Automatyczne uaktualnianie obrazów systemu operacyjnego węzła

Usługa AKS udostępnia wiele kanałów automatycznego uaktualniania dedykowanych do aktualizacji zabezpieczeń systemu operacyjnego na poziomie węzła. Ten kanał różni się od uaktualnień wersji platformy Kubernetes na poziomie klastra i zastępuje go.

Interakcje między automatycznym uaktualnianiem systemu operacyjnego węzła a automatycznym uaktualnianiem klastra

Aktualizacje zabezpieczeń systemu operacyjnego na poziomie węzła są wydawane szybciej niż aktualizacje poprawki platformy Kubernetes lub aktualizacje wersji pomocniczej. Kanał automatycznego uaktualniania systemu operacyjnego węzła zapewnia elastyczność i umożliwia dostosowaną strategię aktualizacji zabezpieczeń systemu operacyjnego na poziomie węzła. Następnie możesz wybrać oddzielny plan automatycznego uaktualniania wersji rozwiązania Kubernetes na poziomie klastra. Najlepiej używać zarówno automatycznych uaktualnień na poziomie klastra, jak i kanału automatycznego uaktualniania systemu operacyjnego węzła. Planowanie można dostosować, stosując dwa oddzielne zestawy okien - aksManagedAutoUpgradeSchedule obsługi dla kanału automatycznego uaktualniania klastra oraz aksManagedNodeOSUpgradeSchedule kanał automatycznego uaktualniania systemu operacyjnego węzła.

Kanały uaktualnień obrazu systemu operacyjnego węzła

Wybrany kanał określa czas uaktualniania. Podczas wprowadzania zmian w kanałach automatycznego uaktualniania systemu operacyjnego węzła zmiany mogą obowiązywać do 24 godzin. Po zmianie z jednego kanału na inny kanał zostanie wyzwolony obraz prowadzący do węzłów stopniowych.

Uwaga

Automatyczne uaktualnianie obrazu systemu operacyjnego Node nie wpłynie na wersję rozwiązania Kubernetes klastra. Działa tylko dla klastra w obsługiwanej wersji.

Dostępne są następujące kanały uaktualniania. Możesz wybrać jedną z następujących opcji:

Kanał	opis	Zachowanie specyficzne dla systemu operacyjnego
None	Węzły nie mają automatycznie zastosowanych aktualizacji zabezpieczeń. Oznacza to, że ponosisz wyłączną odpowiedzialność za aktualizacje zabezpieczeń.	Nie dotyczy
Unmanaged	Aktualizacje systemu operacyjnego są stosowane automatycznie za pośrednictwem wbudowanej infrastruktury stosowania poprawek systemu operacyjnego. Nowo przydzielone maszyny są początkowo niezaporządkowane. Infrastruktura systemu operacyjnego poprawia je w pewnym momencie.	Systemy Ubuntu i Azure Linux (pule węzłów procesora CPU) stosują poprawki zabezpieczeń za pośrednictwem nienadzorowanego uaktualnienia/systemu dnf-automatic mniej więcej raz dziennie około 06:00 UTC. System Windows nie stosuje automatycznie poprawek zabezpieczeń, więc ta opcja działa równoważne z None. Musisz zarządzać procesem ponownego uruchamiania przy użyciu narzędzia takiego jak kured.
SecurityPatch	Ten kanał jest w wersji zapoznawczej i wymaga włączenia flagi NodeOsUpgradeChannelPreviewfunkcji . Szczegółowe informacje można znaleźć w sekcji wymagań wstępnych. Usługa AKS regularnie aktualizuje wirtualny dysk twardy węzła przy użyciu poprawek z osoby odpowiedzialnej za obraz oznaczony jako "tylko zabezpieczenia". Mogą wystąpić zakłócenia, gdy poprawki zabezpieczeń są stosowane do węzłów. Po zastosowaniu poprawek dysk VHD jest aktualizowany, a istniejące maszyny są uaktualniane do tego dysku VHD, honorując okna obsługi i ustawienia przepięcia. Ta opcja wiąże się z dodatkowymi kosztami hostowania dysków VHD w grupie zasobów węzła. Jeśli używasz tego kanału, uaktualnienia nienadzorowane systemu Linux są domyślnie wyłączone.	System Azure Linux nie obsługuje tego kanału na maszynach wirtualnych z obsługą procesora GPU. SecurityPatch działa w przypadku wersji poprawek przestarzałych, tak długo, jak wersja pomocnicza platformy Kubernetes jest nadal obsługiwana.
NodeImage	Usługa AKS aktualizuje węzły przy użyciu nowo poprawionego wirtualnego dysku twardego zawierającego poprawki zabezpieczeń i poprawki błędów co tydzień. Aktualizacja nowego dysku VHD jest destrukcyjna, zgodnie z ustawieniami okien konserwacji i przepięcia. Podczas wybierania tej opcji nie są naliczane żadne dodatkowe koszty dysku VHD. Jeśli używasz tego kanału, uaktualnienia nienadzorowane systemu Linux są domyślnie wyłączone. Uaktualnienia obrazów węzłów obsługują przestarzałe wersje poprawek, o ile wersja pomocnicza kubernetes jest nadal obsługiwana.

