Atualizar automaticamente as imagens do sistema operacional dos nós no AKS (Serviço de Kubernetes do Azure)

O AKS fornece vários canais de atualização automática dedicados a atualizações de segurança do sistema operacional em nível de nó de forma oportuna. Esse canal é diferente das atualizações de versão do Kubernetes no nível do cluster e o substitui.

Tip

Se você estiver usando AKS Automático, as atualizações do sistema operacional do nó já vêm pré-configuradas para usar o canal NodeImage, com correções de segurança e correções de bugs aplicadas semanalmente. Nenhuma configuração é necessária. Para clusters automáticos do AKS com redes virtuais personalizadas, você pode ajustar janelas de manutenção, se necessário. Para saber mais, consulte O que é o AKS (Serviço de Kubernetes do Azure) Automatic? Para clusters AKS Standard, continue lendo para selecionar o canal que melhor se adapta aos seus requisitos.

Importante

A partir de 30 de novembro de 2025, o AKS (Serviço de Kubernetes do Azure) não dá mais suporte ou fornece atualizações de segurança para o Azure Linux 2.0. A imagem do nó do Azure no Linux 2.0 está congelada na versão 202512.06.0. A partir de 31 de março de 2026, as imagens dos nós serão removidas e você não poderá dimensionar os pools de nós. Migre para uma versão do Azure Linux com suporte atualizando os pools de nós para uma versão do Kubernetes com suporte ou migrando para o osSku AzureLinux3. Para obter mais informações, consulte o problema de desativação do GitHub e o anúncio de desativação do Azure Updates. Para se manter informado sobre anúncios e atualizações, acompanhe as notas de lançamento do AKS.

Interações entre a atualização automática do sistema operacional do nó e a atualização automática do cluster

As atualizações de segurança do sistema operacional no nível do nó são lançadas em uma taxa mais rápida do que o patch do Kubernetes ou atualizações de versões secundárias. O canal de atualização automática do sistema operacional do nó oferece flexibilidade e habilita uma estratégia personalizada para atualizações de segurança do sistema operacional no nível do nó. Em seguida, você pode escolher um plano separado para atualizações automáticas da versão do Kubernetes no nível do cluster. É melhor usar as atualização automáticas no nível de cluster e o canal de atualização automática do sistema operacional do nó juntos. O agendamento pode ser ajustado aplicando dois conjuntos separados de janelas de manutenção - aksManagedAutoUpgradeSchedule para o canal de atualização automática do cluster e aksManagedNodeOSUpgradeSchedule para o canal de atualização automática do sistema operacional do nó.

Canais para atualizações de imagem do sistema operacional do nó

O canal selecionado determina o tempo das atualizações. Ao fazer alterações nos canais de atualização automática do sistema operacional do nó, aguarde até 24 horas para que as alterações produzam efeito.

Observação

  • As atualizações automáticas da imagem do sistema operacional do nó não afetam a versão do Kubernetes do cluster.
  • A partir da versão da API 2023-06-01, o padrão de qualquer novo cluster AKS Standard é NodeImage.
  • Os clusters automáticos do AKS sempre usam o NodeImage canal por padrão.

Alterações no canal do sistema operacional do nó que causam uma nova imagem

As seguintes transições de canal do sistema operacional do nó dispararão a nova imagem nos nós:

De Para
Não gerenciado None
Não Especificado Não gerenciado
Patch de Segurança Não gerenciado
NodeImage Não gerenciado
None Não gerenciado

Canais de atualização do sistema operacional do nó disponível

Os canais de atualização a seguir estão disponíveis para clusters padrão do AKS. (Os clusters automáticos do AKS usam o canal NodeImage por padrão.)

