigheter eller skapa roller eller rollbindningar eller andra åtgärder med hög behörighet. Rollåtkomst aktiveras endast under aktiva supportärenden med just-in-time-åtkomst (JIT).

Scenarier som inte stöds

Microsoft tillhandahåller inte teknisk support för följande scenarier:

  • Frågor om hur du använder Kubernetes. Microsoft Support ger till exempel inte råd om hur du skapar anpassade ingresskontrollanter, använder programarbetsbelastningar eller tillämpar programvarupaket eller verktyg från tredje part eller med öppen källkod.

    Anteckning

    Microsoft Support kan ge råd om AKS-klusterfunktioner, anpassning och justering (till exempel problem och procedurer för Kubernetes-åtgärder).

  • Projekt med öppen källkod från tredje part som inte tillhandahålls som en del av Kubernetes-kontrollplanet eller distribueras med AKS-kluster. Dessa projekt kan omfatta Istio, Helm, Envoy eller andra.

    Anteckning

    Microsoft kan ge bästa möjliga stöd för projekt med öppen källkod från tredje part, till exempel Helm. När verktyget med öppen källkod från tredje part integreras med Kubernetes Azure-molnleverantören eller andra AKS-specifika buggar stöder Microsoft exempel och program från Microsoft-dokumentationen.

  • Programvara med sluten källkod från tredje part. Den här programvaran kan innehålla verktyg för säkerhetsgenomsökning och nätverksenheter eller programvara.

  • Konfigurera eller felsöka programspecifik kod eller beteende för program eller verktyg från tredje part som körs i AKS-klustret. Detta omfattar programdistributionsproblem som inte är relaterade till själva AKS-plattformen.

  • Utfärdande, förnyelse eller hantering av certifikat för program som körs på AKS.

  • Andra nätverksanpassningar än de som anges i AKS-dokumentationen. Microsoft Support kan till exempel inte konfigurera enheter eller virtuella enheter som är avsedda att tillhandahålla utgående trafik för AKS-klustret, till exempel VPN eller brandväggar.

    Anteckning

    På bästa sätt kan Microsoft Support ge råd om vilken konfiguration som behövs för Azure Firewall, men inte för andra enheter från tredje part.

  • Anpassade CNI-plugin-program eller CNI-plugin-program från tredje part som används i BYOCNI-läge .

  • Konfigurera eller felsöka icke-Microsoft-hanterade nätverksprinciper. När du använder nätverksprinciper kan Microsoft Support inte undersöka problem som härrör från anpassade nätverksprincipkonfigurationer.

  • Konfigurera eller felsöka icke-Microsoft-hanterade ingresskontrollanter, till exempel nginx, kong, traefik osv. Detta inkluderar att åtgärda funktionsproblem som uppstår efter AKS-specifika åtgärder, till exempel att en ingresskontrollant upphör att fungera efter en uppgradering av Kubernetes-versionen. Sådana problem kan bero på inkompatibiliteter mellan ingresskontrollantversionen och den nya Kubernetes-versionen. Om du vill ha ett alternativ som stöds fullt ut bör du överväga att använda ett Microsoft-hanterat ingresskontrollantalternativ.

  • Konfigurera eller felsöka DaemonSets (inklusive skript) som används för att anpassa nodkonfigurationer. Även om användning av DaemonSets är den rekommenderade metoden för att finjustera, ändra eller installera programvara från tredje part på klusteragentnoder när konfigurationsfilparametrarna är otillräckliga, kan Microsoft Support inte felsöka problem som uppstår på grund av de anpassade skript som används i DaemonSets på grund av deras anpassade karaktär.

  • Stand-by och proaktiva scenarier. Microsoft Support ger reaktiv support för att lösa aktiva problem i tid och på ett professionellt sätt. Vänteläge eller proaktivt stöd som hjälper dig att eliminera driftsrisker, öka tillgängligheten och optimera prestanda omfattas dock inte. Berättigade kunder kan kontakta sitt kontoteam för att bli nominerade till Azure Event Management-tjänsten. Det är en betald tjänst som levereras av Microsofts supporttekniker som innehåller en proaktiv riskbedömning och täckning av lösningar under evenemanget.

