Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
AKS proporciona varios canales de actualización automática dedicados a las actualizaciones de seguridad del sistema operativo de nivel de nodo oportunas. Este canal es diferente de las actualizaciones de la versión de Kubernetes de nivel de clúster y la reemplaza.
Tip
Si usa AKS Automatic, las actualizaciones del sistema operativo del nodo están preconfiguradas para usar el canal NodeImage con correcciones de seguridad y correcciones de errores aplicadas en una cadencia semanal. No necesita ninguna configuración. En el caso de los clústeres automáticos de AKS con redes virtuales personalizadas, puede ajustar las ventanas de mantenimiento si es necesario. Para obtener más información, consulte ¿Qué es Azure Kubernetes Service (AKS) automático? En el caso de los clústeres estándar de AKS, siga leyendo para seleccionar el canal que mejor se adapte a sus requisitos.
Importante
A partir del 30 de noviembre de 2025, Azure Kubernetes Service (AKS) ya no admite ni proporciona actualizaciones de seguridad para Azure Linux 2.0. La imagen de nodo de Linux 2.0 de Azure está congelada en la versión 202512.06.0. A partir del 31 de marzo de 2026, se quitarán las imágenes de nodo y no podrá escalar los grupos de nodos. Migre a una versión compatible de Azure Linux mediante la actualización de los grupos de nodos a una versión de Kubernetes compatible o la migración a osSku AzureLinux3. Para más información, consulte el asunto de retirada de GitHub y el anuncio sobre la retirada de actualizaciones de Azure. Para mantenerse informado sobre los anuncios y actualizaciones, siga las notas de lanzamiento de AKS.
Interacciones entre la actualización automática del sistema operativo del nodo y la actualización automática del clúster
Las actualizaciones de seguridad del sistema operativo de nivel de nodo se publican a mayor velocidad que la revisión de Kubernetes o las actualizaciones de versiones secundarias. El canal de actualización automática del sistema operativo del nodo le concede flexibilidad y permite una estrategia personalizada para las actualizaciones de seguridad del sistema operativo de nivel de nodo. Después, puede elegir un plan independiente para las actualizaciones automáticas de la versión de Kubernetes de nivel de clúster.
Se recomienda usar actualizaciones automáticas de nivel de clúster y el canal de actualización automática del sistema operativo del nodo juntos. La programación se puede ajustar aplicando dos conjuntos independientes de ventanas - aksManagedAutoUpgradeSchedule de mantenimiento para el canal de degradación automática del clúster y aksManagedNodeOSUpgradeSchedule para el canal de actualización automática del sistema operativo del nodo.
Canales para actualizaciones de imágenes del sistema operativo de nodo
El canal seleccionado determina el calendario de las actualizaciones. Al realizar cambios en los canales de actualización automática del sistema operativo del nodo, espere hasta 24 horas para que los cambios surtan efecto.
Nota:
- Las actualizaciones automáticas de la imagen del sistema operativo de los nodos no afectan a la versión de Kubernetes del clúster.
- A partir de la versión de API 2023-06-01, el valor predeterminado para cualquier nuevo clúster de AKS Standard es
NodeImage. - Los clústeres automáticos de AKS siempre usan el
NodeImagecanal de forma predeterminada.
Cambios en el canal del sistema operativo de nodo que provocan una nueva imagen
Las siguientes transiciones del canal del sistema operativo del nodo activarán la creación de nuevas imágenes en los nodos:
| De | A |
|---|---|
| No administrado | Ninguno |
| Sin especificar | No administrado |
| Parche de Seguridad | No administrado |
| NodeImage | No administrado |
| Ninguno | No administrado |
Canales de actualización del sistema operativo del nodo disponibles
Los siguientes canales de actualización están disponibles para los clústeres estándar de AKS. (Los clústeres automáticos de AKS usan el canal NodeImage de forma predeterminada).
| Canal | Descripción | Comportamiento específico del sistema operativo |
|---|---|---|
None |
No se aplicarán actualizaciones de seguridad a los nodos automáticamente. Esto significa que usted es el único responsable de las actualizaciones de seguridad. | N/D |
Unmanaged |
La infraestructura de aplicación de revisiones integrada del sistema operativo aplica automáticamente las actualizaciones del sistema operativo. Las máquinas recién asignadas inicialmente no tienen revisiones. La infraestructura del sistema operativo instala los parches en algún momento. | Ubuntu y Azure Linux (grupos de nodos de CPU) aplican revisiones de seguridad a través de una actualización desatendida/dnf-automatic aproximadamente una vez al día alrededor de las 06:00 UTC. Windows no aplica automáticamente revisiones de seguridad, por lo que esta opción se comporta de forma equivalente a None. Debe administrar el proceso de reinicio mediante una herramienta como kured.
