AKS(Azure Kubernetes Service) 노드 OS 이미지 자동 업그레이드

AKS는 적시에 노드 수준 OS 보안 업데이트 전용의 여러 자동 업그레이드 채널을 제공합니다. 이 채널은 클러스터 수준 Kubernetes 버전 업그레이드와 다르며 이를 대체합니다.

Tip

AKS 자동을 사용하는 경우 노드 OS 업그레이드는 주별 주기에 적용되는 보안 수정 및 버그 수정과 함께 NodeImage 채널을 사용하도록 미리 구성됩니다. 구성이 필요하지 않습니다. 사용자 지정 가상 네트워크를 사용하는 AKS 자동 클러스터의 경우 필요한 경우 유지 관리 기간을 조정할 수 있습니다. 자세한 내용은 Azure Kubernetes Service(AKS) 오토매틱이란?을(를) 참조하세요. AKS 표준 클러스터의 경우 요구 사항에 가장 적합한 채널을 선택하려면 계속 읽고 확인하세요.

중요합니다

2025년 11월 30일부터 AKS(Azure Kubernetes Service)는 더 이상 Azure Linux 2.0에 대한 보안 업데이트를 지원하거나 제공하지 않습니다. Azure Linux 2.0 노드 이미지는 202512.06.0 릴리스에서 고정됩니다. 2026년 3월 31일부터 노드 이미지가 제거되며 노드 풀의 크기를 조정할 수 없습니다. 노드 풀을 지원되는 Kubernetes 버전으로 업그레이드하거나 osSku AzureLinux3으로 마이그레이션하여 지원되는 Azure Linux 버전으로 마이그레이션합니다. 자세한 내용은 사용 중지 GitHub 문제Azure 업데이트 사용 중지 공지 사항을 참조하세요. 공지 사항 및 업데이트에 대한 정보를 유지하려면 AKS 릴리스 정보를 따르세요.

노드 OS 자동 업그레이드와 클러스터 자동 업그레이드 간의 상호 작용

노드 수준 OS 보안 업데이트는 Kubernetes 패치 또는 부 버전 업데이트보다 빠른 속도로 릴리스됩니다. 노드 OS 자동 업그레이드 채널은 유연성을 부여하고 노드 수준 OS 보안 업데이트에 대해 사용자 지정된 전략을 사용하도록 설정합니다. 그런 다음 클러스터 수준 Kubernetes 버전 자동 업그레이드에 대한 별도의 계획을 선택할 수 있습니다. 클러스터 수준 및 노드 OS 자동 업그레이드 채널을 함께 사용하는 것이 가장 좋습니다. 클러스터 채널 자동 업그레이드 및 노드 OS 자동 업그레이드 채널에 대한 - aksManagedAutoUpgradeScheduleaksManagedNodeOSUpgradeSchedule 두 집합을 적용하여 일정을 미세 조정할 수 있습니다.

노드 OS 이미지 업그레이드를 위한 채널

선택한 채널에 따라 업그레이드 시기가 결정됩니다. 노드 OS 자동 업그레이드 채널을 변경할 때 변경 내용이 적용되려면 최대 24시간을 허용합니다.

참고

  • 노드 OS 이미지 자동 업그레이드는 클러스터의 Kubernetes 버전에 영향을 주지 않습니다.
  • API 버전 2023-06-01부터 새 AKS 표준 클러스터의 기본값은 다음과 같습니다 NodeImage.
  • AKS Automatic 클러스터는 기본적으로 항상 NodeImage 채널을 사용합니다.

이미지 다시 설치를 유발하는 노드 OS 채널 변경

다음 노드 os 채널 전환은 노드에 이미지 다시 설치를 트리거합니다.

