Directivas de soporte técnico para Azure Kubernetes ServiceSupport policies for Azure Kubernetes Service

En este artículo se proporcionan detalles sobre las directivas de soporte técnico y las limitaciones de Azure Kubernetes Service (AKS).This article provides details about technical support policies and limitations for Azure Kubernetes Service (AKS). En el artículo también se describen la administración de los nodos de agente, los componentes del plano de control administrado, los componentes de código abierto de terceros y la administración de la seguridad o las revisiones.The article also details agent node management, managed control plane components, third-party open-source components, and security or patch management.

Actualizaciones de servicio y versionesService updates and releases

Características administradas en AKSManaged features in AKS

Los componentes base de la nube de infraestructura como servicio (IaaS), como los de proceso o red, proporcionan a los usuarios acceso a opciones de personalización y controles de nivel bajo.Base infrastructure as a service (IaaS) cloud components, such as compute or networking components, allow you access to low-level controls and customization options. Por el contrario, AKS proporciona una implementación de Kubernetes inmediata que le ofrece el conjunto habitual de configuraciones y funcionalidades que necesita para su clúster.By contrast, AKS provides a turnkey Kubernetes deployment that gives you the common set of configurations and capabilities you need for your cluster. Como usuario de AKS, tiene opciones de personalización e implementación limitadas.As an AKS user, you have limited customization and deployment options. A cambio, no tiene que preocuparse de administrar directamente los clústeres de Kubernetes.In exchange, you don't need to worry about or manage Kubernetes clusters directly.

Con AKS, obtiene un de plano de control totalmente administrado.With AKS, you get a fully managed control plane. El plano de control contiene todos los componentes y servicios que debe ofrecer y proporciona clústeres de Kubernetes para los usuarios finales.The control plane contains all of the components and services you need to operate and provide Kubernetes clusters to end users. Todos los componentes de Kubernetes los mantiene y opera Microsoft.All Kubernetes components are maintained and operated by Microsoft.

Microsoft administra y supervisa los siguientes componentes mediante el panel de control:Microsoft manages and monitors the following components through the control pane:

  • Servidores de la API de Kubernetes o KubeletKubelet or Kubernetes API servers
  • Etcd o un almacén de pares clave-valor compatible, que proporciona calidad de servicio (QoS), escalabilidad y tiempo de ejecuciónEtcd or a compatible key-value store, providing Quality of Service (QoS), scalability, and runtime
  • Servicios DNS (por ejemplo, kube-dns o CoreDNS)DNS services (for example, kube-dns or CoreDNS)
  • Proxy o red de KubernetesKubernetes proxy or networking
  • Cualquier complemento adicional o componente del sistema que se ejecute en el espacio de nombres kube-systemAny additional addon or system component running in the kube-system namespace

AKS no es una solución de plataforma como servicio (PaaS).AKS isn't a Platform-as-a-Service (PaaS) solution. Algunos componentes, como los nodos de agente, tienen responsabilidad compartida con los usuarios para ayudar a mantener el clúster de AKS.Some components, such as agent nodes, have shared responsibility, where users must help maintain the AKS cluster. Se requiere la participación del usuario, por ejemplo, para aplicar una revisión de seguridad del sistema operativo en el nodo de agente.User input is required, for example, to apply an agent node operating system (OS) security patch.

Los servicios son administrados en el sentido en que Microsoft y el equipo de AKS implementan y operan el servicio, y son responsables de su disponibilidad y funcionalidad.The services are managed in the sense that Microsoft and the AKS team deploys, operates, and is responsible for service availability and functionality. Los clientes no pueden modificar estos componentes administrados.Customers can't alter these managed components. Microsoft limita la personalización para garantizar una experiencia de usuario coherente y escalable.Microsoft limits customization to ensure a consistent and scalable user experience. Para una solución totalmente personalizable, consulte el motor de AKS.For a fully customizable solution, see AKS Engine.

Responsabilidad compartidaShared responsibility

Cuando se crea un clúster, se definen los nodos de agente de Kubernetes que crea AKS.When a cluster is created, you define the Kubernetes agent nodes that AKS creates. Las cargas de trabajo se ejecutan en esos nodos.Your workloads are executed on these nodes.

