Düğüm işletim sistemi görüntülerini otomatik yükseltme

AKS, zamanında düğüm düzeyinde işletim sistemi güvenlik güncelleştirmelerine ayrılmış birden çok otomatik yükseltme kanalı sağlar. Bu kanal, küme düzeyi Kubernetes sürüm yükseltmelerinden farklıdır ve yerini alır.

Düğüm işletim sistemi otomatik yükseltmesi ve küme otomatik yükseltmesi arasındaki etkileşimler

Düğüm düzeyinde işletim sistemi güvenlik güncelleştirmeleri, Kubernetes düzeltme ekinden veya ikincil sürüm güncelleştirmelerinden daha hızlı bir şekilde yayınlanır. Düğüm işletim sistemi otomatik yükseltme kanalı size esneklik sağlar ve düğüm düzeyinde işletim sistemi güvenlik güncelleştirmeleri için özelleştirilmiş bir strateji sağlar. Ardından, küme düzeyinde Kubernetes sürümü otomatik yükseltmeleri için ayrı bir plan seçebilirsiniz. Hem küme düzeyinde otomatik yükseltmeleri hem de düğüm işletim sistemi otomatik yükseltme kanalını birlikte kullanmak en iyisidir. Zamanlama, küme otomatik yükseltme kanalı ve aksManagedNodeOSUpgradeSchedule düğüm işletim sistemi otomatik yükseltme kanalı için iki ayrı bakım penceresiaksManagedAutoUpgradeSchedule - kümesi uygulanarak ince ayar yapılabilir.

Düğüm işletim sistemi görüntüsü yükseltmeleri için kanallar

Seçilen kanal, yükseltmelerin zamanlamasını belirler. Düğüm işletim sistemi otomatik yükseltme kanallarında değişiklik yaparken değişikliklerin etkili olması için 24 saate kadar bekleyin. Bir kanaldan başka bir kanala geçtiğiniz zaman, sıralı düğümlere yol açan bir yeniden oluşturma tetiklenir.

Not

Düğüm işletim sistemi görüntüsü otomatik yükseltme, kümenin Kubernetes sürümünü etkilemez. Yalnızca desteklenen bir sürümdeki bir küme için çalışır.

Aşağıdaki yükseltme kanalları kullanılabilir. Şu seçeneklerden birini seçebilirsiniz:

Kanal	Açıklama	İşletim sistemine özgü davranış
None	Düğümlerinizde otomatik olarak güvenlik güncelleştirmeleri uygulanmaz. Bu, güvenlik güncelleştirmelerinizden yalnızca sizin sorumlu olduğunuz anlamına gelir.	Yok
Unmanaged	İşletim sistemi güncelleştirmeleri, işletim sistemi yerleşik düzeltme eki uygulama altyapısı aracılığıyla otomatik olarak uygulanır. Yeni ayrılan makineler başlangıçta eşleşmez. İşletim sisteminin altyapısı bir noktada bunlara düzeltme eki ekler.	Ubuntu ve Azure Linux (CPU düğüm havuzları), katılımsız yükseltme/dnf-otomatik aracılığıyla güvenlik düzeltme eklerini günde yaklaşık 06:00 UTC civarında uygular. Windows otomatik olarak güvenlik düzeltme ekleri uygulamaz, bu nedenle bu seçenek ile Noneeşdeğer şekilde davranır. Kured gibi bir araç kullanarak yeniden başlatma işlemini yönetmeniz gerekir.
SecurityPatch	Bu kanal önizleme aşamasındadır ve özellik bayrağının NodeOsUpgradeChannelPreviewetkinleştirilmesini gerektirir. Ayrıntılar için önkoşullar bölümüne bakın. AKS, düğümün sanal sabit diskini (VHD) "yalnızca güvenlik" etiketli görüntü bakımcısından gelen yamalarla düzenli olarak güncelleştirir. Düğümlere güvenlik düzeltme ekleri uygulandığında kesintiler olabilir. Düzeltme ekleri uygulandığında VHD güncelleştirilir ve mevcut makineler bu VHD'ye yükseltilir ve bakım pencerelerine ve dalgalanma ayarlarına uygun hale getirilir. Bu seçenek, VHD'leri düğüm kaynak grubunuzda barındırmanın ek maliyetini doğurabilir. Bu kanalı kullanırsanız, Linux katılımsız yükseltmeleri varsayılan olarak devre dışı bırakılır.	Azure Linux, GPU özellikli VM'lerde bu kanalı desteklemez. SecurityPatch , ikincil Kubernetes sürümü hala desteklendiği sürece kullanım dışı bırakılan düzeltme eki sürümlerinde çalışır.
NodeImage	AKS, düğümleri haftalık bir tempoda güvenlik düzeltmeleri ve hata düzeltmeleri içeren yeni düzeltme eki uygulanmış bir VHD ile güncelleştirir. Yeni VHD güncelleştirmesi bakım pencerelerini ve dalgalanma ayarlarını takip ederek kesintiye neden oluyor. Bu seçenek seçildiğinde ek VHD maliyeti tahakkuk ettirilmemiştir. Bu kanalı kullanırsanız, Linux katılımsız yükseltmeleri varsayılan olarak devre dışı bırakılır. İkincil Kubernetes sürümü hala desteklendiği sürece düğüm görüntüsü yükseltmeleri kullanım dışı bırakılan düzeltme eki sürümlerini destekler.

