Zasady pomocy technicznej dla usługi Azure Kubernetes
W tym artykule opisano zasady i ograniczenia pomocy technicznej dotyczące usługi Azure Kubernetes Service (AKS). Zawiera on również szczegółowe informacje na temat zarządzania węzłami agenta, składników płaszczyzny sterowania zarządzanego, składników open source innych firm oraz zarządzania zabezpieczeniami lub poprawkami.
Aktualizacje i wydania usługi
- Aby uzyskać informacje o wersji, zobacz Informacje o wersji usługi AKS.
- Aby uzyskać informacje na temat funkcji w wersji zapoznawczej, zobacz plan usługi AKS.
Funkcje zarządzane w usłudze AKS
Podstawowe składniki chmury infrastruktury jako usługi (IaaS), takie jak składniki obliczeniowe lub sieciowe, umożliwiają dostęp do kontrolek niskiego poziomu i opcji dostosowywania. Natomiast usługa AKS udostępnia gotowe wdrożenie platformy Kubernetes, które zapewnia wspólny zestaw konfiguracji i możliwości potrzebnych dla klastra. Jako użytkownik usługi AKS masz ograniczone opcje dostosowywania i wdrażania. W zamian nie musisz martwić się bezpośrednio o klastry Kubernetes ani zarządzać nimi.
Dzięki usłudze AKS uzyskasz w pełni zarządzaną płaszczyznę sterowania. Płaszczyzna sterowania zawiera wszystkie składniki i usługi potrzebne do obsługi i dostarczania klastrów Kubernetes użytkownikom końcowym. Firma Microsoft utrzymuje i obsługuje wszystkie składniki platformy Kubernetes.
Firma Microsoft zarządza następującymi składnikami i monitoruje je za pośrednictwem płaszczyzny sterowania:
- Serwery interfejsu API Kubelet lub Kubernetes
- Etcd lub zgodny magazyn klucz-wartość, zapewniając jakość usług (QoS), skalowalność i środowisko uruchomieniowe
- Usługi DNS (na przykład kube-dns lub CoreDNS)
- Serwer proxy lub sieć platformy Kubernetes, z wyjątkiem sytuacji, w których jest używana funkcja BYOCNI
- Wszystkie inne dodatki lub składnik systemu uruchomiony w przestrzeni nazw kube-system.
Usługa AKS nie jest rozwiązaniem Typu platforma jako usługa (PaaS). Niektóre składniki, takie jak węzły agentów, mają wspólną odpowiedzialność, gdzie należy pomóc w utrzymaniu klastra usługi AKS. Dane wejściowe użytkownika są wymagane, na przykład w celu zastosowania poprawki zabezpieczeń systemu operacyjnego (OS) węzła agenta.
Usługi są zarządzane w taki sposób, że firma Microsoft i zespół AKS wdrażają, działają i są odpowiedzialne za dostępność i funkcjonalność usługi. Klienci nie mogą zmieniać tych składników zarządzanych. Firma Microsoft ogranicza dostosowywanie, aby zapewnić spójne i skalowalne środowisko użytkownika.
Wspólna odpowiedzialność
Po utworzeniu klastra należy zdefiniować węzły agenta Kubernetes tworzone przez usługę AKS. Obciążenia są wykonywane w tych węzłach.
Ponieważ węzły agenta wykonują kod prywatny i przechowują poufne dane, pomoc techniczna firmy Microsoft mogą uzyskiwać do nich dostęp tylko w ograniczony sposób. pomoc techniczna firmy Microsoft nie można zalogować się do, wykonywać poleceń ani wyświetlać dzienników dla tych węzłów bez wyraźnego uprawnienia lub pomocy.
Wszelkie modyfikacje wprowadzone bezpośrednio w węzłach agenta przy użyciu dowolnego interfejsu API IaaS powodują, że klaster jest nieobsługiwany. Wszelkie modyfikacje zastosowane do węzłów agenta muszą być wykonywane przy użyciu mechanizmów natywnych kubernetes, takich jak Daemon Sets
.
Podobnie, chociaż można dodać wszelkie metadane do klastra i węzłów, takie jak tagi i etykiety, zmiana dowolnego z utworzonych przez system metadanych powoduje, że klaster nie jest obsługiwany.
