Políticas de suporte para o serviço kubernetes do AzureSupport policies for Azure Kubernetes Service

Este artigo fornece detalhes sobre as políticas de suporte técnico e as limitações do AKS (serviço kubernetes do Azure).This article provides details about technical support policies and limitations for Azure Kubernetes Service (AKS). O artigo também detalha o gerenciamento de nós de trabalho, componentes do plano de controle gerenciado, componentes de software livre de terceiros e gerenciamento de segurança ou patch.The article also details worker node management, managed control plane components, third-party open-source components, and security or patch management.

Atualizações de serviço e versõesService updates and releases

Recursos gerenciados no AKSManaged features in AKS

Os componentes de nuvem de IaaS (infraestrutura como serviço) de base, como componentes de computação ou de rede, oferecem aos usuários acesso a controles de baixo nível e opções de personalização.Base infrastructure as a service (IaaS) cloud components, such as compute or networking components, give users access to low-level controls and customization options. Por outro lado, o AKS fornece uma implantação kubernetes completa que fornece aos clientes o conjunto comum de configurações e recursos de que precisam.By contrast, AKS provides a turnkey Kubernetes deployment that gives customers the common set of configurations and capabilities they need. Os clientes do AKS têm personalização, implantação e outras opções limitadas.AKS customers have limited customization, deployment, and other options. Esses clientes não precisam se preocupar nem gerenciar clusters kubernetes diretamente.These customers don't need to worry about or manage Kubernetes clusters directly.

Com o AKS, o cliente obtém um plano de controletotalmente gerenciado.With AKS, the customer gets a fully managed control plane. O plano de controle contém todos os componentes e serviços que o cliente precisa para operar e fornecer clusters kubernetes para os usuários finais.The control plane contains all of the components and services the customer needs to operate and provide Kubernetes clusters to end users. Todos os componentes do kubernetes são mantidos e operados pela Microsoft.All Kubernetes components are maintained and operated by Microsoft.

A Microsoft gerencia e monitora os seguintes componentes por meio do painel de controle:Microsoft manages and monitors the following components through the control pane:

  • Servidores de API Kubelet ou kubernetesKubelet or Kubernetes API servers
  • Etcd ou um repositório de chave-valor compatível, fornecendo qualidade de serviço (QoS), escalabilidade e tempo de execuçãoEtcd or a compatible key-value store, providing Quality of Service (QoS), scalability, and runtime
  • Serviços DNS (por exemplo, Kube-DNS ou CoreDNS)DNS services (for example, kube-dns or CoreDNS)
  • Proxy kubernetes ou redeKubernetes proxy or networking

O AKS não é uma solução de cluster completamente gerenciada.AKS isn't a completely managed cluster solution. Alguns componentes, como nós de trabalho, têm responsabilidade compartilhada, em que os usuários devem ajudar a manter o cluster AKs.Some components, such as worker nodes, have shared responsibility, where users must help maintain the AKS cluster. A entrada do usuário é necessária, por exemplo, para aplicar um patch de segurança do sistema operacional do nó de trabalho (SO).User input is required, for example, to apply a worker node operating system (OS) security patch.

Os serviços são gerenciados no sentido de que a Microsoft e a equipe AKs implantam, operam e são responsáveis pela disponibilidade e funcionalidade do serviço.The services are managed in the sense that Microsoft and the AKS team deploys, operates, and is responsible for service availability and functionality. Os clientes não podem alterar esses componentes gerenciados.Customers can't alter these managed components. A Microsoft limita a personalização para garantir uma experiência de usuário consistente e escalonável.Microsoft limits customization to ensure a consistent and scalable user experience. Para obter uma solução totalmente personalizável, consulte AKs Engine.For a fully customizable solution, see AKS Engine.

