Udostępnij przez

Automatyczna aktualizacja obrazów systemu operacyjnego węzłów

Wdrażanie i eksplorowanie

Usługa AKS udostępnia wiele kanałów automatycznych aktualizacji dedykowanych do terminowych aktualizacji zabezpieczeń systemu operacyjnego na poziomie węzłów. Ten kanał różni się od uaktualnień wersji platformy Kubernetes na poziomie klastra i zastępuje go.

Ważne

Od 30 listopada 2025 r. usługa Azure Kubernetes Service (AKS) nie obsługuje już ani nie zapewnia aktualizacji zabezpieczeń dla systemu Azure Linux 2.0. Obraz węzła systemu Linux 2.0 platformy Azure został zamrożony w wersji 202512.06.0. Od 31 marca 2026 r. obrazy węzłów zostaną usunięte i nie będzie można skalować pul węzłów. Przeprowadź migrację do obsługiwanej wersji systemu Linux platformy Azure, uaktualniając pule węzłów do obsługiwanej wersji rozwiązania Kubernetes lub migrując do systemu osSku AzureLinux3. Aby uzyskać więcej informacji, zobacz [Wycofywanie] pul węzłów Azure Linux 2.0 w usłudze AKS.

Interakcje między automatycznym skalowaniem systemu operacyjnego węzła a automatycznym skalowaniem klastra

Aktualizacje zabezpieczeń systemu operacyjnego na poziomie węzła są wydawane szybciej niż aktualizacje poprawki platformy Kubernetes lub aktualizacje wersji pomocniczej. Kanał automatycznego aktualizowania systemu operacyjnego węzła zapewnia elastyczność i umożliwia dostosowaną strategię aktualizacji zabezpieczeń systemu operacyjnego na poziomie węzła. Następnie możesz wybrać oddzielny plan automatycznych aktualizacji wersji Kubernetes na poziomie klastra. Najlepiej jest używać zarówno automatycznych aktualizacji na poziomie klastra, jak i kanału automatycznych aktualizacji systemu operacyjnego węzła. Planowanie można precyzyjnie dostosować, stosując dwa oddzielne zestawy okien konserwacji dla kanału automatycznej aktualizacji klastra oraz dla kanału automatycznej aktualizacji systemu operacyjnego węzła.

Kanały uaktualnień obrazu systemu operacyjnego węzła

Wybrany kanał określa czas uaktualniania. Podczas wprowadzania zmian w kanałach automatycznego uaktualniania systemu operacyjnego węzła zmiany mogą obowiązywać do 24 godzin.

Uwaga

  • Automatyczna aktualizacja obrazu systemu operacyjnego Node nie wpływa na wersję Kubernetes przypisaną do klastra.
  • Począwszy od wersji interfejsu API 2023-06-01, domyślna wartość dla każdego nowego klastra AKS to NodeImage.

Zmiany w kanałach systemu operacyjnego Node, które powodują ponowne instalowanie systemu.

Następujące przejścia kanału systemu operacyjnego spowodują ponowne uruchomienie obrazu na węzłach:

Źródło Do
Niezarządzany Żaden
Nieokreślony Niezarządzany
ZabezpieczeniaPatch Niezarządzany
NodeImage Niezarządzany
Żaden Niezarządzany

Dostępne kanały uaktualniania systemu operacyjnego węzła

Dostępne są następujące kanały uaktualniania. Możesz wybrać jedną z następujących opcji:

Kanał opis Zachowanie specyficzne dla systemu operacyjnego
None Węzły nie mają automatycznie zastosowanych aktualizacji zabezpieczeń. Oznacza to, że ponosisz wyłączną odpowiedzialność za aktualizacje zabezpieczeń. Nie dotyczy
Unmanaged Wbudowana infrastruktura stosowania poprawek systemu operacyjnego automatycznie stosuje aktualizacje systemu operacyjnego. Nowo przydzielone maszyny są początkowo niezaporządkowane. Infrastruktura systemu operacyjnego poprawia je w pewnym momencie. Systemy Ubuntu i Azure Linux (pule węzłów procesora CPU) stosują poprawki zabezpieczeń za pośrednictwem nienadzorowanego uaktualnienia/systemu dnf-automatic mniej więcej raz dziennie około 06:00 UTC. System Windows nie stosuje automatycznie poprawek zabezpieczeń, więc ta opcja działa równoważne z None. Musisz zarządzać procesem ponownego uruchamiania przy użyciu narzędzia takiego jak kured. System Azure Linux z funkcją OS Guard w usłudze AKS nie obsługuje Unmanaged.
SecurityPatch Poprawki zabezpieczeń systemu operacyjnego, które są testowane przez usługę AKS, w pełni zarządzane i stosowane przy użyciu bezpiecznych praktyk wdrażania. Usługa AKS regularnie aktualizuje wirtualny dysk twardy węzła przy użyciu poprawek z osoby odpowiedzialnej za obraz oznaczony jako "tylko zabezpieczenia". Mogą wystąpić zakłócenia, gdy poprawki zabezpieczeń są stosowane do węzłów. Jednak usługa AKS ogranicza zakłócenia tylko przez ponowne wyobrażanie węzłów tylko wtedy, gdy jest to konieczne, na przykład w przypadku niektórych pakietów zabezpieczeń jądra. Po zastosowaniu poprawek dysk VHD jest aktualizowany, a istniejące maszyny są uaktualniane do tego dysku VHD, honorując okna obsługi i ustawienia przepięcia. Jeśli usługa AKS zdecyduje, że ponowne tworzenie węzłów nie jest konieczne, poprawia węzły na żywo bez opróżniania zasobników i nie przeprowadza aktualizacji wirtualnego dysku twardego. Ta opcja wiąże się z dodatkowymi kosztami hostowania dysków VHD w grupie zasobów węzła. Jeśli używasz tego kanału, uaktualnienia nienadzorowane systemu Linux są domyślnie wyłączone. System Azure Linux nie obsługuje tego kanału na maszynach wirtualnych z obsługą procesora GPU. SecurityPatch działa w wersjach poprawek kubernetes, które są przestarzałe, tak długo, jak wersja pomocnicza Kubernetes jest nadal obsługiwana. System Flatcar Container Linux dla usług AKS i Azure Linux z funkcją OS Guard w usłudze AKS nie obsługuje usługi SecurityPatch.
NodeImage Usługa AKS aktualizuje węzły przy użyciu nowo poprawionego wirtualnego dysku twardego zawierającego poprawki zabezpieczeń i poprawki błędów co tydzień. Aktualizacja nowego dysku VHD jest destrukcyjna, zgodnie z ustawieniami okien konserwacji i przepięcia. Podczas wybierania tej opcji nie są naliczane żadne dodatkowe koszty dysku VHD. Jeśli używasz tego kanału, uaktualnienia nienadzorowane systemu Linux są domyślnie wyłączone. Uaktualnienia obrazów węzłów są obsługiwane, o ile wersja Kubernetes klastra jest nadal wspierana. Obrazy węzłów są testowane przez usługę AKS, w pełni zarządzane i stosowane przy użyciu bezpiecznych praktyk wdrażania.

Co wybrać — kanał SecurityPatch czy kanał NodeImage?

Istnieją dwie ważne kwestie, które należy wziąć pod uwagę, aby wybrać między kanałami SecurityPatch lub NodeImage .

Majątek NodeImage Channel Kanał poprawek zabezpieczeń Zalecany kanał
Speed of shipping Typowy czas kompilacji, testowania, wydania i wdrożenia nowego VHD może wynosić około dwóch tygodni przy zachowaniu bezpiecznych praktyk wdrożeniowych. Chociaż w przypadku CVE, przyspieszone wdrożenia mogą wystąpić w zależności od przypadku. Dokładny czas trafienia nowego wirtualnego dysku twardego do regionu można monitorować za pośrednictwem monitora wydań. Wersje zabezpieczeńPatch są stosunkowo szybsze niż NodeImage, nawet w przypadku bezpiecznych rozwiązań wdrażania. SecurityPatch ma zaletę "stosowania poprawek w czasie rzeczywistym" w środowiskach systemu Linux, gdzie stosowanie poprawek prowadzi do selektywnego "ponownego obrazowania" i nie jest tworzony od nowa za każdym razem, gdy poprawka zostanie zastosowana. Ponownie obraz, jeśli tak się stanie, jest kontrolowany przez okna obsługi. SecurityPatch
Bugfixes Zawiera poprawki błędów oprócz poprawek zabezpieczeń. Ściśle niesie ze sobą tylko poprawki zabezpieczeń. NodeImage

Ustawianie kanału automatycznego skalowania systemu operacyjnego węzła w nowym klastrze

