Csomópont operációsrendszer-lemezképének automatikus frissítése

Az AKS több automatikus frissítési csatornát biztosít, amely az operációs rendszer időszerű, csomópontszintű biztonsági frissítéseit tartalmazza. Ez a csatorna eltér a fürtszintű Kubernetes-verziófrissítésektől, és felülírja azt.

A csomópont operációs rendszerének automatikus frissítése és a fürt automatikus frissítése közötti interakciók

A csomópontszintű operációs rendszer biztonsági frissítései gyorsabban jelennek meg, mint a Kubernetes-javítások vagy az alverziófrissítések. A csomópont operációs rendszer automatikus frissítési csatornája rugalmasságot biztosít, és lehetővé teszi a csomópontszintű operációs rendszer biztonsági frissítéseinek testre szabott stratégiáját. Ezután választhat egy külön csomagot a fürtszintű Kubernetes-verzió automatikus frissítéséhez. A legjobb, ha a fürtszintű automatikus frissítéseket és a csomópont operációs rendszer automatikus frissítési csatornáját együtt használja. Az ütemezés finomhangolható úgy, hogy két külön karbantartási ablakotaksManagedAutoUpgradeSchedule - alkalmaz a fürt automatikus frissítési csatornájára és aksManagedNodeOSUpgradeSchedule a csomópont operációs rendszer automatikus frissítési csatornájára.

Csomópont operációsrendszer-képfrissítéseinek csatornái

A kiválasztott csatorna határozza meg a frissítések időzítését. A csomópont operációs rendszer automatikus frissítési csatornáinak módosításakor a módosítások érvénybe lépése akár 24 órát is igénybe vehet. Ha az egyik csatornáról egy másik csatornára vált, a rendszer elindít egy újraimázst, amely gördülő csomópontokhoz vezet.

Feljegyzés

A csomópont operációsrendszer-lemezképének automatikus frissítése nem befolyásolja a fürt Kubernetes-verzióját. Csak támogatott verziójú fürtök esetén működik.

A következő frissítési csatornák érhetők el. Az alábbi lehetőségek közül választhat:

Csatorna	Leírás	Operációsrendszer-specifikus viselkedés
None	A csomópontok nem alkalmazzák automatikusan a biztonsági frissítéseket. Ez azt jelenti, hogy kizárólag Ön felelős a biztonsági frissítésekért.	n/a
Unmanaged	A rendszer automatikusan alkalmazza az operációsrendszer-frissítéseket az operációs rendszer beépített javítási infrastruktúrájában. Az újonnan lefoglalt gépek kezdetben nem lesznek kiosztva. Az operációs rendszer infrastruktúrája egy bizonyos ponton javítja őket.	Az Ubuntu és az Azure Linux (CPU-csomópontkészletek) a biztonsági javításokat felügyelet nélküli frissítéssel/dnf-automatikusan, nagyjából naponta egyszer, 06:00 (UTC) körül alkalmazzák. A Windows nem alkalmazza automatikusan a biztonsági javításokat, így ez a beállítás ugyanúgy működik, mint Nonea . Az újraindítási folyamatot egy olyan eszközzel kell kezelnie, mint a kured.
SecurityPatch	Ez a csatorna előzetes verzióban érhető el, és engedélyeznie kell a funkciójelzőt NodeOsUpgradeChannelPreview. A részletekért tekintse meg az előfeltételek szakaszt. Az AKS rendszeresen frissíti a csomópont virtuális merevlemezét (VHD) a rendszerkép-karbantartó "csak biztonsági" címkével ellátott javításaival. A biztonsági javítások csomópontokra való alkalmazásakor fennakadások lehetnek. A javítások alkalmazásakor a VHD frissül, a meglévő gépek pedig erre a VHD-re frissülnek, betartva a karbantartási időszakokat és a túlfeszültség-beállításokat. Ez a beállítás a virtuális merevlemezek csomópont-erőforráscsoportban való üzemeltetésének többletköltségével jár. Ha ezt a csatornát használja, a Linux felügyelet nélküli frissítései alapértelmezés szerint le lesznek tiltva.	Az Azure Linux nem támogatja ezt a csatornát GPU-kompatibilis virtuális gépeken. SecurityPatch Az elavult javításverziókon működik, amíg az alverzió kubernetes-verziója továbbra is támogatott.
NodeImage	Az AKS egy újonnan javított VHD-vel frissíti a csomópontokat, amely heti rendszerességgel tartalmaz biztonsági javításokat és hibajavításokat. Az új VHD frissítése zavaró, a karbantartási időszakokat és a túlfeszültség-beállításokat követve. Ennek a lehetőségnek a kiválasztásakor nem merül fel további VHD-költség. Ha ezt a csatornát használja, a Linux felügyelet nélküli frissítései alapértelmezés szerint le lesznek tiltva. A csomópontrendszerképek frissítései támogatják az elavult javításverziókat, amíg a kubernetes-verzió továbbra is támogatott.

