Aracılığıyla paylaş


Azure Kubernetes Service destek ilkeleri

Bu makalede, Azure Kubernetes Service (AKS) için teknik destek ilkeleri ve sınırlamaları açıklanmaktadır. Ayrıca aracı düğümü yönetimi, yönetilen denetim düzlemi bileşenleri, üçüncü taraf açık kaynak bileşenleri ve güvenlik veya düzeltme eki yönetimi ayrıntılarıyla gösterilir.

Hizmet güncelleştirmeleri ve sürümleri

AKS'de yönetilen özellikler

İşlem veya ağ bileşenleri gibi temel hizmet olarak altyapı (IaaS) bulut bileşenleri, alt düzey denetimlere ve özelleştirme seçeneklerine erişmenizi sağlar. Buna karşılık AKS, kümeniz için ihtiyacınız olan yaygın yapılandırma ve özellikler kümesini sunan anahtar teslimi bir Kubernetes dağıtımı sağlar. AKS kullanıcısı olarak özelleştirme ve dağıtım seçenekleriniz sınırlıdır. Bunun karşılığında Kubernetes kümelerini doğrudan düşünmeniz veya yönetmeniz gerekmez.

AKS ile tam olarak yönetilen bir kontrol düzlemi elde edersiniz. Kontrol düzlemi, Kubernetes kümelerini çalıştırmak ve son kullanıcılara teslim etmek için ihtiyacınız olan tüm bileşenleri ve hizmetleri içerir. Microsoft, tüm Kubernetes bileşenlerini korur ve çalıştırır.

Microsoft, aşağıdaki bileşenleri kontrol düzlemi üzerinden yönetir ve izler:

  • Kubelet veya Kubernetes API sunucuları
  • Hizmet Kalitesi (QoS), ölçeklenebilirlik ve çalışma zamanı sağlayan Etcd veya uyumlu bir anahtar-değer deposu
  • DNS hizmetleri (örneğin, kube-dns veya CoreDNS)
  • BYOCNI kullanıldığı durumlar dışında Kubernetes ara sunucusu veya ağ
  • kube-system ad alanında çalışan diğer tüm eklentiler veya sistem bileşenleri.

AKS bir Hizmet Olarak Platform (PaaS) çözümü değildir. Aracı düğümleri gibi bazı bileşenler, AKS kümesinin korunmasına yardımcı olmanız gereken paylaşılan sorumluluğa sahiptir. Kullanıcı girişi, örneğin bir aracı düğümü işletim sistemi (OS) güvenlik düzeltme eki uygulamak için gereklidir.

Hizmetler , Microsoft ve AKS ekibinin dağıttığı, çalıştığı ve hizmet kullanılabilirliği ile işlevselliğinden sorumlu olduğu anlamda yönetilir . Müşteriler bu yönetilen bileşenleri değiştiremez. Microsoft, tutarlı ve ölçeklenebilir bir kullanıcı deneyimi sağlamak için özelleştirmeyi sınırlar.

Paylaşılan sorumluluk

Bir küme oluşturulduğunda AKS'nin oluşturduğu Kubernetes aracı düğümlerini tanımlarsınız. İş yükleriniz bu düğümlerde yürütülür.

Aracı düğümleriniz özel kod yürüttüğü ve hassas verileri depoladığı için Microsoft Desteği bunlara yalnızca sınırlı bir şekilde erişebilir. Microsoft Desteği açık izniniz veya yardımınız olmadan bu düğümlerde oturum açamaz, komut yürütemez veya günlükleri görüntüleyemez.

IaaS API'lerinden herhangi biri kullanılarak doğrudan aracı düğümlerinde yapılan değişiklikler, kümeyi desteklenemez hale getirir. Aracı düğümlerine uygulanan tüm değişiklikler gibi Daemon Setskubernetes-native mekanizmaları kullanılarak yapılmalıdır.

Benzer şekilde, kümeye ve düğümlere etiketler ve etiketler gibi meta veriler ekleyebilirsiniz ancak sistem tarafından oluşturulan meta verilerden herhangi birinin değiştirilmesi kümeyi desteklenmeyen hale getirir.