Nota

Os nós de trabalho do AKS aparecem no portal do Azure como recursos comuns de IaaS do Azure.AKS worker nodes appear in the Azure portal as regular Azure IaaS resources. Mas essas máquinas virtuais são implantadas em um grupo de recursos do Azure personalizado (\prefixado com MC *).But these virtual machines are deployed into a custom Azure resource group (prefixed with MC\*). É possível alterar os nós de trabalho do AKS.It's possible to change AKS worker nodes. Por exemplo, você pode usar Secure Shell (SSH) para alterar nós de trabalho do AKS da maneira como altera as máquinas virtuais normais (não é possível, no entanto, alterar a imagem do sistema operacional base, e as alterações podem não persistir por uma atualização ou reinicialização) e você pode anexar outros recursos do Azure ao AKS nós de trabalho.For example, you can use Secure Shell (SSH) to change AKS worker nodes the way you change normal virtual machines (you can't, however, change the base OS image, and changes might not persist through an update or reboot), and you can attach other Azure resources to AKS worker nodes. Mas quando você faz alterações fora do gerenciamento de banda e da personalização, o cluster AKs pode se tornar incompatível.But when you make changes out of band management and customization, the AKS cluster can become unsupportable. Evite alterar os nós de trabalho, a menos que Suporte da Microsoft o Direcione para fazer alterações.Avoid changing worker nodes unless Microsoft Support directs you to make changes.

Responsabilidade partilhadaShared responsibility

Quando um cluster é criado, o cliente define os nós de trabalho kubernetes que o AKS cria.When a cluster is created, the customer defines the Kubernetes worker nodes that AKS creates. As cargas de trabalho do cliente são executadas nesses nós.Customer workloads are executed on these nodes. Os clientes possuem e podem exibir ou modificar os nós de trabalho.Customers own and can view or modify the worker nodes.

Como os nós de cluster do cliente executam código particular e armazenam dados confidenciais, Suporte da Microsoft podem acessá-los apenas de uma maneira limitada.Because customer cluster nodes execute private code and store sensitive data, Microsoft Support can access them in only a limited way. Suporte da Microsoft não pode entrar no, executar comandos no ou exibir logs para esses nós sem permissão ou assistência do cliente do Express.Microsoft Support can't sign in to, execute commands in, or view logs for these nodes without express customer permission or assistance.

Como os nós de trabalho são confidenciais, a Microsoft tem muito cuidado para limitar seu gerenciamento em segundo plano.Because worker nodes are sensitive, Microsoft takes great care to limit their background management. Em muitos casos, sua carga de trabalho continuará a ser executada mesmo que os nós mestre kubernetes, etcd e outros componentes gerenciados pela Microsoft falhem.In many cases, your workload will continue to run even if the Kubernetes master nodes, etcd, and other Microsoft-managed components fail. Nós de trabalho modificados com cuidado podem causar perdas de dados e cargas de trabalho e podem renderizar o cluster sem suporte.Carelessly modified worker nodes can cause losses of data and workloads and can render the cluster unsupportable.

Cobertura de suporte do AKSAKS support coverage

A Microsoft fornece suporte técnico para o seguinte:Microsoft provides technical support for the following:

  • Conectividade com todos os componentes do kubernetes que o serviço kubernetes fornece e dá suporte, como o servidor de API.Connectivity to all Kubernetes components that the Kubernetes service provides and supports, such as the API server.
  • Gerenciamento, tempo de atividade, QoS e operações dos serviços de plano de controle kubernetes (nós mestre kubernetes, servidor de API, etcd e Kube-DNS, por exemplo).Management, uptime, QoS, and operations of Kubernetes control plane services (Kubernetes master nodes, API server, etcd, and kube-dns, for example).
  • Etcd.Etcd. O suporte inclui backups automatizados e transparentes de todos os dados do etcd a cada 30 minutos para planejamento de desastre e restauração de estado do cluster.Support includes automated, transparent backups of all etcd data every 30 minutes for disaster planning and cluster state restoration. Esses backups não estão diretamente disponíveis para clientes ou usuários.These backups aren't directly available to customers or users. Eles garantem a confiabilidade e a consistência dos dados.They ensure data reliability and consistency.
  • Quaisquer pontos de integração no driver do provedor de nuvem do Azure para kubernetes.Any integration points in the Azure cloud provider driver for Kubernetes. Isso inclui integrações em outros serviços do Azure, como balanceadores de carga, volumes persistentes ou rede (kubernetes e CNI do Azure).These include integrations into other Azure services such as load balancers, persistent volumes, or networking (Kubernetes and Azure CNI).
  • Perguntas ou problemas sobre a personalização de componentes do plano de controle, como o servidor de API kubernetes, o etcd e o Kube-DNS.Questions or issues about customization of control plane components such as the Kubernetes API server, etcd, and kube-dns.
  • Problemas de rede, como o Azure CNI, kubenet ou outros problemas de acesso à rede e funcionalidade.Issues about networking, such as Azure CNI, kubenet, or other network access and functionality issues. Problemas podem incluir resolução DNS, perda de pacotes, roteamento e assim por diante.Issues could include DNS resolution, packet loss, routing, and so on. A Microsoft dá suporte a vários cenários de rede:Microsoft supports various networking scenarios:
    • Kubenet (básico) e rede avançada (Azure CNI) dentro do cluster e componentes associadosKubenet (basic) and advanced networking (Azure CNI) within the cluster and associated components
    • Conectividade com outros serviços e aplicativos do AzureConnectivity to other Azure services and applications
    • Controladores de entrada e configurações de entrada ou de balanceador de cargaIngress controllers and ingress or load balancer configurations
    • Desempenho e latência de redeNetwork performance and latency

