Veelgestelde vragen over AKS

AKS biedt sla-garanties (Service Level Agreement) in de Prijscategorie Standard met de SLA-functie Uptime.

Platformondersteuning is een verminderd ondersteuningsplan voor niet-ondersteunde n-3-versieclusters. Platformondersteuning omvat alleen ondersteuning voor Azure-infrastructuur.

Zie het platformondersteuningsbeleid voor meer informatie.

Ja, AKS initieert automatische upgrades voor niet-ondersteunde clusters. Wanneer een cluster in een n-3-versie (waarbij n de meest recente ondersteunde secundaire AKS-versie is die algemeen beschikbaar is) op het punt staat om te worden verwijderd naar n-4, wordt het cluster automatisch bijgewerkt naar n-2 om in een AKS-ondersteuningsbeleid te blijven.

Zie Ondersteunde Kubernetes-versies, geplande onderhoudsvensters en automatische upgrades voor meer informatie.

AKS-agentknooppunten worden gefactureerd als standaard virtuele Azure-machines (VM's). Als u Azure-reserveringen hebt aangeschaft voor de VM-grootte die u in AKS gebruikt, worden deze kortingen automatisch toegepast.

Ja, AKS ondersteunt Windows Server-containers. Zie de veelgestelde vragen over Windows Server op AKS voor meer informatie.

AKS ondersteunt vier hoofdbesturingssystemen voor Linux, waaronder Ubuntu Linux, Azure Linux, Azure Linux OS Guard en Flatcar Container Linux voor AKS. Wanneer u opgeeft --os-type Linux tijdens het maken van een knooppuntgroep of het maken van een cluster, is het standaard besturingssysteem Ubuntu Linux.

Wanneer u AKS gebruikt --os-sku Ubuntu, wordt standaard Ubuntu 22.04 gebruikt in Kubernetes-versies 1.25-1.34. AKS is standaard ingesteld op Ubuntu 24.04 in Kubernetes-versies 1.35+. Bij gebruik --os-sku AzureLinuxwordt AKS standaard ingesteld op Azure Linux 3.0 in Kubernetes-versies 1.32+. In sommige scenario's, zoals FIPS-knooppuntgroepen, kan de standaardversie van het besturingssysteem verschillen. Zie knooppuntimages voor meer informatie.

Nee. Het verplaatsen van uw AKS-cluster tussen tenants wordt momenteel niet ondersteund.

Nee. Het verplaatsen van uw AKS-cluster tussen abonnementen wordt momenteel niet ondersteund.

Nee. Het verplaatsen of wijzigen van de naam van uw AKS-cluster en de bijbehorende resources wordt niet ondersteund.

Nee. U kunt het cluster niet herstellen nadat u het hebt verwijderd. Wanneer u uw cluster verwijdert, worden ook de knooppuntresourcegroep en alle bijbehorende resources verwijderd.

Als u een van uw resources wilt behouden, verplaatst u deze naar een andere resourcegroep voordat u het cluster verwijdert. Als u wilt beveiligen tegen onbedoelde verwijderingen, kunt u de beheerde AKS-resourcegroep vergrendelen die als host fungeert voor uw clusterresources met behulp van vergrendeling van knooppuntresourcegroepen.

U kunt een actief AKS-cluster volledig stoppen of alle of specifieke User knooppuntgroepen automatisch schalen naar nul.

U kunt systeemknooppuntgroepen niet rechtstreeks schalen naar nul.

Nee. Schaalbewerkingen die gebruikmaken van de API's van de virtuele-machineschaalset worden niet ondersteund. U kunt de AKS-API's (az aks scale) gebruiken.

Nee. Schaalbewerkingen die gebruikmaken van de API's van de virtuele-machineschaalset worden niet ondersteund. U kunt de AKS-API gebruiken om niet-systeemknooppuntgroepen te schalen naar nul of om uw cluster te stoppen .

