Atualização automática das imagens do SO do nó no Azure Kubernetes Service (AKS)

O AKS fornece vários canais de atualização automática dedicados a atualizações oportunas de segurança do sistema operacional no nível do nó. Esse canal é diferente das atualizações de versão do Kubernetes no nível de cluster e o substitui.

Tip

Se estiveres a usar AKS Automatic, as atualizações do sistema operativo dos nós estão pré-configuradas para usar o canal NodeImage, com correções de segurança e correções de erros aplicadas numa cadência semanal. Nenhuma configuração é necessária. Para clusters automáticos do AKS com redes virtuais personalizadas, pode ajustar as janelas de manutenção, se necessário. Para saber mais, veja O que é o Azure Kubernetes Service (AKS) Automatic? Para clusters AKS Standard, continue a ler para selecionar o canal que melhor se adequa aos seus requisitos.

Importante

A partir de 30 de novembro de 2025, o Azure Kubernetes Service (AKS) deixou de suportar nem fornecer atualizações de segurança para o Azure Linux 2.0. A imagem da máquina virtual do Azure Linux 2.0 está congelada na versão 202512.06.0. A partir de 31 de março de 2026, as imagens dos nós serão removidas e não poderá ajustar o tamanho dos seus pools de nós. Migre para uma versão Azure Linux suportada atualizando os seus pools de nós para uma versão Kubernetes suportada ou migrando para o osSku AzureLinux3. Para mais informações, consulte a edição do Retirement GitHub e o anúncio de reforma do Azure Updates. Para se manter informado sobre anúncios e atualizações, siga as notas de lançamento do AKS.

Interações entre a atualização automática do sistema operacional do nó e a atualização automática do cluster

As atualizações de segurança do sistema operacional no nível do nó são lançadas a uma taxa mais rápida do que as atualizações de patch ou versão secundária do Kubernetes. O canal de atualização automática do sistema operacional do nó concede flexibilidade e permite uma estratégia personalizada para atualizações de segurança do sistema operacional no nível do nó. Em seguida, você pode escolher um plano separado para atualizações automáticas de versão do Kubernetes no nível de cluster. É melhor usar as atualizações automáticas no nível de cluster e o canal de atualização automática do sistema operacional do nó juntos. O agendamento pode ser ajustado aplicando dois conjuntos separados de janelas - aksManagedAutoUpgradeSchedule de manutenção para o canal de atualização automática do cluster e aksManagedNodeOSUpgradeSchedule para o canal de atualização automática do sistema operacional do nó.

Canais para atualizações de imagem do sistema operacional do nó

O canal selecionado determina o tempo das atualizações. Ao fazer alterações nos canais de atualização automática do SO do nó, aguarde até 24 horas para que as alterações entrem em vigor.

Nota

  • As atualizações automáticas da imagem do sistema operativo dos nós não afetam a versão do Kubernetes do cluster.
  • A partir da versão da API 2023-06-01, o padrão para qualquer novo cluster AKS Standard é NodeImage.
  • Os clusters do AKS Automatic utilizam sempre o canal NodeImage por predefinição.

Alterações no canal do sistema operacional do nó que causam uma nova imagem

As seguintes transições de canal do node os dispararão a reimagem nos nós:

De Para
Não gerido Nenhum
Não especificado Não gerido
Patch de Segurança Não gerido
Imagem de nó Não gerido
Nenhum Não gerido

Canais disponíveis de atualização do SO do nó

Os seguintes canais de atualização estão disponíveis para clusters AKS Standard. (Clusters automáticos do AKS usam o canal NodeImage por defeito.)