  • Ustaw kanał automatycznego skalowania systemu operacyjnego węzła w nowym klastrze przy użyciu az aks create polecenia z parametrem --node-os-upgrade-channel . Poniższy przykład ustawia kanał automatycznego skalowania systemu operacyjnego węzła na SecurityPatchwartość .
export RANDOM_SUFFIX=$(openssl rand -hex 3)
export RESOURCE_GROUP="myResourceGroup$RANDOM_SUFFIX"
export AKS_CLUSTER="myAKSCluster$RANDOM_SUFFIX"
az aks create \
    --resource-group $RESOURCE_GROUP \
    --name $AKS_CLUSTER \
    --node-os-upgrade-channel SecurityPatch \
    --generate-ssh-keys

Ustaw kanał automatycznej aktualizacji systemu operacyjnego węzła w istniejącym klastrze

  • Ustaw kanał automatycznego skalowania systemu operacyjnego węzła w istniejącym klastrze przy użyciu az aks update polecenia z parametrem --node-os-upgrade-channel . Poniższy przykład ustawia kanał automatycznego skalowania systemu operacyjnego węzła na SecurityPatchwartość .
az aks update --resource-group $RESOURCE_GROUP --name $AKS_CLUSTER --node-os-upgrade-channel SecurityPatch

Wyniki:

{
  "autoUpgradeProfile": {
      "nodeOsUpgradeChannel": "SecurityPatch"
  }
}

Aktualizowanie własności i harmonogramu

Domyślna kadencja oznacza, że nie zastosowano zaplanowanego okna obsługi.

Kanał Aktualizuje własność Domyślna kadencja
Unmanaged Aktualizacje zabezpieczeń oparte na systemie operacyjnym. Usługa AKS nie ma kontroli nad tymi aktualizacjami. Nocą około 6:00 czasu UTC dla systemów Ubuntu i Azure Linux. Co miesiąc dla systemu Windows.
SecurityPatch Usługa AKS została przetestowana, w pełni zarządzana i zastosowana przy użyciu bezpiecznych praktyk wdrażania. Aby uzyskać więcej informacji, zobacz Zwiększenie bezpieczeństwa i odporności obciążeń kanonicznych na platformie Azure. Zazwyczaj szybciej niż co tydzień, aKS określał cykl.
NodeImage Usługa AKS została przetestowana, w pełni zarządzana i zastosowana przy użyciu bezpiecznych praktyk wdrażania. Aby uzyskać więcej informacji o wydaniach w czasie rzeczywistym, wyszukaj obrazy węzłów usługi AKS w monitorze wersji Tygodniowy.

Uwaga

Chociaż aktualizacje zabezpieczeń systemu Windows są wydawane co miesiąc, korzystanie z kanału Unmanaged nie spowoduje automatycznego zastosowania tych aktualizacji do węzłów systemu Windows. Jeśli wybierzesz kanał, musisz zarządzać procesem ponownego uruchamiania Unmanaged węzłów systemu Windows.

Znane ograniczenia kanału węzła

  • Obecnie, gdy ustawisz kanał automatycznego aktualizowania klastra na node-image, to automatycznie ustawia kanał automatycznego aktualizowania systemu operacyjnego węzła na NodeImage. Nie można zmienić wartości kanału automatycznego zwiększania poziomu systemu operacyjnego węzła, jeśli kanał automatycznego zwiększania poziomu klastra to node-image. Aby ustawić wartość kanału automatycznej aktualizacji systemu operacyjnego węzła, sprawdź, czy wartość kanału automatycznej aktualizacji klastra nie jest node-image.

  • Kanał SecurityPatch nie jest obsługiwany w pulach węzłów systemu operacyjnego Windows.

Uwaga

Użyj interfejsu wiersza polecenia w wersji 2.61.0 lub nowszej dla kanału SecurityPatch .

Okna planowanej konserwacji systemu operacyjnego węzła

Planowana konserwacja autoupgrade'u systemu operacyjnego węzła rozpoczyna się w określonym przez użytkownika oknie konserwacyjnym.

Uwaga

Aby zapewnić właściwą funkcjonalność, użyj okna obsługi trwającego co najmniej cztery godziny.

Aby uzyskać więcej informacji na temat planowanej konserwacji, zobacz Planowanie okien obsługi klastra usługi Azure Kubernetes Service (AKS) przy użyciu planowanej konserwacji.

Automatyczne skalowanie systemu operacyjnego Node — często zadawane pytania

Jak sprawdzić bieżącą wartość nodeOsUpgradeChannel w klastrze?

az aks show Uruchom polecenie i sprawdź wartość "autoUpgradeProfile", aby określić wartość ustawioną nodeOsUpgradeChannel na:

az aks show --resource-group $RESOURCE_GROUP --name $AKS_CLUSTER --query "autoUpgradeProfile"

Wyniki:

{
  "nodeOsUpgradeChannel": "SecurityPatch"
}

Jak mogę monitorować stan autougradacji systemu operacyjnego węzła?

