AKS ile ilgili sık sorulan sorular

AKS, Çalışma Süresi SLA özelliğiyle Standart fiyatlandırma katmanında SLA garantileri sağlar.

Platform desteği, desteklenmeyen "N-3" sürüm kümeleri için azaltılmış bir destek planıdır. Platform desteği yalnızca Azure altyapı desteğini içerir.

Daha fazla bilgi için platform destek ilkesine bakın.

Evet, AKS desteklenmeyen kümeler için otomatik yükseltmeler başlatır. n-3 sürümündeki bir küme (burada n desteklenen en son AKS GA ikincil sürümüdür) n-4'e düşmek üzereyken AKS, aks destek ilkesinde kalmak için kümeyi otomatik olarak n-2 sürümüne yükselter.

Daha fazla bilgi için bkz . Desteklenen Kubernetes sürümleri, Planlı bakım pencereleri ve Otomatik yükseltmeler.

Evet, AKS Windows Server kapsayıcılarını destekler. Daha fazla bilgi için bkz. AKS'de Windows Server hakkında SSS.

AKS aracı düğümleri standart Azure sanal makineleri olarak faturalandırılır. AKS'de kullandığınız VM boyutu için Azure rezervasyonları satın aldıysanız bu indirimler otomatik olarak uygulanır.

Hayır, AKS kümenizi kiracılar arasında taşımak şu anda desteklenmiyor.

Hayır, AKS kümenizi abonelikler arasında taşıma işlemi şu anda desteklenmiyor.

Hayır, AKS kümenizi ve ilişkili kaynaklarını taşıma veya yeniden adlandırma desteklenmez.

Hayır, kümenizi sildikten sonra geri yükleyemezsiniz. Kümenizi sildiğinizde düğüm kaynak grubu ve tüm kaynakları da silinir.

Kaynaklarınızdan herhangi birini tutmak istiyorsanız, kümenizi silmeden önce bunları başka bir kaynak grubuna taşıyın. Yanlışlıkla silmelere karşı koruma sağlamak istiyorsanız, Düğüm kaynak grubu kilitlemesini kullanarak küme kaynaklarınızı barındıran AKS yönetilen kaynak grubunu kilitleyebilirsiniz.

Çalışan bir AKS kümesini tamamen durdurabilir veya tüm veya belirli User düğüm havuzlarını sıfıra ölçeklendirin veya otomatik olarak ölçeklendirin.

Sistem düğümü havuzlarını doğrudan sıfıra ölçeklendiremezsiniz.

Hayır, Sanal Makine Ölçek Kümesi API'lerini kullanan ölçeklendirme işlemleri desteklenmez. AKS API'lerini (az aks scale) kullanabilirsiniz.

Hayır, Sanal Makine Ölçek Kümesi API'lerini kullanan ölçeklendirme işlemleri desteklenmez. Aks API'sini kullanarak sistem dışı düğüm havuzlarını sıfıra ölçeklendirebilir veya kümenizi durdurabilirsiniz.

Hayır, bu desteklenen bir yapılandırma değildir. Bunun yerine kümenizi durdurun.

Hayır, Sanal Makine Ölçek Kümesi API'lerini kullanan ölçeklendirme işlemleri desteklenmez. AKS API'lerini (az aks scale) kullanabilirsiniz. AKS, Sanal Makine Ölçek Kümeleri, sanal ağlar ve yönetilen diskler dahil olmak üzere birçok Azure altyapısı kaynağını kullanır. Bu tümleştirmeler, AKS tarafından sağlanan yönetilen Kubernetes ortamında Azure platformunun birçok temel özelliğini uygulamanızı sağlar. Örneğin, çoğu Azure sanal makine türü doğrudan AKS ile kullanılabilir ve Azure Rezervasyonları bu kaynaklarda otomatik olarak indirim almak için kullanılabilir.

Bu mimariyi etkinleştirmek için her AKS dağıtımı iki kaynak grubuna yayılmıştır:

1. İlk kaynak grubunu oluşturursunuz. Bu grup yalnızca Kubernetes hizmet kaynağını içerir. AKS kaynak sağlayıcısı dağıtım sırasında ikinci kaynak grubunu otomatik olarak oluşturur. İkinci kaynak grubuna örnek olarak MC_myResourceGroup_myAKSCluster_eastus. Bu ikinci kaynak grubunun adını belirtme hakkında bilgi için sonraki bölüme bakın.
2. Düğüm kaynak grubu olarak bilinen ikinci kaynak grubu, kümeyle ilişkili tüm altyapı kaynaklarını içerir. Bu kaynaklar Kubernetes düğüm VM'lerini, sanal ağı ve depolamayı içerir. Varsayılan olarak, düğüm kaynak grubunun MC_myResourceGroup_myAKSCluster_eastus gibi bir adı vardır. Kümeyi her sildiğinizde AKS düğüm kaynak grubunu otomatik olarak siler. Bu kaynak grubunu yalnızca kümenin yaşam döngüsünü paylaşan kaynaklar için kullanmalısınız.

