Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Platforma Azure Linux z funkcją OS Guard dostarcza aktualizacje za pośrednictwem zaktualizowanych obrazów węzłów i automatycznych aktualizacji pakietów. W ramach cyklu życia aplikacji i klastra zalecamy aktualizowanie i zabezpieczanie klastrów przez włączenie uaktualnień dla klastra. Możesz włączyć automatyczne aktualizacje obrazów węzłów, aby upewnić się, że klastry korzystają z najnowszego Azure Linux z obrazem OS Guard podczas zwiększania skali. Możesz również ręcznie uaktualnić obraz węzła w klastrze.
W tym samouczku, piąta z pięciu części, dowiesz się, jak:
- Ręcznie uaktualnij obraz węzła w klastrze.
- Automatyczne uaktualnianie systemu Linux platformy Azure za pomocą klastra OS Guard.
- Wdrażanie platformy Kured w systemie Linux platformy Azure przy użyciu klastra OS Guard.
Uwaga / Notatka
Każda operacja uaktualniania, wykonywana ręcznie lub automatycznie, uaktualnia wersję obrazu węzła, jeśli nie jest jeszcze w najnowszej wersji. Najnowsza wersja jest zależna od pełnej wersji usługi AKS i można ją określić, odwiedzając monitor wersji usługi AKS.
Wymagania wstępne
- W poprzednich samouczkach utworzono i wdrożono system Azure Linux z klastrem OS Guard. Do ukończenia tego samouczka potrzebny jest istniejący klaster. Jeśli ten krok nie został ukończony i chcesz wykonać te czynności, zobacz Samouczek 1: tworzenie klastra z systemem Linux platformy Azure za pomocą funkcji OS Guard dla usługi AKS.
- Potrzebna jest najnowsza wersja interfejsu wiersza polecenia platformy Azure. Użyj polecenia ,
az versionaby znaleźć wersję. Aby przeprowadzić uaktualnienie do najnowszej wersji, użyjaz upgradepolecenia .
Ręczna aktualizacja klastra
Ręcznie uaktualnij obraz węzła w klastrze przy użyciu az aks nodepool ugprade polecenia .
az aks nodepool upgrade --resource-group $RESOURCE_GROUP --cluster-name $CLUSTER_NAME --name $NODEPOOL_NAME
Automatyczne aktualizowanie klastra
Automatyczne uaktualnienia oferują zasadę "ustaw raz, zapomnij", co przynosi korzyści w zakresie oszczędności czasu oraz kosztów operacyjnych, zapewniając, że klastry są zawsze aktualne i nie ominą najnowszej wersji systemu Azure Linux z funkcjami OS Guard ani poprawek pochodzących z usługi AKS i samego Kubernetes.
Automatyczne uaktualnienia są funkcjonalnie takie same jak uaktualnienia ręczne. Wybrany kanał określa czas uaktualniania. Podczas wprowadzania zmian w automatycznym uaktualnieniu, poczekaj 24 godziny, aby zmiany weszły w życie.
Ustaw kanał automatycznego uaktualniania w istniejącym klastrze przy użyciu az aks update polecenia z parametrem --auto-upgrade-channel .
az aks update --resource-group $RESOURCE_GROUP --name $CLUSTER_NAME --auto-upgrade-channel stable
Przykładowy wynik:
{
"id": "/subscriptions/xxxxx/resourceGroups/testAzureLinuxResourceGroup",
"location": "WestUS2",
"name": "testAzureLinuxCluster",
"properties": {
"autoUpgradeChannel": "stable",
"provisioningState": "Succeeded"
}
}
Aby uzyskać więcej informacji na temat kanałów aktualizacji, zobacz Automatyczne aktualizowanie klastra.
Automatyczne uaktualnianie obrazu systemu operacyjnego węzła
Usługa AKS udostępnia również wiele kanałów automatycznej aktualizacji dedykowanych do bieżących aktualizacji zabezpieczeń systemu operacyjnego na poziomie węzła. Ten kanał różni się od uaktualnień wersji platformy Kubernetes na poziomie klastra i zastępuje go.
Należy pamiętać, iż NodeImage i None są jedynymi obsługiwanymi kanałami uaktualnień systemu operacyjnego dla Azure Linux z funkcją OS Guard na AKS.
Unmanaged i SecurityPatch są niezgodne z systemem Linux platformy Azure z funkcją OS Guard ze względu na niezmienny katalog /usr.
Ustaw kanał aktualizacji systemu operacyjnego węzła w istniejącym klastrze, używając polecenia az aks update z parametrem --node-os-upgrade-channel.
az aks update --resource-group $RESOURCE_GROUP --name $CLUSTER_NAME --node-os-upgrade-channel NodeImage
Przykładowy wynik:
{
"id": "/subscriptions/xxxxx/resourceGroups/testAzureLinuxResourceGroup",
"location": "WestUS2",
"name": "testAzureLinuxCluster",
"properties": {
"nodeOsUpgradeChannel": "NodeImage",
"provisioningState": "Succeeded"
}
}
Aby uzyskać więcej informacji na temat kanałów uaktualniania węzła, zobacz Używanie automatycznego uaktualniania systemu operacyjnego węzła.
Uprzątnij zasoby
Ponieważ ten samouczek jest ostatnią częścią serii, możesz usunąć klaster hostów kontenerów systemu Linux platformy Azure. Węzły Kubernetes działają na maszynach wirtualnych platformy Azure i nadal generują koszty, nawet jeśli nie używasz klastra.
az aks delete --resource-group $RESOURCE_GROUP --name $CLUSTER_NAME
Dalsze kroki
W tym samouczku zaktualizowano klaster kontenerowych hostów systemu Linux platformy Azure.
Aby uzyskać więcej informacji na temat systemu Linux platformy Azure z funkcją OS Guard, zobacz Omówienie usługi Azure Linux z funkcją OS Guard.