AKS destek kapsamı

Desteklenen senaryolar

Microsoft aşağıdaki örnekler için teknik destek sağlar:

  • Kubernetes hizmetinin sağladığı ve desteklediği API sunucusu gibi tüm Kubernetes bileşenlerine bağlantı.
  • Kubernetes denetim düzlemi hizmetlerinin yönetimi, çalışma süresi, QoS ve işlemleri (örneğin, Kubernetes denetim düzlemi, API sunucusu vb.) ve coreDNS).
  • Etcd veri deposu. Destek, olağanüstü durum planlaması ve küme durumu geri yükleme için her 30 dakikada bir tüm etcd verilerinin otomatik, saydam yedeklerini içerir. Bu yedeklemeler doğrudan sizin veya başka birinin kullanımına sunulmaz. Veri güvenilirliği ve tutarlılığı sağlar. İsteğe bağlı geri alma veya geri yükleme özelliği olarak desteklenmez.
  • Kubernetes için Azure bulut sağlayıcısı sürücüsündeki tümleştirme noktaları. Bunlar yük dengeleyiciler, kalıcı birimler veya ağ gibi diğer Azure hizmetleriyle tümleştirmeleri içerir (BYOCNI kullanımda olduğu durumlar dışında Kubernetes ve Azure CNI ).
  • Kubernetes API sunucusu vb. ve coreDNS gibi denetim düzlemi bileşenlerini özelleştirme hakkındaki sorular veya sorunlar.
  • BYOCNI'nin kullanımda olması dışında Azure CNI, kubenet veya diğer ağ erişimi ve işlevsellik sorunları gibi ağ ile ilgili sorunlar. Sorunlar ARASıNDA DNS çözümlemesi, paket kaybı, yönlendirme vb. olabilir. Microsoft çeşitli ağ senaryolarını destekler:
    • Yönetilen VNET'leri veya özel (kendi ağlarınızı getirin) alt ağlarını kullanan Kubenet ve Azure CNI.
    • Diğer Azure hizmetlerine ve uygulamalarına bağlantı
    • Microsoft tarafından yönetilen giriş denetleyicileri veya yük dengeleyici yapılandırmaları
    • Ağ performansı ve gecikme süresi
    • Microsoft tarafından yönetilen ağ ilkeleri bileşenleri ve işlevleri

Not

Microsoft/AKS tarafından gerçekleştirilir tüm küme eylemleri, yerleşik bir Kubernetes rolü aks-service ve yerleşik rol bağlaması aks-service-rolebindingaltında sizin onayınızla yapılır. Bu rol AKS'nin küme sorunlarını gidermesine ve tanılamasına olanak tanır, ancak izinleri değiştiremez, rol veya rol bağlamaları ya da diğer yüksek ayrıcalıklı eylemler oluşturamaz. Rol erişimi yalnızca tam zamanında (JIT) erişime sahip etkin destek biletleri altında etkinleştirilir.

Desteklenmeyen senaryolar

Microsoft aşağıdaki senaryolar için teknik destek sağlamaz:

  • Kubernetes'i kullanma hakkındaki sorular. Örneğin, Microsoft Desteği özel giriş denetleyicileri oluşturma, uygulama iş yüklerini kullanma veya üçüncü taraf ya da açık kaynak yazılım paketleri veya araçları uygulama hakkında öneri sağlamaz.

    Not

    Microsoft Desteği AKS kümesi işlevselliği, özelleştirme ve ayarlama (örneğin, Kubernetes işlemleri sorunları ve yordamları) hakkında önerilerde bulunabilir.

  • Kubernetes denetim düzleminin bir parçası olarak sağlanmayan veya AKS kümeleri ile dağıtılan üçüncü taraf açık kaynak projeleri. Bu projeler Arasında Istio, Helm, Envoy veya diğerleri olabilir.

    Not

    Microsoft, Helm gibi üçüncü taraf açık kaynak projeleri için en iyi desteği sağlayabilir. Üçüncü taraf açık kaynak aracının Kubernetes Azure bulut sağlayıcısı veya AKS'ye özgü diğer hatalarla tümleştirildiği durumlarda Microsoft, Microsoft belgelerindeki örnekleri ve uygulamaları destekler.