Varsayılan olarak, AKS düğüm kaynak grubunu MC_resourcegroupname_clustername_location adlandırabilir, ancak kendi adınızı sağlayabilirsiniz.

Kendi kaynak grubu adınızı belirtmek için aks-preview Azure CLI uzantısı sürüm 0.3.2 veya üzerini yükleyin. [az aks create][az-aks-create] komutunu kullanarak bir AKS kümesi oluşturduğunuzda parametresini --node-resource-group kullanın ve kaynak grubu için bir ad belirtin. AKS kümesi dağıtmak için Azure Resource Manager şablonu kullanıyorsanız nodeResourceGroup özelliğini kullanarak kaynak grubu adını tanımlayabilirsiniz.

• Azure kaynak sağlayıcısı otomatik olarak ikincil kaynak grubunu oluşturur.
• Özel kaynak grubu adını yalnızca kümeyi oluştururken belirtebilirsiniz.

Düğüm kaynak grubuyla çalışırken şunları yapamazsınız:

• Düğüm kaynak grubu için mevcut bir kaynak grubunu belirtin.
• Düğüm kaynak grubu için farklı bir abonelik belirtin.
• Küme oluşturulduktan sonra düğüm kaynak grubu adını değiştirin.
• Düğüm kaynak grubu içindeki yönetilen kaynakların adlarını belirtin.
• Düğüm kaynak grubu içindeki yönetilen kaynakların Azure tarafından oluşturulan etiketlerini değiştirin veya silin.

Düğüm kaynak grubundaki Azure tarafından oluşturulan etiketleri ve diğer kaynak özelliklerini değiştirir veya silerseniz beklenmeyen ölçeklendirme ve yükseltme hataları alabilirsiniz. AKS, son kullanıcılar tarafından oluşturulan özel etiketleri oluşturmanıza ve değiştirmenize olanak tanır ve düğüm havuzu oluştururken bu etiketleri ekleyebilirsiniz. Örneğin, bir iş birimi veya maliyet merkezi atamak için özel etiketler oluşturmak veya değiştirmek isteyebilirsiniz. Bir diğer seçenek de yönetilen kaynak grubunda kapsamı olan Azure İlkeleri oluşturmaktır.

Azure tarafından oluşturulan etiketler ilgili Azure Hizmetleri için oluşturulur ve her zaman izin verilmelidir. AKS için ve k8s-azure etiketleri vardıraks-managed. AKS kümesindeki düğüm kaynak grubu altındaki kaynaklarda Azure tarafından oluşturulan etiketleri değiştirmek, hizmet düzeyi hedefini (SLO) bozan desteklenmeyen bir eylemdir.

Kullanılabilir bölgelerin tam listesi için bkz . AKS bölgeleri ve kullanılabilirlik.

Hayır, AKS kümeleri bölgesel kaynaklardır ve bölgelere yayılamaz. Birden çok bölge içeren bir mimari oluşturma yönergeleri için bkz . iş sürekliliği ve olağanüstü durum kurtarma için en iyi yöntemler.

Evet, aks kümesini destekleyen bölgelerdeki bir veya daha fazla kullanılabilirlik alanına dağıtabilirsiniz.

Evet, birden çok düğüm havuzu oluşturarak AKS kümenizde farklı sanal makine boyutları kullanabilirsiniz.

AKS, kapsayıcı görüntüsü boyutuna bir sınır ayarlamaz. Ancak, görüntü ne kadar büyük olursa bellek talebinin o kadar yüksek olduğunu anlamak önemlidir. Daha büyük bir boyut, kaynak sınırlarını veya çalışan düğümlerinin genel kullanılabilir belleğini aşabilir. Varsayılan olarak, AKS kümesi için VM boyutu Standard_DS2_v2 belleği 7 GiB olarak ayarlanır.

Terabayt (TB) aralığında olduğu gibi bir kapsayıcı görüntüsü aşırı büyük olduğunda, kubelet disk alanı olmaması nedeniyle kapsayıcı kayıt defterinizden bir düğüme çekemeyebilir.

