Поделиться через

Политики поддержки AKS на Windows Server

  • Статья

Область применения: AKS на Windows Server

В этой статье содержатся сведения о политиках технической поддержки и ограничениях для AKS на Windows Server. В этой статье также описано управление узлами кластера, компоненты плоскости управления, сторонние компоненты с открытым исходным кодом и управление безопасностью или исправлениями.

Обновления и релизы службы

  • Корпорация Майкрософт предлагает период поддержки 1 года для каждой дополнительной версии Kubernetes, начиная с начальной даты выпуска. В течение этого периода AKS Arc выпускает последующие дополнительные или исправленные версии, чтобы обеспечить постоянную поддержку.
  • Кластер Kubernetes, работающий с устаревшей дополнительной версией, должен быть обновлен до поддерживаемой версии, чтобы иметь право на поддержку.
  • После отмены дополнительной версии все кластеры, которые по-прежнему работают в этой версии, будут продолжать функционировать. Вы по-прежнему можете выполнять такие операции, как масштабирование вверх или вниз, но AKS Arc отображает предупреждение во время операций кластера.
  • После того как минорная версия перестает поддерживаться, она удаляется с серверов Майкрософт. На этом этапе кластеры Kubernetes, использующие эту версию, не могут обновлять версии Kubernetes или ОС и должны быть обновлены до последнего выпуска. В некоторых случаях это обновление также может означать полное повторное развертывание, если система не находится в работоспособном состоянии.

Сведения о выпуске см. в заметках о выпуске AKS Arc. Сведения о функциях в предварительной версии см. в разделе "Предварительные версии AKS Arc".

Управляемые функции в AKS Arc

В качестве пользователя AKS Arc у вас есть ограниченные параметры настройки и развертывания. Однако вам не нужно беспокоиться об управлении контрольной плоскостью кластера Kubernetes и установке напрямую. Базовые облачные компоненты инфраструктуры как услуга (IaaS), такие как вычислительные компоненты или сетевые компоненты, позволяют получать доступ к низким уровням управления и параметрам настройки.

В отличие от этого, AKS Arc предоставляет готовое развертывание Kubernetes, которое предоставляет общий набор конфигураций и возможностей, необходимых для кластера. С помощью AKS Arc вы получаете частично управляемую плоскость управления. Плоскость управления содержит все компоненты и службы, необходимые для работы и предоставления кластеров Kubernetes конечным пользователям. Корпорация Майкрософт поддерживает все компоненты Kubernetes.

Корпорация Майкрософт поддерживает следующие компоненты с помощью кластера управления и связанных базовых образов виртуальных машин:

  • kubelet или серверы API Kubernetes.
  • etcd или совместимое хранилище key-value, предоставляющее качество обслуживания (QoS), масштабируемость и среду выполнения.
  • Службы DNS (например, kube-dns CoreDNS).
  • Прокси-сервер Kubernetes или сеть.
  • Любой другой компонент надстройки или системный компонент, запущенный в пространстве имен kube-system.

AKS Arc не является решением "Платформа как услуга" (PaaS). Некоторые компоненты, такие как кластеры рабочей нагрузки, плоскость управления и рабочие узлы, несут общую ответственность. Пользователи должны помочь поддерживать кластер Kubernetes. Для применения исправления безопасности операционной системы (ОС) или обновления к новой версии Kubernetes требуется ввод пользователей.

Службы управляются в том смысле, что корпорация Майкрософт и команда AKS предоставляют средства, которые развертывают кластер управления, плоскость управления и узлы агента для кластеров рабочих нагрузок. Эти управляемые компоненты нельзя изменить. Корпорация Майкрософт ограничивает возможности настройки, обеспечивая согласованное и масштабируемое взаимодействие с пользователями. Для полностью настраиваемого решения в облаке смотрите движок AKS.

Поддерживаемая политика версий

Версии Kubernetes в AKS Arc следуют политике версии Kubernetes .

AKS Arc не делает никаких гарантий среды выполнения (или других) для кластеров за пределами списка поддерживаемых версий. "Вне поддержки" означает, что:

  • Кластер работает на устаревшей минорной версии. Используемая версия не входит в список поддерживаемых.
  • Вам будет предложено обновить кластер до поддерживаемой версии при запросе поддержки.

Сведения о поддерживаемых версиях Kubernetes см. в статье "Поддерживаемые версии Kubernetes".

