Támogatási szabályzatok Azure Kubernetes Service

Ez a cikk a műszaki támogatási szabályzatokkal és az Azure Kubernetes Service (AKS) kapcsolatos részleteket tartalmaz. A cikk az ügynökcsomópont-kezelésről, a felügyelt vezérlősík összetevőiről, a harmadik féltől származó nyílt forráskódú összetevőkről, valamint a biztonság és a javítás kezelésével is kapcsolatos részleteket tartalmaz.

Szolgáltatásfrissítések és -kiadások

Felügyelt funkciók az AKS-ban

Az alapszintű infrastruktúra (IaaS) felhőösszetevők, például a számítási vagy hálózati összetevők alacsony szintű vezérlőkhöz és testreszabási lehetőségekhez biztosítanak hozzáférést. Ezzel szemben az AKS kulcsrakész Kubernetes-telepítést biztosít, amely a fürthöz szükséges általános konfigurációkat és képességeket biztosítja. AKS-felhasználóként korlátozott testreszabási és üzembe helyezési lehetőségek állnak rendelkezésre. Cserébe nem kell közvetlenül a Kubernetes-fürtök miatt aggódnia vagy kezelnie.

Az AKS-sel egy teljes körűen felügyelt vezérlősíkot kap. A vezérlősík tartalmazza az összes olyan összetevőt és szolgáltatást, amelyek működéséhez szükség van, és Kubernetes-fürtök biztosítanak a végfelhasználók számára. A Microsoft minden Kubernetes-összetevőt karbantart és üzemeltet.

A Microsoft a következő összetevőket felügyeli és figyeli a vezérlőpanelen keresztül:

  • Kubelet- vagy Kubernetes API-kiszolgálók
  • Etcd vagy egy kompatibilis kulcs-érték tároló, amely szolgáltatásminőséget (QoS), méretezhetőséget és futásidőt biztosít
  • DNS-szolgáltatások (például kube-dns vagy CoreDNS)
  • Kubernetes-proxy vagy hálózat
  • A kube-system névtérben futó összes további bővítmény vagy rendszerösszetevő

Az AKS nem egy paaS-megoldás. Egyes összetevők, például az ügynökcsomópontok megosztott felelősséggel tartoznak,ahol a felhasználóknak segíteniük kell az AKS-fürt karbantartásában. Felhasználói bevitelre van szükség például egy ügynökcsomópont operációs rendszerének (OS) biztonsági javításához.

A szolgáltatásokat abban az értelemben kezelik, hogy a Microsoft és az AKS csapata üzembe helyez, üzemeltet és felelős a szolgáltatások rendelkezésre állásáért és működéséért. Az ügyfelek nem módosíthatják ezeket a felügyelt összetevőket. A Microsoft korlátozza a testreszabást a egységes és méretezhető felhasználói élmény biztosítása érdekében. A teljes mértékben testreszabható megoldásért lásd: AKS Engine.

Megosztott feladatkörök

A fürt létrehozásakor meg kell határoznia az AKS által létrehozott Kubernetes-ügynökcsomópontokat. A számítási feladatok ezeken a csomópontokon vannak végrehajtva.

Mivel az ügynökcsomópontok privát kódot hajt végre és bizalmas adatokat tárolnak, Microsoft ügyfélszolgálata csak nagyon korlátozott módon férhetnek hozzájuk. Microsoft ügyfélszolgálata nem tud bejelentkezni a csomópontokra, parancsokat végrehajtani vagy naplókat megtekinteni ezekhez a csomópontokhoz az Ön kifejezett engedélye vagy segítsége nélkül.

Az ügynökcsomópontokon az IaaS API-k bármelyikével közvetlenül végzett módosítások nem támogatottvá teszik a fürtöt. Az ügynökcsomópontokon végzett módosításokat a kubernetes natív mechanizmusai, például a használatával kell eltennünk. Daemon Sets

Hasonlóképpen, bár bármilyen metaadatot hozzáadhat a fürthöz és a csomópontokhoz, például címkéket és címkéket, a rendszer által létrehozott metaadatok módosítása nem fogja támogatottvá tenni a fürtöt.