Pokrycie obsługi usługi AKS
Obsługiwane scenariusze
Firma Microsoft zapewnia pomoc techniczną dotyczącą następujących przykładów:
- Łączność ze wszystkimi składnikami platformy Kubernetes zapewnia i obsługuje usługę Kubernetes, takimi jak serwer interfejsu API.
- Zarządzanie, czas pracy, QoS i operacje usług płaszczyzny sterowania Kubernetes (na przykład płaszczyzna sterowania Kubernetes, serwer interfejsu API itp.) i coreDNS.
- Magazyn danych etcd. Obsługa obejmuje automatyczne, przezroczyste kopie zapasowe wszystkich danych itp. co 30 minut na potrzeby planowania awarii i przywracania stanu klastra. Te kopie zapasowe nie są dostępne bezpośrednio dla Ciebie ani dla nikogo innego. Zapewniają one niezawodność i spójność danych. Wycofywanie lub przywracanie na żądanie nie jest obsługiwane jako funkcja.
- Wszystkie punkty integracji w sterowniku dostawcy usług w chmurze platformy Azure dla platformy Kubernetes. Obejmują one integracje z innymi usługami platformy Azure, takimi jak moduły równoważenia obciążenia, trwałe woluminy lub sieć (Kubernetes i Azure CNI, z wyjątkiem sytuacji, w których jest używana funkcja BYOCNI ).
- Pytania lub problemy dotyczące dostosowywania składników płaszczyzny sterowania, takich jak serwer interfejsu API Kubernetes itp., i coreDNS.
- Problemy z siecią, takie jak Azure CNI, kubenet lub inne problemy z dostępem do sieci i funkcjami, z wyjątkiem sytuacji, w których jest używana funkcja BYOCNI . Problemy mogą obejmować rozpoznawanie nazw DNS, utratę pakietów, routing itd. Firma Microsoft obsługuje różne scenariusze sieciowe:
- Platforma Kubenet i sieć CNI platformy Azure korzystające z zarządzanych sieci wirtualnych lub z niestandardowymi podsieciami (bring your own).
- Łączność z innymi usługami i aplikacjami platformy Azure
- Kontrolery ruchu przychodzącego zarządzane przez firmę Microsoft lub konfiguracje modułu równoważenia obciążenia
- Wydajność i opóźnienie sieci
- Składniki i funkcje zasad sieci zarządzanych przez firmę Microsoft
Uwaga
Wszelkie akcje klastra podejmowane przez firmę Microsoft/AKS są wykonywane ze zgodą w ramach wbudowanej roli aks-service
Kubernetes i wbudowanego powiązania aks-service-rolebinding
roli. Ta rola umożliwia usłudze AKS rozwiązywanie i diagnozowanie problemów z klastrem, ale nie może modyfikować uprawnień ani tworzyć ról ani powiązań ról ani innych akcji o wysokim poziomie uprawnień. Dostęp do roli jest włączony tylko w ramach aktywnych biletów pomocy technicznej z dostępem just in time (JIT).
Nieobsługiwane scenariusze
Firma Microsoft nie zapewnia pomocy technicznej w następujących scenariuszach:
Pytania dotyczące korzystania z platformy Kubernetes. Na przykład pomoc techniczna firmy Microsoft nie udostępnia porad dotyczących tworzenia niestandardowych kontrolerów ruchu przychodzącego, używania obciążeń aplikacji ani stosowania pakietów oprogramowania lub narzędzi innych firm lub oprogramowania typu open source.
Uwaga
pomoc techniczna firmy Microsoft może doradzać w zakresie funkcji, dostosowywania i dostrajania klastra AKS (na przykład problemów i procedur dotyczących operacji platformy Kubernetes).
Projekty open source innych firm, które nie są udostępniane jako część płaszczyzny sterowania kubernetes lub wdrażane z klastrami usługi AKS. Te projekty mogą obejmować Istio, Helm, Envoy lub inne.