Canal Descrição Comportamento específico do SO
None Seus nós não tem atualizações de segurança aplicadas automaticamente. Isso significa que você é o único responsável por suas atualizações de segurança. N/D
Unmanaged A infraestrutura de aplicação de patch interna do sistema operacional aplica automaticamente as atualizações do sistema operacional. Os computadores recém-alocados são inicialmente incompatíveis. A infraestrutura do sistema operacional os corrige em algum momento. O Ubuntu e o Linux do Azure (pools de nós de CPU) aplicam patches de segurança por meio de atualização autônoma/dnf-automatic aproximadamente uma vez por dia por volta das 06:00 UTC. O Windows não aplica patches de segurança automaticamente, então essa opção se comporta de forma equivalente a None. Você precisa gerenciar o processo de reinicialização usando uma ferramenta como o kured. O Azure Linux com o OS Guard no AKS não suporta Unmanaged.
SecurityPatch Patches de segurança do sistema operacional, testados pelo AKS, totalmente gerenciados e aplicados com práticas de implantação seguras. O AKS atualiza regularmente o VHD (disco rígido virtual) do nó com patches do mantenedor da imagem rotulado como "somente segurança". Talvez haja interrupções quando os patches de segurança forem aplicados aos nós. No entanto, o AKS está limitando as interrupções ao recriar a imagem dos seus nós somente quando necessário, como para determinados pacotes de segurança do kernel. Quando os patches são aplicados, o VHD é atualizado e os computadores existentes são atualizados para esse VHD, respeitando as janelas de manutenção e as configurações de aumento. Se o AKS decidir que a recriação da imagem dos nós não é necessária, ele corrige os nós ativos sem drenar os pods e não executa nenhuma atualização do VHD. Essa opção incorre no custo extra de hospedar os VHDs em seu grupo de recursos do nó. Se você usar esse canal, as atualizações autônomas do Linux serão desabilitadas por padrão. O Azure Linux não dá suporte a esse canal em VMs habilitadas para GPU. O SecurityPatch funciona em versões de patch de kubernetes que foram preteridas, desde que ainda haja suporte para a versão secundária do Kubernetes. Flatcar Container Linux para AKS e Azure Linux com OS Guard no AKS não têm suporte SecurityPatch.
NodeImage O AKS atualizará os nós com um VHD com patch recém aplicado contendo correções de segurança e correções de bugs semanalmente. A atualização para o novo VHD é disruptiva, seguindo as janelas de manutenção e as configurações de aumento. Nenhum custo extra de VHD é incorrido ao escolher essa opção. Se você usar esse canal, as atualizações autônomas do Linux serão desabilitadas por padrão. Há suporte para atualizações de imagem de nó, desde que a versão secundária do Kubernetes do cluster ainda esteja em suporte. As imagens de nó são testadas pelo AKS, totalmente gerenciado e aplicadas com práticas de implantação seguras.

O que escolher – Canal SecurityPatch ou Canal NodeImage?

Para clusters automáticos do AKS

O AKS Automatic usa o canal NodeImage por padrão. Este canal oferece o melhor equilíbrio entre correções de segurança, correções de bugs e facilidade de gerenciamento para cargas de trabalho de produção. A cadência semanal se alinha às práticas recomendadas do AKS e é ajustada para o desempenho ideal do cluster sem intervenção manual.

Nenhuma configuração é necessária – as atualizações ocorrem automaticamente na janela de manutenção. Você pode ajustar as janelas de manutenção se quiser controlar quando as atualizações ocorrem, mas a escolha do canal é fixa.

Por que NodeImage para AKS Automatic?

  • Inclui correções de segurança e correções de bug para estabilidade abrangente
  • A cadência semanal fornece tempo de atualização previsível
  • Totalmente gerenciado pelo AKS com práticas de implantação seguras
  • Sem custos extras de hospedagem de VHD
  • Otimizado para cargas de trabalho de produção com configurações padrão recomendadas

Para clusters padrão do AKS

Se você estiver usando o AKS Standard, avalie seus requisitos usando a comparação abaixo para escolher entre SecurityPatch ou NodeImage canais.

