Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel erfahren Sie mehr über das Feature für verwaltete Systemknotenpools (Vorschau) für automatische Azure Kubernetes Service (AKS)-Cluster. Mit diesem Feature verwaltet AKS automatisch Systemknotenpools in Ihrem Cluster, einschließlich Konfiguration, Skalierung und Wartung.
Informationen zum Erstellen eines automatischen AKS-Clusters mit verwalteten Systemknotenpools finden Sie im Schnellstart zum Erstellen eines automatischen Azure Kubernetes-Diensts (AKS) mit verwalteten Systemknotenpools (Vorschau).
Von Bedeutung
AKS-Vorschaufunktionen sind auf Selbstbedienungsbasis und freiwillig verfügbar. Vorschauversionen werden „im Istzustand“ und „wie verfügbar“ bereitgestellt und sind von den Service Level Agreements und der eingeschränkten Garantie ausgeschlossen. AKS-Vorschauversionen werden teilweise vom Kundensupport auf Grundlage der bestmöglichen Leistung abgedeckt. Daher sind diese Funktionen nicht für die Verwendung in der Produktion vorgesehen. Weitere Informationen finden Sie in den folgenden Supportartikeln:
Wichtige Features und Vorteile
Mit dem Feature für verwaltete Systemknotenpools können Sie sich auf Ihre Anwendungen konzentrieren, während AKS Automatic sicherstellt, dass die zugrunde liegende Infrastruktur für Leistung und Zuverlässigkeit optimiert ist. Zu den wichtigsten Features und Vorteilen gehören:
- Kein betriebstechnischer Aufwand: AKS stellt Systemknotenpools bereit, führt Upgrades durch und skaliert automatisch, wodurch manuelle Eingriffe überflüssig werden.
- Vereinfachte Clustererstellung: Sie müssen keine Computekontingente für Systemknotenpools nachverfolgen oder zuweisen, da dies von AKS für Sie behandelt wird.
- Kosteneffizienz: Virtuelle Computer (VMs), die auf Systemknotenpools ausgeführt werden, werden Kundenabonnements nicht in Rechnung gestellt, sodass Sie die Kosten optimieren und gleichzeitig eine hohe Leistung gewährleisten können.
- Verbesserte Leistung: Das Isolieren von Systemarbeitslasten aus Kundenanwendungen verbessert die Zuverlässigkeit und gewährleistet eine konsistente Leistung, die von Service Level Agreements (SLAs) unterstützt wird.
Komponenten von verwalteten Systemknotenpools
In der folgenden Tabelle werden die von AKS verwalteten Komponenten in verwalteten Systemknotenpools beschrieben. AKS behandelt die Erstellung, Aktualisierung und Skalierung der Systemknoten, auf denen diese Komponenten ausgeführt werden.
| Komponente | Namespace | Bereitstellung(en) |
|---|---|---|
| Azure Monitor. | kube-system |
ama-logs
ama-metrics
ama-metrics-ksm
ama-metrics-operator-targets
|
| Workload-Identität | kube-system |
azure-wi-webhook-controller-manager |
| CoreDNS | kube-system |
coredns, coredns-autoscaler |
| Radiergummi | kube-system |
eraser-controller-manager |
| Kubernetes Ereignisgesteuerte Automatische Skalierung (KEDA) | kube-system |
keda-admission-webhooks, keda-operatorkeda-operator-metrics-apiserver |
| Konnectivität | kube-system |
konnectivity-agent, konnectivity-agent-autoscaler |
| Metrikserver | kube-system |
metrics-server |
| Vertikale Pod-Autoskalierung (VPA) | kube-system |
vpa-admission-controller, vpa-recommendervpa-updater |
Andere Erweiterungen werden auf einem aks-system-surge Knoten ausgeführt, wobei die Skalierung durch Node Auto-Provisioning (NAP) behandelt wird.
DaemonSets sowohl auf verwalteten Systemknotenpools als auch auf Knoten in Ihrem Abonnement ausgeführen, einschließlich der aks-system-surge Knoten.
Sicherheitseinschränkungen für verwaltete Systemknotenpools
Da AKS den Systemknotenpool in Ihrem Auftrag verwaltet, wendet AKS mehrere Ebenen von Sicherheitseinschränkungen durch integrierte Richtlinien, grundlegende Pod-Sicherheitsstandards und Richtlinien für die Einlasszeit an. Diese Einschränkungen helfen dabei, verwaltete Systemkomponenten zu schützen und die Grenze zwischen Kundenworkloads und AKS-verwalteter Infrastruktur beizubehalten.
| Einschränkung | Was AKS verhindert | Warum dies wichtig ist |
|---|---|---|
| Änderungen der verwalteten Systemressourcen | Erstellen, Aktualisieren oder Löschen von Ressourcen in AKS-verwalteten Systemnamespaces. | Schützt AKS-verwaltete Komponenten vor vom Kunden initiierten Änderungen. |
| Interaktiver Zugriff auf System-Pods | Verwenden von Pods exec, attachoder port-forward gegen AKS-verwaltete System-Pods. |
Verhindert den direkten Zugriff auf Systemarbeitslasten, die auf verwalteten Systemknotenpools ausgeführt werden. |
| Änderungen des verwalteten Systemknotens | Ändern von verwalteten Systemknoten oder Bezeichnen regulärer Knoten als verwaltete Systemknoten. | Unterstützt die Verwaltung der Grenze zwischen vom Kunden verwalteten Knoten und AKS-verwalteten Systemknoten. |
| Workloadplatzierung auf verwalteten Systemknoten | Planen oder Ausführen von Kunden-Workloads auf von AKS verwalteten Systemknoten, einschließlich Workloads mit reservierten Tolerationen, allgemeinen Wildcard-Tolerationen oder benutzerdefinierten Schedulern. | Verhindert, dass Kundenarbeitslasten auf dedizierten Systemknoten ausgeführt werden. |
| Privilegierte Clusterzugriffspfade | Gewähren des Zugriffs auf vertrauliche Knotenproxyberechtigungen. | Reduziert Pfade, die normale Steuerelemente umgehen oder den Zugriff auf Clusterressourcen eskalieren können. |
| Nachahmung einer geschützten Identität | Sich als Identitäten von geschützten AKS-, Kubernetes- oder Systemdienstkonten ausgeben. | Verhindert, dass Anrufer Identitäten annehmen, die von vertrauenswürdigen Systemkomponenten verwendet werden. |
| Änderungen der AKS-verwalteten Sicherheitssteuerung | Ändern von AKS-verwalteten Sicherheitsrichtlinien und Zulassungskriterien. | Verhindert, dass die Steuerelemente, die verwaltete Systemknotenpools schützen, geschwächt oder deaktiviert werden. |
Nicht unterstützte AKS-API-Vorgänge
Die folgenden AKS-API-Vorgänge werden nicht unterstützt:
- Aktualisieren eines verwalteten Systemknotenpools.
- Löschen eines verwalteten Systemknotenpools.
- Beenden eines Clusters mit einem verwalteten Systemknotenpool.
- Das Auflisten von Agentpools in einem Cluster umfasst keine verwalteten Systemknotenpools.