Azure Linux con OS Guard en AKS no admite Unmanaged. |
SecurityPatch |
Revisiones de seguridad del sistema operativo, que son probadas por AKS, totalmente administradas y aplicadas con prácticas de implementación seguras. AKS actualiza periódicamente el disco duro virtual (VHD) del nodo con revisiones del mantenedor de la imagen con la etiqueta “solo seguridad”. Puede haber interrupciones cuando se apliquen los parches de seguridad a los nodos. Sin embargo, AKS está limitando las interrupciones restableciendo solo la imagen inicial de los nodos cuando es necesario, como para determinados paquetes de seguridad de kernel. Cuando se aplican las revisiones, el VHD se actualiza y las máquinas existentes se actualizan a ese VHD, lo que respeta las ventanas de mantenimiento y la configuración de sobrecarga. Si AKS decide que no es necesario restablecer la imagen inicial de los nodos, aplica revisiones a los nodos en vivo sin purgar los pods y no realiza ninguna actualización del disco duro virtual. Esta opción conlleva el coste adicional de hospedar los discos duros virtuales en el grupo de recursos del nodo. Si usa este canal, las actualizaciones desatendidas de Linux se deshabilitarán de forma predeterminada. | Linux de Azure no admite este canal en máquinas virtuales habilitadas para GPU.
SecurityPatch funciona en versiones de revisión de Kubernetes que están en desuso, siempre y cuando todavía se admita la versión secundaria de Kubernetes.
Flatcar Container Linux para AKS y Azure Linux con OS Guard en AKS no admiten SecurityPatch. |
NodeImage |
AKS actualiza semanalmente los nodos con un VHD recién revisado que contiene correcciones de seguridad y de errores. La actualización al nuevo VHD supone una interrupción, según los periodos de mantenimiento y la configuración de sobrecarga. No se incurre en ningún coste adicional de VHD al elegir esta opción. Si usa este canal, las actualizaciones desatendidas de Linux se deshabilitarán de forma predeterminada. Las actualizaciones de imágenes de nodo se admiten siempre que la versión secundaria de Kubernetes del clúster siga siendo compatible. Las imágenes de nodo son probadas por AKS, totalmente administradas y aplicadas con prácticas de implementación seguras. |
¿Qué elegir- SecurityPatch Channel o NodeImage Channel?
Para clústeres automáticos de AKS
AKS Automatic usa el canal NodeImage de forma predeterminada. Este canal proporciona el mejor equilibrio entre correcciones de seguridad, correcciones de errores y capacidad de administración para cargas de trabajo de producción. La cadencia semanal se alinea con los procedimientos recomendados de AKS y se ajusta para lograr un rendimiento óptimo del clúster sin intervención manual.
No se requiere ninguna configuración : las actualizaciones se producen automáticamente en la ventana de mantenimiento. Puede ajustar las ventanas de mantenimiento si desea controlar cuándo se producen las actualizaciones, pero la opción del canal es fija.
¿Por qué NodeImage para AKS Automatic?
- Incluye correcciones de seguridad y correcciones de errores para una estabilidad completa
- La cadencia semanal proporciona un tiempo de actualización predecible.
- Administración completa de AKS con prácticas de implementación seguras
- Sin costos adicionales de hospedaje de VHD
- Optimizado para cargas de trabajo de producción con configuración predeterminada recomendada
Para clústeres estándar de AKS
Si usa AKS Standard, evalúe sus requisitos utilizando la comparación siguiente para elegir entre los canales SecurityPatch o NodeImage.
