Düğüm işletim sistemi görüntülerini otomatik yükseltme

AKS, zamanında düğüm düzeyinde işletim sistemi güvenlik güncelleştirmelerine ayrılmış birden çok otomatik yükseltme kanalı sağlar. Bu kanal, küme düzeyi Kubernetes sürüm yükseltmelerinden farklıdır ve yerini alır.

Düğüm işletim sistemi otomatik yükseltmesi ve küme otomatik yükseltmesi arasındaki etkileşimler

Düğüm düzeyinde işletim sistemi güvenlik güncelleştirmeleri, Kubernetes düzeltme ekinden veya ikincil sürüm güncelleştirmelerinden daha hızlı bir şekilde yayınlanır. Düğüm işletim sistemi otomatik yükseltme kanalı size esneklik sağlar ve düğüm düzeyinde işletim sistemi güvenlik güncelleştirmeleri için özelleştirilmiş bir strateji sağlar. Ardından, küme düzeyinde Kubernetes sürümü otomatik yükseltmeleri için ayrı bir plan seçebilirsiniz. Hem küme düzeyinde otomatik yükseltmeleri hem de düğüm işletim sistemi otomatik yükseltme kanalını birlikte kullanmak en iyisidir. Zamanlama, küme otomatik yükseltme kanalı ve aksManagedNodeOSUpgradeSchedule düğüm işletim sistemi otomatik yükseltme kanalı için iki ayrı bakım penceresiaksManagedAutoUpgradeSchedule - kümesi uygulanarak ince ayar yapılabilir.

Düğüm işletim sistemi görüntüsü yükseltmeleri için kanallar

Seçilen kanal, yükseltmelerin zamanlamasını belirler. Düğüm işletim sistemi otomatik yükseltme kanallarında değişiklik yaparken değişikliklerin etkili olması için 24 saate kadar bekleyin. Bir kanaldan başka bir kanala geçtikten sonra, sıralı düğümlere yol açan bir yeniden oluşturma tetikler.

Not

Düğüm işletim sistemi görüntüsü otomatik yükseltme, kümenin Kubernetes sürümünü etkilemez.

Aşağıdaki yükseltme kanalları kullanılabilir. Şu seçeneklerden birini seçebilirsiniz:

Kanal	Açıklama	İşletim sistemine özgü davranış
None	Düğümlerinizde otomatik olarak güvenlik güncelleştirmeleri uygulanmaz. Bu, güvenlik güncelleştirmelerinizden yalnızca sizin sorumlu olduğunuz anlamına gelir.	Yok
Unmanaged	İşletim sistemi güncelleştirmeleri, işletim sistemi yerleşik düzeltme eki uygulama altyapısı aracılığıyla otomatik olarak uygulanır. Yeni ayrılan makineler başlangıçta eşleşmez. İşletim sisteminin altyapısı bir noktada bunlara düzeltme eki ekler.	Ubuntu ve Azure Linux (CPU düğüm havuzları), katılımsız yükseltme/dnf-otomatik aracılığıyla güvenlik düzeltme eklerini günde yaklaşık 06:00 UTC civarında uygular. Windows otomatik olarak güvenlik düzeltme ekleri uygulamaz, bu nedenle bu seçenek ile Noneeşdeğer şekilde davranır. Kured gibi bir araç kullanarak yeniden başlatma işlemini yönetmeniz gerekir.
SecurityPatch	AKS tarafından test edilen, tam olarak yönetilen ve güvenli dağıtım uygulamalarıyla uygulanan işletim sistemi güvenlik düzeltme ekleri. AKS, düğümün sanal sabit diskini (VHD) "yalnızca güvenlik" etiketli görüntü bakımcısından gelen yamalarla düzenli olarak güncelleştirir. Düğümlere güvenlik düzeltme ekleri uygulandığında kesintiler yaşanabilir, ancak AKS kesintileri yalnızca gerektiğinde düğümlerinizi yeniden görüntüleyerek (örneğin, belirli çekirdek güvenlik paketleri için) kısıtlar. Düzeltme ekleri uygulandığında VHD güncelleştirilir ve mevcut makineler bu VHD'ye yükseltilir ve bakım pencerelerine ve dalgalanma ayarlarına uygun hale getirilir. AKS düğümleri yeniden canlandırmanın gerekli olmadığına karar verirse, podları boşaltmadan düğümlere canlı düzeltme eki uygular ve VHD güncelleştirmesi gerçekleştirmez. Bu seçenek, VHD'leri düğüm kaynak grubunuzda barındırmanın ek maliyetini doğurabilir. Bu kanalı kullanırsanız, Linux katılımsız yükseltmeleri varsayılan olarak devre dışı bırakılır.	Azure Linux, GPU özellikli VM'lerde bu kanalı desteklemez. SecurityPatch , ikincil Kubernetes sürümü hala desteklendiği sürece kullanım dışı bırakılan kubernetes düzeltme eki sürümlerinde çalışır.
NodeImage	AKS, düğümleri haftalık bir tempoda güvenlik düzeltmeleri ve hata düzeltmeleri içeren yeni düzeltme eki uygulanmış bir VHD ile güncelleştirir. Yeni VHD güncelleştirmesi bakım pencerelerini ve dalgalanma ayarlarını takip ederek kesintiye neden oluyor. Bu seçenek seçildiğinde ek VHD maliyeti tahakkuk ettirilmemiştir. Bu kanalı kullanırsanız, Linux katılımsız yükseltmeleri varsayılan olarak devre dışı bırakılır. İkincil Kubernetes sürümü hala desteklendiği sürece düğüm görüntüsü yükseltmeleri kullanım dışı bırakılan düzeltme eki sürümlerini destekler. Düğüm görüntüleri AKS tarafından test edilir, tam olarak yönetilir ve güvenli dağıtım uygulamalarıyla uygulanır

Yeni bir kümede düğüm işletim sistemi otomatik yükseltme kanalını ayarlama

Azure CLI

• parametresiyle komutunu kullanarak az aks create yeni bir kümede düğüm işletim sistemi otomatik yükseltme kanalını --node-os-upgrade-channel ayarlayın. Aşağıdaki örnek düğüm işletim sistemi otomatik yükseltme kanalını olarak SecurityPatchayarlar.

  az aks create \
      --resource-group myResourceGroup \
      --name myAKSCluster \
      --node-os-upgrade-channel SecurityPatch \
      --generate-ssh-keys
  

Azure portalı

1. Azure portalında Kaynak>Kapsayıcıları>oluştur Azure Kubernetes Service (AKS) öğesini seçin.

2. Temel Bilgiler sekmesindeki Küme ayrıntıları'nın altında Düğüm güvenlik kanalı türü açılan listesinden istediğiniz kanal türünü seçin.

   

3. Güvenlik kanalı zamanlayıcı'yı seçin ve Planlı Bakım özelliğini kullanarak istediğiniz bakım penceresini seçin. Her hafta Pazar günü (önerilen) varsayılan seçeneği belirlemenizi öneririz.

   

4. Kümeyi oluşturmak için kalan adımları tamamlayın.

Mevcut bir kümede düğüm işletim sistemi otomatik yükseltme kanalını ayarlama

Azure CLI

• parametresiyle komutunu kullanarak az aks update mevcut bir kümede düğüm işletim sistemi otomatik yükseltme kanalını --node-os-upgrade-channel ayarlayın. Aşağıdaki örnek düğüm işletim sistemi otomatik yükseltme kanalını olarak SecurityPatchayarlar.

  az aks update --resource-group myResourceGroup --name myAKSCluster --node-os-upgrade-channel SecurityPatch
  

Azure portalı

1. Azure portalında AKS kümenize gidin.

2. Ayarlar bölümünde Küme yapılandırması'nı seçin.

3. Güvenlik güncelleştirmeleri'nin altında Düğüm güvenlik kanalı türü açılan listesinden istediğiniz kanal türünü seçin.

   

