Compartilhar via

Atualizar imagens do sistema operacional do nó automaticamente

Implantar e explorar

O AKS fornece vários canais de atualização automática dedicados a atualizações de segurança do sistema operacional em nível de nó de forma oportuna. Esse canal é diferente das atualizações de versão do Kubernetes no nível do cluster e o substitui.

Importante

A partir de 30 de novembro de 2025, o AKS (Serviço de Kubernetes do Azure) não dá mais suporte ou fornece atualizações de segurança para o Azure Linux 2.0. A imagem do nó do Azure no Linux 2.0 está congelada na versão 202512.06.0. A partir de 31 de março de 2026, as imagens de nó serão removidas e não será possível escalar os grupos de nós. Migre para uma versão do Azure Linux com suporte atualizando os pools de nós para uma versão do Kubernetes com suporte ou migrando para o osSku AzureLinux3. Para obter mais informações, consulte [Desativação] Pools de nós do Azure Linux 2.0 no AKS.

Interações entre a atualização automática do sistema operacional do nó e a atualização automática do cluster

As atualizações de segurança do sistema operacional no nível do nó são lançadas em uma taxa mais rápida do que o patch do Kubernetes ou atualizações de versões secundárias. O canal de atualização automática do sistema operacional do nó oferece flexibilidade e habilita uma estratégia personalizada para atualizações de segurança do sistema operacional no nível do nó. Em seguida, você pode escolher um plano separado para atualizações automáticas da versão do Kubernetes no nível do cluster. É melhor usar as atualização automáticas no nível de cluster e o canal de atualização automática do sistema operacional do nó juntos. O agendamento pode ser ajustado aplicando dois conjuntos separados de janelas de manutenção - aksManagedAutoUpgradeSchedule para o canal de atualização automática do cluster e aksManagedNodeOSUpgradeSchedule para o canal de atualização automática do sistema operacional do nó.

Canais para atualizações de imagem do sistema operacional do nó

O canal selecionado determina o tempo das atualizações. Ao fazer alterações nos canais de atualização automática do sistema operacional do nó, aguarde até 24 horas para que as alterações produzam efeito.

Observação

  • A atualização automática da imagem do sistema operacional do nó não afeta a versão do Kubernetes do cluster.
  • Começando com a API versão 2023-06-01, o padrão para qualquer novo cluster do AKS é NodeImage.

Alterações no canal do sistema operacional do nó que causam uma nova imagem

As seguintes transições de canal do sistema operacional do nó dispararão a nova imagem nos nós:

De Para
Não gerenciado None
Não Especificado Não gerenciado
Patch de Segurança Não gerenciado
NodeImage Não gerenciado
None Não gerenciado

Canais de atualização do sistema operacional do nó disponível

Os seguintes canais de atualização estão disponíveis. Você tem permissão para escolher uma destas opções:

Canal Descrição Comportamento específico do SO
None Seus nós não tem atualizações de segurança aplicadas automaticamente. Isso significa que você é o único responsável por suas atualizações de segurança. N/D
Unmanaged A infraestrutura de aplicação de patch interna do sistema operacional aplica automaticamente as atualizações do sistema operacional. Os computadores recém-alocados são inicialmente incompatíveis. A infraestrutura do sistema operacional os corrige em algum momento. O Ubuntu e o Linux do Azure (pools de nós de CPU) aplicam patches de segurança por meio de atualização autônoma/dnf-automatic aproximadamente uma vez por dia por volta das 06:00 UTC. O Windows não aplica patches de segurança automaticamente, então essa opção se comporta de forma equivalente a None. Você precisa gerenciar o processo de reinicialização usando uma ferramenta como o kured. O Azure Linux com o OS Guard no AKS não suporta Unmanaged.
SecurityPatch Patches de segurança do sistema operacional, testados pelo AKS, totalmente gerenciados e aplicados com práticas de implantação seguras. O AKS atualiza regularmente o VHD (disco rígido virtual) do nó com patches do mantenedor da imagem rotulado como "somente segurança". Talvez haja interrupções quando os patches de segurança forem aplicados aos nós. No entanto, o AKS está limitando as interrupções ao recriar a imagem dos seus nós somente quando necessário, como para determinados pacotes de segurança do kernel. Quando os patches são aplicados, o VHD é atualizado e os computadores existentes são atualizados para esse VHD, respeitando as janelas de manutenção e as configurações de aumento. Se o AKS decidir que a recriação da imagem dos nós não é necessária, ele corrige os nós ativos sem drenar os pods e não executa nenhuma atualização do VHD. Essa opção incorre no custo extra de hospedar os VHDs em seu grupo de recursos do nó. Se você usar esse canal, as atualizações autônomas do Linux serão desabilitadas por padrão. O Azure Linux não dá suporte a esse canal em VMs habilitadas para GPU. O SecurityPatch funciona em versões de patch de kubernetes que foram preteridas, desde que ainda haja suporte para a versão secundária do Kubernetes. Flatcar Container Linux para AKS e Azure Linux com OS Guard no AKS não têm suporte SecurityPatch.
NodeImage O AKS atualizará os nós com um VHD com patch recém aplicado contendo correções de segurança e correções de bugs semanalmente. A atualização para o novo VHD é disruptiva, seguindo as janelas de manutenção e as configurações de aumento. Nenhum custo extra de VHD é incorrido ao escolher essa opção. Se você usar esse canal, as atualizações autônomas do Linux serão desabilitadas por padrão. Há suporte para atualizações de imagem de nó, desde que a versão secundária do Kubernetes do cluster ainda esteja em suporte. As imagens de nó são testadas pelo AKS, totalmente gerenciado e aplicadas com práticas de implantação seguras.