  • Üçüncü taraf kapalı kaynak yazılım. Bu yazılım, güvenlik tarama araçlarını ve ağ cihazlarını veya yazılımları içerebilir.

  • AKS kümesinde çalışan üçüncü taraf uygulamaların veya araçların uygulamaya özgü kodu veya davranışını yapılandırma veya sorunlarını giderme. Bu, AKS platformunun kendisiyle ilgili olmayan uygulama dağıtım sorunlarını içerir.

  • AKS üzerinde çalışan uygulamalar için sertifikaları verme, yenileme veya yönetme.

  • AKS belgelerinde listelenenler dışındaki ağ özelleştirmeleri. Örneğin Microsoft Desteği, VPN'ler veya güvenlik duvarları gibi AKS kümesi için giden trafik sağlamak amacıyla cihazları veya sanal gereçleri yapılandıramaz.

    Not

    en iyi çaba temelinde, Microsoft Desteği Azure Güvenlik Duvarı için gereken yapılandırmayı önerebilir, ancak diğer üçüncü taraf cihazlar için öneride bulunamayabilir.

  • BYOCNI modunda kullanılan özel veya üçüncü taraf CNI eklentileri.

  • Microsoft tarafından yönetilmeyen ağ ilkelerini yapılandırma veya sorunlarını giderme. Ağ ilkelerinin kullanılması destekleniyor olsa da Microsoft Desteği özel ağ ilkesi yapılandırmalarından kaynaklanan sorunları araştıramaz.

  • nginx, kong, traefik gibi Microsoft tarafından yönetilmeyen giriş denetleyicilerini yapılandırma veya sorunlarını giderme. Bu, Kubernetes sürüm yükseltmesi sonrasında çalışmaya devam eden bir giriş denetleyicisi gibi AKS'ye özgü işlemlerden sonra ortaya çıkan işlevsellik sorunlarını gidermeyi içerir. Bu tür sorunlar, giriş denetleyicisi sürümü ile yeni Kubernetes sürümü arasındaki uyumsuzluklardan kaynaklanabilir. Tam olarak desteklenen bir seçenek için Microsoft tarafından yönetilen giriş denetleyicisi seçeneğinden yararlanmayı göz önünde bulundurun.

  • Düğüm yapılandırmalarını özelleştirmek için kullanılan DaemonSets'i (betikler dahil) yapılandırma veya sorunlarını giderme. Yapılandırma dosyası parametreleri yetersiz olduğunda küme aracısı düğümlerine üçüncü taraf yazılımları ayarlamak, değiştirmek veya yüklemek için önerilen yaklaşım DaemonSets kullanmak olsa da, Microsoft Desteği özel özellikleri nedeniyle DaemonSets'te kullanılan özel betiklerden kaynaklanan sorunları gideremez.

  • Hazır ve proaktif senaryolar. Microsoft Desteği, etkin sorunların zamanında ve profesyonel bir şekilde çözülmesine yardımcı olmak için reaktif destek sağlar. Ancak, operasyonel riskleri ortadan kaldırmanıza, kullanılabilirliği artırmanıza ve performansı iyileştirmenize yardımcı olacak hazır bekleyen veya proaktif destek kapsamına alınmaz. Uygun müşteriler, Azure Olay Yönetimi hizmetine aday gösterilmek üzere hesap ekibine başvurabilir. Etkinlik sırasında proaktif bir çözüm risk değerlendirmesi ve kapsamı içeren, Microsoft destek mühendisleri tarafından sunulan ücretli bir hizmettir.

