Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
AKS предоставляет несколько каналов автоматического обновления, предназначенных для своевременного обновления безопасности ОС на уровне узлов. Этот канал отличается от обновлений версий Kubernetes на уровне кластера и заменяет его.
Tip
Если вы используете AKS Automatic, обновления ОС узлов предварительно настроены на использование канала NodeImage, в котором исправления безопасности и ошибки применяются еженедельно. Настройка не требуется. Для автоматических кластеров AKS с пользовательскими виртуальными сетями можно настроить периоды обслуживания при необходимости. Дополнительные сведения см. в статье "Что такое Azure Kubernetes Service (AKS) автоматический" Для кластеров AKS Standard продолжайте чтение, чтобы выбрать канал, который лучше всего соответствует вашим требованиям.
Это важно
Начиная с 30 ноября 2025 г. служба Azure Kubernetes (AKS) больше не поддерживает или предоставляет обновления безопасности для Azure Linux 2.0. Образ узла Linux 2.0 Azure заморожен в выпуске 202512.06.0. Начиная с 31 марта 2026 г. образы узлов будут удалены, и вы не сможете масштабировать пулы узлов. Выполните миграцию в поддерживаемую версию Linux Azure, обновив пулы узлов до поддерживаемой версии Kubernetes или переключив ее на osSku AzureLinux3. Дополнительные сведения см. в вопросе о прекращении поддержки на GitHub и объявлении об устаревании обновлений Azure. Чтобы оставаться в курсе объявлений и обновлений, следуйте заметкам о выпуске AKS.
Взаимодействие между автоматическим обновлением ОС узла и автообновлением кластера
Обновления безопасности ОС на уровне узла выпускаются быстрее, чем патчи или минорные обновления версий Kubernetes. Канал автоматического обновления ОС узла обеспечивает гибкость и обеспечивает настраиваемую стратегию для обновлений системы безопасности на уровне узла. Затем можно выбрать отдельный план для автоматического обновления версий Kubernetes на уровне кластера.
Лучше всего использовать автограды на уровне кластера и канал автоматического обновления ОС узла. Планирование можно точно настроить, применив два отдельных набора периодов - aksManagedAutoUpgradeSchedule обслуживания для канала автоматического обновления кластера и aksManagedNodeOSUpgradeSchedule для канала автоматического обновления ОС узла.
Каналы обновления образа ОС узла
Выбранный канал определяет время обновления. При внесении изменений в каналы автоматического обновления ОС узла ожидайте до 24 часов, чтобы изменения вступили в силу.
Замечание
- Автоматическое обновление образа ОС узла не влияет на версию Kubernetes в кластере.
- Начиная с версии API 2023-06-01, для любого нового кластера AKS Standard значением по умолчанию является
NodeImage. -
Автоматические кластеры AKS всегда используют
NodeImageканал по умолчанию.
Изменения канала операционной системы узла, которые приводят к повторному созданию образа системы.
Следующие канальные переходы ОС узлов активируют перепрошивку на узлах:
| От | Кому |
|---|---|
| Неуправляемые | Отсутствует |
| Неопределенное | Неуправляемые |
| SecurityPatch | Неуправляемые |
| NodeImage | Неуправляемые |
| Отсутствует | Неуправляемые |
Доступные каналы обновления ОС узла
Для кластеров AKS Standard доступны следующие каналы обновления. (Автоматические кластеры AKS используют канал NodeImage по умолчанию.)
| Канал | Описание | Поведение для конкретной ОС |
|---|---|---|
None |
Ваши узлы не имеют автоматически применяемых обновлений безопасности. Это означает, что вы несете ответственность за обновления системы безопасности. | Не применимо |
Unmanaged |
Встроенная инфраструктура исправлений ОС автоматически применяет обновления ОС. Вновь выделенные машины первоначально не патчены. Инфраструктура ОС исправляет их в какой-то момент. | Ubuntu и Azure Linux (пулы узлов ЦП) применяют исправления безопасности с помощью автоматического обновления/dnf-automatic примерно один раз в день около 06:00 UTC. Windows не применяет автоматически исправления безопасности, поэтому этот параметр ведет себя эквивалентно None. Необходимо управлять процессом перезагрузки с помощью средства, например kured.
