適用於:✔️ AKS Automatic
Azure Kubernetes Service (AKS) Automatic 提供一種體驗,讓 Kubernetes 上最常見的任務快速且無阻礙,同時保留 Kubernetes 的彈性、擴充性與一致性。 Azure 會處理你的叢集設定,包括節點管理、擴展、安全性,以及遵循 AKS 良好架構建議的預設設定。 自動叢集會根據您的特定工作負載需求動態配置計算資源,並針對執行生產應用程式進行調整。
根據預設,生產環境就緒:叢集已預先設定,以獲得最佳生產環境使用,適用於大部分的應用程式。 其提供完全受控的節點集區,可根據您的工作負載需求自動配置和調整資源。 Pod 會有效率地封裝,以最大化資源使用率。
保證吊艙準備狀態:AKS Automatic 包含吊 艙準備服務標準協議(SLA ),保證 99.9% 的合格吊艙準備作業在 5 分鐘內完成。 這代表你的工作負載會在擴展事件和節點配置時能迅速開始運行,讓你對應用程式的反應速度充滿信心,無需手動調整。
內建的最佳做法和保護:AKS 自動叢集具有強化的預設設定,且預設會啟用許多叢集、應用程式和網路安全性設定。 AKS 會自動修補您的節點和叢集元件,同時遵守任何計劃性維護排程。
程式碼到 Kubernetes 僅需幾分鐘:從容器映像在幾分鐘內移至遵守最佳做法模式的已部署應用程式,並存取 Kubernetes API 及其豐富生態系統的完整功能。
這很重要
自2025 年 11 月 30 日起,Azure Kubernetes Service (AKS) 將不再支援或提供 Azure Linux 2.0 的安全更新。 Azure Linux 2.0 節點映像已凍結在 202512.06.0 發行版本。 自 2026 年 3 月 31 日起,節點映像將被移除,且你將無法擴展節點池。 遷移到支援的 Azure Linux 版本時,可以升級你的節點池到 支援的 Kubernetes 版本,或遷移到 osSku AzureLinux3。 欲了解更多資訊,請參閱 退休GitHub議題 及 Azure 更新退休公告。 欲掌握最新公告與更新,請參考AKS發布說明。
AKS Automatic 和 Standard 的功能比較
下表提供 AKS Automatic 和 AKS Standard 中可用、預先設定和預設選項的比較。 如需了解“Automatic”是否包含特定功能,您可以查看該功能的文件。
預先設定的功能一律會啟用,您無法停用或變更其設定。 預設功能是為您設定的功能,但可以變更。 選擇性 功能可供您設定,且預設不會啟用。
啟用選擇性功能時,您可以遵循連結的功能檔。 當您達到叢集建立步驟時,請遵循步驟來建立 AKS 自動叢集 ,而不是建立 AKS 標準叢集。
應用程式部署、監視和可檢視性
您可以從原始檔控制使用自動化部署來精簡應用程式部署,這會建立 Kubernetes 資訊清單並產生 CI/CD 工作流程。 此外,叢集會設定為監視工具,例如指標的 Managed Prometheus、適用於視覺效果的 Managed Grafana,以及記錄收集的 Container Insights。
| 選項 | AKS 自動化系统 | AKS 標準 |
|---|---|---|
| 應用程式部署 |
選擇性: * 利用 自動化部署 將應用程式容器化,從原始碼控制、建立 Kubernetes 清單,以及持續整合/持續部署(CI/CD)工作流程。 * 使用 GitHub Actions 建立 Kubernetes 的部署管線。 * 自備 CI/CD 管線。 |
選擇性: * 利用 自動化部署 將應用程式容器化,從原始碼控制、建立 Kubernetes 清單,以及持續整合/持續部署(CI/CD)工作流程。 * 使用 GitHub Actions 建立 Kubernetes 的部署管線。 * 自備 CI/CD 管線。 |
| 監視、記錄和視覺效果 |
預設值: * Managed Prometheus用於使用 Azure CLI 或 Azure 入口網站時的度量收集。 * Container insights 用於使用 Azure CLI 或 Azure 入口網站時的日誌收集。 * 使用 Azure 入口網站時,內建可用於視覺化的使用 Grafana 的 Azure 監視器儀表板。 * Advanced Container Networking Services在使用 Azure 入口網站時,提供容器網路可觀察性,涵蓋 pod 指標、DNS、L4 指標及網路流量日誌。 選擇性: * Managed Grafana 用於使用 Azure CLI 或 Azure 入口網站時的視覺化。 |
預設:Azure 監視器儀表板搭配 Grafana 進行視覺化,這是使用 Azure 入口網站時的內建功能。 選擇性: * 用於指標收集的受控 Prometheus。 * 用於視覺化的受控 Grafana。 * 用於記錄收集的容器深入解析。 * Advanced Container Networking Services 提供容器網路可觀察性,涵蓋 pod 指標、DNS、L4 指標及網路流量日誌。 |
節點管理、縮放和叢集作業