Windows Server düğümleri için Windows Update otomatik olarak çalışmaz ve en son güncelleştirmeleri uygulamaz. Windows Update yayın döngüsü ve kendi doğrulama işleminiz etrafında düzenli bir zamanlamaya göre, aks kümenizdeki kümede ve Windows Server düğüm havuzlarında bir yükseltme gerçekleştirmeniz gerekir. Bu yükseltme işlemi, en son Windows Server görüntüsünü ve düzeltme eklerini çalıştıran düğümler oluşturur ve ardından eski düğümleri kaldırır. Bu işlem hakkında daha fazla bilgi için bkz . AKS'de düğüm havuzunu yükseltme.

Aşağıdaki görüntülerin "Kök Olarak Çalıştır" işlevsel gereksinimleri vardır ve tüm ilkeler için özel durumlar dosyalanmalıdır:

• mcr.microsoft.com/oss/kubernetes/coredns
• mcr.microsoft.com/azuremonitor/containerinsights/ciprod
• mcr.microsoft.com/oss/calico/node
• mcr.microsoft.com/oss/kubernetes-csi/azuredisk-csi

Evet, API sunucusuna erişimi sınırlamak için iki seçenek vardır:

• API sunucusu için genel bir uç nokta korumak ancak erişimi bir dizi güvenilen IP aralığıyla kısıtlamak istiyorsanız API Server Yetkili IP Aralıkları'nı kullanın.
• API sunucusunu yalnızca sanal ağınızdan erişilebilir olacak şekilde sınırlamak istiyorsanız özel küme kullanın.

AKS, her hafta "satıcı düzeltmesi" olan CV'lere düzeltme eki ekler. Düzeltmesi olmayan CV'ler düzeltilmeden önce bir "satıcı düzeltmesi" bekliyor. AKS görüntüleri 30 gün içinde otomatik olarak güncelleştirilir. En son düzeltme eki uygulanmış görüntülerin ve işletim sistemi düzeltme eklerinin uygulandığından ve güncel olduğundan emin olmak için düzenli bir tempoda güncelleştirilmiş bir Düğüm Görüntüsü uygulamanızı öneririz. Bunu aşağıdaki yöntemlerden birini kullanarak yapabilirsiniz:

• El ile, Azure portalı veya Azure CLI aracılığıyla.
• AKS kümenizi yükselterek. Küme, cordon ve drain düğümlerini otomatik olarak yükseltir ve ardından en son Ubuntu görüntüsü ve yeni bir yama sürümü ya da küçük bir Kubernetes sürümüyle yeni bir düğümü çevrimiçi ortama getirir. Daha fazla bilgi edinmek için bkz. Bir AKS kümesini yükseltme.
• Düğüm görüntüsü yükseltmeyi kullanarak.

Microsoft, Kapsayıcılar için Microsoft Defender gibi hizmetler aracılığıyla iş yüklerinizin güvenliğini sağlamak için gerçekleştirebileceğiniz diğer eylemler için rehberlik sağlar. Aşağıdaki güvenlik tehdidi, aks ve Kubernetes ile ilgilidir ve bilmeniz gerekir:

• Yeni büyük ölçekli kampanya Kubeflow'ı hedefler (8 Haziran 2021).

Hayır, tüm veriler kümenin bölgesinde depolanır.

Geleneksel olarak podunuz kök olmayan bir kullanıcı olarak çalışıyorsa (bunu yapmalısınız), birimin Pod tarafından okunabilir ve yazılabilir olabilmesi için pod'un güvenlik bağlamı içinde bir fsGroup belirtmeniz gerekir. Bu gereksinim burada daha ayrıntılı olarak ele alınmıştır.

Ayarın fsGroup bir yan etkisi, bir birim her bağlandığında Kubernetes'in yinelemeli olması chown() ve chmod() birim içindeki tüm dosya ve dizinlerin (aşağıda belirtilen birkaç özel durumla birlikte) olmasıdır. Bu senaryo, birimin grup sahipliği istenen fsGroupile zaten eşleşse bile gerçekleşir. Çok sayıda küçük dosya içeren daha büyük birimler için pahalı olabilir ve bu da pod başlatmanın uzun sürmesine neden olabilir. Bu senaryo v1.20 öncesi bilinen bir sorundu ve geçici çözüm Pod çalıştırmasını kök olarak ayarlamaktır:

apiVersion: v1
kind: Pod
metadata:
  name: security-context-demo
spec:
  securityContext:
    runAsUser: 0
    fsGroup: 0

Sorun Kubernetes sürüm 1.20 ile giderilmiştir. Daha fazla bilgi için bkz . Kubernetes 1.20: Birim İzin Değişikliklerinin Ayrıntılı Denetimi.