Canal Descrição Comportamento específico do SO
None Os seus nós não têm atualizações de segurança aplicadas automaticamente. Isto significa que é o único responsável pelas suas atualizações de segurança. N/A
Unmanaged A infraestrutura de aplicação de patches integrada do SO aplica automaticamente as atualizações do SO. As máquinas recém-alocadas não são inicialmente atualizadas. A infraestrutura do sistema operacional os corrige em algum momento. O Ubuntu e o Azure Linux (pools de nós de CPU) aplicam patches de segurança por meio de atualização automática/dnf-automatic aproximadamente uma vez por dia, por volta das 06:00 UTC. O Windows não aplica automaticamente patches de segurança, pelo que esta opção comporta-se de forma equivalente ao None. Você precisa gerenciar o processo de reinicialização usando uma ferramenta como kured. O Azure Linux com OS Guard no AKS não suporta Unmanaged.
SecurityPatch Patches de segurança do sistema operacional, que são testados pelo AKS, totalmente gerenciados e aplicados com práticas de implantação seguras. O AKS atualiza regularmente o disco rígido virtual (VHD) do nó com patches do mantenedor da imagem rotulados como "somente segurança". Pode haver interrupções quando os patches de segurança são aplicados aos nós. No entanto, o AKS está limitando as interrupções ao reinstalar imagens dos seus nós apenas quando necessário, como para certos pacotes de segurança do kernel. Quando os patches são aplicados, o VHD é atualizado e as máquinas existentes são atualizadas para esse VHD, respeitando as janelas de manutenção e as configurações de surto. Se o AKS decidir que a recriação de nós não é necessária, ele corrige os nós em tempo real sem evacuar os pods e não executa nenhuma atualização de VHD. Essa opção incorre no custo extra de hospedar os VHDs no seu grupo de recursos de nós. Se você usar esse canal, as atualizações autônomas do Linux serão desabilitadas por padrão. O Azure Linux não oferece suporte a esse canal em VMs habilitadas para GPU. SecurityPatch funciona em versões de patch do Kubernetes que foram preteridas, desde que a versão secundária do Kubernetes ainda seja suportada. O Flatcar Container Linux para AKS e o Azure Linux com OS Guard no AKS não suportam SecurityPatch.
NodeImage AKS atualiza os nós com um VHD recém-atualizado contendo correções de segurança e correções de falhas semanalmente. A atualização para o novo VHD é perturbadora, seguindo janelas de manutenção e configurações de pico. Nenhum custo adicional de VHD é incorrido ao escolher esta opção. Se você usar esse canal, as atualizações autônomas do Linux serão desabilitadas por padrão. As atualizações de imagem de nó são suportadas, desde que a versão secundária do Kubernetes do cluster ainda esteja em suporte. As imagens de nó são testadas pelo AKS, totalmente gerenciadas e aplicadas com práticas de implantação seguras.

O que escolher - SecurityPatch Channel ou NodeImage Channel?

Para os clusters automáticos do AKS

O AKS Automatic utiliza o canal NodeImage por defeito. Este canal proporciona o melhor equilíbrio entre correções de segurança, correções de bugs e gestão para cargas de trabalho em produção. A cadência semanal está alinhada com as melhores práticas do AKS e é ajustada para um desempenho ótimo no cluster sem intervenção manual.

Não é necessária qualquer configuração – as atualizações acontecem automaticamente dentro da sua janela de manutenção. Podes ajustar as janelas de manutenção se quiseres controlar quando ocorrem as atualizações, mas a escolha do canal está fixa.

Por que NodeImage para AKS Automatic?

  • Inclui tanto correções de segurança como correções de bugs para uma estabilidade abrangente
  • A cadência semanal proporciona um calendário previsível para as atualizações
  • Totalmente gerido pelo AKS com práticas de implementação segura
  • Sem custos adicionais de alojamento VHD
  • Otimizado para cargas de trabalho de produção com configurações predefinidas recomendadas

Para clusters Standard do AKS

Se estiver a utilizar o AKS Standard, avalie os seus requisitos com base na comparação abaixo para escolher entre os canais SecurityPatch ou NodeImage.

