Sdílet prostřednictvím

Zásady podpory prostředí Azure Kubernetes Service

  • Článek

Tento článek popisuje zásady a omezení technické podpory pro Službu Azure Kubernetes Service (AKS). Také podrobně popisuje správu uzlů agenta, spravované komponenty řídicí roviny, opensourcové komponenty třetích stran a správu zabezpečení nebo oprav.

Aktualizace a vydané verze služeb

  • Informace o vydání najdete v poznámkách k verzi AKS.
  • Informace o funkcích ve verzi Preview najdete v plánu AKS.

Spravované funkce v AKS

Základní komponenty infrastruktury jako služby (IaaS), jako jsou výpočetní nebo síťové komponenty, umožňují přístup k možnostem řízení a přizpůsobení nízké úrovně. AKS naproti tomu poskytuje nasazení Kubernetes na klíč, které poskytuje společnou sadu konfigurací a funkcí, které potřebujete pro váš cluster. Jako uživatel AKS máte omezené možnosti přizpůsobení a nasazení. Na výměnu se nemusíte starat ani spravovat clustery Kubernetes přímo.

S AKS získáte plně spravovanou řídicí rovinu. Řídicí rovina obsahuje všechny komponenty a služby, které potřebujete k provozu a doručování clusterů Kubernetes koncovým uživatelům. Microsoft udržuje a provozuje všechny komponenty Kubernetes.

Microsoft spravuje a monitoruje následující komponenty prostřednictvím řídicí roviny:

  • Servery rozhraní API Kubelet nebo Kubernetes
  • Etcd nebo kompatibilní úložiště klíč-hodnota, poskytování technologie QoS (Quality of Service), škálovatelnosti a modulu runtime
  • Služby DNS (například kube-dns nebo CoreDNS)
  • Proxy server nebo sítě Kubernetes s výjimkou případů, kdy se používá BYOCNI
  • Všechny ostatní doplňky nebo systémová komponenta spuštěná v oboru názvů kube-system.

AKS není řešení typu Platforma jako služba (PaaS). Některé komponenty, jako jsou uzly agentů, mají sdílenou odpovědnost, kde musíte pomoct udržovat cluster AKS. Uživatelský vstup se vyžaduje například k použití opravy zabezpečení operačního systému operačního systému uzlu agenta.

Služby se spravují v tom smyslu, že Microsoft a tým AKS nasadí, provozuje a zodpovídá za dostupnost a funkčnost služeb. Zákazníci nemůžou tyto spravované komponenty měnit. Microsoft omezuje přizpůsobení, aby se zajistilo konzistentní a škálovatelné uživatelské prostředí.

Společná odpovědnost

Po vytvoření clusteru definujete uzly agenta Kubernetes, které AKS vytvoří. Na těchto uzlech se spouští vaše úlohy.

Vzhledem k tomu, že uzly agenta spouštějí privátní kód a ukládají citlivá data, podpora Microsoftu k nim může přistupovat pouze omezeným způsobem. podpora Microsoftu se nemůže přihlásit, spouštět příkazy nebo zobrazovat protokoly pro tyto uzly bez vašeho výslovného oprávnění nebo pomoci.

Jakékoli změny provedené přímo v uzlech agenta pomocí některého z rozhraní API IaaS vykreslují cluster nepodporovatelný. Veškeré změny použité na uzly agenta musí být provedeny pomocí nativních mechanismů Kubernetes, jako Daemon Setsje .

Podobně můžete do clusteru a uzlů přidat všechna metadata, jako jsou značky a popisky, a změnit tak všechna metadata vytvořená systémem vykreslí cluster nepodporovaný.

