Zásady podpory prostředí Azure Kubernetes Service

  • Článek

Tento článek popisuje zásady a omezení technické podpory pro Službu Azure Kubernetes Service (AKS). Také podrobně popisuje správu uzlů agenta, spravované komponenty řídicí roviny, opensourcové komponenty třetích stran a správu zabezpečení nebo oprav.

Aktualizace a vydané verze služeb

  • Informace o vydání najdete v poznámkách k verzi AKS.
  • Informace o funkcích ve verzi Preview najdete v plánu AKS.

Spravované funkce v AKS

Základní komponenty infrastruktury jako služby (IaaS), jako jsou výpočetní nebo síťové komponenty, umožňují přístup k možnostem řízení a přizpůsobení nízké úrovně. AKS naproti tomu poskytuje nasazení Kubernetes na klíč, které poskytuje společnou sadu konfigurací a funkcí, které potřebujete pro váš cluster. Jako uživatel AKS máte omezené možnosti přizpůsobení a nasazení. Na výměnu se nemusíte starat ani spravovat clustery Kubernetes přímo.

S AKS získáte plně spravovanou řídicí rovinu. Řídicí rovina obsahuje všechny komponenty a služby, které potřebujete k provozu a doručování clusterů Kubernetes koncovým uživatelům. Microsoft udržuje a provozuje všechny komponenty Kubernetes.

Microsoft spravuje a monitoruje následující komponenty prostřednictvím řídicí roviny:

  • Servery rozhraní API Kubelet nebo Kubernetes
  • Etcd nebo kompatibilní úložiště klíč-hodnota, poskytování technologie QoS (Quality of Service), škálovatelnosti a modulu runtime
  • Služby DNS (například kube-dns nebo CoreDNS)
  • Proxy server nebo sítě Kubernetes s výjimkou případů, kdy se používá BYOCNI
  • Všechny ostatní doplňky nebo systémová komponenta spuštěná v oboru názvů kube-system.

AKS není řešení typu Platforma jako služba (PaaS). Některé komponenty, jako jsou uzly agentů, mají sdílenou odpovědnost, kde musíte pomoct udržovat cluster AKS. Uživatelský vstup se vyžaduje například k použití opravy zabezpečení operačního systému operačního systému uzlu agenta.

Služby se spravují v tom smyslu, že Microsoft a tým AKS nasadí, provozuje a zodpovídá za dostupnost a funkčnost služeb. Zákazníci nemůžou tyto spravované komponenty měnit. Microsoft omezuje přizpůsobení, aby se zajistilo konzistentní a škálovatelné uživatelské prostředí.

Společná odpovědnost

Po vytvoření clusteru definujete uzly agenta Kubernetes, které AKS vytvoří. Na těchto uzlech se spouští vaše úlohy.

Vzhledem k tomu, že uzly agenta spouštějí privátní kód a ukládají citlivá data, podpora Microsoftu k nim může přistupovat pouze omezeným způsobem. podpora Microsoftu se nemůže přihlásit, spouštět příkazy nebo zobrazovat protokoly pro tyto uzly bez vašeho výslovného oprávnění nebo pomoci.

Jakékoli změny provedené přímo v uzlech agenta pomocí některého z rozhraní API IaaS vykreslují cluster nepodporovatelný. Veškeré změny použité na uzly agenta musí být provedeny pomocí nativních mechanismů Kubernetes, jako Daemon Setsje .

Podobně můžete do clusteru a uzlů přidat všechna metadata, jako jsou značky a popisky, a změnit tak všechna metadata vytvořená systémem vykreslí cluster nepodporovaný.

Pokrytí podpory AKS

Microsoft poskytuje technickou podporu pro následující příklady:

  • Připojení ivity pro všechny komponenty Kubernetes, které služba Kubernetes poskytuje a podporuje, jako je například server rozhraní API.
  • Správa, dostupnost, technologie QoS a operace služeb řídicí roviny Kubernetes (například řídicí rovina Kubernetes, server rozhraní API atd.) a coreDNS.
  • Úložiště dat etcd. Podpora zahrnuje automatizované, transparentní zálohování všech dat atd. každých 30 minut pro plánování havárie a obnovení stavu clusteru. Tyto zálohy nejsou přímo dostupné pro vás ani pro někoho jiného. Zajišťují spolehlivost a konzistenci dat. Vrácení zpět nebo obnovení na vyžádání není podporováno jako funkce.
  • Všechny body integrace v ovladači poskytovatele cloudu Azure pro Kubernetes Patří mezi ně integrace do jiných služeb Azure, jako jsou nástroje pro vyrovnávání zatížení, trvalé svazky nebo sítě (Kubernetes a Azure CNI, s výjimkou případů, kdy se používá BYOCNI ).
  • Dotazy nebo problémy související s přizpůsobením komponent roviny řízení, jako je server rozhraní API Kubernetes atd., a coreDNS
  • Problémy se sítěmi, jako jsou Azure CNI, kubenet nebo jiné problémy se síťovým přístupem a funkcemi, s výjimkou případů, kdy se používá BYOCNI Mezi problémy může patřit překlad DNS, ztráta paketů, směrování atd. Microsoft podporuje různé síťové scénáře:
    • Kubenet a Azure CNI pomocí spravovaných virtuálních sítí nebo s vlastními podsítěmi (přineste si vlastní).
    • Připojení ivity k jiným službám a aplikacím Azure
    • Kontrolery příchozího přenosu dat a konfigurace příchozího přenosu dat nebo nástroje pro vyrovnávání zatížení
    • Výkon a latence sítě
    • Zásady sítě

Poznámka:

Všechny akce clusteru prováděné Microsoftem nebo AKS se provádějí s vaším souhlasem v rámci předdefinované role aks-service Kubernetes a předdefinované vazby aks-service-rolebindingrolí . Tato role umožňuje AKS řešit a diagnostikovat problémy s clustery, ale nemůže měnit oprávnění ani vytvářet role nebo vazby rolí ani jiné akce s vysokými oprávněními. Přístup k rolím je povolený jenom v rámci aktivních lístků podpory s přístupem ZA běhu (JIT).

Microsoft neposkytuje technickou podporu pro následující scénáře:

  • Dotazy týkající se používání Kubernetes Například podpora Microsoftu neposkytuje rady, jak vytvářet vlastní kontrolery příchozího přenosu dat, používat aplikační úlohy nebo používat balíčky nebo opensourcové softwarové balíčky nebo nástroje třetích stran.

    Poznámka:

    podpora Microsoftu může poradit s funkcemi clusteru AKS, přizpůsobením a laděním (například problémy a postupy operací Kubernetes).

  • Opensourcové projekty třetích stran, které nejsou k dispozici jako součást řídicí roviny Kubernetes nebo nasazené s clustery AKS. Mezi tyto projekty patří Istio, Helm, Envoy nebo jiné.

    Poznámka:

    Microsoft může poskytovat podporu opensourcových projektů třetích stran, jako je Helm, v nejlepším úsilí. Pokud se opensourcový nástroj třetí strany integruje s poskytovatelem cloudu Kubernetes Azure nebo jinými chybami specifickými pro AKS, Microsoft podporuje příklady a aplikace z dokumentace Microsoftu.

  • Uzavřený zdrojový software třetích stran. Tento software může zahrnovat nástroje pro kontrolu zabezpečení a síťová zařízení nebo software.

  • Jiná přizpůsobení sítě než ta, která jsou uvedená v dokumentaci AKS.

  • Vlastní nebo externí moduly plug-in CNI používané v režimu BYOCNI .

  • Samostatné a proaktivní scénáře. podpora Microsoftu poskytuje reaktivní podporu, která pomáhá včas a profesionálně řešit aktivní problémy. Pohotovostní nebo proaktivní podpora, která vám pomůže eliminovat provozní rizika, zvýšit dostupnost a optimalizovat výkon, se ale nepokrývají. Opravňující zákazníci můžou kontaktovat svůj tým účtů a požádat ho o nominaci pro službu Azure Event Management. Jedná se o placenou službu poskytovanou pracovníky podpory Microsoftu, která během události zahrnuje proaktivní posouzení rizik řešení a pokrytí.

