Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O AKS fornece vários canais de atualização automática dedicados a atualizações de segurança do sistema operacional em nível de nó de forma oportuna. Esse canal é diferente das atualizações de versão do Kubernetes no nível do cluster e o substitui.
Tip
Se você estiver usando AKS Automático, as atualizações do sistema operacional do nó já vêm pré-configuradas para usar o canal NodeImage, com correções de segurança e correções de bugs aplicadas semanalmente. Nenhuma configuração é necessária. Para clusters automáticos do AKS com redes virtuais personalizadas, você pode ajustar janelas de manutenção, se necessário. Para saber mais, consulte O que é o AKS (Serviço de Kubernetes do Azure) Automatic? Para clusters AKS Standard, continue lendo para selecionar o canal que melhor se adapta aos seus requisitos.
Importante
A partir de 30 de novembro de 2025, o AKS (Serviço de Kubernetes do Azure) não dá mais suporte ou fornece atualizações de segurança para o Azure Linux 2.0. A imagem do nó do Azure no Linux 2.0 está congelada na versão 202512.06.0. A partir de 31 de março de 2026, as imagens dos nós serão removidas e você não poderá dimensionar os pools de nós. Migre para uma versão do Azure Linux com suporte atualizando os pools de nós para uma versão do Kubernetes com suporte ou migrando para o osSku AzureLinux3. Para obter mais informações, consulte o problema de desativação do GitHub e o anúncio de desativação do Azure Updates. Para se manter informado sobre anúncios e atualizações, acompanhe as notas de lançamento do AKS.
Interações entre a atualização automática do sistema operacional do nó e a atualização automática do cluster
As atualizações de segurança do sistema operacional no nível do nó são lançadas em uma taxa mais rápida do que o patch do Kubernetes ou atualizações de versões secundárias. O canal de atualização automática do sistema operacional do nó oferece flexibilidade e habilita uma estratégia personalizada para atualizações de segurança do sistema operacional no nível do nó. Em seguida, você pode escolher um plano separado para atualizações automáticas da versão do Kubernetes no nível do cluster.
É melhor usar as atualização automáticas no nível de cluster e o canal de atualização automática do sistema operacional do nó juntos. O agendamento pode ser ajustado aplicando dois conjuntos separados de janelas de manutenção - aksManagedAutoUpgradeSchedule para o canal de atualização automática do cluster e aksManagedNodeOSUpgradeSchedule para o canal de atualização automática do sistema operacional do nó.
Canais para atualizações de imagem do sistema operacional do nó
O canal selecionado determina o tempo das atualizações. Ao fazer alterações nos canais de atualização automática do sistema operacional do nó, aguarde até 24 horas para que as alterações produzam efeito.
Observação
- As atualizações automáticas da imagem do sistema operacional do nó não afetam a versão do Kubernetes do cluster.
- A partir da versão da API 2023-06-01, o padrão de qualquer novo cluster AKS Standard é
NodeImage. - Os clusters automáticos do AKS sempre usam o
NodeImagecanal por padrão.
Alterações no canal do sistema operacional do nó que causam uma nova imagem
As seguintes transições de canal do sistema operacional do nó dispararão a nova imagem nos nós:
| De | Para |
|---|---|
| Não gerenciado | None |
| Não Especificado | Não gerenciado |
| Patch de Segurança | Não gerenciado |
| NodeImage | Não gerenciado |
| None | Não gerenciado |
Canais de atualização do sistema operacional do nó disponível
Os canais de atualização a seguir estão disponíveis para clusters padrão do AKS. (Os clusters automáticos do AKS usam o canal NodeImage por padrão.)
