Support principer för Azure Kubernetes-tjänstenSupport policies for Azure Kubernetes Service

Den här artikeln innehåller information om tekniska support principer och begränsningar för Azure Kubernetes service (AKS).This article provides details about technical support policies and limitations for Azure Kubernetes Service (AKS). Artikeln innehåller också information om hantering av Gent, hanterade kontroll Plans komponenter, komponenter från tredje part med öppen källkod och säkerhets-eller uppdaterings hantering.The article also details agent node management, managed control plane components, third-party open-source components, and security or patch management.

Service uppdateringar och versionerService updates and releases

Hanterade funktioner i AKSManaged features in AKS

Grundläggande infrastruktur komponenter för infrastruktur som en tjänst (IaaS), till exempel Compute-eller Networking-komponenter, ger dig till gång till kontroller på låg nivå och anpassnings alternativ.Base infrastructure as a service (IaaS) cloud components, such as compute or networking components, allow you access to low-level controls and customization options. Som kontrast tillhandahåller AKS en nyckel färdig Kubernetes-distribution som ger dig den gemensamma uppsättningen konfigurationer och funktioner som du behöver för klustret.By contrast, AKS provides a turnkey Kubernetes deployment that gives you the common set of configurations and capabilities you need for your cluster. Som AKS-användare har du begränsade anpassnings-och distributions alternativ.As an AKS user, you have limited customization and deployment options. I Exchange behöver du inte bekymra dig om eller hantera Kubernetes-kluster direkt.In exchange, you don't need to worry about or manage Kubernetes clusters directly.

Med AKS får du ett helt hanterat kontroll plan.With AKS, you get a fully managed control plane. Kontroll planet innehåller alla komponenter och tjänster som du behöver för att kunna hantera och tillhandahålla Kubernetes-kluster till slutanvändarna.The control plane contains all of the components and services you need to operate and provide Kubernetes clusters to end users. Alla Kubernetes-komponenter upprätthålls och drivs av Microsoft.All Kubernetes components are maintained and operated by Microsoft.

Microsoft hanterar och övervakar följande komponenter i kontroll fönstret:Microsoft manages and monitors the following components through the control pane:

  • Kubelet-eller Kubernetes-API-servrarKubelet or Kubernetes API servers
  • Etcd eller ett kompatibelt nyckel värdes lager som tillhandahåller QoS (Quality of Service), skalbarhet och körningEtcd or a compatible key-value store, providing Quality of Service (QoS), scalability, and runtime
  • DNS-tjänster (till exempel Kube-DNS eller CoreDNS)DNS services (for example, kube-dns or CoreDNS)
  • Kubernetes-proxy eller nätverkKubernetes proxy or networking
  • Ytterligare tillägg eller system komponenter som körs i Kube-systemets namnrymdAny additional addon or system component running in the kube-system namespace

AKS är inte en PaaS-lösning (Platform-as-a-Service).AKS isn't a Platform-as-a-Service (PaaS) solution. Vissa komponenter, till exempel agent-noder, har delat ansvar, där användarna måste underhålla AKS-klustret.Some components, such as agent nodes, have shared responsibility, where users must help maintain the AKS cluster. Användarindata krävs, till exempel för att tillämpa en säkerhets korrigering för agentens operativ system (OS).User input is required, for example, to apply an agent node operating system (OS) security patch.

Tjänsterna hanteras i den mening att Microsoft och AKS-teamet distribuerar, agerar och ansvarar för tjänstens tillgänglighet och funktioner.The services are managed in the sense that Microsoft and the AKS team deploys, operates, and is responsible for service availability and functionality. Kunder kan inte ändra dessa hanterade komponenter.Customers can't alter these managed components. Microsoft begränsar anpassningen för att säkerställa en konsekvent och skalbar användar upplevelse.Microsoft limits customization to ensure a consistent and scalable user experience. En helt anpassningsbar lösning finns i AKS-motorn.For a fully customizable solution, see AKS Engine.

Delat ansvarShared responsibility

När ett kluster skapas definierar du de Kubernetes-agent-noder som AKS skapar.When a cluster is created, you define the Kubernetes agent nodes that AKS creates. Dina arbets belastningar körs på dessa noder.Your workloads are executed on these nodes.

