Azure Kubernetes Service için destek ilkeleri

Bu makalede, Azure Kubernetes Service (AKS) için teknik destek ilkeleri ve sınırlamaları açıklanmaktadır. Bu ayrıca aracı düğüm yönetimi, yönetilen kontrol düzlemi bileşenleri, üçüncü taraf açık kaynak bileşenleri ve güvenlik veya yama yönetimini detaylandırır.

Hizmet güncelleştirmeleri ve sürümleri

• Sürüm bilgileri için bkz. AKS sürüm notları.
• Önizleme özellikleri hakkında bilgi için bkz. AKS yol haritası.

AKS'de yönetilen özellikler

AKS, Hizmet Olarak Altyapı (IaaS) ve Hizmet Olarak Platform (PaaS) birleşimidir. İşlem veya ağ bileşenleri gibi temel IaaS bulut bileşenleri, alt düzey denetimlere ve özelleştirme seçeneklerine erişmenizi sağlar. Buna karşılık AKS, kümeniz için ihtiyacınız olan yaygın yapılandırma ve özellikler kümesini sunan anahtar teslimi bir Kubernetes dağıtımı sağlar. AKS kullanıcısı olarak özelleştirme ve dağıtım seçenekleriniz sınırlıdır. Bunun karşılığında Kubernetes kümelerini doğrudan düşünmeniz veya yönetmeniz gerekmez.

AKS ile tam olarak yönetilen bir kontrol düzlemi elde edersiniz. Kontrol düzlemi, Kubernetes kümelerini çalıştırmak ve son kullanıcılara teslim etmek için ihtiyacınız olan tüm bileşenleri ve hizmetleri içerir. Microsoft tüm Kubernetes bileşenlerini korur ve çalıştırır.

Microsoft aşağıdaki bileşenleri kontrol düzlemi üzerinden yönetir ve izler:

• Kubelet veya Kubernetes API sunucuları.
• etcd veya hizmet kalitesi (QoS), ölçeklenebilirlik ve çalışma zamanı sağlayan uyumlu bir anahtar-değer deposu.
• kube-dns veya CoreDNS gibi DNS hizmetleri.
• BYOCNI kullanıldığı durumlar dışında Kubernetes ara sunucusu veya ağ.
• Kube-system ad alanında çalışan herhangi bir başka eklenti veya sistem bileşeni.

Aracı düğümleri gibi bazı bileşenler, AKS kümesinin korunmasına yardımcı olmanız gereken paylaşılan sorumluluğa sahiptir. Bir örnek vermek gerekirse, bir aracı düğümü işletim sistemi güvenlik düzeltme eki uygulamak için kullanıcı girdisi gereklidir.

Hizmetler, Microsoft ve AKS ekibinin dağıttığı, işletildiği ve hizmet kullanılabilirliği ile işlevselliğinden sorumlu olduğu anlamda yönetilir. Müşteriler bu yönetilen bileşenleri değiştiremez. Microsoft, tutarlı ve ölçeklenebilir bir kullanıcı deneyimi sağlamak için özelleştirmeyi sınırlar.

Paylaşılan sorumluluk

Bir küme oluşturulduğunda AKS'nin oluşturduğu Kubernetes aracı düğümlerini tanımlarsınız. İş yükleriniz bu düğümlerde yürütülür.

Aracı düğümleriniz özel kod yürüttüğü ve hassas verileri depoladığı için Microsoft Desteği bunlara yalnızca sınırlı bir şekilde erişebilir. Microsoft Desteği açık izniniz veya yardımınız olmadan bu düğümlerde oturum açamaz, komut yürütemez veya günlükleri görüntüleyemez.

IaaS API'lerinden herhangi biri kullanılarak doğrudan aracı düğümlerinde yapılan değişiklikler, kümeyi desteklenemez hale getirir. Aracı düğümlerine uygulanan tüm değişiklikler, Kubernetes'e özgü mekanizmaları kullanılarak yapılmalıdır.

Benzer şekilde, kümeye ve düğümlere etiketler ve etiketler gibi çeşitli meta veriler ekleyebilirsiniz; ancak, sistem tarafından oluşturulan meta verilerden herhangi birinin değiştirilmesi durumunda küme desteklenmez hale gelir.

