düğüm işletim sistemi görüntülerini otomatik olarak yükselt

Dağıtma ve Keşfetme

AKS, zamanında düğüm düzeyinde işletim sistemi güvenlik güncelleştirmelerine ayrılmış birden çok otomatik sürüm kanalı sağlar. Bu kanal, küme düzeyi Kubernetes sürüm yükseltmelerinden farklıdır ve yerini alır.

Düğüm işletim sistemi otomatik güncellemesi ve küme otomatik güncellemesi arasındaki etkileşimler

Düğüm düzeyinde işletim sistemi güvenlik güncelleştirmeleri, Kubernetes düzeltme ekinden veya ikincil sürüm güncelleştirmelerinden daha hızlı bir şekilde yayınlanır. Düğüm işletim sistemi otomatik sürüm kanalı size esneklik sağlar ve düğüm düzeyinde işletim sistemi güvenlik güncelleştirmeleri için özelleştirilmiş bir strateji sağlar. Ardından, küme düzeyinde Kubernetes sürümü otomatik güncellemeleri için ayrı bir plan seçebilirsiniz. En iyisi hem küme düzeyinde otomatik sürümler hem de düğüm işletim sistemi otomatik sürüm kanalını birlikte kullanmaktır. Zamanlama, küme otomatik güncelleştirme kanalı ve - düğüm işletim sistemi otomatik sürüm kanalı için iki ayrı aksManagedAutoUpgradeScheduleaksManagedNodeOSUpgradeSchedule uygulanarak ince ayar yapılabilir.

İşletim sistemi düğüm görüntüsü yükseltmeleri için kanallar

Seçilen kanal, yükseltmelerin zamanlamasını belirler. Düğüm işletim sistemi otomatik yükseltme kanallarında değişiklik yaparken, değişikliklerin uygulanması için 24 saate kadar izin verin.

Not

• Bir kanaldan başka bir kanala geçtikten sonra, yeniden görüntü oluşturma tetiklenir ve bu da aşamalı düğümlere yol açar.
• Düğüm işletim sistemi görüntüsü otomatik yükseltme, kümenin Kubernetes sürümünü etkilemez. API 2023-06-01 sürümünden başlayarak, oluşturulan tüm yeni kümeler için varsayılan değerdir NodeImage.

Aşağıdaki yükseltme kanalları kullanılabilir. Şu seçeneklerden birini seçebilirsiniz:

Kanal	Açıklama	İşletim sistemine özgü davranış
None	Düğümlerinizde güvenlik güncelleştirmeleri otomatik olarak uygulanmaz. Bu, güvenlik güncelleştirmelerinizden yalnızca sizin sorumlu olduğunuz anlamına gelir.	Yok
Unmanaged	İşletim sistemi güncelleştirmeleri, işletim sistemi yerleşik düzeltme eki uygulama altyapısı aracılığıyla otomatik olarak uygulanır. Yeni ayrılan makineler başlangıçta yama uygulanmamış. İşletim sisteminin altyapısı bir noktada bunlara düzeltme eki ekler.	Ubuntu ve Azure Linux (CPU düğüm havuzları), katılımsız yükseltme/dnf-automatic aracılığıyla güvenlik düzeltme eklerini günde yaklaşık bir kez 06:00 UTC civarında uygular. Windows otomatik olarak güvenlik düzeltme ekleri uygulamaz, bu nedenle bu seçenek ile Noneeşdeğer şekilde davranır. Kured gibi bir araç kullanarak yeniden başlatma işlemini yönetmeniz gerekir.
SecurityPatch	AKS tarafından test edilen, tam olarak yönetilen ve güvenli dağıtım uygulamalarıyla uygulanan işletim sistemi güvenlik düzeltme ekleri. AKS, düğümün sanal sabit diskini (VHD) "yalnızca güvenlik" etiketli görüntü bakımcısından gelen yamalarla düzenli olarak güncelleştirir. Düğümlere güvenlik düzeltme ekleri uygulandığında kesintiler olabilir. Ancak AKS, kesintileri yalnızca belirli çekirdek güvenlik paketleri gibi gerektiğinde düğümlerinizi yeniden görüntüleyerek sınırlandırıyor. Düzeltme ekleri uygulandığında VHD güncellenir ve mevcut makineler bu VHD'ye yükseltilir, bakım pencereleri ve dalgalanma ayarlarına uyulacak şekilde yapılandırılır. AKS düğümleri yeniden boyutlandırmanın gerekli olmadığına karar verirse, podları boşaltmadan düğümlere canlı düzeltme eki uygular ve VHD güncelleştirmesi gerçekleştirmez. Bu seçenek, VHD'leri düğüm kaynak grubunuzda barındırmanın ek maliyetini doğurabilir. Bu kanalı kullanırsanız, Linux katılımsız yükseltmeleri varsayılan olarak devre dışı bırakılır.	Azure Linux, GPU özellikli VM'lerde bu kanalı desteklemez. SecurityPatch , ikincil Kubernetes sürümü hala desteklendiği sürece kullanım dışı bırakılan kubernetes düzeltme eki sürümlerinde çalışır.
NodeImage	AKS, düğümleri haftalık bir tempoda güvenlik düzeltmeleri ve hata düzeltmeleri içeren yeni düzeltme eki uygulanmış bir VHD ile güncelleştirir. Yeni VHD güncelleştirmesi bakım pencerelerini ve dalgalanma ayarlarını takip ederek kesintiye neden oluyor. Bu seçenek seçildiğinde ek VHD maliyeti tahakkuk ettirilmemiştir. Bu kanalı kullanırsanız, Linux katılımsız yükseltmeleri varsayılan olarak devre dışı bırakılır. Küme k8s ikincil sürümü hala destekte olduğu sürece düğüm görüntüsü yükseltmeleri desteklenir. Düğüm görüntüleri AKS tarafından test edilir, tam olarak yönetilir ve güvenli dağıtım uygulamalarıyla uygulanır.