Yeni bir kümede düğüm işletim sistemi otomatik yükseltme kanalını ayarlama

Azure CLI

• parametresiyle komutunu kullanarak az aks create yeni bir kümede düğüm işletim sistemi otomatik yükseltme kanalını --node-os-upgrade-channel ayarlayın. Aşağıdaki örnek düğüm işletim sistemi otomatik yükseltme kanalını olarak SecurityPatchayarlar.

  az aks create --resource-group myResourceGroup --name myAKSCluster --node-os-upgrade-channel SecurityPatch
  

Azure portalı

1. Azure portalında Kaynak>Kapsayıcıları>oluştur Azure Kubernetes Service (AKS) öğesini seçin.

2. Temel Bilgiler sekmesindeki Küme ayrıntıları'nın altında Düğüm güvenlik kanalı türü açılan listesinden istediğiniz kanal türünü seçin.

   

3. Güvenlik kanalı zamanlayıcı'yı seçin ve Planlı Bakım özelliğini kullanarak istediğiniz bakım penceresini seçin. Her hafta Pazar günü (önerilen) varsayılan seçeneği belirlemenizi öneririz.

   

4. Kümeyi oluşturmak için kalan adımları tamamlayın.

Mevcut bir kümede düğüm işletim sistemi otomatik yükseltme kanalını ayarlama

Azure CLI

• parametresiyle komutunu kullanarak az aks update mevcut bir kümede düğüm işletim sistemi otomatik yükseltme kanalını --node-os-upgrade-channel ayarlayın. Aşağıdaki örnek düğüm işletim sistemi otomatik yükseltme kanalını olarak SecurityPatchayarlar.

  az aks update --resource-group myResourceGroup --name myAKSCluster --node-os-upgrade-channel SecurityPatch
  

Azure portalı

1. Azure portalında AKS kümenize gidin.

2. Ayarlar bölümünde Küme yapılandırması'nı seçin.

3. Güvenlik güncelleştirmeleri'nin altında Düğüm güvenlik kanalı türü açılan listesinden istediğiniz kanal türünü seçin.

   

4. Güvenlik kanalı zamanlayıcı için Zamanlama ekle'yi seçin.

5. Bakım zamanlaması ekle sayfasında, Planlı Bakım özelliğini kullanarak aşağıdaki bakım penceresi ayarlarını yapılandırın:

   • Tekrarlar: Bakım penceresi için istenen sıklığı seçin. Haftalık'ı seçmenizi öneririz.
   • Sıklık: Bakım penceresi için haftanın istenen gününü seçin. Pazar'ı seçmenizi öneririz.
   • Bakım başlangıç tarihi: Bakım penceresi için istenen başlangıç tarihini seçin.
   • Bakım başlangıç zamanı: Bakım penceresi için istediğiniz başlangıç saatini seçin.
   • UTC uzaklığı: Bakım penceresi için istenen UTC uzaklığını seçin. Ayarlanmadıysa, varsayılan değer +00:00'dır.