Azure Linux с OS Guard в AKS не поддерживает Unmanaged. |
SecurityPatch |
Исправления безопасности ОС, которые тестируются в AKS, полностью управляемые и применяются с использованием безопасных методик развертывания. AKS регулярно обновляет виртуальный жесткий диск узла (VHD) патчами от производителя изображения, указанными как «только для безопасности». При применении этих исправлений безопасности к узлам могут возникать перебои в работе. Однако AKS ограничивает сбои, выполняя повторную инсталляцию узлов только при необходимости, например, для определенных пакетов безопасности ядра. При применении исправлений виртуальный жесткий диск обновляется, и существующие компьютеры переходят на обновленный виртуальный жесткий диск с учетом периодов обслуживания и параметров всплеска. Если AKS решит, что перепрограммирование узлов не требуется, он вносит исправления в узлы в реальном времени, не освобождая поды и не выполняя обновление виртуального жесткого диска. Этот параметр приведет к дополнительным затратам на размещение виртуальных жестких дисков (VHD) в группе ресурсов узла. Если вы используете этот канал, автоматические обновления Linux отключены по умолчанию. | Azure Linux не поддерживает этот канал на виртуальных машинах с поддержкой GPU.
SecurityPatch работает с устаревшими версиями исправлений kubernetes, если поддерживается дополнительная версия Kubernetes.
Flatcar Container Linux для AKS и Azure Linux с OS Guard в AKS не поддерживают SecurityPatch. |
NodeImage |
AKS обновляет узлы с недавно исправленным виртуальным жестким диском, содержащим исправления безопасности и исправления ошибок еженедельно. Обновление нового виртуального жесткого диска нарушается, после периодов обслуживания и параметров всплеска. При выборе этого варианта дополнительная плата за виртуальный жесткий диск не взимается. Если вы используете этот канал, автоматические обновления Linux отключены по умолчанию. Обновления образов узла поддерживаются, пока минорная версия Kubernetes кластера все еще поддерживается. Образы узлов прошли тестирование AKS, полностью управляются и развертываются с использованием безопасных методов развертывания. |
Что выбрать — Канал SecurityPatch или Channel NodeImage?
Для автоматических кластеров AKS
AkS Automatic использует канал NodeImage по умолчанию. Этот канал обеспечивает наилучший баланс исправлений безопасности, исправлений ошибок и управляемости для производственных рабочих нагрузок. Еженедельная частота соответствует рекомендациям AKS и настраивается для оптимальной производительности кластера без вмешательства вручную.
Конфигурация не требуется . Обновления выполняются автоматически в течение периода обслуживания. Вы можете настроить окна обслуживания, если хотите управлять тем, когда происходят обновления, но выбор канала фиксирован.
Почему NodeImage для AKS Automatic?
- Включает исправления безопасности и исправления ошибок для обеспечения комплексной стабильности
- Еженедельная частота обеспечивает прогнозируемое время обновления
- Полностью управляемая AKS с помощью безопасных методов развертывания
- Без дополнительных затрат на размещение VHD
- Оптимизировано для промышленных нагрузок с рекомендуемыми параметрами по умолчанию
Для кластеров AKS Standard
Если вы используете AKS Standard, оцените требования, используя сравнение ниже, чтобы выбрать между SecurityPatch или NodeImage каналами.