Uwaga
Firma Microsoft może zapewnić najlepszą pomoc techniczną dla projektów open source innych firm, takich jak Helm. Jeśli narzędzie open source innej firmy integruje się z dostawcą chmury Platformy Azure Kubernetes lub innymi usterkami specyficznymi dla usługi AKS, firma Microsoft obsługuje przykłady i aplikacje z dokumentacji firmy Microsoft.
Oprogramowanie zamknięte innej firmy. To oprogramowanie może obejmować narzędzia do skanowania zabezpieczeń i urządzenia sieciowe lub oprogramowanie.
Konfigurowanie lub rozwiązywanie problemów z kodem specyficznym dla aplikacji lub zachowaniem aplikacji lub narzędzi innych firm działających w klastrze usługi AKS. Obejmuje to problemy z wdrażaniem aplikacji, które nie są związane z samą platformą AKS.
Wystawianie, odnawianie lub zarządzanie certyfikatami dla aplikacji działających w usłudze AKS.
Dostosowania sieci inne niż wymienione w dokumentacji usługi AKS. Na przykład pomoc techniczna firmy Microsoft nie można skonfigurować urządzeń lub urządzeń wirtualnych przeznaczonych do zapewnienia ruchu wychodzącego dla klastra usługi AKS, takiego jak sieci VPN lub zapory.
Niestandardowe lub zewnętrzne wtyczki CNI używane w trybie BYOCNI .
Konfigurowanie lub rozwiązywanie problemów z zasadami sieci niezarządzaną przez firmę Microsoft. W przypadku korzystania z zasad sieciowych jest obsługiwane, pomoc techniczna firmy Microsoft nie może zbadać problemów wynikających z niestandardowych konfiguracji zasad sieciowych.
Konfigurowanie lub rozwiązywanie problemów z kontrolerami ruchu przychodzącego niezarządzanymi przez firmę Microsoft, takimi jak nginx, kong, traefik itp. Obejmuje to rozwiązywanie problemów z funkcjami, które pojawiają się po operacjach specyficznych dla usługi AKS, takich jak zaprzestanie działania kontrolera ruchu przychodzącego po uaktualnieniu wersji rozwiązania Kubernetes. Takie problemy mogą wynikać z niezgodności między wersją kontrolera ruchu przychodzącego a nową wersją platformy Kubernetes. W przypadku w pełni obsługiwanej opcji rozważ użycie opcji kontrolera ruchu przychodzącego zarządzanego przez firmę Microsoft.
Konfigurowanie lub rozwiązywanie problemów z zestawami DaemonSet (w tym skryptami) używanymi do dostosowywania konfiguracji węzłów. Chociaż korzystanie z zestawu DaemonSets jest zalecanym podejściem do dostosowywania, modyfikowania lub instalowania oprogramowania innej firmy w węzłach agenta klastra, gdy parametry pliku konfiguracji są niewystarczające, pomoc techniczna firmy Microsoft nie może rozwiązywać problemów wynikających z skryptów niestandardowych używanych w zestawach DaemonSet ze względu na ich niestandardowy charakter.
Scenariusze autonomiczne i proaktywne. pomoc techniczna firmy Microsoft zapewnia reaktywną pomoc techniczną, aby pomóc w rozwiązywaniu aktywnych problemów w odpowiednim czasie i w profesjonalny sposób. Obsługa rezerwowa lub proaktywna, która pomaga wyeliminować zagrożenia operacyjne, zwiększyć dostępność i zoptymalizować wydajność, nie są uwzględnione. Uprawnieni klienci mogą skontaktować się z zespołem ds. kont, aby uzyskać nominację do usługi Azure Event Management. Jest to płatna usługa dostarczana przez inżynierów pomocy technicznej firmy Microsoft, która obejmuje proaktywną ocenę ryzyka i pokrycie rozwiązania podczas wydarzenia.