節點管理自動處理,無需手動建立使用者節點池, 系統節點池與元件由 AKS 管理。 無縫縮放,節點會根據工作負載要求建立。 此外,已啟用水平 Pod 自動調整程式 (HPA)、Kubernetes 事件導向自動調整 (KEDA) 和垂直 Pod 自動調整程式 (VPA) 等工作負載縮放功能。 Pod 就緒 SLA 保證 99.9% 的艙就緒作業能在 5 分鐘內完成。 叢集已設定為自動修復節點、自動升級叢集,以及偵測已淘汰的 Kubernetes 標準 API 使用情形。 您也可以視需要設定升級的計劃性維護排程。
| 選項 | AKS 自動化系统 | AKS 標準 |
|---|---|---|
| 節點管理 |
預先設定:AKS Automatic 會使用節點自動佈建來管理節點集區。 可選: AKS Automatic 搭配受管理系統節點池 ,代表您建立、擴展、升級系統節點及系統元件,並將其託管於 AKS 訂閱中。 |
預設值:您會建立和管理系統和使用者節點集區 選擇性:AKS Standard 會使用節點自動佈建來管理使用者節點集區。 |
| 調整大小 |
預先設定:AKS Automatic 使用節點自動佈建來根據工作負載要求建立節點。 水平 Pod 自動調整程式 (HPA)、Kubernetes 事件驅動自動調整 (KEDA)和垂直 Pod 自動調整程式 (VPA)在叢集中啟用。 |
預設:手動縮放節點集區。 選擇性: * 叢集自動縮放器 * 節點自動配置 * Kubernetes 事件驅動自動縮放(KEDA) * 垂直艙自動定位器(VPA) |
| 叢集層級與服務等級協議(SLA) | 預先配置:標準層叢集,最多可支援至 5,000 個節點,叢集的 運行時間 SLA,以及保證 99.9% 的合格 pod 準備作業在 5 分鐘內完成的 pod 準備 SLA。 |
預設值:免費層叢集具有 10 個節點,但最多可支援 1,000 個節點。 選擇性: * 標準等級叢集,最多可支援 5,000 節點,並有 叢集運作時間 SLA。 * Premium Tier叢集,最多可支援 5,000 節點,具備 叢集運作時間 SLA 及 長期支援。 |
| 節點作業系統 |
預先配置的系統節點池:Azure Linux 使用者節點可選: * Azure Linux * Ubuntu |
預設值:Ubuntu 選擇性: * Azure Linux * Windows 伺服器 |
| 節點資源群組 | 預先配置: 完全管理的節點資源群組 ,以防止叢集資源的意外或故意變更。 |
預設值:不受限制 可選: 僅讀 且節點資源群組鎖定 |
| 節點自動修復 | 預先設定:持續監視背景工作節點的健全狀態,並在狀況不良時,自動執行節點修復。 | 預先設定:持續監視背景工作節點的健全狀態,並在狀況不良時,自動執行節點修復。 |
| 叢集升級 | 預先配置: 叢集會透過穩定通道自動升級 至次要版本 N-1,其中 N 為最新支援的次要版本。 |
預設值:手動升級。 選擇性:使用可選取的升級通道自動升級。 |
| 節點 OS 映像升級作業 | 預先設定: 叢集會透過 NodeImage 通道自動升級 ,並進行安全修補與錯誤修正。 |
預設值:手動升級。 可選:使用可選節點作業系統升級通道自動升級 |
| Kubernetes API 中斷性變更偵測 | 預先設定:叢集升級會在偵測到已棄用的 Kubernetes 標準 API 使用情形時停止。 | 預先設定:叢集升級會在偵測到已棄用的 Kubernetes 標準 API 使用情形時停止。 |
| 計劃性維護時段 | 預設值:設定計劃性維護排程設定來控制升級。 | 選擇性:設定計劃性維護排程設定來控制升級。 |
安全性和原則
叢集的驗證與授權使用Azure 角色基於存取控制 (RBAC) 來進行 Kubernetes 的授權,應用程式可以利用Microsoft Entra 工作負載 ID 的工作負載身份和OpenID Connect (OIDC) 叢集發行者等功能,來與 Azure 服務進行安全通訊。 部署保全措施會透過 Azure 原則控制項強制執行 Kubernetes 最佳做法,而內建的影像清除工具會移除有漏洞的未使用影像,以提高影像安全性。
| 選項 | AKS 自動化系统 | AKS 標準 |
|---|---|---|
| 叢集驗證和授權 | 預先設定:Azure RBAC 用於 Kubernetes 授權,以利用 Azure 基於角色的存取控制來管理叢集的認證與授權。 |
預設值:本機帳戶。 選擇性: * 用於 Kubernetes 授權的 Azure RBAC * Kubernetes RBAC 與 Microsoft Entra 整合 |
| 叢集安全性 | 預先設定:API 伺服器虛擬網路整合 可在 API 伺服器與叢集節點之間透過專用網進行網路通訊,而不需要私人連結或通道。 | 選擇性:API 伺服器虛擬網路整合 可在 API 伺服器與叢集節點之間透過專用網進行網路通訊,而不需要私人連結或通道。 |
| 應用程式安全性 |