Ne seçmelisiniz - SecurityPatch Kanalı mı yoksa NodeImage Kanalı mı?

veya SecurityPatch kanalları arasında NodeImage seçim yapmanız gereken iki önemli nokta vardır.

Mülkiyet	NodeImage Kanalı	SecurityPatch Kanalı	Önerilen Kanal
Speed of shipping	Yeni bir VHD için tipik derleme, test, yayın ve dağıtım zaman çizelgeleri, güvenli dağıtım uygulamalarından sonra yaklaşık 2 hafta sürebilir. CVE'ler söz konusu olduğunda, hızlandırılmış dağıtımlar vaka temelinde gerçekleşebilir. Yeni bir VHD'nin bir bölgeye tam olarak ne zaman ulaştığı, sürüm izleyicisi aracılığıyla izlenebilir.	SecurityPatch sürümleri, NodeImage ile karşılaştırıldığında, güvenli dağıtım uygulamalarıyla bile nispeten daha hızlı yayınlanmaktadır. SecurityPatch, Linux ortamlarında "Canlı yama" avantajına sahiptir, burada yama, seçmeli 'yeniden görüntüleme'ye yol açar ve her yama uygulandığında yeniden görüntüleme yapılmaz. Yeniden görüntüleme, bakım pencereleri tarafından denetlenir.	SecurityPatch
Bugfixes	Güvenlik düzeltmelerine ek olarak hata düzeltmeleri de taşır.	Yalnızca güvenlik düzeltmelerini kesinlikle taşır.	NodeImage

Yeni bir kümede düğüm işletim sistemi için otomatik yükseltme kanalını ayarlama.

Azure CLI

• Yeni bir kümede az aks create komutunu --node-os-upgrade-channel parametresiyle kullanarak düğüm işletim sistemi otomatik sürüm kanalını ayarlayın. Aşağıdaki örnek, düğüm işletim sistemi otomatik yükseltme kanalını SecurityPatch olarak ayarlar.

export RANDOM_SUFFIX=$(openssl rand -hex 3)
export RESOURCE_GROUP="myResourceGroup$RANDOM_SUFFIX"
export AKS_CLUSTER="myAKSCluster$RANDOM_SUFFIX"
az aks create \
    --resource-group $RESOURCE_GROUP \
    --name $AKS_CLUSTER \
    --node-os-upgrade-channel SecurityPatch \
    --generate-ssh-keys

Azure portalı

1. Azure portalında Kaynak

2. Temel Bilgiler sekmesindeki Küme ayrıntıları'nın altında Düğüm güvenlik kanalı türü açılan listesinden istediğiniz kanal türünü seçin.

   

3. Güvenlik kanalı zamanlayıcı'yı seçin ve Planlı Bakım özelliğini kullanarak istediğiniz bakım penceresini seçin. Her hafta Pazar günü (önerilen) varsayılan seçeneği belirlemenizi öneririz.