Luki w zabezpieczeniach/CVE z poprawką dostawcy, która jest mniejsza niż 30 dni. Tak długo, jak korzystasz ze zaktualizowanego dysku VHD, nie należy uruchamiać żadnych luk w zabezpieczeniach obrazów kontenera / CVEs z poprawką dostawcy, która ma ponad 30 dni. Klient jest odpowiedzialny za zaktualizowanie dysku VHD i udostępnienie filtrowanych list pomocy technicznej firmy Microsoft. Po zaktualizowaniu wirtualnego dysku twardego klient ponosi odpowiedzialność za filtrowanie raportów o lukach w zabezpieczeniach /CVEs i udostępnienie listy tylko z lukami w zabezpieczeniach/CVEs poprawką dostawcy, która ma ponad 30 dni. Jeśli tak będzie, pomoc techniczna firmy Microsoft będzie działać wewnętrznie i rozwiązać problemy ze składnikiem z poprawką dostawcy wydaną ponad 30 dni temu. Ponadto firma Microsoft zapewnia obsługę luk w zabezpieczeniach /CVE tylko dla składników zarządzanych przez firmę Microsoft (tj. obrazów węzłów usługi AKS, zarządzanych obrazów kontenerów dla aplikacji, które są wdrażane podczas tworzenia klastra lub instalacji zarządzanego dodatku). Aby uzyskać więcej informacji na temat zarządzanie lukami w zabezpieczeniach dla usługi AKS, odwiedź tę stronę.
Niestandardowe przykłady kodu lub skrypty. Chociaż pomoc techniczna firmy Microsoft może dostarczać małe przykłady kodu i przeglądy małych przykładów kodu w ramach przypadku pomocy technicznej, aby zademonstrować sposób korzystania z funkcji produktu firmy Microsoft, pomoc techniczna firmy Microsoft nie może dostarczyć niestandardowych przykładów kodu specyficznych dla danego środowiska lub aplikacji.
Pokrycie obsługi usługi AKS dla węzłów agenta
Obowiązki firmy Microsoft dotyczące węzłów agenta usługi AKS
Firma Microsoft i Ty ponosisz odpowiedzialność za węzły agenta Kubernetes, w których:
- Podstawowy obraz systemu operacyjnego ma wymagane dodatki (takie jak monitorowanie i agenci sieci).
- Węzły agenta automatycznie otrzymują poprawki systemu operacyjnego.
- Problemy ze składnikami płaszczyzny sterowania platformy Kubernetes uruchamianymi w węzłach agenta są automatycznie korygowane. Te składniki obejmują następujące elementy:
Kube-proxy
- Tunele sieciowe udostępniające ścieżki komunikacyjne do głównych składników platformy Kubernetes
Kubelet
containerd
Uwaga
Jeśli węzeł agenta nie działa, usługa AKS może ponownie uruchomić poszczególne składniki lub cały węzeł agenta. Te operacje ponownego uruchamiania są zautomatyzowane i zapewniają automatyczne korygowanie typowych problemów. Jeśli chcesz dowiedzieć się więcej o mechanizmach automatycznego korygowania, zobacz Automatyczne naprawianie węzłów
Obowiązki klienta dotyczące węzłów agenta usługi AKS
Firma Microsoft udostępnia poprawki i nowe obrazy dla węzłów obrazów co tydzień. Aby zapewnić aktualność składników systemu operacyjnego i środowiska uruchomieniowego węzła agenta, należy regularnie stosować te poprawki i aktualizacje ręcznie lub automatycznie. Aby uzyskać więcej informacji, zobacz:
Podobnie usługa AKS regularnie publikuje nowe poprawki kubernetes i wersje pomocnicze. Te aktualizacje mogą zawierać ulepszenia zabezpieczeń lub funkcjonalności platformy Kubernetes. Odpowiadasz za aktualizowanie wersji rozwiązania Kubernetes klastra i zgodnie z zasadami obsługi usługi AKS Kubernetes.
Dostosowywanie przez użytkownika węzłów agenta
Uwaga
Węzły agenta usługi AKS są wyświetlane w witrynie Azure Portal jako standardowe zasoby IaaS platformy Azure. Jednak te maszyny wirtualne są wdrażane w niestandardowej grupie zasobów platformy Azure (poprzedzonej MC_*). Nie można zmienić obrazu podstawowego systemu operacyjnego ani dokonać żadnych bezpośrednich dostosowań w tych węzłach przy użyciu interfejsów API IaaS lub zasobów. Wszelkie zmiany niestandardowe, które nie są wykonywane z interfejsu API usługi AKS, nie będą utrwalane podczas uaktualniania, skalowania, aktualizowania ani ponownego uruchamiania. Ponadto wszelkie zmiany rozszerzeń węzłów, takich jak CustomScriptExtension , mogą prowadzić do nieoczekiwanego zachowania i powinny być zabronione. Unikaj przeprowadzania zmian w węzłach agenta, chyba że pomoc techniczna firmy Microsoft spowoduje wprowadzenie zmian.
