Partilhar via

Atualização automática das imagens do sistema operativo do nó

Implantar e explorar

O AKS fornece vários canais de atualização automática dedicados a atualizações oportunas de segurança do sistema operacional no nível do nó. Esse canal é diferente das atualizações de versão do Kubernetes no nível de cluster e o substitui.

Importante

Desde 30 de novembro de 2025, o Azure Kubernetes Service (AKS) já não suporta nem fornece atualizações de segurança para o Azure Linux 2.0. A imagem da máquina virtual do Azure Linux 2.0 está congelada na versão 202512.06.0. A partir de 31 de março de 2026, as imagens dos nós serão removidas e não conseguirá escalar os seus pools de nós. Migre para uma versão Azure Linux suportada atualizando os seus pools de nós para uma versão Kubernetes suportada ou migrando para o osSku AzureLinux3. Para obter mais informações, consulte [Desativação] Pools de nós do Azure Linux 2.0 no AKS.

Interações entre a atualização automática do sistema operacional do nó e a atualização automática do cluster

As atualizações de segurança do sistema operacional no nível do nó são lançadas a uma taxa mais rápida do que as atualizações de patch ou versão secundária do Kubernetes. O canal de atualização automática do sistema operacional do nó concede flexibilidade e permite uma estratégia personalizada para atualizações de segurança do sistema operacional no nível do nó. Em seguida, você pode escolher um plano separado para atualizações automáticas de versão do Kubernetes no nível de cluster. É melhor usar as atualizações automáticas no nível de cluster e o canal de atualização automática do sistema operacional do nó juntos. O agendamento pode ser ajustado aplicando dois conjuntos separados de janelas - aksManagedAutoUpgradeSchedule de manutenção para o canal de atualização automática do cluster e aksManagedNodeOSUpgradeSchedule para o canal de atualização automática do sistema operacional do nó.

Canais para atualizações de imagem do sistema operacional do nó

O canal selecionado determina o tempo das atualizações. Ao fazer alterações nos canais de atualização automática do SO do nó, aguarde até 24 horas para que as alterações entrem em vigor.

Nota

  • A atualização automática da imagem OS do nó não afeta a versão do Kubernetes do cluster.
  • A partir da versão da API 2023-06-01, o padrão para qualquer novo cluster AKS é NodeImage.

Alterações no canal do sistema operacional do nó que causam uma nova imagem

As seguintes transições de canal do node os dispararão a reimagem nos nós:

De Para
Não gerido Nenhum
Não especificado Não gerido
Patch de Segurança Não gerido
Imagem de nó Não gerido
Nenhum Não gerido

Canais disponíveis de atualização do SO do nó

Os seguintes canais de atualização estão disponíveis. Você pode escolher uma destas opções:

Canal Descrição Comportamento específico do SO
None Os seus nós não têm atualizações de segurança aplicadas automaticamente. Isto significa que é o único responsável pelas suas atualizações de segurança. N/A
Unmanaged A infraestrutura de aplicação de patches integrada do SO aplica automaticamente as atualizações do SO. As máquinas recém-alocadas não são inicialmente atualizadas. A infraestrutura do sistema operacional os corrige em algum momento. O Ubuntu e o Azure Linux (pools de nós de CPU) aplicam patches de segurança por meio de atualização automática/dnf-automatic aproximadamente uma vez por dia, por volta das 06:00 UTC. O Windows não aplica automaticamente patches de segurança, pelo que esta opção comporta-se de forma equivalente ao None. Você precisa gerenciar o processo de reinicialização usando uma ferramenta como kured. O Azure Linux com OS Guard no AKS não suporta Unmanaged.
SecurityPatch Patches de segurança do sistema operacional, que são testados pelo AKS, totalmente gerenciados e aplicados com práticas de implantação seguras. O AKS atualiza regularmente o disco rígido virtual (VHD) do nó com patches do mantenedor da imagem rotulados como "somente segurança". Pode haver interrupções quando os patches de segurança são aplicados aos nós. No entanto, o AKS está limitando as interrupções ao reinstalar imagens dos seus nós apenas quando necessário, como para certos pacotes de segurança do kernel. Quando os patches são aplicados, o VHD é atualizado e as máquinas existentes são atualizadas para esse VHD, respeitando as janelas de manutenção e as configurações de surto. Se o AKS decidir que a recriação de nós não é necessária, ele corrige os nós em tempo real sem evacuar os pods e não executa nenhuma atualização de VHD. Essa opção incorre no custo extra de hospedar os VHDs no seu grupo de recursos de nós. Se você usar esse canal, as atualizações autônomas do Linux serão desabilitadas por padrão. O Azure Linux não oferece suporte a esse canal em VMs habilitadas para GPU. SecurityPatch funciona em versões de patch do Kubernetes que foram preteridas, desde que a versão secundária do Kubernetes ainda seja suportada. O Flatcar Container Linux para AKS e o Azure Linux com OS Guard no AKS não suportam SecurityPatch.
NodeImage AKS atualiza os nós com um VHD recém-atualizado contendo correções de segurança e correções de falhas semanalmente. A atualização para o novo VHD é perturbadora, seguindo janelas de manutenção e configurações de pico. Nenhum custo adicional de VHD é incorrido ao escolher esta opção. Se você usar esse canal, as atualizações autônomas do Linux serão desabilitadas por padrão. As atualizações de imagem de nó são suportadas, desde que a versão secundária do Kubernetes do cluster ainda esteja em suporte. As imagens de nó são testadas pelo AKS, totalmente gerenciadas e aplicadas com práticas de implantação seguras.