4. Güvenlik kanalı zamanlayıcı için Zamanlama ekle'yi seçin.

5. Bakım zamanlaması ekle sayfasında, Planlı Bakım özelliğini kullanarak aşağıdaki bakım penceresi ayarlarını yapılandırın:

   • Tekrarlar: Bakım penceresi için istenen sıklığı seçin. Haftalık'ı seçmenizi öneririz.
   • Sıklık: Bakım penceresi için haftanın istenen gününü seçin. Pazar'ı seçmenizi öneririz.
   • Bakım başlangıç tarihi: Bakım penceresi için istenen başlangıç tarihini seçin.
   • Bakım başlangıç zamanı: Bakım penceresi için istediğiniz başlangıç saatini seçin.
   • UTC uzaklığı: Bakım penceresi için istenen UTC uzaklığını seçin. Ayarlanmadıysa, varsayılan değer +00:00'dır.

   

6. Uygula'yı Kaydet'i>seçin.

Sahipliği ve zamanlamayı güncelleştirme

Varsayılan tempo, planlı bakım penceresi uygulanmadığını gösterir.

Kanal	Güncelleştirmeler Sahipliği	Varsayılan tempo
Unmanaged	İşletim sistemi tabanlı güvenlik güncelleştirmeleri. AKS'nin bu güncelleştirmeler üzerinde hiçbir denetimi yoktur.	Ubuntu ve Azure Linux için gece 06:00 UTC civarında. Windows için aylık.
SecurityPatch	AKS tarafından test edildi, tam olarak yönetildi ve güvenli dağıtım uygulamalarıyla uygulandı. Daha fazla bilgi için Bkz. Azure'da Kurallı iş yüklerinin artırılmış güvenlik ve dayanıklılığı.	Hafta -lık.
NodeImage	AKS tarafından test edildi, tam olarak yönetildi ve güvenli dağıtım uygulamalarıyla uygulandı. Yayınlar hakkında daha fazla gerçek zamanlı bilgi için Yayın izleyicisinde AKS Düğüm Görüntüleri'ni arayın	Hafta -lık.

Not

Windows güvenlik güncelleştirmeleri aylık olarak yayınlanırken, kanalın Unmanaged kullanılması bu güncelleştirmeleri Windows düğümlerine otomatik olarak uygulamaz. Kanalı seçerseniz Unmanaged Windows düğümleri için yeniden başlatma işlemini yönetmeniz gerekir.

Düğüm kanalı bilinen sınırlamaları

• Şu anda, küme otomatik yükseltme kanalını olarak node-imageayarladığınızda, düğüm işletim sistemi otomatik yükseltme kanalını da otomatik olarak olarak olarak NodeImageayarlar. Küme otomatik yükseltme kanalınız ise düğüm işletim sistemi otomatik yükseltme kanalı node-imagedeğerini değiştiremezsiniz. Düğüm işletim sistemi otomatik yükseltme kanalı değerini ayarlamak için, küme otomatik yükseltme kanalı değerinin olup olmadığını node-imagedenetleyin.

• Kanal SecurityPatch , Windows işletim sistemi düğüm havuzlarında desteklenmez.

Not

Kanal için CLI sürüm 2.61.0 veya üzerini SecurityPatch kullanın.

Düğüm işletim sistemi planlı bakım pencereleri

Düğüm işletim sistemi otomatik yükseltmesi için planlı bakım, belirtilen bakım pencerenizde başlar.

Not

Düzgün işlevsellik sağlamak için dört saat veya daha fazla bakım penceresi kullanın.

Planlı Bakım hakkında daha fazla bilgi için bkz . Azure Kubernetes Service (AKS) kümenizin bakım pencerelerini zamanlamak için Planlı Bakımı kullanma.