AKS, api-server ve tek düğüm kubelet'lerinin ayrı sanal ağlarda bile iletişim kurmasını sağlamak için güvenli bir tünel iletişimi kullanır. Tünelin güvenliği mTLS şifrelemesi ile sağlanır. AKS tarafından kullanılan geçerli ana tünel, daha önce apiserver-network-proxy olarak bilinen Konnectivity'dir. Tüm ağ kurallarının Azure için gerekli ağ kurallarına ve FQDN'lere uygun olduğunu doğrulayın.

Evet, değişkeni küme içi hizmet IP'sinin yerine API sunucusunun etki alanı adına ayarlamak KUBERNETES_SERVICE_HOST için podlara ek açıklama kubernetes.azure.com/set-kube-service-host-fqdn ekleyebilirsiniz. Bu, küme çıkışınızın 7. katman güvenlik duvarı üzerinden yapıldığı durumlarda (örneğin, Uygulama Kuralları ile Azure Güvenlik Duvarı kullanırken) kullanışlıdır.

AKS, alt ağına Ağ Güvenlik Grupları (NSG) uygulamaz ve bu alt ağ ile ilişkili NSG'lerin hiçbirini değiştirmez. AKS yalnızca ağ arabirimleri NSG ayarlarını değiştirir. CNI kullanıyorsanız, NSG'lerdeki güvenlik kurallarının düğüm ve pod CIDR aralıkları arasında trafiğe izin vermesini de sağlamanız gerekir. Kubenet kullanıyorsanız, NSG'lerdeki güvenlik kurallarının düğüm ile pod CIDR arasında trafiğe izin vermesini de sağlamanız gerekir. Daha fazla bilgi için bkz . Ağ güvenlik grupları.

AKS düğümleri, localhost'tan zaman alan "chrony" hizmetini çalıştırır. Podlarda çalışan kapsayıcılar AKS düğümlerinden zaman alır. Bir kapsayıcının içinde başlatılan uygulamalar podun kapsayıcısından kullanım süresi.

Hayır, AKS yönetilen bir hizmettir ve IaaS kaynaklarının değiştirilmesi desteklenmez. Özel bileşenleri yüklemek için Kubernetes API'lerini ve mekanizmalarını kullanın. Örneğin, gerekli bileşenleri yüklemek için DaemonSets kullanın.

AKS aşağıdaki erişim denetleyicilerini destekler:

• NamespaceLifecycle
• LimitRanger
• ServiceAccount
• DefaultIngressClass
• DefaultStorageClass
• DefaultTolerationSeconds
• MutatingAdmissionWebhook
• ValidatingAdmissionWebhook
• ResourceQuota
• PodNodeSelector
• PodTolerationRestriction
• ExtendedResourceToleration

Şu anda AKS'deki erişim denetleyicileri listesini değiştiremezsiniz.

Evet, AKS'de erişim denetleyicisi web kancalarını kullanabilirsiniz. Denetim düzlemi etiketiyle işaretlenmiş iç AKS ad alanlarını dışlamanız önerilir. Örneğin:

namespaceSelector:
    matchExpressions:
    - key: control-plane
      operator: DoesNotExist

AKS, API sunucusu çıkışını güvenlik duvarıyla güvenlik duvarı oluşturur, böylece erişim denetleyicisi web kancalarınızın küme içinden erişilebilir olması gerekir.

Sistemin kararlılığını korumak ve özel erişim denetleyicilerinin kube-system içindeki iç hizmetleri etkilemesini önlemek için AKS ad alanı, kube-system ve AKS iç ad alanlarını otomatik olarak dışlayan bir Erişim Uygulayıcısına sahiptir. Bu hizmet, özel erişim denetleyicilerinin kube-system içinde çalışan hizmetleri etkilememesini sağlar.

Özel erişim web kancanızı desteklemek için kube-system üzerinde bir şey dağıtmak için kritik bir kullanım örneğiniz varsa (önerilmez), Kabul Uygulayıcısı'nın bunu yoksayması için aşağıdaki etiketi veya ek açıklamayı ekleyebilirsiniz.

Etiket: "admissions.enforcer/disabled": "true" veya Ek Açıklama: "admissions.enforcer/disabled": true

Gizli Dizi Deposu için Azure Key Vault Sağlayıcısı CSI Sürücüsü , Azure Key Vault'un AKS ile yerel tümleştirmesini sağlar.

FIPS özellikli düğümler artık Linux tabanlı düğüm havuzlarında desteklenmektedir. Daha fazla bilgi için bkz . FIPS özellikli düğüm havuzu ekleme.