Есть два важных момента, которые следует учитывать при выборе между каналами SecurityPatch и NodeImage:
| Недвижимость | Канал NodeImage | Канал SecurityPatch | Рекомендуемый канал |
|---|---|---|---|
Speed of shipping |
Типичные временные рамки сборки, тестирования, выпуска и развертывания для нового виртуального жесткого диска могут занять около двух недель, следуя безопасным методам развертывания. Несмотря на то что в случае CVEs ускорение развертывания может происходить по конкретному случаю. Точный момент, когда новый VHD попадает в регион, можно отслеживать с помощью release-tracker. | Выпуски SecurityPatch, как правило, выходят быстрее, чем NodeImage, даже с безопасными методами развертывания. SecurityPatch имеет преимущество "живой установки исправлений" в средах Linux, где установка исправлений приводит к выборочному "восстановлению образа" и не создает образ заново при каждом применении исправления. Повторное изображение, если это происходит, управляется окнами обслуживания. |
SecurityPatch |
Bugfixes |
Содержит исправления ошибок в дополнение к исправлениям безопасности. | Исключительно содержит только исправления безопасности. | NodeImage |
Сравнение режима кластера
В следующей таблице перечислены параметры автоматической настройки ОС узла по режиму кластера:
| Аспект | AKS Automatic | AKS Standard |
|---|---|---|
| Канал по умолчанию | NodeImage (предварительная конфигурация) | Обязательный выбор вручную |
| Частота обновлений | Еженедельное (фиксированное) | На основе выбранного канала |
| Необходимая конфигурация | Нет — автоматическое обновление | Да. Выбор канала и расписания |
| Включает исправления ошибок | Да | Только если выбран канал NodeImage |
| Рекомендуется для | Большинство производственных рабочих нагрузок | Пользовательские требования или определенные ограничения |
| Управление окном обслуживания | Optional | Настоятельно рекомендуется |
Настройка канала автоматического обновления ОС узла в новом кластере
Замечание
Если вы создаете автоматический кластер AKS, пропустите эти действия. Канал NodeImage уже настроен. Эти действия применяются только к кластерам AKS Standard.
В новом кластере задайте канал автоматического обновления ОС узла с помощью команды az aks create с параметром --node-os-upgrade-channel. В следующем примере для канала автоматического обновления ОС узла устанавливается значение SecurityPatch.
export RANDOM_SUFFIX=$(openssl rand -hex 3)
export RESOURCE_GROUP="myResourceGroup$RANDOM_SUFFIX"
export AKS_CLUSTER="myAKSCluster$RANDOM_SUFFIX"
az aks create \
--resource-group $RESOURCE_GROUP \
--name $AKS_CLUSTER \
--node-os-upgrade-channel SecurityPatch \
--generate-ssh-keys
Настройка канала автоматического обновления ОС узла в существующем кластере
Замечание
Если вы используете автоматический кластер AKS, вы не можете изменить канал автоматического обновления ОС узла. Он предварительно настроен для использования NodeImage. Эти действия применяются только к кластерам AKS Standard. При необходимости можно настроить периоды обслуживания для автоматического кластера AKS.
Задайте канал автоматического обновления ОС узла в существующем кластере с помощью az aks update команды с параметром --node-os-upgrade-channel . В следующем примере для канала автоматического обновления ОС узла устанавливается значение SecurityPatch.
az aks update --resource-group $RESOURCE_GROUP --name $AKS_CLUSTER --node-os-upgrade-channel SecurityPatch
Результаты:
{
"autoUpgradeProfile": {
"nodeOsUpgradeChannel": "SecurityPatch"
}
}
Настройка периодов обслуживания для автоматических кластеров AKS
Замечание
Автоматические кластеры AKS используют предварительно настроенный канал NodeImage и не могут изменить этот выбор. Однако можно настроить время установки обновлений, задав окна обслуживания.