| Canal | Descrição | Comportamento específico do SO |
|---|---|---|
None |
Seus nós não tem atualizações de segurança aplicadas automaticamente. Isso significa que você é o único responsável por suas atualizações de segurança. | N/D |
Unmanaged |
A infraestrutura de aplicação de patch interna do sistema operacional aplica automaticamente as atualizações do sistema operacional. Os computadores recém-alocados são inicialmente incompatíveis. A infraestrutura do sistema operacional os corrige em algum momento. | O Ubuntu e o Linux do Azure (pools de nós de CPU) aplicam patches de segurança por meio de atualização autônoma/dnf-automatic aproximadamente uma vez por dia por volta das 06:00 UTC. O Windows não aplica patches de segurança automaticamente, então essa opção se comporta de forma equivalente a None. Você precisa gerenciar o processo de reinicialização usando uma ferramenta como o kured. O Azure Linux com o OS Guard no AKS não suporta Unmanaged. |
SecurityPatch |
Patches de segurança do sistema operacional, testados pelo AKS, totalmente gerenciados e aplicados com práticas de implantação seguras. O AKS atualiza regularmente o VHD (disco rígido virtual) do nó com patches do mantenedor da imagem rotulado como "somente segurança". Talvez haja interrupções quando os patches de segurança forem aplicados aos nós. No entanto, o AKS está limitando as interrupções ao recriar a imagem dos seus nós somente quando necessário, como para determinados pacotes de segurança do kernel. Quando os patches são aplicados, o VHD é atualizado e os computadores existentes são atualizados para esse VHD, respeitando as janelas de manutenção e as configurações de aumento. Se o AKS decidir que a recriação da imagem dos nós não é necessária, ele corrige os nós ativos sem drenar os pods e não executa nenhuma atualização do VHD. Essa opção incorre no custo extra de hospedar os VHDs em seu grupo de recursos do nó. Se você usar esse canal, as atualizações autônomas do Linux serão desabilitadas por padrão. | O Azure Linux não dá suporte a esse canal em VMs habilitadas para GPU.
O SecurityPatch funciona em versões de patch de kubernetes que foram preteridas, desde que ainda haja suporte para a versão secundária do Kubernetes.
Flatcar Container Linux para AKS e Azure Linux com OS Guard no AKS não têm suporte SecurityPatch. |
NodeImage |
O AKS atualizará os nós com um VHD com patch recém aplicado contendo correções de segurança e correções de bugs semanalmente. A atualização para o novo VHD é disruptiva, seguindo as janelas de manutenção e as configurações de aumento. Nenhum custo extra de VHD é incorrido ao escolher essa opção. Se você usar esse canal, as atualizações autônomas do Linux serão desabilitadas por padrão. Há suporte para atualizações de imagem de nó, desde que a versão secundária do Kubernetes do cluster ainda esteja em suporte. As imagens de nó são testadas pelo AKS, totalmente gerenciado e aplicadas com práticas de implantação seguras. |
O que escolher – Canal SecurityPatch ou Canal NodeImage?
Para clusters automáticos do AKS
O AKS Automatic usa o canal NodeImage por padrão. Este canal oferece o melhor equilíbrio entre correções de segurança, correções de bugs e facilidade de gerenciamento para cargas de trabalho de produção. A cadência semanal se alinha às práticas recomendadas do AKS e é ajustada para o desempenho ideal do cluster sem intervenção manual.
Nenhuma configuração é necessária – as atualizações ocorrem automaticamente na janela de manutenção. Você pode ajustar as janelas de manutenção se quiser controlar quando as atualizações ocorrem, mas a escolha do canal é fixa.
Por que NodeImage para AKS Automatic?
- Inclui correções de segurança e correções de bug para estabilidade abrangente
- A cadência semanal fornece tempo de atualização previsível
- Totalmente gerenciado pelo AKS com práticas de implantação seguras
- Sem custos extras de hospedagem de VHD
- Otimizado para cargas de trabalho de produção com configurações padrão recomendadas
Para clusters padrão do AKS
Se você estiver usando o AKS Standard, avalie seus requisitos usando a comparação abaixo para escolher entre SecurityPatch ou NodeImage canais.