Dado que los nodos de agente ejecutan código privado y almacenan información confidencial, el equipo de Soporte técnico de Microsoft solo puede acceder a ellos con restricciones.Because your agent nodes execute private code and store sensitive data, Microsoft Support can access them only in a very limited way. El equipo de Soporte técnico de Microsoft no puede iniciar sesión en estos nodos, ejecutar comandos en ellos ni ver sus registros sin el consentimiento expreso o la asistencia del cliente.Microsoft Support can't sign in to, execute commands in, or view logs for these nodes without your express permission or assistance.

Cualquier modificación realizada directamente en los nodos de agente mediante cualquiera de las API de IaaS representa el clúster no compatible.Any modification done directly to the agent nodes using any of the IaaS APIs renders the cluster unsupportable. Cualquier modificación realizada en los nodos del agente debe realizarse mediante mecanismos kubernetes-native, como Daemon Sets.Any modification done to the agent nodes must be done using kubernetes-native mechanisms such as Daemon Sets.

Del mismo modo, aunque puede agregar metadatos al clúster y a los nodos, como etiquetas, si cambia cualquiera de los metadatos creados por el sistema, el clúster no se admitirá.Similarly, while you may add any metadata to the cluster and nodes, such as tags and labels, changing any of the system created metadata will render the cluster unsupported.

Cobertura de soporte de AKSAKS support coverage

Microsoft proporciona soporte técnico para lo siguiente:Microsoft provides technical support for the following examples:

  • Conectividad a todos los componentes de Kubernetes que el servicio Kubernetes proporciona y admite, como el servidor de API.Connectivity to all Kubernetes components that the Kubernetes service provides and supports, such as the API server.
  • La administración, el tiempo de actividad, la calidad de servicio y las operaciones de los servicios del plano de control de Kubernetes (por ejemplo, el plano de control de Kubernetes, el servidor de API, etcd y kube-dns).Management, uptime, QoS, and operations of Kubernetes control plane services (Kubernetes control plane, API server, etcd, and coreDNS, for example).
  • Almacén de datos etcd.Etcd data store. La compatibilidad incluye las copias de seguridad automatizadas y transparentes de todos los datos de etcd cada 30 minutos para la restauración del estado del clúster y la planificación ante desastres.Support includes automated, transparent backups of all etcd data every 30 minutes for disaster planning and cluster state restoration. Estas copias de seguridad no están directamente disponibles para los clientes o los usuarios.These backups aren't directly available to you or any users. Garantizan la coherencia y confiabilidad de los datos.They ensure data reliability and consistency. Etcd.Etcd. la reversión a petición o la restauración no se admiten como una característica.on-demand rollback or restore is not supported as a feature.
  • Los puntos de integración en el controlador del proveedor de nube de Azure para Kubernetes.Any integration points in the Azure cloud provider driver for Kubernetes. Estos incluyen las integraciones en otros servicios de Azure, como los equilibradores de carga, los volúmenes persistentes o las redes (Kubernetes y Azure CNI).These include integrations into other Azure services such as load balancers, persistent volumes, or networking (Kubernetes and Azure CNI).
  • Preguntas o problemas sobre la personalización de los componentes del plano de control, como el servidor de API de Kubernetes, etcd y coreDNS.Questions or issues about customization of control plane components such as the Kubernetes API server, etcd, and coreDNS.
  • Problemas relacionados con las redes, como Azure CNI, kubenet, u otros problemas de acceso de red y funcionalidades.Issues about networking, such as Azure CNI, kubenet, or other network access and functionality issues. Podrían incluir los de resolución de DNS, pérdida de paquetes, enrutamiento, etc.Issues could include DNS resolution, packet loss, routing, and so on. Microsoft admite diversos escenarios de redes:Microsoft supports various networking scenarios:
    • Kubenet y Azure CNI mediante redes virtuales administradas o con subredes personalizadas (modelo Traiga sus propias subredes).Kubenet and Azure CNI using managed VNETs or with custom (bring your own) subnets.
    • Conectividad con otros servicios y aplicaciones de AzureConnectivity to other Azure services and applications
    • Controladores de entrada y las configuraciones del equilibrador de carga o de entradaIngress controllers and ingress or load balancer configurations
    • Rendimiento y latencia de la redNetwork performance and latency

