Avbildningar av nodoperativsystem för automatisk uppgradering

AKS tillhandahåller flera kanaler för automatisk uppgradering som är dedikerade till säkerhetsuppdateringar på nodnivå i tid. Den här kanalen skiljer sig från kubernetes-versionsuppgraderingar på klusternivå och ersätter den.

Interaktioner mellan automatisk uppgradering av nodoperativsystem och automatisk uppgradering av kluster

Säkerhetsuppdateringar på nodnivå släpps snabbare än Uppdateringar av Kubernetes-korrigeringar eller delversioner. Den automatiska uppgraderingskanalen för nodoperativsystem ger dig flexibilitet och möjliggör en anpassad strategi för säkerhetsuppdateringar på nodnivå. Sedan kan du välja en separat plan för automatiska uppgraderingar av Kubernetes-versioner på klusternivå. Det är bäst att använda både automatiska uppgraderingar på klusternivå och den automatiska uppgraderingskanalen för nodens operativsystem tillsammans. Schemaläggning kan finjusteras genom att tillämpa två separata uppsättningar med underhållsperioder - aksManagedAutoUpgradeSchedule för den automatiska uppgraderingskanalen för klustret och aksManagedNodeOSUpgradeSchedule för nodens kanal för automatisk uppgradering av operativsystemet.

Kanaler för nod-OS-avbildningsuppgraderingar

Den valda kanalen avgör tidpunkten för uppgraderingar. När du gör ändringar i nod-operativsystemets automatiska uppgraderingskanaler kan det ta upp till 24 timmar innan ändringarna börjar gälla. När du byter från en kanal till en annan kanal utlöses en återimering som leder till rullande noder.

Kommentar

Automatisk uppgradering av Node OS-avbildning påverkar inte klustrets Kubernetes-version. Det fungerar bara för ett kluster i en version som stöds.

Följande uppgraderingskanaler är tillgängliga. Du kan välja något av följande alternativ:

Kanal	beskrivning	OS-specifikt beteende
None	Dina noder har inte säkerhetsuppdateringar som tillämpas automatiskt. Det innebär att du är ensam ansvarig för dina säkerhetsuppdateringar.	Ej tillämpligt
Unmanaged	OS-uppdateringar tillämpas automatiskt via den inbyggda operativsystemets korrigeringsinfrastruktur. Nyligen allokerade datorer är från början okopplade. Operativsystemets infrastruktur korrigerar dem någon gång.	Ubuntu och Azure Linux (CPU-nodpooler) tillämpar säkerhetskorrigeringar via obevakad uppgradering/dnf-automatisk ungefär en gång per dag runt 06:00 UTC. Windows tillämpar inte säkerhetskorrigeringar automatiskt, så det här alternativet fungerar på samma sätt som None. Du måste hantera omstartsprocessen med hjälp av ett verktyg som kured.
SecurityPatch	Den här kanalen är i förhandsversion och kräver aktivering av funktionsflaggan NodeOsUpgradeChannelPreview. Mer information finns i avsnittet om förhandskrav. AKS uppdaterar regelbundet nodens virtuella hårddisk (VHD) med korrigeringar från bildunderhållaren märkt "endast säkerhet". Det kan uppstå störningar när säkerhetskorrigeringarna tillämpas på noderna. När korrigeringarna tillämpas uppdateras den virtuella hårddisken och befintliga datorer uppgraderas till den virtuella hårddisken, vilket respekterar underhållsperioder och överspänningsinställningar. Det här alternativet medför den extra kostnaden för att vara värd för de virtuella hårddiskarna i nodresursgruppen. Om du använder den här kanalen inaktiveras obevakade Linux-uppgraderingar som standard.	Azure Linux stöder inte den här kanalen på GPU-aktiverade virtuella datorer. SecurityPatch fungerar på korrigeringsversioner som är inaktuella, så länge den mindre Kubernetes-versionen fortfarande stöds.
NodeImage	AKS uppdaterar noderna med en nyligen korrigerad virtuell hårddisk som innehåller säkerhetskorrigeringar och buggkorrigeringar varje vecka. Uppdateringen av den nya virtuella hårddisken är störande, efter underhållsperioder och överspänningsinställningar. Ingen extra VHD-kostnad uppstår när du väljer det här alternativet. Om du använder den här kanalen inaktiveras obevakade Linux-uppgraderingar som standard. Nodbilduppgraderingar stöder korrigeringsversioner som är inaktuella, så länge den mindre Kubernetes-versionen fortfarande stöds.

