共用方式為


Azure Arc 所啟用 AKS 的支持原則

適用於:Azure Local 22H2 上的 AKS、Windows Server 上的 AKS

本文提供Arc所啟用 AKS 的技術支持原則和限制的詳細數據。本文也說明叢集節點管理、控制平面元件、第三方開放原始碼元件,以及安全性或修補程式管理。

服務更新和版本

  • Microsoft針對每個 Kubernetes 次要版本提供 1 年的支持視窗,從初始發行日期開始。 在此期間,AKS Arc 會發行後續的次要或修補程式版本,以確保持續支援。
  • 在已淘汰的次要版本上運作的 Kubernetes 叢集必須更新為支援的版本,才能獲得支援。
  • 一旦次要版本已被取代,任何仍在此版本上執行的叢集都會繼續運作。 您仍然可以執行相應增加或減少等作業,但 AKS Arc 會在叢集作業期間顯示警告。
  • 一旦次要版本已被取代,它就會從Microsoft伺服器中移除。 此時,使用此版本的 Kubernetes 叢集無法更新 Kubernetes 或 OS 版本,而且必須升級至最新版本。 在某些情況下,如果系統狀態不良,此升級也可能表示完整重新部署。

如需版本資訊,請參閱 AKS Arc 版本資訊。 如需預覽功能的相關信息,請參閱 AKS Arc 預覽功能

AKS Arc 中的 Managed 功能

身為 AKS Arc 使用者,您有有限的自訂和部署選項。 不過,您不需要擔心或直接管理 Kubernetes 叢集控制平面和安裝。 基礎基礎結構即服務 (IaaS) 雲端元件,例如計算或網路元件,可讓您存取低階控件和自定義選項。

相較之下,AKS Arc 提供周全 Kubernetes 部署,為您提供叢集所需的一組常見組態和功能。 使用 AKS Arc,您會收到部分管理的控制平面。 控制平面包含您需要操作的所有元件和服務,並提供 Kubernetes 叢集給使用者。 Microsoft維護所有 Kubernetes 元件。

Microsoft透過管理叢集和相關聯的虛擬機基底映射維護下列元件:

  • kubelet 或 Kubernetes API 伺服器。
  • etcd 或相容的索引鍵/值存放區,提供服務品質(QoS)、延展性和運行時間。
  • DNS 服務(例如 kube-dns 或 CoreDNS)。
  • Kubernetes Proxy 或網路功能。
  • 在命名空間中 kube-system 執行的任何其他附加元件或系統元件。

AKS Arc 不是平臺即服務 (PaaS) 解決方案。 某些元件,例如工作負載叢集、控制平面和背景工作節點,都有共同的責任。 用戶必須協助維護 Kubernetes 叢集。 例如,需要使用者輸入,才能將操作系統 (OS) 安全性修補程式或更新套用至較新的 Kubernetes 版本。

服務受 管理 的方式是Microsoft和 AKS 小組提供用來部署工作負載叢集的管理叢集、控制平面和代理程序節點的工具。 您無法改變這些受控元件。 Microsoft 會限制自訂,以確保一致且可調整的使用者體驗。 如需雲端中完全可自定義的解決方案,請參閱 AKS 引擎

支援的版本原則

AKS Arc 中的 Kubernetes 版本遵循 Kubernetes 版本原則

AKS Arc 不會為支援的版本清單以外的叢集提供任何運行時間 (或其他) 保證。 「外部支援」表示:

  • 您的叢集會在已被取代的次要版本上運作。 您正在執行的版本不在支援的版本清單中。
  • 要求支援時,系統會要求您將叢集升級至支援的版本。

如需所支援 Kubernetes 版本的相關信息,請參閱 支援的 Kubernetes 版本

AKS Arc 遵循這些產品的平臺版本支持時間範圍。 也就是說,不支援這些產品版本不支援 AKS Arc。 如需詳細資訊,請參閱其支持原則:

共同責任

建立叢集時,您可以定義 AKS Arc 所建立的 Kubernetes 代理程序節點。 您的工作負載會在這些節點上執行。

因為您的代理程式節點會執行私人程式代碼並儲存敏感數據,因此 Microsoft 支援服務 只能存取它們。 Microsoft 支援服務 無法登入以執行命令,或在沒有快速許可權或協助的情況下檢視這些節點的記錄。 任何使用 IaaS API 的代理程序節點直接修改,都使叢集不受支援。 對代理程式節點所做的任何修改都必須使用 Kubernetes 原生機制來完成,例如 Daemon Sets

同樣地,雖然您可以將標籤和標籤等任何元數據新增至叢集和節點,但變更任何系統建立的元數據會轉譯不支援的叢集。

AKS Arc 支援涵蓋範圍

Microsoft提供下列功能和元件的技術支援:

  • 連線至 Kubernetes 服務提供和支援的所有 Kubernetes 元件,例如 API 伺服器。
  • Kubernetes 控制平面服務(例如 Kubernetes 控制平面、API 伺服器等和 coreDNS)。
  • etcd 資料存放區。
  • 與 Azure Arc 和 Azure 計費服務整合。
  • 自訂控制平面元件的相關問題,例如 Kubernetes API 伺服器、etcd 和 coreDNS。
  • 網路功能、網路存取和功能的問題。 問題可能包括 DNS 解析、封包遺失和路由。 Microsoft 支援各種網路功能案例:
    • Flannel 和 Calico CNI 的基本安裝支援。 這些 CCI 是社群導向和支援。 Microsoft 支援服務 僅提供基本安裝和組態支援。
    • 連線到其他 Azure 服務和應用程式。
    • 輸入控制器,以及輸入或負載平衡器組態。
    • 網路效能和延遲。

注意

Microsoft AKS Arc 支援小組所採取的任何叢集動作,都是以使用者同意和協助進行。 除非您設定支持工程師的存取權,否則 Microsoft 支援服務 不會登入您的叢集。

Microsoft不提供下列領域的技術支援:

  • 有關如何使用 Kubernetes 的問題。 例如,Microsoft 支援服務不會建議您如何建立自訂輸入控制器、使用應用程式工作負載,或套用第三方或開放原始碼軟體套件或工具。

    注意

    Microsoft 支援服務 可以在 AKS Arc 中建議叢集功能、自定義和微調;例如 Kubernetes 作業問題和程式。

  • 未在 Kubernetes 控制平面中提供的第三方開放原始碼專案,或在 AKS Arc 中建立叢集時部署。這些專案可能包括 Istio、Helm、Envoy 或其他專案。

    注意

    Microsoft 可以為第三方開放原始碼專案 (例如 Helm) 提供最佳支援。 第三方開放原始碼工具與 Kubernetes 或其他 AKS Arc 特定 Bug 整合時,Microsoft支援來自Microsoft檔的範例和應用程式。

  • 第三方封閉原始碼軟體。 此軟體可以包含安全性掃描工具和網路裝置或軟體。

  • AKS Arc 檔中所列以外的網路自定義專案。

AKS Arc 支援代理程式節點的涵蓋範圍

Microsoft AKS Arc 代理程式節點的責任

Microsoft和使用者共同負責 Kubernetes 代理程序節點,其中:

  • 基礎 OS 映像需要新增專案(例如監視和網路代理程式)。
  • 背景代理程式節點會自動接收 OS 修補檔。
  • 在代理程式節點上執行的 Kubernetes 控制平面元件問題,會在更新週期期間或重新部署代理程式節點時自動補救。 這些元件包括:
    • kube-proxy
    • 提供 Kubernetes 主要元件的通訊路徑的網路通道:
      • kubelet
      • MobyContainerD

注意

如果代理程式節點無法運作,AKS Arc 可能會重新啟動個別元件或整個代理程序節點。 這些自動化重新啟動作業會針對常見問題提供自動補救。

AKS Arc 代理程式節點的客戶責任

Microsoft會每月為您的映射節點提供修補程式和新映射,但預設不會自動修補它們。 若要讓您的代理程式節點 OS 和運行時間元件保持修補,您應該保留一般升級排程或自動修補。

同樣地,AKS Arc 會定期發行新的 Kubernetes 修補程式和次要版本。 這些更新包括 Kubernetes 安全性或功能性的改善。 您必須負責根據 AKS Arc 支援的版本原則,讓叢集的 Kubernetes 版本保持更新。

代理程式節點的使用者自訂

注意

AKS Arc 代理程式節點會以一般虛擬機資源的形式出現在 Hyper-V 中。 這些虛擬機會使用自定義 OS 映射進行部署,以及支援和管理的 Kubernetes 元件。 您無法變更基底 OS 映射,或使用 Hyper-V API 或資源對這些節點進行任何直接自定義。 未透過 AKS-HCI API 完成的任何自定義變更,都不會透過升級、調整、更新或重新啟動保存,而且可以轉譯不支援的叢集。 除非 Microsoft 支援服務指示您進行變更,否則請避免執行代理程式節點的變更。

AKS Arc 會代表您管理代理程式節點映像的生命週期和作業。 不支援修改與代理程序節點相關聯的資源。 例如,不支援透過 Hyper-V API 或工具手動變更組態來自定義虛擬機的網路設定。

針對工作負載特定的組態或套件,您應該使用 Kubernetes 精靈集

當您使用 Kubernetes 特殊許可權 daemon sets 和 init 容器時,您可以在叢集代理程式節點上微調/修改或安裝第三方軟體。 例如,您可以新增自訂安全性掃描軟體或更新 sysctl 設定。 如果先前的需求適用,建議使用這個路徑,但 AKS Arc 工程和支援無法協助疑難解答或診斷因自定義部署而無法使用節點的 daemon set修改。