Hay dos consideraciones importantes a la hora de elegir entre los canales SecurityPatch o NodeImage:
| Propiedad | Canal NodeImage | Canal SecurityPatch | Canal recomendado |
|---|---|---|---|
Speed of shipping |
Las escalas de tiempo típicas de compilación, prueba, lanzamiento y despliegue de un nuevo VHD pueden tardar aproximadamente dos semanas siguiendo prácticas de implementación seguras. Aunque en caso de CVE, los lanzamientos acelerados se pueden producir en un caso por caso. El momento exacto en el que un nuevo VHD alcanza una región se puede supervisar mediante el seguimiento de versiones. | Las versiones securityPatch son relativamente más rápidas que NodeImage, incluso con prácticas de implementación seguras. SecurityPatch tiene la ventaja de "aplicación de revisiones en directo" en entornos de Linux, donde la aplicación de revisiones conduce a un "restablecimiento de imagen" selectivo y no vuelve a crear una imagen cada vez que se aplica una revisión. El restablecimiento de la imagen, si ocurre, se controla mediante ventanas de mantenimiento. |
SecurityPatch |
Bugfixes |
Incluye correcciones de errores además de correcciones de seguridad. | Únicamente incluye correcciones de seguridad. | NodeImage |
Comparación del modo de clúster
En la tabla siguiente se resume la configuración de la actualización automática del sistema operativo de los nodos según el modo de clúster:
| Aspecto | AKS Automatic | AKS Standard |
|---|---|---|
| Canal predeterminado | NodeImage (preconfigurado) | Selección manual necesaria |
| Cadencia de actualización | Semanal (fijo) | Basado en el canal seleccionado |
| Configuración necesaria | Ninguno: actualizaciones automáticas | Sí: selección del canal y la programación |
| Incluye correcciones de errores | Sí | Solo si el canal NodeImage está seleccionado |
| Recomendado para | Mayoría de las cargas de trabajo de producción | Requisitos personalizados o restricciones específicas |
| Control de ventana de mantenimiento | Optional | Muy recomendado |
Establecimiento del canal de actualización automática del sistema operativo del nodo en un nuevo clúster
Nota:
Si va a crear un clúster automático de AKS, omita estos pasos. El canal NodeImage ya está preconfigurado. Estos pasos solo se aplican a los clústeres estándar de AKS.
Establezca el canal de actualización automática del sistema operativo del nodo en un nuevo clúster mediante el comando az aks create con el parámetro --node-os-upgrade-channel. En el ejemplo siguiente se establece el canal de actualización automática del sistema operativo del nodo en SecurityPatch.
export RANDOM_SUFFIX=$(openssl rand -hex 3)
export RESOURCE_GROUP="myResourceGroup$RANDOM_SUFFIX"
export AKS_CLUSTER="myAKSCluster$RANDOM_SUFFIX"
az aks create \
--resource-group $RESOURCE_GROUP \
--name $AKS_CLUSTER \
--node-os-upgrade-channel SecurityPatch \
--generate-ssh-keys
Establecimiento del canal de actualización automática del sistema operativo del nodo en un clúster existente
Nota:
Si usa un clúster AKS Automatic, no puede cambiar el canal de actualización automática del SO de los nodos; está preconfigurado para usar NodeImage. Estos pasos solo se aplican a los clústeres estándar de AKS. Puede ajustar las ventanas de mantenimiento del clúster automático de AKS si es necesario.
Establezca el canal de actualización automática del sistema operativo del nodo en un clúster existente mediante el comando az aks update con el parámetro --node-os-upgrade-channel. En el ejemplo siguiente se establece el canal de actualización automática del sistema operativo del nodo en SecurityPatch.
az aks update --resource-group $RESOURCE_GROUP --name $AKS_CLUSTER --node-os-upgrade-channel SecurityPatch
Resultados:
{
"autoUpgradeProfile": {
"nodeOsUpgradeChannel": "SecurityPatch"
}
}
Ajustar ventanas de mantenimiento para clústeres automáticos de AKS
Nota:
Los clústeres automáticos de AKS usan el canal NodeImage preconfigurado y no pueden cambiar esta selección. Sin embargo, puede ajustar cuándo se producen las actualizaciones mediante la configuración de ventanas de mantenimiento.