  • 30 günden daha eski bir satıcı düzeltmesi olan güvenlik açıkları/ CV'ler. Güncelleştirilmiş VHD'yi çalıştırdığınız sürece, 30 günden eski bir satıcı düzeltmesiyle herhangi bir kapsayıcı görüntüsü güvenlik açığı / CVE çalıştırmamanız gerekir. VHD'yi güncelleştirmek ve Microsoft desteğine filtrelenmiş listeler sağlamak müşteri sorumluluğundadır. VHD'nizi güncelleştirdikten sonra, güvenlik açıkları /CVE'ler raporunu filtrelemek ve yalnızca 30 günden eski bir satıcı düzeltmesi içeren güvenlik açıkları/CV'ler içeren bir liste sağlamak müşteri sorumluluğundadır. Böyle bir durum söz konusuysa, Microsoft desteği 30 günden uzun bir süre önce yayımlanan bir satıcı düzeltmesi ile şirket içinde çalışmayı ve bileşenleri ele almasını sağlar. Buna ek olarak, Microsoft yalnızca Microsoft tarafından yönetilen bileşenler (aks düğümü görüntüleri, küme oluşturma sırasında veya yönetilen eklenti yükleme yoluyla dağıtılacak uygulamalar için yönetilen kapsayıcı görüntüleri) için güvenlik açığı / CVE ile ilgili destek sağlar. AKS için güvenlik açığı yönetimi hakkında daha fazla bilgi için lütfen bu sayfayı ziyaret edin.

  • Özel kod örnekleri veya betikler. Microsoft Desteği, bir Microsoft ürününün özelliklerinin nasıl kullanılacağını göstermek için bir destek olayı içindeki küçük kod örnekleri ve gözden geçirmeleri sağlayabilir ancak Microsoft Desteği ortamınıza veya uygulamanıza özgü özel kod örnekleri sağlayamaz.

Aracı düğümleri için AKS destek kapsamı

AKS aracı düğümleri için Microsoft sorumlulukları

Microsoft ve siz Kubernetes aracı düğümlerinin sorumluluğunu paylaşırsınız:

  • Temel işletim sistemi görüntüsünde gerekli eklemeler (izleme ve ağ aracıları gibi) vardır.
  • Aracı düğümleri işletim sistemi düzeltme eklerini otomatik olarak alır.
  • Aracı düğümlerinde çalışan Kubernetes denetim düzlemi bileşenleriyle ilgili sorunlar otomatik olarak giderilir. Bu bileşenler aşağıdakileri içerir:
    • Kube-proxy
    • Kubernetes ana bileşenlerine iletişim yolları sağlayan ağ tünelleri
    • Kubelet
    • containerd

Not

Bir aracı düğümü çalışır durumda değilse AKS tek tek bileşenleri veya tüm aracı düğümünü yeniden başlatabilir. Bu yeniden başlatma işlemleri otomatiktir ve yaygın sorunlar için otomatik düzeltme sağlar. Otomatik düzeltme mekanizmaları hakkında daha fazla bilgi edinmek istiyorsanız bkz . Düğüm Otomatik Onarımı

AKS aracı düğümleri için müşteri sorumlulukları

Microsoft, görüntü düğümleriniz için haftalık olarak düzeltme ekleri ve yeni görüntüler sağlar. Aracı düğümü işletim sisteminizi ve çalışma zamanı bileşenlerinizi güncel tutmak için bu düzeltme eklerini ve güncelleştirmeleri düzenli olarak el ile veya otomatik olarak uygulamanız gerekir. Daha fazla bilgi için bkz.

Benzer şekilde AKS düzenli olarak yeni Kubernetes düzeltme ekleri ve ikincil sürümler yayınlar. Bu güncelleştirmeler Kubernetes'e yönelik güvenlik veya işlevsellik geliştirmeleri içerebilir. Kümelerinizin Kubernetes sürümünü güncel tutmak ve AKS Kubernetes destek sürümü ilkesine göre kullanmak sizin sorumluluğunuzdadır.

