AKS には、タイムリーなノード レベルの OS セキュリティ更新プログラム専用の複数の自動アップグレード チャネルが用意されています。 このチャネルは、クラスター レベルの Kubernetes バージョンのアップグレードとは異なり、それに代わるものです。
Tip
AKS 自動を使用している場合、ノード OS のアップグレードは、セキュリティ修正とバグ修正が週単位で適用された NodeImage チャネルを使用するように事前構成されています。 構成は必要ありません。 カスタム仮想ネットワークを使用する AKS 自動クラスターの場合は、必要に応じてメンテナンス期間を調整できます。 詳細については、「Azure Kubernetes Service (AKS)自動とは」を参照してください。AKS Standard クラスターの場合は、引き続きお読みください。要件に最も適したチャネルを選択してください。
Important
2025 年 11 月 30 日から、Azure Kubernetes Service (AKS) は、Azure Linux 2.0 のセキュリティ更新プログラムをサポートまたは提供しなくなりました。 Azure Linux 2.0 ノード イメージは、 202512.06.0 リリースでフリーズします。 2026 年 3 月 31 日以降、ノード イメージは削除され、ノード プールをスケーリングできなくなります。 ノード プールをサポートされている Kubernetes バージョンにアップグレードするか、osSku AzureLinux3 に移行して、サポートされている Azure Linux バージョンに移行します。 詳細については、 廃止に関する GitHub の問題 と Azure 更新プログラムの提供終了に関するお知らせを参照してください。 お知らせや更新情報を常に把握するには、 AKS のリリース ノートに従ってください。
ノード OS の自動アップグレードとクラスターの自動アップグレードの間の相互作用
ノード レベルの OS セキュリティ更新プログラムは、Kubernetes パッチまたはマイナー バージョンの更新プログラムよりも速い頻度で提供されます。 ノード OS の自動アップグレード チャネルを使用すると、柔軟性が得られ、ノード レベルの OS セキュリティ更新プログラムのカスタマイズされた戦略が可能になります。 その後、クラスター レベルの Kubernetes バージョン の自動アップグレード用に別のプランを選択できます。
クラスター レベルの自動アップグレードとノード OS の自動アップグレード チャネルの両方を一緒に使用することをお勧めします。 クラスターの自動アップグレード チャネルとノード OS の自動アップグレード チャネルの - にaksManagedAutoUpgradeSchedule 2 つの個別のaksManagedNodeOSUpgradeScheduleを適用することで、スケジュールを微調整できます。
ノード OS イメージのアップグレード用のチャネル
選択したチャネルによって、アップグレードのタイミングが決まります。 ノード OS の自動アップグレード チャネルに変更を加えるときは、変更が反映されるまで最大 24 時間かかります。
注
- ノード OS イメージの自動アップグレードは、クラスターの Kubernetes バージョンには影響しません。
- API バージョン 2023-06-01 以降では、新しい AKS Standard クラスターの既定値は
NodeImage。 -
AKS 自動 クラスターでは、既定で常に
NodeImageチャネルが使用されます。
再イメージ化の原因となるノード OS チャネルの変更
次のノード os チャネルの遷移により、ノードでの再イメージ化がトリガーされます。
| ソース | 移行先 |
|---|---|
| アンマネージド | 無し |
| 指定されていません。 | アンマネージド |
| セキュリティパッチ | アンマネージド |
| NodeImage | アンマネージド |
| 無し | アンマネージド |
使用可能なノード OS アップグレード チャネル
AKS Standard クラスターでは、次のアップグレード チャネルを使用できます。 (AKS 自動クラスターでは、既定で NodeImage チャネルが使用されます)。
| チャネル | 説明 | OS 固有の動作 |
|---|---|---|
None |
ノードには、セキュリティ更新プログラムが自動的に適用されません。 つまり、セキュリティ更新プログラムについては、お客様に全責任があります。 | 該当なし |
Unmanaged |