Aby wyświetlić stan automatycznych uaktualnień systemu operacyjnego węzła, wyszukaj dzienniki aktywności w klastrze. Możesz również wyszukać określone zdarzenia związane z uaktualnieniem, jak wspomniano w temacie Uaktualnianie klastra usługi AKS. Usługa AKS emituje również zdarzenia usługi Event Grid związane z uaktualnieniem. Aby dowiedzieć się więcej, zobacz AKS jako źródło usługi Event Grid.

Czy mogę zmienić wartość kanału automatycznej aktualizacji systemu operacyjnego węzła, jeśli mój kanał automatycznej aktualizacji klastra jest ustawiony na node-image?

L.p. Obecnie, gdy ustawisz kanał automatycznego aktualizowania klastra na node-image, to automatycznie ustawia kanał automatycznego aktualizowania systemu operacyjnego węzła na NodeImage. Nie można zmienić wartości kanału automatycznej aktualizacji systemu operacyjnego węzła, jeżeli kanał automatycznej aktualizacji klastra to node-image. Aby móc zmienić wartości kanału automatycznej aktualizacji systemu operacyjnego węzła, upewnij się, że kanał automatycznej aktualizacji klastra nie jest node-image.

Unmanaged W kanale usługa AKS nie ma kontroli nad sposobem i czasem dostarczania aktualizacji zabezpieczeń. Dzięki SecurityPatchprogramowi aktualizacje zabezpieczeń są w pełni przetestowane i są zgodne z bezpiecznymi rozwiązaniami wdrażania. SecurityPatch honoruje również okna obsługi. Aby uzyskać więcej informacji, zobacz Zwiększenie bezpieczeństwa i odporności obciążeń kanonicznych na platformie Azure.

Czy SecurityPatch zawsze prowadzi do odtworzenia obrazu moich węzłów?

Usługa AKS ogranicza przeładowanie obrazu tylko w razie konieczności, takich jak niektóre pakiety jądra, które mogą wymagać ponownego załadowania obrazu w celu pełnego zastosowania. SecurityPatch program jest zaprojektowany tak, aby zminimalizować zakłócenia tak bardzo, jak to możliwe. Jeśli usługa AKS uzna, że zmiana wizerunku węzłów nie jest konieczna, aktualizuje węzły na żywo bez opróżniania podów, i w takich przypadkach nie wykonuje się aktualizacji VHD.

SecurityPatch Dlaczego kanał wymaga osiągnięcia snapshot.ubuntu.com punktu końcowego?

Dzięki kanałowi SecurityPatch węzły klastra systemu Linux muszą pobrać wymagane poprawki zabezpieczeń i aktualizacje z usługi migawki systemu Ubuntu opisanej w temacie ubuntu-snapshots-on-azure-ensuring-predictability-and-consistency-in-cloud-deployments.The channel (Węzły klastra systemu Linux muszą pobrać wymagane poprawki zabezpieczeń i aktualizacje z usługi migawki ubuntu opisanej w temacie ubuntu-snapshots-on-azure-ensuring-predictability-and-consistency-in-cloud-deployments).

Jak mogę wiedzieć, czy na SecurityPatch moim węźle zastosowano uaktualnienie lub NodeImage czy?

Uruchom polecenie , kubectl get nodes --show-labels aby wyświetlić listę węzłów w klastrze i ich etykietach.

Wśród zwróconych etykiet powinien zostać wyświetlony wiersz podobny do następujących danych wyjściowych:

kubernetes.azure.com/node-image-version=AKSUbuntu-2204gen2containerd-202410.27.0-2024.12.01

W tym miejscu wersja obrazu węzła podstawowego to AKSUbuntu-2204gen2containerd-202410.27.0. Jeśli ma to zastosowanie, zwykle następuje wersja poprawki zabezpieczeń. W powyższym przykładzie jest to 2024.12.01.

Te same szczegóły można również wyszukać w witrynie Azure Portal w widoku etykiety węzła:

Zrzut ekranu przedstawiający stronę węzłów klastra usługi AKS w witrynie Azure Portal. Etykieta wersji obrazu węzła wyraźnie pokazuje obraz węzła podstawowego i najnowszą zastosowaną datę poprawki zabezpieczeń.

Następne kroki

Szczegółowe omówienie najlepszych rozwiązań dotyczących uaktualniania i innych zagadnień można znaleźć w artykule AKS patch and upgrade guidance (Wskazówki dotyczące poprawek i uaktualniania usługi AKS).

  • Last updated on