培训
认证
Microsoft Certified: Azure for SAP Workloads Specialty - Certifications
在利用 Azure 资源的同时,演示在 Microsoft Azure 上规划、迁移和操作 SAP 解决方案。
适用于:Azure Stack HCI 22H2 上的 AKS、Windows Server 上的 AKS
本文提供有关 Arc 启用的 AKS 的技术支持策略和限制的详细信息。本文还介绍了群集节点管理、控制平面组件、第三方开源组件以及安全或修补程序管理。
有关发布信息,请参阅 AKS Arc 发行说明。 有关预览版中的功能的信息,请参阅 AKS Arc 预览功能。
作为 AKS Arc 用户,自定义和部署选项有限。 但是,无需担心或直接管理 Kubernetes 群集控制平面和安装。 基本基础结构即服务(IaaS)云组件(如计算或网络组件)允许访问低级别控件和自定义选项。
相比之下,AKS Arc 提供了一个交钥匙 Kubernetes 部署,可提供群集所需的常见配置和功能集。 使用 AKS Arc,可以获得部分托管的控制平面。 该控制平面包含执行操作并向最终用户提供 Kubernetes 群集所需的所有组件和服务。 Microsoft维护所有 Kubernetes 组件。
Microsoft通过管理群集和关联的虚拟机基础映像维护以下组件:
kubelet
或 Kubernetes API 服务器。etcd
或兼容的键值存储,提供服务质量(QoS)、可伸缩性和运行时。kube-dns
,或 CoreDNS)。kube-system
运行的任何其他加载项或系统组件。AKS Arc 不是平台即服务(PaaS)解决方案。 某些组件(如工作负荷群集、控制平面和工作器节点)共同负责。 用户必须帮助维护 Kubernetes 群集。 例如,需要用户输入才能将操作系统(OS)安全修补程序或更新应用到较新的 Kubernetes 版本。
服务在 Microsoft和 AKS 团队提供用于部署工作负荷群集的管理群集、控制平面和代理节点的工具方面进行管理 。 无法更改这些托管组件。 Microsoft 限制了自定义,以确保一致且可缩放的用户体验。 有关云中完全可自定义的解决方案,请参阅 AKS 引擎。
AKS Arc 中的 Kubernetes 版本遵循 Kubernetes 版本策略。
AKS Arc 不会为受支持的版本列表之外的群集提供任何运行时(或其他)保证。 “不受支持”意味着:
有关支持的 Kubernetes 版本的信息,请参阅 支持的 Kubernetes 版本。
AKS Arc 遵循这些产品的平台版本支持时间范围。 也就是说,不支持这些产品的 AKS Arc 版本。 有关更多信息,请参阅他们的支持政策:
创建群集时,定义 AKS Arc 创建的 Kubernetes 代理节点。 你的工作负载将在这些节点上执行。
由于代理节点执行专用代码并存储敏感数据,因此Microsoft 支持部门对它们的访问权限有限。 Microsoft 支持部门无法登录以执行命令,也不能在没有快速权限或协助的情况下查看这些节点的日志。 使用任何 IaaS API 直接修改代理节点会使群集不可支持。 对代理节点所做的任何修改都必须使用 Kubernetes 本机机制(例如 Daemon Sets
)。
同样,虽然可以将任何元数据(如标记和标签)添加到群集和节点,但更改系统创建的任何元数据都会导致群集不受支持。
Microsoft为以下功能和组件提供技术支持:
备注
Microsoft AKS Arc 支持团队执行的任何群集操作均获得用户同意和帮助。 除非为支持工程师配置访问权限,否则Microsoft 支持部门不会登录到群集。
Microsoft不提供以下方面的技术支持:
有关如何使用 Kubernetes 的问题。 例如,对于如何创建自定义入口控制器、如何使用应用程序工作负荷,或者如何应用第三方的或开源的软件包或工具,Microsoft 支持部门不提供建议。
备注
Microsoft 支持部门可以就 AKS Arc 中的群集功能、自定义和优化提供建议;例如 Kubernetes 操作问题和过程。
在 AKS Arc 中创建群集时,未作为 Kubernetes 控制平面的一部分提供或部署的第三方开源项目。这些项目可能包括 Istio、Helm、Envoy 或其他项目。
备注
Microsoft 会尽力为 Helm 之类的第三方开源项目提供支持。 如果第三方开源工具与 Kubernetes 或其他 AKS Arc 特定 bug 集成,Microsoft支持Microsoft文档中的示例和应用程序。
第三方闭源软件。 此类软件可能包括安全扫描工具以及网络设备或软件。
AKS Arc 文档中列出的网络自定义项以外的其他自定义项。
在以下情况下,由 Microsoft 和用户共同承担 Kubernetes 代理节点的责任:
kube-proxy
kubelet
Moby
或 ContainerD
备注
如果代理节点无法运行,AKS Arc 可能会重启单个组件或整个代理节点。 这些自动重启操作为常见问题提供自动修正。
Microsoft每月为映像节点提供修补程序和新映像,但默认情况下不会自动修补它们。 若要使代理节点 OS 和运行时组件保持修补状态,应保留常规升级计划或自动修补。