OS 組み込みの修正プログラム適用インフラストラクチャでは、OS の更新プログラムが自動的に適用されます。 新しく割り当てられたマシンは、最初はパッチが適用されません。 OS のインフラストラクチャによって、ある時点でパッチが適用されます。 | Ubuntu と Azure Linux (CPU ノード プール) によって、1 日に約 1 回、06:00 UTC 頃に無人アップグレード/dnf-automatic を通じてセキュリティ パッチが適用されます。 Windows では自動的にセキュリティ パッチが適用されないため、このオプションは None と同じように動作します。
kured などのツールを使用して再起動プロセスを管理する必要があります。
AKS 上の OS Guard を使用した Azure Linux では、 Unmanagedはサポートされていません。 |
SecurityPatch |
OS セキュリティ パッチ。AKS でテストされ、完全に管理され、安全なデプロイ プラクティスで適用されます。 AKS は、ノードの仮想ハード ディスク (VHD) を、"security only" というラベルの付いたイメージ メンテナンス ツールからのパッチで定期的に更新します。セキュリティ パッチがノードに適用されるときに、中断が発生する可能性があります。 ただし、AKS では、特定のカーネル セキュリティ パッケージなど、必要なときにのみノードを再イメージ化することによって中断を制限しています。 パッチが適用されると、メンテナンス期間とサージ設定を考慮して VHD が更新され、既存のマシンがその VHD にアップグレードされます。 AKS では、ノードの再イメージ化が不要と判断された場合、ポッドをドレインすることなくライブ ノードにパッチが適用され、VHD の更新は行われません。 このオプションでは、ノード リソース グループで VHD をホストするための追加コストが発生します。 このチャネルを使用する場合、Linux の無人アップグレードは既定で無効になります。 | Azure Linux では、GPU 対応 VM でこのチャネルはサポートされていません。
SecurityPatch は、マイナー Kubernetes バージョンが引き続きサポートされている限り、非推奨の Kubernetes パッチ バージョンで機能します。
AKS 用 Flatcar Container Linux と AKS上の OS Guard を使用する Azure Linux では、 SecurityPatchはサポートされていません。 |
NodeImage |
AKS では、週 1 回の頻度で、セキュリティ修正とバグ修正を含む新しくパッチが適用された VHD でノードを更新します。 新しい VHD の更新は、メンテナンス期間とサージ設定に従って中断されます。 このオプションを選んだ場合、追加の VHD コストは発生しません。 このチャネルを使用する場合、Linux の無人アップグレードは既定で無効になります。 クラスター Kubernetes マイナー バージョンが引き続きサポートされている限り、ノード イメージのアップグレードはサポートされます。 ノード イメージは AKS でテストされ、完全に管理され、安全なデプロイ プラクティスで適用されます。 |
どちらを選ぶべきか - SecurityPatch チャネルまたは NodeImage チャネル?
AKS 自動クラスターの場合
AKS Automatic では、既定で NodeImage チャネルが使用されます。 このチャネルでは、運用環境のワークロードに対するセキュリティ修正、バグ修正、および管理容易性の最適なバランスが提供されます。 週単位の周期は AKS のベスト プラクティスに合わせ、手動による介入なしで最適なクラスター パフォーマンスを得られるように調整されます。
構成は必要ありません 。 アップグレードはメンテナンス期間内に自動的に行われます。 更新プログラムが発生するタイミングを制御する必要があるが、チャネルの選択は固定されている場合は、 メンテナンス期間を調整 できます。
AKS 用 NodeImage が自動である理由
- 包括的な安定性のためのセキュリティ修正とバグ修正の両方が含まれています
- 週単位の周期で予測可能な更新タイミングを提供
- 安全なデプロイ プラクティスを使用して AKS によって完全に管理される
- 追加の VHD ホスティング コストなし
- 推奨される既定値を使用して運用ワークロード用に最適化
AKS Standard クラスターの場合
AKS Standard を使用している場合は、以下の比較を使用して要件を評価し、 SecurityPatch または NodeImage チャネルを選択します。
SecurityPatchまたはNodeImage チャネルを選択するには、次の 2 つの重要な考慮事項があります。
| プロパティ | NodeImage チャネル | セキュリティパッチ チャンネル | 推奨チャネル |
|---|---|---|---|
Speed of shipping |