Nee. Deze configuratie wordt niet ondersteund. Stop in plaats daarvan uw cluster .

AKS bouwt voort op veel Azure-infrastructuurbronnen, waaronder virtuele-machineschaalsets, virtuele netwerken en beheerde schijven. Met deze integraties kunt u veel van de kernmogelijkheden van het Azure-platform toepassen binnen de beheerde Kubernetes-omgeving die wordt geleverd door AKS. U kunt bijvoorbeeld de meeste Azure VM-typen rechtstreeks gebruiken met AKS en u kunt Azure-reserveringen gebruiken om automatisch kortingen op deze resources te ontvangen.

Als u deze architectuur wilt inschakelen, omvat elke AKS-implementatie twee resourcegroepen:

1. U maakt de eerste resourcegroep. Deze groep bevat alleen de Kubernetes-serviceresource. De AKS-resourceprovider maakt automatisch de tweede resourcegroep tijdens de implementatie. Een voorbeeld van de tweede resourcegroep is MC_myResourceGroup_myAKSCluster_eastus. Zie de volgende sectie voor informatie over het opgeven van de naam van deze tweede resourcegroep.
2. De tweede resourcegroep, ook wel de knooppuntresourcegroep genoemd, bevat alle infrastructuurresources die aan het cluster zijn gekoppeld. Deze resources omvatten de Kubernetes-knooppunt-VM's, virtuele netwerken en opslag. De resourcegroep van het knooppunt heeft standaard een naam zoals MC_myResourceGroup_myAKSCluster_eastus. AKS verwijdert automatisch de knooppuntresourcegroep wanneer u het cluster verwijdert. Gebruik deze resourcegroep alleen voor resources die de levenscyclus van het cluster delen.

AKS noemt standaard de resourcegroep van het knooppunt MC_resourcegroupname_clustername_location, maar u kunt uw eigen naam opgeven.

Als u de naam van uw eigen resourcegroep wilt opgeven, installeert u de Azure CLI-extensie aks-preview versie 0.3.2 of hoger. Wanneer u een AKS-cluster maakt met behulp van de az aks create opdracht, gebruikt u de --node-resource-group parameter en geeft u een naam op voor de resourcegroep. Als u een Azure Resource Manager-sjabloon gebruikt om een AKS-cluster te implementeren, kunt u de naam van de resourcegroep definiëren met behulp van de nodeResourceGroup eigenschap.

• De Azure-resourceprovider maakt automatisch de secundaire resourcegroep.
• U kunt alleen een aangepaste resourcegroepnaam opgeven wanneer u het cluster maakt.

Wanneer u met de knooppuntresourcegroep werkt, kunt u het volgende niet doen:

• Geef een bestaande resourcegroep op voor de knooppuntresourcegroep.
• Geef een ander abonnement op voor de knooppuntresourcegroep.
• Wijzig de naam van de knooppuntresourcegroep nadat u het cluster hebt gemaakt.
• Geef namen op voor de beheerde resources in de knooppuntresourcegroep.
• Door Azure gemaakte tags van beheerde resources in de knooppuntresourcegroep wijzigen of verwijderen.

Mogelijk krijgt u onverwachte schaal- en upgradefouten als u door Azure gemaakte tags en andere resource-eigenschappen in de knooppuntresourcegroep wijzigt of verwijdert. Met AKS kunt u aangepaste tags maken en wijzigen die door eindgebruikers zijn gemaakt en u kunt deze tags toevoegen wanneer u een knooppuntgroep maakt. U kunt aangepaste tags maken of wijzigen, bijvoorbeeld om een bedrijfseenheid of kostenplaats toe te wijzen. Een andere optie is om beleidsregels toe te passen en tags te wijzigen via de AKS-resource zelf, met name via het cluster en knooppuntgroepen.

