Zasady pomocy technicznej dla Azure Kubernetes Service

Ten artykuł zawiera szczegółowe informacje o zasadach pomocy technicznej i ograniczeniach dotyczących Azure Kubernetes Service (AKS). Artykuł zawiera również szczegółowe informacje dotyczące zarządzania węzłami agenta, zarządzanych składników płaszczyzny sterowania, składników typu open source innych firm oraz zarządzania zabezpieczeniami lub poprawkami.

Aktualizacje i wydania usług

  • Aby uzyskać informacje o wersji, zobacz Informacje o wersji aks.
  • Aby uzyskać informacje na temat funkcji w wersji zapoznawczej, zobacz plan AKS.

Funkcje zarządzane w użytce AKS

Podstawowe składniki chmurowe infrastruktury jako usługi (IaaS), takie jak składniki obliczeniowe lub sieciowe, umożliwiają dostęp do kontrolek niskiego poziomu i opcji dostosowywania. Z kolei usługa AKS udostępnia gotowe do wdrożenia kubernetes, które udostępnia wspólny zestaw konfiguracji i możliwości potrzebnych dla klastra. Jako użytkownik usługi AKS masz ograniczone opcje dostosowywania i wdrażania. W zamian nie musisz martwić się o klastry Kubernetes ani zarządzać nimi bezpośrednio.

Za pomocą usługi AKS otrzymasz w pełni zarządzaną płaszczyznę sterowania. Płaszczyzna sterowania zawiera wszystkie składniki i usługi potrzebne do obsługi klastrów Kubernetes i zapewnienia ich użytkownikom. Wszystkie składniki platformy Kubernetes są obsługiwane i obsługiwane przez firmę Microsoft.

Firma Microsoft zarządza następującymi składnikami i monitoruje je za pomocą okienka sterowania:

  • Serwery interfejsu API Kubelet lub Kubernetes
  • Etcd lub zgodny magazyn par klucz-wartość, zapewniający Quality of Service (QoS), skalowalność i środowisko uruchomieniowe
  • Usługi DNS (na przykład kube-dns lub CoreDNS)
  • Serwer proxy lub sieć kubernetes
  • Dowolny dodatkowy dodatek lub składnik systemowy uruchomiony w przestrzeni nazw kube-system

Usługa AKS nie jest rozwiązaniem typu platforma jako usługa (PaaS). Niektóre składniki, takie jak węzły agentów, mają wspólną odpowiedzialność, gdzie użytkownicy muszą pomóc w konserwacji klastra usługi AKS. Dane wejściowe użytkownika są wymagane na przykład do zastosowania poprawki zabezpieczeń systemu operacyjnego węzła agenta.

Usługi są zarządzane w tym sensie, że firma Microsoft i zespół usługi AKS wdrażają, działają i odpowiadają za dostępność i funkcjonalność usługi. Klienci nie mogą zmieniać tych składników zarządzanych. Firma Microsoft ogranicza dostosowywanie, aby zapewnić spójne i skalowalne środowisko użytkownika. Aby uzyskać w pełni dostosowywalne rozwiązanie, zobacz Aparat AKS.

Wspólna odpowiedzialność

Podczas tworzenia klastra należy zdefiniować węzły agenta kubernetes tworzone przez usługi AKS. Obciążenia są wykonywane w tych węzłach.

Ponieważ węzły agenta wykonują prywatny kod i przechowują poufne dane, Pomoc techniczna Microsoft uzyskać do nich dostęp tylko w bardzo ograniczony sposób. Pomoc techniczna Microsoft nie mogą logować się do tych węzłów, wykonywać poleceń ani wyświetlać dzienników dla tych węzłów bez Twojej wyraźnej zgody lub pomocy.

Wszelkie modyfikacje wprowadzone bezpośrednio w węzłach agenta przy użyciu dowolnego interfejsu API IaaS spowadują, że klaster nie będzie obsługiwany. Wszelkie modyfikacje wprowadzone w węzłach agenta należy wykonać przy użyciu mechanizmów natywnych dla usługi Kubernetes, takich jak Daemon Sets .

Podobnie, chociaż można dodać dowolne metadane do klastra i węzłów, takie jak tagi i etykiety, zmiana dowolnych metadanych utworzonych przez system spowoduje, że klaster będzie nieobsługiwany.