新しい VHD の一般的なビルド、テスト、リリース、ロールアウトのタイムラインは、安全なデプロイプラクティスの後、約 2 週間かかる場合があります。 CVE が発生した場合でも、ケースバイケースで高速ロールアウトが行われる可能性があります。 新しい VHD がリージョンにヒットする正確なタイミングは、 リリース トラッカーを使用して監視できます。 | SecurityPatch リリースは、安全なデプロイプラクティスを使用しても、 NodeImageよりも比較的高速です。 SecurityPatch には Linux 環境での "ライブ パッチ適用" の利点があります。この場合、修正プログラムを適用すると選択的な "再イメージ化" が行われ、パッチが適用されるたびに再イメージ化されることはありません。 再イメージ化が発生した場合、メンテナンスウィンドウによって制御されます。 |
SecurityPatch |
Bugfixes |
セキュリティ修正に加え、バグ修正も行います。 | セキュリティ修正プログラムのみを厳密に適用します。 | NodeImage |
クラスター モードの比較
次の表は、クラスター モード別のノード OS の自動アップグレードの構成をまとめたものです。
| 特徴 | AKS Automatic | AKS Standard |
|---|---|---|
| 既定のチャネル | NodeImage (事前構成済み) | 手動選択が必要 |
| 更新間隔 | 週単位 (固定) | 選択したチャネルに基づく |
| 設定が必要です | なし - 自動アップグレード | はい - チャネルとスケジュールの選択 |
| バグ修正を含む | はい | NodeImage チャネルが選択されている場合のみ |
| 推奨対象 | ほとんどの運用ワークロード | カスタム要件または特定の制約 |
| メンテナンス期間の制御 | Optional | 強くお勧めします |
新しいクラスターでノード OS の自動アップグレード チャネルを設定する
注
AKS 自動クラスターを作成する場合は、次の手順をスキップします。 NodeImage チャネルは既に事前構成されています。 これらの手順は、AKS Standard クラスターにのみ適用されます。
az aks create コマンドと --node-os-upgrade-channel パラメーターを使用して、新しいクラスターでノード OS の自動アップグレード チャネルを設定します。 次の例では、ノード OS の自動アップグレード チャネルを SecurityPatchに設定します。
export RANDOM_SUFFIX=$(openssl rand -hex 3)
export RESOURCE_GROUP="myResourceGroup$RANDOM_SUFFIX"
export AKS_CLUSTER="myAKSCluster$RANDOM_SUFFIX"
az aks create \
--resource-group $RESOURCE_GROUP \
--name $AKS_CLUSTER \
--node-os-upgrade-channel SecurityPatch \
--generate-ssh-keys
既存のクラスターでノード OS の自動アップグレード チャネルを設定する
注
AKS 自動クラスターを使用している場合、ノード OS の自動アップグレード チャネルを変更することはできません。NodeImage を使用するように事前構成されています。 これらの手順は、AKS Standard クラスターにのみ適用されます。 必要に応じて、AKS 自動クラスターのメンテナンス期間を調整できます。
az aks update コマンドと --node-os-upgrade-channel パラメーターを使用して、既存のクラスターでノード OS の自動アップグレード チャネルを設定します。 次の例では、ノード OS の自動アップグレード チャネルを SecurityPatchに設定します。
az aks update --resource-group $RESOURCE_GROUP --name $AKS_CLUSTER --node-os-upgrade-channel SecurityPatch
結果:
{
"autoUpgradeProfile": {
"nodeOsUpgradeChannel": "SecurityPatch"
}
}
AKS 自動クラスターのメンテナンス期間を調整する
注
AKS 自動クラスターでは、構成済みの NodeImage チャネルが使用され、この選択を変更することはできません。 ただし、メンテナンス期間を構成することで、アップグレードのタイミングを調整できます。
az aks update パラメーターと--node-os-upgrade-channel NodeImage オプションを指定して、--schedule-config コマンドを使用してノード OS の自動アップグレードのメンテナンス期間を設定します。
az aks update \
--resource-group $RESOURCE_GROUP \
--name $AKS_CLUSTER \
