Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questa panoramica illustra la funzionalità pool di nodi di sistema gestiti, che è abilitata per impostazione predefinita nei nuovi cluster automatici del servizio Azure Kubernetes e disponibile solo in Automatico del servizio Azure Kubernetes. I pool di nodi di sistema gestiti consentono di concentrarsi sulle applicazioni mentre il servizio Azure Kubernetes gestisce l'infrastruttura sottostante, inclusi i pool di nodi di sistema, per ottimizzare le prestazioni e l'affidabilità.
Per creare un cluster automatico di Servizio Azure Kubernetes (AKS) con pool di nodi di sistema gestiti, consulta la guida introduttiva Quickstart: Create an Servizio Azure Kubernetes (AKS) Automatic cluster.
Caratteristiche e vantaggi principali
La funzionalità pool di nodi di sistema gestito consente di concentrarsi sulle applicazioni mentre AKS Automatic garantisce che l'infrastruttura sottostante sia ottimizzata per prestazioni e affidabilità. Le funzionalità e i vantaggi principali includono:
- Nessun sovraccarico operativo: il servizio Azure Kubernetes effettua automaticamente il provisioning, gli aggiornamenti e ridimensiona automaticamente i pool di nodi di sistema, eliminando la necessità di intervento manuale.
- Creazione semplificata del cluster: non è necessario tenere traccia o allocare quote di calcolo per i pool di nodi di sistema perché il servizio Azure Kubernetes gestisce automaticamente le quote.
- Efficienza dei costi: le macchine virtuali in esecuzione nei pool di nodi di sistema non vengono addebitate alle sottoscrizioni dei clienti, consentendo di ottimizzare i costi mantenendo prestazioni elevate.
- Prestazioni migliorate: isolare i carichi di lavoro di sistema dalle applicazioni dei clienti migliora l'affidabilità e garantisce prestazioni coerenti supportate dai contratti di servizio.
- Pool di nodi di sistema gestito per impostazione predefinita: nuovi cluster automatici creati abilitano il pool di nodi di sistema gestito per impostazione predefinita. Se si dispone di un cluster automatico esistente senza pool di nodi di sistema gestiti, è necessario ricreare il cluster ed eseguire la migrazione dei carichi di lavoro.
- Scalabilità automatica e ripristino dei nodi: il ridimensionamento automatico del cluster è abilitato per i nodi di sistema nel pool di nodi di sistema gestito. Il ripristino automatico dei nodi è abilitato per i nodi di sistema nel pool di nodi di sistema gestito.
Importante
A partire da AKS 1.36, i nuovi cluster AKS Automatic abiliteranno per impostazione predefinita Kubernetes Gateway API tramite il componente aggiuntivo per il routing dell'applicazione anziché l'ingresso NGINX gestito con il componente aggiuntivo per il routing dell'applicazione, a causa del ritiro upstream di Ingress NGINX.
I cluster automatici esistenti non sono interessati, ma devono iniziare la migrazione all'API del gateway Kubernetes tramite il componente aggiuntivo di routing dell'applicazione.
Limitations
Le seguenti limitazioni si applicano ai cluster automatici di AKS:
- AKS Automatic è generalmente disponibile nelle seguenti regioni:
australiaeast,austriaeast,belgiumcentral,brazilsouth,canadacentral,centralindia,centralus,chilecentral,denmarkeast,eastasia,eastus,eastus2,francecentral,germanywestcentral,indonesiacentral,israelcentral,italynorth,japaneast,japanwest,koreacentral,malaysiawest,mexicocentral,newzealandnorth,northeurope,norwayeast,polandcentral,southafricanorth,southcentralus,southeastasia,spaincentral,swedencentral,switzerlandnorth,uaenorth,uksouth,westeurope,westus2,westus3.- Per impostazione predefinita, i nuovi cluster automatici di AKS abilitano i pool di nodi di sistema gestiti e LocalDNS. Non è possibile creare cluster automatici di AKS senza pool di nodi di sistema gestiti in nessuna regione.
- Il cluster Automatico di AKS ha il blocco del gruppo di risorse del nodo preconfigurato, che non consente modifiche al gruppo di risorse
MC_, impedendo i collegamenti alla rete virtuale nella zona DNS privato predefinita. Per scenari DNS tra reti virtuali (VNet) o DNS personalizzati, utilizzare una rete personalizzata e un DNS privato seguendo Crea un cluster privato di Servizio Azure Kubernetes (AKS) automatico in una rete virtuale personalizzata. - interfaccia della riga di comando di Azure è necessaria la versione 2.86.0 o successiva. Per trovare la versione, eseguire
az --versionil comando . Se è necessario installare o aggiornare, vedere Installare interfaccia della riga di comando di Azure. - Le estensioni seguenti non sono supportate:
- I nodi Di Windows non sono supportati.
- Il componente aggiuntivo basato su Istio per il service mesh di AKS (Azure Kubernetes Service) non è supportato.
- La migrazione tra lo SKU Base di AKS e lo SKU Automatico non è supportata.