Há duas considerações importantes para você escolher entre SecurityPatch ou NodeImage canais:

Propriedade Canal NodeImage Canal SecurityPatch Canal Recomendado
Speed of shipping As linhas do tempo típicas de build, teste, versão e distribuição para um novo VHD podem levar aproximadamente duas semanas após as práticas de implantação seguras. Embora no caso de CVEs, as distribuições aceleradas podem ocorrer caso a caso. O tempo exato em que um novo VHD atinge uma região pode ser monitorado por meio do rastreador de versão. As versões do SecurityPatch são lançadas relativamente mais rapidamente do que NodeImage, mesmo com práticas de implantação seguras. SecurityPatch tem a vantagem de 'aplicação de patch ao vivo' em ambientes do Linux, em que a aplicação de patch leva a uma 'recriação da imagem' seletiva e não cria uma nova imagem sempre que um patch é aplicado. A nova imagem, se ocorrer, é controlada por janelas de manutenção. SecurityPatch
Bugfixes Carrega correções de bugs além de correções de segurança. Carrega estritamente apenas correções de segurança. NodeImage

Comparação do modo cluster

A tabela a seguir resume a configuração de atualização automática do sistema operacional do nó de acordo com o modo do cluster:

Aspecto AKS Automático AKS Standard
Canal padrão NodeImage (pré-configurado) Seleção manual necessária
Cadência de atualização Semanal (fixo) Com base no canal selecionado
Configuração necessária Nenhuma – atualizações automáticas Sim - selecione canal e agendamento
Inclui correções de bug Yes Somente se o canal NodeImage tiver sido selecionado
Recomendado para A maioria das cargas de trabalho de produção Requisitos personalizados ou restrições específicas
Controle da janela de manutenção Optional Altamente recomendado

Definir o canal de atualização automática do sistema operacional do nó em um novo cluster

Observação

Se você estiver criando um cluster automático do AKS, ignore estas etapas. O canal NodeImage já está pré-configurado. Essas etapas se aplicam somente a clusters padrão do AKS.

Defina o canal de atualização automática do sistema operacional do nó em um novo cluster usando o comando az aks create com o parâmetro --node-os-upgrade-channel. O exemplo a seguir define o canal de atualização automática do sistema operacional do nó como SecurityPatch.

export RANDOM_SUFFIX=$(openssl rand -hex 3)
export RESOURCE_GROUP="myResourceGroup$RANDOM_SUFFIX"
export AKS_CLUSTER="myAKSCluster$RANDOM_SUFFIX"
az aks create \
    --resource-group $RESOURCE_GROUP \
    --name $AKS_CLUSTER \
    --node-os-upgrade-channel SecurityPatch \
    --generate-ssh-keys

Defina o canal de atualização automática do sistema operacional do nó em um cluster existente

Observação

Se você estiver usando um cluster do AKS Automático, não poderá alterar o canal de atualização automática do sistema operacional do nó, pois ele já vem pré-configurado para usar o NodeImage. Essas etapas se aplicam somente a clusters padrão do AKS. Você pode ajustar as janelas de manutenção para o cluster automático do AKS, se necessário.

Defina o canal de atualização automática do sistema operacional do nó em um cluster existente usando o comando az aks update com o parâmetro --node-os-upgrade-channel. O exemplo a seguir define o canal de atualização automática do sistema operacional do nó como SecurityPatch.

az aks update --resource-group $RESOURCE_GROUP --name $AKS_CLUSTER --node-os-upgrade-channel SecurityPatch

Resultados:

{
  "autoUpgradeProfile": {
      "nodeOsUpgradeChannel": "SecurityPatch"
  }
}

Ajustar janelas de manutenção para clusters automáticos do AKS

Observação

Os clusters automáticos do AKS usam o canal NodeImage pré-configurado e não podem alterar essa seleção. No entanto, você pode ajustar quando as atualizações ocorrem configurando janelas de manutenção.

Defina uma janela de manutenção para as atualizações automáticas do sistema operacional do nó usando o comando az aks update com o parâmetro --node-os-upgrade-channel NodeImage e as opções --schedule-config:

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $AKS_CLUSTER \
    --node-os-upgrade-channel NodeImage \
    --schedule-config "scheduled-maintenance-window=true" \
    --maintenance-window "frequency=Weekly,day-of-week=Sunday,utc-offset=+00:00,duration-hours=4,start-hour=2"

Atualizar a propriedade e a cadência por canal

A cadência padrão significa que não há nenhuma janela de manutenção planejada aplicada.