AKS-támogatás lefedettsége

A Microsoft technikai támogatást nyújt az alábbi példákhoz:

  • Kapcsolódás a Kubernetes szolgáltatás által támogatott összes Kubernetes-összetevőhöz, például az API-kiszolgálóhoz.
  • A Kubernetes vezérlősík-szolgáltatásainak (például a Kubernetes vezérlősíkjának, az API-kiszolgálónak és a coreDNS-nek) kezelése, üzemideje, QoS- és műveletei.
  • Etcd-adattár. A támogatás tartalmazza az összes stb. adat 30 percenkénti automatikus, transzparens biztonsági mentését a vésztervezéshez és a fürtállapot visszaállításához. Ezek a biztonsági másolatok nem érhetők el közvetlenül Ön vagy bármely felhasználó számára. Ezek biztosítják az adatok megbízhatóságát és konzisztenciáját. Az igény szerinti visszaállítás vagy visszaállítás funkcióként nem támogatott.
  • Az Azure-felhőszolgáltató Kuberneteshez való illesztőprogramjának integrációs pontjai. Ezek közé tartozik a más Azure-szolgáltatásokba, például a terheléselosztásba, az állandó kötetekbe vagy a hálózatba (Kubernetes és Azure CNI).
  • Kérdések vagy problémák a vezérlősík olyan összetevőinek testreszabásával kapcsolatban, mint a Kubernetes API-kiszolgáló stb. és a coreDNS.
  • Hálózattal kapcsolatos problémák, például Azure CNI, Kubenet vagy más hálózati hozzáféréssel és funkcióval kapcsolatos problémák. Ilyen probléma lehet például a DNS-feloldás, a csomagvesztés, az útválasztás és így tovább. A Microsoft különböző hálózatépítési forgatókönyveket támogat:
    • A Kubenet Azure CNI virtuális hálózatokat vagy egyéni (saját) alhálózatokat használ.
    • Kapcsolódás más Azure-szolgáltatásokhoz és -alkalmazásokhoz
    • Bejövő vezérlők és bejövő forgalom vagy terheléselosztás konfigurációi
    • Hálózati teljesítmény és késés
    • Hálózati szabályzatok

Megjegyzés

A Microsoft/AKS által a felhasználói jóváhagyással, beépített Kubernetes-szerepkör és beépített szerepkörkötés keretében történik a aks-service fürtműveletek. aks-service-rolebinding Ez a szerepkör lehetővé teszi, hogy az AKS elhárítsa és diagnosztizálja a fürtproblémákat, de nem módosíthatja az engedélyeket, és nem hozhat létre szerepköröket, szerepkörkötéseket vagy egyéb magas jogosultságú műveleteket. A szerepkör-hozzáférés csak az aktív támogatási jegyeken van engedélyezve igény szerinti (JIT) hozzáféréssel.

A Microsoft nem nyújt technikai támogatást a következő példákhoz:

  • Kérdések a Kubernetes használatával kapcsolatban. A Microsoft ügyfélszolgálata például nem ad tanácsokat az egyéni bejövő vezérlők létrehozásához, az alkalmazás számítási feladatainak alkalmazásához, illetve külső vagy nyílt forráskódú szoftvercsomagok vagy -eszközök alkalmazásához.

    Megjegyzés

    Microsoft ügyfélszolgálata AKS-fürt funkcióival, testreszabásával és finomhangolásával kapcsolatban (például Kubernetes-műveletekkel és -eljárásokkal kapcsolatos problémák).

  • Harmadik féltől származó nyílt forráskódú projektek, amelyek nem a Kubernetes-vezérlősík részeként vagy AKS-fürtökben üzembe helyezett projektek. Ilyen projekt lehet például az Istio, a Helm, az Envoy vagy más.

    Megjegyzés

    A Microsoft a lehető legjobb támogatást nyújthat külső, nyílt forráskódú projektekhez, például a Helmhez. Ahol a külső nyílt forráskódú eszköz integrálható a Kubernetes Azure-felhőszolgáltatóval vagy más AKS-specifikus hibákkal, a Microsoft támogatja a Microsoft dokumentációjában található példákat és alkalmazásokat.

  • Harmadik féltől származó, zárt forráskódú szoftver. Ez a szoftver magában foglalhatja a biztonsági ellenőrzési eszközöket, valamint a hálózati eszközöket vagy szoftvereket.
  • Az AKS dokumentációjában felsoroltakon kívül más hálózati testreszabások.

Ügynökcsomópontok AKS-támogatási lefedettsége

A Microsoft feladatkörei az AKS-ügynökcsomópontoknál

A Microsoft és a felhasználók megosztják a Kubernetes-ügynökcsomópontok felelősségét, ahol:

  • Az alap operációsrendszer-rendszerképhez további szükséges kiegészítések is szükségesek (például figyelési és hálózatfelügyeleti ügynökök).
  • Az ügynökcsomópontok automatikusan megkapják az operációs rendszer javításokat.
  • Az ügynökcsomópontokon futó Kubernetes-vezérlősík összetevőivel kapcsolatos problémákat a rendszer automatikusan orvosolja. Ezek az összetevők az alábbiak:
    • Kube-proxy
    • Hálózati alagutak, amelyek kommunikációs útvonalakat biztosítanak a Kubernetes fő összetevőihez
    • Kubelet
    • Docker vagy containerd

Megjegyzés

Ha egy ügynökcsomópont nem működik, az AKS újraindíthatja az egyes összetevőket vagy a teljes ügynökcsomópontot. Ezek az újraindítási műveletek automatizáltak, és automatikus szervizelést biztosítanak a gyakori problémákhoz. Ha többet szeretne tudni az automatikus javítási mechanizmusokról, tekintse meg az automatikus csomópont-javítással kapcsolatos tudnivalókat.