A Microsoft não fornece suporte técnico para o seguinte:Microsoft doesn't provide technical support for the following:

  • Perguntas sobre como usar o kubernetes.Questions about how to use Kubernetes. Por exemplo, Suporte da Microsoft não fornece conselhos sobre como criar controladores de entrada personalizados, usar cargas de trabalho de aplicativo ou aplicar pacotes ou ferramentas de software de terceiros ou de código aberto.For example, Microsoft Support doesn't provide advice on how to create custom ingress controllers, use application workloads, or apply third-party or open-source software packages or tools.

    Nota

    Suporte da Microsoft pode recomendar a funcionalidade, a personalização e o ajuste do cluster AKS (por exemplo, problemas e procedimentos de operações do kubernetes).Microsoft Support can advise on AKS cluster functionality, customization, and tuning (for example, Kubernetes operations issues and procedures).

  • Projetos de software livre de terceiros que não são fornecidos como parte do plano de controle kubernetes ou implantados com clusters AKS.Third-party open-source projects that aren't provided as part of the Kubernetes control plane or deployed with AKS clusters. Esses projetos podem incluir İSTİO, Helm, Envoy ou outros.These projects might include Istio, Helm, Envoy, or others.

    Nota

    A Microsoft pode fornecer suporte de melhor esforço para projetos de software livre de terceiros, como Helm e Kured.Microsoft can provide best-effort support for third-party open-source projects such as Helm and Kured. Onde a ferramenta de software livre de terceiros se integra com o provedor de nuvem do kubernetes Azure ou com outros bugs específicos do AKS, a Microsoft dá suporte a exemplos e aplicativos da documentação da Microsoft.Where the third-party open-source tool integrates with the Kubernetes Azure cloud provider or other AKS-specific bugs, Microsoft supports examples and applications from Microsoft documentation.

  • Software de código-fonte fechado de terceiros.Third-party closed-source software. Esse software pode incluir ferramentas de verificação de segurança e dispositivos de rede ou software.This software can include security scanning tools and networking devices or software.
  • Problemas sobre o desenvolvimento de multinuvem ou de vários fornecedores.Issues about multicloud or multivendor build-outs. Por exemplo, a Microsoft não dá suporte a problemas relacionados à execução de uma solução de fornecedor de nuvem multipública federada.For example, Microsoft doesn't support issues related to running a federated multipublic cloud vendor solution.
  • Personalizações de rede diferentes daquelas listadas na documentação do AKS.Network customizations other than those listed in the AKS documentation.

    Nota

    A Microsoft oferece suporte a problemas e bugs relacionados a NSGs (grupos de segurança de rede).Microsoft does support issues and bugs related to network security groups (NSGs). Por exemplo, Suporte da Microsoft pode responder a perguntas sobre uma falha de NSG para atualizar ou um comportamento inesperado de NSG ou de balanceador de carga.For example, Microsoft Support can answer questions about an NSG failure to update or an unexpected NSG or load balancer behavior.