Pokrytí podpory AKS pro uzly agentů

Odpovědnost Microsoftu za uzly agenta AKS

Microsoft a sdílíte odpovědnost za uzly agenta Kubernetes, kde:

  • Základní image operačního systému obsahuje požadované doplňky (například agenty monitorování a sítě).
  • Uzly agenta přijímají opravy operačního systému automaticky.
  • Problémy s komponentami řídicí roviny Kubernetes, které běží na uzlech agenta, se automaticky opravují. Mezi tyto komponenty patří:
    • Kube-proxy
    • Síťové tunely, které poskytují komunikační cesty k hlavním komponentám Kubernetes
    • Kubelet
    • containerd

Poznámka:

Pokud uzel agenta není funkční, může AKS restartovat jednotlivé komponenty nebo celý uzel agenta. Tyto operace restartování jsou automatizované a poskytují automatickou nápravu běžných problémů. Pokud chcete získat další informace o mechanismech automatické nápravy, přečtěte si téma Automatické opravy uzlu.

Odpovědnost zákazníků za uzly agenta AKS

Microsoft každý týden poskytuje opravy a nové image pro uzly imagí, ale ve výchozím nastavení je automaticky neopravy. Pokud chcete udržovat operační systém uzlu agenta a komponenty modulu runtime opravené, měli byste zachovat plán upgradu bitové kopie běžného uzlu nebo ho automatizovat.

Podobně AKS pravidelně vydává nové opravy Kubernetes a podverze. Tyto aktualizace můžou obsahovat vylepšení zabezpečení nebo funkčnosti Kubernetes. Zodpovídáte za aktualizaci verze kubernetes clusterů a podle zásad podpory AKS Kubernetes.

Přizpůsobení uživatelských uzlů agentů

Poznámka:

Uzly agenta AKS se zobrazují na webu Azure Portal jako standardní prostředky Azure IaaS. Tyto virtuální počítače se ale nasadí do vlastní skupiny prostředků Azure (předpona MC_*). Základní image operačního systému nemůžete změnit ani pomocí rozhraní API nebo prostředků IaaS provádět přímá přizpůsobení těchto uzlů. Všechny vlastní změny, které se neprovedou z rozhraní API AKS, se nebudou uchovávat prostřednictvím upgradu, škálování, aktualizace nebo restartování. Jakákoli změna rozšíření uzlů, jako je CustomScriptExtension , může také vést k neočekávanému chování a mělo by být zakázáno. Vyhněte se provádění změn uzlů agenta, pokud podpora Microsoftu vás nenasměruje na provedení změn.

AKS spravuje životní cyklus a operace uzlů agentů vaším jménem a úpravy prostředků IaaS přidružených k uzlům agenta se nepodporují. Příkladem nepodporované operace je přizpůsobení škálovací sady virtuálních počítačů fondu uzlů ruční změnou konfigurací na webu Azure Portal nebo z rozhraní API.

Pro konfigurace nebo balíčky specifické pro úlohy doporučuje AKS používat Kubernetes daemon sets.

Použití privilegovaných daemon sets a inicializačních kontejnerů Kubernetes umožňuje ladit nebo upravovat nebo instalovat software třetích stran na uzly agenta clusteru. Mezi příklady takových přizpůsobení patří přidání vlastního softwaru pro kontrolu zabezpečení nebo aktualizace nastavení sysctl.

I když se tato cesta doporučuje, pokud platí výše uvedené požadavky, technik a podpora AKS nemůžou pomoct s řešením potíží nebo diagnostikou úprav, které vykreslují uzel nedostupný kvůli vlastnímu nasazení daemon set.

Problémy se zabezpečením a opravy

Pokud se v jedné nebo více spravovaných komponentách AKS najde chyba zabezpečení, tým AKS opraví všechny ovlivněné clustery, aby tento problém zmírnit. Případně vám tým AKS poskytne pokyny k upgradu.

V případě uzlů agentů ovlivněných chybou zabezpečení vás Microsoft upozorní podrobnostmi o dopadu a krocích k opravě nebo zmírnění problému se zabezpečením.

Údržba a přístup k uzlům

I když se můžete přihlásit k uzlům agenta a změnit je, tato operace se nedoporučuje, protože změny můžou cluster nepodporovat.

Síťové porty, přístup a skupiny zabezpečení sítě

Skupiny zabezpečení sítě můžete přizpůsobit pouze ve vlastních podsítích. Skupiny zabezpečení sítě není možné přizpůsobit ve spravovaných podsítích ani na úrovni síťové karty uzlů agenta. AKS má požadavky na výchozí přenos dat pro konkrétní koncové body, pro řízení výchozího přenosu dat a zajištění nezbytného připojení, viz omezení odchozího provozu. Požadavky pro příchozí přenos dat jsou založené na aplikacích, které jste nasadili do clusteru.

