Imágenes de la actualización automática del sistema operativo de nodo

AKS proporciona varios canales de actualización automática dedicados a las actualizaciones de seguridad del sistema operativo de nivel de nodo oportunas. Este canal es diferente de las actualizaciones de la versión de Kubernetes de nivel de clúster y la reemplaza.

Interacciones entre la actualización automática del sistema operativo del nodo y la actualización automática del clúster

Las actualizaciones de seguridad del sistema operativo de nivel de nodo se publican a mayor velocidad que la revisión de Kubernetes o las actualizaciones de versiones secundarias. El canal de actualización automática del sistema operativo del nodo le concede flexibilidad y permite una estrategia personalizada para las actualizaciones de seguridad del sistema operativo de nivel de nodo. Después, puede elegir un plan independiente para las actualizaciones automáticas de la versión de Kubernetes de nivel de clúster. Se recomienda usar actualizaciones automáticas de nivel de clúster y el canal de actualización automática del sistema operativo del nodo juntos. La programación se puede ajustar aplicando dos conjuntos independientes de ventanas de mantenimiento - aksManagedAutoUpgradeSchedule para el canal de actualización automática del clúster y aksManagedNodeOSUpgradeSchedule para el canal de actualización automática del sistema operativo del nodo.

Canales para actualizaciones de imágenes del sistema operativo de nodo

El canal seleccionado determina el calendario de las actualizaciones. Al realizar cambios en los canales de actualización automática del sistema operativo del nodo, espere hasta 24 horas para que los cambios surtan efecto. Una vez que cambie de un canal a otro, se desencadenará un restablecimiento de la imagen inicial que llevará a la rotación de los nodos.

Nota:

La actualización automática de la imagen del sistema operativo del nodo no afectará a la versión de Kubernetes del clúster. Solo funciona para un clúster en una versión compatible.

Están disponibles los siguientes canales de actualización. Puede elegir una de estas opciones:

Canal	Descripción	Comportamiento específico del sistema operativo
None	No se aplicarán actualizaciones de seguridad a los nodos automáticamente. Esto significa que usted es el único responsable de las actualizaciones de seguridad.	N/D
Unmanaged	Las actualizaciones del sistema operativo se aplican automáticamente a través de la infraestructura de aplicación de revisión integrada en el sistema operativo. Inicialmente, las máquinas recién asignadas no tienen parches. La infraestructura del sistema operativo instala los parches en algún momento.	Ubuntu y Azure Linux (grupos de nodos de CPU) aplican revisiones de seguridad a través de una actualización desatendida/dnf-automatic aproximadamente una vez al día alrededor de las 06:00 UTC. Windows no aplica automáticamente revisiones de seguridad, por lo que esta opción se comporta de forma equivalente a None. Deberá administrar el proceso de reinicio mediante una herramienta como kured.
SecurityPatch	Este canal está en versión preliminar y requiere habilitar la marca de característica NodeOsUpgradeChannelPreview. Consulte la sección Requisitos previos para más información. AKS actualiza periódicamente el disco duro virtual (VHD) del nodo con revisiones del mantenedor de la imagen con la etiqueta “solo seguridad”. Puede haber interrupciones cuando se apliquen los parches de seguridad a los nodos. Cuando se aplican las revisiones, el VHD se actualiza y las máquinas existentes se actualizan a ese VHD, lo que respeta las ventanas de mantenimiento y la configuración de sobrecarga. Esta opción conlleva el coste adicional de hospedar los discos duros virtuales en el grupo de recursos del nodo. Si usa este canal, las actualizaciones desatendidas de Linux se deshabilitarán de forma predeterminada.	Linux de Azure no admite este canal en máquinas virtuales habilitadas para GPU. SecurityPatch funciona en las versiones de parches que están en desuso, siempre que la versión secundaria de Kubernetes todavía se admita.
NodeImage	AKS actualiza semanalmente los nodos con un VHD recién revisado que contiene correcciones de seguridad y de errores. La actualización al nuevo VHD supone una interrupción, según los periodos de mantenimiento y la configuración de sobrecarga. No se incurre en ningún coste adicional de VHD al elegir esta opción. Si usa este canal, las actualizaciones desatendidas de Linux se deshabilitarán de forma predeterminada. Las actualizaciones de imágenes de nodo son compatibles con las versiones de revisión que están en desuso, siempre que todavía se admita la versión secundaria de Kubernetes.