已預先設定: * 使用 Microsoft Entra 工作負載 ID 的工作負載身分識別 * OpenID Connect (OIDC) 叢集發行者 選用: * 適用於 Pod 流量並搭配 Wireguard 節點加密的進階容器網路服務容器網路安全性 |
選擇性: * 使用 Microsoft Entra 工作負載 ID 的工作負載身分識別 * OpenID Connect (OIDC) 叢集發行者 選用: * 適用於 Pod 流量並搭配 Wireguard 節點加密的進階容器網路服務容器網路安全性 |
| 映像安全性 | 預先設定:映像清除器,用來移除具有弱點的未使用映像。 | 選擇性:映像清除器,用來移除具有弱點的未使用映像。 |
| 強制執行原則 |
預先配置:部署防護措施透過強制模式下的 Azure Policy 控制,確保在 AKS 叢集中強制遵循 Kubernetes 的最佳實務,且無法停用。 選用: * Advanced Container Networking Services 為 Cilium DNS 與 L7 政策提供容器網路安全。 |
Optional: 使用 Azure Policy 控制的部署防護措施,在強制模式或警告模式下於 AKS 叢集中施行 Kubernetes 最佳實務。 選用: * Advanced Container Networking Services 為 Cilium DNS 與 L7 政策提供容器網路安全 |
| 受控命名空間 | 選用項目: 使用 受管理名稱空間 來建立預先配置的名稱空間,您可以在其中定義輸入/輸出的網路原則、記憶體/CPU 的資源配額,以及設定標籤/註釋。 | 選用項目: 使用 受管理名稱空間 來建立預先配置的名稱空間,您可以在其中定義輸入/輸出的網路原則、記憶體/CPU 的資源配額,以及設定標籤/註釋。 |
網路
AKS 自動叢集使用 managed Virtual Network,由 Azure CNI 覆蓋層及 Cilium 驅動,實現高效能網路與穩健安全性。 Ingress 由 managed NGINX 使用應用程式路由外掛 處理,與 Azure DNS 和 Azure Key Vault 無縫整合。 輸出會使用受控 NAT 閘道進行可調整的輸出連線。 此外,您可以彈性地 啟用 AKS 的 Istio 型服務網格附加元件 ,或自備服務網格。
| 選項 | AKS 自動化系统 | AKS 標準 |
|---|---|---|
| 虛擬網路 |
Default:管理Virtual Network使用由 Cilium 驅動的 Azure CNI 覆蓋層,結合 Azure CNI 的穩健控制面與 Cilium 的資料面,提供高效能網路與安全性。 選擇性: * 自訂虛擬網路 * 自訂虛擬網路 搭配私有叢集。 |
Default:具 kubenet 的受管理虛擬網路 選擇性: * Azure CNI * Azure CNI 覆蓋層 <c0 /><c1>由 Cilium 驅動的 Azure CNI 覆蓋層</c1> * 自備 CNI |
| 輸入 |
預配置的:使用應用程式路由附加元件管理 NGINX,並整合 Azure DNS 與 Azure Key Vault。 選擇性: * 適用於 AKS 的 Istio 型服務網格附加元件輸入閘道 * 請自備入口或通道。 |
選擇性: * 管理 NGINX 使用應用程式路由外掛,並整合 Azure DNS 與 Azure Key Vault。 * 適用於 AKS 的 Istio 型服務網格附加元件輸入閘道 * 請自備入口或通道。 |
| 輸出 |
預先設定:AKS 受控 NAT 閘道,可在與受控虛擬網路搭配使用時,調整輸出連線流程 選擇性 (使用自訂虛擬網路): * Azure Load Balancer * 使用者指派的 NAT 閘道器 * 使用者自訂路由(UDR) |
Default: Azure Load Balancer 選擇性: * 使用者指派的 NAT 閘道器 * AKS 管理型 NAT 閘道 * 使用者自訂路由(UDR) |
| 服務網格 |
選擇性: * Azure Service Mesh (Istio) * 自備服務網格。 |
選擇性: * Azure Service Mesh (Istio) * 自備服務網格。 |
Pod 整備程度 SLA
AKS Automatic 包含一份 Pod 準備服務等級協定(SLA),這是一項有財務支持的保證,確保 99.9% 的合格 Pod 準備作業能在 5 分鐘內完成。 此 SLA 涵蓋 pod 排程及節點配置(如有需要時)。
Pod 整備程度 SLA 有利於依賴可預測調整行為的工作負載,例如:
- 網路與 API 工作負載需要在流量激增時迅速擴展,且不影響回應時間。
- 事件驅動處理,其中新的取用者 pod 必須立即就緒,以免訊息積存。
- CI/CD 和批次工作 需要一致的 Pod 啟動時間,以確保管線的可靠執行。
此保證僅限於 AKS Automatic,並由 Microsoft Online Services SLA 支持。 你不需要設定任何設定就能啟用它,而且它會隨所有 AKS Automatic 叢集一起附帶。
後續步驟
若要深入了解 AKS Automatic,請遵循快速入門來建立叢集。