Door Azure gemaakte tags worden gemaakt voor hun respectieve Azure-services en u moet ze altijd toestaan. Voor AKS zijn er de aks-managed en k8s-azure tags. Het wijzigen van door Azure gemaakte tags op resources onder de knooppuntresourcegroep in het AKS-cluster is een niet-ondersteunde actie die de serviceniveaudoelstelling (SLO) onderbreekt.

AKS gebruikt Helm om onderdelen aan uw cluster te leveren. U kunt voorafgegaan helm-releases veilig negeren aks-managed . Doorlopende revisies van deze Helm-releases worden verwacht en veilig.

Zie AKS-regio's en beschikbaarheid voor een volledige lijst met beschikbare regio's.

Nee. AKS-clusters zijn regionale resources en kunnen geen regio's omvatten. Zie de aanbevolen procedures voor bedrijfscontinuïteit en herstel na noodgevallen voor hulp bij het maken van een architectuur met meerdere regio's.

Ja, u kunt een AKS-cluster implementeren in een of meer beschikbaarheidszones in regio's die deze ondersteunen.

Ja, u kunt verschillende VM-grootten in uw AKS-cluster gebruiken door meerdere knooppuntgroepen te maken.

AKS stelt geen limiet in voor de grootte van de containerinstallatiekopieën. Maar hoe groter de afbeelding, hoe hoger de geheugenvraag. Een grotere grootte kan mogelijk de resourcelimieten overschrijden of het totale beschikbare geheugen van werkknooppunten. Standaard is geheugen voor VM-grootte Standard_DS2_v2 voor een AKS-cluster ingesteld op 7 GiB.

Wanneer een containerinstallatiekopie te groot is, zoals in het terabyte -bereik (TB), kan de kubelet deze mogelijk niet ophalen uit uw containerregister naar een knooppunt vanwege het gebrek aan schijfruimte.

Voor Windows Server-knooppunten wordt Windows Update niet automatisch uitgevoerd en worden de meest recente updates toegepast. U moet een upgrade uitvoeren op het cluster en de Windows Server-knooppuntgroepen in uw AKS-cluster. Volg een regelmatig schema op basis van de releasecyclus van Windows Update en uw eigen validatieproces. Met dit upgradeproces worden knooppunten gemaakt waarop de meest recente Windows Server-installatiekopieën en patches worden uitgevoerd en worden vervolgens de oudere knooppunten verwijderd. Zie Een knooppuntgroep upgraden in AKS voor meer informatie over dit proces.

De volgende installatiekopieën hebben functionele vereisten om als hoofdmap te worden uitgevoerd en uitzonderingen moeten worden opgeslagen voor elk beleid:

• mcr.microsoft.com/oss/kubernetes/coredns
• mcr.microsoft.com/azuremonitor/containerinsights/ciprod
• mcr.microsoft.com/oss/calico/node
• mcr.microsoft.com/oss/kubernetes-csi/azuredisk-csi

Ja, er zijn twee opties voor het beperken van de toegang tot de API-server:

• Gebruik geautoriseerde IP-bereiken van de API-server als u een openbaar eindpunt voor de API-server wilt onderhouden, maar de toegang tot een set vertrouwde IP-bereiken wilt beperken.
• Gebruik een privécluster als u wilt beperken dat de API-server alleen toegankelijk is vanuit uw virtuele netwerk.

AKS patches CV's die elke week een oplossing voor een leverancier hebben. CV's zonder een oplossing wachten op een oplossing van een leverancier voordat ze kunnen worden hersteld. De AKS-installatiekopieën worden binnen 30 dagen automatisch bijgewerkt. U wordt aangeraden een bijgewerkte knooppuntinstallatiekopie regelmatig toe te passen om ervoor te zorgen dat de meest recente patchinstallatiekopieën en patches voor het besturingssysteem allemaal worden toegepast en actueel zijn. U kunt deze taak uitvoeren:

• Handmatig, via De Azure-portal of de Azure CLI.
• Door uw AKS-cluster te upgraden. Het cluster werkt cordon- en drain-knooppunten automatisch bij. Vervolgens wordt een nieuw knooppunt online gebracht met de nieuwste Ubuntu-installatiekopie en een nieuwe patchversie of een secundaire Kubernetes-versie. Zie Een AKS-cluster upgraden voor meer informatie.
• Door een upgrade van een knooppuntinstallatiekopieën te gebruiken.