Eftersom dina agent-noder kör privat kod och lagrar känsliga data kan Microsoft Support komma åt dem endast på ett mycket begränsat sätt.Because your agent nodes execute private code and store sensitive data, Microsoft Support can access them only in a very limited way. Microsoft Support kan inte logga in på, köra kommandon i eller Visa loggar för dessa noder utan uttrycklig behörighet eller hjälp.Microsoft Support can't sign in to, execute commands in, or view logs for these nodes without your express permission or assistance.

Alla ändringar som görs direkt till agent-noderna med någon av IaaS-API: erna återger klustret som inte stöds.Any modification done directly to the agent nodes using any of the IaaS APIs renders the cluster unsupportable. Alla ändringar som görs på agent-noderna måste utföras med Kubernetes-inbyggda mekanismer som Daemon Sets .Any modification done to the agent nodes must be done using kubernetes-native mechanisms such as Daemon Sets.

På samma sätt kan du lägga till alla metadata till klustret och noderna, till exempel taggar och etiketter, vilket innebär att det inte finns stöd för att ändra alla systemgenererade metadata.Similarly, while you may add any metadata to the cluster and nodes, such as tags and labels, changing any of the system created metadata will render the cluster unsupported.

Support täckning för AKSAKS support coverage

Microsoft tillhandahåller teknisk support för följande exempel:Microsoft provides technical support for the following examples:

  • Anslutning till alla Kubernetes-komponenter som Kubernetes-tjänsten tillhandahåller och stöder, t. ex. API-servern.Connectivity to all Kubernetes components that the Kubernetes service provides and supports, such as the API server.
  • Hantering, drift tid, QoS och drift av Kubernetes Control plan-tjänster (t. ex. Kubernetes kontroll plan, API-Server, etcd och coreDNS).Management, uptime, QoS, and operations of Kubernetes control plane services (Kubernetes control plane, API server, etcd, and coreDNS, for example).
  • Etcd data lager.Etcd data store. Support omfattar automatiserade, transparenta säkerhets kopieringar av alla etcd-data var 30: e minut för katastrof planering och återställning av kluster tillstånd.Support includes automated, transparent backups of all etcd data every 30 minutes for disaster planning and cluster state restoration. Dessa säkerhets kopior är inte direkt tillgängliga för dig eller användare.These backups aren't directly available to you or any users. De säkerställer data tillförlitlighet och konsekvens.They ensure data reliability and consistency. Etcd.Etcd. återställning på begäran eller återställning stöds inte som en funktion.on-demand rollback or restore is not supported as a feature.
  • Alla integrerings platser i Azure Cloud Provider-drivrutinen för Kubernetes.Any integration points in the Azure cloud provider driver for Kubernetes. Detta inkluderar integreringar i andra Azure-tjänster, till exempel belastningsutjämnare, beständiga volymer eller nätverk (Kubernetes och Azure CNI).These include integrations into other Azure services such as load balancers, persistent volumes, or networking (Kubernetes and Azure CNI).
  • Frågor eller problem med anpassning av kontroll Plans komponenter som Kubernetes API-Server, etcd och coreDNS.Questions or issues about customization of control plane components such as the Kubernetes API server, etcd, and coreDNS.
  • Problem med nätverk, till exempel Azure CNI, Kubernetes eller andra problem med nätverks åtkomst och funktioner.Issues about networking, such as Azure CNI, kubenet, or other network access and functionality issues. Problem kan vara DNS-matchning, paket förlust, Routning och så vidare.Issues could include DNS resolution, packet loss, routing, and so on. Microsoft har stöd för olika nätverks scenarier:Microsoft supports various networking scenarios:
    • Kubernetes och Azure CNI med hanterade virtuella nätverk eller med anpassade (ta med egna) undernät.Kubenet and Azure CNI using managed VNETs or with custom (bring your own) subnets.
    • Anslutning till andra Azure-tjänster och-programConnectivity to other Azure services and applications
    • Ingångs-och ingångs-eller belastnings Utjämnings konfigurationerIngress controllers and ingress or load balancer configurations
    • Nätverks prestanda och svars tidNetwork performance and latency