Aracı düğümlerinin kullanıcı özelleştirmesi

Not

AKS aracı düğümleri Azure portalında standart Azure IaaS kaynakları olarak görünür. Ancak, bu sanal makineler özel bir Azure kaynak grubuna dağıtılır (MC_* ön ekli). IaaS API'lerini veya kaynaklarını kullanarak temel işletim sistemi görüntüsünü değiştiremez veya bu düğümlerde doğrudan özelleştirme yapamazsınız. AKS API'sinden gerçekleştirilmeyen özel değişiklikler yükseltme, ölçeklendirme, güncelleştirme veya yeniden başlatma yoluyla kalıcı olmaz. Ayrıca, CustomScriptExtension gibi düğümlerin uzantılarında yapılan herhangi bir değişiklik beklenmeyen davranışlara yol açabilir ve yasaklanmalıdır. Microsoft Desteği sizi değişiklik yapmaya yönlendirmediği sürece aracı düğümlerinde değişiklik yapmaktan kaçının.

AKS sizin adınıza aracı düğümlerinin yaşam döngüsünü ve işlemlerini yönetir ve aracı düğümleriyle ilişkili IaaS kaynaklarının değiştirilmesi desteklenmez. Desteklenmeyen bir işlem örneği, Azure portalındaki veya API'deki yapılandırmaları el ile değiştirerek düğüm havuzu sanal makine ölçek kümesini özelleştirmektir.

İş yüküne özgü yapılandırmalar veya paketler için AKS, Kubernetes daemon setskullanılmasını önerir.

Kubernetes ayrıcalıklı daemon sets ve init kapsayıcılarını kullanmak, küme aracısı düğümlerinde üçüncü taraf yazılımları ayarlamanıza/değiştirmenize veya yüklemenize olanak tanır. Bu tür özelleştirmelere örnek olarak özel güvenlik tarama yazılımı ekleme veya sysctl ayarlarını güncelleştirme verilebilir.

Yukarıdaki gereksinimler geçerliyse bu yol önerilir ancak AKS mühendisliği ve desteği, özel dağıtılan daemon setbir nedeniyle düğümü kullanılamaz hale getiren değişikliklerin sorunlarını gidermeye veya tanılamaya yardımcı olamaz.

Güvenlik sorunları ve düzeltme eki uygulama

AKS'nin yönetilen bileşenlerinden birinde veya daha fazlasında güvenlik açığı bulunursa AKS ekibi, sorunu azaltmak için etkilenen tüm kümelere düzeltme eki uygular. Alternatif olarak, AKS ekibi size yükseltme yönergeleri sağlar.

Bir güvenlik açığından etkilenen aracı düğümleri için, Microsoft size etkiyle ilgili ayrıntıları ve güvenlik sorununu düzeltme veya azaltma adımlarını bildirir.

Düğüm bakımı ve erişimi

Oturum açabilmenize ve aracı düğümlerini değiştirebilmenize rağmen, değişiklikler kümeyi desteklenmeyen hale getirebileceğinden bu işlemi yapmak önerilmez.

Ağ bağlantı noktaları, erişim ve NSG'ler

NSG'leri yalnızca özel alt ağlarda özelleştirebilirsiniz. Yönetilen alt ağlarda veya aracı düğümlerinin NIC düzeyinde NSG'leri özelleştiremeyebilirsiniz. AKS'nin çıkışı denetlemek ve gerekli bağlantıyı sağlamak için belirli uç noktalara yönelik çıkış gereksinimleri vardır. Bkz . Çıkış trafiğini sınırlama. Giriş için gereksinimler, kümeye dağıtmış olduğunuz uygulamaları temel alır.

Durduruldu, serbest bırakıldı ve Hazır Değil düğümleri

AKS iş yüklerinizin sürekli çalışması gerekmiyorsa AKS kümesini durdurarak tüm düğüm havuzlarını ve denetim düzlemini durdurabilirsiniz. Gerektiğinde yeniden başlatabilirsiniz. komutunu kullanarak bir kümeyi az aks stop durdurduğunuzda, küme durumu 12 aya kadar korunur. 12 ay sonra küme durumu ve tüm kaynakları silinir.

Tüm küme düğümlerinin IaaS API'lerinden, Azure CLI'dan veya Azure portalından el ile serbest bırakılması, AKS kümesini veya düğüm havuzunu durdurmak için desteklenmez. Küme, destek dışı olarak kabul edilir ve 30 gün sonra AKS tarafından durdurulur. Daha sonra kümeler, doğru şekilde durdurulan bir kümeyle aynı 12 aylık koruma ilkesine tabi olur.