Há duas considerações importantes para você escolher entre SecurityPatch ou NodeImage canais:
| Propriedade | Canal NodeImage | Canal SecurityPatch | Canal Recomendado |
|---|---|---|---|
Speed of shipping |
As linhas do tempo típicas de build, teste, versão e distribuição para um novo VHD podem levar aproximadamente duas semanas após as práticas de implantação seguras. Embora no caso de CVEs, as distribuições aceleradas podem ocorrer caso a caso. O tempo exato em que um novo VHD atinge uma região pode ser monitorado por meio do rastreador de versão. | As versões do SecurityPatch são lançadas relativamente mais rapidamente do que NodeImage, mesmo com práticas de implantação seguras. SecurityPatch tem a vantagem de 'aplicação de patch ao vivo' em ambientes do Linux, em que a aplicação de patch leva a uma 'recriação da imagem' seletiva e não cria uma nova imagem sempre que um patch é aplicado. A nova imagem, se ocorrer, é controlada por janelas de manutenção. |
SecurityPatch |
Bugfixes |
Carrega correções de bugs além de correções de segurança. | Carrega estritamente apenas correções de segurança. | NodeImage |
Comparação do modo cluster
A tabela a seguir resume a configuração de atualização automática do sistema operacional do nó de acordo com o modo do cluster:
| Aspecto | AKS Automático | AKS Standard |
|---|---|---|
| Canal padrão | NodeImage (pré-configurado) | Seleção manual necessária |
| Cadência de atualização | Semanal (fixo) | Com base no canal selecionado |
| Configuração necessária | Nenhuma – atualizações automáticas | Sim - selecione canal e agendamento |
| Inclui correções de bug | Yes | Somente se o canal NodeImage tiver sido selecionado |
| Recomendado para | A maioria das cargas de trabalho de produção | Requisitos personalizados ou restrições específicas |
| Controle da janela de manutenção | Optional | Altamente recomendado |
Definir o canal de atualização automática do sistema operacional do nó em um novo cluster
Observação
Se você estiver criando um cluster automático do AKS, ignore estas etapas. O canal NodeImage já está pré-configurado. Essas etapas se aplicam somente a clusters padrão do AKS.
Defina o canal de atualização automática do sistema operacional do nó em um novo cluster usando o comando az aks create com o parâmetro --node-os-upgrade-channel. O exemplo a seguir define o canal de atualização automática do sistema operacional do nó como SecurityPatch.
export RANDOM_SUFFIX=$(openssl rand -hex 3)
export RESOURCE_GROUP="myResourceGroup$RANDOM_SUFFIX"
export AKS_CLUSTER="myAKSCluster$RANDOM_SUFFIX"
az aks create \
--resource-group $RESOURCE_GROUP \
--name $AKS_CLUSTER \
--node-os-upgrade-channel SecurityPatch \
--generate-ssh-keys
Defina o canal de atualização automática do sistema operacional do nó em um cluster existente
Observação
Se você estiver usando um cluster do AKS Automático, não poderá alterar o canal de atualização automática do sistema operacional do nó, pois ele já vem pré-configurado para usar o NodeImage. Essas etapas se aplicam somente a clusters padrão do AKS. Você pode ajustar as janelas de manutenção para o cluster automático do AKS, se necessário.
Defina o canal de atualização automática do sistema operacional do nó em um cluster existente usando o comando az aks update com o parâmetro --node-os-upgrade-channel. O exemplo a seguir define o canal de atualização automática do sistema operacional do nó como SecurityPatch.
az aks update --resource-group $RESOURCE_GROUP --name $AKS_CLUSTER --node-os-upgrade-channel SecurityPatch
Resultados:
{
"autoUpgradeProfile": {
"nodeOsUpgradeChannel": "SecurityPatch"
}
}
Ajustar janelas de manutenção para clusters automáticos do AKS
Observação
Os clusters automáticos do AKS usam o canal NodeImage pré-configurado e não podem alterar essa seleção. No entanto, você pode ajustar quando as atualizações ocorrem configurando janelas de manutenção.