Ustawianie kanału automatycznego uaktualniania systemu operacyjnego węzła w nowym klastrze

Interfejs wiersza polecenia platformy Azure

• Ustaw kanał automatycznego uaktualniania systemu operacyjnego węzła w nowym klastrze przy użyciu az aks create polecenia z parametrem --node-os-upgrade-channel . Poniższy przykład ustawia kanał automatycznego uaktualniania systemu operacyjnego węzła na SecurityPatch.

  az aks create --resource-group myResourceGroup --name myAKSCluster --node-os-upgrade-channel SecurityPatch
  

Witryna Azure Portal

1. W witrynie Azure Portal wybierz pozycję Utwórz zasób>Containers>Azure Kubernetes Service (AKS).

2. Na karcie Podstawowe w obszarze Szczegóły klastra wybierz żądany typ kanału z listy rozwijanej Typ kanału zabezpieczeń węzła.

   

3. Wybierz pozycję Harmonogram kanałów zabezpieczeń i wybierz odpowiednie okno obsługi przy użyciu funkcji Planowana konserwacja. Zalecamy wybranie opcji domyślnej co tydzień w niedzielę (zalecane).

   

4. Wykonaj pozostałe kroki, aby utworzyć klaster.

Ustawianie kanału automatycznego uaktualniania systemu operacyjnego węzła w istniejącym klastrze

Interfejs wiersza polecenia platformy Azure

• Ustaw kanał automatycznego uaktualniania systemu operacyjnego węzła w istniejącym klastrze przy użyciu az aks update polecenia z parametrem --node-os-upgrade-channel . Poniższy przykład ustawia kanał automatycznego uaktualniania systemu operacyjnego węzła na SecurityPatch.

  az aks update --resource-group myResourceGroup --name myAKSCluster --node-os-upgrade-channel SecurityPatch
  

Witryna Azure Portal

1. W witrynie Azure Portal przejdź do klastra usługi AKS.

2. W sekcji Ustawienia wybierz pozycję Konfiguracja klastra.

3. W obszarze Aktualizacje zabezpieczeń wybierz żądany typ kanału z listy rozwijanej Typ kanału zabezpieczeń węzła.

   

4. W obszarze Harmonogram kanałów zabezpieczeń wybierz pozycję Dodaj harmonogram.

5. Na stronie Dodawanie harmonogramu konserwacji skonfiguruj następujące ustawienia okna obsługi przy użyciu funkcji Planowana konserwacja:

   • Powtórzenie: wybierz żądaną częstotliwość okna obsługi. Zalecamy wybranie opcji Co tydzień.
   • Częstotliwość: wybierz żądany dzień tygodnia dla okna obsługi. Zalecamy wybranie niedzieli.
   • Data rozpoczęcia konserwacji: wybierz żądaną datę rozpoczęcia okna obsługi.
   • Godzina rozpoczęcia konserwacji: wybierz żądany czas rozpoczęcia okna obsługi.
   • Przesunięcie UTC: wybierz żądane przesunięcie UTC dla okna obsługi. Jeśli nie zostanie ustawiona, wartość domyślna to +00:00.