Zakres obsługi AKS

Firma Microsoft zapewnia pomoc techniczną dla następujących przykładów:

  • Łączność ze wszystkimi składnikami platformy Kubernetes, które usługa Kubernetes zapewnia i obsługuje, takimi jak serwer interfejsu API.
  • Zarządzanie, czas pracy, QoS i operacje usług płaszczyzny sterowania Kubernetes (na przykład płaszczyzna sterowania Kubernetes, serwer interfejsu API itp. i coreDNS).
  • Magazyn danych etcd. Obsługa obejmuje automatyczne, przezroczyste kopie zapasowe wszystkich danych etcd co 30 minut w celu planowania awarii i przywracania stanu klastra. Te kopie zapasowe nie są bezpośrednio dostępne dla Ciebie ani żadnych użytkowników. Zapewniają one niezawodność i spójność danych. Etcd. Wycofywanie lub przywracanie na żądanie nie jest obsługiwane jako funkcja.
  • Wszystkie punkty integracji w sterowniku dostawcy usług w chmurze platformy Azure dla platformy Kubernetes. Obejmują one integracje z innymi usługami platformy Azure, takimi jak usługi równoważenia obciążenia, woluminy trwałe lub sieć (Kubernetes i Azure CNI).
  • Pytania lub problemy dotyczące dostosowywania składników płaszczyzny sterowania, takich jak serwer interfejsu API kubernetes itp. i coreDNS.
  • Problemy dotyczące sieci, takie jak Azure CNI, kubenet lub inne problemy z dostępem i funkcjonalnością sieci. Problemy mogą obejmować rozpoznawanie nazw DNS, utratę pakietów, routing i tak dalej. Firma Microsoft obsługuje różne scenariusze sieciowe:
    • Rozwiązania Kubenet i Azure CNI przy użyciu zarządzanych sieci wirtualnych lub niestandardowych podsieci (własnych).
    • Łączność z innymi usługami i aplikacjami platformy Azure
    • Konfiguracje kontrolerów ruchu wychodzącego i ruchu przychodzących lub równoważenia obciążenia
    • Wydajność i opóźnienie sieci
    • Zasady sieciowe

Uwaga

Wszystkie akcje klastra podejmowane przez firmę Microsoft/AKS są podejmowane za zgodą użytkownika w ramach wbudowanej roli Kubernetes i wbudowanego powiązania aks-service roli aks-service-rolebinding . Ta rola umożliwia UKS rozwiązywanie i diagnozowanie problemów z klastrem, ale nie może modyfikować uprawnień, tworzyć ról, powiązań ról ani innych akcji o wysokim poziomie uprawnień. Dostęp do ról jest włączany tylko w ramach aktywnych biletów pomocy technicznej z dostępem just in time (JIT).

Firma Microsoft nie zapewnia pomocy technicznej dla następujących przykładów:

  • Pytania dotyczące korzystania z kubernetes. Na przykład Pomoc techniczna Microsoft nie zapewnia porady dotyczącej sposobu tworzenia niestandardowych kontrolerów ruchu wychodzącego, używania obciążeń aplikacji ani stosowania pakietów oprogramowania innych firm lub narzędzi typu open source.

    Uwaga

    Pomoc techniczna Microsoft może doradzać w zakresie funkcjonalności, dostosowywania i dostrajania klastra AKS (na przykład problemów i procedur operacji kubernetes).

  • Projekty open source innych firm, które nie są dostarczane jako część płaszczyzny sterowania kubernetes ani wdrażane z klastrami AKS. Te projekty mogą obejmować Istio, Helm, Envoy lub inne.

    Uwaga

    Firma Microsoft może zapewnić najlepszą pomoc techniczną dla projektów open source innych firm, takich jak Helm. Gdy narzędzie open source innej firmy integruje się z dostawcą usług w chmurze Kubernetes platformy Azure lub innymi błędami specyficznym dla usługi AKS, firma Microsoft obsługuje przykłady i aplikacje z dokumentacji firmy Microsoft.

  • Oprogramowanie typu "closed source" innej firmy. To oprogramowanie może obejmować narzędzia do skanowania zabezpieczeń oraz urządzenia sieciowe lub oprogramowanie.
  • Dostosowania sieci inne niż wymienione w dokumentacji usługi AKS.

Pokrycie obsługi usługi AKS dla węzłów agenta

Obowiązki firmy Microsoft dotyczące węzłów agenta usługi AKS

Firma Microsoft i użytkownicy współdzielą odpowiedzialność za węzły agenta kubernetes, w których:

  • Podstawowy obraz systemu operacyjnego ma wymagane dodatki (takie jak agenci monitorowania i sieci).
  • Węzły agenta automatycznie otrzymują poprawki systemu operacyjnego.
  • Problemy ze składnikami płaszczyzny sterowania kubernetes uruchomionymi w węzłach agenta są automatycznie korygowane. Poniżej przedstawiono następujące składniki:
    • Kube-proxy
    • Tunele sieciowe, które zapewniają ścieżki komunikacji ze składnikami głównymi rozwiązania Kubernetes
    • Kubelet
    • Docker lub containerd