A csomópont operációs rendszerének automatikus frissítési csatornájának beállítása új fürtön

Azure CLI

• Állítsa be a csomópont operációs rendszerének automatikus frissítési csatornát egy új fürtre a az aks create paraméterrel rendelkező --node-os-upgrade-channel paranccsal. Az alábbi példa a csomópont operációs rendszerének automatikus frissítési csatornát állítja be SecurityPatch.

  az aks create --resource-group myResourceGroup --name myAKSCluster --node-os-upgrade-channel SecurityPatch
  

Azure Portalra

1. Az Azure Portalon válassza az Erőforrás-tárolók>>létrehozása Azure Kubernetes Service (AKS) lehetőséget.

2. Az Alapszintű beállítások lap Fürt részletei csoportjában válassza ki a kívánt csatornatípust a Csomópont biztonsági csatorna típusának legördülő listájából.

   

3. Válassza a Biztonsági csatorna ütemezőjét , és válassza ki a kívánt karbantartási időszakot a Tervezett karbantartás funkcióval. Javasoljuk, hogy vasárnap minden héten válassza az alapértelmezett beállítást (ajánlott).

   

4. A fürt létrehozásához hajtsa végre a többi lépést.

A csomópont operációs rendszerének automatikus frissítési csatornájának beállítása meglévő fürtön

Azure CLI

• Állítsa be a csomópont operációs rendszerének automatikus frissítési csatornát egy meglévő fürtön a az aks update paraméterrel rendelkező --node-os-upgrade-channel paranccsal. Az alábbi példa a csomópont operációs rendszerének automatikus frissítési csatornát állítja be SecurityPatch.

  az aks update --resource-group myResourceGroup --name myAKSCluster --node-os-upgrade-channel SecurityPatch
  

Azure Portalra

1. Az Azure Portalon keresse meg az AKS-fürtöt.

2. A Gépház szakaszban válassza a Fürtkonfiguráció lehetőséget.

3. A Biztonsági frissítések területen válassza ki a kívánt csatornatípust a Csomópont biztonsági csatorna típusának legördülő listájából.

   

4. A Biztonsági csatorna ütemezője beállításnál válassza az Ütemezés hozzáadása lehetőséget.

5. A Karbantartási ütemezés hozzáadása lapon konfigurálja a következő karbantartási időszak beállításait a Tervezett karbantartás funkcióval:

   • Ismétlések: Válassza ki a karbantartási időszak kívánt gyakoriságát. Javasoljuk, hogy válassza a Heti lehetőséget.
   • Gyakoriság: Válassza ki a hét kívánt napját a karbantartási időszakhoz. Javasoljuk, hogy válassza a vasárnapot.
   • Karbantartás kezdő dátuma: Válassza ki a karbantartási időszak kívánt kezdési dátumát.
   • Karbantartási kezdési időpont: Válassza ki a karbantartási időszak kívánt kezdési idejét.
   • UTC eltolás: Válassza ki a karbantartási időszak kívánt UTC-eltolását. Ha nincs beállítva, az alapértelmezett érték +00:00.

   

6. Válassza az Alkalmaz mentése lehetőséget.>

Tulajdonjog és ütemezés frissítése

Az alapértelmezett ütemezés azt jelenti, hogy nincs tervezett karbantartási időszak alkalmazva.

Csatorna	Frissítések tulajdonjoga	Alapértelmezett ütemezés
Unmanaged	Operációsrendszer-alapú biztonsági frissítések. Az AKS nem szabályozza ezeket a frissítéseket.	Ubuntu és Azure Linux esetén éjjel 6 óra körül utc. Windows esetén havonta.
SecurityPatch	Az AKS által tesztelt, teljes körűen felügyelt és biztonságos üzembe helyezési eljárásokkal alkalmazott. További információkért tekintse meg a canonical számítási feladatok fokozott biztonságát és rugalmasságát az Azure-ban.	Heti.
NodeImage	AKS	Heti.

Feljegyzés

Bár a Windows biztonsági frissítései havi rendszerességgel jelennek meg, a Unmanaged csatorna használata nem alkalmazza automatikusan ezeket a frissítéseket a Windows-csomópontokra. Ha a csatornát Unmanaged választja, a biztonsági javítások megfelelő alkalmazásához egy olyan eszközzel kell kezelnie az újraindítási folyamatot, mint a kured .

A SecurityPatch-csatorna követelményei

A csatorna használatához a SecurityPatch fürtnek támogatnia kell az alábbi követelményeket:

• API-verziót vagy újabb verziót 11-02-preview kell használnia
• Az Azure CLI használata esetén telepíteni kell a aks-preview CLI-bővítmény verzióját vagy újabb verzióját 0.5.166
• A NodeOsUpgradeChannelPreview funkciójelzőt engedélyezni kell az előfizetésben

NodeOsUpgradeChannelPreview regisztrálása

Regisztrálja a NodeOsUpgradeChannelPreview funkciójelzőt az az feature register paranccsal, ahogyan az az alábbi példában látható:

az feature register --namespace "Microsoft.ContainerService" --name "NodeOsUpgradeChannelPreview"

Néhány percig tart, amíg az állapot megjelenik a Regisztrált állapotban. Ellenőrizze a regisztrációs állapotot az az feature show paranccsal:

az feature show --namespace "Microsoft.ContainerService" --name "NodeOsUpgradeChannelPreview"