Há duas considerações importantes a ter em conta para escolher entre os canais SecurityPatch ou NodeImage:

Propriedade Canal NodeImage Canal de Atualização de Segurança Canal recomendado
Speed of shipping Os cronogramas típicos de compilação, teste, lançamento e distribuição de um novo VHD podem levar aproximadamente duas semanas após práticas de implantação seguras. Embora no caso de CVEs, implementações aceleradas podem ocorrer caso a caso. O momento exato em que um novo VHD atinge uma região pode ser monitorado por meio do rastreador de lançamento. As versões do SecurityPatch são relativamente mais rápidas do que NodeImage, mesmo com práticas de implementação seguras. O SecurityPatch tem a vantagem do 'Live-patching' em sistemas Linux, onde a aplicação de patches leva a uma 'reimagem' seletiva e não recria a imagem sempre que um patch é aplicado. A recriação de imagem, se acontecer, é controlada por janelas de manutenção. SecurityPatch
Bugfixes Carrega correções de bugs, além de correções de segurança. Inclui apenas correções de segurança. NodeImage

Comparação entre modos de cluster

A tabela seguinte resume a configuração de atualização automática do sistema operativo dos nós por modo cluster:

Aspect AKS Automático Padrão AKS
Canal padrão NodeImage (pré-configurado) Seleção manual necessária
Cadência de atualização Semanal (fixo) Com base no canal selecionado
Configuração necessária Nenhuma - atualizações automáticas Sim - selecione o canal e a programação
Inclui correções de bugs Sim Apenas se o canal NodeImage estiver selecionado
Recomendado para A maioria das cargas de trabalho de produção Requisitos personalizados ou restrições específicas
Controlo da janela de manutenção Optional Altamente recomendado

Definir o canal de atualização automática do OS para nó em um novo cluster

Nota

Se estiveres a criar um cluster automático do AKS, ignora estes passos. O canal NodeImage já está pré-configurado. Estes passos aplicam-se apenas a clusters AKS Standard.

Defina o canal de autoatualização do sistema operativo do nó num novo cluster, utilizando o comando az aks create com o parâmetro --node-os-upgrade-channel. O exemplo a seguir define o canal de atualização automática do sistema operativo do nó como SecurityPatch.

export RANDOM_SUFFIX=$(openssl rand -hex 3)
export RESOURCE_GROUP="myResourceGroup$RANDOM_SUFFIX"
export AKS_CLUSTER="myAKSCluster$RANDOM_SUFFIX"
az aks create \
    --resource-group $RESOURCE_GROUP \
    --name $AKS_CLUSTER \
    --node-os-upgrade-channel SecurityPatch \
    --generate-ssh-keys

Defina o canal de atualização automática do sistema operativo do nó num cluster existente

Nota

Se estiveres a usar um cluster AKS Automatic, não podes alterar o canal de autoatualização do sistema operativo do nó – está pré-configurado para usar NodeImage. Estes passos aplicam-se apenas a clusters AKS Standard. Pode ajustar as janelas de manutenção do seu painel automático AKS, se necessário.

Defina o canal de atualização automática do sistema operativo do nó num cluster existente, utilizando o comando az aks update com o parâmetro --node-os-upgrade-channel. O exemplo a seguir define o canal de atualização automática do sistema operativo do nó como SecurityPatch.

az aks update --resource-group $RESOURCE_GROUP --name $AKS_CLUSTER --node-os-upgrade-channel SecurityPatch

Resultados:

{
  "autoUpgradeProfile": {
      "nodeOsUpgradeChannel": "SecurityPatch"
  }
}

Ajustar as janelas de manutenção para os clusters automáticos do AKS

Nota

Clusters automáticos do AKS usam o canal NodeImage pré-configurado e não podem alterar esta seleção. No entanto, pode ajustar quando ocorrem as atualizações configurando janelas de manutenção.

Defina uma janela de manutenção para as atualizações automáticas do sistema operativo dos nós, utilizando o comando az aks update com o parâmetro --node-os-upgrade-channel NodeImage e as opções --schedule-config:

az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $AKS_CLUSTER \
    --node-os-upgrade-channel NodeImage \
    --schedule-config "scheduled-maintenance-window=true" \
    --maintenance-window "frequency=Weekly,day-of-week=Sunday,utc-offset=+00:00,duration-hours=4,start-hour=2"

Atualize a titularidade e a cadência por canal

A cadência padrão significa que não há nenhuma janela de manutenção programada.