AKS Arc следует временным интервалам поддержки версии платформы для этих продуктов. То есть AKS Arc не поддерживается в неподдерживаемых версиях этих продуктов. Дополнительные сведения см. в следующих политиках поддержки:

Общая ответственность

При создании кластера вы определяете узлы агента Kubernetes, создаваемые AKS Arc. На этих узлах выполняются клиентские рабочие нагрузки.

Так как узлы агента выполняют частный код и хранят конфиденциальные данные, служба поддержки Майкрософт имеет ограниченный доступ к ним. Служба поддержки Microsoft не может войти в систему, чтобы выполнять команды на этих узлах или просматривать журналы, без вашего явного разрешения или помощи. Любое прямое изменение узлов агента с помощью любого из API IaaS делает кластер неподдерживаемым для поддержки. Любые изменения, выполненные на узлах агента, должны выполняться с помощью собственных механизмов Kubernetes, таких как Daemon Sets.

Аналогично, хотя вы можете добавлять любые метаданные, такие как теги и метки, в кластер и узлы, изменение любых метаданных, созданных системой, делает кластер неподдерживаемым.

Покрытие поддержки AKS Arc

Корпорация Майкрософт предоставляет техническую поддержку следующих функций и компонентов:

  • Подключение ко всем компонентам Kubernetes, предоставляемым и поддерживаемым службой Kubernetes, таким как сервер API.
  • Службы плоскости управления Kubernetes (например, плоскость управления Kubernetes, сервер API и т. д. и coreDNS).
  • Хранилище данных Etcd.
  • Интеграция с Azure Arc и службой выставления счетов Azure.
  • Вопросы или проблемы, касающиеся настройки компонентов уровня управления, таких как сервер API Kubernetes, etcd и coreDNS.
  • Проблемы с сетью, доступом к сети и функциями. Проблемы могут включать разрешение DNS, потерю пакетов и маршрутизацию. Корпорация Майкрософт поддерживает различные сетевые сценарии:
    • Базовая поддержка установки Flannel и Calico CNI. Эти ЦНС управляются сообществом и поддерживаются. служба поддержки Майкрософт предоставляет только базовую поддержку установки и конфигурации.
    • Подключение к другим службам и приложениям Azure.
    • Контроллеры входящего трафика и конфигурация входящего трафика или подсистемы балансировки нагрузки.
    • Производительность сети и задержка.

Примечание.

Все действия кластера, выполняемые группами поддержки Microsoft AKS Arc, выполняются с помощью согласия пользователя и помощи. служба поддержки Майкрософт не входит в кластер, если только вы не настроите доступ для инженера поддержки.

Корпорация Майкрософт не предоставляет техническую поддержку для следующих областей:

  • Вопросы об использовании Kubernetes. Например, служба поддержки Майкрософт не предоставляет рекомендаций о том, как создавать пользовательские контроллеры входящего трафика, использовать рабочие нагрузки приложений или применять программные пакеты или средства сторонних разработчиков или с открытым кодом.

    Примечание.

    служба поддержки Майкрософт может консультироваться по функциям кластера, настройке и настройке в AKS Arc, например о проблемах и процедурах операций Kubernetes.

  • Сторонние проекты с открытым кодом, которые не предоставляются в рамках плоскости управления Kubernetes или развертываются при создании кластеров в AKS Arc. Эти проекты могут включать Istio, Helm, Envoy или другие.

    Примечание.

    Корпорация Майкрософт может предоставить оптимальную поддержку для сторонних проектов с открытым кодом, таких как Helm. В случаях, когда стороннее средство с открытым исходным кодом интегрируется с Kubernetes или имеет специфические для AKS Arc проблемы, корпорация Майкрософт поддерживает примеры и приложения из документации Microsoft.

  • Стороннее программное обеспечение с закрытым кодом. Это могут быть средства проверки безопасности, устройства или программное обеспечение для сетевого взаимодействия.

  • Настройки сети, отличные от перечисленных в документации AKS Arc.

Поддержка AKS Arc для узлов агента

Обязанности Майкрософт по узлам агента AKS Arc

Корпорация Майкрософт и ее клиенты разделяют ответственность за узлы агента Kubernetes при соблюдении следующих условий.

