Azure Arc 所啟用 AKS 的支持原則

發行項
02/22/2024

適用於：Azure Stack HCI 22H2 上的 AKS、Windows Server 上的 AKS

本文提供Arc所啟用 AKS 技術支持原則和限制的詳細數據。本文也會說明叢集節點管理、控制平面元件、第三方開放原始碼元件，以及安全性或修補程式管理。

服務更新和版本

Microsoft 針對每個 Kubernetes 次要版本提供 1 年的支持視窗，從初始發行日期開始。在此期間，AKS Arc 會發行後續的次要或修補程式版本，以確保持續支援。
在已淘汰次要版本上運作的 Kubernetes 叢集必須更新為支援的版本，才能符合支持資格。
一旦次要版本已被取代，任何仍在此版本上執行的叢集都會繼續運作。您仍然可以執行相應增加或減少等作業，但 AKS Arc 會在叢集作業期間顯示警告。
一旦次要版本已被取代，就會從 Microsoft 伺服器中移除。此時，使用此版本的 Kubernetes 叢集無法更新 Kubernetes 或 OS 版本，而且必須升級至最新版本。在某些情況下，如果系統處於狀況良好狀態，此升級也可能表示完整重新部署。

如需版本資訊，請參閱 AKS Arc 版本資訊。如需預覽功能的相關信息，請參閱 AKS Arc 預覽功能。

AKS Arc 中的受控功能

身為 AKS Arc 使用者，您有有限的自訂和部署選項。不過，您不需要擔心或直接管理 Kubernetes 叢集控制平面和安裝。基本基礎結構即服務 (IaaS) 雲端元件，例如計算或網路元件，可讓您存取低階控件和自定義選項。

相反地，AKS Arc 會提供一個周全 Kubernetes 部署，讓您擁有叢集所需的一組常見組態和功能。使用 AKS Arc 時，您會取得部分管理的控制平面。控制平面包括您操作和為終端使用者提供 Kubernetes 叢集需要的所有元件和服務。 Microsoft 會維護所有 Kubernetes 元件。

Microsoft 會透過管理叢集和相關聯的虛擬機基底映射來維護下列元件：

kubelet 或 Kubernetes API 伺服器。
etcd 或相容的索引鍵/值存放區，提供服務品質 (QoS) 、延展性和運行時間。
例如， kube-dns DNS 服務 (或 CoreDNS) 。
Kubernetes Proxy 或網路。
在命名空間中 kube-system 執行的任何其他附加元件或系統元件。

AKS Arc 不是平臺即服務 (PaaS) 解決方案。某些元件，例如工作負載叢集、控制平面和背景工作節點，都有共同責任。用戶必須協助維護 Kubernetes 叢集。例如，需要使用者輸入，才能將作業系統 (OS) 安全性修補程式，或者更新為較新的 Kubernetes 版本。

服務受管理的方式是 Microsoft 和 AKS 小組提供工具，以部署工作負載叢集的管理叢集、控制平面和代理程序節點。您無法改變這些受控元件。 Microsoft 會限制自訂，以確保一致且可調整的使用者體驗。如需雲端中完全可自定義的解決方案，請參閱 AKS 引擎。

支援的版本原則

AKS Arc 中的 Kubernetes 版本遵循 Kubernetes 版本原則。

AKS Arc 不會讓任何運行時間 (或其他支援版本清單外部叢集的) 保證。「外部支援」表示：

您的叢集會在已被取代的次要版本上運作。您正在執行的版本不在支援的版本清單中。
要求支援時，系統會要求您將叢集升級為支援的版本。

如需所支援 Kubernetes 版本的相關信息，請參閱支援的 Kubernetes 版本。

AKS Arc 遵循這些產品的平臺版本支持時間範圍。也就是說，不支援這些產品版本不支援 AKS Arc。如需詳細資訊，請參閱支援原則：

共同責任

建立叢集時，您會定義 AKS Arc 所建立的 Kubernetes 代理程序節點。您的工作負載會在這些節點上執行。

因為您的代理程式節點會執行私人程式代碼並儲存敏感數據，所以 Microsoft 支援服務存取它們受到限制。 Microsoft 支援服務無法登入以在上執行命令，或檢視這些節點的記錄，而不需要您快速的許可權或協助。使用任何 IaaS API 直接修改代理程式節點時，都無法支援叢集。對代理程式節點所做的任何修改都必須使用 Kubernetes 原生機制來完成，例如 Daemon Sets。