   

6. Wybierz pozycję Zapisz>zastosuj.

Aktualizowanie własności i harmonogramu

Domyślna kadencja oznacza, że nie zastosowano zaplanowanego okna obsługi.

Kanał	własność Aktualizacje	Domyślna kadencja
Unmanaged	Aktualizacje zabezpieczeń oparte na systemie operacyjnym. Usługa AKS nie ma kontroli nad tymi aktualizacjami.	Nocą około 6:00 czasu UTC dla systemów Ubuntu i Azure Linux. Co miesiąc dla systemu Windows.
SecurityPatch	Usługa AKS została przetestowana, w pełni zarządzana i zastosowana przy użyciu bezpiecznych praktyk wdrażania. Aby uzyskać więcej informacji, zobacz Zwiększenie bezpieczeństwa i odporności obciążeń kanonicznych na platformie Azure.	Tygodniowy.
NodeImage	AKS	Tygodniowy.

Uwaga

Chociaż aktualizacje zabezpieczeń systemu Windows są wydawane co miesiąc, korzystanie z kanału Unmanaged nie spowoduje automatycznego zastosowania tych aktualizacji do węzłów systemu Windows. Jeśli wybierzesz Unmanaged kanał, musisz zarządzać procesem ponownego uruchamiania przy użyciu narzędzia takiego jak kured w celu prawidłowego stosowania poprawek zabezpieczeń.

Wymagania dotyczące kanału SecurityPatch

Aby korzystać z kanału SecurityPatch , klaster musi obsługiwać następujące wymagania:

• Musi używać wersji interfejsu API lub nowszej 11-02-preview
• W przypadku korzystania z interfejsu wiersza polecenia platformy Azure należy zainstalować wersję 0.5.166 rozszerzenia interfejsu aks-preview wiersza polecenia lub nowszą
• Flaga NodeOsUpgradeChannelPreview funkcji musi być włączona w ramach subskrypcji

Rejestrowanie węzłaOsUpgradeChannelPrzegląd

Zarejestruj flagę NodeOsUpgradeChannelPreview funkcji przy użyciu polecenia az feature register , jak pokazano w poniższym przykładzie:

az feature register --namespace "Microsoft.ContainerService" --name "NodeOsUpgradeChannelPreview"

Wyświetlenie stanu Zarejestrowane trwa kilka minut. Sprawdź stan rejestracji przy użyciu polecenia az feature show :

az feature show --namespace "Microsoft.ContainerService" --name "NodeOsUpgradeChannelPreview"

Gdy stan będzie odzwierciedlał wartość Zarejestrowano, odśwież rejestrację dostawcy zasobów Microsoft.ContainerService , używając polecenia az provider register :

az provider register --namespace Microsoft.ContainerService

Znane usterki dotyczące kanału węzła

• Obecnie po ustawieniu kanału automatycznego uaktualniania klastra na node-imagewartość , automatycznie ustawia kanał automatycznego uaktualniania systemu operacyjnego węzła na NodeImage. Nie można zmienić wartości kanału automatycznego uaktualniania systemu operacyjnego węzła, jeśli kanał automatycznego uaktualniania klastra to node-image. Aby ustawić wartość kanału automatycznego uaktualniania systemu operacyjnego węzła, sprawdź, czy wartość kanału automatycznego uaktualniania klastra nie node-imagejest .

• Kanał SecurityPatch nie jest obsługiwany w pulach węzłów systemu operacyjnego Windows.

Uwaga

Domyślnie każdy nowy klaster utworzony przy użyciu wersji interfejsu API lub nowszej 06-01-2022 ustawi wartość kanału automatycznego uaktualniania systemu operacyjnego węzła na NodeImagewartość . Wszystkie istniejące klastry utworzone przy użyciu wersji interfejsu API starszej niż 06-01-2022 wartość kanału automatycznego uaktualniania systemu operacyjnego węzła jest domyślnie ustawiona None .