AKS destek kapsamı

Aşağıdaki bölümlerde AKS teknik desteği için desteklenen ve desteklenmeyen senaryolar açıklanmaktadır.

Desteklenen senaryolar

Microsoft aşağıdaki örnekler için teknik destek sağlar:

• Api sunucusu gibi Kubernetes hizmetinin sağladığı ve desteklediği tüm Kubernetes bileşenlerine bağlantı.
• Kubernetes denetim düzlemi hizmetleri, API sunucusu, etcd, coreDNS gibi bileşenlerin yönetimi, çalışma süresi, QoS ve operasyonları.
• etcd veri deposu. Destek, olağanüstü durum planlaması ve küme durumu geri yükleme için her 30 dakikada bir tüm etcd verilerin otomatik, saydam yedeklerini içerir. Bu yedeklemeler doğrudan sizin veya başka birinin kullanımına sunulmaz. Veri güvenilirliği ve tutarlılığı sağlar. İsteğe bağlı geri alma veya geri yükleme özelliği olarak desteklenmez.
• Kubernetes için Azure bulut sağlayıcısı sürücüsündeki tümleştirme noktaları. Bunlar yük dengeleyiciler, kalıcı birimler veya ağ gibi diğer Azure hizmetleriyle tümleştirmeleri içerir (BYOCNI kullanımda olması dışında Kubernetes ve Azure CNI).
• Kubernetes API sunucusu, etcdve coreDNS gibi denetim düzlemi bileşenlerini özelleştirme hakkındaki sorular veya sorunlar.
• BYOCNI kullanımda olduğu durumlar dışında Azure CNI, kubenet veya diğer ağ erişimi ve işlevsellik sorunları gibi ağ ile ilgili sorunlar. Sorunlar ARASıNDA DNS çözümlemesi, paket kaybı, yönlendirme vb. olabilir. Microsoft çeşitli ağ senaryolarını destekler:
  • Kubenet veyahut Azure CNI, yönetilen VNET'leri veya özel (kendi getirdiğiniz) alt ağlarla kullanılır.
  • Diğer Azure hizmetlerine ve uygulamalarına bağlantı.
  • Microsoft tarafından yönetilen giriş denetleyicileri veya yük dengeleyici yapılandırmaları.
  • Ağ performansı ve gecikme süresi.
  • Microsoft yönetilen ağ ilkeleri bileşenleri ve işlevleri.

Microsoft/AKS tarafından gerçekleştirilen tüm küme eylemleri, rolü aks-service Microsoft Desteği hizmet kimliğine bağlayan yerleşik bir Kubernetes rolü aks-service-rolebinding ve yerleşik rol bağlama aks-support altında sizin onayınızla gerçekleştirilir. Bu rol AKS'nin küme sorunlarını gidermesine ve tanılamasına olanak tanır, ancak izinleri değiştiremez, rol veya rol bağlamaları ya da diğer yüksek ayrıcalıklı eylemler oluşturamaz. Rol erişimi yalnızca tam zamanında (JIT) erişime sahip aktif destek biletleri kapsamında etkinleştirilir.

Desteklenmeyen senaryolar

Microsoft aşağıdaki senaryolar için teknik destek sağlamaz:

• Kubernetes'i kullanma hakkındaki sorular. Örneğin, Microsoft Desteği özel giriş denetleyicileri oluşturma, uygulama iş yüklerini kullanma veya üçüncü taraf ya da açık kaynak yazılım paketleri veya araçları uygulama hakkında öneri sağlamaz.

  Microsoft Desteği AKS kümesi işlevselliği, özelleştirme ve ayarlama (örneğin, Kubernetes işlemleri sorunları ve yordamları) hakkında önerilerde bulunabilir.

• Kubernetes denetim düzleminin bir parçası olarak sağlanmayan veya AKS kümeleri ile dağıtılan üçüncü taraf açık kaynak projeleri. Bu projeler Arasında Istio, Helm, Envoy veya diğerleri olabilir.