보낸 사람 수행할 작업
비관리 없음
지정되지 않음 비관리
보안 패치 비관리
NodeImage 비관리
없음 비관리

사용 가능한 노드 OS 업그레이드 채널

AKS 표준 클러스터에 사용할 수 있는 업그레이드 채널은 다음과 같습니다. (AKS 자동 클러스터는 기본적으로 NodeImage 채널을 사용합니다.)

채널 설명 OS 관련 동작
None 노드에 보안 업데이트가 자동으로 적용되지 않습니다. 즉, 보안 업데이트에 대한 책임은 전적으로 사용자에게 있습니다. 해당 없음
Unmanaged OS 기본 제공 패치 인프라는 OS 업데이트를 자동으로 적용합니다. 새로 할당된 컴퓨터는 처음에 패치가 적용되지 않습니다. OS의 인프라는 언젠가 이를 패치합니다. Ubuntu 및 Azure Linux(CPU 노드 풀)는 대략 하루에 한 번씩 오전 6시(UTC)경에 무인 업그레이드/dnf-automatic을 통해 보안 패치를 적용합니다. Windows는 보안 패치를 자동으로 적용하지 않으므로 이 옵션은 None에 동일하게 작동합니다. kured와 같은 도구를 사용하여 재부팅 프로세스를 관리해야 합니다. AKS에서 OS Guard를 사용하는 Azure Linux 는 지원하지 Unmanaged않습니다.
SecurityPatch AKS 테스트를 거치고 안전한 배포 방식을 적용하는 완전 관리형 OS 보안 패치입니다. AKS는 정기적으로 노드의 VHD(가상 하드 디스크)를 "보안 전용"이라는 레이블이 지정된 이미지 유지 관리자의 패치로 업데이트합니다. 보안 패치가 노드에 적용될 때 중단이 있을 수 있습니다. 그러나 AKS는 특정 커널 보안 패키지와 같이 필요한 경우에만 노드를 다시 설치하여 중단을 제한하고 있습니다. 패치가 적용되면 VHD가 업데이트되고 기존 머신이 해당 VHD로 업그레이드되어 유지 관리 기간 및 서지 설정을 적용합니다. AKS가 노드를 이미지로 다시 설치할 필요가 없다고 결정한 경우 Pod를 드레이닝하지 않고 노드를 라이브로 패치하고 VHD 업데이트를 수행하지 않습니다. 이 옵션은 노드 리소스 그룹에서 VHD를 호스팅하는 데 추가 비용이 발생합니다. 이 채널을 사용하는 경우 Linux 무인 업그레이드를 기본적으로 사용하지 않도록 설정됩니다. Azure Linux는 GPU 사용 VM에서 이 채널을 지원하지 않습니다. SecurityPatch은(는) Kubernetes 부 버전이 계속 지원되는 한 사용되지 않는 Kubernetes 패치 버전에서 작동합니다. AKS용 플랫카 컨테이너 LinuxAKS에서 OS Guard를 사용하는 Azure Linux 는 지원하지 SecurityPatch않습니다.
NodeImage AKS는 매주 주기에 대한 보안 수정 및 버그 수정이 포함된 새로 패치된 VHD로 노드를 업데이트합니다. 새 VHD에 대한 업데이트는 유지 관리 기간 및 급증 설정에 따라 중단됩니다. 이 옵션을 선택할 때 추가 VHD 비용이 발생하지 않습니다. 이 채널을 사용하는 경우 Linux 무인 업그레이드를 기본적으로 사용하지 않도록 설정됩니다. 클러스터 Kubernetes 부 버전이 계속 지원되는 한 노드 이미지 업그레이드가 지원됩니다. 노드 이미지는 AKS에서 테스트되고 완전히 관리되며 안전한 배포 사례를 사용하여 적용됩니다.

선택할 항목 - SecurityPatch 채널 또는 NodeImage 채널

AKS 자동 클러스터의 경우

AKS 자동은 기본적으로 NodeImage 채널을 사용합니다. 이 채널은 프로덕션 워크로드에 대한 보안 수정, 버그 수정 및 관리 효율성의 최상의 균형을 제공합니다. 주간 주기는 AKS 모범 사례와 일치하며 수동 개입 없이 최적의 클러스터 성능을 위해 조정됩니다.