Pokrytí podpory AKS

Podporované scénáře

Microsoft poskytuje technickou podporu pro následující příklady:

  • Připojení ke všem komponentám Kubernetes, které služba Kubernetes poskytuje a podporuje, jako je server rozhraní API.
  • Správa, dostupnost, technologie QoS a operace služeb řídicí roviny Kubernetes (například řídicí rovina Kubernetes, server rozhraní API atd.) a coreDNS.
  • Úložiště dat etcd. Podpora zahrnuje automatizované, transparentní zálohování všech dat atd. každých 30 minut pro plánování havárie a obnovení stavu clusteru. Tyto zálohy nejsou přímo dostupné pro vás ani pro někoho jiného. Zajišťují spolehlivost a konzistenci dat. Vrácení zpět nebo obnovení na vyžádání není podporováno jako funkce.
  • Všechny body integrace v ovladači poskytovatele cloudu Azure pro Kubernetes Patří mezi ně integrace do jiných služeb Azure, jako jsou nástroje pro vyrovnávání zatížení, trvalé svazky nebo sítě (Kubernetes a Azure CNI, s výjimkou případů, kdy se používá BYOCNI ).
  • Dotazy nebo problémy související s přizpůsobením komponent roviny řízení, jako je server rozhraní API Kubernetes atd., a coreDNS
  • Problémy se sítěmi, jako jsou Azure CNI, kubenet nebo jiné problémy se síťovým přístupem a funkcemi, s výjimkou případů, kdy se používá BYOCNI Mezi problémy může patřit překlad DNS, ztráta paketů, směrování atd. Microsoft podporuje různé síťové scénáře:
    • Kubenet a Azure CNI pomocí spravovaných virtuálních sítí nebo s vlastními podsítěmi (přineste si vlastní).
    • Připojení k jiným službám a aplikacím Azure
    • Kontrolery příchozího přenosu dat spravované microsoftem nebo konfigurace nástroje pro vyrovnávání zatížení
    • Výkon a latence sítě
    • Komponenty a funkce zásad sítě spravované Microsoftem

Poznámka:

Všechny akce clusteru prováděné Microsoftem nebo AKS se provádějí s vaším souhlasem v rámci předdefinované role aks-service Kubernetes a předdefinované vazby aks-service-rolebindingrolí . Tato role umožňuje AKS řešit a diagnostikovat problémy s clustery, ale nemůže měnit oprávnění ani vytvářet role nebo vazby rolí ani jiné akce s vysokými oprávněními. Přístup k rolím je povolený jenom v rámci aktivních lístků podpory s přístupem ZA běhu (JIT).

Nepodporované scénáře

Microsoft neposkytuje technickou podporu pro následující scénáře:

  • Dotazy týkající se používání Kubernetes Například podpora Microsoftu neposkytuje rady, jak vytvářet vlastní kontrolery příchozího přenosu dat, používat aplikační úlohy nebo používat balíčky nebo opensourcové softwarové balíčky nebo nástroje třetích stran.

    Poznámka:

    podpora Microsoftu může poradit s funkcemi clusteru AKS, přizpůsobením a laděním (například problémy a postupy operací Kubernetes).

  • Opensourcové projekty třetích stran, které nejsou k dispozici jako součást řídicí roviny Kubernetes nebo nasazené s clustery AKS. Mezi tyto projekty patří Istio, Helm, Envoy nebo jiné.

    Poznámka:

    Microsoft může poskytovat podporu opensourcových projektů třetích stran, jako je Helm, v nejlepším úsilí. Pokud se opensourcový nástroj třetí strany integruje s poskytovatelem cloudu Kubernetes Azure nebo jinými chybami specifickými pro AKS, Microsoft podporuje příklady a aplikace z dokumentace Microsoftu.

  • Uzavřený zdrojový software třetích stran. Tento software může zahrnovat nástroje pro kontrolu zabezpečení a síťová zařízení nebo software.

  • Konfigurace nebo řešení potíží s kódem nebo chováním aplikací nebo nástrojů třetích stran spuštěných v clusteru AKS To zahrnuje problémy s nasazením aplikací, které nesouvisí s samotnou platformou AKS.

  • Vystavování, obnovení nebo správa certifikátů pro aplikace spuštěné v AKS

  • Jiná přizpůsobení sítě než ta, která jsou uvedená v dokumentaci AKS. Například podpora Microsoftu nemůže nakonfigurovat zařízení nebo virtuální zařízení určená k poskytování odchozího provozu pro cluster AKS, jako jsou sítě VPN nebo brány firewall.

    Poznámka:

    Na základě nejlepšího úsilí může podpora Microsoftu poradit s konfigurací potřebnou pro službu Azure Firewall, ale ne pro jiná zařízení třetích stran.

  • Vlastní nebo externí moduly plug-in CNI používané v režimu BYOCNI .