Ha az állapot a Regisztrált állapotot tükrözi, frissítse a Microsoft.ContainerService erőforrás-szolgáltató regisztrációját az az provider register paranccsal:

az provider register --namespace Microsoft.ContainerService

Csomópontcsatorna ismert hibái

• Jelenleg a fürt automatikus frissítési csatornájának node-image beállításakor automatikusan a csomópont operációs rendszerének automatikus frissítési csatornája NodeImageis lesz. Nem módosíthatja a csomópont operációs rendszerének automatikus frissítési csatornájának értékét, ha a fürt automatikus frissítési csatornája .node-image A csomópont operációs rendszerének automatikus frissítési csatornaértékének beállításához ellenőrizze, hogy a fürt automatikus frissítési csatornájának értéke nemnode-image.>

• A SecurityPatch csatorna windowsos operációsrendszer-csomópontkészleteken nem támogatott.

Feljegyzés

Alapértelmezés szerint az API-verzióval vagy újabb verzióval 06-01-2022 létrehozott új fürtök a csomópont operációs rendszerének automatikus frissítési csatornájának értékét a következőre NodeImageállítják be: . Az API-verzióval korábban 06-01-2022 létrehozott meglévő fürtök esetében alapértelmezés szerint a csomópont operációs rendszerének automatikus frissítési csatornaértéke lesz beállítva None .

Csomópont operációs rendszerének tervezett karbantartási időszakai

A csomópont operációs rendszerének automatikus frissítéséhez tervezett karbantartás a megadott karbantartási időszakon kezdődik.

Feljegyzés

A megfelelő működés biztosítása érdekében használjon négy vagy több órás karbantartási időszakot.

A tervezett karbantartásról további információt az Azure Kubernetes Service(AKS) fürt karbantartási időszakainak ütemezéséhez a Tervezett karbantartás használata című témakörben talál.

Csomópont operációs rendszerének automatikus frissítései – gyakori kérdések

• Hogyan ellenőrizhetim a fürt aktuális nodeOsUpgradeChannel értékét?

Futtassa a az aks show parancsot, és ellenőrizze az "autoUpgradeProfile"-t annak megállapításához, hogy a nodeOsUpgradeChannel következő értékre van-e beállítva:

az aks show --resource-group myResourceGroup --name myAKSCluster --query "autoUpgradeProfile"

• Hogyan monitorozhatom a csomópont operációs rendszerének automatikus frissítéseinek állapotát?

A csomópont operációs rendszer automatikus frissítéseinek állapotának megtekintéséhez keresse meg a fürt tevékenységnaplóit . Az AKS-fürtök frissítésével kapcsolatos konkrét eseményeket is megkereshet. Az AKS a frissítéssel kapcsolatos Event Grid-eseményeket is bocsát ki. További információkért tekintse meg az AKS-t Event Grid-forrásként.

• Módosíthatjam a csomópont operációs rendszerének automatikus frissítési csatornájának értékét, ha a fürt automatikus frissítési csatornája be van állítva node-image ?

Szám Jelenleg a fürt automatikus frissítési csatornájának node-image beállításakor automatikusan a csomópont operációs rendszerének automatikus frissítési csatornája NodeImageis lesz. Nem módosíthatja a csomópont operációs rendszerének automatikus frissítési csatornájának értékét, ha a fürt automatikus frissítési csatornája .node-image A csomópont operációs rendszerének automatikus frissítési csatornaértékeinek módosításához győződjön meg arról, hogy a fürt automatikus frissítési csatornája nem node-image.

• Miért ajánlott csatornán SecurityPatch keresztül Unmanaged ?

A csatornán az Unmanaged AKS-nek nincs szabályozva a biztonsági frissítések kézbesítésének módjára és időpontjára. Ezzel SecurityPatcha biztonsági frissítéseket teljes mértékben teszteljük, és követjük a biztonságos üzembe helyezési eljárásokat. SecurityPatch a karbantartási időszakokat is tiszteletben tartja. További részletekért lásd: A canonical számítási feladatok fokozott biztonsága és rugalmassága az Azure-ban.

• Hogyan tudja, hogy SecurityPatch a csomóponton alkalmaz-e frissítést vagy NodeImage frissítést?

Futtassa a következő parancsot a csomópontcímkék beszerzéséhez:

kubectl get nodes --show-labels

A visszaadott címkék között a következő kimenethez hasonló sort kell látnia:

kubernetes.azure.com/node-image-version=AKSUbuntu-2204gen2containerd-202311.07.0

Itt az alapcsomópont lemezképének verziója.AKSUbuntu-2204gen2containerd Ha van ilyen, a biztonsági javítás verziója általában a következő. A fenti példában ez a következő 202311.07.0: .

Ugyanezeket a részleteket az Azure Portalon is megkeresheti a csomópontcímke nézetben:

Következő lépések

A frissítési ajánlott eljárások és egyéb szempontok részletes ismertetését az AKS-javítás és a frissítési útmutató ismerteti.