구성이 필요하지 않습니다 . 업그레이드는 유지 관리 기간 내에 자동으로 수행됩니다. 업데이트가 발생하는 시기를 제어하려는 경우 유지 관리 기간을 조정할 수 있지만 채널 선택은 고정되어 있습니다.

AKS Automatic에 왜 NodeImage를 사용할까요?

  • 포괄적인 안정성을 위한 보안 수정 및 버그 수정을 모두 포함합니다.
  • 주간 주기는 예측 가능한 업데이트 타이밍을 제공합니다.
  • 안전한 배포 방법을 사용하여 AKS에서 완벽하게 관리
  • 추가 VHD 호스팅 비용 없음
  • 권장되는 기본값을 사용하여 프로덕션 워크로드에 최적화됨

AKS 표준 클러스터의 경우

AKS 표준을 사용하는 경우 아래 비교를 사용하여 요구 사항을 평가하여 채널 중에서 SecurityPatchNodeImage 선택합니다.

채널 중 SecurityPatch 에서 NodeImage 선택해야 하는 두 가지 중요한 고려 사항이 있습니다.

재산 NodeImage 채널 SecurityPatch 채널 권장 채널
Speed of shipping 새 VHD에 대한 일반적인 빌드, 테스트, 릴리스 및 출시 타임라인은 안전한 배포 사례에 따라 약 2주가 걸릴 수 있습니다. CVE의 경우 사례별로 가속 롤아웃이 발생할 수 있습니다. 새 VHD가 지역에 도달한 정확한 타이밍은 릴리스 추적기를 통해 모니터링할 수 있습니다. SecurityPatch 릴리스는 안전한 배포 사례를 사용하더라도 NodeImage보다 비교적 빠릅니다. SecurityPatch는 Linux 환경에서 '라이브 패치'의 장점이 있습니다. 여기서 패치는 선택적 '이미지 다시 이미지화'로 이어지며 패치가 적용될 때마다 이미지로 다시 설치되지 않습니다. 다시 이미지가 발생하는 경우 유지 관리 기간에 의해 제어됩니다. SecurityPatch
Bugfixes 보안 수정 외에도 버그 수정을 수행합니다. 엄격하게 보안 수정만 수행합니다. NodeImage

클러스터 모드 비교

다음 표에는 클러스터 모드별 노드 OS 자동 업그레이드 구성이 요약되어 있습니다.

Aspect AKS 자동화 AKS 표준
기본 채널 NodeImage(미리 구성됨) 수동 선택 필요
업데이트 주기 매주(고정) 선택한 채널에 따라
구성이 필요함 없음 - 자동 업그레이드 예 - 채널 및 일정 선택
버그 수정 포함 Yes NodeImage 채널이 선택된 경우에만
권장 대상 대부분의 프로덕션 워크로드 사용자 지정 요구 사항 또는 특정 제약 조건
유지 관리 기간 제어 선택 사항 강력히 권장됨

새 클러스터에서 노드 OS 자동 업그레이드 채널 설정

참고

AKS 자동 클러스터를 만드는 경우 다음 단계를 건너뜁니다. NodeImage 채널이 이미 미리 구성되어 있습니다. 이러한 단계는 AKS 표준 클러스터에만 적용됩니다.

az aks create 매개 변수와 함께 --node-os-upgrade-channel 명령을 사용하여 새 클러스터에서 노드 OS 자동 업그레이드 채널을 설정합니다. 다음 예제에서는 노드 OS 자동 업그레이드 채널을 SecurityPatch(으)로 설정합니다.

