Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Neste artigo, irá aprender sobre a funcionalidade de pools de nós do sistema gerido (pré-visualização) para clusters automáticos do Azure Kubernetes Service (AKS). Com esta funcionalidade, o AKS gere automaticamente os pools de nós do sistema no seu cluster, incluindo configuração, escalabilidade e manutenção.
Para criar um cluster AKS Automático com pools de nós do sistema que são geridos, consulte o Criar um serviço Azure Kubernetes (AKS) Cluster Automático com pools de nós do sistema geridos (pré-visualização).
Importante
Os recursos de pré-visualização do AKS estão disponíveis numa base de autosserviço e adesão voluntária. As visualizações prévias são fornecidas "como estão" e "conforme disponíveis" e são excluídas dos contratos de nível de serviço e da garantia limitada. As versões de teste do AKS são parcialmente cobertas pelo suporte ao cliente numa base de melhor esforço. Assim sendo, estas funcionalidades não se destinam ao uso em produção. Para obter mais informações, consulte os seguintes artigos de suporte:
Principais características e benefícios
A funcionalidade de pools de nós do sistema gerido permite-lhe focar-se nas suas aplicações, enquanto o AKS Automatic garante que a infraestrutura subjacente está otimizada para desempenho e fiabilidade. Principais características e benefícios incluem:
- Sem sobrecarga operacional: o AKS provisiona, atualiza e escala automaticamente os pools de nós do sistema, eliminando a necessidade de intervenção manual.
- Criação simplificada de clusters: Não precisa de acompanhar ou alocar quotas de computação para pools de nós do sistema, pois o AKS trata disso por si.
- Eficiência de custos: As máquinas virtuais (VMs) a correr em conjuntos de nós do sistema não são cobradas nas subscrições dos clientes, permitindo-lhe otimizar custos mantendo um alto desempenho.
- Desempenho melhorado: Isolar cargas de trabalho do sistema das aplicações do cliente melhora a fiabilidade e assegura um desempenho consistente apoiado por Acordos de Nível de Serviço (SLAs).
Componentes dos pools de nós do sistema gerido
A tabela seguinte descreve os componentes geridos pelo AKS em pools de nós de sistema geridos. O AKS trata da criação, atualização e escalabilidade dos nós do sistema onde estes componentes são executados.
| Componente | Namespace | Desdobramento(s) |
|---|---|---|
| Azure Monitor | kube-system |
ama-logs, ama-metrics, ama-metrics-ksm, ama-metrics-operator-targets |
| Identidade da carga de trabalho | kube-system |
azure-wi-webhook-controller-manager |
| CoreDNS | kube-system |
coredns, coredns-autoscaler |
| Apagador | kube-system |
eraser-controller-manager |
| Kubernetes Autoscaling Orientado por Eventos (KEDA) | kube-system |
keda-admission-webhooks, keda-operator, keda-operator-metrics-apiserver |
| Konnectividade | kube-system |
konnectivity-agent, konnectivity-agent-autoscaler |
| Servidor de Métricas | kube-system |
metrics-server |
| Autoscaling de Pods Verticais (VPA) | kube-system |
vpa-admission-controller, vpa-recommender, vpa-updater |
Outros add-ons e extensões correm num aks-system-surge nó, com a escalabilidade gerida pelo auto-provisionamento de nó (NAP).
DaemonSets Pode ser executado tanto em pools de nós do sistema geridos como nos nós da sua subscrição, incluindo os aks-system-surge nós.
Restrições de segurança para pools de nós de sistema geridos
Como o AKS gere o pool de nós do sistema em seu nome, o AKS aplica múltiplas camadas de restrições de segurança através de políticas integradas, padrões de segurança de pods base e políticas de tempo de admissão. Estas restrições ajudam a proteger os componentes do sistema gerido e a preservar a fronteira entre as cargas de trabalho do cliente e a infraestrutura gerida pelo AKS.
| Restrição | O que o AKS impede | Por que é importante |
|---|---|---|
| Alterações de recursos geridos do sistema | Criar, atualizar ou eliminar recursos em namespaces de sistemas geridos por AKS. | Ajuda a proteger os componentes geridos pelo AKS contra alterações iniciadas pelo cliente. |
| Acesso interativo aos pods do sistema | Usar o pod exec, attach ou port-forward contra os pods de sistema geridos pelo AKS. |
Ajuda a evitar o acesso direto a workloads do sistema que estão a ser executadas em pools de nós geridos. |
| Alterações nos nós do sistema gerenciado | Modificar nós do sistema gerido ou rotular nós regulares como nós do sistema gerido. | Ajuda a manter a fronteira entre os nós geridos pelo cliente e os nós do sistema geridos pelo AKS. |
| Colocação de cargas de trabalho em nós de sistemas geridos | Agendar ou executar cargas de trabalho do cliente em nós do sistema geridos por AKS, incluindo cargas de trabalho com tolerâncias reservadas, tolerâncias de wildcard amplas ou agendadores personalizados. | Ajuda a evitar que cargas de trabalho dos clientes corram em nós dedicados do sistema. |
| Caminhos de acesso privilegiados a clusters | Conceder acesso a permissões de proxy de nós sensíveis. | Reduz caminhos que poderiam contornar os controlos normais ou escalar o acesso aos recursos do cluster. |
| Usurpação de identidade protegida | Fazer-se passar por identidades protegidas de AKS, Kubernetes ou de contas de serviço do sistema. | Ajuda a evitar que os chamadores assumam identidades usadas por componentes de sistema de confiança. |
| Alterações ao controlo de segurança gerido pelo AKS | Modificação das políticas de segurança geridas pelo AKS e dos controlos de admissão. | Ajuda a prevenir o enfraquecimento ou a desativação dos controlos que protegem os pools de nós geridos do sistema. |
Operações da API AKS não suportadas
As seguintes operações da API AKS não são suportadas:
- A atualização de um pool de nós de um sistema gerenciado.
- Eliminar um pool de nós de um sistema gerenciado.
- Parar um cluster com um pool de nós de sistema gerido.
- Listar pools de agentes num cluster não inclui pools de nós do sistema geridos.