Sıfır Hazır düğüme (veya tümü Hazır Değil) ve sıfır Çalışan VM'lere sahip kümeler 30 gün sonra durdurulur.

AKS, 30 güne eşit ve daha uzun süreler için destek yönergeleri dışında yapılandırılan kontrol düzlemlerini arşivleme hakkını saklıdır. AKS, küme vb. meta verilerinin yedeklerini tutar ve kümeyi kolayca yeniden yerleştirebilir. Bu yeniden yükleme, kümeyi yeniden desteğe getiren herhangi bir PUT işlemi tarafından başlatılır( örneğin, yükseltme veya etkin aracı düğümlerine ölçeklendirme).

Askıya alınan abonelikteki tüm kümeler 90 gün sonra hemen durdurulur ve silinir. Silinen abonelikteki tüm kümeler hemen silinir.

Desteklenmeyen alfa ve beta Kubernetes özellikleri

AKS yalnızca yukarı akış Kubernetes projesindeki kararlı ve beta özellikleri destekler. Aksi belgelenmediği sürece AKS, yukarı akış Kubernetes projesinde kullanılabilen herhangi bir alfa özelliğini desteklemez.

Önizleme özellikleri veya özellik bayrakları

Microsoft, genişletilmiş test ve kullanıcı geri bildirimi gerektiren özellikler ve işlevler için özellik bayrağının arkasında yeni önizleme özellikleri veya özellikler yayınlar. Bu özellikleri yayın öncesi veya beta özellikler olarak düşünün.

Önizleme özellikleri veya özellik bayrağı özellikleri üretim için tasarlanmamıştır. API'lerde ve davranışta devam eden değişiklikler, hata düzeltmeleri ve diğer değişiklikler kararsız kümelere ve kapalı kalma süresine neden olabilir.

Genel önizlemedeki özellikler, önizleme aşamasında olduğundan ve üretim için tasarlanmadığından en iyi çaba desteğinin altındadır. AKS teknik destek ekipleri yalnızca iş saatlerinde destek sağlar. Daha fazla bilgi için bkz . Azure Desteği SSS.

Yukarı akış hataları ve sorunları

Yukarı akış Kubernetes projesindeki geliştirme hızı göz önüne alındığında, hatalar sabit bir şekilde ortaya çıkar. Bu hatalardan bazıları AKS sistemi içinde düzeltme eki eklenemez veya geçici olarak çözümlenemez. Bunun yerine, hata düzeltmeleri yukarı akış projelerine (Kubernetes, düğüm veya aracı işletim sistemleri ve çekirdek gibi) daha büyük düzeltme ekleri gerektirir. Microsoft'un sahip olduğu bileşenler (Azure bulut sağlayıcısı gibi) için AKS ve Azure personeli topluluktaki yukarı akış sorunlarını çözmeyi taahhüt eder.

Teknik destek sorununun kök nedeni bir veya daha fazla yukarı akış hatasından kaynaklanıyorsa AKS destek ve mühendislik ekipleri şunları yapacaktır:

  • Bu sorunun kümenizi veya iş yükünüzü neden etkilediğini açıklamaya yardımcı olmak için yukarı akış hatalarını tüm destekleyici ayrıntılarla belirleyin ve bağlayın. Müşteriler, sorunları izleyebilmeleri ve yeni bir sürümün ne zaman düzeltmeler sağlayacağını görebilmeleri için gerekli depolara bağlantılar alır.

  • Olası geçici çözümleri veya azaltmayı sağlayın. Sorun giderilebilirse AKS deposunda bilinen bir sorun oluşturulur. Bilinen sorun dosyalamada şu açıklanmaktadır:

    • Yukarı akış hatalarına bağlantılar da dahil olmak üzere sorun.
    • Geçici çözüm ve yükseltme veya çözümün başka bir kalıcılığı hakkındaki ayrıntılar.
    • Yukarı akış yayın temposunu temel alarak sorunun dahil edilmesi için kaba zaman çizelgeleri.