  • Konfigurace nebo řešení potíží se zásadami sítě spravovanými microsoftem Při použití zásad sítě se podpora Microsoftu nemůžou prošetřit problémy vyplývající z vlastních konfigurací zásad sítě.

  • Konfigurace nebo řešení potíží s kontrolery příchozího přenosu dat, které nejsou spravované microsoftem, jako jsou nginx, kong, traefik atd. To zahrnuje řešení problémů s funkcemi, ke kterým dochází po operacích specifických pro AKS, jako je například kontroler příchozího přenosu dat, aby fungoval po upgradu verze Kubernetes. Tyto problémy můžou vycházet z nekompatibility mezi verzí kontroleru příchozího přenosu dat a novou verzí Kubernetes. U plně podporované možnosti zvažte využití možnosti kontroleru příchozího přenosu dat spravovaného Microsoftem.

  • Konfigurace nebo řešení potíží s daemonSets (včetně skriptů) sloužících k přizpůsobení konfigurací uzlů Přestože použití daemonSets je doporučeným přístupem k ladění, úpravě nebo instalaci softwaru jiného výrobce na uzly agenta clusteru, pokud nejsou parametry konfiguračního souboru dostatečné, podpora Microsoftu nemůže řešit problémy vyplývající z vlastních skriptů používaných v daemonSets kvůli jejich vlastní povaze.

  • Samostatné a proaktivní scénáře. podpora Microsoftu poskytuje reaktivní podporu, která pomáhá včas a profesionálně řešit aktivní problémy. Pohotovostní nebo proaktivní podpora, která vám pomůže eliminovat provozní rizika, zvýšit dostupnost a optimalizovat výkon, se ale nepokrývají. Opravňující zákazníci můžou kontaktovat svůj tým účtů a požádat ho o nominaci pro službu Azure Event Management. Jedná se o placenou službu poskytovanou pracovníky podpory Microsoftu, která během události zahrnuje proaktivní posouzení rizik řešení a pokrytí.

  • Chyby zabezpečení / CVE s opravou dodavatele, která je starší než 30 dnů Pokud používáte aktualizovaný virtuální pevný disk, neměli byste spouštět žádná ohrožení zabezpečení image kontejneru / CVE s opravou dodavatele, která je starší než 30 dnů. Je zodpovědností zákazníka aktualizovat virtuální pevný disk a poskytovat filtrované seznamy podpoře Microsoftu. Po aktualizaci virtuálního pevného disku je zodpovědností zákazníka filtrovat ohrožení zabezpečení nebo sestavu CVEs a poskytnout seznam pouze s ohroženími zabezpečení nebo cves s opravou dodavatele, která je starší než 30 dnů. Pokud tomu tak bude, podpora Microsoftu zajistí, aby fungovala interně a řešila komponenty s opravou dodavatele vydané před více než 30 dny. Kromě toho společnost Microsoft poskytuje podporu související s ohrožením zabezpečení nebo CVE pouze pro komponenty spravované microsoftem (tj. image uzlů AKS, spravované image kontejnerů pro aplikace, které se nasazují během vytváření clusteru nebo prostřednictvím instalace spravovaného doplňku). Další podrobnosti o správa ohrožení zabezpečení pro AKS najdete na této stránce.

  • Ukázky nebo skripty vlastního kódu I když podpora Microsoftu může v rámci případu podpory poskytnout malé vzorky kódu a revize malých ukázek kódu, aby ukázali, jak používat funkce produktu Microsoftu, podpora Microsoftu nemůže poskytnout vlastní ukázky kódu, které jsou specifické pro vaše prostředí nebo aplikaci.

Pokrytí podpory AKS pro uzly agentů

Odpovědnost Microsoftu za uzly agenta AKS

Microsoft a sdílíte odpovědnost za uzly agenta Kubernetes, kde:

  • Základní image operačního systému obsahuje požadované doplňky (například agenty monitorování a sítě).
  • Uzly agenta přijímají opravy operačního systému automaticky.
  • Problémy s komponentami řídicí roviny Kubernetes, které běží na uzlech agenta, se automaticky opravují. Mezi tyto komponenty patří:
    • Kube-proxy
    • Síťové tunely, které poskytují komunikační cesty k hlavním komponentám Kubernetes
    • Kubelet
    • containerd

Poznámka:

Pokud uzel agenta není funkční, může AKS restartovat jednotlivé komponenty nebo celý uzel agenta. Tyto operace restartování jsou automatizované a poskytují automatickou nápravu běžných problémů. Pokud chcete získat další informace o mechanismech automatické nápravy, přečtěte si téma Automatické opravy uzlu.

