이 개요에서는 관리되는 시스템 노드 풀 기능에 대해 설명합니다. 이 기능은 기본적으로 새 AKS 자동 클러스터에서 사용하도록 설정되며 AKS Automatic에서만 사용할 수 있습니다. 관리되는 시스템 노드 풀을 사용하면 AKS가 시스템 노드 풀을 비롯한 기본 인프라를 관리하는 동안 애플리케이션에 집중하여 성능과 안정성을 최적화할 수 있습니다.
관리되는 시스템 노드 풀을 사용하여 AKS 자동 클러스터를 만들려면 Quickstart: AKS(Azure Kubernetes Service) 자동 클러스터 만들기 빠른 시작을 참조하세요.
주요 기능 및 이점
관리되는 시스템 노드 풀 기능을 사용하면 애플리케이션에 집중할 수 있으며 AKS Automatic은 기본 인프라가 성능 및 안정성에 최적화되도록 합니다. 주요 기능 및 이점은 다음과 같습니다.
- 운영 오버헤드 없음: AKS는 시스템 노드 풀을 자동으로 프로비전, 업그레이드 및 크기 조정하여 수동 개입이 필요하지 않습니다.
- 간소화된 클러스터 만들기: AKS가 할당량을 처리하므로 시스템 노드 풀에 대한 컴퓨팅 할당량을 추적하거나 할당할 필요가 없습니다.
- 비용 효율성: 시스템 노드 풀에서 실행되는 VM(가상 머신)은 고객 구독에 요금이 부과되지 않으므로 고성능을 유지하면서 비용을 최적화할 수 있습니다.
- 향상된 성능: 시스템 워크로드를 고객 애플리케이션에서 격리하면 안정성이 향상되고 SLA(서비스 수준 계약)에서 지원되는 일관된 성능이 보장됩니다.
- 기본적으로 관리되는 시스템 노드 풀: 새로 만들어진 자동 클러스터는 기본적으로 관리되는 시스템 노드 풀을 사용하도록 설정합니다. 관리되는 시스템 노드 풀이 없는 기존 자동 클러스터가 있는 경우 클러스터를 다시 만들고 워크로드를 마이그레이션해야 합니다.
- 자동 크기 조정 및 노드 복구: 관리되는 시스템 노드 풀의 시스템 노드에 대해 클러스터 자동 크기 조정기가 사용하도록 설정됩니다. 노드 자동 복구 는 관리되는 시스템 노드 풀의 시스템 노드에 대해 사용하도록 설정됩니다.
중요합니다
AKS 1.36부터 새 AKS 자동 클러스터에서는 업스트림 Ingress NGINX 지원 종료로 인해 기본적으로 애플리케이션 라우팅 추가 기능이 포함된 관리형 NGINX 인그레스 대신 애플리케이션 라우팅 추가 기능을 통한 Kubernetes Gateway API가 사용하도록 설정됩니다.
기존 자동 클러스터는 영향을 받지 않지만 애플리케이션 라우팅 추가 기능을 통해 Kubernetes Gateway API로 마이그레이션을 시작해야 합니다.
Limitations
AKS 자동 클러스터에는 다음과 같은 제한 사항이 적용됩니다.
- AKS Automatic은 다음 지역에서 정식 출시되었습니다:
australiaeast,austriaeast,belgiumcentral,brazilsouth,canadacentral,centralindia,centralus,chilecentral,denmarkeast,eastasia,eastus,eastus2,francecentral,germanywestcentral,indonesiacentral,israelcentral,italynorth,japaneast,japanwest,koreacentral,malaysiawest,mexicocentral,newzealandnorth,northeurope,norwayeast,polandcentral,southafricanorth,southcentralus,southeastasia,spaincentral,swedencentral,switzerlandnorth,uaenorth,uksouth,westeurope,westus2,westus3.- 새 AKS 자동 클러스터는 기본적으로 관리되는 시스템 노드 풀 및 LocalDNS를 사용하도록 설정합니다. 모든 지역에서 관리되는 시스템 노드 풀이 없으면 AKS 자동 클러스터를 만들 수 없습니다.
- AKS 자동 클러스터에는 node 리소스 그룹 잠금 미리 구성되어 있어
MC_리소스 그룹을 변경할 수 없으므로 기본 프라이빗 DNS 영역에서 가상 네트워크 링크가 차단됩니다. VNet 간 또는 사용자 지정 DNS 시나리오의 경우 사용자 지정 가상 네트워크에서 프라이빗 AKS(Azure Kubernetes Service) 자동 클러스터 만들기 따라 사용자 지정 네트워크 및 프라이빗 DNS를 사용합니다. - Azure CLI 버전 2.86.0 이상이 필요합니다. 버전을 찾으려면 명령을 실행
az --version합니다. 설치 또는 업그레이드해야 하는 경우 Azure CLI 설치를 참조하세요. - 다음 확장은 지원되지 않습니다.
- Windows 노드는 지원되지 않습니다.
- AKS용 Istio 기반 서비스 메시 추가 기능은 지원되지 않습니다.
- AKS 기본 SKU와 자동 SKU 간의 마이그레이션은 지원되지 않습니다.