Az AKS-ügynökcsomópontok ügyfél feladatkörei

A Microsoft hetente biztosít javításokat és új rendszerképeket a rendszerkép-csomópontokhoz, de alapértelmezés szerint nem javítja őket automatikusan. Az ügynökcsomópont operációsrendszer- és futásidejű összetevőinek javításához rendszeres csomópont-rendszerkép-frissítési ütemezést kell tartania, vagy automatizálni kell azt.

Ehhez hasonlóan az AKS rendszeresen ad ki új Kubernetes-javításokat és alverziókat. Ezek a frissítések a Kubernetes biztonságával vagy funkcióival kapcsolatos fejlesztéseket tartalmazhatnak. Az Ön feladata a fürtök Kubernetes-verziójának frissítése az AKS Kubernetes támogatási verzióra vonatkozó szabályzatának megfelelően.

Ügynökcsomópontok felhasználói testreszabása

Megjegyzés

Az AKS-ügynökcsomópontok a Azure Portal Azure IaaS-erőforrásokként jelennek meg. Ezek a virtuális gépek azonban egy egyéni Azure-erőforráscsoportban vannak üzembe állítva (általában előtaggal MC_*). Az IaaS API-k vagy erőforrások használatával nem módosíthatja az operációs rendszer alaprendszerképét, és nem módosíthatja ezeket a csomópontokat közvetlen testreszabással. Az AKS API-n keresztül nem végrehajtott egyéni módosítások nem maradnak meg frissítés, méretezés, frissítés vagy újraindítás során. Emellett a csomópontok bővítményei, például a CustomScriptExtension bármilyen módosítása váratlan viselkedéshez vezethet, és el kell tiltani. Ne hajtson végre módosításokat az ügynökcsomópontokon, Microsoft ügyfélszolgálata nem irányítja a módosítások elvégzésére.

Az AKS kezeli az ügynökcsomópontok életciklusát és műveleteit az Ön nevében – az ügynökcsomópontokhoz társított IaaS-erőforrások módosítása nem támogatott. Nem támogatott művelet például egy csomópontkészlet virtuálisgép-méretezési készletének testreszabása a konfigurációk manuális módosításával a virtuálisgép-méretezési csoportot használó portálon vagy API-n keresztül.

Számítási feladatspecifikus konfigurációk vagy csomagok esetén az AKS a Kubernetes használatát javasolja.

A Kubernetes rendszer-jogosultságú és init-tárolók használatával külső szoftvereket hangolhat/módosíthat vagy telepíthet a fürt daemon sets ügynökcsomópontjain. Ilyen testreszabás például az egyéni biztonsági ellenőrzési szoftverek hozzáadása vagy a sysctl-beállítások frissítése.

Bár ez az útvonal ajánlott, ha a fenti követelmények érvényesek, az AKS mérnöki és támogatási szolgálata nem tud segítséget nyújtani olyan módosítások hibaelhárításában vagy diagnosztizálásában, amelyek miatt a csomópont egy egyénileg üzembe helyezett miatt nem érhető daemon set el.

Biztonsági problémák és javítás

Ha az AKS egy vagy több felügyelt összetevője biztonsági hibát talál, az AKS-csapat az összes érintett fürtöt javítja a probléma megoldása érdekében. A csapat útmutatást is ad a felhasználóknak a frissítéshez.

A biztonsági hibák által érintett ügynökcsomópontok esetén a Microsoft értesíti Önt a probléma hatásával és a biztonsági probléma megoldásához vagy megoldásához szükséges lépésekkel (általában a csomópont rendszerképének frissítésével vagy a fürt javításának frissítésével).

Csomópont karbantartása és elérése

Bár be tud jelentkezni az ügynökcsomópontokba, de ezt a műveletet nem javasoljuk, mert a módosítások miatt a fürtök nem támogatottak.

Hálózati portok, hozzáférés és NSG-k

Csak az egyéni alhálózatok NSG-it szabhatja testre. Az NSG-k nem szabhatók testre a felügyelt alhálózatokon vagy az ügynökcsomópontok hálózati adapterének szintjén. Az AKS adott végpontokra vonatkozó, a forgalom szabályozására és a szükséges kapcsolatok biztosítására vonatkozó követelményekkel rendelkezik: A forgalom korlátozása. A bejövő forgalom követelményei a fürtön üzembe helyezett alkalmazásokon alapulnak.