Establecer el canal de actualización automática del sistema operativo del nodo en un nuevo clúster

CLI de Azure

• Establezca el canal de actualización automática del sistema operativo del nodo en un nuevo clúster mediante el comando az aks create con el parámetro --node-os-upgrade-channel. En el ejemplo siguiente se establece el canal de actualización automática del sistema operativo del nodo en SecurityPatch.

  az aks create --resource-group myResourceGroup --name myAKSCluster --node-os-upgrade-channel SecurityPatch
  

Azure Portal

1. En Azure Portal, seleccione Crear un recurso>Contenedores>Azure Kubernetes Service (AKS).

2. En la pestaña Aspectos básicos, en Detalles del clúster, seleccione el tipo de canal deseado en la lista desplegable Tipo de canal de seguridad del nodo.

   

3. Seleccione Programador de canales de seguridad y elija la ventana de mantenimiento deseada mediante la característica de Mantenimiento planeado. Se recomienda seleccionar la opción predeterminada Cada semana el domingo (recomendado).

   

4. Complete los pasos restantes para crear el clúster.

Establecer el canal de actualización automática del sistema operativo del nodo en un clúster existente

CLI de Azure

• Establezca el canal de actualización automática del sistema operativo del nodo en un clúster existente mediante el comando az aks update con el parámetro --node-os-upgrade-channel. En el ejemplo siguiente se establece el canal de actualización automática del sistema operativo del nodo en SecurityPatch.

  az aks update --resource-group myResourceGroup --name myAKSCluster --node-os-upgrade-channel SecurityPatch
  

Azure Portal

1. En Azure Portal, vaya al clúster de AKS.

2. En la sección Configuración, seleccione Configuración de clúster.

3. En Actualizaciones de seguridad, seleccione el tipo de canal deseado en la lista desplegable Tipo de canal de seguridad del nodo.

   

4. En Programador del canal de seguridad, seleccione Agregar programación.

5. En la página Agregar programación de mantenimiento, configure las siguientes opciones de ventana de mantenimiento mediante la característica Mantenimiento planeado:

   • Repetir: seleccione la frecuencia deseada para la ventana de mantenimiento. Se recomienda seleccionar semanal.
   • Frecuencia: seleccione el día deseado de la semana para la ventana de mantenimiento. Se recomienda seleccionar domingo.
   • Fecha de inicio de mantenimiento: seleccione la fecha de inicio deseada para la ventana de mantenimiento.
   • Hora de inicio de mantenimiento: seleccione la hora de inicio deseada para la ventana de mantenimiento.
   • Diferencia horaria con UTC: seleccione la diferencia horaria con UTC deseada para la ventana de mantenimiento. Si no se establece, el valor predeterminado es +00:00.

   

6. Seleccione Guardar>Aplicar.

Actualizar la propiedad y la programación

La cadencia predeterminada significa que no se aplica ninguna ventana de mantenimiento planeado.

Canal	Propiedad de las actualizaciones	Cadencia predeterminada
Unmanaged	Actualizaciones de seguridad controladas por el sistema operativo. AKS no tiene control sobre estas actualizaciones.	Aproximadamente a las 6:00 UTC para Ubuntu y Azure Linux. Mensualmente para Windows.
SecurityPatch	AKS probado, totalmente administrado y aplicado con prácticas de implementación seguras. Para obtener más información, consulte Mayor seguridad y resistencia de las cargas de trabajo Canonical en Azure.	Semanalmente
NodeImage	AKS	Semanalmente

Nota:

Aunque las actualizaciones de seguridad de Windows se publican mensualmente, el uso del canal Unmanaged no aplicará automáticamente estas actualizaciones a los nodos de Windows. Si elige el canal Unmanaged, deberá administrar el proceso de reinicio mediante una herramienta como kured para aplicar correctamente las revisiones de seguridad.

Requisitos del canal SecurityPatch

Para usar el canal SecurityPatch, el clúster debe admitir estos requisitos:

• Debe usar la versión 11-02-preview de la API o posterior.
• Si usa la CLI de Azure, se debe instalar la versión 0.5.166 o posterior de la extensión de la CLI aks-preview.
• La marca de característica NodeOsUpgradeChannelPreview debe estar habilitada en la suscripción

Registrar NodeOsUpgradeChannelPreview

Registre la marca de la característica NodeOsUpgradeChannelPreview con el comando NodeOsUpgradeChannelPreview, como se muestra en el siguiente ejemplo:

az feature register --namespace "Microsoft.ContainerService" --name "NodeOsUpgradeChannelPreview"

Tarda unos minutos en que el estado muestre Registrado. Para comprobar el estado de registro se usa el comandoaz feature show:

az feature show --namespace "Microsoft.ContainerService" --name "NodeOsUpgradeChannelPreview"