O que escolher – Canal SecurityPatch ou Canal NodeImage?

Há duas considerações importantes para você escolher entre SecurityPatch ou NodeImage canais.

Propriedade Canal NodeImage Canal SecurityPatch Canal Recomendado
Speed of shipping As linhas do tempo típicas de build, teste, versão e distribuição para um novo VHD podem levar aproximadamente duas semanas após as práticas de implantação seguras. Embora no caso de CVEs, as distribuições aceleradas podem ocorrer caso a caso. O tempo exato em que um novo VHD atinge uma região pode ser monitorado por meio do rastreador de versão. As versões do SecurityPatch são lançadas relativamente mais rapidamente do que NodeImage, mesmo com práticas de implantação seguras. SecurityPatch tem a vantagem de 'aplicação de patch ao vivo' em ambientes do Linux, em que a aplicação de patch leva a uma 'recriação da imagem' seletiva e não cria uma nova imagem sempre que um patch é aplicado. A nova imagem, se ocorrer, é controlada por janelas de manutenção. SecurityPatch
Bugfixes Carrega correções de bugs além de correções de segurança. Carrega estritamente apenas correções de segurança. NodeImage

Definir o canal de atualização automática do sistema operacional do nó em um novo cluster

  • Defina o canal de atualização automática do sistema operacional do nó em um novo cluster usando o comando az aks create com o parâmetro --node-os-upgrade-channel. O exemplo a seguir define o canal de atualização automática do sistema operacional do nó como SecurityPatch.
export RANDOM_SUFFIX=$(openssl rand -hex 3)
export RESOURCE_GROUP="myResourceGroup$RANDOM_SUFFIX"
export AKS_CLUSTER="myAKSCluster$RANDOM_SUFFIX"
az aks create \
    --resource-group $RESOURCE_GROUP \
    --name $AKS_CLUSTER \
    --node-os-upgrade-channel SecurityPatch \
    --generate-ssh-keys

Defina o canal de atualização automática do sistema operacional do nó em um cluster existente

  • Defina o canal de atualização automática do sistema operacional do nó em um cluster existente usando o comando az aks update com o parâmetro --node-os-upgrade-channel. O exemplo a seguir define o canal de atualização automática do sistema operacional do nó como SecurityPatch.
az aks update --resource-group $RESOURCE_GROUP --name $AKS_CLUSTER --node-os-upgrade-channel SecurityPatch

Resultados:

{
  "autoUpgradeProfile": {
      "nodeOsUpgradeChannel": "SecurityPatch"
  }
}

Atualizar propriedade e agendamento

A cadência padrão significa que não há nenhuma janela de manutenção planejada aplicada.

Canal Propriedade das atualizações Cadência padrão
Unmanaged Atualizações de segurança controladas pelo sistema operacional. O AKS não tem controle sobre essas atualizações. À noite, por volta das 6:00 UTC para Ubuntu e Linux do Azure. Mensalmente para Windows.
SecurityPatch Testado pelo AKS, totalmente gerenciado e aplicado com práticas de implantação seguras. Para obter mais informações, veja Maior segurança e resiliência de cargas de trabalho canônicas no Azure. Normalmente, mais rápido do que semanalmente, o AKS determinou a cadência.
NodeImage Testado pelo AKS, totalmente gerenciado e aplicado com práticas de implantação seguras. Para obter mais informações em tempo real sobre versões, pesquise imagens de nó do AKS no rastreador de versão Semanalmente.

Observação

Embora as atualizações de segurança do Windows sejam lançadas mensalmente, o uso do Unmanaged canal não aplicará automaticamente essas atualizações aos nós do Windows. Se você escolher o canal Unmanaged, precisará gerenciar o processo de reinicialização para nós do Windows.

