Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel vindt u meer informatie over de functie voor pools voor beheerde systeemknooppunten (preview) voor automatische AKS-clusters (Azure Kubernetes Service). Met deze functie beheert AKS automatisch systeemknooppuntgroepen in uw cluster, inclusief configuratie, schaalaanpassing en onderhoud.
Als u een automatisch AKS-cluster met beheerde systeemknooppuntgroepen wilt maken, raadpleegt u de quickstart Een automatisch AKS-cluster (Azure Kubernetes Service) maken met pools voor beheerde systeemknooppunten (preview).
Belangrijk
AKS preview-functies zijn beschikbaar op selfservice, opt-in basis. Previews worden geleverd 'zoals het is' en 'voor zover beschikbaar' en zijn uitgesloten van de serviceovereenkomsten en beperkte garantie. AKS-previews worden gedeeltelijk gedekt door klantondersteuning naar best vermogen. Zodoende zijn deze functies niet bedoeld voor productiegebruik. Zie de volgende ondersteuningsartikelen voor meer informatie:
Belangrijke functies en voordelen
Met de functie voor beheerde systeemknooppuntgroepen kunt u zich richten op uw toepassingen terwijl AKS Automatisch ervoor zorgt dat de onderliggende infrastructuur is geoptimaliseerd voor prestaties en betrouwbaarheid. Belangrijke functies en voordelen zijn onder andere:
- Geen operationele overhead: AKS zorgt voor de provisioning, upgrades en automatische schaalvergroting van de systeemnodegroepen, zodat er geen handmatige interventie nodig is.
- Vereenvoudigd cluster maken: u hoeft geen rekenquota voor systeemknooppuntgroepen bij te houden of toe te wijzen, omdat AKS dit voor u afhandelt.
- Kostenefficiëntie: virtuele machines (VM's) die worden uitgevoerd op systeemknooppuntgroepen worden niet in rekening gebracht voor klantabonnementen, zodat u kosten kunt optimaliseren terwijl u hoge prestaties behoudt.
- Verbeterde prestaties: het isoleren van systeemworkloads van klanttoepassingen verbetert de betrouwbaarheid en zorgt voor consistente prestaties die worden ondersteund door Service Level Agreements (SLA's).
Onderdelen van beheerde systeemknooppuntgroepen
De volgende tabel bevat een overzicht van de onderdelen die worden beheerd door AKS in pools met beheerde systeemknooppunten. AKS verwerkt het maken, upgraden en schalen van de systeemknooppunten waarop deze onderdelen worden uitgevoerd.
| Onderdeel | Namespace | Uitrol(en) |
|---|---|---|
| Azure Monitor | kube-system |
ama-logs,ama-metrics,ama-metrics-ksm,ama-metrics-operator-targets |
| Workloadidentiteit | kube-system |
azure-wi-webhook-controller-manager |
| CoreDNS | kube-system |
coredns, coredns-autoscaler |
| Gum | kube-system |
eraser-controller-manager |
| Kubernetes Gebeurtenisgestuurde Automatische schaalaanpassing (KEDA) | kube-system |
keda-admission-webhooks, keda-operatorkeda-operator-metrics-apiserver |
| Konnectivity | kube-system |
konnectivity-agent, konnectivity-agent-autoscaler |
| Server voor metrische gegevens | kube-system |
metrics-server |
| Verticale pod automatisch schalen (VPA) | kube-system |
vpa-admission-controller, vpa-recommendervpa-updater |
Andere invoegtoepassingen en extensies worden uitgevoerd op een aks-system-surge knooppunt, met schaalaanpassing die wordt verwerkt door automatisch inrichten van knooppunten (NAP).
DaemonSets worden uitgevoerd op zowel beheerde systeemknooppuntgroepen als knooppunten in uw abonnement, inclusief de aks-system-surge knooppunten.
Beveiligingsbeperkingen voor beheerde systeemknooppuntgroepen
Aangezien AKS namens u de systeemknooppuntgroep beheert, past AKS meerdere beveiligingsbeperkingen toe via ingebouwde beleidsregels, basisbeveiligingsstandaarden voor pods en toegangstijdbeleid. Deze beperkingen helpen beheerde systeemonderdelen te beveiligen en de grens tussen workloads van klanten en door AKS beheerde infrastructuur te behouden.
| Beperking | Wat AKS voorkomt | Waarom het belangrijk is |
|---|---|---|
| Wijzigingen in beheerde systeemresources | Resources maken, bijwerken of verwijderen in door AKS beheerde systeemnaamruimten. | Helpt AKS-beheerde onderdelen te beveiligen tegen door de klant geïnitieerde wijzigingen. |
| Interactieve toegang tot systeem-pods | Het gebruik van exec, attach, of port-forward tegen AKS-beheerde systeempods. |
Hiermee voorkomt u directe toegang tot systeemworkloads die worden uitgevoerd op beheerde systeemknooppuntgroepen. |
| Wijzigingen in het beheerde systeemknooppunt | Het wijzigen van beheerde systeemknooppunten of het labelen van gewone knooppunten als beheerde systeemknooppunten. | Helpt bij het onderhouden van de grens tussen door de klant beheerde knooppunten en door AKS beheerde systeemknooppunten. |
| Plaatsing van werkbelastingen op beheerde systeemknooppunten | Het plannen of uitvoeren van klantworkloads op door AKS beheerde systeemknooppunten, waaronder workloads met gereserveerde toleranties, brede wildcard-toleranties of aangepaste schedulers. | Helpt voorkomen dat workloads van klanten worden uitgevoerd op toegewezen systeemknooppunten. |
| Toegangspaden voor geprivilegieerde clusters | Toegang verlenen tot gevoelige knooppuntproxymachtigingen. | Vermindert paden die normale controles kunnen omzeilen of ongeoorloofde toegang tot clusterbronnen kunnen vergroten. |
| Imitatie van beveiligde identiteit | Imitatie van beveiligde AKS-, Kubernetes- of systeemserviceaccountidentiteiten. | Hiermee voorkomt u dat bellers ten onrechte aannemen dat identiteiten worden gebruikt door vertrouwde systeemcomponenten. |
| Wijzigingen in door AKS beheerde beveiliging | Door AKS beheerd beveiligingsbeleid en toegangsbeheer wijzigen. | Hiermee voorkomt u dat de beheermechanismen die de beheerde systeemknooppuntgroepen beschermen, worden verzwakt of uitgeschakeld. |
Niet-ondersteunde AKS-API-bewerkingen
De volgende AKS API-bewerkingen worden niet ondersteund:
- Een upgrade uitvoeren van een beheerde systeemknooppuntgroep.
- Een beheerde systeemknooppuntgroep verwijderen.
- Een cluster stoppen met een beheerde systeemknooppuntgroep.
- Het vermelden van agentgroepen in een cluster bevat geen beheerde systeemknooppuntgroepen.