Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Neste artigo, você aprenderá sobre o recurso de pools de nós do sistema gerenciado (versão prévia) para clusters automáticos do AKS (Serviço de Kubernetes do Azure). Com esse recurso, o AKS gerencia automaticamente pools de nós do sistema em seu cluster, incluindo configuração, dimensionamento e manutenção.
Para criar um cluster automático do AKS com pools de nós do sistema gerenciado, confira o início rápido Criar um cluster automático do AKS (Serviço de Kubernetes do Azure) com pools de nós do sistema gerenciado (versão prévia).
Importante
As funcionalidades em versão preliminar do AKS estão disponíveis de forma optativa e por autoatendimento. As versões prévias são fornecidas “no estado em que se encontram” e “conforme disponíveis” e são excluídas dos contratos de nível de serviço e da garantia limitada. As versões prévias do AKS são parcialmente cobertas pelo suporte ao cliente em uma base de melhor esforço. Dessa forma, esses recursos não são destinados ao uso em produção. Para obter mais informações, consulte os seguintes artigos:
Principais recursos e benefícios
O recurso de pools de nós do sistema gerenciado permite que você se concentre em seus aplicativos, enquanto o AKS Automático garante que a infraestrutura subjacente seja otimizada para desempenho e confiabilidade. Os principais recursos e benefícios incluem:
- Sem sobrecarga operacional: o AKS provisiona, atualiza e dimensiona os pools de nós do sistema automaticamente, eliminando a necessidade de intervenção manual.
- Criação simplificada de cluster: você não precisa acompanhar ou alocar cotas de computação para pools de nós do sistema, pois o AKS lida com isso para você.
- Eficiência de custo: as VMs (máquinas virtuais) em execução nos pools de nós do sistema não são cobradas para assinaturas do cliente, permitindo que você otimize os custos, mantendo o alto desempenho.
- Desempenho aprimorado: isolar cargas de trabalho do sistema de aplicativos do cliente melhora a confiabilidade e garante um desempenho consistente apoiado por SLAs (Contratos de Nível de Serviços).
Componentes de pools de nós do sistema gerenciado
A tabela a seguir descreve os componentes gerenciados pelo AKS em pools de nós do sistema gerenciado. O AKS manipula a criação, a atualização e o dimensionamento dos nós do sistema em que esses componentes são executados.
| Componente | Namespace | Implantação(s) |
|---|---|---|
| Azure Monitor | kube-system |
ama-logs, ama-metrics, , ama-metrics-ksmama-metrics-operator-targets |
| Identidade da carga de trabalho | kube-system |
azure-wi-webhook-controller-manager |
| CoreDNS | kube-system |
coredns, coredns-autoscaler |
| Borracha | kube-system |
eraser-controller-manager |
| KEDA (Dimensionamento automático controlado por eventos do Kubernetes) | kube-system |
keda-admission-webhooks
keda-operator, keda-operator-metrics-apiserver |
| Konnectivity | kube-system |
konnectivity-agent, konnectivity-agent-autoscaler |
| Servidor de Métricas | kube-system |
metrics-server |
| Escala automática vertical de pod (VPA) | kube-system |
vpa-admission-controller
vpa-recommender, vpa-updater |
Outros complementos e extensões são executados em um aks-system-surge nó, com escala manipulada pelo NAP (provisionamento automático de nó).
Os DaemonSets são executados tanto em pools de nós do sistema gerenciados quanto em nós da sua assinatura, incluindo os nós aks-system-surge.
Restrições de segurança para os pools de nós do sistema gerenciado
Como o AKS gerencia o pool de nós do sistema em seu nome, o AKS aplica várias camadas de restrições de segurança por meio de políticas internas, padrões de segurança de pod de linha de base e políticas de tempo de admissão. Essas restrições ajudam a proteger os componentes do sistema gerenciado e a preservar o limite entre cargas de trabalho do cliente e a infraestrutura gerenciada pelo AKS.
| Restrição | O que o AKS impede | Por que isso importa |
|---|---|---|
| Alterações de recursos do sistema gerenciado | Criando, atualizando ou excluindo recursos em namespaces de sistema gerenciados pelo AKS. | Ajuda a proteger os componentes gerenciados pelo AKS contra alterações iniciadas pelo cliente. |
| Acesso interativo aos pods de sistema | Usando pod exec, attach ou port-forward contra pods de sistema gerenciados pelo AKS. |
Ajuda a impedir o acesso direto a cargas de trabalho do sistema em execução em pools de nós gerenciados do sistema. |
| Alterações no nó do sistema gerenciado | Modificando os nós de sistema gerenciado ou marcando os nós regulares como os nós de sistema gerenciado. | Ajuda a manter o limite entre nós gerenciados pelo cliente e nós do sistema gerenciados pelo AKS. |
| Posicionamento da carga de trabalho em nós do sistema gerenciado | Agendamento ou execução de workloads do cliente em nós do sistema gerenciados pelo AKS, incluindo as workloads com tolerâncias reservadas, tolerâncias curinga amplas ou agendadores personalizados. | Ajuda a impedir que as cargas de trabalho do cliente sejam executadas em nós de sistema dedicados. |
| Caminhos privilegiados de acesso ao cluster | Concedendo acesso a permissões de proxy de nó confidenciais. | Reduz caminhos que podem ignorar controles normais ou escalonar o acesso aos recursos do cluster. |
| Representação de identidade protegida | Representando identidades protegidas do AKS, Kubernetes ou da conta de serviço do sistema. | Ajuda a impedir que os chamadores assumam identidades usadas por componentes do sistema confiáveis. |
| Alterações no controle de segurança gerido pelo AKS | Modificando políticas de segurança gerenciadas pelo AKS e controles de admissão. | Ajuda a evitar enfraquecer ou desabilitar os controles que protegem os pools de nós do sistema gerenciado. |
Operações de API do AKS sem suporte
As seguintes operações de API do AKS não têm suporte:
- Atualização de um pool de nós do sistema gerenciado.
- Exclusão de um pool de nós do sistema gerenciado.
- Interrupção de um cluster com um pool de nós do sistema gerenciado.
- Listar pools de agentes em um cluster não inclui pools de nós gerenciados do sistema.