   

6. Uygula'yı Kaydet'i>seçin.

Sahipliği ve zamanlamayı güncelleştirme

Varsayılan tempo, planlı bakım penceresi uygulanmadığını gösterir.

Kanal	Güncelleştirmeler Sahipliği	Varsayılan tempo
Unmanaged	İşletim sistemi tabanlı güvenlik güncelleştirmeleri. AKS'nin bu güncelleştirmeler üzerinde hiçbir denetimi yoktur.	Ubuntu ve Azure Linux için gece 06:00 UTC civarında. Windows için aylık.
SecurityPatch	AKS tarafından test edildi, tam olarak yönetildi ve güvenli dağıtım uygulamalarıyla uygulandı. Daha fazla bilgi için Bkz. Azure'da Kurallı iş yüklerinin artırılmış güvenlik ve dayanıklılığı.	Hafta -lık.
NodeImage	AKS	Hafta -lık.

Not

Windows güvenlik güncelleştirmeleri aylık olarak yayınlanırken, kanalın Unmanaged kullanılması bu güncelleştirmeleri Windows düğümlerine otomatik olarak uygulamaz. Kanalı seçersenizUnmanaged, güvenlik düzeltme eklerini düzgün bir şekilde uygulamak için kured gibi bir araç kullanarak yeniden başlatma işlemini yönetmeniz gerekir.

SecurityPatch kanal gereksinimleri

Kanalı kullanmak SecurityPatch için kümenizin şu gereksinimleri desteklemesi gerekir:

• API sürümünü veya sonraki bir sürümünü 11-02-preview kullanıyor olmalıdır
• Azure CLI kullanılıyorsa CLI aks-preview uzantısı sürümü 0.5.166 veya üstü yüklenmelidir
• Özellik NodeOsUpgradeChannelPreview bayrağı aboneliğinizde etkinleştirilmelidir

NodeOsUpgradeChannelPreview'ı kaydetme

NodeOsUpgradeChannelPreview Aşağıdaki örnekte gösterildiği gibi az feature register komutunu kullanarak özellik bayrağını kaydedin:

az feature register --namespace "Microsoft.ContainerService" --name "NodeOsUpgradeChannelPreview"

Durumun Kayıtlı olarak gösterilmesi birkaç dakika sürer. az feature show komutunu kullanarak kayıt durumunu doğrulayın:

az feature show --namespace "Microsoft.ContainerService" --name "NodeOsUpgradeChannelPreview"

Durum Kayıtlı olarak gösterildiğinde az provider register komutunu kullanarak Microsoft.ContainerService kaynak sağlayıcısının kaydını yenileyin:

az provider register --namespace Microsoft.ContainerService

Düğüm kanalıyla ilgili bilinen hatalar

• Şu anda, küme otomatik yükseltme kanalını olarak node-imageayarladığınızda, düğüm işletim sistemi otomatik yükseltme kanalını da otomatik olarak olarak olarak NodeImageayarlar. Küme otomatik yükseltme kanalınız ise düğüm işletim sistemi otomatik yükseltme kanalı node-imagedeğerini değiştiremezsiniz. Düğüm işletim sistemi otomatik yükseltme kanalı değerini ayarlamak için, küme otomatik yükseltme kanalı değerinin olup olmadığını node-imagedenetleyin.

• Kanal SecurityPatch , Windows işletim sistemi düğüm havuzlarında desteklenmez.

Not

Varsayılan olarak, veya sonraki bir API sürümüyle 06-01-2022 oluşturulan tüm yeni kümeler, düğüm işletim sistemi otomatik yükseltme kanalı değerini olarak NodeImageayarlar. Api sürümünden 06-01-2022 önceki bir API sürümüyle oluşturulan tüm mevcut kümelerin düğüm işletim sistemi otomatik yükseltme kanalı değeri varsayılan olarak olarak ayarlanır None .