Cuando aparezca el estado Registrado, actualice el registro del proveedor de recursos Microsoft.ContainerService mediante el comando az provider register:

az provider register --namespace Microsoft.ContainerService

Errores conocidos del canal de nodo

• Actualmente, al establecer el canal de actualización automática del clúster en node-image, también establece automáticamente el canal de actualización automática del sistema operativo del nodo en NodeImage. No se puede cambiar el valor del canal de actualización automática del sistema operativo del nodo si el canal de actualización automática del clúster es node-image. Para establecer el valor del canal de actualización automática del sistema operativo del nodo, compruebe que el valor del canal de actualización automática del clúster no sea node-image.

• El canal SecurityPatch no admite los grupos de nodos del sistema operativo Windows.

Nota:

De forma predeterminada, cualquier nuevo clúster creado con una versión de API 06-01-2022 o posterior establecerá el valor del canal de actualización automática del sistema operativo del nodo en NodeImage. Los clústeres existentes creados con una versión de API anterior a 06-01-2022 tendrán el valor de canal de actualización automática del sistema operativo del nodo establecido en None de manera predeterminada.

Ventanas de mantenimiento planeado del sistema operativo del nodo

El mantenimiento planeado para la actualización automática del sistema operativo del nodo se inicia en la ventana de mantenimiento especificada.

Nota:

Para garantizar una funcionalidad adecuada, use una ventana de mantenimiento de cuatro horas o más.

Para obtener más información sobre el mantenimiento planeado, consulte Uso del mantenimiento planeado a fin de programar ventanas de mantenimiento para el clúster de Azure Kubernetes Service (AKS).

Preguntas frecuentes de la actualización automática del sistema operativo de nodo

• ¿Cómo puedo comprobar el valor actual de nodeOsUpgradeChannel en un clúster?

Ejecute el comando az aks show y compruebe "autoUpgradeProfile" para determinar en qué valor está establecido nodeOsUpgradeChannel:

az aks show --resource-group myResourceGroup --name myAKSCluster --query "autoUpgradeProfile"

• ¿Cómo puedo supervisar el estado de las actualizaciones automáticas del sistema operativo del nodo?

Para ver el estado de las actualizaciones automáticas del sistema operativo del nodo, busque los registros de actividad en el clúster. También puede buscar eventos específicos relacionados con la actualización, como se mencionó en Actualización de un clúster de AKS. AKS también emite eventos de Event Grid relacionados con la actualización. Para obtener más información, consulte AKS como origen de Event Grid.

• ¿Puedo cambiar el valor del canal de actualización automática del sistema operativo del nodo si el canal de actualización automática del clúster está establecido en node-image?

No. Actualmente, al establecer el canal de actualización automática del clúster en node-image, también establece automáticamente el canal de actualización automática del sistema operativo del nodo en NodeImage. No se puede cambiar el valor del canal de actualización automática del sistema operativo del nodo si el canal de actualización automática del clúster es node-image. Para poder cambiar los valores del canal de actualización automática del sistema operativo del nodo, asegúrese de que el canal de actualización automática del clúster no sea node-image.

• ¿Por qué se recomienda SecurityPatch a través del canal Unmanaged?

En el canal Unmanaged, AKS no tiene control sobre cómo y cuándo se entregan las actualizaciones de seguridad. Con SecurityPatch, las actualizaciones de seguridad se prueban completamente y siguen los procedimientos de implementación seguros. SecurityPatch también respeta las ventanas de mantenimiento. Para obtener más información, consulte Mayor seguridad y resistencia de las cargas de trabajo Canonical en Azure.

• ¿Cómo sé si se aplica una actualización SecurityPatch o NodeImage en mi nodo?

Ejecute el comando siguiente para obtener etiquetas de nodo:

kubectl get nodes --show-labels

Entre las etiquetas devueltas, debería ver una línea similar a la siguiente salida:

kubernetes.azure.com/node-image-version=AKSUbuntu-2204gen2containerd-202311.07.0

Aquí, la versión de la imagen del nodo base es AKSUbuntu-2204gen2containerd. Si procede, la versión del parche de seguridad suele ser la siguiente. En el ejemplo anterior es 202311.07.0.

También se buscarán los mismos detalles en Azure Portal en la vista de etiqueta del nodo:

Pasos siguientes

Para obtener una explicación detallada de los procedimientos recomendados de actualización y otras consideraciones, consulte Guía de actualización y revisión de AKS.