Nota

Todas las acciones de clúster realizadas por Microsoft/AKS se realizan con el consentimiento del usuario en un rol de Kubernetes integrado aks-service y el enlace de roles integrado aks-service-rolebinding.Any cluster actions taken by Microsoft/AKS are made with user consent under a built-in Kubernetes role aks-service and built-in role binding aks-service-rolebinding. Este rol permite a AKS solucionar problemas de clústeres, pero no puede modificar permisos ni crear roles, enlaces de roles ni otras acciones de privilegios elevados.This role enables AKS to troubleshoot and diagnose cluster issues, but can't modify permissions nor create roles or role bindings, or other high privilege actions. El acceso a roles solo se habilita en incidencias de soporte técnico activos con acceso Just-in-Time (JIT).Role access is only enabled under active support tickets with just-in-time (JIT) access.

Microsoft no proporciona soporte técnico para lo siguiente:Microsoft doesn't provide technical support for the following examples:

  • Preguntas acerca de cómo usar Kubernetes.Questions about how to use Kubernetes. Por ejemplo, el Soporte técnico de Microsoft no aconseja sobre la creación controladores de entrada personalizados, el uso de cargas de trabajo de aplicación o la aplicación de herramientas o paquetes de software de código abierto de terceros.For example, Microsoft Support doesn't provide advice on how to create custom ingress controllers, use application workloads, or apply third-party or open-source software packages or tools.

    Nota

    El Soporte técnico de Microsoft puede aconsejar sobre la funcionalidad del clúster de AKS, la personalización y los ajustes (por ejemplo, los problemas y los procedimientos de las operaciones de Kubernetes).Microsoft Support can advise on AKS cluster functionality, customization, and tuning (for example, Kubernetes operations issues and procedures).

  • Proyectos de código abierto de terceros que no se proporcionan como parte del plano de control de Kubernetes o se implementan con clústeres de AKS.Third-party open-source projects that aren't provided as part of the Kubernetes control plane or deployed with AKS clusters. Estos proyectos pueden incluir Istio, Helm, Envoy u otros.These projects might include Istio, Helm, Envoy, or others.

    Nota

    Microsoft puede hacer lo posible por ayudar con proyectos de código abierto de terceros como Helm.Microsoft can provide best-effort support for third-party open-source projects such as Helm. Cuando la herramienta de código abierto de terceros integre el proveedor de nube de Azure de Kubernetes u otros errores específicos de AKS, Microsoft es compatible con ejemplos y aplicaciones de la documentación de Microsoft.Where the third-party open-source tool integrates with the Kubernetes Azure cloud provider or other AKS-specific bugs, Microsoft supports examples and applications from Microsoft documentation.

  • Software de código cerrado de terceros.Third-party closed-source software. Este software puede incluir herramientas de análisis de seguridad y dispositivos o software de red.This software can include security scanning tools and networking devices or software.
  • Personalizaciones de red distintas de las que se enumeran en la documentación de AKS.Network customizations other than the ones listed in the AKS documentation.

Cobertura de soporte técnico de AKS para los nodos de agenteAKS support coverage for agent nodes

Responsabilidades de Microsoft sobre los nodos de agente de AKSMicrosoft responsibilities for AKS agent nodes

Microsoft y los clientes comparten la responsabilidad sobre los nodos de agente de Kubernetes donde:Microsoft and users share responsibility for Kubernetes agent nodes where:

  • La imagen del sistema operativo base ha requerido adiciones (por ejemplo, agentes de red y de supervisión).The base OS image has required additions (such as monitoring and networking agents).
  • Los nodos de agente reciban automáticamente revisiones del sistema operativo.The agent nodes receive OS patches automatically.
  • Los problemas con los componentes del plano de control de Kubernetes que se ejecuten en los nodos de agente se remedian automáticamente.Issues with the Kubernetes control plane components that run on the agent nodes are automatically remediated. Estos componentes incluyen lo siguiente:These components include the below:
    • Kube-proxy
    • Túneles de red que proporcionan rutas de acceso de comunicación para los componentes maestros de KubernetesNetworking tunnels that provide communication paths to the Kubernetes master components
    • Kubelet
    • Moby o ContainerDMoby or ContainerD

