你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于: ✔️ AKS 自动版
Azure Kubernetes 服务 (AKS) 自动版提供一种体验,使 Kubernetes 上最常见的任务快速顺畅地完成,同时保持 Kubernetes 的灵活性、可扩展性和一致性。 Azure 负责群集设置,包括节点管理、缩放、安全性以及遵循 AKS 架构良好的框架建议的预配置设置。 自动群集根据特定的工作负载要求动态分配计算资源,并针对运行生产应用程序进行优化。
默认生产就绪:群集已针对最佳生产用途进行预配置,适用于大多数应用程序。 它们提供完全托管的节点池,可根据工作负载需求自动分配和缩放资源。 Pod 已高效装箱(bin pack),可让你最大限度地利用资源。
内置最佳做法和安全措施:AKS 自动版群集具有经安全加固的默认配置,默认情况下启用许多群集、应用程序和网络安全设置。 AKS 会自动修补节点和群集组件,同时遵守任何计划内维护计划。
几分钟从代码到 Kubernetes:从容器映像到在几分钟内遵循最佳做法模式的已部署应用程序,并可以访问 Kubernetes API 及其丰富生态系统的全面功能。
重要
从 2025 年 11 月 30 日开始,AKS 将不再支持或提供 Azure Linux 2.0 安全更新。 从 2026 年 3 月 31 日起,将删除节点映像,并且无法缩放节点池。 通过将 节点池 升级到受支持的 Kubernetes 版本或迁移到 osSku AzureLinux3,以迁移到受支持的 Azure Linux 版本。 有关更多信息,请参阅[停用] AKS 上的 Azure Linux 2.0 节点池。
AKS 自动版和标准版功能比较
下表对 AKS 自动版和 AKS 标准版中的可用、预配置和默认的选项进行了比较。 要了解某个特定功能是否在“Automatic”提供,可以查看其相关文档。
预配置的功能始终处于启用状态,无法禁用或更改其设置。 默认功能已配置,但你可以更改。 可选 功能可供你配置,默认情况下未启用。
启用可选功能时,可以遵循链接的功能文档。 达到群集创建步骤时,请按照以下步骤创建 AKS 自动群集 ,而不是创建 AKS 标准群集。
应用程序部署、监视和可观测性
可以使用源代码管理中的自动部署简化应用程序部署,从而创建 Kubernetes 清单并生成 CI/CD 工作流。 此外,群集还配置了用于指标的托管 Prometheus、用于可视化的托管 Grafana 和用于日志收集的容器见解等监视工具。
| 选项 | AKS 自动版 | AKS 标准版 |
|---|---|---|
| 应用程序部署 |
可选: • 使用自动部署从源代码管理中容器化应用程序、创建 Kubernetes 清单和持续集成/持续部署 (CI/CD) 工作流。 • 使用适用于 Kubernetes 的 GitHub Actions 创建部署管道。 • 自带 CI/CD 管道。 |
可选: • 使用自动部署从源代码管理中容器化应用程序、创建 Kubernetes 清单和持续集成/持续部署 (CI/CD) 工作流。 • 使用适用于 Kubernetes 的 GitHub Actions 创建部署管道。 • 自带 CI/CD 管道。 |
| 监视、日志记录和可视化 |
默认: • 托管 Prometheus,在使用 Azure CLI 或 Azure 门户时用于收集指标。 • 容器见解,在使用 Azure CLI 或 Azure 门户时用于收集日志。 • 使用 Azure 门户时,内置了用于可视化的带有 Grafana 的 Azure Monitor 仪表板。 • 在使用 Azure 门户时,高级容器网络服务 提供 Pod 指标、DNS、L4 指标和网络流日志的可观测性。 可选: • 使用 Azure CLI 或 Azure 门户时,托管 Grafana 用于进行可视化。 |
默认:使用 Azure 门户时,内置了用于可视化的带有 Grafana 的 Azure Monitor 仪表板。 可选: • 用于收集指标的托管 Prometheus。 • 用于可视化的托管 Grafana。 • 用于收集日志的容器见解。 • 高级容器网络服务的网络可观测性,包括 Pod 指标、DNS、L4 指标和网络流量日志。 |