Anteckning

Alla kluster åtgärder som utförs av Microsoft/AKS görs med användar medgivande under en inbyggd Kubernetes-roll aks-service och inbyggd roll bindning aks-service-rolebinding .Any cluster actions taken by Microsoft/AKS are made with user consent under a built-in Kubernetes role aks-service and built-in role binding aks-service-rolebinding. Med den här rollen kan AKS felsöka och diagnostisera kluster problem, men det går inte att ändra behörigheter eller skapa roller eller roll bindningar eller andra åtgärder med hög behörighet.This role enables AKS to troubleshoot and diagnose cluster issues, but can't modify permissions nor create roles or role bindings, or other high privilege actions. Roll åtkomst är bara aktiverat under aktiva support biljetter med JIT-åtkomst (just-in-Time).Role access is only enabled under active support tickets with just-in-time (JIT) access.

Microsoft tillhandahåller inte teknisk support för följande exempel:Microsoft doesn't provide technical support for the following examples:

  • Frågor om hur du använder Kubernetes.Questions about how to use Kubernetes. Microsoft Support ger dig till exempel inte råd om hur du skapar anpassade ingångs styrenheter, använder program arbets belastningar eller använder program varu paket från tredje part eller öppen källkod eller verktyg.For example, Microsoft Support doesn't provide advice on how to create custom ingress controllers, use application workloads, or apply third-party or open-source software packages or tools.

    Anteckning

    Microsoft Support kan informera om AKS kluster funktioner, anpassning och justering (till exempel problem med Kubernetes-åtgärder och procedurer).Microsoft Support can advise on AKS cluster functionality, customization, and tuning (for example, Kubernetes operations issues and procedures).

  • Projekt med öppen källkod från tredje part som inte tillhandahålls som en del av Kubernetes-kontroll planet eller distribueras med AKS-kluster.Third-party open-source projects that aren't provided as part of the Kubernetes control plane or deployed with AKS clusters. Dessa projekt kan innehålla Istio, Helm, mottagare eller andra.These projects might include Istio, Helm, Envoy, or others.

    Anteckning

    Microsoft kan tillhandahålla bästa möjliga support för projekt med öppen källkod från tredje part, till exempel Helm.Microsoft can provide best-effort support for third-party open-source projects such as Helm. Om verktyget med öppen källkod integrerar med Kubernetes Azure-molnet eller andra AKS buggar, stöder Microsoft exempel och program från Microsoft-dokumentationen.Where the third-party open-source tool integrates with the Kubernetes Azure cloud provider or other AKS-specific bugs, Microsoft supports examples and applications from Microsoft documentation.

  • Program vara från sluten program vara från tredje part.Third-party closed-source software. Den här program varan kan innehålla verktyg för säkerhets genomsökning och nätverks enheter eller program.This software can include security scanning tools and networking devices or software.
  • Andra nätverks anpassningar än de som anges i AKS-dokumentationen.Network customizations other than the ones listed in the AKS documentation.

AKS support täckning för agent-noderAKS support coverage for agent nodes

Microsoft-ansvar för AKS-agent-noderMicrosoft responsibilities for AKS agent nodes

Microsoft och användare delar ansvar för Kubernetes-agent-noder där:Microsoft and users share responsibility for Kubernetes agent nodes where:

  • Bas operativ system avbildningen har nödvändiga tillägg (till exempel övervaknings-och nätverks agenter).The base OS image has required additions (such as monitoring and networking agents).
  • Agent-noderna får OS-uppdateringar automatiskt.The agent nodes receive OS patches automatically.
  • Problem med de Kubernetes Control plan-komponenter som körs på agent-noderna åtgärdas automatiskt.Issues with the Kubernetes control plane components that run on the agent nodes are automatically remediated. Dessa komponenter innehåller följande:These components include the below:
    • Kube-proxy
    • Nätverks tunnlar som tillhandahåller kommunikations vägar till Kubernetes huvud komponenterNetworking tunnels that provide communication paths to the Kubernetes master components
    • Kubelet
    • Moby eller ContainerDMoby or ContainerD