Usługa AKS zarządza cyklem życia i operacjami węzłów agenta w Twoim imieniu i modyfikowaniem zasobów IaaS skojarzonych z węzłami agenta nie jest obsługiwana. Przykładem nieobsługiwanej operacji jest dostosowywanie zestawu skalowania maszyn wirtualnych puli węzłów przez ręczne zmienianie konfiguracji w witrynie Azure Portal lub z poziomu interfejsu API.
W przypadku konfiguracji lub pakietów specyficznych dla obciążenia usługa AKS zaleca korzystanie z rozwiązania Kubernetes daemon sets
.
Korzystanie z kontenerów uprzywilejowanych daemon sets
i inicjowania platformy Kubernetes umożliwia dostrojenie/zmodyfikowanie lub zainstalowanie oprogramowania innej firmy w węzłach agenta klastra. Przykłady takich dostosowań obejmują dodawanie niestandardowego oprogramowania do skanowania zabezpieczeń lub aktualizowanie ustawień sysctl.
Chociaż ta ścieżka jest zalecana, jeśli powyższe wymagania mają zastosowanie, inżynieria i obsługa techniczna usługi AKS nie mogą pomóc w rozwiązywaniu problemów lub diagnozowaniu modyfikacji, które renderują węzeł niedostępny z powodu wdrożenia daemon set
niestandardowego.
Problemy z zabezpieczeniami i stosowanie poprawek
Jeśli zostanie znaleziona usterka zabezpieczeń w co najmniej jednym z zarządzanych składników usługi AKS, zespół usługi AKS poprawia wszystkie klastry, których dotyczy problem. Alternatywnie zespół usługi AKS udostępnia wskazówki dotyczące uaktualniania.
W przypadku węzłów agenta, których dotyczy luka w zabezpieczeniach, firma Microsoft powiadamia Cię o szczegółach wpływu i krokach, które należy rozwiązać lub rozwiązać problem z zabezpieczeniami.
Konserwacja i dostęp do węzła
Mimo że można zalogować się do węzłów agenta i zmienić je, wykonanie tej operacji jest zniechęcane, ponieważ zmiany mogą nieobsługiwane przez klaster.
Porty sieciowe, dostęp i sieciowe grupy zabezpieczeń
Sieciowe grupy zabezpieczeń można dostosować tylko w podsieciach niestandardowych. Sieciowe grupy zabezpieczeń mogą nie być dostosowane w zarządzanych podsieciach ani na poziomie karty sieciowej węzłów agenta. Usługa AKS ma wymagania dotyczące ruchu wychodzącego do określonych punktów końcowych, aby kontrolować ruch wychodzący i zapewnić niezbędną łączność, zobacz Ograniczanie ruchu wychodzącego. W przypadku ruchu przychodzącego wymagania są oparte na aplikacjach wdrożonych w klastrze.
Zatrzymano, cofnięto przydział i węzły Nie gotowe
Jeśli nie potrzebujesz obciążeń usługi AKS do ciągłego uruchamiania, możesz zatrzymać klaster usługi AKS, który zatrzymuje wszystkie pule węzłów i płaszczyznę sterowania. Możesz uruchomić go ponownie w razie potrzeby. Po zatrzymaniu klastra przy użyciu az aks stop
polecenia stan klastra jest zachowywany przez maksymalnie 12 miesięcy. Po upływie 12 miesięcy stan klastra i wszystkie jego zasoby zostaną usunięte.
Ręczne cofnięcie przydziału wszystkich węzłów klastra z interfejsów API IaaS, interfejsu wiersza polecenia platformy Azure lub witryny Azure Portal nie jest obsługiwane w celu zatrzymania klastra usługi AKS ani puli węzłów. Klaster zostanie uznany za brak obsługi i zatrzymany przez usługę AKS po upływie 30 dni. Klastry są następnie objęte tymi samymi 12-miesięcznymi zasadami zachowywania co poprawnie zatrzymany klaster.