Odpovědnost zákazníků za uzly agenta AKS

Microsoft každý týden poskytuje opravy a nové image pro uzly imagí. Pokud chcete udržovat operační systém a komponenty modulu runtime agenta aktuální, měli byste tyto opravy a aktualizace pravidelně používat ručně nebo automaticky. Další informace naleznete v tématu:

Podobně AKS pravidelně vydává nové opravy Kubernetes a podverze. Tyto aktualizace můžou obsahovat vylepšení zabezpečení nebo funkčnosti Kubernetes. Zodpovídáte za aktualizaci verze Kubernetes clusterů a podle zásad podpory AKS Kubernetes.

Přizpůsobení uživatelských uzlů agentů

Poznámka:

Uzly agenta AKS se zobrazují na webu Azure Portal jako standardní prostředky Azure IaaS. Tyto virtuální počítače se ale nasadí do vlastní skupiny prostředků Azure (předpona MC_*). Základní image operačního systému nemůžete změnit ani pomocí rozhraní API nebo prostředků IaaS provádět přímá přizpůsobení těchto uzlů. Všechny vlastní změny, které se neprovedou z rozhraní API AKS, se nebudou uchovávat prostřednictvím upgradu, škálování, aktualizace nebo restartování. Jakákoli změna rozšíření uzlů, jako je CustomScriptExtension , může také vést k neočekávanému chování a mělo by být zakázáno. Vyhněte se provádění změn uzlů agenta, pokud podpora Microsoftu vás nenasměruje na provedení změn.

AKS spravuje životní cyklus a operace uzlů agentů vaším jménem a úpravy prostředků IaaS přidružených k uzlům agenta se nepodporují. Příkladem nepodporované operace je přizpůsobení škálovací sady virtuálních počítačů fondu uzlů ruční změnou konfigurací na webu Azure Portal nebo z rozhraní API.

Pro konfigurace nebo balíčky specifické pro úlohy doporučuje AKS používat Kubernetes daemon sets.

Použití privilegovaných daemon sets a inicializačních kontejnerů Kubernetes umožňuje ladit nebo upravovat nebo instalovat software třetích stran na uzly agenta clusteru. Mezi příklady takových přizpůsobení patří přidání vlastního softwaru pro kontrolu zabezpečení nebo aktualizace nastavení sysctl.

I když se tato cesta doporučuje, pokud platí výše uvedené požadavky, technik a podpora AKS nemůžou pomoct s řešením potíží nebo diagnostikou úprav, které vykreslují uzel nedostupný kvůli vlastnímu nasazení daemon set.

Problémy se zabezpečením a opravy

Pokud se v jedné nebo více spravovaných komponentách AKS najde chyba zabezpečení, tým AKS opraví všechny ovlivněné clustery, aby tento problém zmírnit. Případně vám tým AKS poskytne pokyny k upgradu.

V případě uzlů agentů ovlivněných chybou zabezpečení vás Microsoft upozorní podrobnostmi o dopadu a krocích k opravě nebo zmírnění problému se zabezpečením.

Údržba a přístup k uzlům

I když se můžete přihlásit k uzlům agenta a změnit je, tato operace se nedoporučuje, protože změny můžou cluster nepodporovat.

Síťové porty, přístup a skupiny zabezpečení sítě

Skupiny zabezpečení sítě můžete přizpůsobit pouze ve vlastních podsítích. Skupiny zabezpečení sítě není možné přizpůsobit ve spravovaných podsítích ani na úrovni síťové karty uzlů agenta. AKS má požadavky na výchozí přenos dat pro konkrétní koncové body, pro řízení výchozího přenosu dat a zajištění nezbytného připojení, viz omezení odchozího provozu. Požadavky pro příchozí přenos dat jsou založené na aplikacích, které jste nasadili do clusteru.