Nota

Si un nodo de agente no está operativo, AKS podría reiniciar componentes individuales o todo el nodo de agente.If an agent node is not operational, AKS might restart individual components or the entire agent node. Estas operaciones de reinicio se automatizan y proporcionan corrección automática de los problemas comunes.These restart operations are automated and provide auto-remediation for common issues. Si desea obtener más información sobre los mecanismos de corrección automática, consulte Reparación automática de nodo.If you want to know more about the auto-remediation mechanisms, see Node Auto-Repair

Responsabilidades del cliente sobre los nodos de agente de AKSCustomer responsibilities for AKS agent nodes

Microsoft proporciona revisiones y nuevas imágenes para los nodos de imagen semanalmente, pero no las revisará automáticamente de forma predeterminada.Microsoft provides patches and new images for your image nodes weekly, but doesn't automatically patch them by default. Para mantener los componentes del sistema operativo y del runtime del nodo de agente con las últimas revisiones, debe mantener una programación de actualizaciones de imagen de nodo periódicas o automatizarlas.To keep your agent node OS and runtime components patched, you should keep a regular node image upgrade schedule or automate it.

De forma similar, AKS lanza periódicamente nuevas revisiones de Kubernetes y versiones secundarias.Similarly, AKS regularly releases new kubernetes patches and minor versions. Estas actualizaciones pueden contener mejoras de seguridad o funcionalidad para Kubernetes.These updates can contain security or functionality improvements to Kubernetes. Usted es el responsable de mantener actualizada la versión de Kubernetes de los clústeres y de acuerdo con la directiva de versión de compatibilidad con Kubernetes AKS.You're responsible to keep your clusters' kubernetes version updated and according to the AKS Kubernetes Support Version Policy.

Personalización de usuarios de nodos de agenteUser customization of agent nodes

Nota

Los nodos de agente de AKS aparecen en Azure Portal como recursos de Azure IaaS normales.AKS agent nodes appear in the Azure portal as regular Azure IaaS resources. No obstante, estas máquinas virtuales se implementan en un grupo de recursos de Azure personalizado (normalmente, con el prefijo MC_*).But these virtual machines are deployed into a custom Azure resource group (usually prefixed with MC_*). No se puede cambiar la imagen de sistema operativo base ni realizar ninguna personalización directa en estos nodos mediante las API o los recursos de IaaS.You cannot change the base OS image or do any direct customizations to these nodes using the IaaS APIs or resources. Los cambios personalizados que no se realicen a través de la API de AKS no se conservarán a través de una actualización, una escala, una actualización o un reinicio.Any custom changes that are not done via the AKS API will not persist through an upgrade, scale, update or reboot. Evite realizar cambios en los nodos de agente a menos que el equipo de Soporte técnico de Microsoft le indique que realice cambios.Avoid performing changes to the agent nodes unless Microsoft Support directs you to make changes.

AKS administra el ciclo de vida y las operaciones de los nodos de agente en nombre de los clientes, por lo que no admite la modificación de los recursos de IaaS asociados a los nodos de agente.AKS manages the lifecycle and operations of agent nodes on your behalf - modifying the IaaS resources associated with the agent nodes is not supported. Un ejemplo de una operación no admitida es la personalización de un conjunto de escalado de máquinas virtuales del grupo de nodos mediante la modificación manual de las configuraciones a través del portal o la API del conjunto de escalado de máquinas virtuales.An example of an unsupported operation is customizing a node pool virtual machine scale set by manually changing configurations through the virtual machine scale set portal or API.

En el caso de las configuraciones o paquetes específicos de la carga de trabajo, AKS recomienda usar Kubernetes daemon sets.For workload-specific configurations or packages, AKS recommends using Kubernetes daemon sets.

El uso de contenedores de tipo init y daemon sets con privilegios de Kubernetes permite a los clientes ajustar, modificar o instalar software de terceros en los nodos de agente del clúster.Using Kubernetes privileged daemon sets and init containers enables you to tune/modify or install 3rd party software on cluster agent nodes. Algunos ejemplos de estas personalizaciones incluyen agregar software personalizado de examen de seguridad o actualizar la configuración de sysctl.Examples of such customizations include adding custom security scanning software or updating sysctl settings.