Задайте окно обслуживания для автообновления ОС узла с помощью команды az aks update с параметром --node-os-upgrade-channel NodeImage и параметрами --schedule-config:
az aks update \
--resource-group $RESOURCE_GROUP \
--name $AKS_CLUSTER \
--node-os-upgrade-channel NodeImage \
--schedule-config "scheduled-maintenance-window=true" \
--maintenance-window "frequency=Weekly,day-of-week=Sunday,utc-offset=+00:00,duration-hours=4,start-hour=2"
Обновление владения и каденса по каналу
Частота по умолчанию означает, что не применяется плановое время обслуживания.
| Канал | Обновление владения | Частота по умолчанию |
|---|---|---|
Unmanaged |
Обновления безопасности на основе ОС. AKS не контролирует эти обновления. | Ночью около 6AM UTC для Ubuntu и Azure Linux. Ежемесячно для Windows. |
SecurityPatch |
Проверенный AKS, полностью управляемый и использующий безопасные методы развертывания. Дополнительные сведения см. в статье о повышении безопасности и устойчивости канонических рабочих нагрузок в Azure. | Как правило, AKS определяет частоту чаще, чем раз в неделю. |
NodeImage |
Проверенный AKS, полностью управляемый и использующий безопасные методы развертывания. Для получения более актуальной информации о выпусках смотрите изображения узлов AKS в трекере выпусков. | Еженедельно. |
Замечание
Хотя обновления системы безопасности Windows выпускаются ежемесячно, использование Unmanaged канала не будет автоматически применять эти обновления к узлам Windows. При выборе Unmanaged канала необходимо управлять процессом перезагрузки для узлов Windows.
Известные ограничения канала автоматического обновления ОС узла
- В настоящее время, когда вы настраиваете канал автоматического обновления кластера на
node-image, он также автоматически задает канал обновления ОС узла наNodeImage. Вы не можете изменить значение канала автоматического обновления ОС узла, если канал автоматического обновления вашего кластера имеет значениеnode-image. Чтобы задать значение канала автообновления ОС узла, проверьте, что значение канала автообновления кластера не равноnode-image. - Канал
SecurityPatchне поддерживается в пулах узлов ОС Windows. - Канал
SecurityPatchнесовместим с Политика Azure, использующей эффектdenyдля требования использования ключей, управляемых клиентом (CMK), для шифрования диска ОС. При применении исправления безопасности AKS временно создает масштабируемый набор виртуальных машин (VMSS) (с префиксомcopy-) в группе ресурсов узлов (MC_), создание которого запрещено такой политикой, поэтому обновление завершается ошибкойRequestDisallowedByPolicy. Использование в пулах узлов ключей, управляемых клиентом, по-прежнему поддерживается сSecurityPatch; конфликт возникает только с политикой с эффектомdeny. Если вам требуется политикаdeny, действующая во всей организации, для шифрования дисков ОС с использованием CMK, используйте вместо этого каналNodeImage.
Замечание
Используйте cli версии 2.61.0 или более поздней для SecurityPatch канала.
Окна планового обслуживания ОС узла
Запланированное обслуживание для автоматического обновления ОС узла начинается с указанного периода обслуживания.
Замечание
Чтобы обеспечить правильную функциональность, используйте период обслуживания в течение четырех часов или более.
Дополнительные сведения о плановом обслуживании см. в статье "Использование планового обслуживания" для планирования периодов обслуживания для кластера Службы Azure Kubernetes (AKS).
Часто задаваемые вопросы об автоматических обновлениях ОС узловой системы
Как проверить текущее значение nodeOsUpgradeChannel в кластере?
az aks show Выполните команду и проверьте "autoUpgradeProfile", чтобы определить, какое значение nodeOsUpgradeChannel задано:
az aks show --resource-group $RESOURCE_GROUP --name $AKS_CLUSTER --query "autoUpgradeProfile"
Результаты:
{
"nodeOsUpgradeChannel": "SecurityPatch"
}
Автоматическое обновление ОС узлов в AKS Automatic настраивается по-другому?
Yes. Автоматические кластеры AKS предварительно настроены для использования канала NodeImage по умолчанию. Вам не нужно ничего настраивать. Эта конфигурация предоставляет следующее:
- Еженедельные исправления безопасности и исправления ошибок
- Автоматическое восстановление с помощью методов безопасного развертывания
- Элемент управления окном обслуживания (необязательно)
- Готовые к работе значения по умолчанию оптимизированы для большинства рабочих нагрузок
- Без дополнительных затрат на размещение VHD
Кластеры AKS Standard требуют выбора канала в зависимости от ваших потребностей. Чтобы перейти из AKS Standard в AKS Automatic и воспользоваться этими предварительно настроенными значениями по умолчанию, см. статью "Что такое Azure Kubernetes Service (AKS) Автоматический"
Можно ли изменить канал автоматического обновления ОС узла в кластере AKS Automatic?