节点管理、缩放和群集操作
无需手动创建节点池即可自动处理节点管理。 可无缝缩放,其中包含使用基于工作负载请求创建的节点。 此外,还启用了工作负载缩放功能,例如水平 Pod 自动缩放程序 (HPA)、Kubernetes 事件驱动自动缩放 (KEDA) 和垂直 Pod 自动缩放程序 (VPA)。 群集根据自动节点修复、自动群集升级和检测已弃用的 Kubernetes 标准 API 使用情况进行配置。 你还可以根据需要为升级设置计划内维护日程安排。
| 选项 | AKS 自动版 | AKS 标准版 |
|---|---|---|
| 节点管理 | 预配置:AKS 自动版使用节点自动预配来管理节点池。 |
默认值:创建和管理系统和用户节点池 可选:AKS 标准版使用节点自动预配管理用户节点池。 |
| 缩放 |
预配置:AKS 自动版使用节点自动预配,并基于工作负载请求创建节点。 水平 Pod 自动缩放程序(HPA)、 Kubernetes 事件驱动自动缩放(KEDA)和 垂直 Pod 自动缩放程序(VPA) 在群集上启用。 |
默认设置:手动缩放节点池。 可选: • 群集自动缩放程序 • 节点自动预配 • Kubernetes 事件驱动的自动缩放 (KEDA) • 垂直 Pod 自动缩放程序 (VPA) |
| 群集层和服务级别协议 (SLA) | 预配置:标准层群集,最多包含 5,000 个节点、 群集运行时间 SLA 和 Pod 就绪情况 SLA ,保证 5 分钟内完成 Pod 就绪性作的 99.9%。 |
默认设置:具有 10 个节点但最多可以支持 1000 个节点的免费层群集。 可选: • 最多包含 5000 个节点和群集运行时间 SLA 的标准层群集。 • 高级层群集,最多包含 5,000 个节点、 群集运行时间 SLA 和 长期支持。 |
| Node 操作系统 | 预配置:Azure Linux |
默认:Ubuntu 可选: • Azure Linux • Windows Server |
| 节点资源组 | 预配置:完全托管的节点资源组,以便防止意外或故意更改群集资源。 |
默认值:不受限制 只读且具有节点资源组锁定功能(预览版) |
| 节点自动修复 | 预配置:持续监视工作器节点的运行状况,在节点运行不正常的情况下对其进行自动修复。 | 预配置:持续监视工作器节点的运行状况,在节点运行不正常的情况下对其进行自动修复。 |
| 群集升级 | 预配置:自动升级群集。 |
默认值:手动升级。 可选:使用可选择的升级通道自动升级。 |
| Kubernetes API 中断性变更检测 | 预配置:在检测到已弃用的 Kubernetes 标准 API 使用情况时停止群集升级。 | 预配置:在检测到已弃用的 Kubernetes 标准 API 使用情况时停止群集升级。 |
| 计划内维护时段 | 默认值:设置计划内维护日程安排配置,以控制升级。 | 可选:设置计划内维护日程安排配置,以控制升级。 |
安全性和策略
群集身份验证和授权使用用于 Kubernetes 授权的 Azure 基于角色的访问控制 (RBAC),应用程序可以使用工作负载标识和 Microsoft Entra 工作负载 ID 和 OpenID Connect (OIDC) 群集颁发者等功能与 Azure 服务进行安全通信。 部署安全措施通过 Azure Policy 控件强制实施 Kubernetes 最佳做法,内置的映像清理器会删除具有漏洞的未使用映像,从而增强映像安全性。
| 选项 | AKS 自动版 | AKS 标准版 |
|---|---|---|
| 用户身份验证和授权 | 预配置:适用于 Kubernetes 授权的 Azure RBAC,用于使用 Azure 基于角色的访问控制管理群集身份验证和授权。 |
默认设置:本地帐户。 可选: • Azure RBAC 用于 Kubernetes 授权 • 将 Kubernetes RBAC 与 Microsoft Entra 集成配合使用 |