Anteckning

Om en agent-nod inte fungerar kan AKS starta om enskilda komponenter eller hela agent-noden.If an agent node is not operational, AKS might restart individual components or the entire agent node. De här omstarts åtgärderna automatiseras och tillhandahåller automatisk reparation av vanliga problem.These restart operations are automated and provide auto-remediation for common issues. Om du vill veta mer om automatiska reparations metoder, se noden automatisk reparationIf you want to know more about the auto-remediation mechanisms, see Node Auto-Repair

Kund ansvar för AKS-agent-noderCustomer responsibilities for AKS agent nodes

Microsoft tillhandahåller korrigeringar och nya avbildningar för dina bildnoder varje vecka, men korrigerar dem automatiskt som standard.Microsoft provides patches and new images for your image nodes weekly, but doesn't automatically patch them by default. Om du vill att agent-nodens operativ system och körnings komponenter ska korrigeras, bör du behålla ett uppgraderings schema för en vanlig nods avbildning eller automatisera det.To keep your agent node OS and runtime components patched, you should keep a regular node image upgrade schedule or automate it.

På samma sätt släpper AKS regelbundet nya Kubernetes-korrigeringsfiler och del versioner.Similarly, AKS regularly releases new kubernetes patches and minor versions. Dessa uppdateringar kan innehålla säkerhets-eller funktions förbättringar för Kubernetes.These updates can contain security or functionality improvements to Kubernetes. Du är ansvarig för att hålla klustrets Kubernetes-version uppdaterad och enligt principen AKS Kubernetes support version.You're responsible to keep your clusters' kubernetes version updated and according to the AKS Kubernetes Support Version Policy.

Användar anpassning av agent-noderUser customization of agent nodes

Anteckning

AKS agent-noder visas i Azure Portal som vanliga Azure IaaS-resurser.AKS agent nodes appear in the Azure portal as regular Azure IaaS resources. Men de här virtuella datorerna distribueras till en anpassad Azure-resurs grupp (vanligt vis föregås av MC_ * ).But these virtual machines are deployed into a custom Azure resource group (usually prefixed with MC_*). Du kan inte ändra bas operativ system avbildningen eller göra några direkta anpassningar till dessa noder med IaaS-API: erna eller resurser.You cannot change the base OS image or do any direct customizations to these nodes using the IaaS APIs or resources. Eventuella anpassade ändringar som inte görs via AKS-API: et behålls inte genom en uppgradering, skalning, uppdatering eller omstart.Any custom changes that are not done via the AKS API will not persist through an upgrade, scale, update or reboot. Undvik att utföra ändringar av agent noderna om Microsoft Support dirigerar dig om att göra ändringar.Avoid performing changes to the agent nodes unless Microsoft Support directs you to make changes.

AKS hanterar livs cykeln och åtgärder för agent-noderna för din räkning – det går inteatt ändra de IaaS-resurser som är kopplade till agent-noderna.AKS manages the lifecycle and operations of agent nodes on your behalf - modifying the IaaS resources associated with the agent nodes is not supported. Ett exempel på en åtgärd som inte stöds är att anpassa skalnings uppsättningen för en virtuell dator i en pool genom att manuellt ändra konfigurationerna via den virtuella datorns skal uppsättnings portal eller API.An example of an unsupported operation is customizing a node pool virtual machine scale set by manually changing configurations through the virtual machine scale set portal or API.

AKS rekommenderar att du använder Kubernetes daemon sets för arbets belastnings bara konfigurationer eller paket.For workload-specific configurations or packages, AKS recommends using Kubernetes daemon sets.

Med hjälp av Kubernetes Privileged daemon sets och init containers kan du finjustera/ändra eller installera program vara från tredje part på klusternoder.Using Kubernetes privileged daemon sets and init containers enables you to tune/modify or install 3rd party software on cluster agent nodes. Exempel på sådana anpassningar är att lägga till anpassade program för säkerhets genomsökning eller uppdatera sysctl-inställningar.Examples of such customizations include adding custom security scanning software or updating sysctl settings.