Cobertura de suporte do AKS para nós de trabalhoAKS support coverage for worker nodes

Responsabilidades da Microsoft para nós de trabalho AKSMicrosoft responsibilities for AKS worker nodes

A Microsoft e os clientes compartilham responsabilidade para nós de trabalho kubernetes em que:Microsoft and customers share responsibility for Kubernetes worker nodes where:

  • A imagem do sistema operacional base tem adições necessárias (como agentes de rede e monitoramento).The base OS image has required additions (such as monitoring and networking agents).
  • Os nós de trabalho recebem patches do sistema operacional automaticamente.The worker nodes receive OS patches automatically.
  • Problemas com os componentes do plano de controle kubernetes executados nos nós de trabalho são corrigidos automaticamente.Issues with the Kubernetes control plane components that run on the worker nodes are automatically remediated. Os componentes incluem o seguinte:Components include the following:
    • Kube-proxyKube-proxy
    • Túneis de rede que fornecem caminhos de comunicação para os componentes mestres do kubernetesNetworking tunnels that provide communication paths to the Kubernetes master components
    • KubeletKubelet
    • Docker ou daemon do MobyDocker or Moby daemon

Nota

Em um nó de trabalho, se um componente de plano de controle não estiver operacional, a equipe AKS poderá precisar reinicializar todo o nó de trabalho.On a worker node, if a control plane component is not operational, the AKS team might need to reboot the entire worker node. Devido ao seu acesso restrito à carga de trabalho e aos dados ativos do cliente, a equipe do AKS reinicializará um nó do trabalhador somente se o cliente escalar o problema.Because of their restricted access to the customer's active workload and data, the AKS team reboots a worker node only if the customer escalates the issue. Sempre que possível, a equipe AKS trabalha para impedir que uma reinicialização necessária afete o aplicativo.Wherever possible, the AKS team works to prevent a required reboot from affecting the application.

Responsabilidades do cliente para nós de trabalho do AKSCustomer responsibilities for AKS worker nodes

A Microsoft não reinicia automaticamente os nós de trabalho para aplicar patches no nível do sistema operacional.Microsoft doesn't automatically reboot worker nodes to apply OS-level patches. Embora os patches do sistema operacional sejam entregues aos nós de trabalho, o cliente é responsável por reinicializar os nós de trabalho para aplicar as alterações.Although OS patches are delivered to the worker nodes, the customer is responsible for rebooting the worker nodes to apply the changes. Bibliotecas compartilhadas, daemons como SSHD (unidade híbrida de estado sólido) e outros componentes no nível do sistema ou do sistema operacional são automaticamente corrigidos.Shared libraries, daemons such as solid-state hybrid drive (SSHD), and other components at the level of the system or OS are automatically patched.

Os clientes são responsáveis por executar atualizações do kubernetes.Customers are responsible for executing Kubernetes upgrades. Eles podem executar atualizações por meio do painel de controle do Azure ou do CLI do Azure.They can execute upgrades through the Azure control panel or the Azure CLI. Isso se aplica a atualizações que contêm melhorias de segurança ou funcionalidade no kubernetes.This applies for updates that contain security or functionality improvements to Kubernetes.

Nota

Como o AKS é um serviço gerenciado, seus objetivos finais incluem a remoção de responsabilidade por patches, atualizações e coleta de log para tornar o gerenciamento de serviços mais completo e prático.Because AKS is a managed service, its end goals include removing responsibility for patches, updates, and log collection to make the service management more complete and hands-off. À medida que a capacidade do serviço de gerenciamento de ponta a ponta aumenta, as versões futuras podem omitir algumas funções (por exemplo, reinicialização de nó e aplicação automática de patches).As the service's capacity for end-to-end management increases, future releases might omit some functions (for example, node rebooting and automatic patching).

Problemas de segurança e aplicação de patchSecurity issues and patching

Se uma falha de segurança for encontrada em um ou mais componentes do AKS, a equipe do AKS aplicará patches a todos os clusters afetados para atenuar o problema.If a security flaw is found in one or more components of AKS, the AKS team will patch all affected clusters to mitigate the issue. Como alternativa, a equipe dará aos usuários diretrizes de atualização.Alternatively, the team will give users upgrade guidance.