Canal Atualiza a propriedade Cadência padrão
Unmanaged Atualizações de segurança orientadas pelo SO. O AKS não tem controle sobre essas atualizações. Todas as noites por volta das 6h UTC para Ubuntu e Azure Linux. Mensalmente para Windows.
SecurityPatch AKS testado, totalmente gerenciado e aplicado com práticas de implantação seguras. Para obter mais informações, consulte Aumento da segurança e resiliência das cargas de trabalho Canonical no Azure. A cadência determinada pelo AKS é normalmente mais rápida do que a semanal.
NodeImage AKS testado, totalmente gerenciado e aplicado com práticas de implantação seguras. Para obter mais informações em tempo real sobre lançamentos, procure AKS Node Images no Release tracker Semanalmente.

Nota

Embora as atualizações de segurança do Windows sejam lançadas mensalmente, o uso do Unmanaged canal não aplicará automaticamente essas atualizações aos nós do Windows. Se escolher o canal Unmanaged, precisa gerir o processo de reinicialização para os nodos Windows.

Limitações conhecidas do canal de atualização automática do sistema operativo de nó

  • Atualmente, quando você define o canal de atualização automática do cluster como node-image, ele também define automaticamente o canal de atualização automática do sistema operacional do nó como NodeImage. Não é possível alterar o valor do canal de atualização automática do sistema operacional do nó se o canal de atualização automática do cluster for node-image. Para definir o valor do canal de atualização automática do sistema operativo do nó, verifique se o valor do canal de atualização automática do cluster não é node-image.
  • O SecurityPatch canal não é suportado em pools de nós do sistema operacional Windows.
  • O SecurityPatch canal não é compatível com uma Azure Policy que usa um deny efeito para exigir chaves geridas pelo cliente (CMK) para a encriptação do disco do sistema operativo. Ao aplicar uma correção de segurança, o AKS cria temporariamente um conjunto de dimensionamento de máquinas virtuais (VMSS) (prefixado com copy-) no grupo de recursos do nó (MC_) que essa política não permite, pelo que a atualização falha com o erro RequestDisallowedByPolicy. A utilização de chaves geridas pelo cliente nos seus pools de nós continua a ser suportada com SecurityPatch; o conflito ocorre apenas com uma política de deny-effect. Se precisar de uma política organizacional deny para encriptação de disco do sistema operativo CMK, use o NodeImage canal em vez disso.

Nota

Use a versão CLI 2.61.0 ou posterior para o SecurityPatch canal.

Janelas de manutenção planejada do sistema operacional do nó

A manutenção planejada para a atualização automática do sistema operacional do nó começa na janela de manutenção especificada.

Nota

Para garantir a funcionalidade adequada, use uma janela de manutenção de quatro horas ou mais.

Para obter mais informações sobre Manutenção Planejada, consulte Usar Manutenção Planejada para agendar janelas de manutenção para seu cluster do Serviço Kubernetes do Azure (AKS).

Perguntas frequentes sobre atualizações automáticas do sistema operacional do nó

Como posso verificar o valor atual do nodeOsUpgradeChannel em um cluster?

Execute o az aks show comando e verifique o "autoUpgradeProfile" para determinar qual valor o nodeOsUpgradeChannel está definido para:

az aks show --resource-group $RESOURCE_GROUP --name $AKS_CLUSTER --query "autoUpgradeProfile"

Resultados:

{
  "nodeOsUpgradeChannel": "SecurityPatch"
}

A atualização automática do sistema operativo do nó está configurada de forma diferente para o AKS Automatic?

Yes. Os clusters automáticos do AKS estão pré-configurados para usar o canal NodeImage por defeito – não precisas de configurar nada. Esta configuração proporciona:

  • Correções semanais de segurança e correções de bugs
  • Reimagem automática com práticas de implementação segura
  • Controlo da janela de manutenção (opcional)
  • Predefinições prontas para produção, otimizadas para a maioria das cargas de trabalho
  • Sem custos adicionais de alojamento VHD

Os clusters AKS Standard exigem que selecione um canal com base nas suas necessidades específicas. Para migrar do AKS Standard para o AKS Automático e beneficiar destes predeterminados pré-configurados, veja O que é o Azure Kubernetes Service (AKS) Automatic?