export RANDOM_SUFFIX=$(openssl rand -hex 3)
export RESOURCE_GROUP="myResourceGroup$RANDOM_SUFFIX"
export AKS_CLUSTER="myAKSCluster$RANDOM_SUFFIX"
az aks create \
    --resource-group $RESOURCE_GROUP \
    --name $AKS_CLUSTER \
    --node-os-upgrade-channel SecurityPatch \
    --generate-ssh-keys

기존 클러스터에서 노드 OS 자동 업그레이드 채널 설정

참고

AKS 자동 클러스터를 사용하는 경우 노드 OS 자동 업그레이드 채널을 변경할 수 없습니다. NodeImage를 사용하도록 미리 구성됩니다. 이러한 단계는 AKS 표준 클러스터에만 적용됩니다. 필요한 경우 AKS 자동 클러스터에 대한 유지 관리 기간을 조정할 수 있습니다.

az aks update 매개 변수가 포함된 --node-os-upgrade-channel 명령을 사용하여 기존 클러스터의 노드 OS 자동 업그레이드 채널을 설정합니다. 다음 예제에서는 노드 OS 자동 업그레이드 채널을 SecurityPatch(으)로 설정합니다.

az aks update --resource-group $RESOURCE_GROUP --name $AKS_CLUSTER --node-os-upgrade-channel SecurityPatch

결과:

{
  "autoUpgradeProfile": {
      "nodeOsUpgradeChannel": "SecurityPatch"
  }
}

AKS 자동 클러스터에 대한 유지 관리 기간 조정

참고

AKS 자동 클러스터는 미리 구성된 NodeImage 채널을 사용하며 이 선택을 변경할 수 없습니다. 그러나 유지 관리 기간을 구성하여 업그레이드가 발생하는 시기를 조정할 수 있습니다.

az aks update 매개변수와 --node-os-upgrade-channel NodeImage 옵션을 사용하여 --schedule-config 명령으로 노드 OS 자동 업그레이드의 유지 관리 시간을 설정합니다.

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $AKS_CLUSTER \
    --node-os-upgrade-channel NodeImage \
    --schedule-config "scheduled-maintenance-window=true" \
    --maintenance-window "frequency=Weekly,day-of-week=Sunday,utc-offset=+00:00,duration-hours=4,start-hour=2"

채널별 소유권 및 주기 업데이트

기본 주기는 계획된 유지 관리 기간이 적용되지 않음을 의미합니다.

채널 소유권 업데이트 기본 주기
Unmanaged OS 기반 보안 업데이트. AKS는 이러한 업데이트를 제어할 수 없습니다. Ubuntu 및 Azure Linux의 경우 오전 6시(UTC)입니다. Windows의 경우 매월.
SecurityPatch AKS에서 테스트하고, 완전히 관리되며, 안전한 배포 사례를 사용하여 적용됩니다. 자세한 내용은 Azure 정식 워크로드의 보안 및 복원력 향상을 참조하세요. 일반적으로 매주보다 빠른 AKS는 주기를 결정했습니다.
NodeImage AKS에서 테스트하고, 완전히 관리되며, 안전한 배포 사례를 사용하여 적용됩니다. 릴리스에 관한 실시간 정보는 릴리스 추적기의 AKS 노드 이미지를 확인하세요. 매주

참고

Windows 보안 업데이트는 매월 릴리스되지만 채널을 사용하면 Unmanaged Windows 노드에 이러한 업데이트가 자동으로 적용되지 않습니다. Unmanaged 채널을 선택하는 경우 Windows 노드에 대한 재부팅 프로세스를 관리해야 합니다.