- Le migrazioni tra cluster automatici del servizio Azure Kubernetes senza pool di nodi di sistema gestiti e cluster automatici del servizio Azure Kubernetes con pool di nodi di sistema gestiti non sono supportate.
- La configurazione dello scraping personalizzato delle metriche e dellaraccolta di log di Prometheus non è supportata.
- L'abilitazione dell'osservabilità ACNS durante la creazione automatica del cluster non è supportata. È possibile abilitare l'osservabilità ACNS dopo la creazione del cluster.
Componenti dei pool di nodi di sistema gestito
Nella tabella seguente vengono descritti i componenti gestiti da AKS nei pool di nodi del sistema gestiti. Il servizio AKS gestisce la creazione, l'aggiornamento e il ridimensionamento dei nodi di sistema in cui vengono eseguiti questi componenti.
| Componente | Namespace | Distribuzione |
|---|---|---|
| Identità del carico di lavoro | kube-system |
azure-wi-webhook-controller-manager |
| CoreDNS | kube-system |
coredns, coredns-autoscaler |
| Gomma | kube-system |
eraser-controller-manager |
| Scalabilità automatica guidata dagli eventi di Kubernetes (KEDA) | kube-system |
keda-admission-webhooks, keda-operator, keda-operator-metrics-apiserver |
| Konnectivity | kube-system |
konnectivity-agent, konnectivity-agent-autoscaler |
| Server metriche | kube-system |
metrics-server |
| Scalabilità automatica verticale dei pod (VPA) | kube-system |
vpa-admission-controller, vpa-recommender, vpa-updater |
Altri componenti aggiuntivi ed estensioni vengono eseguiti in un nodo aks-system-surge, con scalabilità gestita dal provisioning automatico dei nodi (NAP).
DaemonSets può funzionare sia nei pool di nodi di sistema gestiti sia nei nodi del tuo abbonamento, inclusi i nodi aks-system-surge.
Restrizioni di sicurezza per i pool di nodi di sistema gestiti
Poiché il servizio Azure Kubernetes gestisce il pool di nodi di sistema per conto dell'utente, il servizio Azure Kubernetes applica più livelli di restrizioni di sicurezza tramite criteri predefiniti, standard di sicurezza dei pod di base e criteri di tempo di ammissione. Queste restrizioni consentono di proteggere i componenti del sistema gestito e di mantenere il limite tra i carichi di lavoro dei clienti e l'infrastruttura gestita dal servizio Azure Kubernetes.
| Restrizione | Cosa impedisce AKS | Perché è importante |
|---|---|---|
| Modifiche alle risorse di sistema gestite | Creazione, aggiornamento o eliminazione di risorse nei namespaces di sistema gestiti da AKS. | Consente di proteggere i componenti gestiti dal servizio Azure Kubernetes da modifiche avviate dal cliente. |
| Accesso interattivo ai pod di sistema | Utilizzo di pod exec, attach o port-forward contro i pod di sistema gestiti da AKS. |
Consente di impedire l'accesso diretto ai carichi di lavoro di sistema in esecuzione nei pool di nodi di sistema gestiti. |
| Modifiche al nodo di sistema gestito | Modifica dei nodi di sistema gestiti o assegnazione di etichette ai nodi regolari come nodi di sistema gestiti. | Consente di mantenere il limite tra i nodi gestiti dal cliente e i nodi di sistema gestiti dal servizio Azure Kubernetes. |
| Posizionamento del carico di lavoro nei nodi di sistema gestiti | Pianificazione o esecuzione di carichi di lavoro dei clienti su nodi di sistema gestiti da AKS, inclusi carichi di lavoro con tolleranze riservate, tolleranze con caratteri jolly ampi o utilità di pianificazione personalizzate. | Consente di impedire l'esecuzione dei carichi di lavoro dei clienti nei nodi di sistema dedicati. |
| Percorsi di accesso ai cluster con privilegi | Concessione dell'accesso alle autorizzazioni proxy del nodo sensibili. | Riduce le vie che potrebbero ignorare i controlli normali o aumentare l'accesso alle risorse del cluster. |
| Impersonificazione dell'identità protetta | Impersonare le identità protette dell'account del servizio AKS, Kubernetes o del servizio di sistema. | Consente di impedire ai chiamanti di presupporre identità usate dai componenti di sistema attendibili. |
| Modifiche al controllo di sicurezza gestito da AKS (Azure Kubernetes Service) | Modifica dei criteri di sicurezza gestiti dal servizio Azure Kubernetes e dei controlli di ammissione. | Consente di evitare di indebolire o disabilitare i controlli che proteggono i pool di nodi di sistema gestiti. |
Operazioni API AKS non supportate
Le seguenti operazioni API di AKS non sono supportate:
- Aggiornamento di un pool di nodi di sistema gestito.
- Eliminazione di un pool di nodi di sistema gestito.
- Interruzione di un cluster con un pool di nodi di sistema gestito da un sistema.
- L'elenco dei pool di agenti in un cluster non include pool di nodi di sistema gestiti.