- 관리되는 시스템 노드 풀이 없는 AKS 자동 클러스터와 관리되는 시스템 노드 풀이 있는 AKS 자동 클러스터 간의 마이그레이션은 지원되지 않습니다.
- Prometheus 메트릭 및 로그 컬렉션의 사용자 지정 스크래핑 구성은 지원되지 않습니다.
- 자동 클러스터를 만드는 동안 ACNS 관찰 기능을 사용하도록 설정하는 것은 지원되지 않습니다. 클러스터를 만든 후 ACNS 관찰성을 사용하도록 설정할 수 있습니다.
관리되는 시스템 노드 풀의 구성 요소
다음 표에서는 관리되는 시스템 노드 풀에서 AKS에서 관리하는 구성 요소를 간략하게 설명합니다. AKS는 이러한 구성 요소가 실행되는 시스템 노드의 생성, 업그레이드 및 크기 조정을 처리합니다.
| 구성 요소 | 네임스페이스 | Deployment |
|---|---|---|
| 워크로드 ID | kube-system |
azure-wi-webhook-controller-manager |
| CoreDNS | kube-system |
coredns, coredns-autoscaler |
| 지우개 | kube-system |
eraser-controller-manager |
| Kubernetes KEDA(이벤트 기반 자동 크기 조정) | kube-system |
keda-admission-webhooks, keda-operatorkeda-operator-metrics-apiserver |
| Konnectivity | kube-system |
konnectivity-agent, konnectivity-agent-autoscaler |
| 메트릭 서버 | kube-system |
metrics-server |
| 수직 Pod 자동 크기 조정(VPA) | kube-system |
vpa-admission-controller, vpa-recommendervpa-updater |
다른 추가 기능 및 확장은 aks-system-surge 노드에서 실행되며, 크기 조정은 NAP(노드 자동 프로비저닝)에 의해 처리됩니다.
DaemonSets는 aks-system-surge 노드를 포함하여 구독의 관리되는 시스템 노드 풀과 노드에서 실행됩니다.
관리되는 시스템 노드 풀에 대한 보안 제한 사항
AKS는 사용자를 대신하여 시스템 노드 풀을 관리하므로 AKS는 기본 제공 정책, 기준 Pod 보안 표준 및 허용 시간 정책을 통해 여러 계층의 보안 제한을 적용합니다. 이러한 제한 사항은 관리되는 시스템 구성 요소를 보호하고 고객 워크로드와 AKS 관리형 인프라 간의 경계를 유지하는 데 도움이 됩니다.
| 제한 사항 | AKS에서 방지하는 것 | 중요한 이유 |
|---|---|---|
| 관리되는 시스템 리소스 변경 내용 | AKS 관리형 시스템 네임스페이스에서 리소스 만들기, 업데이트 또는 삭제 | 고객이 시작한 변경으로부터 AKS 관리형 구성 요소를 보호할 수 있습니다. |
| 시스템 Pod에 대한 대화형 액세스 | Pod exec, attach, 또는 port-forward를 AKS 관리 시스템 Pod에 대해 사용하기. |
관리되는 시스템 노드 풀에서 실행되는 시스템 워크로드에 대한 직접 액세스를 방지하는 데 도움이 됩니다. |
| 관리되는 시스템 노드 변경 내용 | 관리되는 시스템 노드 수정 또는 일반 노드를 관리되는 시스템 노드로 레이블 지정 | 고객 관리형 노드와 AKS 관리 시스템 노드 간의 경계를 유지하는 데 도움이 됩니다. |
| 관리되는 시스템 노드의 워크로드 배치 | 예약된 허용치, 광범위한 와일드카드 허용치 또는 사용자 정의 스케줄러를 갖춘 워크로드를 포함하여 AKS 관리 시스템 노드에서 고객 워크로드를 예약하거나 실행합니다. | 고객 워크로드가 전용 시스템 노드에서 실행되지 않도록 방지합니다. |
| 권한 있는 클러스터 액세스 경로 | 중요한 노드 프록시 권한에 대한 액세스 권한 부여 | 일반 컨트롤을 우회하거나 클러스터 리소스에 대한 액세스를 에스컬레이션할 수 있는 경로를 줄입니다. |
| 보호된 신원 사칭 | 보호된 AKS, Kubernetes 또는 시스템 서비스 계정 ID를 가장합니다. | 호출자가 신뢰할 수 있는 시스템 구성 요소에서 사용하는 ID를 가정하지 못하도록 합니다. |
| AKS 관리형 보안 제어 변경 내용 | AKS 관리 보안 정책 및 허용 컨트롤 수정 | 관리되는 시스템 노드 풀을 보호하는 컨트롤의 약화 또는 비활성화를 방지합니다. |
지원되지 않는 AKS API 작업
지원 되지 않는 AKS API 작업은 다음과 같습니다.
- 관리되는 시스템 노드 풀 업그레이드
- 관리되는 시스템 노드 풀을 삭제합니다.
- 관리되는 시스템 노드 풀을 사용하여 클러스터를 중지합니다.
- 클러스터의 에이전트 풀 나열에는 관리되는 시스템 노드 풀이 포함되지 않습니다.