O que escolher - SecurityPatch Channel ou NodeImage Channel?

Há duas considerações importantes para você escolher entre SecurityPatch ou NodeImage canais.

Propriedade Canal NodeImage Canal de Atualização de Segurança Canal recomendado
Speed of shipping Os cronogramas típicos de compilação, teste, lançamento e distribuição de um novo VHD podem levar aproximadamente duas semanas após práticas de implantação seguras. Embora no caso de CVEs, implementações aceleradas podem ocorrer caso a caso. O momento exato em que um novo VHD atinge uma região pode ser monitorado por meio do rastreador de lançamento. As versões do SecurityPatch são relativamente mais rápidas do que NodeImage, mesmo com práticas de implementação seguras. O SecurityPatch tem a vantagem do 'Live-patching' em sistemas Linux, onde a aplicação de patches leva a uma 'reimagem' seletiva e não recria a imagem sempre que um patch é aplicado. A recriação de imagem, se acontecer, é controlada por janelas de manutenção. SecurityPatch
Bugfixes Carrega correções de bugs, além de correções de segurança. Inclui apenas correções de segurança. NodeImage

Definir o canal de atualização automática do OS para nó em um novo cluster

  • Defina o canal de autoatualização do sistema operativo do nó num novo cluster, utilizando o comando az aks create com o parâmetro --node-os-upgrade-channel. O exemplo a seguir define o canal de atualização automática do sistema operativo do nó como SecurityPatch.
export RANDOM_SUFFIX=$(openssl rand -hex 3)
export RESOURCE_GROUP="myResourceGroup$RANDOM_SUFFIX"
export AKS_CLUSTER="myAKSCluster$RANDOM_SUFFIX"
az aks create \
    --resource-group $RESOURCE_GROUP \
    --name $AKS_CLUSTER \
    --node-os-upgrade-channel SecurityPatch \
    --generate-ssh-keys

Defina o canal de atualização automática do sistema operativo do nó num cluster existente

  • Defina o canal de autoupgrade do nó num cluster existente utilizando o comando az aks update e o parâmetro --node-os-upgrade-channel. O exemplo a seguir define o canal de atualização automática do sistema operativo do nó como SecurityPatch.
az aks update --resource-group $RESOURCE_GROUP --name $AKS_CLUSTER --node-os-upgrade-channel SecurityPatch

Resultados:

{
  "autoUpgradeProfile": {
      "nodeOsUpgradeChannel": "SecurityPatch"
  }
}

Atualizar a propriedade e o cronograma

A cadência padrão significa que não há nenhuma janela de manutenção programada.

Canal Atualizações de Propriedade Cadência padrão
Unmanaged Atualizações de segurança orientadas pelo SO. O AKS não tem controle sobre essas atualizações. Todas as noites por volta das 6h UTC para Ubuntu e Azure Linux. Mensalmente para Windows.
SecurityPatch AKS testado, totalmente gerenciado e aplicado com práticas de implantação seguras. Para obter mais informações, consulte Aumento da segurança e resiliência das cargas de trabalho Canonical no Azure. A cadência determinada pelo AKS é normalmente mais rápida do que a semanal.
NodeImage AKS testado, totalmente gerenciado e aplicado com práticas de implantação seguras. Para obter mais informações em tempo real sobre lançamentos, procure AKS Node Images no Release tracker Semanalmente.

Nota

Embora as atualizações de segurança do Windows sejam lançadas mensalmente, o uso do Unmanaged canal não aplicará automaticamente essas atualizações aos nós do Windows. Se escolher o canal Unmanaged, precisa gerir o processo de reinicialização para os nodos Windows.