  • Базовый образ ОС требует дополнительных дополнений (таких как мониторинг и сетевые агенты).
  • Исправления ОС устанавливаются на узлы агента автоматически.
  • Проблемы с компонентами уровня управления Kubernetes, которые выполняются на узлах агента, автоматически устраняются во время цикла обновления или при повторном развертывании узла агента. К этим компонентам относятся:
    • kube-proxy
    • Сетевые туннели, предоставляющие пути связи к главным компонентам Kubernetes:
      • kubelet
      • Moby или ContainerD

Примечание.

Если узел агента не работает, AKS Arc может перезапустить отдельные компоненты или весь узел агента. Эти операции автоматического перезапуска обеспечивают автоматическое исправление распространенных проблем.

Обязанности клиента для узлов агента AKS Arc

Корпорация Майкрософт ежемесячно предоставляет исправления и новые образы для узлов с образами, но не устанавливает их автоматически. Чтобы поддерживать исправленные версии ОС узла агента и компонентов среды выполнения, следует придерживаться регулярного расписания обновления или автоматизировать установку пакетов обновлений.

Аналогичным образом AKS Arc регулярно выпускает новые патчи и минорные версии Kubernetes. Это относится к обновлениям, которые содержат улучшения системы безопасности или функциональности Kubernetes. Вы обязаны обновлять версию Kubernetes вашего кластера в соответствии с политикой поддерживаемых версий AKS Arc.

Пользовательская настройка узлов агента

Примечание.

Узлы агента AKS Arc отображаются в Hyper-V как обычные ресурсы виртуальных машин. Эти виртуальные машины развертываются с помощью пользовательского образа ОС и поддерживаются и управляются компонентами Kubernetes. Вы не можете изменить базовый образ ОС или выполнить прямые настройки для этих узлов с помощью API или ресурсов Hyper-V. Любые пользовательские изменения, которые не выполняются через API AKS-HCI, не сохраняются при обновлении, масштабировании, обновлении или перезагрузке и могут сделать кластер неподдерживаемым. Избегайте внесения изменений в узлы агента, если только служба поддержки Майкрософт не даст вам указание это сделать.

AKS Arc управляет жизненным циклом и операциями образов узлов агента от вашего имени. Изменение ресурсов, связанных с узлами агента, не поддерживается. Например, настройка параметров сети виртуальной машины путем ручного изменения конфигураций с помощью API Или средств Hyper-V не поддерживается.

Для конфигураций или пакетов, относящихся к рабочей нагрузке, следует использовать наборы управляющей программы Kubernetes.

При использовании привилегированных и init-контейнеров daemon sets Kubernetes можно настроить, изменить или установить стороннее программное обеспечение на узлах агента кластера. Например, можно добавить пользовательское программное обеспечение для проверки безопасности или обновить настройки sysctl. Хотя этот путь рекомендуется, если применяются предыдущие требования, инженерия AKS Arc и поддержка не могут помочь в устранении неполадок и диагностике изменений, которые делают узел недоступным из-за настраиваемого daemon set развертывания.

Проблемы с безопасностью и установка исправлений

Если ошибка безопасности обнаружена в одном или нескольких управляемых компонентах AKS Arc, команда AKS Arc исправляет все затронутые образы ОС, чтобы устранить проблему, и команда дает пользователям рекомендации по обновлению.

Для узлов агента, затронутых уязвимостью безопасности, корпорация Майкрософт уведомляет вас о влиянии и действиях по исправлению или смягчению проблемы безопасности. Как правило, шаги включают обновление образа узла или обновление патча кластера.

Обслуживание узлов и доступ к ним

Хотя вы можете войти и изменить узлы агента, эта операция не рекомендуется, так как изменения могут сделать кластер неподдерживаемым.

Сетевые порты, пулы IP-адресов и доступ

Параметры сети можно настраивать только с помощью определенных подсетей AKS Arc. Невозможно настроить параметры сети на уровне сетевого адаптера узлов агента. AKS Arc имеет требования к выходному трафику для конкретных конечных точек, чтобы контролировать выход и обеспечить необходимое подключение. Дополнительные сведения см. в статье о требованиях к системе AKS Arc.

Остановленные или отключенные кластеры

Как описано ранее, ручное удаление всех узлов кластера с помощью API, CLI или MMC Hyper-V делает кластер неподдерживаемым.

