Megosztás a következőn keresztül:

Csomópont operációsrendszer-lemezképének automatikus frissítése

  • Cikk

Az AKS több automatikus frissítési csatornát biztosít, amely az operációs rendszer időszerű, csomópontszintű biztonsági frissítéseit tartalmazza. Ez a csatorna eltér a fürtszintű Kubernetes-verziófrissítésektől, és felülírja azt.

A csomópont operációs rendszerének automatikus frissítése és a fürt automatikus frissítése közötti interakciók

A csomópontszintű operációs rendszer biztonsági frissítései gyorsabban jelennek meg, mint a Kubernetes-javítások vagy az alverziófrissítések. A csomópont operációs rendszer automatikus frissítési csatornája rugalmasságot biztosít, és lehetővé teszi a csomópontszintű operációs rendszer biztonsági frissítéseinek testre szabott stratégiáját. Ezután választhat egy külön csomagot a fürtszintű Kubernetes-verzió automatikus frissítéséhez. A legjobb, ha a fürtszintű automatikus frissítéseket és a csomópont operációs rendszer automatikus frissítési csatornáját együtt használja. Az ütemezés finomhangolható úgy, hogy két külön karbantartási ablakotaksManagedAutoUpgradeSchedule - alkalmaz a fürt automatikus frissítési csatornájára és aksManagedNodeOSUpgradeSchedule a csomópont operációs rendszer automatikus frissítési csatornájára.

Csomópont operációsrendszer-képfrissítéseinek csatornái

A kiválasztott csatorna határozza meg a frissítések időzítését. A csomópont operációs rendszer automatikus frissítési csatornáinak módosításakor a módosítások érvénybe lépése akár 24 órát is igénybe vehet.

Feljegyzés

  • Ha az egyik csatornáról egy másik csatornára vált, a rendszer elindít egy újraimázst, amely működésbe lépő csomópontokhoz vezet.
  • A csomópont operációsrendszer-lemezképének automatikus frissítése nem befolyásolja a fürt Kubernetes-verzióját. Az API 2023-06-01-es verziójától kezdve a létrehozott új fürtök alapértelmezett értéke.NodeImage

A következő frissítési csatornák érhetők el. Az alábbi lehetőségek közül választhat:

Csatorna Leírás Operációsrendszer-specifikus viselkedés
None A csomópontok nem alkalmazzák automatikusan a biztonsági frissítéseket. Ez azt jelenti, hogy kizárólag Ön felelős a biztonsági frissítésekért. n/a
Unmanaged A rendszer automatikusan alkalmazza az operációsrendszer-frissítéseket az operációs rendszer beépített javítási infrastruktúrájában. Az újonnan lefoglalt gépek kezdetben nem lesznek kiosztva. Az operációs rendszer infrastruktúrája egy bizonyos ponton javítja őket. Az Ubuntu és az Azure Linux (CPU-csomópontkészletek) a biztonsági javításokat felügyelet nélküli frissítéssel/dnf-automatikusan, nagyjából naponta egyszer, 06:00 (UTC) körül alkalmazzák. A Windows nem alkalmazza automatikusan a biztonsági javításokat, így ez a beállítás ugyanúgy működik, mint Nonea . Az újraindítási folyamatot egy olyan eszközzel kell kezelnie, mint a kured.
SecurityPatch Az operációs rendszer biztonsági javításai, amelyek az AKS által tesztelt, teljes körűen felügyelt és biztonságos üzembe helyezési eljárásokkal alkalmazhatók. Az AKS rendszeresen frissíti a csomópont virtuális merevlemezét (VHD) a rendszerkép-karbantartó "csak biztonsági" címkével ellátott javításaival. A biztonsági javítások csomópontokra való alkalmazásakor fennakadások lehetnek. Az AKS azonban korlátozza a fennakadásokat azáltal, hogy csak szükség esetén, például bizonyos kernelbiztonsági csomagok esetében csak a csomópontok újraimálásával korlátozza a fennakadásokat. A javítások alkalmazásakor a VHD frissül, a meglévő gépek pedig erre a VHD-re frissülnek, betartva a karbantartási időszakokat és a túlfeszültség-beállításokat. Ha az AKS úgy dönt, hogy a csomópontok újraimálása nem szükséges, akkor a podok ürítése nélkül javítja a csomópontokat, és nem végez VHD-frissítést. Ez a beállítás a virtuális merevlemezek csomópont-erőforráscsoportban való üzemeltetésének többletköltségével jár. Ha ezt a csatornát használja, a Linux felügyelet nélküli frissítései alapértelmezés szerint le lesznek tiltva. Az Azure Linux nem támogatja ezt a csatornát GPU-kompatibilis virtuális gépeken. SecurityPatch A kubernetes-javítás elavult verzióin működik, amíg a kubernetes alverziója továbbra is támogatott.
NodeImage Az AKS egy újonnan javított VHD-vel frissíti a csomópontokat, amely heti rendszerességgel tartalmaz biztonsági javításokat és hibajavításokat. Az új VHD frissítése zavaró, a karbantartási időszakokat és a túlfeszültség-beállításokat követve. Ennek a lehetőségnek a kiválasztásakor nem merül fel további VHD-költség. Ha ezt a csatornát használja, a Linux felügyelet nélküli frissítései alapértelmezés szerint le lesznek tiltva. A csomópontrendszerképek frissítései támogatják az elavult javításverziókat, amíg a kubernetes-verzió továbbra is támogatott. A csomópontrendszerképek AKS-teszteléssel, teljes körű felügyelettel és biztonságos üzembe helyezési eljárásokkal alkalmazhatók

