Vue d’ensemble des clusters automatiques Azure Kubernetes Service (AKS) avec des pools de nœuds système managés

Cette vue d’ensemble explique la fonctionnalité de pools de nœuds système managés, qui est activée par défaut sur les nouveaux clusters automatiques AKS et disponible uniquement dans AKS Automatic. Les pools de nœuds système managés vous permettent de vous concentrer sur vos applications tandis qu’AKS gère l’infrastructure sous-jacente, y compris les pools de nœuds système, pour optimiser les performances et la fiabilité.

Pour créer un cluster automatique AKS avec des pools de nœuds système managés, consultez le guide de démarrage rapide Quickstart : Créer un cluster automatique Azure Kubernetes Service (AKS).

Fonctionnalités et avantages clés

La fonctionnalité pools de nœuds de système managé vous permet de vous concentrer sur vos applications tandis qu’AKS Automatic garantit que l’infrastructure sous-jacente est optimisée pour les performances et la fiabilité. Les principales fonctionnalités et avantages sont les suivants :

  • Aucune surcharge opérationnelle : AKS provisionne, met à niveau et met automatiquement à l’échelle les pools de nœuds système, éliminant ainsi la nécessité d’une intervention manuelle.
  • Création simplifiée du cluster : vous n’avez pas besoin de suivre ou d’allouer des quotas de calcul pour les pools de nœuds système, car AKS gère les quotas pour vous.
  • Rentabilité : les machines virtuelles s’exécutant sur des pools de nœuds système ne sont pas facturées aux abonnements clients, ce qui vous permet d’optimiser les coûts tout en conservant des performances élevées.
  • Performances améliorées : l’isolation des charges de travail système des applications clientes améliore la fiabilité et garantit des performances cohérentes soutenues par des contrats de niveau de service (SLA).
  • Pool de nœuds système managé par défaut : les nouveaux clusters automatiques créés activent le pool de nœuds système managé par défaut. Si vous avez un cluster automatique existant sans pools de nœuds système managés, vous devez recréer le cluster et migrer les charges de travail.
  • Mise à l’échelle automatique et réparation de nœud : la mise à l’échelle automatique du cluster est activée pour les nœuds système dans le pool de nœuds système managé. La réparation automatique des nœuds est activée pour les nœuds système dans le pool de nœuds système géré.

Important

À partir d’AKS 1.36, les nouveaux clusters AKS Automatic activeront par défaut Kubernetes Gateway API via le module complémentaire de routage d’application au lieu de Managed NGINX ingress avec le module complémentaire de routage d’application, en raison de l’abandon en amont d’Ingress NGINX.

Les clusters automatiques existants ne sont pas affectés, mais doivent commencer la migration vers l’API kubernetes Gateway via le module complémentaire de routage d’application.

Limitations

Les limitations suivantes s’appliquent aux clusters automatiques AKS :

  • AKS Automatic est généralement disponible dans les régions suivantes : australiaeast, austriaeast, belgiumcentral, brazilsouth, canadacentral, centralindia, centralus, chilecentral, denmarkeast, eastasia, eastus, eastus2, francecentral, germanywestcentral, indonesiacentral, israelcentral, italynorth, japaneast, japanwest, koreacentral, malaysiawest, mexicocentral, newzealandnorth, northeurope, norwayeast, polandcentral, southafricanorth, southcentralus, southeastasia, spaincentral, swedencentral, switzerlandnorth, uaenorth, uksouth, westeurope, westus2, westus3.
    • Par défaut, les nouveaux clusters automatiques AKS activent les pools de nœuds système managés et LocalDNS. Vous ne pouvez pas créer de clusters automatiques AKS sans pools de nœuds système managés dans n’importe quelle région.
  • Le cluster automatique AKS est préconfiguré avec le verrouillage du groupe de ressources des nœuds, ce qui n’autorise pas les modifications du MC_ groupe de ressources et empêche les liens de réseau virtuel sur la zone DNS privée par défaut. Pour les scénarios DNS inter-réseaux virtuels ou personnalisés, utilisez un réseau personnalisé et un DNS privé en suivant Créer un cluster automatique de Azure Kubernetes Service (AKS) privé dans un réseau virtuel personnalisé.
  • Azure CLI version 2.86.0 ou ultérieure est requise. Pour rechercher la version, exécutez az --version la commande. Si vous devez installer ou mettre à niveau, voir Installer Azure CLI.
  • Les extensions suivantes ne sont pas prises en charge :
  • Les nœuds Windows ne sont pas pris en charge.
  • La migration entre la référence SKU de base AKS et la référence SKU automatique n’est pas prise en charge.
  • Les migrations entre les clusters automatiques AKS sans pools de nœuds système managés et les clusters automatiques AKS avec des pools de nœuds système managés ne sont pas prises en charge.