Klastry z zerowymi węzłami gotowymi (lub wszystkie nie są gotowe) i zero Uruchomionych maszyn wirtualnych zostaną zatrzymane po upływie 30 dni.
Usługa AKS zastrzega sobie prawo do archiwizowania płaszczyzn kontroli, które zostały skonfigurowane poza wytycznymi pomocy technicznej dla dłuższych okresów równych i dłuższych niż 30 dni. Usługa AKS obsługuje kopie zapasowe metadanych klastra itp. i może łatwo ponownie przydzielić klaster. Ta lokalizacja jest inicjowana przez dowolną operację PUT, która przywróci obsługę klastra, taką jak uaktualnienie lub skalowanie do aktywnych węzłów agenta.
Wszystkie klastry w wstrzymanej subskrypcji zostaną natychmiast zatrzymane i usunięte po upływie 90 dni. Wszystkie klastry w usuniętej subskrypcji zostaną natychmiast usunięte.
Nieobsługiwane funkcje alfa i beta kubernetes
Usługa AKS obsługuje tylko funkcje stabilne i beta w nadrzędnym projekcie Kubernetes. Jeśli nie opisano inaczej, usługa AKS nie obsługuje żadnej funkcji alfa dostępnej w nadrzędnym projekcie Kubernetes.
Funkcje lub flagi funkcji w wersji zapoznawczej
W przypadku funkcji i funkcji, które wymagają rozszerzonego testowania i opinii użytkowników, firma Microsoft udostępnia nowe funkcje lub funkcje w wersji zapoznawczej za flagą funkcji. Rozważ te funkcje jako funkcje w wersji wstępnej lub beta.
Funkcje w wersji zapoznawczej lub funkcje flagi funkcji nie są przeznaczone dla środowiska produkcyjnego. Trwające zmiany w interfejsach API i zachowaniu, poprawki błędów i inne zmiany mogą spowodować niestabilne klastry i przestoje.
Funkcje w publicznej wersji zapoznawczej są objęte najlepszą obsługą, ponieważ te funkcje są w wersji zapoznawczej i nie są przeznaczone do produkcji. Zespoły pomocy technicznej usługi AKS zapewniają pomoc techniczną tylko w godzinach pracy. Aby uzyskać więcej informacji, zobacz Często zadawane pytania dotyczące pomocy technicznej platformy Azure.
Nadrzędne usterki i problemy
Biorąc pod uwagę szybkość programowania w nadrzędnym projekcie Kubernetes, niezmiennie pojawiają się błędy. Niektórych z tych usterek nie można zastosować poprawek ani obejść w systemie AKS. Zamiast tego poprawki błędów wymagają większych poprawek w projektach nadrzędnych (takich jak Kubernetes, node lub agent operating systems i jądro). W przypadku składników będących właścicielami firmy Microsoft (takich jak dostawca usług w chmurze platformy Azure) usługi AKS i personel platformy Azure są zobowiązani do rozwiązywania problemów nadrzędnych w społeczności.
Jeśli główną przyczyną problemu z pomocą techniczną jest co najmniej jedna nadrzędna usterka, zespoły pomocy technicznej i inżynieryjne usługi AKS będą:
Zidentyfikuj i połącz nadrzędne usterki z wszelkimi szczegółami pomocniczymi, aby wyjaśnić, dlaczego ten problem ma wpływ na klaster lub obciążenie. Klienci otrzymują linki do wymaganych repozytoriów, aby mogli obserwować problemy i sprawdzać, kiedy nowe wydanie udostępni poprawki.
Podaj potencjalne obejścia lub środki zaradcze. Jeśli problem można rozwiązać, znany problem jest zgłaszany w repozytorium usługi AKS. Opis zgłoszenia znanego problemu:
- Problem, w tym linki do nadrzędnych usterek.
- Obejście i szczegółowe informacje o uaktualnieniu lub innej trwałości rozwiązania.
- Przybliżone osie czasu dołączania problemu na podstawie nadrzędnego tempa wydania.
Azure Kubernetes Service