   

4. Kümeyi oluşturmak için kalan adımları tamamlayın.

Mevcut bir kümede düğüm işletim sistemi otomatik güncelleme kanalını ayarlama

Azure CLI

• parametresiyle komutunu kullanarak düğüm işletim sistemi otomatik sürüm kanalını mevcut bir kümede az aks update--node-os-upgrade-channel ayarlayın. Aşağıdaki örnek, düğüm işletim sistemi otomatik yükseltme kanalını SecurityPatch olarak ayarlar.

az aks update --resource-group $RESOURCE_GROUP --name $AKS_CLUSTER --node-os-upgrade-channel SecurityPatch

Sonuçlar:

{
  "autoUpgradeProfile": {
      "nodeOsUpgradeChannel": "SecurityPatch"
  }
}

Azure portalı

1. Azure portalında AKS kümenize gidin.

2. Ayarlar bölümünde Küme yapılandırması'nı seçin.

3. Güvenlik güncelleştirmeleri'nin altında Düğüm güvenlik kanalı türü açılan listesinden istediğiniz kanal türünü seçin.

   

4. Güvenlik kanalı zamanlayıcısı için Zamanlama ekle'yi seçin.

5. Bakım zamanlaması ekle sayfasında, Planlı Bakım özelliğini kullanarak aşağıdaki bakım penceresi ayarlarını yapılandırın:

   • Tekrarlar: Bakım penceresi için istenen sıklığı seçin. Haftalık'ı seçmenizi öneririz.
   • Sıklık: Bakım penceresi için haftanın istenen gününü seçin. Pazar'ı seçmenizi öneririz.
   • Bakım başlangıç tarihi: Bakım penceresi için istenen başlangıç tarihini seçin.
   • Bakım başlangıç zamanı: Bakım penceresi için istediğiniz başlangıç saatini seçin.
   • UTC uzaklığı: Bakım penceresi için istenen UTC uzaklığını seçin. Ayarlanmadıysa, varsayılan değer +00:00'dır.

   

6. Kaydet>Uygula'yı seçin.

Sahipliği ve zamanlamayı güncelleştirme

Varsayılan tempo, planlı bakım penceresi uygulanmadığını gösterir.

Kanal	Güncelleştirme Sahipliği	Varsayılan tempo
Unmanaged	İşletim sistemi tabanlı güvenlik güncelleştirmeleri. AKS'nin bu güncelleştirmeler üzerinde hiçbir denetimi yoktur.	Ubuntu ve Azure Linux için gece 06:00 UTC civarında. Windows için aylık.
SecurityPatch	AKS tarafından test edildi, tam olarak yönetildi ve güvenli dağıtım uygulamalarıyla uygulandı. Daha fazla bilgi için bkz Azure'da Canonical iş yüklerinin güvenliğinin ve dayanıklılığının artırılması.	Aks genellikle haftalık tempodan daha hızlı belirlenir.
NodeImage	AKS tarafından test edildi, tam olarak yönetildi ve güvenli dağıtım uygulamalarıyla uygulandı. Yayınlar hakkında daha fazla gerçek zamanlı bilgi için Yayın izleyicisinde AKS Düğüm Görüntüleri'ni arayın	Haftalık.

Not

Windows güvenlik güncelleştirmeleri aylık olarak yayınlanırken, kanalın Unmanaged kullanılması bu güncelleştirmeleri Windows düğümlerine otomatik olarak uygulamaz. Windows düğümleri için yeniden başlatma işlemini yönetmeniz gerekiyorsa Unmanaged kanalını seçin.

Node kanalı bilinen sınırlamalar

• Şu anda küme otomatik yükseltme kanalınınode-image olarak ayarladığınızda, düğüm işletim sistemi otomatik yükseltme kanalını da otomatik olarak NodeImage ayarlar. Küme otomatik yükseltme kanalınız node-image ise, düğüm işletim sistemi otomatik yükseltme kanal değerini değiştiremezsiniz. Düğüm işletim sistemi otomatik sürüm kanalı değerini ayarlamak için , küme otomatik sürüm kanal değerinin olup olmadığını node-imagedenetleyin.

• Kanal SecurityPatch , Windows işletim sistemi düğüm havuzlarında desteklenmez.

Not

SecurityPatch kanalı için CLI sürüm 2.61.0 veya üzerini kullanın.

Düğüm İşletim Sistemi planlı bakım zaman aralıkları

Düğüm işletim sistemi otomatik güncellendiğinde planlı bakım, sizin tarafınızdan belirlenen bakım zaman diliminde başlar.

Not

Düzgün işlevsellik sağlamak için dört saat veya daha fazla bakım penceresi kullanın.

Planlı Bakım hakkında daha fazla bilgi için bkz . Azure Kubernetes Service (AKS) kümenizin bakım pencerelerini zamanlamak için Planlı Bakımı kullanma.