Okna planowanej konserwacji systemu operacyjnego węzła

Planowana konserwacja automatycznego uaktualniania systemu operacyjnego węzła rozpoczyna się w określonym oknie obsługi.

Uwaga

Aby zapewnić właściwą funkcjonalność, użyj okna obsługi trwającego co najmniej cztery godziny.

Aby uzyskać więcej informacji na temat planowanej konserwacji, zobacz Planowanie okien obsługi klastra usługi Azure Kubernetes Service (AKS) przy użyciu planowanej konserwacji.

Automatyczne uaktualnienia systemu operacyjnego węzła — często zadawane pytania

• Jak sprawdzić bieżącą wartość nodeOsUpgradeChannel w klastrze?

az aks show Uruchom polecenie i sprawdź wartość "autoUpgradeProfile", aby określić wartość ustawioną nodeOsUpgradeChannel na:

az aks show --resource-group myResourceGroup --name myAKSCluster --query "autoUpgradeProfile"

• Jak mogę monitorować stan automatycznych uaktualnień systemu operacyjnego węzła?

Aby wyświetlić stan automatycznych uaktualnień systemu operacyjnego węzła, wyszukaj dzienniki aktywności w klastrze. Możesz również wyszukać określone zdarzenia związane z uaktualnieniem, jak wspomniano w temacie Uaktualnianie klastra usługi AKS. Usługa AKS emituje również zdarzenia usługi Event Grid związane z uaktualnieniem. Aby dowiedzieć się więcej, zobacz AKS jako źródło usługi Event Grid.

• Czy mogę zmienić wartość kanału automatycznego uaktualniania systemu operacyjnego węzła, jeśli mój kanał automatycznego uaktualniania klastra jest ustawiony na node-image ?

L.p. Obecnie po ustawieniu kanału automatycznego uaktualniania klastra na node-imagewartość , automatycznie ustawia kanał automatycznego uaktualniania systemu operacyjnego węzła na NodeImage. Nie można zmienić wartości kanału automatycznego uaktualniania systemu operacyjnego węzła, jeśli kanał automatycznego uaktualniania klastra to node-image. Aby można było zmienić wartości kanału automatycznego uaktualniania systemu operacyjnego węzła, upewnij się, że kanał automatycznego uaktualniania klastra nie node-imagejest .

• Dlaczego zaleca się SecurityPatch używanie Unmanaged kanału?

Unmanaged W kanale usługa AKS nie ma kontroli nad sposobem i czasem dostarczania aktualizacji zabezpieczeń. Dzięki SecurityPatchprogramowi aktualizacje zabezpieczeń są w pełni przetestowane i są zgodne z bezpiecznymi rozwiązaniami wdrażania. SecurityPatch honoruje również okna obsługi. Aby uzyskać więcej informacji, zobacz Zwiększenie bezpieczeństwa i odporności obciążeń kanonicznych na platformie Azure.

• Jak mogę wiedzieć, czy na SecurityPatch moim węźle zastosowano uaktualnienie lub NodeImage czy?

Uruchom następujące polecenie, aby uzyskać etykiety węzłów:

kubectl get nodes --show-labels

Wśród zwróconych etykiet powinien zostać wyświetlony wiersz podobny do następujących danych wyjściowych:

kubernetes.azure.com/node-image-version=AKSUbuntu-2204gen2containerd-202311.07.0

W tym miejscu wersja obrazu węzła podstawowego to AKSUbuntu-2204gen2containerd. Jeśli ma to zastosowanie, zwykle następuje wersja poprawki zabezpieczeń. W powyższym przykładzie jest to 202311.07.0.

Te same szczegóły można również wyszukać w witrynie Azure Portal w widoku etykiety węzła:

Następne kroki

Szczegółowe omówienie najlepszych rozwiązań dotyczących uaktualniania i innych zagadnień można znaleźć w artykule AKS patch and upgrade guidance (Wskazówki dotyczące poprawek i uaktualniania usługi AKS).