노드 OS 자동 업그레이드 채널 알려진 제한 사항

  • 현재 클러스터 자동 업그레이드 채널node-image에 설정하면 노드 OS 자동 업그레이드 채널도 자동으로 NodeImage(이)가 됩니다. 클러스터 자동 업그레이드 채널이 node-image인 경우 노드 OS 자동 업그레이드 채널 값을 변경할 수 없습니다. 노드 OS 자동 업그레이드 채널 값을 설정하려면 cluster autoupgrade channel 값이 node-image가 아닌지 확인합니다.
  • SecurityPatch 채널은 Windows OS 노드 풀에서 지원되지 않습니다.
  • SecurityPatch 채널은 OS 디스크 암호화에 고객 관리형 키(CMK)를 요구하기 위해 deny 효과를 사용하는 Azure Policy와 호환되지 않습니다. 보안 패치를 적용하는 동안 AKS는 해당 정책이 허용하지 않는 노드 리소스 그룹()에 VMSS(가상 머신 확장 집합)(copy-접두사MC_)를 일시적으로 만들므로 업그레이드가 오류와 함께 RequestDisallowedByPolicy 실패합니다. 노드 풀에 고객 관리형 키를 사용하는 것은 SecurityPatch와 함께 여전히 지원됩니다. 충돌은 deny-effect 정책에서만 발생합니다. CMK OS 디스크 암호화에 대해 조직 전체에 적용되는 deny 정책이 필요한 경우 대신 NodeImage 채널을 사용하세요.

참고

SecurityPatch 채널에는 CLI 버전 2.61.0 이상을 사용합니다.

노드 OS 계획된 유지 관리 기간

노드 OS 자동 업그레이드에 대한 계획된 유지 관리는 지정된 유지 관리 기간에서 시작됩니다.

참고

적절한 기능을 보장하려면 유지 관리 기간을 4시간 이상으로 설정합니다.

계획된 유지 관리에 대한 자세한 내용은 계획된 유지 관리를 사용하여 AKS(Azure Kubernetes Service) 클러스터의 유지 관리 기간 예약을 참조하세요.

노드 OS 자동 업그레이드 FAQ

클러스터에서 현재 nodeOsUpgradeChannel 값을 확인하려면 어떻게 해야 하나요?

az aks show 명령을 실행하고 "autoUpgradeProfile"을 확인하여 nodeOsUpgradeChannel이(가) 설정된 값을 확인합니다.

az aks show --resource-group $RESOURCE_GROUP --name $AKS_CLUSTER --query "autoUpgradeProfile"

결과:

{
  "nodeOsUpgradeChannel": "SecurityPatch"
}

노드 OS 자동 업그레이드가 AKS 자동에 대해 다르게 구성되었나요?

Yes. AKS 자동 클러스터는 기본적으로 NodeImage 채널을 사용하도록 미리 구성됩니다. 아무것도 구성할 필요가 없습니다. 이 구성은 다음을 제공합니다.

  • 주간 보안 수정 및 버그 수정
  • 안전한 배포 방식으로 자동 재이미징
  • 유지 관리 기간 제어(선택 사항)
  • 대부분의 워크로드에 최적화된 프로덕션 준비 기본값
  • 추가 VHD 호스팅 비용 없음

AKS 표준 클러스터를 사용하려면 특정 요구 사항에 따라 채널을 선택해야 합니다. AKS Standard에서 AKS Automatic으로 마이그레이션하고 이러한 사전 구성된 기본값의 이점을 누리려면 Azure Kubernetes Service(AKS) Automatic이란?을(를) 참조하세요.

AKS 자동 클러스터에서 노드 OS 자동 업그레이드 채널을 변경할 수 있나요?

아니요. AKS 자동 클러스터는 NodeImage 채널을 사용하며 이 채널을 변경할 수 없습니다. 다른 채널이 필요한 경우 AKS 표준 클러스터를 사용합니다. 그러나 AKS 자동 클러스터에서 업그레이드가 발생하는 시기를 제어하도록 유지 관리 기간을 조정할 수 있습니다.

노드 OS 자동 업그레이드의 상태를 모니터링하려면 어떻게 해야 하나요?