Uwaga

Jeśli węzeł agenta nie działa, usługę AKS można ponownie uruchomić poszczególne składniki lub cały węzeł agenta. Te operacje ponownego uruchamiania są zautomatyzowane i zapewniają automatyczne korygowanie typowych problemów. Jeśli chcesz dowiedzieć się więcej o mechanizmach automatycznego korygowania, zobacz Autonaprawienia węzła

Obowiązki klienta dotyczące węzłów agenta usługi AKS

Firma Microsoft co tydzień udostępnia poprawki i nowe obrazy dla węzłów obrazu, ale domyślnie nie poprawia ich automatycznie. Aby zachować poprawki systemu operacyjnego węzła agenta i składników środowiska uruchomieniowego, należy zachować regularny harmonogram uaktualniania obrazu węzła lub zautomatyzować go.

Podobnie aKS regularnie wydaje nowe poprawki kubernetes i wersje pomocnicze. Te aktualizacje mogą zawierać ulepszenia zabezpieczeń lub funkcjonalności na kubernetes. Odpowiadasz za utrzymanie zaktualizowanej wersji środowiska Kubernetes klastra zgodnie z zasadami obsługi wersji usługi AKS Kubernetes.

Dostosowywanie węzłów agenta przez użytkownika

Uwaga

Węzły agenta usługi AKS są wyświetlane w Azure Portal jako zwykłe zasoby IaaS platformy Azure. Jednak te maszyny wirtualne są wdrażane w niestandardowej grupie zasobów platformy Azure (zazwyczaj poprzedzonej prefiksem MC_ * ). Nie można zmienić podstawowego obrazu systemu operacyjnego ani wykonać żadnych bezpośrednich dostosowań do tych węzłów przy użyciu interfejsów API IaaS lub zasobów. Wszelkie zmiany niestandardowe, które nie są wykonywane za pośrednictwem interfejsu API usługi AKS, nie zostaną utrwalone przez uaktualnienie, skalowanie, aktualizację lub ponowne uruchomienie. Należy unikać przeprowadzania zmian w węzłach agenta Pomoc techniczna Microsoft jeśli nie zostanie nakierowyny na ich zmianę.

AKS zarządza cyklem życia i operacjami węzłów agenta w Twoim imieniu — modyfikowanie zasobów IaaS skojarzonych z węzłami agenta nie jest obsługiwane. Przykładem nieobsługiwanej operacji jest dostosowanie zestawu skalowania maszyn wirtualnych puli węzłów przez ręczną zmianę konfiguracji za pośrednictwem portalu zestawu skalowania maszyn wirtualnych lub interfejsu API.

W przypadku konfiguracji lub pakietów specyficznych dla obciążenia usługi AKS zaleca się używanie rozwiązania Kubernetes. daemon sets

Kontenery uprzywilejowane i init usługi Kubernetes umożliwiają dostrajanie/modyfikowanie lub instalowanie oprogramowania innych firm daemon sets w węzłach agenta klastra. Przykłady takich dostosowań obejmują dodawanie niestandardowego oprogramowania do skanowania zabezpieczeń lub aktualizowanie ustawień sysctl.

Chociaż ta ścieżka jest zalecana, jeśli powyższe wymagania mają zastosowanie, inżynierowie i pomoc techniczna usługi AKS nie mogą pomóc w rozwiązywaniu problemów ani diagnozowaniu modyfikacji, które renderować węzeł jako niedostępne z powodu wdrożenia niestandardowego daemon set .

Problemy z zabezpieczeniami i stosowanie poprawek

Jeśli w co najmniej jednym zarządzanym składniku usługi AKS zostanie znaleziona wada zabezpieczeń, zespół usługi AKS zaadomuje poprawki wszystkich klastrów, których to dotyczy, aby rozwiązać problem. Alternatywnie zespół udzieli użytkownikom wskazówek dotyczących uaktualniania.

W przypadku węzłów agentów, których dotyczy luka w zabezpieczeniach, firma Microsoft powiadomi Cię o szczegółach dotyczących wpływu i czynnościach w celu rozwiązania lub ograniczenia problemu z zabezpieczeniami (zwykle uaktualnienie obrazu węzła lub uaktualnienie poprawki klastra).

Konserwacja węzła i dostęp do niego

Mimo że można logować się do węzłów agenta i zmieniać ich węzły, nie jest to zalecane, ponieważ zmiany mogą sprawić, że klaster nie będzie obsługiwany.

Porty sieciowe, dostęp i sieciowe sieciowe sieciowe sieci

Grupy NSG można dostosować tylko w niestandardowych podsieciach. Nie można dostosowywać sieciowych sieciowychgrup w zarządzanych podsieciach ani na poziomie karty sieciowej węzłów agenta. Usługi AKS mają wymagania dotyczące ruchu wychodzącego do określonych punktów końcowych, aby kontrolować ruch wychodzący i zapewnić niezbędną łączność, zobacz Ograniczanie ruchu wychodzącego. W przypadku danych przychodzących wymagania są oparte na aplikacjach wdrożonych w klastrze.