Para nós de trabalho que uma falha de segurança afeta, se um patch de tempo de inatividade zero estiver disponível, a equipe AKS aplicará esse patch e notificará os usuários sobre a alteração.For worker nodes that a security flaw affects, if a zero-downtime patch is available, the AKS team will apply that patch and notify users of the change.

Quando um patch de segurança exigir reinicializações de nó de trabalho, a Microsoft notificará os clientes desse requisito.When a security patch requires worker node reboots, Microsoft will notify customers of this requirement. O cliente é responsável por reinicializar ou atualizar para obter o patch do cluster.The customer is responsible for rebooting or updating to get the cluster patch. Se os usuários não aplicarem os patches de acordo com as diretrizes do AKS, o cluster continuará a ficar vulnerável ao problema de segurança.If users don't apply the patches according to AKS guidance, their cluster will continue to be vulnerable to the security issue.

Manutenção e acesso do nóNode maintenance and access

Os nós de trabalho são uma responsabilidade compartilhada e pertencem aos clientes.Worker nodes are a shared responsibility and are owned by customers. Por isso, os clientes têm a capacidade de entrar em seus nós de trabalho e fazer alterações potencialmente prejudiciais, como atualizações de kernel e instalar ou remover pacotes.Because of this, customers have the ability to sign in to their worker nodes and make potentially harmful changes such as kernel updates and installing or removing packages.

Se os clientes fizerem alterações destrutivas ou fizerem com que os componentes do plano de controle fiquem offline ou se tornarem não funcionais, o AKS detectará essa falha e restaurará automaticamente o nó de trabalho para o estado de funcionamento anterior.If customers make destructive changes or cause control plane components to go offline or become nonfunctional, AKS will detect this failure and automatically restore the worker node to the previous working state.

Embora os clientes possam entrar e alterar os nós de trabalho, isso não é recomendado porque as alterações podem tornar um cluster sem suporte.Although customers can sign in to and change worker nodes, doing this is discouraged because changes can make a cluster unsupportable.

Portas de rede, acesso e NSGsNetwork ports, access, and NSGs

Como um serviço gerenciado, o AKS tem requisitos específicos de rede e conectividade.As a managed service, AKS has specific networking and connectivity requirements. Esses requisitos são menos flexíveis do que os requisitos para componentes de IaaS normais.These requirements are less flexible than requirements for normal IaaS components. No AKS, operações como a personalização de regras do NSG, o bloqueio de uma porta específica (por exemplo, o uso de regras de firewall que bloqueiam a porta de saída 443) e URLs de lista de permissões podem tornar o cluster incompatível.In AKS, operations like customizing NSG rules, blocking a specific port (for example, using firewall rules that block outbound port 443), and whitelisting URLs can make your cluster unsupportable.

Nota

Atualmente, o AKS não permite que você bloqueie completamente o tráfego de saída do cluster.Currently, AKS doesn't allow you to completely lock down egress traffic from your cluster. Para controlar a lista de URLs e portas que seu cluster pode usar para tráfego de saída, consulte limitar o tráfego de saída.To control the list of URLs and ports your cluster can use for outbound traffic see limit egress traffic.

Recursos de kubernetes alfa e Beta sem suporteUnsupported alpha and beta Kubernetes features

O AKS dá suporte apenas a recursos estáveis no projeto upstream kubernetes.AKS supports only stable features within the upstream Kubernetes project. Salvo indicação em contrário, o AKS não dá suporte a recursos alfa e beta disponíveis no projeto upstream kubernetes.Unless otherwise documented, AKS doesn't support alpha and beta features that are available in the upstream Kubernetes project.

Em dois cenários, os recursos alfa ou beta podem ser distribuídos antes de estarem geralmente disponíveis:In two scenarios, alpha or beta features might be rolled out before they're generally available:

  • Os clientes foram atendidos com as equipes de produto, suporte ou engenharia AKS e foram solicitados a experimentar esses novos recursos.Customers have met with the AKS product, support, or engineering teams and have been asked to try these new features.
  • Esses recursos foram habilitados por um sinalizador de recurso.These features have been enabled by a feature flag. Os clientes devem optar explicitamente por usar esses recursos.Customers must explicitly opt in to use these features.