Aunque se trata de una ruta de acceso recomendada si se cumplen los requisitos anteriores, los servicios de ingeniería y soporte técnico de AKS no pueden ayudarle en la solución de problemas, en el diagnóstico de modificaciones que indiquen que el nodo no está disponible debido a un daemon set personalizado implementado.While this path is recommended if the above requirements apply, AKS engineering and support cannot assist in troubleshooting or diagnosing modifications that render the node unavailable due to a custom deployed daemon set.

Problemas de seguridad y aplicación de revisionesSecurity issues and patching

Si se encuentra un error de seguridad en uno o más componentes administrados de AKS, el equipo de AKS revisará todos los clústeres afectados para mitigar el problema.If a security flaw is found in one or more of the managed components of AKS, the AKS team will patch all affected clusters to mitigate the issue. Como alternativa, el equipo proporciona a los usuarios instrucciones de actualización.Alternatively, the team will give users upgrade guidance.

En el caso de los nodos de agente afectados por un error de seguridad, Microsoft le notificará con detalles sobre el impacto y los pasos para corregir o mitigar el problema de seguridad (normalmente una actualización de imagen de nodo o una actualización de la revisión de clúster).For agent nodes affected by a security flaw, Microsoft will notify you with details on the impact and the steps to fix or mitigate the security issue (normally a node image upgrade or a cluster patch upgrade).

Acceso a los nodos y mantenimientoNode maintenance and access

Aunque puede iniciar sesión en los nodos de agente y cambiarlos, esto no es recomendable, ya que los cambios pueden hacer que un clúster deje de ser compatible.Although you can sign in to and change agent nodes, doing this operation is discouraged because changes can make a cluster unsupportable.

Puertos de red, acceso y grupos de seguridad de redNetwork ports, access, and NSGs

Solo puede personalizar NSG en subredes personalizadas.You may only customize the NSGs on custom subnets. No puede personalizar NSG en subredes administradas o en el nivel de NIC de los nodos del agente.You may not customize NSGs on managed subnets or at the NIC level of the agent nodes. AKS tiene requisitos de salida para puntos de conexión específicos, para controlar la salida y garantizar la conectividad necesaria; consulte Limitación del tráfico de salida.AKS has egress requirements to specific endpoints, to control egress and ensure the necessary connectivity, see limit egress traffic.

Clústeres detenidos o con asignación anuladasStopped or de-allocated clusters

Según se indicó anteriormente, la anulación manual de la asignación de todos los nodos de clúster a través de las API de IaaS, la CLI o el portal representan el clúster fuera del soporte técnico.As stated earlier, manually de-allocating all cluster nodes via the IaaS APIs/CLI/portal renders the cluster out of support. La única manera admitida de detener y anular la asignación de todos los nodos es detener el clúster de AKS, que conservará el estado del clúster durante 12 meses.The only supported way to stop/de-allocate all nodes is to stop the AKS cluster, which preserves the cluster state for up to 12 months.

Los clústeres que se detienen durante más de 12 meses ya no conservarán el estado.Clusters that are stopped for more than 12 months will no longer preserve state.

Los clústeres que se desasignan fuera de las API de AKS no tienen ninguna garantía de preservación del estado.Clusters that are de-allocated outside of the AKS APIs have no state preservation guarantees. Los planes de control de los clústeres en este estado se archivarán después de 30 días y se eliminarán después de 12 meses.The control planes for clusters in this state will be archived after 30 days, and deleted after 12 months.

AKS se reserva el derecho de archivar los planos de control que se han configurado fuera de las directrices de compatibilidad durante períodos prolongados iguales o superiores a 30 días.AKS reserves the right to archive control planes that have been configured out of support guidelines for extended periods equal to and beyond 30 days. AKS mantiene copias de seguridad de los metadatos de etcd del clúster y puede reasignar fácilmente el clúster.AKS maintains backups of cluster etcd metadata and can readily reallocate the cluster. Esta reasignación puede iniciarse con cualquier operación PUT haciendo que el clúster vuelva a ser compatible, como una actualización o un escalado a los nodos de agente activos.This reallocation can be initiated by any PUT operation bringing the cluster back into support, such as an upgrade or scale to active agent nodes.