Även om den här sökvägen rekommenderas om ovanstående krav är uppfyllda kan AKS Engineering and support inte hjälpa till att felsöka eller diagnostisera ändringar som gör att noden inte är tillgänglig på grund av en anpassad distribution daemon set .While this path is recommended if the above requirements apply, AKS engineering and support cannot assist in troubleshooting or diagnosing modifications that render the node unavailable due to a custom deployed daemon set.

Säkerhets problem och uppdateringSecurity issues and patching

Om det finns ett säkerhets fel i en eller flera av de hanterade komponenterna i AKS, kommer AKS-teamet att uppdatera alla berörda kluster för att undvika problemet.If a security flaw is found in one or more of the managed components of AKS, the AKS team will patch all affected clusters to mitigate the issue. Alternativt ger teamet användarna uppgraderings vägledning.Alternatively, the team will give users upgrade guidance.

För att agent-noder påverkas av ett säkerhets fel meddelar Microsoft dig information om konsekvenserna och stegen för att åtgärda eller minimera säkerhets problemet (normalt en uppgradering av en uppgradering av en nod eller en uppgradering av kluster korrigering).For agent nodes affected by a security flaw, Microsoft will notify you with details on the impact and the steps to fix or mitigate the security issue (normally a node image upgrade or a cluster patch upgrade).

Underhåll och åtkomst till nodNode maintenance and access

Även om du kan logga in på och ändra agent-noder, så rekommenderas inte den här åtgärden eftersom det inte går att göra ett kluster.Although you can sign in to and change agent nodes, doing this operation is discouraged because changes can make a cluster unsupportable.

Nätverks portar, åtkomst och NSG: erNetwork ports, access, and NSGs

Du kan bara anpassa NSG: er på anpassade undernät.You may only customize the NSGs on custom subnets. Du kan inte anpassa NSG: er i hanterade undernät eller på NÄTVERKSKORTs nivån för agent-noderna.You may not customize NSGs on managed subnets or at the NIC level of the agent nodes. AKS har utgångs krav för särskilda slut punkter, för att kontrol lera utgående trafik och säkerställa nödvändig anslutning, se begränsa utgående trafik.AKS has egress requirements to specific endpoints, to control egress and ensure the necessary connectivity, see limit egress traffic.

Stoppade eller förallokerade klusterStopped or de-allocated clusters

Som tidigare nämnts förallokerar manuellt alla klusternoder via IaaS-API: erna/CLI/portalen.As stated earlier, manually de-allocating all cluster nodes via the IaaS APIs/CLI/portal renders the cluster out of support. Det enda stödda sättet att stoppa/ta bort alla noder är att stoppa AKS-klustret, vilket bevarar kluster tillstånd i upp till 12 månader.The only supported way to stop/de-allocate all nodes is to stop the AKS cluster, which preserves the cluster state for up to 12 months.

Kluster som har stoppats under mer än 12 månader kommer inte längre att behålla sitt tillstånd.Clusters that are stopped for more than 12 months will no longer preserve state.

Kluster som inte är allokerade utanför AKS-API: erna har ingen garanti för tillstånds bevarande.Clusters that are de-allocated outside of the AKS APIs have no state preservation guarantees. Kontroll planen för kluster i det här läget kommer att arkiveras efter 30 dagar och tas bort efter 12 månader.The control planes for clusters in this state will be archived after 30 days, and deleted after 12 months.

AKS förbehåller sig rätten att arkivera kontroll plan som har kon figurer ATS ur support rikt linjerna för utökade perioder som är lika med och bortom 30 dagar.AKS reserves the right to archive control planes that have been configured out of support guidelines for extended periods equal to and beyond 30 days. AKS upprätthåller säkerhets kopiering av etcd metadata i kluster och kan enkelt allokera om klustret.AKS maintains backups of cluster etcd metadata and can readily reallocate the cluster. Den här Omallokeringen kan initieras av en pågående åtgärd som tar klustret tillbaka till support, till exempel en uppgradering eller skalning till aktiva agent-noder.This reallocation can be initiated by any PUT operation bringing the cluster back into support, such as an upgrade or scale to active agent nodes.