  Microsoft Helm gibi üçüncü taraf açık kaynak projeleri için en iyi desteği sağlayabilir. Microsoft, üçüncü taraf açık kaynak aracının Kubernetes Azure bulut sağlayıcısı veya AKS'ye özgü diğer hatalarla tümleştiği durumlarda, Microsoft belgelerindeki örnekleri ve uygulamaları destekler.

• Üçüncü taraf kapalı kaynak yazılım. Bu yazılım, güvenlik tarama araçlarını ve ağ cihazlarını veya yazılımları içerebilir.

• AKS kümesinde çalışan üçüncü taraf uygulamaların veya araçların uygulamaya özgü kodu veya davranışını yapılandırma veya sorunlarını giderme. Bu, AKS platformunun kendisiyle ilgili olmayan uygulama dağıtım sorunlarını içerir.

• AKS üzerinde çalışan uygulamalar için sertifikaları verme, yenileme veya yönetme.

• AKS belgelerinde listelenenler dışındaki ağ özelleştirmeleri. Örneğin Microsoft Desteği, VPN'ler veya güvenlik duvarları gibi AKS kümesi için outbound trafiği sağlamak amacıyla cihazları veya sanal gereçleri yapılandıramaz.

  Microsoft Desteği, Azure Güvenlik Duvarı için gereken configuration hakkında öneride bulunabilir ancak diğer üçüncü taraf cihazlar için öneride bulunamayabilir.

• BYOCNI modunda kullanılan özel veya üçüncü taraf CNI eklentileri.

• Microsoft tarafından yönetilmeyen ağ ilkelerini yapılandırma veya sorun giderme. Ağ ilkelerinin kullanılması destekleniyor olsa da Microsoft Desteği özel ağ ilkesi yapılandırmalarından kaynaklanan sorunları araştıramaz.

• nginx, kong, traefik vb. gibi Microsoft yönetilmeyen giriş denetleyicilerini yapılandırma veya sorunlarını giderme. Bu, Kubernetes sürüm yükseltmesi sonrasında çalışmaya devam eden bir giriş denetleyicisi gibi AKS'ye özgü işlemlerden sonra ortaya çıkan işlevsellik sorunlarını gidermeyi içerir. Bu tür sorunlar, giriş denetleyicisi sürümü ile yeni Kubernetes sürümü arasındaki uyumsuzluklardan kaynaklanıyor olabilir. Tam olarak desteklenen bir seçenek için Microsoft yönetilen giriş denetleyicisi seçeneğini kullanmayı göz önünde bulundurun.

• Düğüm yapılandırmalarını özelleştirmek için kullanılan DaemonSet (betikler dahil) yapılandırma veya sorun giderme. DaemonSet kullanmak, configuration dosya parametreleri yetersiz olduğunda küme aracısı düğümlerine üçüncü taraf yazılımları ayarlamak, değiştirmek veya yüklemek için önerilen yaklaşım olsa da Microsoft Desteği DaemonSet'da kullanılan özel betiklerden kaynaklanan sorunları özel doğası nedeniyle gideremez.

• Hazır ve proaktif senaryolar. Microsoft Desteği, etkin sorunların zamanında ve profesyonel bir şekilde çözülmesine yardımcı olmak için reaktif destek sağlar. Ancak operasyonel riskleri ortadan kaldırmanıza, kullanılabilirliği artırmanıza ve performansı iyileştirmenize yardımcı olacak bekleme veya proaktif destek kapsamına girilmiyor. Uygun müşterilerAzure Olay Yönetimi hizmeti için aday gösterilmek üzere hesap ekiplerine başvurabilir. Etkinlik sırasında proaktif çözüm riski değerlendirmesi ve kapsamı içeren Microsoft destek mühendisleri tarafından sunulan ücretli bir hizmettir.

