Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo illustra la funzionalità pool di nodi di sistema gestiti (anteprima) per i cluster automatici del servizio Azure Kubernetes. Con questa funzionalità, AKS gestisce automaticamente i pool di nodi di sistema nel tuo cluster, inclusi configurazione, ridimensionamento e manutenzione.
Per creare un cluster automatico del servizio Azure Kubernetes con pool di nodi di sistema gestiti, vedere la guida introduttiva Creare un cluster automatico del servizio Azure Kubernetes con pool di nodi di sistema gestiti (anteprima).
Importante
Le funzionalità di anteprima di AKS sono disponibili su base self-service, su scelta. Le anteprime vengono fornite "così come sono" e "come disponibili" e sono escluse dai contratti di servizio e dalla garanzia limitata. Le anteprime del servizio Azure Kubernetes sono parzialmente coperte dal supporto clienti con la massima diligenza possibile. Di conseguenza, queste funzionalità non sono destinate all'uso in produzione. Per altre informazioni, vedere gli articoli di supporto seguenti:
Caratteristiche e vantaggi principali
La funzionalità pool di nodi di sistema gestito consente di concentrarsi sulle applicazioni mentre AKS Automatic garantisce che l'infrastruttura sottostante sia ottimizzata per prestazioni e affidabilità. Le funzionalità e i vantaggi principali includono:
- Nessun sovraccarico operativo: il servizio Azure Kubernetes effettua automaticamente il provisioning, gli aggiornamenti e ridimensiona automaticamente i pool di nodi di sistema, eliminando la necessità di intervento manuale.
- Creazione semplificata del cluster: non è necessario tenere traccia o allocare quote di calcolo per i pool di nodi di sistema, perché il servizio Azure Kubernetes gestisce automaticamente questa funzionalità.
- Efficienza dei costi: le macchine virtuali in esecuzione nei pool di nodi di sistema non vengono addebitate alle sottoscrizioni dei clienti, consentendo di ottimizzare i costi mantenendo prestazioni elevate.
- Prestazioni migliorate: isolare i carichi di lavoro di sistema dalle applicazioni dei clienti migliora l'affidabilità e garantisce prestazioni coerenti supportate dai contratti di servizio.
Componenti dei pool di nodi di sistema gestito
Nella tabella seguente vengono descritti i componenti gestiti da AKS nei pool di nodi del sistema gestiti. Il servizio AKS gestisce la creazione, l'aggiornamento e il ridimensionamento dei nodi di sistema in cui vengono eseguiti questi componenti.
| Componente | Namespace | Distribuzioni |
|---|---|---|
| Monitoraggio di Azure | kube-system |
ama-logs, ama-metrics, ama-metrics-ksmama-metrics-operator-targets |
| Identità del carico di lavoro | kube-system |
azure-wi-webhook-controller-manager |
| CoreDNS | kube-system |
coredns, coredns-autoscaler |
| Gomma | kube-system |
eraser-controller-manager |
| Scalabilità automatica guidata dagli eventi di Kubernetes (KEDA) | kube-system |
keda-admission-webhooks, keda-operator, keda-operator-metrics-apiserver |
| Konnectivity | kube-system |
konnectivity-agent, konnectivity-agent-autoscaler |
| Server metriche | kube-system |
metrics-server |
| Scalabilità automatica verticale dei pod (VPA) | kube-system |
vpa-admission-controller, vpa-recommender, vpa-updater |
Altri componenti aggiuntivi ed estensioni vengono eseguiti in un nodo aks-system-surge, con scalabilità gestita dal provisioning automatico dei nodi (NAP).
DaemonSets può funzionare sia nei pool di nodi di sistema gestiti sia nei nodi del tuo abbonamento, inclusi i nodi aks-system-surge.
Restrizioni di sicurezza per i pool di nodi di sistema gestiti
Poiché il servizio Azure Kubernetes gestisce il pool di nodi di sistema per conto dell'utente, il servizio Azure Kubernetes applica più livelli di restrizioni di sicurezza tramite criteri predefiniti, standard di sicurezza dei pod di base e criteri di tempo di ammissione. Queste restrizioni consentono di proteggere i componenti del sistema gestito e di mantenere il limite tra i carichi di lavoro dei clienti e l'infrastruttura gestita dal servizio Azure Kubernetes.
| Restrizione | Cosa impedisce AKS | Perché è importante |
|---|---|---|
| Modifiche alle risorse di sistema gestite | Creazione, aggiornamento o eliminazione di risorse nei namespaces di sistema gestiti da AKS. | Consente di proteggere i componenti gestiti dal servizio Azure Kubernetes da modifiche avviate dal cliente. |
| Accesso interattivo ai pod di sistema | Utilizzo di pod exec, attach o port-forward contro i pod di sistema gestiti da AKS. |
Consente di impedire l'accesso diretto ai carichi di lavoro di sistema in esecuzione nei pool di nodi di sistema gestiti. |
| Modifiche al nodo di sistema gestito | Modifica dei nodi di sistema gestiti o assegnazione di etichette ai nodi regolari come nodi di sistema gestiti. | Consente di mantenere il limite tra i nodi gestiti dal cliente e i nodi di sistema gestiti dal servizio Azure Kubernetes. |
| Posizionamento del carico di lavoro nei nodi di sistema gestiti | Pianificazione o esecuzione di carichi di lavoro dei clienti su nodi di sistema gestiti da AKS, inclusi carichi di lavoro con tolleranze riservate, tolleranze con caratteri jolly ampi o pianificatori personalizzati. | Consente di impedire l'esecuzione dei carichi di lavoro dei clienti nei nodi di sistema dedicati. |
| Percorsi di accesso ai cluster con privilegi | Concessione dell'accesso alle autorizzazioni proxy del nodo sensibili. | Riduce le vie che potrebbero ignorare i controlli normali o aumentare l'accesso alle risorse del cluster. |
| Impersonificazione dell'identità protetta | Impersonare le identità protette dell'account del servizio AKS, Kubernetes o del servizio di sistema. | Consente di impedire ai chiamanti di presupporre identità usate dai componenti di sistema attendibili. |
| Modifiche al controllo di sicurezza gestito da AKS (Azure Kubernetes Service) | Modifica dei criteri di sicurezza gestiti dal servizio Azure Kubernetes e dei controlli di ammissione. | Consente di evitare di indebolire o disabilitare i controlli che proteggono i pool di nodi di sistema gestiti. |
Operazioni API AKS non supportate
Le seguenti operazioni API di AKS non sono supportate:
- Aggiornamento di un pool di nodi di sistema gestito.
- Eliminazione di un pool di nodi di sistema gestito.
- Interruzione di un cluster con un pool di nodi di sistema gestito da un sistema.
- L'elenco dei pool di agenti in un cluster non include pool di nodi di sistema gestiti.