同樣地，雖然您可以將標籤和標籤等任何元數據新增至叢集和節點，但變更任何系統建立的元數據會轉譯不支援的叢集。

AKS Arc 支援涵蓋範圍

Microsoft 提供下列功能和元件的技術支援：

連線至 Kubernetes 服務提供和支援的所有 Kubernetes 元件，例如 API 伺服器。
Kubernetes 控制平面服務 (例如 Kubernetes 控制平面、API 伺服器等，以及 coreDNS) 。
etcd 資料存放區。
與 Azure Arc 和 Azure 計費服務整合。
自訂控制平面元件的相關問題，例如 Kubernetes API 伺服器、etcd 和 coreDNS。
網路功能、網路存取和功能的問題。問題可能包括 DNS 解析、封包遺失和路由。 Microsoft 支援各種網路功能案例：
- Flannel 和 Calico CNI 的基本安裝支援。這些 CNI 是由社群驅動和支援。 Microsoft 支援服務僅提供基本安裝和組態支援。
- 與其他 Azure 服務和應用程式的連線能力。
- 輸入控制器和輸入或負載平衡器組態。
- 網路效能和延遲。

注意

Microsoft AKS Arc 支援小組所採取的任何叢集動作，都是以使用者同意和協助進行。除非您設定支持工程師的存取權，否則 Microsoft 支援服務不會登入您的叢集。

Microsoft 不會在下列方面提供技術支援：

有關如何使用 Kubernetes 的問題。例如，Microsoft 支援服務不會建議您如何建立自訂輸入控制器、使用應用程式工作負載，或套用第三方或開放原始碼軟體套件或工具。

注意

Microsoft 支援服務可以在 AKS Arc 中建議叢集功能、自定義和微調;例如，Kubernetes 作業問題和程式。
未作為 Kubernetes 控制平面一部分提供的第三方開放原始碼專案，或在 AKS Arc 中建立叢集時部署。這些專案可能包括 Istio、Helm、Envoy 或其他專案。

注意

Microsoft 可以為第三方開放原始碼專案 (例如 Helm) 提供最佳支援。當第三方開放原始碼工具與 Kubernetes 或其他 AKS Arc 特定 Bug 整合時，Microsoft 支援來自 Microsoft 檔的範例和應用程式。
第三方封閉原始碼軟體。此軟體可以包含安全性掃描工具和網路裝置或軟體。
AKS Arc 檔中所列以外的網路自定義。

代理程序節點的 AKS Arc 支援涵蓋範圍

AKS Arc 代理程序節點的 Microsoft 責任

Microsoft 和使用者會共同負責 Kubernetes 背景代理程式節點，其中：

基本OS映像需要新增 (，例如監視和網路代理程式) 。
背景代理程式節點會自動接收 OS 修補檔。
在代理程式節點上執行 Kubernetes 控制平面元件的問題，會在更新週期或您重新部署代理程式節點時自動補救。這些元件包括：
- kube-proxy
- 提供 Kubernetes 主要元件的通訊路徑的網路通道：
  - kubelet
  - Moby 或 ContainerD

注意

如果代理程式節點無法運作，AKS Arc 可能會重新啟動個別元件或整個代理程序節點。這些自動重新啟動作業提供常見問題的自動補救。

AKS Arc 代理程式節點的客戶責任

Microsoft 每個月都會為您的映像節點提供修補檔和新映像，但預設不會自動修補。若要讓您的代理程式節點 OS 和運行時間元件保持修補狀態，您應該定期進行升級排程或自動修補。

同樣地，AKS Arc 會定期發行新的 Kubernetes 修補程式和次要版本。這些更新包括 Kubernetes 安全性或功能性的改善。您必須根據 AKS Arc 支援的版本原則，讓叢集的 Kubernetes 版本保持更新。

代理程式節點的使用者自訂

注意

AKS Arc 代理程式節點會在 Hyper-V 中顯示為一般虛擬機資源。這些虛擬機會使用自定義 OS 映射進行部署，以及支援的受控 Kubernetes 元件。您無法使用 Hyper-V API 或資源變更基礎 OS 映像，或對節點進行任何直接的自訂。任何未透過 AKS-HCI API 完成的自定義變更都不會透過升級、調整、更新或重新啟動來保存，而且可以轉譯不支援的叢集。除非 Microsoft 支援服務指示您進行變更，否則請避免執行代理程式節點的變更。

AKS Arc 會代表您管理代理程式節點映像的生命週期和作業。不支援修改與代理程序節點相關聯的資源。例如，不支援透過 Hyper-V API 或工具手動變更組態來自定義虛擬機的網路設定。

針對工作負載特定的組態或套件，您應該使用 Kubernetes 精靈集合。

當您使用 Kubernetes 特殊許可權 daemon sets 和 init 容器時，您可以在叢集代理程式節點上微調/修改或安裝第三方軟體。例如，您可以新增自訂安全性掃描軟體或更新 sysctl 設定。雖然如果適用上述需求，則建議使用這個路徑，但 AKS Arc 工程和支援無法協助疑難解答或診斷因自定義部署 daemon set而使節點無法使用的修改。