Posso alterar o canal de atualização automática do sistema operativo do nó num cluster do AKS Automatic?

N.º Clusters automáticos do AKS usam o canal NodeImage, e não podes mudar esse canal. Se precisares de um canal diferente, usa um cluster AKS Standard. No entanto, pode ajustar as janelas de manutenção para controlar quando ocorrem atualizações no seu cluster automático do AKS.

Como posso monitorizar o estado das atualizações automáticas do sistema operativo do nó?

Para visualizar o estado das atualizações automáticas do sistema operativo do nó, consulte os registos de atividade no cluster. Você também pode procurar eventos específicos relacionados à atualização, conforme mencionado em Atualizar um cluster AKS. AKS também emite eventos de Event Grid relacionados à atualização. Para saber mais, consulte AKS como uma fonte de grade de eventos.

Posso alterar o valor do canal de atualização automática do sistema operativo do nó se o canal de atualização automática do meu cluster estiver definido como node-image?

N.º Atualmente, quando você define o canal de atualização automática do cluster como node-image, ele também define automaticamente o canal de atualização automática do sistema operacional do nó como NodeImage. Não é possível alterar o valor do canal de atualização automática do sistema operacional do nó se o canal de atualização automática do cluster for node-image. Para alterar os valores do canal de autoatualização do sistema operativo dos nós, certifique-se de que o canal de autoatualização do cluster não é node-image.

No Unmanaged canal, o AKS não tem controle sobre como e quando as atualizações de segurança são entregues. Com SecurityPatch, as atualizações de segurança são totalmente testadas e seguem práticas de implantação seguras. SecurityPatch também respeita as janelas de manutenção. Para obter mais informações, consulte Aumento da segurança e resiliência das cargas de trabalho Canonical no Azure.

SecurityPatch leva sempre a uma reimagem dos meus nós?

O AKS limita as reimagens apenas quando necessário, como certos pacotes do kernel que podem exigir uma reimagem para serem totalmente aplicados. SecurityPatch é projetado para minimizar as interrupções tanto quanto possível. Se o AKS decidir que a recriação de nós não é necessária, ele corrige os nós ao vivo sem drenar pods e nenhuma atualização de VHD é executada nesses casos.

Por que o canal SecurityPatch precisa alcançar o endpoint snapshot.ubuntu.com?

Com o SecurityPatch canal, os nós de cluster Linux têm que baixar os patches de segurança e atualizações necessários do serviço de instantâneos do Ubuntu descrito em ubuntu-snapshots-on-azure-ensuring-predictability-and-consistency-in-cloud-deployments.

Como posso saber se uma atualização SecurityPatch ou NodeImage é aplicada no meu nó?

Execute o kubectl get nodes --show-labels comando para listar os nós no cluster e seus rótulos.

Entre as etiquetas retornadas, deverás ver uma linha semelhante à seguinte saída:

kubernetes.azure.com/node-image-version=AKSUbuntu-2204gen2containerd-202410.27.0-2024.12.01

Aqui, a versão da imagem do nó base é AKSUbuntu-2204gen2containerd-202410.27.0. Se aplicável, segue-se normalmente a versão do patch de segurança. No exemplo anterior, é 2024.12.01.

Os mesmos detalhes também podem ser pesquisados no portal do Azure sob a exibição de rótulo de nó:

Uma captura de ecrã da página de nós de um cluster AKS no portal do Azure. O rótulo da versão da imagem do nó mostra claramente a imagem base do nó e a data do patch de segurança mais recente aplicado.

Para obter uma discussão detalhada sobre as práticas recomendadas de atualização e outras considerações, consulte o patch do AKS e as diretrizes de atualização.

Para saber mais sobre as definições pré-configuradas do AKS Automatic e os padrões de produção prontos, consulte O que é o Azure Kubernetes Service (AKS) Automatic?