安全性問題和修補

如果在 AKS Arc 的一或多個受控元件中找到安全性缺陷,AKS Arc 小組會修補所有受影響的 OS 映射以減輕問題,而小組會提供用戶升級指引。

對於受安全性缺陷影響的代理程序節點,Microsoft會通知您有關影響的詳細數據,以及修正或減輕安全性問題的步驟。 這些步驟通常包括節點映射升級或叢集修補程序升級。

節點維護和存取

雖然您可以登入和變更代理程序節點,但不建議進行這項作業,因為變更可能會使叢集不受支援。

網路埠、IP 集區和存取

您只能使用 AKS Arc 定義的子網來自定義網路設定。 您無法在代理程式節點的 NIC 層級自訂網路設定。 AKS Arc 具有特定端點的輸出需求,可控制輸出,並確保必要的連線能力。 如需詳細資訊,請參閱 AKS Arc 系統需求

已停止或中斷連線的叢集

如先前所述,透過 Hyper-V API、CLI 或 MMC 手動取消配置所有叢集節點,會使叢集無法支援。

已停止超過90天的叢集無法再更新。 處於此狀態之叢集的控制平面在 30 天后就不支援,且無法更新為最新版本。

AKS Arc 中的管理叢集必須能夠透過 HTTPS 輸出流量連線到 Azure,至少每隔 30 天連線到已知的 Azure 端點,才能維護第 2 天的作業,例如升級和節點集區調整。 如果管理叢集在 30 天內中斷連線,工作負載會繼續執行並如預期般運作,直到管理叢集和或 Azure 本機重新連線並同步處理至 Azure 為止。 重新連線之後,全天 2 個作業應該會如預期般復原並繼續。 如需詳細資訊,請參閱 Azure 本機 Azure 連線需求 。 30 天后,Azure 本機會防止建立新的虛擬機。

如果叢集是在 Windows Server 2019 或 Windows Server 2022 上執行,基礎主機平臺就沒有 30 天的週期性連線需求。

注意

30 天的開始/結束時間可能與 AKS Arc 和 Azure Local 的有效期間不同。 透過 Hyper-V API/CLI/MMC 手動停止或取消配置所有叢集節點超過 30 天,而且在一般維護程式之外,會讓叢集無法支援。

已刪除或暫停的訂用帳戶

如果您的 Azure 訂用帳戶暫停或刪除,您的 AKS 叢集在 60 天后就無法支援,除非訂用帳戶在達到 60 天的限制之前恢復。 先前所述的所有其他限制也適用於。 刪除訂用帳戶之後,就無法復原與 Azure 的叢集連線,而且必須重新部署 Azure Local 和 AKS Arc,才能重新連線到 Azure。

不支援的預覽和 Beta Kubernetes 功能

AKS Arc 僅支援上游 Kubernetes 專案中的穩定和 Beta 功能。 除非另有記載,否則 AKS Arc 不支援上游 Kubernetes 專案中提供的任何預覽功能。

預覽功能或功能旗標

針對需要擴充測試和使用者意見反應的功能,Microsoft會發行功能旗標后的新預覽功能或功能。 請考慮這些發行前版本或 Beta 功能。 預覽功能或功能旗標功能並非設計來用於生產環境。 持續的 API 變更和行為、錯誤修正以及其他變更,可能會導致不穩定的叢集和停機時間。

公開預覽中的功能會獲得「最佳努力」支援,因為這些功能處於預覽狀態,不適用於生產環境。 只有上班時間,AKS Arc 技術支援小組才支持這些功能。 如需詳細資訊,請參閱 Azure 支援 常見問題

上游的錯誤和問題

有鑑於上游 Kubernetes 專案中的開發速度,錯誤難免會發生。 有些 Bug 無法在 AKS Arc 系統中修補或解決。 上游專案 (例如 Kubernetes、節點或代理程式作業系統,以及核心程序) 需要較大型的修補檔來修正錯誤 (bug)。 針對Microsoft擁有的元件(例如適用於 Azure 本機的叢集 API 提供者),AKS Arc 和 Azure 人員致力於修正社群上游的問題。

當技術支持問題由一或多個上游 Bug 所造成時,AKS Arc 支援和工程小組會執行下列動作:

  • 識別上游錯誤,並將其與支援詳細資料連結,協助說明此問題為何會影響到您的叢集或工作負載。 客戶會收到所需存放庫的連結以便監看問題,並查看新版本何時會提供修正程式。
  • 提供潛在的因應措施或風險降低。 如果問題可以減輕, 就會在 Azure 本機和 Windows Server 存放庫中的 AKS 中提出已知問題。 已知問題檔說明:
    • 此問題的內容,包括上游錯誤的連結。
    • 解決方案的因應措施和詳細數據,或解決方案的另一個選項。
    • 根據上游的發行頻率,提供包含此問題的大致時間軸。

下一步