Zastavené, uvolněné a nepřipravené uzly

Pokud nepotřebujete, aby se úlohy AKS spouštěly nepřetržitě, můžete zastavit cluster AKS, který zastaví všechny fondy uzlů a řídicí rovinu. V případě potřeby ho můžete spustit znovu. Když cluster zastavíte pomocí az aks stop příkazu, stav clusteru se zachová po dobu až 12 měsíců. Po 12 měsících se stav clusteru a všechny jeho prostředky odstraní.

Ruční uvolnění všech uzlů clusteru z rozhraní API IaaS, Azure CLI nebo webu Azure Portal se nepodporuje pro zastavení clusteru nebo fondu uzlů AKS. Cluster bude po 30 dnech považován za zastaralý a zastavený službou AKS. Clustery se pak řídí stejnými zásadami uchovávání 12 měsíců jako správně zastavený cluster.

Clustery s nulovými uzly připraveno (nebo všechny nepřipravené) a po 30 dnech se zastaví nula spuštěných virtuálních počítačů.

AKS si vyhrazuje právo archivovat řídicí roviny, které byly nakonfigurovány z pokynů podpory pro delší období rovnající se 30 dnům a delším. AKS udržuje zálohy metadat clusteru atd. může cluster snadno relokovat. Tuto relokaci inicializovala jakákoli operace PUT, která cluster vrací zpět do podpory, například upgrade nebo škálování na aktivní uzly agenta.

Všechny clustery v pozastaveném předplatném se okamžitě zastaví a odstraní po 90 dnech. Všechny clustery v odstraněných předplatných se okamžitě odstraní.

Nepodporované funkce Kubernetes s alfa a beta verzí

AKS podporuje pouze stabilní a beta funkce v rámci upstreamového projektu Kubernetes. Pokud není uvedeno jinak, AKS nepodporuje žádnou alfa funkci, která je k dispozici v upstreamovém projektu Kubernetes.

Funkce nebo příznaky funkcí ve verzi Preview

U funkcí, které vyžadují rozšířené testování a zpětnou vazbu uživatelů, microsoft vydává nové funkce preview nebo funkce za příznakem funkce. Zvažte tyto funkce jako předběžné nebo beta funkce.

Funkce preview nebo funkce příznaku funkcí nejsou určené pro produkční prostředí. Probíhající změny v rozhraních API a chování, opravách chyb a dalších změnách můžou vést k nestabilním clusterům a výpadkům.

Funkce ve verzi Public Preview spadají pod podporu co největšího úsilí , protože tyto funkce jsou ve verzi Preview a nejsou určené pro produkční prostředí. Týmy technické podpory AKS poskytují podporu pouze během pracovní doby. Další informace najdete v nejčastějších dotazech k podpoře Azure.

Upstreamové chyby a problémy

Vzhledem k rychlosti vývoje v upstreamovém projektu Kubernetes vznikají chyby vždy. Některé z těchto chyb se nedají opravit ani obejít v rámci systému AKS. Opravy chyb místo toho vyžadují větší opravy upstreamových projektů (například Kubernetes, operační systémy uzlu nebo agenta a jádro). U komponent, které vlastní Microsoft (například poskytovatel cloudu Azure), se AKS a pracovníci Azure zavázali k řešení problémů v komunitě.

Pokud příčinou problému technické podpory je jedna nebo více nadřazených chyb, budou týmy podpory a technické týmy AKS:

  • Identifikujte a propojte upstreamové chyby se všemi podpůrnými podrobnostmi, které vám pomůžou vysvětlit, proč se tento problém týká vašeho clusteru nebo úlohy. Zákazníci dostanou odkazy na požadovaná úložiště, aby mohli sledovat problémy a zjistit, kdy nová verze poskytne opravy.

  • Uveďte potenciální alternativní řešení nebo zmírnění rizik. Pokud je možné problém zmírnit, je známý problém v úložišti AKS. Vysvětlení vysvětlování známéhoproblémuho systému:

    • Problém, včetně odkazů na upstreamové chyby.
    • Alternativní řešení a podrobnosti o upgradu nebo jiné trvalosti řešení.
    • Přibližné časové osy zahrnutí problému na základě upstreamového tempa vydávání.