Leállított vagy lefoglalt fürtök

Ahogy korábban már említettük, az összes fürtcsomópont IaaS API-kon/CLI-n/portálon keresztül történő manuális elosztása nem támogatja a fürtöt. Az összes csomópont leállításának/lefoglalásának egyetlen támogatott módja az AKS-fürtleállítása, amely akár 12 hónapig megőrzi a fürt állapotát.

A 12 hónapnál tovább leállított fürtök többé nem őrzik meg az állapotot.

Az AKS API-kon kívül lefoglalt fürtökre nem garantálható az állapotmegőrzés. Az ebbe az állapotba került fürtök vezérlősíkja 30 nap után archiválva lesz, és 12 hónap után törlődik.

Az AKS fenntartja a jogot az olyan vezérlősíkok archiválásához, amelyek a támogatási irányelveken kívül vannak konfigurálva 30 napnál hosszabb időtartamra. Az AKS biztonsági másolatokat készít a fürtök stb. metaadatairól, és képes azonnal újraosztani a fürtöt. Ezt az áthelyezést bármely OLYAN PUT művelet kezdeményezheti, amely a fürt támogatását hozza vissza, például frissítéssel vagy aktív ügynökcsomópontokra való skálázható fel.

Ha az előfizetését felfüggesztik vagy törlik, a fürt vezérlősíkja és állapota 90 nap után törlődik.

Nem támogatott alfa- és bétaverziós Kubernetes-funkciók

Az AKS csak a felfelé irányuló Kubernetes-projekt stabil és bétaverziós funkcióit támogatja. Hacsak másként nincs dokumentálva, az AKS nem támogatja a felfelé irányuló Kubernetes-projektben elérhető alfa funkciókat.

Előzetes verziójú funkciók vagy funkciójelölők

A bővített tesztelést és felhasználói visszajelzést igénylő funkciókhoz és funkciókhoz a Microsoft új előzetes funkciókat és funkciókat ad ki egy funkciójelölő mögött. Ezeket a funkciókat előzetes vagy bétaverziós funkciókként érdemes figyelembe venni.

Az előzetes verziójú és a funkciójelölő funkciók nem éles környezetben használhatók. Az API-k és a viselkedés, a hibajavítások és az egyéb változások folyamatos változásai instabil fürtökhöz és állásidőhöz vezethetnek.

A nyilvános előzetes verziójú funkciókat az "elérhető legjobb lehetőség" támogatja, mivel ezek a funkciók előzetes verzióban érhetőek el, és nem éles környezetben használhatók, és az AKS technikai támogatási csapatai csak munkaidőben támogatják őket. További információkért lásd:

Upstream-hibák és -problémák

A felfelé irányuló Kubernetes-projektben a fejlesztés sebessége miatt mindig jelentkeznek hibák. Ezen hibák egy része nem javítható ki vagy nem dolgozható ki az AKS-rendszeren belül. Ehelyett a hibajavítások nagyobb javításokat igényelnek az upstream projektekhez (például a Kuberneteshez, a csomóponthoz vagy az ügynök operációs rendszereihez és kerneléhez). A Microsoft tulajdonában áll összetevők (például az Azure-felhőszolgáltató) számára az AKS és az Azure munkatársai elkötelezettek a problémák megoldásában a közösségben.

Ha egy technikai támogatási problémát egy vagy több felfelé irányuló hiba okoz, az AKS támogatási és mérnöki csapatai a következőt fogják:

  • Azonosítsa és csatolja a felfelé irányuló hibákat az esetleges kiegészítő adatokhoz, amelyek segítenek annak magyarázatában, hogy ez a probléma miért érinti a fürtöt vagy a számítási feladatot. Az ügyfelek hivatkozásokat kapnak a szükséges adattárakra, így figyelheti a problémákat, és láthatják, hogy mikor fog javításokat biztosítani egy új kiadás.
  • Adjon meg lehetséges áthidaló megoldásokat vagy kockázatcsökkentést. Ha a probléma enyhíthető, egy ismert probléma lesz jelentve az AKS-adattárban. Az ismert probléma bejelentése a következőt ismerteti:
    • A probléma, beleértve a felfelé irányuló hibákra mutató hivatkozásokat.
    • Az áthidaló megoldás és a megoldás frissítésének vagy más adatmegőrzésének részletei.
    • A probléma felvételének ütemterve a kiadási folyamat későbbi ütemezése alapján.