Om din prenumeration har inaktiverats eller tagits bort tas ditt klusters kontroll plan och tillstånd bort efter 90 dagar.If your subscription is suspended or deleted, your cluster's control plane and state will be deleted after 90 days.

Funktioner som inte stöds av alpha och beta KubernetesUnsupported alpha and beta Kubernetes features

AKS stöder endast stabila och beta funktioner i det överordnade Kubernetes-projektet.AKS only supports stable and beta features within the upstream Kubernetes project. Om inget annat har dokumenterats stöder AKS inte någon alfa funktion som är tillgänglig i det överordnade Kubernetes-projektet.Unless otherwise documented, AKS doesn't support any alpha feature that is available in the upstream Kubernetes project.

Förhands gransknings funktioner eller funktions flaggorPreview features or feature flags

För funktioner och funktioner som kräver utökad testning och feedback från användaren, släpper Microsoft nya för hands versions funktioner eller funktioner bakom en funktions flagga.For features and functionality that requires extended testing and user feedback, Microsoft releases new preview features or features behind a feature flag. Tänk på dessa funktioner som för hands version eller beta funktioner.Consider these features as prerelease or beta features.

Funktionerna för förhands granskning eller funktions flagga är inte avsedda för produktion.Preview features or feature-flag features aren't meant for production. Pågående ändringar i API: er och beteende, fel korrigeringar och andra ändringar kan resultera i instabila kluster och stillestånds tid.Ongoing changes in APIs and behavior, bug fixes, and other changes can result in unstable clusters and downtime.

Funktioner som ingår i den offentliga för hands versionen är under stöd för bästa prestanda eftersom dessa funktioner är i för hands version och inte är avsedda för produktion och stöds endast av AKS-teamen för teknisk support under kontors tid.Features in public preview are fall under 'best effort' support as these features are in preview and not meant for production and are supported by the AKS technical support teams during business hours only. Mer information finns i:For more information, see:

Överordna buggar och problemUpstream bugs and issues

Med tanke på hastigheten på utvecklingen i det överordnade Kubernetes-projektet, uppstår buggar.Given the speed of development in the upstream Kubernetes project, bugs invariably arise. Vissa av dessa buggar kan inte korrigeras eller bearbetas runt i AKS-systemet.Some of these bugs can't be patched or worked around within the AKS system. I stället kräver fel korrigeringar större korrigeringar för att överföra projekt (till exempel Kubernetes, Node-eller agent-operativsystem och kernel).Instead, bug fixes require larger patches to upstream projects (such as Kubernetes, node or agent operating systems, and kernel). För komponenter som Microsoft äger (t. ex. Azure Cloud Provider) är AKS och Azure personal engagerade i att åtgärda problem med överströms i communityn.For components that Microsoft owns (such as the Azure cloud provider), AKS and Azure personnel are committed to fixing issues upstream in the community.

När ett tekniskt support ärende är rot som orsakas av en eller flera överströms buggar, kommer AKS support och teknik team att:When a technical support issue is root-caused by one or more upstream bugs, AKS support and engineering teams will:

  • Identifiera och länka de överordnade buggar med all ytterligare information som kan hjälpa dig att förklara varför det här problemet påverkar klustret eller arbets belastningen.Identify and link the upstream bugs with any supporting details to help explain why this issue affects your cluster or workload. Kunderna får länkar till de nödvändiga databaserna så att de kan se problemen och se när en ny version kommer att tillhandahålla korrigeringar.Customers receive links to the required repositories so they can watch the issues and see when a new release will provide fixes.
  • Tillhandahålla möjliga lösningar eller åtgärder.Provide potential workarounds or mitigation. Om problemet kan undvikas kommer ett känt problem att arkiveras i AKS-lagringsplatsen.If the issue can be mitigated, a known issue will be filed in the AKS repository. Den kända problem filen förklarar:The known-issue filing explains:
    • Problemet, inklusive länkar till överordnade buggar.The issue, including links to upstream bugs.
    • Lösning och information om en uppgradering eller en annan beständig lösning.The workaround and details about an upgrade or another persistence of the solution.
    • Tuffa tids linjer för ärendets inkludering baserat på den överordnade versionen takt.Rough timelines for the issue's inclusion, based on the upstream release cadence.