Configure una ventana de mantenimiento para las actualizaciones automáticas del SO de los nodos mediante el comando az aks update con el parámetro --node-os-upgrade-channel NodeImage y las opciones --schedule-config:
az aks update \
--resource-group $RESOURCE_GROUP \
--name $AKS_CLUSTER \
--node-os-upgrade-channel NodeImage \
--schedule-config "scheduled-maintenance-window=true" \
--maintenance-window "frequency=Weekly,day-of-week=Sunday,utc-offset=+00:00,duration-hours=4,start-hour=2"
Actualizar la propiedad y la cadencia por canal
La cadencia predeterminada significa que no se aplica ninguna ventana de mantenimiento planeado.
| Canal | Actualización de la titularidad | Cadencia predeterminada |
|---|---|---|
Unmanaged |
Actualizaciones de seguridad controladas por el sistema operativo. AKS no tiene control sobre estas actualizaciones. | Aproximadamente a las 6:00 UTC para Ubuntu y Azure Linux. Mensualmente para Windows. |
SecurityPatch |
AKS probado, totalmente administrado y aplicado con prácticas de implementación seguras. Para obtener más información, consulte Mayor seguridad y resistencia de las cargas de trabajo Canonical en Azure. | Normalmente, más rápido que la cadencia semanal, determinada por AKS. |
NodeImage |
AKS probado, totalmente administrado y aplicado con prácticas de implementación seguras. Para obtener más información en tiempo real sobre las versiones, busque Imágenes de nodo de AKS en el seguimiento de versiones | Semanalmente |
Nota:
Aunque las actualizaciones de seguridad de Windows se publican mensualmente, el uso del Unmanaged canal no aplicará automáticamente estas actualizaciones a los nodos de Windows. Si elige el canal Unmanaged, debe administrar el proceso de reinicio para los nodos de Windows.
Limitaciones conocidas del canal de actualización automática del sistema operativo del nodo
- Actualmente, al establecer el canal de actualización automática del clúster en
node-image, también establece automáticamente el canal de actualización automática del sistema operativo del nodo enNodeImage. No se puede cambiar el valor del canal de degradación automática del sistema operativo del nodo si el canal de degradación automática del clúster esnode-image. Para establecer el valor del canal de actualización automática del sistema operativo del nodo, compruebe que el valor del canal de actualización automática del clúster no seanode-image. - El canal
SecurityPatchno admite los grupos de nodos del sistema operativo Windows.
Nota:
Use la versión 2.61.0 de la CLI o posterior para el SecurityPatch canal.
Ventanas de mantenimiento planeado del sistema operativo del nodo
El mantenimiento planeado para la actualización automática del sistema operativo del nodo se inicia en la ventana de mantenimiento especificada.
Nota:
Para garantizar una funcionalidad adecuada, use una ventana de mantenimiento de cuatro horas o más.
Para obtener más información sobre el mantenimiento planeado, consulte Uso del mantenimiento planeado a fin de programar ventanas de mantenimiento para el clúster de Azure Kubernetes Service (AKS).
Preguntas más frecuentes sobre las actualizaciones automáticas del sistema operativo del nodo
¿Cómo puedo comprobar el valor actual de nodeOsUpgradeChannel en un clúster?
Ejecute el comando az aks show y compruebe "autoUpgradeProfile" para determinar en qué valor está establecido nodeOsUpgradeChannel:
az aks show --resource-group $RESOURCE_GROUP --name $AKS_CLUSTER --query "autoUpgradeProfile"
Resultados:
{
"nodeOsUpgradeChannel": "SecurityPatch"
}
¿La actualización automática del sistema operativo del nodo está configurada de forma diferente para AKS Automatic?
Yes. Los clústeres automáticos de AKS están preconfigurados para usar el canal NodeImage de forma predeterminada; no es necesario configurar nada. Esta configuración proporciona:
- Correcciones de seguridad semanales y correcciones de errores
- Recreación automática de la imagen con prácticas de implementación seguras
- Control de ventana de mantenimiento (opcional)
- Valores predeterminados listos para producción optimizados para la mayoría de las cargas de trabajo
- Sin costos adicionales de hospedaje de VHD
Los clústeres estándar de AKS requieren que seleccione un canal en función de sus necesidades específicas. Para migrar de AKS Standard a AKS Automatic y aprovechar estos valores predeterminados ya configurados, consulte ¿Qué es Azure Kubernetes Service (AKS) Automatic?