  • Sårbarheter/CVE:er med en leverantörskorrigering som är mindre än 30 dagar gammal. Så länge du kör den uppdaterade virtuella hårddisken bör du inte köra några sårbarheter för containeravbildningar/CVE:er med en leverantörskorrigering som är över 30 dagar gammal. Det är kundens ansvar att uppdatera den virtuella hårddisken och tillhandahålla filtrerade listor till Microsofts support. När du har uppdaterat din virtuella hårddisk är det kundens ansvar att filtrera rapporten sårbarheter/CVEs och endast tillhandahålla en lista med sårbarheter/CVE:er med en leverantörskorrigering som är över 30 dagar gammal. I så fall ser Microsoft-supporten till att arbeta internt och åtgärda komponenter med en leverantörskorrigering som släpptes för mer än 30 dagar sedan. Dessutom tillhandahåller Microsoft endast säkerhetsrisk/CVE-relaterat stöd för Microsoft-hanterade komponenter (d.v.s. AKS-nodavbildningar, hanterade containeravbildningar för program som distribueras när klustret skapas eller via installationen av ett hanterat tillägg). Mer information om hantering av säkerhetsrisker för AKS finns på den här sidan.

  • Anpassade kodexempel eller skript. Microsoft Support kan tillhandahålla små kodexempel och granskningar av små kodexempel i ett supportärende för att visa hur du använder funktioner i en Microsoft-produkt, men Microsoft Support kan inte tillhandahålla anpassade kodexempel som är specifika för din miljö eller ditt program.

AKS-stödtäckning för agentnoder

Microsofts ansvarsområden för AKS-agentnoder

Microsoft och du delar ansvaret för Kubernetes-agentnoder där:

  • Bas-OS-avbildningen har nödvändiga tillägg (till exempel övervaknings- och nätverksagenter).
  • Agentnoderna tar emot OS-korrigeringar automatiskt.
  • Problem med kubernetes-kontrollplanskomponenterna som körs på agentnoderna åtgärdas automatiskt. Dessa komponenter innehåller följande:
    • Kube-proxy
    • Nätverkstunnlar som tillhandahåller kommunikationsvägar till Kubernetes-huvudkomponenterna
    • Kubelet
    • containerd

Anteckning

Om en agentnod inte fungerar kan AKS starta om enskilda komponenter eller hela agentnoden. Dessa omstartsåtgärder automatiseras och tillhandahåller automatisk reparation för vanliga problem. Om du vill veta mer om mekanismerna för automatisk reparation kan du läsa Autoreparation av noder

Kundansvar för AKS-agentnoder

Microsoft tillhandahåller korrigeringar och nya bilder för dina bildnoder varje vecka. Om du vill hålla agentnodens operativsystem och körningskomponenter uppdaterade bör du använda dessa korrigeringar och uppdateringar regelbundet antingen manuellt eller automatiskt. Mer information finns i:

På samma sätt släpper AKS regelbundet nya Kubernetes-korrigeringar och mindre versioner. Dessa uppdateringar kan innehålla säkerhets- eller funktionsförbättringar för Kubernetes. Du ansvarar för att hålla klustrens Kubernetes-version uppdaterad och enligt principen för AKS Kubernetes-supportversion.

Användaranpassning av agentnoder

Anteckning

AKS-agentnoder visas i Azure Portal som Azure IaaS-standardresurser. Dessa virtuella datorer distribueras dock till en anpassad Azure-resursgrupp (prefix med MC_*). Du kan inte ändra basoperativsystemavbildningen eller göra några direkta anpassningar till dessa noder med hjälp av IaaS-API:er eller resurser. Alla anpassade ändringar som inte utförs från AKS-API:et bevaras inte genom en uppgradering, skalning, uppdatering eller omstart. Dessutom kan alla ändringar av nodernas tillägg som CustomScriptExtension leda till oväntat beteende och bör förbjudas. Undvik att utföra ändringar i agentnoderna om inte Microsoft Support uppmanar dig att göra ändringar.

AKS hanterar livscykeln och driften av agentnoder åt dig och det går inte att ändra de IaaS-resurser som är associerade med agentnoderna. Ett exempel på en åtgärd som inte stöds är att anpassa en vm-skalningsuppsättning för en nodpool genom att manuellt ändra konfigurationer i Azure Portal eller från API:et.

För arbetsbelastningsspecifika konfigurationer eller paket rekommenderar AKS att du använder Kubernetes daemon sets.

Med kubernetes-privilegierade daemon sets och init-containrar kan du finjustera/ändra eller installera programvara från tredje part på klusteragentnoder. Exempel på sådana anpassningar är att lägga till anpassad säkerhetsgenomsökningsprogramvara eller uppdatera sysctl-inställningar.

Även om den här sökvägen rekommenderas om ovanstående krav gäller kan AKS-teknik och support inte hjälpa till att felsöka eller diagnostisera ändringar som gör noden otillgänglig på grund av en anpassad distribuerad daemon set.

Säkerhetsproblem och korrigering

Om ett säkerhetsfel hittas i en eller flera av de hanterade komponenterna i AKS korrigerar AKS-teamet alla berörda kluster för att åtgärda problemet. Alternativt kan AKS-teamet ge dig uppgraderingsvägledning.

