![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -戻る --[[Azure]] > [[AKS>Azure Kubernetes Service (AKS)]] --[[AKSをセキュアに利用するためのテクニカルリファレンス]] * 目次 [#z799f319] #contents *概要 [#q631ae27] AKSの -[[バージョン>#p6414f97]] -[[サポート>#d49f0c7b]] -基盤保守 --[[AKS基盤>#ce7e0cd3]] --[[実行ノード>#k82bae22]] について。 *詳細 [#n219bc1b] **バージョン [#p6414f97] ***バージョン間の関連 [#dd1bd5d0] K8sが公開されたら、ソレを利用して、~ マネージド・サービスとして動くAKSを開発してリリース -K8sがアップストリーム(取り込み元) -AKSがダウンストリーム(取り込み先) ***バージョン番号 [#wa58f944] -[[コチラ>.NETアセンブリのバージョン情報]]とほぼ同じセマンティック・バージョニング。 -K8sでは、マイナー・バージョン・アップも比較的安全らしい。 -バージョン番号は(K8sとAKSで≒取り込み元と先で)一致している。 ***リリース頻度 [#gb34b983] -K8s --1ヶ月毎にビルド番号アップ(バグ・フィックス) --3ヶ月毎にマイナー・バージョンアップ(機能追加) -AKS --AKS自体は週次でアップデート --アップストリームの取り込み目標は、 ---30日となってる。 ---セキュリティ・パッチは即時公開 --取り込み元 ---メジャー・バージョン~ 不明(まだ1系だけなので) ---マイナー・バージョン~ 初回の安定版をプレビュー公開して、その後、GA公開する。 ---パッチ・バージョン~ 必要なタイミングで取り込むので、全バージョンは取り込まれない。 --モノによっては、GAまで6ヶ月を要したマイナー・バージョンもある。 **サポート [#d49f0c7b] ***サポート・ポリシー [#l3b5d20e] -K8s --マイナー・バージョン n-2 までサポート(バグ・フィックス)が提供される。 --故に、3つ前のマイナー・バージョンのバグ・フィックスが停止する。 -AKS --マイナー・バージョンは、K8sと同じ(n-2 までサポート) --パッチ・バージョンは、AKSが取り込んだ最新の2つまでサポート。 ***サポート期間 [#h3a2b564] -K8s~ 最近版を取得してからサポート停止まで、最長で、3 * 3 = 9ヶ月となる。 -AKS~ サポート期間は、K8s公開後の取込となるので、K8sより短くなるが、~ 枯れているので、K8sサポート打ち切り後も、暫くサポートが提供される。 ***運用面(AKS) [#r589e215] サポート外の古いバージョンで新規作成不可能 -ただし、サポート外の古いバージョンで継続動作はする。 -AKSがAKS上のK8sを勝手にバージョン・アップすることはない。 -クラスタで使うK8sは、自分でアップデートする。 **基盤保守(AKS基盤) [#ce7e0cd3] 制御プレーン、ノードプール(VMSS)が対象。 ***概要 [#b826d4c2] -AKS基盤はマネージド・サービス(自動) -K8sのバージョンアップは手動 ***サポートを受けるためのバージョン・アップ [#x15fd656] -ワーストケースで1~2ヶ月と短い。 -手順 --制御プレーンのバージョン・アップ --ノードプール、実行ノードのバージョン・アップ ***ミッションクリティカル・システム [#k52340f9] 複数ノードプールを使用したローリング・アップグレードが可能。 -制御プレーンだけ、インプレース・アップグレード -複数ノードプールで、ノードプールは、ローリング・アップグレード **基盤保守(実行ノード) [#k82bae22] 実行ノードのLinux VM や Windows VM が対象。 ***概要 [#ub450e02] -Linuxノード、Windowsノードに対して行う。 -OSのセキュリティ・アップデートは --ノードプールのアップデートでも行われるが、 --基本は、日次で自動更新される。 ***リブート運用 [#i07a6611] サービスを停止させないためのリブート運用は基本的事項だが面倒。 -VMSSのローリング・アップデート機能は、~ ノードプールが破損する可能性があるので、AKSでは非サポート。 -KuredをK8sにインストールし、ローリング・アップグレード的なリブート運用。 **冗長構成 [#nd1c3710] ***ジオ冗長 [#v5e49bc3] [[Azure Traffic Manager]]を使用して、~ ペアリージョンにAKSを展開して冗長化する。 ***ゾーン冗長 [#n11be9da] -az aks create の際に、--zones パラメタを付与する。 -コレにより、単一クラスタでも、対象外性を高めることが出来るが、 -以下の問題がある。 --リージョン、K8sバージョンに制限がある。 --自動復旧させたい場合は、オートスケールを有効化する。 --永続ボリュームを利用する場合は、追加の構成設定が必要。~ (管理ディスクとノードVMを同一のゾーンに配置する必要があるため) >※ 制御プレーンが落ちても、ノードプールはそのまま動作。 -参考 --Azure Kubernetes Service (AKS) での可用性ゾーンの使用 | Microsoft Docs~ https://docs.microsoft.com/ja-jp/azure/aks/availability-zones **ポイント [#r304251c] -[[ココ>AKSをセキュアに利用するためのテクニカルリファレンス#s3bedcc6]](のフルコンテナ化)でも言及したとおり、 -特に、DBなどの永続化リソースは、AKS(K8s)外に無いと、~ [[ミッションクリティカル・システムの基盤保守>#k52340f9]]は厳しい。 *参考 [#j66f24ae] ---- Tags: [[:クラウド]], [[:コンテナ]], [[:Azure]], [[:AKS]], [[:セキュリティ]] Tags: [[:クラウド]], [[:コンテナ]], [[:Azure]], [[:AKS]], [[:IaC]], [[:セキュリティ]]