• Satıcı düzeltmesi 30 günden daha eski olmayan güvenlik açıkları/CVE'ler. Güncelleştirilmiş VHD'yi çalıştırdığınız sürece, 30 günden eski bir satıcı düzeltmesiyle kapsayıcı görüntüsü güvenlik açıklarını/CVE'leri çalıştırmamanız gerekir. VHD'yi güncelleştirmek ve Microsoft destek için filtrelenmiş listeler sağlamak müşteri sorumluluğundadır. VHD'nizi güncelleştirdikten sonra, güvenlik açıkları veya CVE'ler raporunu filtrelemek ve 30 günden eski bir satıcı düzeltmesi olan yalnızca güvenlik açıkları veya CVE'lerle ilgili bir liste sağlamak müşterinin sorumluluğundadır. Microsoft destek, böyle bir durumda, 30 günden uzun bir süre önce yayımlanan bir satıcı düzeltmesiyle, dahili çalışmalar yürüterek ilgili bileşenleri ele almayı sağlar. Ayrıca Microsoft yalnızca Microsoft yönetilen bileşenler için güvenlik açığı/CVE ile ilgili destek sağlar. Örneğin, AKS düğüm görüntüleri ve uygulamalar için yönetilen kapsayıcı görüntüleri, küme oluşturulurken veya yönetilen bir eklenti yüklendiğinde dağıtılır. Azure Kubernetes Service (AKS) için güvenlik açığı yönetimi hakkında daha fazla bilgi için Azure Kubernetes Hizmeti (AKS) için Güvenlik Açığı Yönetimi sayfasını ziyaret edin.

• Özel kod örnekleri veya betikler. Microsoft Desteği, bir Microsoft ürününün özelliklerinin nasıl kullanılacağını göstermek için bir destek vakasında küçük kod örnekleri sağlamanın yanı sıra bu örneklerin incelemesini yapabilir. Ancak, Microsoft Desteği, ortamınıza veya uygulamanıza özgü özel kod örnekleri sağlayamaz.

Aracı düğümleri için AKS destek kapsamı

Aşağıdaki bölümlerde AKS aracı düğümleri için Microsoft ve müşteri sorumlulukları açıklanmaktadır.

AKS aracı düğümleri için Microsoft sorumlulukları

Microsoft ve siz, Kubernetes acente düğümlerinin sorumluluğunu paylaşırsınız:

• Temel işletim sistemi görüntüsü, izleme ve ağ aracıları gibi gerekli eklemelere sahiptir.
• Ajan düğümleri, işletim sistemi güncellemelerini otomatik olarak alır.
• Aracı düğümlerinde çalışan Kubernetes denetim düzlemi bileşenleriyle ilgili sorunlar otomatik olarak giderilir. Bu bileşenler aşağıdaki öğeleri içerir:
  • Kube-proxy
  • Kubernetes ana bileşenlerine iletişim yolları sağlayan ağ tünelleri
  • Kubelet
  • containerd

Bir aracı düğümü çalışır durumda değilse AKS tek tek bileşenleri veya tüm aracı düğümünü yeniden başlatabilir. Bu yeniden başlatma işlemleri otomatiktir ve yaygın sorunlar için otomatik düzeltme sağlar. Otomatik düzeltme mekanizmaları hakkında daha fazla bilgi edinmek istiyorsanız bkz. Düğüm Otomatik Onarımı.

AKS aracı düğümleri için müşteri sorumlulukları

Microsoft, haftalık olarak görüntü düğümleriniz için düzeltme ekleri ve yeni görüntüler sağlar. Aracı düğümü işletim sisteminizi ve çalışma zamanı bileşenlerinizi güncel tutmak için bu düzeltme eklerini ve güncelleştirmeleri düzenli olarak el ile veya otomatik olarak uygulamanız gerekir. Microsoft 90 günden eski düğüm görüntülerini desteklemez. Daha fazla bilgi için bkz.

• AKS düğümü görüntülerini el ile yükseltin.
• AKS düğümü görüntülerini otomatik olarak yükseltin.

Benzer şekilde AKS düzenli olarak yeni Kubernetes düzeltme ekleri ve ikincil sürümler yayınlar. Bu güncelleştirmeler Kubernetes'e yönelik güvenlik veya işlevsellik geliştirmeleri içerebilir. Kümelerinizin Kubernetes sürümünü güncel tutmak ve AKS Kubernetes destek sürümü ilkesine göre kullanmak sizin sorumluluğunuzdadır.