Composants des pools de nœuds système managés

Le tableau suivant décrit les composants gérés par AKS dans les pools de nœuds système managés. AKS gère la création, la mise à niveau et la mise à l’échelle des nœuds système où ces composants s’exécutent.

Composant Namespace Deployment
Identité de la charge de travail kube-system azure-wi-webhook-controller-manager
CoreDNS kube-system coredns, coredns-autoscaler
Gomme kube-system eraser-controller-manager
Mise à l’échelle automatique basée sur les événements Kubernetes (KEDA) kube-system keda-admission-webhooks, keda-operatorkeda-operator-metrics-apiserver
Konnectivity kube-system konnectivity-agent, konnectivity-agent-autoscaler
Serveur de métriques kube-system metrics-server
Mise à l'échelle automatique verticale des pods (VPA) kube-system vpa-admission-controller, vpa-recommendervpa-updater

D’autres modules complémentaires et extensions s’exécutent sur un aks-system-surge nœud, avec mise à l’échelle gérée par le provisionnement automatique de nœuds (NAP). DaemonSets s’exécutent à la fois sur les pools de nœuds de système gérés et sur les nœuds de votre abonnement, y compris les nœuds aks-system-surge.

Restrictions de sécurité pour les pools de nœuds système managés

Étant donné qu’AKS gère le pool de nœuds système en votre nom, AKS applique plusieurs couches de restrictions de sécurité via des stratégies intégrées, des normes de sécurité de pod de référence et des stratégies de temps d’admission. Ces restrictions aident à protéger les composants système managés et à préserver la limite entre les charges de travail client et l’infrastructure gérée par AKS.

Restriction Qu'est-ce qu'AKS empêche ? Pourquoi cela se produit-il
Modifications apportées aux ressources système managées Création, mise à jour ou suppression de ressources dans des espaces de noms système gérés par AKS. Permet de protéger les composants gérés par AKS contre les modifications initiées par le client.
Accès interactif aux pods système Utiliser le pod exec, attach, ou port-forward pour les pods système gérés par AKS. Permet d’empêcher l’accès direct aux charges de travail du système s’exécutant sur des pools de nœuds système managés.
Modifications apportées au nœud système managé Modification des nœuds système managés ou étiquetage de nœuds réguliers en tant que nœuds système managés. Permet de maintenir la limite entre les nœuds gérés par le client et les nœuds système gérés par AKS.
Placement de la charge de travail sur les nœuds système managés Planification ou exécution de charges de travail client sur des nœuds système gérés par AKS, notamment des charges de travail avec des tolérances réservées, des tolérances génériques étendues ou des planificateurs personnalisés. Empêche les charges de travail des clients de s'exécuter sur des nœuds système dédiés.
Chemins d’accès au cluster privilégiés Octroi d’accès aux autorisations de proxy de nœud sensibles. Réduit les chemins d’accès susceptibles de contourner les contrôles normaux ou d’élever l’accès aux ressources de cluster.
Usurpation d'identité protégée Usurpation d’identités protégées AKS, Kubernetes ou de comptes de service système. Permet d’empêcher les appelants d’assumer les identités utilisées par les composants système approuvés.
Changements de contrôle de sécurité gérés par AKS Modification des stratégies de sécurité gérées par AKS et des contrôles d’admission. Empêche l’affaiblissement ou la désactivation des contrôles qui protègent les pools de nœuds système managés.

Opérations d’API AKS non prises en charge

Les opérations d’API AKS suivantes ne sont pas prises en charge :

  • Mise à niveau d’un pool de nœuds système managé.
  • Suppression d’un pool de nœuds système managé.
  • Arrêt d’un cluster avec un pool de nœuds système managé.
  • La liste des pools d’agents sur un cluster n’inclut pas de pools de nœuds système managés.

Étapes suivantes