Klastry zatrzymane lub co najmniej przydzielone

Jak wspomniano wcześniej, ręczne cokolenie alokacji wszystkich węzłów klastra za pośrednictwem interfejsów API IaaS/interfejsu wiersza polecenia/portalu powoduje, że klaster nie jest już obsługiwane. Jedynym obsługiwanym sposobem zatrzymania/cokołania wszystkich węzłów jest zatrzymanie klastra usługi AKS,który zachowuje stan klastra przez maksymalnie 12 miesięcy.

Klastry, które są zatrzymywane przez więcej niż 12 miesięcy, nie będą już zachowywać stanu.

Klastry, które nie są przydzielone poza interfejsami API usługi AKS, nie mają gwarancji zachowywania stanu. Płaszczyzny sterowania klastrów w tym stanie zostaną zarchiwizowane po 30 dniach i usunięte po 12 miesiącach.

AKS zastrzega sobie prawo do archiwizacji płaszczyzn sterowania, które zostały skonfigurowane poza wytycznymi dotyczącymi obsługi przez dłuższy czas równy lub dłuższy niż 30 dni. Usługa AKS przechowuje kopie zapasowe metadanych itp. klastra i może łatwo zmienić jego alokację. Ta ponowne przydzielenie może być inicjowane przez dowolną operację PUT, która ponownie obsługuje klaster, na przykład uaktualnienie lub skalowanie do aktywnych węzłów agenta.

Jeśli subskrypcja zostanie wstrzymana lub usunięta, płaszczyzna sterowania i stan klastra zostaną usunięte po 90 dniach.

Nieobsługiwane funkcje alfa i beta kubernetes

W nadrzędnym projekcie Kubernetes aks są dostępne tylko funkcje stabilne i beta. O ile nie zostanie to udokumentowane inaczej, nie obsługuje ona żadnej funkcji alfa dostępnej w nadrzędnym projekcie Kubernetes.

Funkcje lub flagi funkcji w wersji zapoznawczej

W przypadku funkcji i funkcji, które wymagają rozszerzonego testowania i opinii użytkowników, firma Microsoft wydaje nowe funkcje w wersji zapoznawczej lub funkcje za flagą funkcji. Należy rozważyć te funkcje jako funkcje w wersji wstępnej lub wersji beta.

Funkcje w wersji zapoznawczej lub funkcje flagi funkcji nie są przeznaczone do produkcji. Ciągłe zmiany w interfejsach API i zachowaniu, poprawki błędów i inne zmiany mogą powodować niestabilne klastry i przestoje.

Funkcje w publicznej wersji zapoznawczej są dostępne w ramach "najlepszej pomocy technicznej", ponieważ są one w wersji zapoznawczej i nie są przeznaczone do produkcji i są obsługiwane przez zespoły pomocy technicznej usługi AKS tylko w godzinach pracy. Aby uzyskać więcej informacji, zobacz:

Nadrzędne usterki i problemy

Biorąc pod uwagę szybkość opracowywania w nadrzędnym projekcie Kubernetes, usterki pojawiają się niezmiennie. Niektórych z tych usterek nie można poprawiać ani używać w systemie AKS. Zamiast tego poprawki błędów wymagają większych poprawek do projektów nadrzędnych (takich jak Kubernetes, systemy operacyjne węzła lub agenta i jądro). W przypadku składników, które są właścicielami firmy Microsoft (takich jak dostawca usług w chmurze platformy Azure), personel usług AKS i platformy Azure zobowiązuje się do rozwiązywania problemów samodzielnie w społeczności.

Jeśli problem z pomocą techniczną jest główną przyczyną co najmniej jednego nadrzędnego błędu, zespół inżynierów i pomocy technicznej usługi AKS:

  • Zidentyfikuj i połącz nadrzędne usterki z wszelkie dodatkowe szczegóły, aby wyjaśnić, dlaczego ten problem ma wpływ na klaster lub obciążenie. Klienci otrzymują linki do wymaganych repozytoriów, aby mogli obserwować problemy i zobaczyć, kiedy nowe wydanie zapewni poprawki.
  • Podaj potencjalne obejścia lub środki zaradcze. Jeśli problem można rozwiązać, znany problem zostanie zgłoszony w repozytorium AKS. Składanie zgłoszenia znanego problemu objaśnia:
    • Problem, w tym linki do nadrzędnych usterek.
    • Obejście i szczegółowe informacje o uaktualnieniu lub innej trwałości rozwiązania.
    • Wątła oś czasu dołączania problemu na podstawie nadrzędnego czasu wydania.