同样,AKS Arc 会定期发布新的 Kubernetes 修补程序和次要版本。 这些更新可能包含 Kubernetes 的安全或功能改进。 你负责根据 AKS Arc 支持的版本策略使群集的 Kubernetes 版本保持更新。
备注
AKS Arc 代理节点作为常规虚拟机资源显示在 Hyper-V 中。 这些虚拟机使用自定义 OS 映像进行部署,并受支持和管理的 Kubernetes 组件。 不能更改基本 OS 映像,也不能使用 Hyper-V API 或资源对这些节点进行任何直接自定义。 任何未通过 AKS-HCI API 完成的自定义更改都不会通过升级、缩放、更新或重新启动来持久保存,并且可以呈现不支持的群集。 除非 Microsoft 支持指示你进行更改,否则请避免更改代理节点。
AKS Arc 代表你管理代理节点映像的生命周期和操作。 不支持修改与代理节点关联的资源。 例如,不支持通过 Hyper-V API 或工具手动更改配置来自定义虚拟机的网络设置。
对于特定于工作负荷的配置或包,应使用 Kubernetes 守护程序集。
使用 Kubernetes 特权 daemon sets
容器和 init 容器时,可以在群集代理节点上优化/修改或安装第三方软件。 例如,可以添加自定义安全扫描软件或更新 sysctl
设置。 如果上述要求适用,建议使用此路径,但 AKS Arc 工程和支持无法帮助排查或诊断由于自定义部署而使节点不可用的 daemon set
修改。
如果在 AKS Arc 的一个或多个托管组件中找到安全漏洞,AKS Arc 团队会修补所有受影响的 OS 映像以缓解此问题,团队会为用户提供升级指导。
对于受安全漏洞影响的代理节点,Microsoft会通知你有关影响的详细信息以及修复或缓解安全问题的步骤。 通常,这些步骤包括节点映像升级或群集修补程序升级。
尽管可以登录和更改代理节点,但不建议执行此操作,因为更改可能会使群集不受支持。
只能使用 AKS Arc 定义的子网自定义网络设置。 无法在代理节点的 NIC 级别自定义网络设置。 AKS Arc 对特定终结点具有出口要求,用于控制出口并确保必要的连接。 有关详细信息,请参阅 AKS Arc 系统要求。
如前所述,通过 Hyper-V API、CLI 或 MMC 手动取消分配所有群集节点会使群集不受支持。
停止超过 90 天的群集无法再更新。 处于此状态的群集的控制平面在 30 天后不受支持,并且无法将其更新到最新版本。
AKS Arc 中的管理群集必须能够至少每 30 天通过 HTTPS 出站流量连接到 Azure,才能维护第 2 天操作,例如升级和节点池缩放。 如果管理群集在 30 天内断开连接,则工作负荷将继续运行并按预期工作,直到管理群集或 Azure 本地重新连接并同步到 Azure。 重新连接后,全天 2 个操作应按预期恢复并继续。 有关详细信息,请参阅 Azure 本地 Azure 连接要求 。 30 天后,Azure Local 会阻止创建新的虚拟机。
如果群集在 Windows Server 2019 或 Windows Server 2022 上运行,基础主机平台没有 30 天的定期连接要求。
备注
30 天的开始/结束时间可能与 AKS Arc 和 Azure Local 的有效期不同。 通过 Hyper-V API/CLI/MMC 手动停止或取消分配所有群集节点的时间超过 30 天,在常规维护过程中,外部的常规维护过程会使群集不受支持。
如果 Azure 订阅已暂停或删除,则 AKS 群集在 60 天后不再受支持,除非在达到 60 天限制之前恢复订阅。 前面所述的所有其他限制也适用。 删除订阅后,无法恢复到 Azure 的群集连接,必须重新部署 Azure 本地和 AKS Arc 才能重新连接到 Azure。
AKS Arc 仅支持上游 Kubernetes 项目中的稳定和 beta 功能。 除非另有说明,否则 AKS Arc 不支持上游 Kubernetes 项目中提供的任何预览功能。
对于需要进一步测试并收集用户反馈的功能,Microsoft 会发布新的预览版功能或带功能标志的功能。 请考虑这些预发行版或 beta 版功能。 预览功能或功能标志功能不适用于生产环境。 API 和行为的不断变化、bug 修复和其他更改可能会导致群集不稳定和停机。
公共预览版中的功能获得“尽力而为”的支持,因为这些功能以预览版提供,不适用于生产。 AKS Arc 技术支持团队仅在工作时间支持这些功能。 有关详细信息,请参阅Azure 支持常见问题解答。
由于上游 Kubernetes 项目的开发速度,不可避免地会出现 bug。 其中一些 bug 无法在 AKS Arc 系统中进行修补或处理。 相反,bug 修复需要对上游项目(例如 Kubernetes、节点或代理操作系统及内核)应用更大的补丁。 对于Microsoft拥有的组件(例如 Azure 本地群集 API 提供程序),AKS Arc 和 Azure 人员致力于解决社区上游的问题。
当技术支持问题由一个或多个上游 bug 导致时,AKS Arc 支持和工程团队将执行以下操作:
培训
认证
Microsoft Certified: Azure for SAP Workloads Specialty - Certifications
在利用 Azure 资源的同时,演示在 Microsoft Azure 上规划、迁移和操作 SAP 解决方案。