A csomópont operációs rendszerének automatikus frissítési csatornájának beállítása új fürtön

  • Állítsa be a csomópont operációs rendszerének automatikus frissítési csatornát egy új fürtre a az aks create paraméterrel rendelkező --node-os-upgrade-channel paranccsal. Az alábbi példa a csomópont operációs rendszerének automatikus frissítési csatornát állítja be SecurityPatch.

    az aks create \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --node-os-upgrade-channel SecurityPatch \
    --generate-ssh-keys

A csomópont operációs rendszerének automatikus frissítési csatornájának beállítása meglévő fürtön

  • Állítsa be a csomópont operációs rendszerének automatikus frissítési csatornát egy meglévő fürtön a az aks update paraméterrel rendelkező --node-os-upgrade-channel paranccsal. Az alábbi példa a csomópont operációs rendszerének automatikus frissítési csatornát állítja be SecurityPatch.

    az aks update --resource-group myResourceGroup --name myAKSCluster --node-os-upgrade-channel SecurityPatch

Tulajdonjog és ütemezés frissítése

Az alapértelmezett ütemezés azt jelenti, hogy nincs tervezett karbantartási időszak alkalmazva.

Csatorna Tulajdonosi frissítések Alapértelmezett ütemezés
Unmanaged Operációsrendszer-alapú biztonsági frissítések. Az AKS nem szabályozza ezeket a frissítéseket. Ubuntu és Azure Linux esetén éjjel 6 óra körül utc. Windows esetén havonta.
SecurityPatch Az AKS által tesztelt, teljes körűen felügyelt és biztonságos üzembe helyezési eljárásokkal alkalmazott. További információ: A canonical számítási feladatok fokozott biztonsága és rugalmassága az Azure-ban. Heti.
NodeImage Az AKS által tesztelt, teljes körűen felügyelt és biztonságos üzembe helyezési eljárásokkal alkalmazott. A kiadásokkal kapcsolatos valós idejű információkért keresse meg az AKS-csomópont lemezképeit a Kiadáskövetésben Heti.

Feljegyzés

Bár a Windows biztonsági frissítései havi rendszerességgel jelennek meg, a Unmanaged csatorna használata nem alkalmazza automatikusan ezeket a frissítéseket a Windows-csomópontokra. Ha a csatornát Unmanaged választja, kezelnie kell a Windows-csomópontok újraindítási folyamatát.

A csomópontcsatorna ismert korlátozásai

Feljegyzés

Használja a CLI 2.61.0-s vagy újabb verzióját a SecurityPatch csatornához.

Csomópont operációs rendszerének tervezett karbantartási időszakai

A csomópont operációs rendszerének automatikus frissítéséhez tervezett karbantartás a megadott karbantartási időszakon kezdődik.

Feljegyzés

A megfelelő működés biztosítása érdekében használjon négy vagy több órás karbantartási időszakot.

A tervezett karbantartásról további információt az Azure Kubernetes Service(AKS) fürt karbantartási időszakainak ütemezéséhez a Tervezett karbantartás használata című témakörben talál.