Microsoft biedt richtlijnen voor andere acties die u kunt ondernemen om uw workloads te beveiligen via services zoals Microsoft Defender for Containers. Zie Nieuwe grootschalige campagnedoelen voor Kubeflow (8 juni 2021) voor informatie over een beveiligingsrisico met betrekking tot AKS en Kubernetes.

Nee. Alle gegevens worden opgeslagen in de regio van het cluster.

Als uw pod traditioneel wordt uitgevoerd als een niet-basisgebruiker (wat het moet), moet u een fsGroup parameter opgeven binnen de beveiligingscontext van de pod, zodat het volume door de pod kan worden gelezen en beschrijfbaar. Zie Een beveiligingscontext configureren voor een pod of container voor meer informatie over deze vereiste.

Een neveneffect van het instellen fsGroup is dat telkens wanneer een volume wordt gekoppeld, Kubernetes de chown() en chmod() opdrachten recursief moet gebruiken voor alle bestanden en mappen in het volume (met een paar uitzonderingen). Dit scenario gebeurt zelfs als het groepseigendom van het volume al overeenkomt met de aangevraagde fsGroup parameter. Deze configuratie kan duur zijn voor grotere volumes met veel kleine bestanden, waardoor het opstarten van pods lang kan duren. Dit scenario was een bekend probleem vóór v1.20. De tijdelijke oplossing is het instellen van de pod die als hoofdmap moet worden uitgevoerd:

apiVersion: v1
kind: Pod
metadata:
  name: security-context-demo
spec:
  securityContext:
    runAsUser: 0
    fsGroup: 0

Het probleem is opgelost met Kubernetes versie 1.20. Zie Kubernetes 1.20 voor meer informatie: Gedetailleerde controle over wijzigingen in volumemachtigingen.

AKS maakt gebruik van een beveiligde tunnelcommunicatie om de api-server kubelets voor afzonderlijke knooppunten te laten communiceren, zelfs op afzonderlijke virtuele netwerken. De tunnel wordt beveiligd via wederzijdse Transport Layer Security-versleuteling. De huidige hoofdtunnel die AKS gebruikt , is Konnectivity, voorheen bekend als apiserver-network-proxy. Controleer of alle netwerkregels voldoen aan de vereiste netwerkregels en FQDN's (Fully Qualified Domain Names).

Ja, u kunt de aantekening kubernetes.azure.com/set-kube-service-host-fqdn toevoegen aan pods om de KUBERNETES_SERVICE_HOST variabele in te stellen op de domeinnaam van de API-server in plaats van het IP-adres van de in-clusterservice. Deze wijziging is handig in gevallen waarin het uitgaand verkeer van uw cluster wordt uitgevoerd via een firewall van laag 7. Een voorbeeld is wanneer u Azure Firewall gebruikt met toepassingsregels.

AKS past geen netwerkbeveiligingsgroepen (NSG's) toe op het subnet en wijzigt geen NSG's die aan dat subnet zijn gekoppeld. AKS wijzigt alleen de netwerkinterface NSG-instellingen. Als u CNI (Container Network Interface) gebruikt, moet u er ook voor zorgen dat de beveiligingsregels in de NSG's verkeer toestaan tussen het knooppunt en de CIDR-bereiken (classless interdomain routing). Als u kubenet gebruikt, moet u er ook voor zorgen dat de beveiligingsregels in de NSG's verkeer toestaan tussen het knooppunt en de CIDR van de pod. Zie Netwerkbeveiligingsgroepen voor meer informatie.