Кластеры, которые остановлены более 90 дней, больше не могут быть обновлены. Плоскости управления для кластеров в этом состоянии не поддерживаются через 30 дней, и они не могут быть обновлены до последней версии.

Кластер управления в AKS Arc должен иметь возможность подключаться к Azure через исходящий трафик HTTPS к известным конечным точкам Azure как минимум каждые 30 дней, чтобы поддерживать операции второго дня, такие как обновление и масштабирование пула узлов. Если кластер управления отключен в течение 30 дней, рабочие нагрузки продолжают выполняться и работать должным образом до тех пор, пока кластер управления и Windows Server повторно подключается и синхронизируется с Azure. После повторного подключения все операции дня 2 должны восстановиться и продолжить, как ожидалось.

Если кластер работает в Windows Server 2019 или Windows Server 2022, базовая платформа узлов не имеет 30-дневного требования к повторяющимся подключениям.

Примечание.

Начало и окончание 30-дневного периода может отличаться от срока действия в AKS Arc и Windows Server. Вручная остановка или отмена выделения всех узлов кластера через интерфейсы API/CLI/MMC Hyper-V на длительные периоды, превышающие 30 дней и выходящие за рамки регулярных процедур обслуживания, приводит к тому, что кластер утрачивает поддержку.

Удаленная или приостановленная подписка

Если подписка Azure приостановлена или удалена, кластеры AKS не поддерживаются через 60 дней, если подписка не будет восстановлена до достижения 60-дневного ограничения. Все остальные ограничения, описанные ранее, также применяются. После удаления подписки подключение кластера к Azure невозможно восстановить, и AKS Arc необходимо повторно развернуть, чтобы повторно подключиться к Azure.

Неподдерживаемые функции предварительной версии и бета-версии Kubernetes

AKS Arc поддерживает только стабильные и бета-версии функции в вышестоящем проекте Kubernetes. Если иное не описано, AKS Arc не поддерживает какие-либо предварительные версии функции, доступные в вышестоящем проекте Kubernetes.

Предварительные версии функций или флаги функций

Для функций и возможностей, которые требуют длительного тестирования и сбора отзывов пользователей, корпорация Майкрософт выпускает новые предварительные функции или функции, которые могут быть включены с помощью флажка функции. Рассмотрите эти предварительные функции или функции в бета-версии. Функции предварительной версии или функции с флагами не предназначены для производственной среды. Регулярные изменения интерфейсов API и поведения компонентов, исправления ошибок и другие изменения могут привести к нестабильной работе и простоям кластеров.

Функции в общедоступной предварительной версии получают поддержку "наилучших усилий", так как эти функции находятся в предварительной версии и не предназначены для рабочей среды. Эти функции поддерживаются только группами технической поддержки AKS Arc в рабочие часы. Для получения дополнительной информации, см. Часто задаваемые вопросы по поддержке Azure.

Ошибки и проблемы на ранних этапах разработки

Учитывая скорость разработки в вышестоящем проекте Kubernetes, ошибки неизбежны. Некоторые из этих ошибок не могут быть исправлены или обойдены в рамках системы AKS Arc. Вместо этого для исправления ошибок требуются более значительные исправления для вышестоящего проекта (такие как Kubernetes, операционные системы узлов или агентов, а также ядро). Для компонентов, принадлежащих Корпорации Майкрософт (например, поставщиков API кластера), сотрудники AKS Arc и Azure привержены устранению проблем в сообществе.

Если проблема технической поддержки вызвана одной или несколькими вышестоящими ошибками, группы поддержки AKS Arc и инженерные команды будут выполнять следующие действия:

  • Выявят и сопоставят вышестоящие ошибки с любыми дополнительными сведениями, которые помогут объяснить, почему эта проблема влияет на кластер или рабочую нагрузку. Клиенты получат ссылки на необходимые репозитории, чтобы они могли просмотреть проблемы и узнать, когда в новом выпуске будут предоставлены исправления.
  • Предоставьте возможные обходные пути или меры по снижению. Если проблему можно смягчить, известная проблема заявляется в репозитории AKS на Windows Server. Объяснение подачи отчёта о известных проблемах:
    • суть проблемы, включая ссылки на вышестоящее ошибки;
    • Обходное решение и сведения об обновлении или другом варианте решения.
    • приблизительные сроки включения проблемы в соответствии с графиком выпуска вышестоящего проекта.

Следующие шаги