Översikt över fleet hub-kluster
Den här artikeln innehåller en översikt över hur Azure Kubernetes Fleet Manager (Fleet) hanterar livscykelhantering för hubbkluster.
En fleet-resurs kan skapas med eller utan ett hubbkluster. Ett hubbkluster är ett hanterat AKS-kluster (Azure Kubernetes Service) som fungerar som en hubb för att lagra och sprida Kubernetes-resurser. Eftersom hubbkluster är låsta, vilket förhindrar användarinitierade konfigurationsändringar, hanterar Fleet-tjänsten att hålla dem uppdaterade.
Livscykelhantering för hubbkluster
Livscykelhanteringen för ett hubbkluster innebär att du uppdaterar följande tre komponenter regelbundet:
1. Nodbildversion
Nodbildversionen innehåller nyligen släppta virtuella hårddiskar (VHD) som innehåller säkerhetskorrigeringar och felkorrigeringar.
AKS släpper nodbildversionsuppgraderingar varje vecka. Versionen omfattar gradvis regiondistribution, vilket kan ta upp till 10 dagar att nå alla regioner. När en ny avbildning är tillgänglig i en region kan det vanligtvis uppstå en fördröjning på upp till 24 timmar innan uppgraderingen tillämpas på hubbar.
2. Kubernetes-korrigeringsversion (x.y.1)
Kubernetes-korrigeringsversionen innehåller korrigeringar för säkerhetsrisker eller större buggar.
AKS släpper nya Kubernetes-korrigeringsversioner efter en tidigare version av en säkerhetskorrigering. Versionen kan spåras på AKS-versionsstatus. På samma sätt kan det ta upp till 10 dagar innan versionen når alla regioner och det kan ta upp till 24 timmar innan uppgraderingen tillämpas på hubbar.
3. Kubernetes-delversion (x.30.y)
Kubernetes-delversionen innehåller nya funktioner och förbättringar.
Tidigare versioner av nya delversioner sker ungefär varje kvartal och är oberoende av korrigeringar för säkerhetsrisker. När AKS släpper en ny delversion utför Fleet efterlevnadstestning och börjar distribuera den mindre versionen på hubbar när den bedöms vara klar.
Krav från kunder
För att Fleet ska hålla hubbkluster uppdaterade med de senaste korrigeringarna kontrollerar du att hubbklustren uppfyller följande villkor:
- Hubbar har tillräcklig kvot. Ytterligare kvot som är tillräcklig för en extra VM-instans av hubbklustrets SKU-typ (Virtual Machine) krävs kort under uppgraderingsprocessen. Mer information om hur du ökar kvoten finns i dokumentationen om kvoter.
- Hubbar har internetåtkomst. Utgående anslutning krävs för att installera uppdateringar. Hubbar med användardefinierade routningstabeller (UDR) eller brandväggsregler kan till exempel blockera utgående anslutning. Mer information om utgående anslutning finns i dokumentationen om AKS utgående nätverk.
Konfigurationsinformation för hubbkluster
I Azure Kubernetes Fleet Manager fungerar hubbkluster som den centrala hanteringsplatsen för flera medlemskluster. Här är en detaljerad översikt över deras funktioner och säkerhetsåtgärder:
Definition och funktioner:
- Ett hubbkluster är ett hanterat AKS-kluster (Azure Kubernetes Service) som samordnar och sprider Kubernetes-resurser mellan medlemskluster.
- Det ansvarar för att hantera periodiska komponentuppgraderingar och se till att alla kluster i flottan är uppdaterade med de senaste säkerhetskorrigeringarna och funktionerna.
Hanteras av Microsoft:
- Hubbkluster hanteras av Microsoft, vilket innebär att användarna inte har möjlighet att skapa eller distribuera program direkt i dessa kluster. Den här begränsningen bidrar till att upprätthålla en stabil och säker miljö.
Skydd mot ändringar:
- För att förhindra obehöriga ändringar finns flera skydd på plats:
- Kommandoanrop inaktiverat: Användning av kommandoanrop med Azure CLI är inaktiverat i hubbkluster, vilket hindrar användare från att köra kommandon som kan ändra klustrets konfiguration.
- Lokal autentisering inaktiverad: Åtkomst via admin kubeconfig är inaktiverad, vilket säkerställer att autentiseringen uteslutande hanteras via Microsoft Entra-ID. Detta förbättrar säkerheten genom att centralisera åtkomstkontrollen.
- För att förhindra obehöriga ändringar finns flera skydd på plats:
Kuvertkonfigurationskarta:
- Ett kuvert ConfigMap används för att hantera konfigurationer utan att orsaka biverkningar på hubbklustret. Den här metoden möjliggör säker spridning av inställningar till medlemskluster samtidigt som integriteten i hubbklustrets miljö bibehålls. Dessa konfigurationer förbättrar tillsammans säkerheten och stabiliteten för hubbkluster, vilket säkerställer att de fungerar effektivt som ryggraden i Azure Kubernetes Fleet Manager. Mer information om kuvertobjekt finns i dokumentationen för Kuvertobjekt med ConfigMaps.
Förutom att hantera periodiska komponentuppgraderingar ställer Fleet-tjänsten in följande konfigurationer på hubbkluster för att förstärka säkerheten:
- Användning med
command invoke
Azure CLI är inaktiverat i hubbkluster. - Hubbkluster använder Azure Linux för nodavbildningar.
- Lokal autentisering (åtkomst via admin kubeconfig) är inaktiverad i hubbkluster. Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att AKS-kluster endast kräver Microsoft Entra-ID för autentisering.
Azure Kubernetes Service