AKS-knooppunten voeren de chrony-service uit, die tijd ophaalt van de lokale host. Containers die worden uitgevoerd op pods krijgen de tijd van de AKS-knooppunten. Toepassingen die in een container worden geopend, gebruiken tijd uit de container van de pod.

Nee. AKS is een beheerde service. Manipulatie van iaaS-resources (Infrastructure as a Service) wordt niet ondersteund. Als u aangepaste onderdelen wilt installeren, gebruikt u de Kubernetes-API's en mechanismen. Gebruik bijvoorbeeld DaemonSets om vereiste onderdelen te installeren.

AKS ondersteunt de volgende toegangscontrollers:

• NamespaceLifecycle
• LimitRanger
• ServiceAccount
• DefaultIngressClass
• DefaultStorageClass
• DefaultTolerationSeconds
• MutatingAdmissionWebhook
• ValidatingAdmissionWebhook
• ResourceQuota
• PodNodeSelector
• PodTolerationRestriction
• ExtendedResourceToleration

Op dit moment kunt u de lijst met toegangscontrollers in AKS niet wijzigen.

Ja, u kunt toegangscontrollerwebhooks op AKS gebruiken. U wordt aangeraden interne AKS-naamruimten uit te sluiten, die zijn gemarkeerd met het control-plane label. Voorbeeld:

namespaceSelector:
    matchExpressions:
    - key: control-plane
      operator: DoesNotExist

AKS-firewalls die de API-server uitgaan, zodat de webhooks van de toegangscontroller toegankelijk moeten zijn vanuit het cluster.

Om de stabiliteit van het systeem te beschermen en te voorkomen dat aangepaste toegangscontrollers van invloed zijn op interne services in de kube-system naamruimte, heeft AKS een toegangsafdwinger, die automatisch wordt uitgesloten kube-system en interne AKS-naamruimten. Deze service zorgt ervoor dat de aangepaste toegangscontrollers geen invloed hebben op de services die worden uitgevoerd.kube-system

Als u een kritieke use-case hebt voor het implementeren van iets op kube-system (niet aanbevolen) ter ondersteuning van uw aangepaste toegangswebhook, kunt u het volgende label of de volgende aantekening toevoegen, zodat de toegangsafdwinger dit negeert:

• Etiket: "admissions.enforcer/disabled": "true"
• Aantekening: "admissions.enforcer/disabled": true

Azure Key Vault-provider voor Secrets Store CSI Driver biedt systeemeigen integratie van Azure Key Vault in AKS.

Knooppunten die zijn ingeschakeld met Federal Information Processing Standards (FIPS) worden nu ondersteund in linux-knooppuntgroepen. Zie Een FIPS-knooppuntgroep toevoegen voor meer informatie.

Elke patch, inclusief een beveiligingspatch, wordt automatisch toegepast op het AKS-cluster. Alles wat groter is dan een patch, zoals wijzigingen in de primaire of secundaire versie (die belangrijke wijzigingen in uw geïmplementeerde objecten kunnen hebben), worden bijgewerkt wanneer u uw cluster bijwerkt als er een nieuwe release beschikbaar is. Zie de opmerkingen bij de AKS-release voor informatie over wanneer er een nieuwe release beschikbaar is.

De AKS Linux-extensie is een Azure VM-extensie waarmee bewakingshulpprogramma's op Kubernetes-werkknooppunten worden geïnstalleerd en geconfigureerd. De extensie wordt geïnstalleerd op alle nieuwe en bestaande Linux-knooppunten. Hiermee configureert u de volgende bewakingshulpprogramma's:

• Knooppuntexporteur: verzamelt hardwaretelemetrie van de virtuele machine en maakt deze beschikbaar met behulp van een eindpunt voor metrische gegevens. Vervolgens kan een bewakingsprogramma, zoals Prometheus, deze metrische gegevens schrooten.
• Node-problem-detector: is bedoeld om verschillende knooppuntproblemen zichtbaar te maken voor upstream-lagen in de clusterbeheerstack. Het is een systeemeenheid die op elk knooppunt wordt uitgevoerd, knooppuntproblemen detecteert en deze rapporteert aan de API-server van het cluster met behulp van Events en NodeConditions.
• ig: Is een opensource-framework met eBPF voor foutopsporing en het observeren van Linux- en Kubernetes-systemen. Het biedt een set hulpprogramma's (of gadgets) die relevante informatie verzamelen die gebruikers kunnen gebruiken om de oorzaak van prestatieproblemen, crashes of andere afwijkingen te identificeren. Met name de onafhankelijkheid van Kubernetes stelt gebruikers in staat om het ook te gebruiken voor foutopsporing van besturingsvlakproblemen.

Deze hulpprogramma's helpen bij het observeren van veel problemen met betrekking tot knooppuntstatussen, zoals:

• Problemen met infrastructuurdemon: NTP-service is offline
• Hardwareproblemen: Ongeldige CPU, geheugen of schijf
• Kernelproblemen: Kernel impasse, beschadigd bestandssysteem
• Problemen met containerruntime: Niet-reagerende runtime-daemon

De extensie vereist geen extra uitgaande toegang tot URL's, IP-adressen of poorten buiten de gedocumenteerde AKS-vereisten voor uitgaand verkeer. Er zijn geen speciale machtigingen vereist die zijn verleend in Azure. Het gebruikt kubeconfig om verbinding te maken met de API-server om de verzamelde bewakingsgegevens te verzenden.

De meeste clusters worden verwijderd op verzoek van de gebruiker. In sommige gevallen, met name wanneer u uw eigen resourcegroep gebruikt of taken voor meerdere resourcegroepen uitvoert, kan het verwijderen langer duren of zelfs mislukken. Als u een probleem hebt met verwijderingen, controleert u of u geen vergrendelingen voor de resourcegroep hebt. Zorg er ook voor dat alle resources buiten de resourcegroep worden ontkoppeld van de resourcegroep.

Als u problemen ondervindt met het maken en bijwerken van clusters, moet u ervoor zorgen dat u geen toegewezen beleidsregels of servicebeperkingen hebt die het beheer van resources zoals VM's, load balancers of tags mogelijk blokkeren voor uw AKS-cluster.

Dat kan, maar we raden het niet aan. Updates uitvoeren wanneer de status van het cluster bekend en in orde is.

Nee. Verwijder of verwijder knooppunten met de status Mislukt of anderszins uit het cluster voordat u een upgrade uitvoert.

Deze fout treedt meestal op als u een of meer NSG's hebt die nog steeds aan het cluster zijn gekoppeld. Verwijder ze en probeer het cluster opnieuw te verwijderen.

Controleer of uw service-principal niet is verlopen. Zie AKS-service-principal en AKS-updatereferenties voor meer informatie.

Controleer of uw service-principal niet is verlopen. Zie AKS-service-principal en AKS-updatereferenties voor meer informatie.

Ubuntu 16.04 en Ubuntu 18.04 worden niet meer ondersteund op AKS. Vanaf 17 maart 2027 biedt AKS geen ondersteuning meer voor Ubuntu 20.04. Zie Buitengebruikstelling: Ubuntu 20.04-knooppuntgroepen op AKS voor meer informatie over deze buitengebruikstelling.

Vanaf 1 maart 2026 biedt AKS geen ondersteuning meer voor Windows Server 2019-knooppuntgroepen. Kubernetes-versies 1.33+ kunnen Windows Server 2019 niet gebruiken. Zie Uitfasering: Windows Server 2019-knooppuntgroepen in AKS voor meer informatie over dit beëindigen. Vanaf 15 maart 2027 biedt AKS geen ondersteuning meer voor Windows Server 2022-knooppuntgroepen. Kubernetes-versies 1.36+ kunnen Windows Server 2022 niet gebruiken. Zie Buitengebruikstelling: Windows Server 2022-knooppuntgroepen op AKS voor meer informatie over deze buitengebruikstelling.