--node-os-upgrade-channel NodeImage \
--schedule-config "scheduled-maintenance-window=true" \
--maintenance-window "frequency=Weekly,day-of-week=Sunday,utc-offset=+00:00,duration-hours=4,start-hour=2"
チャネル別に担当と頻度を更新する
既定の頻度とは、適用されている計画メンテナンス期間がないことを意味します。
| チャネル | 所有権を更新します | 既定の頻度 |
|---|---|---|
Unmanaged |
OS 主導のセキュリティ更新プログラム。 AKS では、これらの更新プログラムを制御できません。 | Ubuntu と Azure Linux の場合は、毎晩午前 6 時頃 (UTC)。 Windows の場合は毎月。 |
SecurityPatch |
AKS でテストされ、完全に管理され、安全なデプロイ プラクティスで適用されます。 詳細については、Azure での Canonical ワークロードのセキュリティと回復性の向上についての記事を参照してください。 | 通常、AKS が決定する周期である週次よりも高速です。 |
NodeImage |
AKS でテストされ、完全に管理され、安全なデプロイ プラクティスで適用されます。 リリースに関するよりリアルタイムな情報については、リリース トラッカーの AKS ノード イメージに関するページを参照してください | 毎週。 |
注
Windows セキュリティ更新プログラムは月単位でリリースされますが、 Unmanaged チャネルを使用しても、これらの更新プログラムは Windows ノードに自動的に適用されません。
Unmanaged チャネルを選んだ場合は、Windows ノードの再起動プロセスを管理する必要があります。
Node OS の自動アップグレード チャネルの既知の制限事項
- 現在、 クラスターの自動アップグレード チャネル を
node-imageに設定すると、ノード OS の自動アップグレード チャネルも自動的にNodeImageに設定されます。 クラスターの自動アップグレード チャネルがnode-imageされている場合、ノード OS の自動アップグレード チャネルの値を変更することはできません。 ノード OS の自動アップグレード チャネル値を設定するには、 クラスターの自動アップグレード チャネル 値がnode-imageされていないことを確認します。 -
SecurityPatchチャネルは、Windows OS ノード プールではサポートされていません。 -
SecurityPatchチャネルは、OS ディスク暗号化にカスタマー マネージド キー (CMK) を要求するためにdeny効果を使用するAzure Policyと互換性がありません。 セキュリティパッチの適用中、AKS は、そのようなポリシーが許可しないノード リソース グループ (copy-) に仮想マシン スケール セット (MC_) を一時的に作成するため、アップグレードはRequestDisallowedByPolicyエラーで失敗します。 ノード プールでのカスタマー マネージド キーの使用は、SecurityPatchで引き続きサポートされます。競合はdeny効果ポリシーでのみサポートされます。 CMK OS ディスク暗号化に組織全体のdenyポリシーが必要な場合は、代わりにNodeImageチャネルを使用します。
注
SecurityPatch チャネルには CLI バージョン 2.61.0 以降を使用します。
ノード OS の計画メンテナンス期間
ノード OS の自動アップグレードの計画メンテナンスは、指定したメンテナンス期間から開始されます。
注
適切な機能を確保するには、4 時間以上のメンテナンス期間を使用するようにしてください。
計画メンテナンスについて詳しくは、「計画メンテナンスを使用して Azure Kubernetes Service (AKS) クラスターのメンテナンス期間をスケジュールする」を参照してください。
Node OS の自動アップグレードに関する FAQ
クラスターで現在の nodeOsUpgradeChannel 値を確認するにはどうすればよいですか?
az aks show コマンドを実行し、"autoUpgradeProfile" を調べて、nodeOsUpgradeChannel がどの値に設定されているかを確認します。
az aks show --resource-group $RESOURCE_GROUP --name $AKS_CLUSTER --query "autoUpgradeProfile"
結果:
{
"nodeOsUpgradeChannel": "SecurityPatch"
}
ノード OS の自動アップグレードは、AKS 自動に対して異なる方法で構成されていますか?