¿Puedo cambiar el canal de actualización automática del sistema operativo de los nodos en un clúster de AKS Automatic?
No. Los clústeres automáticos de AKS usan el canal NodeImage y no se puede cambiar este canal. Si necesita un canal diferente, use un clúster estándar de AKS. Sin embargo, puede ajustar las ventanas de mantenimiento para controlar cuándo se producen actualizaciones en el clúster automático de AKS.
¿Cómo puedo supervisar el estado de las transformaciones automáticas del sistema operativo del nodo?
Para ver el estado de las actualizaciones automáticas del sistema operativo del nodo, busque los registros de actividad en el clúster. También puede buscar eventos específicos relacionados con la actualización, como se mencionó en Actualización de un clúster de AKS. AKS también emite eventos de Event Grid relacionados con la actualización. Para obtener más información, consulte AKS como origen de Event Grid.
¿Puedo cambiar el valor del canal de actualización automática del sistema operativo del nodo si el canal de actualización automática del clúster está establecido en node-image?
No. Actualmente, al establecer el canal de actualización automática del clúster en node-image, también establece automáticamente el canal de actualización automática del sistema operativo del nodo en NodeImage. No se puede cambiar el valor del canal de degradación automática del sistema operativo del nodo si el canal de degradación automática del clúster es node-image. Para cambiar los valores del canal de actualización automática del sistema operativo de los nodos, asegúrese de que el canal de actualización automática del clúster no sea node-image.
¿Por qué se recomienda SecurityPatch a través del canal Unmanaged?
En el canal Unmanaged, AKS no tiene control sobre cómo y cuándo se entregan las actualizaciones de seguridad. Con SecurityPatch, las actualizaciones de seguridad se prueban completamente y siguen los procedimientos de implementación seguros.
SecurityPatch también respeta las ventanas de mantenimiento. Para obtener más información, consulte Mayor seguridad y resistencia de las cargas de trabajo Canonical en Azure.
¿SecurityPatch siempre conduce a restablecer la imagen inicial de mis nodos?
AKS limita la imagen de imagen a solo cuando sea necesario, como determinados paquetes de kernel que pueden requerir una imagen de imagen para que se aplique por completo.
SecurityPatch está diseñado para minimizar las interrupciones tanto como sea posible. Si AKS decide restablecer los nodos no es necesario, aplica revisiones a los nodos en vivo sin purgar pods y no se realiza ninguna actualización de VHD en estos casos.
¿Por qué el canal SecurityPatch requiere llegar al punto de conexión snapshot.ubuntu.com?
Con el canal SecurityPatch, los nodos del clúster de Linux tienen que descargar las revisiones y actualizaciones de seguridad necesarias del servicio de instantáneas Ubuntu descritos en ubuntu-snapshots-on-azure-ensuring-predictability-and-consistency-in-cloud-deployments.
¿Cómo sé si se aplica una actualización SecurityPatch o NodeImage en mi nodo?
Ejecute el kubectl get nodes --show-labels comando para enumerar los nodos del clúster y sus etiquetas.
Entre las etiquetas devueltas, debería ver una línea similar a la siguiente salida:
kubernetes.azure.com/node-image-version=AKSUbuntu-2204gen2containerd-202410.27.0-2024.12.01
Aquí, la versión de la imagen del nodo base es AKSUbuntu-2204gen2containerd-202410.27.0. Si procede, la versión del parche de seguridad suele ser la siguiente. En el ejemplo anterior, es 2024.12.01.
También se buscarán los mismos detalles en Azure Portal en la vista de etiqueta del nodo:
Contenido relacionado
Para obtener una explicación detallada de los procedimientos recomendados de actualización y otras consideraciones, consulte Guía de actualización y revisión de AKS.
Para obtener más información sobre la configuración predefinida y los valores predeterminados preparados para producción de AKS Automatic, consulte ¿Qué es Azure Kubernetes Service (AKS) Automatic?