Defina uma janela de manutenção para as atualizações automáticas do sistema operacional do nó usando o comando az aks update com o parâmetro --node-os-upgrade-channel NodeImage e as opções --schedule-config:
az aks update \
--resource-group $RESOURCE_GROUP \
--name $AKS_CLUSTER \
--node-os-upgrade-channel NodeImage \
--schedule-config "scheduled-maintenance-window=true" \
--maintenance-window "frequency=Weekly,day-of-week=Sunday,utc-offset=+00:00,duration-hours=4,start-hour=2"
Atualizar a propriedade e a cadência por canal
A cadência padrão significa que não há nenhuma janela de manutenção planejada aplicada.
| Canal | Atualiza a titularidade | Cadência padrão |
|---|---|---|
Unmanaged |
Atualizações de segurança controladas pelo sistema operacional. O AKS não tem controle sobre essas atualizações. | À noite, por volta das 6:00 UTC para Ubuntu e Linux do Azure. Mensalmente para Windows. |
SecurityPatch |
Testado pelo AKS, totalmente gerenciado e aplicado com práticas de implantação seguras. Para obter mais informações, veja Maior segurança e resiliência de cargas de trabalho canônicas no Azure. | Normalmente, mais rápido do que semanalmente, o AKS determinou a cadência. |
NodeImage |
Testado pelo AKS, totalmente gerenciado e aplicado com práticas de implantação seguras. Para obter mais informações em tempo real sobre versões, pesquise imagens de nó do AKS no rastreador de versão | Semanalmente. |
Observação
Embora as atualizações de segurança do Windows sejam lançadas mensalmente, o uso do Unmanaged canal não aplicará automaticamente essas atualizações aos nós do Windows. Se você escolher o canal Unmanaged, precisará gerenciar o processo de reinicialização para nós do Windows.
Limitações conhecidas do canal de atualização automática do sistema operacional do nó
- Atualmente, quando você define o canal de atualização automática do cluster como
node-image, ele também define automaticamente o canal de atualização automática do sistema operacional do nó comoNodeImage. Você não poderá alterar o valor do canal de atualização automática do sistema operacional do nó se o canal de atualização automática do cluster fornode-image. Para definir o valor do canal de atualização automática do sistema operacional do nó, verifique se o valor do canal de atualização automática do cluster não énode-image. - Não há suporte para o canal
SecurityPatchnos pools de nós do sistema operacional Windows. - O
SecurityPatchcanal não é compatível com um Azure Policy que usa umdenyefeito para exigir CMK (chaves gerenciadas pelo cliente) para criptografia de disco do sistema operacional. Ao aplicar um patch de segurança, o AKS cria temporariamente um conjunto de dimensionamento de máquinas virtuais (VMSS) com o prefixocopy-no grupo de recursos do nó (MC_), o que é proibido por essa política; por isso, a atualização falha com o erroRequestDisallowedByPolicy. O uso de chaves gerenciadas pelo cliente nos seus pools de nós ainda é suportado comSecurityPatch; o conflito ocorre apenas com uma política de efeitodeny. Se você precisar de uma políticadenyem toda a organização para criptografia de disco do sistema operacional CMK, use o canalNodeImageem vez disso.
Observação
Use a CLI versão 2.61.0 ou posterior para o SecurityPatch canal.
Janelas de manutenção planejada do sistema operacional do nó
A manutenção planejada para a atualização automática do sistema operacional do nó começa na janela de manutenção especificada.
Observação
Para garantir a funcionalidade adequada, use uma janela de manutenção de quatro horas ou mais.
Para mais informações sobre a manutenção planejada, consulte Usar a manutenção planejada para agendar janelas de manutenção para seu cluster do AKS (Serviço de Kubernetes do Azure).
Perguntas frequentes sobre o sistema operacional do nó
Como posso verificar o valor atual do nodeOsUpgradeChannel em um cluster?
Execute o comando az aks show e verifique o "autoUpgradeProfile" para determinar qual valor o nodeOsUpgradeChannel está definido:
az aks show --resource-group $RESOURCE_GROUP --name $AKS_CLUSTER --query "autoUpgradeProfile"
Resultados:
{
"nodeOsUpgradeChannel": "SecurityPatch"
}
A atualização automática do sistema operacional do nó está configurada de forma diferente para o AKS Automático?