Zastavené, uvolněné a nepřipravené uzly

Pokud nepotřebujete, aby se úlohy AKS spouštěly nepřetržitě, můžete zastavit cluster AKS, který zastaví všechny fondy uzlů a řídicí rovinu. V případě potřeby ho můžete spustit znovu. Když cluster zastavíte pomocí az aks stop příkazu, stav clusteru se zachová po dobu až 12 měsíců. Po 12 měsících se stav clusteru a všechny jeho prostředky odstraní.

Ruční uvolnění všech uzlů clusteru z rozhraní API IaaS, Azure CLI nebo webu Azure Portal se nepodporuje pro zastavení clusteru nebo fondu uzlů AKS. Cluster bude po 30 dnech považován za zastaralý a zastavený službou AKS. Clustery se pak řídí stejnými zásadami uchovávání 12 měsíců jako správně zastavený cluster.

Clustery s nulovými uzly připraveno (nebo všechny nepřipravené) a po 30 dnech se zastaví nula spuštěných virtuálních počítačů.

AKS si vyhrazuje právo archivovat řídicí roviny, které byly nakonfigurovány z pokynů podpory pro delší období rovnající se 30 dnům a delším. AKS udržuje zálohy metadat clusteru atd. může cluster snadno relokovat. Tuto relokaci inicializovala jakákoli operace PUT, která cluster vrací zpět do podpory, například upgrade nebo škálování na aktivní uzly agenta.

Všechny clustery v pozastaveném předplatném se okamžitě zastaví a odstraní po 90 dnech. Všechny clustery v odstraněných předplatných se okamžitě odstraní.

Nepodporované funkce Kubernetes s alfa a beta verzí

AKS podporuje pouze stabilní a beta funkce v rámci upstreamového projektu Kubernetes. Pokud není uvedeno jinak, AKS nepodporuje žádnou alfa funkci, která je k dispozici v upstreamovém projektu Kubernetes.

Funkce nebo příznaky funkcí ve verzi Preview

U funkcí, které vyžadují rozšířené testování a zpětnou vazbu uživatelů, microsoft vydává nové funkce preview nebo funkce za příznakem funkce. Zvažte tyto funkce jako předběžné nebo beta funkce.

Funkce preview nebo funkce příznaku funkcí nejsou určené pro produkční prostředí. Probíhající změny v rozhraních API a chování, opravách chyb a dalších změnách můžou vést k nestabilním clusterům a výpadkům.

Funkce ve verzi Public Preview spadají pod podporu co největšího úsilí , protože tyto funkce jsou ve verzi Preview a nejsou určené pro produkční prostředí. Týmy technické podpory AKS poskytují podporu pouze během pracovní doby. Další informace najdete v nejčastějších dotazech k podpoře Azure.

Upstreamové chyby a problémy

Vzhledem k rychlosti vývoje v upstreamovém projektu Kubernetes vznikají chyby vždy. Některé z těchto chyb se nedají opravit ani obejít v rámci systému AKS. Opravy chyb místo toho vyžadují větší opravy upstreamových projektů (například Kubernetes, operační systémy uzlu nebo agenta a jádro). U komponent, které vlastní Microsoft (například poskytovatel cloudu Azure), se AKS a pracovníci Azure zavázali k řešení problémů v komunitě.

Pokud příčinou problému technické podpory je jedna nebo více nadřazených chyb, budou týmy podpory a technické týmy AKS:

  • Identifikujte a propojte upstreamové chyby se všemi podpůrnými podrobnostmi, které vám pomůžou vysvětlit, proč se tento problém týká vašeho clusteru nebo úlohy. Zákazníci dostanou odkazy na požadovaná úložiště, aby mohli sledovat problémy a zjistit, kdy nová verze poskytne opravy.

  • Uveďte potenciální alternativní řešení nebo zmírnění rizik. Pokud je možné problém zmírnit, je známý problém v úložišti AKS. Vysvětlení vysvětlování známéhoproblémuho systému:

    • Problém, včetně odkazů na upstreamové chyby.
    • Alternativní řešení a podrobnosti o upgradu nebo jiné trvalosti řešení.
    • Přibližné časové osy zahrnutí problému na základě upstreamového tempa vydávání.