Domande frequenti: Avviso di espulsione di un Fargate Pod

D: Cosa devo fare per evitare interruzioni del servizio quando AWS applica patch e aggiornamenti al mio AWS Fargate Pod?

È consigliabile riavviare il Fargate Pod prima della scadenza indicata nell'avviso. Se il Pod appartiene a una distribuzione o a StatefulSet, esegui uno dei seguenti comandi per riavviare correttamente l'intera distribuzione o StatefulSet senza tempi di inattività:

kubectl rollout restart deployment-name -n test-namespace

-oppure-

kubectl rollout restart sts-name -n test-namespace

Nota: nel comando di distribuzione, sostituisci deployment-name con il nome della tua distribuzione. Nel comando StatefulSet, sostituisci sts-name con il nome del tuo StatefulSet. In entrambi i comandi, sostituisci test-namespace con il nome del tuo namespace.

Per ulteriori informazioni, consulta Deployments (Distribuzioni) e StatefulSets sul sito web di Kubernetes.

Se il tuo Pod è un Pod autonomo, completa i seguenti passaggi:

1. Crea un Pod sostitutivo con specifiche identiche.
2. Aggiorna l'endpoint o l'indirizzo IP del Pod in altre applicazioni, se necessario.
3. Elimina il tuo Pod autonomo.

D: Cosa succede se non riesco a riavviare il mio Pod prima della data indicata nell'avviso?

Amazon Elastic Kubernetes Service (Amazon EKS) elimina il Fargate Pod per zona di disponibilità in base ai budget di interruzione Pod (PDB) impostati. Se l'espulsione ha esito positivo, Amazon EKS applica la patch più recente al nuovo Pod. Non è necessario intraprendere ulteriori azioni.

D: Ricevo notifiche sugli errori di espulsione del Pod o sulla terminazione del nodo?

Quando l'espulsione del Pod genera un errore, AWS invia una notifica sull'esito negativo dell'operazione. Se non intervieni entro la terminazione programmata, Amazon EKS termina i Pod esistenti e i nodi sottostanti senza alcuna notifica. Dopo la terminazione, i nuovi Pod hanno l'ultima patch.

D. In che modo Amazon EKS gestisce le patch per un Pod dell'applicazione che ho configurato con PDB?

Quando Amazon EKS applica una patch ai Fargate Pod, non termina bruscamente i Pod configurati con PDB. Per ulteriori informazioni, consulta Pod disruption budgets (Budget di interruzione Pod) sul sito web di Kubernetes. Quando Amazon EKS aggiorna il nodo sottostante, considera i PDB. Per evitare tempi di inattività, è consigliabile configurare PDB per i Pod. Tuttavia, i PDB aggressivi possono causare errori di espulsione e terminazioni dei nodi.

D. Posso rinviare l'applicazione di patch o l'espulsione perché non posso intraprendere azioni che evitino tempi di inattività?

Per motivi di sicurezza, Amazon EKS applica automaticamente le patch in batch su più cluster. Poiché alcune vulnerabilità ed esposizioni comuni (CVE) sono critiche e richiedono un'attenzione immediata, non è possibile rinviare l'applicazione delle patch.

D. Con che frequenza Amazon EKS applica patch al sistema operativo (OS) sui nodi Fargate?

Amazon EKS applica patch al sistema operativo (OS) sui nodi Fargate a intervalli regolari. Vengono anche applicare patch per correggere bug ed effettuare aggiornamenti di sicurezza che non possono essere determinati in anticipo.

D. Dove posso trovare informazioni sull'ora e sulla data esatte in cui vengono applicate le patch?

Amazon EKS comunica in anticipo la prevista applicazione di patch. L'applicazione delle patch non ha però una data e un'ora prestabilite. Poiché Amazon EKS procede automaticamente, l'applicazione delle patch può verificarsi in qualsiasi momento a partire dalla data indicata nella notifica.

D. Dove posso controllare le notifiche relative agli aggiornamenti di sicurezza provenienti da Amazon EKS?

Amazon EKS invia una notifica e-mail sulle patch di sicurezza all'indirizzo e-mail principale dell'account AWS e alla Dashboard AWS Health. Puoi utilizzare Amazon EventBridge per inoltrare queste notifiche ad altri servizi AWS o a strumenti di terze parti.