노드 OS 자동 업그레이드의 상태를 보려면 클러스터에서 활동 로그를 조회합니다. AKS 클러스터 업그레이드에 언급된 대로 특정 업그레이드 관련 이벤트를 찾아볼 수도 있습니다. AKS는 업그레이드 관련 Event Grid 이벤트도 내보냅니다. 자세한 내용은 AKS를 Event Grid 원본을 참조하세요.

클러스터 자동 업그레이드 채널이 로 설정된 node-image경우 노드 OS 자동 업그레이드 채널 값을 변경할 수 있나요?

아니요. 현재 클러스터 자동 업그레이드 채널node-image에 설정하면 노드 OS 자동 업그레이드 채널도 자동으로 NodeImage(이)가 됩니다. 클러스터 자동 업그레이드 채널이 node-image인 경우 노드 OS 자동 업그레이드 채널 값을 변경할 수 없습니다. 노드 OS 자동 업그레이드 채널 값을 변경하려면 클러스터 자동 업그레이드 채널 이 아닌지 node-image확인합니다.

Unmanaged 채널에서 AKS는 보안 업데이트가 제공되는 방법과 시기를 제어할 수 없습니다. SecurityPatch와(과) 함께 보안 업데이트는 완전히 테스트되고 안전한 배포 사례를 따릅니다. SecurityPatch은(는) 또한 유지 관리 기간을 적용합니다. 자세한 내용은 Azure 정식 워크로드의 보안 및 복원력 향상을 참조하세요.

SecurityPatch(으)로 인해 항상 내 노드가 이미지로 다시 설치되나요?

AKS는 이미지 재이미지를 완전히 적용해야 할 수 있는 특정 커널 패키지와 같이 필요한 경우에만 이미지 재이미지를 제한합니다. SecurityPatch는 가능한 한 중단을 최소화하도록 설계되었습니다. AKS가 노드에 이미지로 다시 설치가 필요 없다고 판단하면 Pod를 드레이닝하지 않고 노드를 실시간으로 패치하며, 이러한 경우 VHD 업데이트가 수행되지 않습니다.

SecurityPatch 채널이 snapshot.ubuntu.com 엔드포인트에 도달해야 하는 이유는 무엇인가요?

SecurityPatch 채널을 사용하면 Linux 클러스터 노드는 ubuntu-snapshots-on-azure-ensuring-predictability-and-consistency-in-cloud-deployments에서 설명된 ubuntu 스냅샷 서비스에서 필요한 보안 패치 및 업데이트를 다운로드해야 합니다.

SecurityPatch 또는 NodeImage 업그레이드가 노드에 적용되는지 어떻게 알 수 있나요?

kubectl get nodes --show-labels 명령을 실행하여 클러스터의 노드와 해당 레이블을 나열합니다.

반환된 레이블 중에는 다음 출력과 유사한 선이 표시됩니다.

kubernetes.azure.com/node-image-version=AKSUbuntu-2204gen2containerd-202410.27.0-2024.12.01

여기서 기본 노드 이미지 버전은 AKSUbuntu-2204gen2containerd-202410.27.0입니다. 해당하는 경우 보안 패치 버전은 일반적으로 다음과 같습니다. 앞의 예제에서는 다음과 같습니다 2024.12.01.

노드 레이블 보기 아래의 Azure Portal에서도 동일한 세부 정보를 조회합니다.

Azure Portal의 AKS 클러스터에 대한 노드 페이지의 스크린샷. 노드 이미지 버전의 레이블은 기본 노드 이미지와 적용된 최신 보안 패치 날짜를 명확하게 표시합니다.

업그레이드 모범 사례 및 기타 고려 사항에 대한 자세한 내용은 AKS 패치 및 업그레이드 지침을 참조하세요.

AKS Automatic의 미리 구성된 설정 및 프로덕션 준비 기본값에 대해 자세히 알아보려면 AKS(Azure Kubernetes Service) 자동이란?을 참조하세요.