| 群集安全性 | 预配置:API 服务器虚拟网络集成可实现通过专用网络在 API 服务器与群集节点之间进行通信,而无需专用链接或隧道。 | 可选:API 服务器虚拟网络集成可实现通过专用网络在 API 服务器与群集节点之间进行通信,而无需专用链接或隧道。 |
| 应用程序安全性 |
预配置: • 使用 Microsoft Entra 工作负载 ID 的工作负载标识 • OpenID Connect (OIDC) 群集颁发者 可选: • 高级容器网络服务 使用 Wireguard 节点加密来保护 Pod 流量的容器网络安全 |
可选: • 使用 Microsoft Entra 工作负载 ID 的工作负载标识 • OpenID Connect (OIDC) 群集颁发者 可选: • 高级容器网络服务 通过 Wireguard 节点加密实现容器网络安全,以保护 Pod 流量。 |
| 映像安全性 | 预配置:映像清理器,用于删除具有漏洞的未使用映像。 | 可选:映像清理器,用于删除具有漏洞的未使用映像。 |
| 策略强制执行 |
预配置:部署安全措施通过 Azure Policy 控件在 AKS 群集中强制实施 Kubernetes 最佳做法。 可选: • 高级容器网络服务 提供 Cilium DNS 和 L7 策略的容器网络安全。 |
可选:部署安全措施通过 Azure Policy 控件在 AKS 群集中强制实施 Kubernetes 最佳做法。 可选: • 适用于 Cilium DNS 和 L7 策略的高级容器网络服务容器网络安全 |
| 托管命名空间 | 可选:使用 托管命名空间 创建预配置的命名空间,可在其中定义入口/出口的网络策略、内存/CPU 的资源配额以及设置标签/批注。 | 可选:使用 托管命名空间 创建预配置的命名空间,可在其中定义入口/出口的网络策略、内存/CPU 的资源配额以及设置标签/批注。 |
网络
AKS 自动群集使用由带 Cilium 的 Azure CNI 覆盖提供支持的托管虚拟网络,实现高性能网络和可靠的安全性。 流入量由托管的 NGINX 使用应用程序路由加载项进行处理,与 Azure DNS 和 Azure Key Vault 无缝集成。 流出量使用托管的 NAT 网关进行可缩放的出站连接。 此外,您可以灵活地 为 AKS 启用基于 Istio 的服务网格加载项,或使用您自带的服务网格。
| 选项 | AKS 自动版 | AKS 标准版 |
|---|---|---|
| 虚拟网络 |
默认设置:使用由 Cilium 提供支持的 Azure CNI Overlay 的托管虚拟网络将 Azure CNI 的强大控制平面与 Cilium 的数据平面相结合,以提供高性能网络和安全性。 可选: • 自定义虚拟网络 • 包含专用群集的自定义虚拟网络。 |
默认设置:带 kubenet 的托管虚拟网络 可选: • Azure CNI • Azure CNI 覆盖 • 由 Cilium 提供支持的 Azure CNI 覆盖 • 自带 CNI |
| 流入量 |
预配置:托管 NGINX 使用应用程序路由加载项与 Azure DNS 和 Azure 密钥保管库的集成。 可选: • 基于 Istio 的 AKS 服务网格加载项入口网关 • 自带流入量或网关。 |
可选: • 托管 NGINX 使用应用程序路由加载项与 Azure DNS 和 Azure 密钥保管库的集成。 • 基于 Istio 的 AKS 服务网格加载项入口网关 • 自带流入量或网关。 |
| 流出量 |
预配置:与托管虚拟网络配合使用时,用于可缩放出站连接流的 AKS 托管 NAT 网关 可选(使用自定义虚拟网络): • Azure 负载均衡器 • 用户分配的 NAT 网关 • 用户定义的路由 (UDR) |
默认:Azure 负载均衡器 可选: • 用户分配的 NAT 网关 • AKS 托管的 NAT 网关 • 用户定义的路由 (UDR) |
| 服务网格 |
可选: • Azure 服务网格 (Istio) • 自带服务网格。 |
可选: • Azure 服务网格 (Istio) • 自带服务网格。 |
后续步骤
若要了解有关 AKS 自动版的详细信息,请按照快速入门创建群集。