Canal Atualiza a titularidade Cadência padrão
Unmanaged Atualizações de segurança controladas pelo sistema operacional. O AKS não tem controle sobre essas atualizações. À noite, por volta das 6:00 UTC para Ubuntu e Linux do Azure. Mensalmente para Windows.
SecurityPatch Testado pelo AKS, totalmente gerenciado e aplicado com práticas de implantação seguras. Para obter mais informações, veja Maior segurança e resiliência de cargas de trabalho canônicas no Azure. Normalmente, mais rápido do que semanalmente, o AKS determinou a cadência.
NodeImage Testado pelo AKS, totalmente gerenciado e aplicado com práticas de implantação seguras. Para obter mais informações em tempo real sobre versões, pesquise imagens de nó do AKS no rastreador de versão Semanalmente.

Observação

Embora as atualizações de segurança do Windows sejam lançadas mensalmente, o uso do Unmanaged canal não aplicará automaticamente essas atualizações aos nós do Windows. Se você escolher o canal Unmanaged, precisará gerenciar o processo de reinicialização para nós do Windows.

Limitações conhecidas do canal de atualização automática do sistema operacional do nó

  • Atualmente, quando você define o canal de atualização automática do cluster como node-image, ele também define automaticamente o canal de atualização automática do sistema operacional do nó como NodeImage. Você não poderá alterar o valor do canal de atualização automática do sistema operacional do nó se o canal de atualização automática do cluster for node-image. Para definir o valor do canal de atualização automática do sistema operacional do nó, verifique se o valor do canal de atualização automática do cluster não é node-image.
  • Não há suporte para o canal SecurityPatch nos pools de nós do sistema operacional Windows.
  • O SecurityPatch canal não é compatível com um Azure Policy que usa um deny efeito para exigir CMK (chaves gerenciadas pelo cliente) para criptografia de disco do sistema operacional. Ao aplicar um patch de segurança, o AKS cria temporariamente um conjunto de dimensionamento de máquinas virtuais (VMSS) com o prefixo copy- no grupo de recursos do nó (MC_), o que é proibido por essa política; por isso, a atualização falha com o erro RequestDisallowedByPolicy. O uso de chaves gerenciadas pelo cliente nos seus pools de nós ainda é suportado com SecurityPatch; o conflito ocorre apenas com uma política de efeito deny. Se você precisar de uma política deny em toda a organização para criptografia de disco do sistema operacional CMK, use o canal NodeImage em vez disso.

Observação

Use a CLI versão 2.61.0 ou posterior para o SecurityPatch canal.

Janelas de manutenção planejada do sistema operacional do nó

A manutenção planejada para a atualização automática do sistema operacional do nó começa na janela de manutenção especificada.

Observação

Para garantir a funcionalidade adequada, use uma janela de manutenção de quatro horas ou mais.

Para mais informações sobre a manutenção planejada, consulte Usar a manutenção planejada para agendar janelas de manutenção para seu cluster do AKS (Serviço de Kubernetes do Azure).

Perguntas frequentes sobre o sistema operacional do nó

Como posso verificar o valor atual do nodeOsUpgradeChannel em um cluster?

Execute o comando az aks show e verifique o "autoUpgradeProfile" para determinar qual valor o nodeOsUpgradeChannel está definido:

az aks show --resource-group $RESOURCE_GROUP --name $AKS_CLUSTER --query "autoUpgradeProfile"

Resultados:

{
  "nodeOsUpgradeChannel": "SecurityPatch"
}

A atualização automática do sistema operacional do nó está configurada de forma diferente para o AKS Automático?

Sim. Os clusters automáticos do AKS são pré-configurados para usar o canal NodeImage por padrão - você não precisa configurar nada. Essa configuração fornece:

  • Correções semanais de segurança e correções de bugs
  • Recriação automática da imagem com práticas seguras de implantação
  • Controle da janela de manutenção (opcional)
  • Configurações padrão prontas para produção otimizadas para a maioria das cargas de trabalho
  • Sem custos extras de hospedagem de VHD

Os clusters padrão do AKS exigem que você selecione um canal com base em suas necessidades específicas. Para migrar do AKS Standard para o AKS Automatic e se beneficiar desses padrões pré-configurados, consulte O que é AKS (Serviço de Kubernetes do Azure) Automático?