Düğüm işletim sistemi otomatik yükseltmeleri hakkında SSS

• Bir kümedeki geçerli nodeOsUpgradeChannel değerini nasıl denetleyebilirim?

az aks show komutunu çalıştırın ve "autoUpgradeProfile" öğesini denetleerek değerinin nodeOsUpgradeChannel hangi değere ayarlandığını belirleyin:

az aks show --resource-group myResourceGroup --name myAKSCluster --query "autoUpgradeProfile"

• Düğüm işletim sistemi otomatik yükseltmelerinin durumunu nasıl izleyebilirim?

Düğüm işletim sistemi otomatik yükseltmelerinizin durumunu görüntülemek için kümenizdeki etkinlik günlüklerini arayın. Aks kümesini yükseltme bölümünde belirtildiği gibi yükseltmeyle ilgili belirli olayları da arayabilirsiniz. AKS ayrıca yükseltmeyle ilgili Event Grid olaylarını da yayar. Daha fazla bilgi edinmek için bkz . Event Grid kaynağı olarak AKS.

• Küme otomatik yükseltme kanalım olarak ayarlandıysa node-image düğüm işletim sistemi otomatik yükseltme kanalı değerini değiştirebilir miyim?

Hayır Şu anda, küme otomatik yükseltme kanalını olarak node-imageayarladığınızda, düğüm işletim sistemi otomatik yükseltme kanalını da otomatik olarak olarak olarak NodeImageayarlar. Küme otomatik yükseltme kanalınız ise düğüm işletim sistemi otomatik yükseltme kanalı node-imagedeğerini değiştiremezsiniz. Düğüm işletim sistemi otomatik yükseltme kanalı değerlerini değiştirebilmek için, küme otomatik yükseltme kanalının olmadığından node-imageemin olun.

• SecurityPatch Kanal üzerinden Unmanaged neden önerilir?

Kanalda Unmanaged , GÜVENLIK güncelleştirmelerinin nasıl ve ne zaman teslim edildiğinde AKS'nin denetimi yoktur. ile SecurityPatch, güvenlik güncelleştirmeleri tamamen test edilir ve güvenli dağıtım uygulamalarını izler. SecurityPatch ayrıca bakım pencerelerine de saygı gösterir. Daha fazla ayrıntı için bkz . Azure'da Kurallı iş yüklerinin artırılmış güvenlik ve dayanıklılığı.

• Düğümlerimin her zaman yeniden görüntülanmasına yol açar mı SecurityPatch ?

AKS, reimage'ları yalnızca tam olarak uygulanması için yeniden gösterimi gerektirebilecek bazı çekirdek paketleri gibi kesinlikle gerekli olduğunda sınırlar. SecurityPatch mümkün olduğunca kesintileri en aza indirmek için tasarlanmıştır. AKS, düğümleri yeniden canlandırmanın gerekli olmadığına karar verirse, düğümlere pod boşaltmadan canlı düzeltme eki ekler ve bu gibi durumlarda VHD güncelleştirmesi yapılmaz.

• Nasıl yaparım? veya yükseltmenin düğümüme uygulanacağını SecurityPatchNodeImage biliyor musunuz?

Düğüm etiketlerini almak için aşağıdaki komutu çalıştırın:

kubectl get nodes --show-labels

Döndürülen etiketler arasında aşağıdaki çıkışa benzer bir satır görmeniz gerekir:

kubernetes.azure.com/node-image-version=AKSUbuntu-2204gen2containerd-202311.07.0

Burada, temel düğüm görüntü sürümü şeklindedir AKSUbuntu-2204gen2containerd. Varsa, güvenlik düzeltme eki sürümü genellikle aşağıdaki gibidir. Yukarıdaki örnekte, şeklindedir 202311.07.0.

Aynı ayrıntılar Azure portalında düğüm etiketi görünümü altında da aranmalıdır:

Sonraki adımlar

Yükseltme en iyi yöntemleri ve diğer önemli noktalar hakkında ayrıntılı bilgi için bkz . AKS düzeltme eki ve yükseltme kılavuzu.