Нет. Автоматические кластеры AKS используют канал NodeImage, и вы не можете изменить этот канал. Если вам нужен другой канал, используйте кластер AKS Standard. Однако вы можете настроить окна обслуживания, чтобы контролировать, когда выполняются обновления в вашем кластере AKS Automatic.
Как отслеживать состояние автоматических обновлений ОС узла?
Чтобы просмотреть состояние автоматического обновления ОС узла, просмотрите журналы действий в кластере. Вы также можете искать конкретные события, связанные с обновлением, как упоминалось в разделе "Обновление кластера AKS". AKS также выдает события Event Grid, связанные с обновлением. Дополнительные сведения см. в статье AKS как источник сетки событий.
Можно ли изменить значение канала автоматического обновления ОС узла, если для канала автоматического обновления кластера задано значение node-image?
Нет. В настоящее время, когда вы настраиваете канал автоматического обновления кластера на node-image, он также автоматически задает канал обновления ОС узла на NodeImage. Вы не можете изменить значение канала автоматического обновления ОС узла, если канал автоматического обновления вашего кластера имеет значение node-image. Чтобы изменить значения канала автоматического обновления ОС узла, убедитесь, что канал автоматического обновления кластера не установлен в значение node-image.
Почему SecurityPatch рекомендуется больше, чем канал Unmanaged?
В канале Unmanaged AKS не контролирует, как и когда доставляются обновления системы безопасности. При использовании SecurityPatch обновления системы безопасности полностью тестируются и следуют рекомендациям по безопасному развертыванию.
SecurityPatch также учитывает периоды обслуживания. Дополнительные сведения см. в статье о повышении безопасности и устойчивости канонических рабочих нагрузок в Azure.
Всегда ли SecurityPatch приводит к переустановке моих узлов?
AKS ограничивает повторную версию только при необходимости, например некоторые пакеты ядра, которые могут потребовать повторного создания образа для полного применения.
SecurityPatch предназначен для минимизации нарушений в максимально возможной степени. Если AKS решит, что повторное копирование узлов не требуется, он исправляет узлы в реальном времени без очистки модулей pod и в таких случаях обновление виртуального жесткого диска не выполняется.
Почему каналу SecurityPatch необходимо достигнуть конечной точки snapshot.ubuntu.com?
SecurityPatch С помощью канала узлы кластера Linux должны скачать необходимые исправления безопасности и обновления из службы моментальных снимков Ubuntu, описанной в ubuntu-snapshots-on-azure-security-predictability-and-consistency-in-cloud-deployments.
Как узнать, применяется ли обновление SecurityPatch или NodeImage на моём узле?
kubectl get nodes --show-labels Выполните команду, чтобы вывести список узлов в кластере и их меток.
Среди возвращаемых меток вы увидите строку, аналогичную следующим выходным данным:
kubernetes.azure.com/node-image-version=AKSUbuntu-2204gen2containerd-202410.27.0-2024.12.01
Ниже приведена AKSUbuntu-2204gen2containerd-202410.27.0версия базового образа узла. Если применимо, версия исправления безопасности обычно следует. В предыдущем примере это 2024.12.01.
Те же сведения также можно найти на портале Azure в разделе просмотра меток узла.
Связанный контент
Подробное обсуждение лучших практик обновления и других аспектов смотрите в руководстве по исправлению и обновлению AKS.
Дополнительные сведения о предварительно настроенных параметрах AKS Automatic и готовых к работе по умолчанию параметрах см. в статье "Что такое Azure Kubernetes Service (AKS) Автоматический"