Posso alterar o canal de atualização automática do sistema operacional do nó em um cluster do AKS Automático?

Não. Os clusters automáticos do AKS usam o canal NodeImage e você não pode alterar esse canal. Se você precisar de um canal diferente, use um cluster Standard do AKS. No entanto, você pode ajustar as janelas de manutenção para controlar quando as atualizações ocorrem no cluster automático do AKS.

Como posso monitorar o status dos atualização automáticas do sistema operacional do nó?

Para exibir o status de suas atualizações automáticas do sistema operacional do nó, pesquise os logs de atividades no cluster. Você também pode pesquisar eventos específicos relacionados a atualizações, conforme mencionado em Atualizar um cluster do AKS. O AKS também emite eventos da Grade de Eventos relacionados a atualizações. Para saber mais, confira AKS como uma fonte da Grade de Eventos.

Posso alterar o valor do canal de atualização automática do sistema operacional do nó se meu canal de atualização automática do cluster estiver definido como node-image?

Não. Atualmente, quando você define o canal de atualização automática do cluster como node-image, ele também define automaticamente o canal de atualização automática do sistema operacional do nó como NodeImage. Você não poderá alterar o valor do canal de atualização automática do sistema operacional do nó se o canal de atualização automática do cluster for node-image. Para alterar os valores do canal de atualização automática do sistema operacional do nó, garanta que o canal de atualização automática do cluster não seja node-image.

No canal Unmanaged, o AKS não tem controle sobre como e quando as atualizações de segurança são entregues. Com SecurityPatch, as atualizações de segurança são totalmente testadas e seguem práticas de implantação seguras. SecurityPatch também respeita as janelas de manutenção. Para obter mais informações, veja Maior segurança e resiliência de cargas de trabalho canônicas no Azure.

SecurityPatch sempre leva a uma nova imagem dos meus nós?

O AKS limita as recriações de imagem somente quando necessário, como determinados pacotes de kernel que podem exigir uma recriação de imagem para serem totalmente aplicados. SecurityPatch foi projetado para minimizar as interrupções o máximo possível. Se o AKS decidir que nós de recriação da imagem não são necessários, ele corrige os nós ao vivo sem esvaziar pods e nenhuma atualização de VHD é executada nesses casos.

Por que SecurityPatch canal precisa atingir snapshot.ubuntu.com ponto de extremidade?

Com o canal SecurityPatch, os nós do cluster Linux precisam baixar os patches de segurança e atualizações necessários do serviço de snapshot do Ubuntu descrito em ubuntu-snapshots-on-azure-ensures-predictability-and-consistency-in-cloud-deployments.

Como saber se uma atualização SecurityPatch ou NodeImage é aplicada no meu nó?

Execute o kubectl get nodes --show-labels comando para listar os nós em seu cluster e seus rótulos.

Entre os rótulos retornados, você verá uma linha semelhante à seguinte saída:

kubernetes.azure.com/node-image-version=AKSUbuntu-2204gen2containerd-202410.27.0-2024.12.01

Aqui, a versão da imagem do nó base é AKSUbuntu-2204gen2containerd-202410.27.0. Se aplicável, a versão do patch de segurança normalmente segue. No exemplo anterior, é 2024.12.01.

Os mesmos detalhes também serão pesquisados no portal do Azure na exibição de rótulo do nó:

Uma captura de tela da página de nós de um cluster do AKS no portal do Azure. O rótulo da versão da imagem do nó mostra claramente a imagem do nó base e a data de patch de segurança aplicada mais recente.

Para obter uma discussão detalhada sobre as melhores práticas de atualização e outras considerações, veja Diretrizes de patch e atualização do AKS.

Para saber mais sobre as configurações pré-configuradas do AKS Automatic e os padrões prontos para produção, consulte O que é AKS (Serviço de Kubernetes do Azure) Automático?