Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
I den här artikeln får du lära dig mer om funktionen för hanterade systemnodpooler (förhandsversion) för automatiska Aks-kluster (Azure Kubernetes Service). Med den här funktionen hanterar AKS automatiskt systemnodpooler i klustret, inklusive konfiguration, skalning och underhåll.
Information om hur du skapar ett AKS-automatiskt kluster med hanterade systemnodpooler finns i snabbstarten Skapa ett Azure Kubernetes Service -kluster (AKS) med hanterade systemnodpooler (förhandsversion).
Viktigt!
AKS-förhandsversionsfunktioner är tillgängliga via självbetjäning och frivillig registrering. Förhandsversioner tillhandahålls "i befintligt skick" och "i mån av tillgång," och de är undantagna från servicenivåavtal och begränsad garanti. AKS-förhandsversioner stöds delvis av kundsupport efter bästa förmåga. Därför är dessa funktioner inte avsedda för produktionsanvändning. Mer information finns i följande supportartiklar:
Viktiga funktioner och fördelar
Med funktionen för hanterade systemnodpooler kan du fokusera på dina program medan AKS Automatic säkerställer att den underliggande infrastrukturen är optimerad för prestanda och tillförlitlighet. Viktiga funktioner och fördelar är:
- Inga driftkostnader: AKS etablerar, uppgraderar och skalar systemnodpoolerna automatiskt, vilket eliminerar behovet av manuella åtgärder.
- Förenklat klusterskapande: Du behöver inte spåra eller allokera beräkningskvoter för systemnodpooler, eftersom AKS hanterar detta åt dig.
- Kostnadseffektivitet: Virtuella datorer som körs på systemnodpooler debiteras inte för kundprenumerationer, vilket gör att du kan optimera kostnaderna samtidigt som höga prestanda bibehålls.
- Förbättrad prestanda: Isolera systemarbetsbelastningar från kundprogram förbättrar tillförlitligheten och säkerställer konsekventa prestanda som backas upp av serviceavtal (SLA).
Komponenter i hanterade systemnodpooler
I följande tabell beskrivs de komponenter som hanteras av AKS i hanterade systemnodpooler. AKS hanterar skapande, uppgradering och skalning av systemnoderna där dessa komponenter körs.
| Komponent | Namespace | Distribution |
|---|---|---|
| Azure Monitor | kube-system |
ama-logs, ama-metrics, , ama-metrics-ksmama-metrics-operator-targets |
| Arbetsbelastningsidentitet | kube-system |
azure-wi-webhook-controller-manager |
| CoreDNS | kube-system |
coredns, coredns-autoscaler |
| Eraser | kube-system |
eraser-controller-manager |
| Kubernetes Händelsedriven autoskaleringslösning (KEDA) | kube-system |
keda-admission-webhooks, keda-operatorkeda-operator-metrics-apiserver |
| Konnektivitet | kube-system |
konnectivity-agent, konnectivity-agent-autoscaler |
| Metrics-server | kube-system |
metrics-server |
| Vertikal podd-autoskalning (VPA) | kube-system |
vpa-admission-controller, vpa-recommendervpa-updater |
Andra tillägg och tilläggsprogram körs på en aks-system-surge-nod, med skalning som hanteras av automatisk nodedistribution (NAP).
DaemonSets kan köras på både hanterade systemnodpooler och noder i din prenumeration, inklusive aks-system-surge noderna.
Säkerhetsbegränsningar för hanterade systemnodpooler
Eftersom AKS hanterar systemnodpoolen åt dig tillämpar AKS flera lager av säkerhetsbegränsningar genom inbyggda principer, säkerhetsstandarder för baslinjepoddar och principer för antagningstid. Dessa begränsningar hjälper till att skydda hanterade systemkomponenter och bevara gränsen mellan kundarbetsbelastningar och AKS-hanterad infrastruktur.
| Begränsning | Vad AKS förhindrar | Varför det spelar roll |
|---|---|---|
| Ändringar i hanterade systemresurser | Skapa, uppdatera eller ta bort resurser i AKS-hanterade systemnamnområden. | Hjälper till att skydda AKS-hanterade komponenter från kundinitierade ändringar. |
| Interaktiv åtkomst till systempoddar | Använda poddar exec, attach eller port-forward mot AKS-hanterade systempoddar. |
Hjälper till att förhindra direkt åtkomst till systemarbetsbelastningar som körs på hanterade systemnodpooler. |
| Ändringar i den hanterade systemnoden | Ändra hanterade systemnoder eller märka vanliga noder som hanterade systemnoder. | Hjälper till att upprätthålla gränsen mellan kundhanterade noder och AKS-hanterade systemnoder. |
| Arbetsbelastningsplacering på hanterade systemnoder | Schemalägga eller köra kundarbetslaster på AKS-hanterade systemnoder, inklusive arbetslaster med reserverade tåligheter, omfattande maskeringstoleranser eller anpassade schemaläggare. | Hjälper till att förhindra att kundarbetsbelastningar körs på dedikerade systemnoder. |
| Åtkomstsökvägar för privilegierat kluster | Bevilja åtkomst till behörigheter för känslig nodproxy. | Minskar sökvägar som kan kringgå normala kontroller eller eskalera åtkomsten till klusterresurser. |
| Skyddad identitetsförklädnad | Personifiera skyddade AKS-, Kubernetes- eller systemtjänstkontoidentiteter. | Hjälper till att förhindra att anropare antar identiteter som används av betrodda systemkomponenter. |
| Ändringar i AKS-hanterad säkerhetskontroll | Ändra AKS-hanterade säkerhetsprinciper och antagningskontroller. | Hjälper till att förhindra att kontrollerna som skyddar hanterade systemnodpooler försvagas eller inaktiveras. |
AKS API-åtgärder som inte stöds
Följande AKS API-åtgärder stöds inte:
- Uppgradera en hanterad systemnodspool.
- Ta bort en hanterad systemnodpool.
- Stänga av ett kluster med en hanterad systemnodspool.
- En lista över agentpooler i ett kluster innehåller inte hanterade systemnodpooler.