Ange den automatiska uppgraderingskanalen för nodens operativsystem i ett nytt kluster

Azure CLI

• Ange den automatiska uppgraderingskanalen för nodens operativsystem i ett nytt kluster med hjälp av az aks create kommandot med parametern --node-os-upgrade-channel . I följande exempel anges nodens kanal för automatisk uppgradering av operativsystemet till SecurityPatch.

  az aks create --resource-group myResourceGroup --name myAKSCluster --node-os-upgrade-channel SecurityPatch
  

Azure-portalen

1. I Azure-portalen väljer du Skapa en resursContainrar>>Azure Kubernetes Service (AKS).

2. På fliken Grundinställningar går du till Klusterinformation och väljer önskad kanaltyp i listrutan Nodsäkerhetskanaltyp .

   

3. Välj Security channel scheduler (Säkerhetskanalschemaläggare ) och välj önskat underhållsfönster med hjälp av funktionen Planerat underhåll. Vi rekommenderar att du väljer standardalternativet Varje vecka på söndag (rekommenderas).

   

4. Slutför de återstående stegen för att skapa klustret.

Ange den automatiska uppgraderingskanalen för nodens operativsystem i ett befintligt kluster

Azure CLI

• Ange kanalen för automatisk uppgradering av nodoperativsystem i ett befintligt kluster med kommandot az aks update med parametern --node-os-upgrade-channel . I följande exempel anges nodens kanal för automatisk uppgradering av operativsystemet till SecurityPatch.

  az aks update --resource-group myResourceGroup --name myAKSCluster --node-os-upgrade-channel SecurityPatch
  

Azure-portalen

1. I Azure-portalen navigerar du till ditt AKS-kluster.

2. I avsnittet Inställningar väljer du Klusterkonfiguration.

3. Under Säkerhetsuppdateringar väljer du önskad kanaltyp i listrutan Nodsäkerhetskanaltyp .

   

4. För Security Channel Scheduler väljer du Lägg till schema.

5. På sidan Lägg till underhållsschema konfigurerar du följande inställningar för underhållsfönstret med hjälp av funktionen Planerat underhåll:

   • Upprepar: Välj önskad frekvens för underhållsfönstret. Vi rekommenderar att du väljer Varje vecka.
   • Frekvens: Välj önskad veckodag för underhållsperioden. Vi rekommenderar att du väljer Söndag.
   • Startdatum för underhåll: Välj önskat startdatum för underhållsperioden.
   • Starttid för underhåll: Välj önskad starttid för underhållsperioden.
   • UTC-förskjutning: Välj önskad UTC-förskjutning för underhållsfönstret. Om det inte anges är standardvärdet +00:00.

   

6. Välj Spara>tillämpa.

Uppdatera ägarskap och schema

Standardtakt innebär att det inte finns någon planerad underhållsperiod.

Kanal	Uppdateringar ägarskap	Standardtakt
Unmanaged	Os-drivna säkerhetsuppdateringar. AKS har ingen kontroll över dessa uppdateringar.	Varje natt runt 06.00 UTC för Ubuntu och Azure Linux. Varje månad för Windows.
SecurityPatch	AKS-testad, fullständigt hanterad och tillämpad med säkra distributionsmetoder. Mer information finns i Ökad säkerhet och återhämtning för kanoniska arbetsbelastningar i Azure.	Vecka.
NodeImage	AKS	Vecka.

Kommentar

Windows-säkerhetsuppdateringar släpps varje månad, men med hjälp av Unmanaged kanalen tillämpas inte uppdateringarna automatiskt på Windows-noder. Om du väljer Unmanaged kanalen måste du hantera omstartsprocessen med hjälp av ett verktyg som kured för att tillämpa säkerhetskorrigeringar korrekt.

SecurityPatch-kanalkrav

Om du vill använda SecurityPatch kanalen måste klustret ha stöd för följande krav:

• Måste använda API-version 11-02-preview eller senare
• Om du använder Azure CLI måste CLI-tilläggsversionen aks-preview0.5.166 eller senare installeras
• Funktionsflaggan NodeOsUpgradeChannelPreview måste vara aktiverad för din prenumeration

Registrera NodeOsUpgradeChannelPreview

Registrera funktionsflaggan NodeOsUpgradeChannelPreview med kommandot az feature register , som du ser i följande exempel:

az feature register --namespace "Microsoft.ContainerService" --name "NodeOsUpgradeChannelPreview"

Det tar några minuter för statusen att visa Registrerad. Kontrollera registreringsstatusen med kommandot az feature show :

az feature show --namespace "Microsoft.ContainerService" --name "NodeOsUpgradeChannelPreview"