Düğüm işletim sistemi otomatik sürüme düşürme hakkında SSS

Bir kümedeki geçerli nodeOsUpgradeChannel değerini nasıl denetleyebilirim?

az aks show komutunu çalıştırın ve "autoUpgradeProfile" öğesini denetleerek değerinin nodeOsUpgradeChannel hangi değere ayarlandığını belirleyin:

az aks show --resource-group $RESOURCE_GROUP --name $AKS_CLUSTER --query "autoUpgradeProfile"

Sonuçlar:

{
  "nodeOsUpgradeChannel": "SecurityPatch"
}

Düğüm işletim sistemi otomatik güncellemelerinin durumunu nasıl izleyebilirim?

Düğüm işletim sistemi otomatik yükseltmelerinizin durumunu görüntülemek için kümenizdeki etkinlik günlüklerini inceleyin. Aks kümesini yükseltme bölümünde belirtildiği gibi yükseltmeyle ilgili belirli olayları da arayabilirsiniz. AKS ayrıca yükseltmeyle ilgili Event Grid olaylarını da yayar. Daha fazla bilgi edinmek için AKS'i bir Olay Izgarası kaynağı olarak kullanma konusuna bakın.

Kümenin otomatik yükseltme kanalı node-image olarak ayarlandıysa, düğüm OS otomatik yükseltme kanalı değerini değiştirebilir miyim?

Hayır Şu anda küme otomatik yükseltme kanalınınode-image olarak ayarladığınızda, düğüm işletim sistemi otomatik yükseltme kanalını da otomatik olarak NodeImage ayarlar. Küme otomatik sürüm kanalınız node-image ise, düğüm işletim sistemi otomatik sürüm kanalı değerini değiştiremezsiniz. Düğüm işletim sistemi otomatik sürüm kanalı değerlerini değiştirebilmek için , küme otomatik sürüm kanalının olmadığından node-imageemin olun.

SecurityPatch, Unmanaged kanalına tercih edilme nedenidir?

Unmanaged kanalında, güvenlik güncellemelerinin nasıl ve ne zaman teslim edildiği konusunda AKS'nin denetimi yoktur. ile SecurityPatch, güvenlik güncelleştirmeleri tamamen test edilir ve güvenli dağıtım uygulamalarını izler. SecurityPatch ayrıca bakım pencerelerine de saygı gösterir. Daha fazla ayrıntı için Azure'daki Canonical iş yüklerinin artırılmış güvenliği ve dayanıklılığı konusuna bakın.

SecurityPatch düğümlerimin her zaman yeniden görüntülenmesine yol açıyor mu?

AKS, yalnızca bazı çekirdek paketlerinin tam olarak uygulanabilmesi için yeniden yükleme gerektirebileceği gibi kesinlikle gerekli olduğunda reimage işlemlerini sınırlar. SecurityPatch mümkün olduğunca kesintileri en aza indirmek için tasarlanmıştır. AKS, düğümlerin yeniden görüntülenmesinin gerekli olmadığına karar verirse, pod boşaltmadan düğümleri canlı olarak düzeltir ve bu gibi durumlarda VHD güncellemesi yapılmaz.

Neden SecurityPatch kanalı snapshot.ubuntu.com uç noktasına ulaşması gerekiyor?

Kanal SecurityPatch ile Linux küme düğümlerinin, ubuntu-snapshots-on-azure-ensuring-predictability-and-consistency-in-cloud-deployments bölümünde açıklanan ubuntu anlık görüntü hizmetinden gerekli güvenlik güncellemelerini ve düzeltme eklerini indirmesi gerekir.

Düğüme bir SecurityPatch veya NodeImage yükseltmesinin uygulanıp uygulanmadığını nasıl anlarım?

kubectl get nodes --show-labels Kümenizdeki düğümleri ve bunların etiketlerini listelemek için komutunu çalıştırın.

Döndürülen etiketler arasında aşağıdaki çıkışa benzer bir satır görmeniz gerekir:

kubernetes.azure.com/node-image-version=AKSUbuntu-2204gen2containerd-202410.27.0-2024.12.01

Burada, temel düğüm görüntü sürümü şeklindedir AKSUbuntu-2204gen2containerd-202410.27.0. Varsa, güvenlik düzeltme eki sürümü genellikle aşağıdaki gibidir. Yukarıdaki örnekte, şeklindedir 2024.12.01.

Aynı ayrıntılar Azure portalında düğüm etiketi görünümü altında da aranmalıdır:

Sonraki adımlar

Yükseltme en iyi yöntemleri ve diğer önemli noktalar hakkında ayrıntılı bilgi için bkz . AKS düzeltme eki ve yükseltme kılavuzu.