Düğüm işletim sistemi planlı bakım pencereleri

Düğüm işletim sistemi otomatik yükseltmesi için planlı bakım, belirtilen bakım pencerenizde başlar.

Not

Düzgün işlevsellik sağlamak için dört saat veya daha fazla bakım penceresi kullanın.

Planlı Bakım hakkında daha fazla bilgi için bkz . Azure Kubernetes Service (AKS) kümenizin bakım pencerelerini zamanlamak için Planlı Bakımı kullanma.

Düğüm işletim sistemi otomatik yükseltmeleri hakkında SSS

• Bir kümedeki geçerli nodeOsUpgradeChannel değerini nasıl denetleyebilirim?

az aks show komutunu çalıştırın ve "autoUpgradeProfile" öğesini denetleerek değerinin nodeOsUpgradeChannel hangi değere ayarlandığını belirleyin:

az aks show --resource-group myResourceGroup --name myAKSCluster --query "autoUpgradeProfile"

• Düğüm işletim sistemi otomatik yükseltmelerinin durumunu nasıl izleyebilirim?

Düğüm işletim sistemi otomatik yükseltmelerinizin durumunu görüntülemek için kümenizdeki etkinlik günlüklerini arayın. Aks kümesini yükseltme bölümünde belirtildiği gibi yükseltmeyle ilgili belirli olayları da arayabilirsiniz. AKS ayrıca yükseltmeyle ilgili Event Grid olaylarını da yayar. Daha fazla bilgi edinmek için bkz . Event Grid kaynağı olarak AKS.

• Küme otomatik yükseltme kanalım olarak ayarlandıysa node-image düğüm işletim sistemi otomatik yükseltme kanalı değerini değiştirebilir miyim?

Hayır Şu anda, küme otomatik yükseltme kanalını olarak node-imageayarladığınızda, düğüm işletim sistemi otomatik yükseltme kanalını da otomatik olarak olarak olarak NodeImageayarlar. Küme otomatik yükseltme kanalınız ise düğüm işletim sistemi otomatik yükseltme kanalı node-imagedeğerini değiştiremezsiniz. Düğüm işletim sistemi otomatik yükseltme kanalı değerlerini değiştirebilmek için, küme otomatik yükseltme kanalının olmadığından node-imageemin olun.

• SecurityPatch Kanal üzerinden Unmanaged neden önerilir?

Kanalda Unmanaged , GÜVENLIK güncelleştirmelerinin nasıl ve ne zaman teslim edildiğinde AKS'nin denetimi yoktur. ile SecurityPatch, güvenlik güncelleştirmeleri tamamen test edilir ve güvenli dağıtım uygulamalarını izler. SecurityPatch ayrıca bakım pencerelerine de saygı gösterir. Daha fazla ayrıntı için bkz . Azure'da Kurallı iş yüklerinin artırılmış güvenlik ve dayanıklılığı.

• Nasıl yaparım? veya yükseltmenin düğümüme uygulanacağını SecurityPatchNodeImage biliyor musunuz?

Düğüm etiketlerini almak için aşağıdaki komutu çalıştırın:

kubectl get nodes --show-labels

Döndürülen etiketler arasında aşağıdaki çıkışa benzer bir satır görmeniz gerekir:

kubernetes.azure.com/node-image-version=AKSUbuntu-2204gen2containerd-202311.07.0

Burada, temel düğüm görüntü sürümü şeklindedir AKSUbuntu-2204gen2containerd. Varsa, güvenlik düzeltme eki sürümü genellikle aşağıdaki gibidir. Yukarıdaki örnekte, şeklindedir 202311.07.0.

Aynı ayrıntılar Azure portalında düğüm etiketi görünümü altında da aranmalıdır:

Sonraki adımlar

Yükseltme en iyi yöntemleri ve diğer önemli noktalar hakkında ayrıntılı bilgi için bkz . AKS düzeltme eki ve yükseltme kılavuzu.