Limitações conhecidas do canal de nó

  • Atualmente, quando você define o canal de atualização automática do cluster como node-image, ele também define automaticamente o canal de atualização automática do sistema operacional do nó como NodeImage. Não é possível alterar o valor do canal de atualização automática do sistema operacional do nó se o canal de atualização automática do cluster for node-image. Para definir o valor do canal de atualização automática do sistema operacional do nó, verifique se o valor do canal de atualização automática do cluster não é node-image.

  • O SecurityPatch canal não é suportado em pools de nós do sistema operacional Windows.

Nota

Use a CLI versão 2.61.0 ou superior para o SecurityPatch canal.

Janelas de manutenção planejada do sistema operacional do nó

A manutenção planejada para a atualização automática do sistema operacional do nó começa na janela de manutenção especificada.

Nota

Para garantir a funcionalidade adequada, use uma janela de manutenção de quatro horas ou mais.

Para obter mais informações sobre Manutenção Planejada, consulte Usar Manutenção Planejada para agendar janelas de manutenção para seu cluster do Serviço Kubernetes do Azure (AKS).

Perguntas frequentes sobre atualizações automáticas do sistema operacional do nó

Como posso verificar o valor atual do nodeOsUpgradeChannel em um cluster?

Execute o az aks show comando e verifique o "autoUpgradeProfile" para determinar qual valor o nodeOsUpgradeChannel está definido para:

az aks show --resource-group $RESOURCE_GROUP --name $AKS_CLUSTER --query "autoUpgradeProfile"

Resultados:

{
  "nodeOsUpgradeChannel": "SecurityPatch"
}

Como posso monitorizar o estado das atualizações automáticas do sistema operativo do nó?

Para visualizar o estado das atualizações automáticas do sistema operativo do nó, consulte os registos de atividade no cluster. Você também pode procurar eventos específicos relacionados à atualização, conforme mencionado em Atualizar um cluster AKS. AKS também emite eventos de Event Grid relacionados à atualização. Para saber mais, consulte AKS como uma fonte de grade de eventos.

Posso alterar o valor do canal de atualização automática do sistema operativo do nó se o canal de atualização automática do meu cluster estiver definido como node-image?

N.º Atualmente, quando você define o canal de atualização automática do cluster como node-image, ele também define automaticamente o canal de atualização automática do sistema operacional do nó como NodeImage. Não é possível alterar o valor do canal de atualização automática do sistema operacional do nó se o canal de atualização automática do cluster for node-image. Para poder alterar os valores do canal de atualização automática do sistema operacional do nó, verifique se o canal de atualização automática do cluster não está definido como node-image.

No Unmanaged canal, o AKS não tem controle sobre como e quando as atualizações de segurança são entregues. Com SecurityPatch, as atualizações de segurança são totalmente testadas e seguem práticas de implantação seguras. SecurityPatch também respeita as janelas de manutenção. Para obter mais informações, consulte Aumento da segurança e resiliência das cargas de trabalho Canonical no Azure.

SecurityPatch leva sempre a uma reimagem dos meus nós?

O AKS limita as reimagens apenas quando necessário, como certos pacotes do kernel que podem exigir uma reimagem para serem totalmente aplicados. SecurityPatch é projetado para minimizar as interrupções tanto quanto possível. Se o AKS decidir que a recriação de nós não é necessária, ele corrige os nós ao vivo sem drenar pods e nenhuma atualização de VHD é executada nesses casos.

Por que o canal SecurityPatch precisa alcançar o endpoint snapshot.ubuntu.com?

Com o SecurityPatch canal, os nós de cluster Linux têm que baixar os patches de segurança e atualizações necessários do serviço de instantâneos do Ubuntu descrito em ubuntu-snapshots-on-azure-ensuring-predictability-and-consistency-in-cloud-deployments.

Como posso saber se uma atualização SecurityPatch ou NodeImage é aplicada no meu nó?

Execute o kubectl get nodes --show-labels comando para listar os nós no cluster e seus rótulos.

Entre as etiquetas retornadas, deverás ver uma linha semelhante à seguinte saída:

kubernetes.azure.com/node-image-version=AKSUbuntu-2204gen2containerd-202410.27.0-2024.12.01

Aqui, a versão da imagem do nó base é AKSUbuntu-2204gen2containerd-202410.27.0. Se aplicável, segue-se normalmente a versão do patch de segurança. No exemplo acima, é 2024.12.01.

Os mesmos detalhes também podem ser pesquisados no portal do Azure sob a exibição de rótulo de nó:

Uma captura de ecrã da página de nós de um cluster AKS no portal do Azure. O rótulo da versão da imagem do nó mostra claramente a imagem base do nó e a data do patch de segurança mais recente aplicado.

Próximos passos

Para obter uma discussão detalhada sobre as práticas recomendadas de atualização e outras considerações, consulte o patch do AKS e as diretrizes de atualização.

  • Last updated on