Limitações conhecidas do canal do nó

  • Atualmente, quando você define o canal de atualização automática do cluster como node-image, ele também define automaticamente o canal de atualização automática do sistema operacional do nó como NodeImage. Você não poderá alterar o valor do canal de atualização automática do sistema operacional do nó se o canal de atualização automática do cluster for node-image. Para definir o valor do canal de atualização automática do sistema operacional do nó, certifique-se de que o valor do canal de atualização automática do cluster não seja node-image.

  • Não há suporte para o canal SecurityPatch nos pools de nós do sistema operacional Windows.

Observação

Use a CLI versão 2.61.0 ou superior para o canal SecurityPatch.

Janelas de manutenção planejada do sistema operacional do nó

A manutenção planejada para a atualização automática do sistema operacional do nó começa na janela de manutenção especificada.

Observação

Para garantir a funcionalidade adequada, use uma janela de manutenção de quatro horas ou mais.

Para mais informações sobre a manutenção planejada, consulte Usar a manutenção planejada para agendar janelas de manutenção para seu cluster do AKS (Serviço de Kubernetes do Azure).

Perguntas frequentes sobre o sistema operacional do nó

Como posso verificar o valor atual do nodeOsUpgradeChannel em um cluster?

Execute o comando az aks show e verifique o "autoUpgradeProfile" para determinar qual valor o nodeOsUpgradeChannel está definido:

az aks show --resource-group $RESOURCE_GROUP --name $AKS_CLUSTER --query "autoUpgradeProfile"

Resultados:

{
  "nodeOsUpgradeChannel": "SecurityPatch"
}

Como posso monitorar o status dos atualização automáticas do sistema operacional do nó?

Para exibir o status de suas atualizações automáticas do sistema operacional do nó, pesquise os logs de atividades no cluster. Você também pode pesquisar eventos específicos relacionados a atualizações, conforme mencionado em Atualizar um cluster do AKS. O AKS também emite eventos da Grade de Eventos relacionados a atualizações. Para saber mais, confira AKS como uma fonte da Grade de Eventos.

Posso alterar o valor do canal de atualização automática do sistema operacional do nó se meu canal de atualização automática do cluster estiver definido como node-image?

Não. Atualmente, quando você define o canal de atualização automática do cluster como node-image, ele também define automaticamente o canal de atualização automática do sistema operacional do nó como NodeImage. Você não poderá alterar o valor do canal de atualização automática do sistema operacional do nó se o canal de atualização automática do cluster for node-image. Para poder alterar os valores de canal de atualização automática do sistema operacional do nó, certifique-se de que o canal de atualização automática do cluster não seja node-image.

No canal Unmanaged, o AKS não tem controle sobre como e quando as atualizações de segurança são entregues. Com SecurityPatch, as atualizações de segurança são totalmente testadas e seguem práticas de implantação seguras. SecurityPatch também respeita as janelas de manutenção. Para obter mais informações, veja Maior segurança e resiliência de cargas de trabalho canônicas no Azure.

SecurityPatch sempre leva a uma nova imagem dos meus nós?

O AKS limita as recriações de imagem somente quando necessário, como determinados pacotes de kernel que podem exigir uma recriação de imagem para serem totalmente aplicados. SecurityPatch foi projetado para minimizar as interrupções o máximo possível. Se o AKS decidir que nós de recriação da imagem não são necessários, ele corrige os nós ao vivo sem esvaziar pods e nenhuma atualização de VHD é executada nesses casos.

Por que SecurityPatch canal precisa atingir snapshot.ubuntu.com ponto de extremidade?

Com o canal SecurityPatch, os nós do cluster Linux precisam baixar os patches de segurança e atualizações necessários do serviço de snapshot do Ubuntu descrito em ubuntu-snapshots-on-azure-ensures-predictability-and-consistency-in-cloud-deployments.

Como saber se uma atualização SecurityPatch ou NodeImage é aplicada no meu nó?

Execute o kubectl get nodes --show-labels comando para listar os nós em seu cluster e seus rótulos.

Entre os rótulos retornados, você verá uma linha semelhante à seguinte saída:

kubernetes.azure.com/node-image-version=AKSUbuntu-2204gen2containerd-202410.27.0-2024.12.01

Aqui, a versão da imagem do nó base é AKSUbuntu-2204gen2containerd-202410.27.0. Se aplicável, a versão do patch de segurança normalmente segue. No exemplo acima, ela é 2024.12.01.

Os mesmos detalhes também serão pesquisados no portal do Azure na exibição de rótulo do nó:

Uma captura de tela da página de nós de um cluster do AKS no portal do Azure. O rótulo da versão da imagem do nó mostra claramente a imagem do nó base e a data de patch de segurança aplicada mais recente.

Próximas etapas

Para obter uma discussão detalhada sobre as melhores práticas de atualização e outras considerações, veja Diretrizes de patch e atualização do AKS.

  • Last updated on