Yes. AKS 自動クラスターは、既定で NodeImage チャネルを使用するように事前構成されています。何も構成する必要はありません。 この構成では、次の機能が提供されます。
- 毎週のセキュリティ修正とバグ修正
- 安全なデプロイプラクティスを使用した自動再イメージ化
- メンテナンス期間の制御 (省略可能)
- ほとんどのワークロード向けに最適化された運用環境対応の既定値
- 追加の VHD ホスティング コストなし
AKS Standard クラスターでは、特定のニーズに基づいてチャネルを選択する必要があります。 AKS Standard から AKS Automatic に移行し、これらの事前構成済みの既定値を利用するには、「Azure Kubernetes Service (AKS)自動とは」を参照してください。
AKS 自動クラスターでノード OS の自動アップグレード チャネルを変更できますか?
いいえ。 AKS 自動クラスターでは NodeImage チャネルが使用され、このチャネルを変更することはできません。 別のチャネルが必要な場合は、AKS Standard クラスターを使用します。 ただし、メンテナンス期間を調整して、AKS 自動クラスターでアップグレードが行われるタイミングを制御できます。
ノード OS の自動アップグレードの状態を監視するにはどうすればよいですか?
ノード OS の自動アップグレードの状態を表示するには、クラスターのアクティビティ ログを検索します。 AKS クラスターのアップグレードに関する記事で説明されているように、特定のアップグレード関連イベントを検索することもできます。 AKS は、アップグレード関連の Event Grid イベントも生成します。 詳細については、「Event Grid ソースとしての AKS」を参照してください。
クラスターの自動アップグレード チャネルが node-image に設定されている場合、ノード OS の自動アップグレード チャネルの値を変更できますか?
いいえ。 現在、 クラスターの自動アップグレード チャネル を node-imageに設定すると、ノード OS の自動アップグレード チャネルも自動的に NodeImageに設定されます。 クラスターの自動アップグレード チャネルが node-imageされている場合、ノード OS の自動アップグレード チャネルの値を変更することはできません。 ノード OS の自動アップグレード チャネルの値を変更するには、 クラスターの自動アップグレード チャネル が node-imageされていないことを確認します。
SecurityPatch チャネルよりも Unmanaged が推奨される理由
Unmanaged チャネルでは、AKS はセキュリティ更新プログラムの配信方法とタイミングを制御しません。
SecurityPatch では、セキュリティ更新プログラムは完全にテストされ、安全なデプロイ プラクティスに従います。
SecurityPatch にはメンテナンス期間も適用されます。 詳細については、Azure での Canonical ワークロードのセキュリティと回復性の向上についての記事を参照してください。
SecurityPatch では常にノードの再イメージングが発生しますか?
AKS では、再イメージ化が必要な場合にのみ制限されます(完全に適用するために再イメージ化が必要な場合がある特定のカーネル パッケージなど)。
SecurityPatch は、中断を可能な限り最小限に抑えるように設計されています。 AKS がノードの再イメージ化が必要ないと判断した場合、ポッドをドレインせずにノードにパッチを適用し、そのような場合は VHD の更新は実行されません。
SecurityPatch チャネルが snapshot.ubuntu.com エンドポイントに到達する必要がある理由
SecurityPatch チャネルでは、Linux クラスター ノードは、ubuntu-snapshots-on-azure-ensuring-predictability-and-consistency-in-cloud-deployments で説明されている ubuntu スナップショット サービスから必要なセキュリティ パッチと更新プログラムをダウンロードする必要があります。
ノードに SecurityPatch または NodeImage のアップグレードが適用されているかどうかを確認するにはどうすればよいですか?
kubectl get nodes --show-labels コマンドを実行して、クラスター内のノードとそのラベルを一覧表示します。
返されるラベルの中に、次の出力のような行があります。
kubernetes.azure.com/node-image-version=AKSUbuntu-2204gen2containerd-202410.27.0-2024.12.01
ここでは、基本ノード イメージのバージョンは AKSUbuntu-2204gen2containerd-202410.27.0 です。 該当する場合は、通常、セキュリティ更新プログラムのバージョンに従います。 前の例では、 2024.12.01。
同じ詳細は、Azure portal のノード ラベル ビューでも参照できます。
関連するコンテンツ
アップグレードのベスト プラクティスとその他の考慮事項の詳細については、AKS のパッチとアップグレード ガイダンスのページを参照してください。
AKS Automatic の事前構成済み設定と運用対応の既定値の詳細については、「Azure Kubernetes Service (AKS)自動とは」を参照してください。