Si su suscripción se suspende o se elimina, el estado y el plano de control del clúster se eliminarán después de 90 días.If your subscription is suspended or deleted, your cluster's control plane and state will be deleted after 90 days.

Características de Kubernetes alfa y beta no admitidasUnsupported alpha and beta Kubernetes features

Dentro del proyecto de Kubernetes ascendente, AKS solo admite características estables.AKS only supports stable and beta features within the upstream Kubernetes project. A menos que se documente lo contrario, AKS no admite características alfa que estén disponibles en el proyecto de Kubernetes ascendente.Unless otherwise documented, AKS doesn't support any alpha feature that is available in the upstream Kubernetes project.

Características en versión preliminar o marcas de característicaPreview features or feature flags

Para las características y la funcionalidad que requieran pruebas ampliadas y comentarios de los usuarios, Microsoft publica nuevas características en versión preliminar o características con una marca de característica.For features and functionality that requires extended testing and user feedback, Microsoft releases new preview features or features behind a feature flag. Considere estas características como versión preliminar o características beta.Consider these features as prerelease or beta features.

Las características en versión preliminar o con marca de característica no son para producción.Preview features or feature-flag features aren't meant for production. Los cambios continuos en las API y el comportamiento, las soluciones de errores y otros cambios pueden dar lugar a inestabilidad en los clústeres y tiempo de inactividad.Ongoing changes in APIs and behavior, bug fixes, and other changes can result in unstable clusters and downtime.

Las características en versión preliminar pública suponen el mejor esfuerzo de soporte, por estar en versión preliminar y no estar previstas para producción; se ocupan de ellas los equipos de soporte técnico de AKS únicamente durante el horario comercial.Features in public preview are fall under 'best effort' support as these features are in preview and not meant for production and are supported by the AKS technical support teams during business hours only. Para más información, consulte:For more information, see:

Problemas y errores ascendentesUpstream bugs and issues

Dada la velocidad de desarrollo del proyecto ascendente de Kubernetes, siempre se producen errores.Given the speed of development in the upstream Kubernetes project, bugs invariably arise. Algunos de estos errores no se pueden revisar o solucionar dentro del sistema de AKS.Some of these bugs can't be patched or worked around within the AKS system. En su lugar, las correcciones de errores requieren mayores revisiones en los proyectos ascendentes (como Kubernetes, los sistemas operativos del nodo o de agente y kernels).Instead, bug fixes require larger patches to upstream projects (such as Kubernetes, node or agent operating systems, and kernel). Para los componentes que pertenecen a Microsoft (por ejemplo, el proveedor de nube de Azure), el personal de AKS y Azure se comprometen a solucionar los problemas ascendentes en la comunidad.For components that Microsoft owns (such as the Azure cloud provider), AKS and Azure personnel are committed to fixing issues upstream in the community.

Cuando un problema de soporte técnico lo causa originalmente uno o más errores ascendentes, los equipos de soporte técnico e ingeniería de AKS:When a technical support issue is root-caused by one or more upstream bugs, AKS support and engineering teams will:

  • Identificarán y vincularán los errores ascendentes con detalles que lo justifiquen para intentar explicar por qué afecta al clúster o a la carga de trabajo.Identify and link the upstream bugs with any supporting details to help explain why this issue affects your cluster or workload. Los clientes recibirán vínculos a los repositorios necesarios para que puedan consultar los problemas y cuándo una nueva versión proporciona correcciones.Customers receive links to the required repositories so they can watch the issues and see when a new release will provide fixes.
  • Proporcionarán posibles soluciones alternativas o mitigaciones.Provide potential workarounds or mitigation. Si se puede mitigar el problema, se archivará un problema conocido en el repositorio de AKS.If the issue can be mitigated, a known issue will be filed in the AKS repository. En el archivo de problemas conocidos se explica:The known-issue filing explains:
    • El problema, con vínculos a los errores ascendentes.The issue, including links to upstream bugs.
    • La solución y los detalles sobre una actualización u otra manera de que la solución persista.The workaround and details about an upgrade or another persistence of the solution.
    • Escalas de tiempo aproximadas de la inclusión del problema en función de la cadencia de la versión ascendente.Rough timelines for the issue's inclusion, based on the upstream release cadence.