Kullanıcıların aracı düğümleri özelleştirmesi

Note

AKS aracısı düğümleri Azure portalında standart Azure IaaS kaynakları olarak görünür. Ancak, bu sanal makineler özel bir Azure kaynak grubuna dağıtılır (ön ek olarak MC_\*). IaaS API'lerini veya kaynaklarını kullanarak temel işletim sistemi görüntüsünü değiştiremez veya bu düğümlerde doğrudan özelleştirme yapamazsınız. AKS API'sinden gerçekleştirilmeyen özel değişiklikler yükseltme, ölçeklendirme, güncelleştirme veya yeniden başlatma yoluyla kalıcı olmaz. Ayrıca, gibi CustomScriptExtension düğümlerin uzantılarında yapılan herhangi bir değişiklik beklenmeyen davranışlara yol açabilir ve yasaklanmalıdır. Microsoft Desteği sizi değişiklik yapmaya yönlendirmediği sürece aracı düğümlerinde değişiklik yapmaktan kaçının.

AKS sizin adınıza aracı düğümlerinin yaşam döngüsünü ve işlemlerini yönetir ve aracı düğümleriyle ilişkili IaaS kaynaklarının değiştirilmesi desteklenmez. Desteklenmeyen bir işlem örneği, Azure portalındaki veya API'deki yapılandırmaları el ile değiştirerek düğüm havuzu sanal makine ölçek kümesini özelleştirmektir.

İş yüküne özgü yapılandırmalar veya paketler için AKS, Kubernetes DaemonSetkullanılmasını önerir.

Kubernetes ayrıcalıklı DaemonSet ve init kapsayıcıları kullanmak, üçüncü taraf yazılımları küme aracısı düğümlerine ayarlamanıza/değiştirmenize veya yüklemenize olanak tanır. Bu tür özelleştirmelere örnek olarak özel güvenlik tarama yazılımı ekleme veya sysctl ayarlarını güncelleştirme verilebilir.

Yukarıdaki gereksinimler geçerliyse bu yol önerilir ancak AKS mühendislik ve desteği, özel dağıtılan DaemonSetbir nedeniyle düğümün kullanılamaz duruma getirilmesine neden olan değişiklikleri gidermeye veya tanılamaya yardımcı olamaz.

Güvenlik sorunları ve düzeltme

AKS'nin yönetilen bileşenlerinden birinde veya daha fazlasında güvenlik açığı bulunursa AKS ekibi, sorunu azaltmak için etkilenen tüm kümelere düzeltme eki uygular. Alternatif olarak, AKS ekibi size yükseltme yönergeleri sağlar.

Güvenlik açıklarından etkilenen aracı düğümleri için, Microsoft size etkiyle ilgili ayrıntıları ve güvenlik sorununu düzeltme veya azaltma adımlarını bildirir.

Düğüm bakımı ve erişimi

Oturum açabilmenize ve aracı düğümlerini değiştirebilmenize rağmen, değişiklikler kümeyi desteklenmeyen hale getirebileceğinden bu işlemi yapmak önerilmez.

Ağ bağlantı noktaları, erişim ve NSG'ler

NSG'leri yalnızca özel alt ağlarda özelleştirebilirsiniz. Yönetilen alt ağlarda veya aracı düğümlerinin NIC düzeyinde NSG'leri özelleştiremeyebilirsiniz. AKS'nin belirli uç noktalara yönelik çıkış gereksinimleri vardır. Çıkışı denetlemek ve gerekli bağlantıyı sağlamak için, bkz çıkış trafiğini sınırlama. Giriş için gereksinimler, kümeye dağıtılan uygulamaları temel alır.

Durduruldu, serbest bırakıldı ve Hazır Değil düğümleri

AKS iş yüklerinizin sürekli çalışması gerekmiyorsa AKS kümesini durdurarak tüm düğüm havuzlarını ve denetim düzlemini durdurabilirsiniz. Gerektiğinde yeniden başlatabilirsiniz. komutunu kullanarak bir kümeyi az aks stop durdurduğunuzda, küme durumu 12 aya kadar korunur. 12 ay sonra küme durumu ve tüm kaynakları silinir.

Tüm küme düğümlerinin IaaS API'lerinden, Azure CLI'den veya Azure portalından manuel olarak serbest bırakılması, bir AKS kümesini veya düğüm havuzunu durdurmak için desteklenmez. Küme, destek dışı olarak kabul edilir ve 30 gün sonra AKS tarafından durdurulur. Daha sonra kümeler, doğru şekilde durdurulan bir kümeyle aynı 12 aylık koruma ilkesine tabi olur.