Güvenlik düzeltme eki de dahil olmak üzere tüm düzeltme ekleri AKS kümesine otomatik olarak uygulanır. Birincil veya ikincil sürüm değişiklikleri (dağıtılan nesnelerinizde hataya neden olabilecek değişiklikler olabilir) gibi bir düzeltme ekinden daha büyük olan her şey, yeni bir sürüm varsa kümenizi güncelleştirdiğinizde güncelleştirilir. AKS sürüm notlarını ziyaret ederek yeni bir sürümün ne zaman kullanıma sunulduğuna ulaşabilirsiniz.

AKS Linux Uzantısı, Kubernetes çalışan düğümlerine izleme araçlarını yükleyen ve yapılandıran bir Azure VM uzantısıdır. Uzantı tüm yeni ve mevcut Linux düğümlerine yüklenir. Aşağıdaki izleme araçlarını yapılandırıyor:

• Düğüm veren: Sanal makineden donanım telemetrisi toplar ve bunu bir ölçüm uç noktası kullanarak kullanılabilir hale getirir. Ardından Prometheus gibi bir izleme aracı bu ölçümleri kazıyabiliyor.
• Düğüm-sorun algılayıcısı: Çeşitli düğüm sorunlarının küme yönetim yığınındaki yukarı akış katmanlarına görünür olmasını sağlar. Her düğümde çalışan, düğüm sorunlarını algılayan ve Olaylar ve NodeConditions kullanarak bunları kümenin API sunucusuna bildiren sistemli bir birimdir.
• ig: Linux ve Kubernetes sistemlerinde hata ayıklama ve gözlemleme için eBPF destekli açık kaynak çerçevesi. Kullanıcıların performans sorunlarının, kilitlenmelerin veya diğer anomalilerin nedenini belirlemesine olanak tanıyarak ilgili bilgileri toplamak için tasarlanmış bir araç (veya araç) kümesi sağlar. Özellikle, Kubernetes'ten bağımsız olması, kullanıcıların denetim düzlemi sorunlarının hatalarını ayıklamak için de bunu kullanmasına olanak tanır.

Bu araçlar, aşağıdakiler gibi düğüm durumuyla ilgili birçok sorunda gözlemlenebilirlik sağlamaya yardımcı olur:

• Altyapı daemon sorunları: NTP hizmeti çalışmıyor
• Donanım sorunları: Hatalı CPU, bellek veya disk
• Çekirdek sorunları: Çekirdek kilitlenmesi, bozuk dosya sistemi
• Kapsayıcı çalışma zamanı sorunları: Yanıt vermeyen çalışma zamanı daemon'ları

Uzantı, belgelenen AKS çıkış gereksinimlerini aşan URL'lere, IP adreslerine veya bağlantı noktalarına ek giden erişim gerektirmez. Azure'da özel izinler verilmesi gerekmez. Toplanan izleme verilerini göndermek üzere API sunucusuna bağlanmak için kubeconfig kullanır.

Çoğu küme, kullanıcı isteği üzerine silinir. Bazı durumlarda, özellikle de kendi Kaynak Grubunuzu getirdiğiniz veya çapraz RG görevleri gerçekleştirdiğiniz durumlarda silme işlemi daha uzun sürebilir, hatta başarısız olabilir. Silme işlemleriyle ilgili bir sorununuz varsa, RG üzerinde kilitleriniz olmadığını, RG dışındaki tüm kaynakların RG ile ilişkilendirildiğini vb. bir kez daha denetleyin.

Küme oluşturma ve güncelleştirme işlemleriyle ilgili sorunlarınız varsa AKS kümenizin VM'ler, yük dengeleyiciler, etiketler vb. kaynakları yönetmesini engelleyebilecek atanmış ilkeler veya hizmet kısıtlamaları olmadığından emin olun.

Yapabilirsiniz, ancak bunu önermiyoruz. Kümenin durumu bilinen ve iyi durumda olduğunda güncelleştirmeler gerçekleştirmelisiniz.

Hayır, yükseltmeden önce başarısız durumdaki veya kümeden başka bir şekilde düğümleri silin/kaldırın.

En yaygın olarak, kümeyle ilişkilendirilmiş bir veya daha fazla Ağ Güvenlik Grubunuz (NSG) hala kullanılıyorsa bu hata oluşur. Bunları kaldırın ve silmeyi yeniden deneyin.

Hizmet sorumlunuzun süresinin dolmadığından emin olun. Bkz. AKS hizmet sorumlusu ve AKS güncelleştirme kimlik bilgileri.

Hizmet sorumlunuzun süresinin dolmadığından emin olun. Bkz. AKS hizmet sorumlusu ve AKS güncelleştirme kimlik bilgileri.