För agentnoder som påverkas av ett säkerhetsfel meddelar Microsoft dig med information om påverkan och stegen för att åtgärda eller åtgärda säkerhetsproblemet.

Nodunderhåll och åtkomst

Även om du kan logga in på och ändra agentnoder avråder du från att utföra den här åtgärden eftersom ändringar kan göra att ett kluster inte stöds.

Nätverksportar, åtkomst och NSG:er

Du kan bara anpassa NSG:er för anpassade undernät. Du får inte anpassa NSG:er på hanterade undernät eller på NIC-nivån för agentnoderna. AKS har utgående krav på specifika slutpunkter, för att kontrollera utgående och säkerställa nödvändig anslutning, se begränsa utgående trafik. För ingress baseras kraven på de program som du har distribuerat till klustret.

Noder som har stoppats, frigjorts och inte är redo

Om du inte behöver dina AKS-arbetsbelastningar för att köras kontinuerligt kan du stoppa AKS-klustret, som stoppar alla nodpooler och kontrollplanet. Du kan starta den igen när det behövs. När du stoppar ett kluster med kommandot az aks stop bevaras klustertillståndet i upp till 12 månader. Efter 12 månader tas klustertillståndet och alla dess resurser bort.

Manuellt frigöra alla klusternoder från IaaS-API:erna, Azure CLI eller Azure Portal stöds inte för att stoppa ett AKS-kluster eller nodpool. Klustret kommer att betraktas som utan stöd och stoppas av AKS efter 30 dagar. Klustren omfattas sedan av samma 12 månaders bevarandeprincip som ett korrekt stoppat kluster.

Kluster med noll redo noder (eller alla Inte redo) och noll virtuella datorer som körs stoppas efter 30 dagar.

AKS förbehåller sig rätten att arkivera kontrollplan som har konfigurerats utanför supportriktlinjer för längre perioder som är lika med och längre än 30 dagar. AKS underhåller säkerhetskopior av kluster etcd-metadata och kan enkelt omfördela klustret. Den här omfördelningen initieras av en PUT-åtgärd som för tillbaka klustret till stöd, till exempel en uppgradering eller skalning till aktiva agentnoder.

Alla kluster i en pausad prenumeration stoppas omedelbart och tas bort efter 90 dagar. Alla kluster i en borttagen prenumeration tas bort omedelbart.

Funktioner som inte stöds för Alfa och Beta Kubernetes

AKS stöder endast stabila och betafunktioner i det överordnade Kubernetes-projektet. Om inget annat dokumenteras stöder AKS inte någon alfafunktion som är tillgänglig i det överordnade Kubernetes-projektet.

Förhandsgranska funktioner eller funktionsflaggor

För funktioner som kräver utökad testning och användarfeedback släpper Microsoft nya förhandsversionsfunktioner eller funktioner bakom en funktionsflagga. Betrakta dessa funktioner som förhandsversions- eller betafunktioner.

Förhandsgranskningsfunktioner eller funktionsflagga-funktioner är inte avsedda för produktion. Pågående ändringar i API:er och beteende, felkorrigeringar och andra ändringar kan leda till instabila kluster och stilleståndstid.

Funktioner i den offentliga förhandsversionen omfattas av bästa möjliga stöd , eftersom dessa funktioner är i förhandsversion och inte är avsedda för produktion. AKS tekniska supportteam tillhandahåller endast support under kontorstid. Mer information finns i Vanliga frågor och svar om Azure-support.

Överordnade buggar och problem

Med tanke på utvecklingshastigheten i det överordnade Kubernetes-projektet uppstår buggar alltid. Vissa av dessa buggar kan inte korrigeras eller bearbetas i AKS-systemet. I stället kräver felkorrigeringar större korrigeringar för överordnade projekt (till exempel Kubernetes, nod- eller agentoperativsystem och kernel). För komponenter som Microsoft äger (till exempel Azure-molnleverantören) har AKS- och Azure-personal åtagit sig att åtgärda problem uppströms i communityn.

När rotorsaken till ett tekniskt supportproblem beror på en eller flera överordnade buggar kommer AKS-support- och teknikteamen att:

  • Identifiera och länka de överordnade buggarna med eventuell stödinformation för att förklara varför det här problemet påverkar klustret eller arbetsbelastningen. Kunder får länkar till de nödvändiga lagringsplatserna så att de kan titta på problemen och se när en ny version ger korrigeringar.

  • Ange möjliga lösningar eller åtgärder. Om problemet kan åtgärdas arkiveras ett känt problem på AKS-lagringsplatsen. Den kända problemregistreringen förklarar:

    • Problemet, inklusive länkar till överordnade buggar.
    • Lösningens lösning och information om en uppgradering eller en annan beständig lösning.
    • Ungefärliga tidslinjer för problemets inkludering, baserat på uppströmsversionens takt.