Recursos de visualização ou sinalizadores de recursoPreview features or feature flags

Para recursos e funcionalidades que exigem testes estendidos e comentários do usuário, a Microsoft lança novos recursos ou recursos de visualização por trás de um sinalizador de recurso.For features and functionality that require extended testing and user feedback, Microsoft releases new preview features or features behind a feature flag. Considere esses recursos como recursos de pré-lançamento ou beta.Consider these features as prerelease or beta features.

Recursos de visualização ou recursos de sinalizador de recurso não são destinados para produção.Preview features or feature-flag features aren't meant for production. Alterações contínuas em APIs e comportamento, correções de bugs e outras alterações podem resultar em clusters e tempo de inatividade instáveis.Ongoing changes in APIs and behavior, bug fixes, and other changes can result in unstable clusters and downtime.

Os recursos na visualização pública estão sob o suporte de "melhor esforço", pois esses recursos estão em versão prévia e não são destinados à produção e são suportados pelas equipes de suporte técnico do AKS durante o horário comercial.Features in public preview are fall under 'best effort' support as these features are in preview and not meant for production and are supported by the AKS technical support teams during business hours only. Para obter informações adicionais, consulte:For additional information please see:

Nota

Os recursos de visualização entram em vigor no nível de assinatura do Azure.Preview features take effect at the Azure subscription level. Não instale os recursos de visualização em uma assinatura de produção.Don't install preview features on a production subscription. Em uma assinatura de produção, os recursos de visualização podem alterar o comportamento da API padrão e afetar as operações regulares.On a production subscription, preview features can change default API behavior and affect regular operations.

Problemas e bugs de upstreamUpstream bugs and issues

Devido à velocidade de desenvolvimento no projeto kubernetes upstream, surgem bugs invariavelmente.Given the speed of development in the upstream Kubernetes project, bugs invariably arise. Alguns desses bugs não podem ser corrigidos ou solucionados no sistema AKS.Some of these bugs can't be patched or worked around within the AKS system. Em vez disso, as correções de bugs exigem patches maiores para projetos upstream (como kubernetes, sistemas operacionais de nó ou de trabalho, e kernels).Instead, bug fixes require larger patches to upstream projects (such as Kubernetes, node or worker operating systems, and kernels). Para os componentes que a Microsoft possui (como o provedor de nuvem do Azure), o AKS e o pessoal do Azure estão comprometidos em corrigir problemas upstream na Comunidade.For components that Microsoft owns (such as the Azure cloud provider), AKS and Azure personnel are committed to fixing issues upstream in the community.

Quando um problema de suporte técnico é causado por um ou mais bugs de upstream, o suporte a AKS e as equipes de engenharia vão:When a technical support issue is root-caused by one or more upstream bugs, AKS support and engineering teams will:

  • Identifique e vincule os bugs de upstream com quaisquer detalhes de suporte para ajudar a explicar por que esse problema afeta o cluster ou a carga de trabalho.Identify and link the upstream bugs with any supporting details to help explain why this issue affects your cluster or workload. Os clientes recebem links para os repositórios necessários para que possam assistir aos problemas e ver quando uma nova versão fornecerá correções.Customers receive links to the required repositories so they can watch the issues and see when a new release will provide fixes.
  • Fornecer possíveis soluções alternativas ou atenuações.Provide potential workarounds or mitigations. Se o problema puder ser mitigado, um problema conhecido será arquivado no repositório AKs.If the issue can be mitigated, a known issue will be filed in the AKS repository. O arquivamento de problemas conhecidos explica:The known-issue filing explains:
    • O problema, incluindo links para bugs de upstream.The issue, including links to upstream bugs.
    • A solução alternativa e os detalhes sobre uma atualização ou outra persistência da solução.The workaround and details about an upgrade or another persistence of the solution.
    • Cronogramas aproximados para a inclusão do problema, com base na cadência da versão de upstream.Rough timelines for the issue's inclusion, based on the upstream release cadence.