När statusen visar Registrerad uppdaterar du registreringen av Resursprovidern Microsoft.ContainerService med hjälp av kommandot az provider register :

az provider register --namespace Microsoft.ContainerService

Kända buggar i Node-kanalen

• För närvarande, när du ställer in kanalen för automatisk uppgradering av klustret till node-image, anger den också automatiskt nodens kanal för automatisk uppgradering av operativsystemet till NodeImage. Du kan inte ändra värdet för den automatiska uppgraderingen av nod-operativsystemets kanal om den automatiska uppgraderingskanalen för klustret är node-image. Om du vill ange värdet för den automatiska uppgraderingskanalen för nodens operativsystem kontrollerar du att kanalvärdet för den automatiska uppgraderingen av klustret inte node-imageär .

• Kanalen SecurityPatch stöds inte i Windows OS-nodpooler.

Kommentar

Som standard anger alla nya kluster som skapats med en API-version av 06-01-2022 eller senare värdet för den automatiska uppgraderingskanalen för nodens operativsystem till NodeImage. Alla befintliga kluster som skapats med en TIDIGARE API-version än 06-01-2022 vad som kommer att ha värdet för den automatiska uppgraderingskanalen för nodoperativsystem inställt None på som standard.

Planerade underhållsperioder för Node OS

Planerat underhåll för den automatiska uppgraderingen av nodens operativsystem startar vid det angivna underhållsfönstret.

Kommentar

Använd ett underhållsperiod på fyra timmar eller mer för att säkerställa korrekt funktionalitet.

Mer information om planerat underhåll finns i Använda planerat underhåll för att schemalägga underhållsperioder för ditt AKS-kluster (Azure Kubernetes Service).

Vanliga frågor och svar om automatiska uppgraderingar av Node OS

• Hur kan jag kontrollera aktuellt nodeOsUpgradeChannel-värde i ett kluster?

az aks show Kör kommandot och kontrollera "autoUpgradeProfile" för att avgöra vilket värde nodeOsUpgradeChannel som är inställt på:

az aks show --resource-group myResourceGroup --name myAKSCluster --query "autoUpgradeProfile"

• Hur övervakar jag statusen för automatiska uppgraderingar av nodoperativsystem?

Om du vill visa status för dina automatiska uppgraderingar av nodens operativsystem letar du upp aktivitetsloggar i klustret. Du kan också söka efter specifika uppgraderingsrelaterade händelser enligt beskrivningen i Uppgradera ett AKS-kluster. AKS genererar även uppgraderingsrelaterade Event Grid-händelser. Mer information finns i AKS som en Event Grid-källa.

• Kan jag ändra värdet för den automatiska uppgraderingskanalen för nodens operativsystem om min kanal för automatisk uppgradering av klustret är inställd på node-image ?

Nej. För närvarande, när du ställer in kanalen för automatisk uppgradering av klustret till node-image, anger den också automatiskt nodens kanal för automatisk uppgradering av operativsystemet till NodeImage. Du kan inte ändra värdet för den automatiska uppgraderingskanalen för nodens operativsystem om den automatiska uppgraderingskanalen för klustret är node-image. För att kunna ändra värdena för den automatiska uppgraderingen av nodens operativsystem kontrollerar du att kanalen för automatisk uppgradering av klustret inte node-imageär .

• Varför rekommenderas SecurityPatch via Unmanaged kanalen?

Unmanaged I kanalen har AKS ingen kontroll över hur och när säkerhetsuppdateringarna levereras. Med SecurityPatchtestas säkerhetsuppdateringarna fullständigt och följer säkra distributionsmetoder. SecurityPatch respekterar även underhållsperioder. Mer information finns i Ökad säkerhet och återhämtning för kanoniska arbetsbelastningar i Azure.

• Hur gör jag för att veta om en SecurityPatch eller NodeImage uppgradering tillämpas på min nod?

Kör följande kommando för att hämta nodetiketter:

kubectl get nodes --show-labels

Bland de returnerade etiketterna bör du se en rad som liknar följande utdata:

kubernetes.azure.com/node-image-version=AKSUbuntu-2204gen2containerd-202311.07.0

Här är AKSUbuntu-2204gen2containerdbasnodens avbildningsversion . Om tillämpligt följer säkerhetskorrigeringsversionen vanligtvis. I exemplet ovan är 202311.07.0det .

Samma information visas också i Azure-portalen under vyn nodetikett:

Nästa steg

En detaljerad beskrivning av metodtips för uppgradering och andra överväganden finns i AKS-korrigerings- och uppgraderingsvägledning.