Sim. Os clusters automáticos do AKS são pré-configurados para usar o canal NodeImage por padrão - você não precisa configurar nada. Essa configuração fornece:
- Correções semanais de segurança e correções de bugs
- Recriação automática da imagem com práticas seguras de implantação
- Controle da janela de manutenção (opcional)
- Configurações padrão prontas para produção otimizadas para a maioria das cargas de trabalho
- Sem custos extras de hospedagem de VHD
Os clusters padrão do AKS exigem que você selecione um canal com base em suas necessidades específicas. Para migrar do AKS Standard para o AKS Automatic e se beneficiar desses padrões pré-configurados, consulte O que é AKS (Serviço de Kubernetes do Azure) Automático?
Posso alterar o canal de atualização automática do sistema operacional do nó em um cluster do AKS Automático?
Não. Os clusters automáticos do AKS usam o canal NodeImage e você não pode alterar esse canal. Se você precisar de um canal diferente, use um cluster Standard do AKS. No entanto, você pode ajustar as janelas de manutenção para controlar quando as atualizações ocorrem no cluster automático do AKS.
Como posso monitorar o status dos atualização automáticas do sistema operacional do nó?
Para exibir o status de suas atualizações automáticas do sistema operacional do nó, pesquise os logs de atividades no cluster. Você também pode pesquisar eventos específicos relacionados a atualizações, conforme mencionado em Atualizar um cluster do AKS. O AKS também emite eventos da Grade de Eventos relacionados a atualizações. Para saber mais, confira AKS como uma fonte da Grade de Eventos.
Posso alterar o valor do canal de atualização automática do sistema operacional do nó se meu canal de atualização automática do cluster estiver definido como node-image?
Não. Atualmente, quando você define o canal de atualização automática do cluster como node-image, ele também define automaticamente o canal de atualização automática do sistema operacional do nó como NodeImage. Você não poderá alterar o valor do canal de atualização automática do sistema operacional do nó se o canal de atualização automática do cluster for node-image. Para alterar os valores do canal de atualização automática do sistema operacional do nó, garanta que o canal de atualização automática do cluster não seja node-image.
Por que SecurityPatch é recomendado no canal Unmanaged?
No canal Unmanaged, o AKS não tem controle sobre como e quando as atualizações de segurança são entregues. Com SecurityPatch, as atualizações de segurança são totalmente testadas e seguem práticas de implantação seguras.
SecurityPatch também respeita as janelas de manutenção. Para obter mais informações, veja Maior segurança e resiliência de cargas de trabalho canônicas no Azure.
SecurityPatch sempre leva a uma nova imagem dos meus nós?
O AKS limita as recriações de imagem somente quando necessário, como determinados pacotes de kernel que podem exigir uma recriação de imagem para serem totalmente aplicados.
SecurityPatch foi projetado para minimizar as interrupções o máximo possível. Se o AKS decidir que nós de recriação da imagem não são necessários, ele corrige os nós ao vivo sem esvaziar pods e nenhuma atualização de VHD é executada nesses casos.
Por que SecurityPatch canal precisa atingir snapshot.ubuntu.com ponto de extremidade?
Com o canal SecurityPatch, os nós do cluster Linux precisam baixar os patches de segurança e atualizações necessários do serviço de snapshot do Ubuntu descrito em ubuntu-snapshots-on-azure-ensures-predictability-and-consistency-in-cloud-deployments.
Como saber se uma atualização SecurityPatch ou NodeImage é aplicada no meu nó?
Execute o kubectl get nodes --show-labels comando para listar os nós em seu cluster e seus rótulos.
Entre os rótulos retornados, você verá uma linha semelhante à seguinte saída:
kubernetes.azure.com/node-image-version=AKSUbuntu-2204gen2containerd-202410.27.0-2024.12.01
Aqui, a versão da imagem do nó base é AKSUbuntu-2204gen2containerd-202410.27.0. Se aplicável, a versão do patch de segurança normalmente segue. No exemplo anterior, é 2024.12.01.
Os mesmos detalhes também serão pesquisados no portal do Azure na exibição de rótulo do nó:
Conteúdo relacionado
Para obter uma discussão detalhada sobre as melhores práticas de atualização e outras considerações, veja Diretrizes de patch e atualização do AKS.
Para saber mais sobre as configurações pré-configuradas do AKS Automatic e os padrões prontos para produção, consulte O que é AKS (Serviço de Kubernetes do Azure) Automático?