Sıfır Hazır düğüme (veya tümü Hazır Değil) ve sıfır Çalışan VM'lere sahip kümeler 30 gün sonra durdurulur.

AKS, 30 güne eşit ve daha uzun süreler için destek yönergeleri dışında yapılandırılan kontrol düzlemlerini arşivleme hakkını saklıdır. AKS, küme etcd meta verilerinin yedeklerini tutar ve kümeyi kolayca yeniden dağıtabilir. Bu yeniden ayırma işlemi, kümeyi yeniden desteğe getiren herhangi bir PUT işlemi tarafından başlatılır; örneğin, yükseltme yapmak veya etkin aracı düğümlerine ölçeklendirmek.

Askıya alınan abonelikteki tüm kümeler 90 gün sonra hemen durdurulur ve silinir. Silinen abonelikteki tüm kümeler hemen silinir.

Desteklenmeyen alfa ve beta Kubernetes özellikleri

AKS yalnızca yukarı akış Kubernetes projesindeki kararlı ve beta özellikleri destekler. Aksi belirtilmediği sürece AKS, yukarı akış Kubernetes projesinde kullanılabilen herhangi bir alfa özelliğini desteklemez.

Önizleme özellikleri veya özellik bayrakları

Genişletilmiş test ve kullanıcı geri bildirimi gerektiren özellikler ve işlevler için Microsoft özellik bayrağının arkasında yeni önizleme özellikleri veya özellikler yayınlar. Bu özellikleri yayın öncesi veya beta özellikler olarak düşünün.

Önizleme özellikleri veya özellik bayrağı özellikleri üretim için tasarlanmamıştır. API'lerde ve davranışta devam eden değişiklikler, hata düzeltmeleri ve diğer değişiklikler kararsız kümelere ve kapalı kalma süresine neden olabilir.

Bu özellikler önizleme aşamasında olduğundan ve üretim için tasarlanmamış olduğundan, genel önizlemedeki özellikler en iyi çaba desteğinin altına girer. AKS teknik destek ekipleri yalnızca iş saatlerinde destek sağlar. Daha fazla bilgi için bkz. Azure Destek SSS.

Yukarı akış hataları ve sorunları

Yukarı akış Kubernetes projesindeki geliştirme hızı göz önüne alındığında, hatalar sabit bir şekilde ortaya çıkar. Bu hatalardan bazıları, AKS sistemi içinde düzeltilemez veya geçici çözümler uygulanamaz. Bunun yerine, hata düzeltmeleri yukarı akış projelerine (Kubernetes, düğüm veya aracı işletim sistemleri ve çekirdek gibi) daha büyük düzeltme ekleri gerektirir. Microsoft sahip olduğu bileşenler için (Azure bulut sağlayıcısı gibi), AKS ve Azure personeli topluluktaki yukarı akış sorunlarını gidermeye kararlıdır.

Teknik destek sorununun kök nedeni bir veya daha fazla yukarı akış hatasından kaynaklanıyorsa AKS destek ve mühendislik ekipleri şunları yapacaktır:

• Bu sorunun kümenizi veya iş yükünüzü neden etkilediğini açıklamaya yardımcı olmak için yukarı akış hatalarını tüm destekleyici ayrıntılarla belirleyin ve bağlayın. Müşteriler, sorunları izleyebilmeleri ve yeni bir sürümün ne zaman düzeltmeler sağladığını görebilmeleri için gerekli depoların bağlantılarını alır.
• Olası geçici çözümleri veya azaltmayı sağlayın. Sorun giderilebilirse, AKS deposunda bir "bilinen sorun" kaydı oluşturulur. Bilinen sorun raporunda şu anlatılmaktadır:
  • Sorun, üst akış hatalarına bağlantılar da dahil olmak üzere.
  • Geçici çözüm ve yükseltme veya çözümün başka bir kalıcılığı hakkındaki ayrıntılar.
  • Üst akış sürüm temposuna dayanarak sorunun dahil edilmesi için genel zaman çizelgeleri.