Csomópont operációs rendszerének automatikus frissítései – gyakori kérdések

Hogyan ellenőrizhetim a fürt aktuális nodeOsUpgradeChannel értékét?

Futtassa a az aks show parancsot, és ellenőrizze az "autoUpgradeProfile"-t annak megállapításához, hogy a nodeOsUpgradeChannel következő értékre van-e beállítva:

az aks show --resource-group myResourceGroup --name myAKSCluster --query "autoUpgradeProfile"

Hogyan monitorozhatom a csomópont operációs rendszerének automatikus frissítéseinek állapotát?

A csomópont operációs rendszer automatikus frissítéseinek állapotának megtekintéséhez keresse meg a fürt tevékenységnaplóit . Az AKS-fürtök frissítésével kapcsolatos konkrét eseményeket is megkereshet. Az AKS a frissítéssel kapcsolatos Event Grid-eseményeket is bocsát ki. További információkért tekintse meg az AKS-t Event Grid-forrásként.

Módosíthatjam a csomópont operációs rendszerének automatikus frissítési csatornájának értékét, ha a fürt automatikus frissítési csatornája be van állítva node-image ?

Szám Jelenleg a fürt automatikus frissítési csatornájának node-image beállításakor automatikusan a csomópont operációs rendszerének automatikus frissítési csatornája NodeImageis lesz. Nem módosíthatja a csomópont operációs rendszerének automatikus frissítési csatornájának értékét, ha a fürt automatikus frissítési csatornája .node-image A csomópont operációs rendszerének automatikus frissítési csatornaértékeinek módosításához győződjön meg arról, hogy a fürt automatikus frissítési csatornája nem node-image.

A csatornán az Unmanaged AKS-nek nincs szabályozva a biztonsági frissítések kézbesítésének módjára és időpontjára. Ezzel SecurityPatcha biztonsági frissítéseket teljes mértékben teszteljük, és követjük a biztonságos üzembe helyezési eljárásokat. SecurityPatch a karbantartási időszakokat is tiszteletben tartja. További részletekért lásd: A canonical számítási feladatok fokozott biztonsága és rugalmassága az Azure-ban.

Mindig SecurityPatch a csomópontok újraimulásához vezet?

Az AKS csak akkor korlátozza az újrakonimációt, ha feltétlenül szükséges, például bizonyos kernelcsomagokra, amelyek teljes körű alkalmazásához újraimázsra lehet szükség. SecurityPatch úgy lett kialakítva, hogy a lehető legkisebbre csökkentse a fennakadásokat. Ha az AKS úgy dönt, hogy a csomópontok újraimálása nem szükséges, akkor a csomópontokat élőben javítja ki podok ürítése nélkül, és ilyen esetekben nem végez VHD-frissítést.

Miért van SecurityPatch szükség a csatornának a végpont elérésére snapshot.ubuntu.com ?

A csatornával a SecurityPatch Linux-fürtcsomópontoknak le kell tölteniük a szükséges biztonsági javításokat és frissítéseket az ubuntu pillanatkép-szolgáltatásból, amelyet az ubuntu-snapshots-on-azure-ensuring-predictability-and-consistency-in-cloud-deployments című cikkben ismertetünk.

Hogyan tudja, hogy SecurityPatch a csomóponton alkalmaz-e frissítést vagy NodeImage frissítést?

Futtassa a következő parancsot a csomópontcímkék beszerzéséhez:

kubectl get nodes --show-labels

A visszaadott címkék között a következő kimenethez hasonló sort kell látnia:

kubernetes.azure.com/node-image-version=AKSUbuntu-2204gen2containerd-202410.27.0-2024.12.01

Itt az alapcsomópont lemezképének verziója.AKSUbuntu-2204gen2containerd-202410.27.0 Ha van ilyen, a biztonsági javítás verziója általában a következő. A fenti példában ez a következő 2024.12.01: .

Ugyanezeket a részleteket az Azure Portalon is megkeresheti a csomópontcímke nézetben:

Képernyőkép egy AKS-fürt csomópontoldaláról az Azure Portalon. A csomópontrendszerkép verziójának címkéjén egyértelműen látható az alapcsomópont lemezképe és a legújabb biztonsági javítás dátuma.

Következő lépések

A frissítési ajánlott eljárások és egyéb szempontok részletes ismertetését az AKS-javítás és a frissítési útmutató ismerteti.