安全性問題和修補

如果在 AKS Arc 的一或多個受控元件中找到安全性缺陷，AKS Arc 小組會修補所有受影響的 OS 映射以減輕問題，而小組會提供用戶升級指引。

對於受到安全性缺陷影響的代理程序節點，Microsoft 會通知您影響的詳細數據，以及修正或減輕安全性問題的步驟。這些步驟通常包括節點映射升級或叢集修補程序升級。

節點維護和存取

雖然您可以登入和變更代理程序節點，但不建議使用此作業，因為變更可能會造成叢集無法支援。

網路埠、IP 集區和存取

您只能使用 AKS Arc 定義的子網來自定義網路設定。您無法在代理程式節點的 NIC 層級自訂網路設定。 AKS Arc 具有特定端點的輸出需求，可控制輸出並確保必要的連線能力。如需詳細資訊，請參閱 AKS Arc 系統需求。

已停止或已中斷連線的叢集

如先前所述，透過 Hyper-V API、CLI 或 MMC 手動取消配置所有叢集節點，會使叢集無法支援。

停止超過90天的叢集無法再更新。處於此狀態之叢集的控制平面在 30 天后不受支援，且無法更新為最新版本。

AKS Arc 中的管理叢集必須能夠透過 HTTPS 輸出流量連線到 Azure，至少每隔 30 天連線到已知的 Azure 端點，才能維護第 2 天作業，例如升級和節點集區調整。如果管理叢集在 30 天內中斷連線，工作負載會繼續執行，並如預期般運作，直到管理叢集和 Azure Stack HCI 重新連線並同步處理至 Azure 為止。重新連線之後，所有一天 2 的作業都應該如預期般復原並繼續。如需詳細資訊，請參閱 Azure Stack HCI Azure 連線需求。 30 天后，Azure Stack HCI 會防止建立新的虛擬機。

如果叢集是在 Windows Server 2019 或 Windows Server 2022 上執行，基礎主機平臺就沒有 30 天的週期性連線需求。

注意

30 天的開始/結束時間可能與 AKS Arc 和 Azure Stack HCI 的有效期間不同。透過 Hyper-V API/CLI/MMC 手動停止或取消配置所有叢集節點超過 30 天，且在一般維護程式之外，都會讓叢集不受支援。

已刪除或暫停的訂用帳戶

如果您的 Azure 訂用帳戶已暫停或刪除，除非您在達到 60 天限制之前恢復訂用帳戶，否則您的 AKS 叢集 () 已超出支援。先前所述的所有其他限制也適用。刪除訂用帳戶之後，就無法復原 Azure 的叢集連線，且必須重新部署 Azure Stack HCI 和 AKS Arc，才能重新連線到 Azure。

不支援的預覽版和 Beta Kubernetes 功能

AKS Arc 僅支援上游 Kubernetes 專案中的穩定和 Beta 功能。除非另有說明，否則 AKS Arc 不支援上游 Kubernetes 專案中可用的任何預覽功能。

預覽功能或功能旗標

對於需要延伸測試和使用者意見反應的特性和功能，Microsoft 發行了新的預覽功能或功能旗標後的功能。請考慮這些發行前版本或 Beta 功能。預覽功能或功能旗標功能並非設計來用於生產環境。持續的 API 變更和行為、錯誤修正以及其他變更，可能會導致不穩定的叢集和停機時間。

公開預覽中的功能會收到「最佳努力」支援，因為這些功能處於預覽狀態，不適用於生產環境。只有在上班時間，AKS Arc 技術支援小組才支持這些功能。如需詳細資訊，請參閱 Azure 支援常見問題。

上游的錯誤和問題

有鑑於上游 Kubernetes 專案中的開發速度，錯誤難免會發生。某些 Bug 無法在 AKS Arc 系統中修補或解決。上游專案 (例如 Kubernetes、節點或代理程式作業系統，以及核心程序) 需要較大型的修補檔來修正錯誤 (bug)。對於 Microsoft 擁有 (的元件，例如 Azure Stack HCI) 的叢集 API 提供者，AKS Arc 和 Azure 人員致力於修正社群上游的問題。

當技術支持問題是由一或多個上游 Bug 所造成時，AKS Arc 支援和工程小組會執行下列動作：

識別上游錯誤，並將其與支援詳細資料連結，協助說明此問題為何會影響到您的叢集或工作負載。客戶會收到所需存放庫的連結以便監看問題，並查看新版本何時會提供修正程式。
提供潛在的因應措施或風險降低。如果問題可以減輕，就會在 Azure Stack HCI 和 Windows Server 存放庫中的 AKS 中提出已知問題。已知問題的建檔內容會包括下列說明：
- 此問題的內容，包括上游錯誤的連結。
- 解決方案升級或其他選項的因應措施和詳細數據。
- 根據上游的發行頻率，提供包含此問題的大致時間軸。

共用方式為