J'ai quelques questions concernant une notification que j'ai reçue d'AWS : « Une mise à jour logicielle a été déployée sur AWS Fargate, qui inclut des correctifs de sécurité importants et des mises à jour critiques. Pour terminer ce processus de mise à jour logicielle, EKS Fargate expulsera les pods lancés avant le [date]. »
Q : Que dois-je faire pour éviter la durée d’indisposniibilité du service lorsqu'AWS applique des correctifs et des mises à jour à mon module AWS Fargate ?
Il est recommandé de redémarrer votre Fargate Pod avant la date limite mentionnée dans l’avis. Si votre pod appartient à un déploiement ou à un StatefulSet, exécutez l'une des commandes suivantes pour redémarrer correctement l'intégralité du déploiement ou du StatefulSet sans temps d’arrêt :
kubectl rollout restart deployment-name -n test-namespace
-ou-
kubectl rollout restart sts-name -n test-namespace
Remarque : Dans la commande de déploiement, remplacez deployment-name par le nom de votre déploiement. Dans la commande StatefulSet, remplacez sts-name par le nom de votre StatefulSet. Dans les deux commandes, remplacez test-namespace par le nom de votre espace de noms.
Pour plus d'informations, consultez les sections Déploiements et StatefulSets sur le site Web de Kubernetes.
Si votre pod est un pod autonome, procédez comme suit :
- Créez un pod de remplacement doté de spécifications identiques.
- Mettez à jour le point de terminaison ou l'adresse IP du pod dans d'autres applications, selon les besoins.
- Supprimez votre pod autonome.
Q : Que se passe-t-il si je ne redémarre pas mon pod avant la date spécifiée dans l’avis ?
Amazon Elastic Kubernetes Service (Amazon EKS) expulse le pod Fargate par zone de disponibilité en fonction des budgets de perturbation des pods (PDB) que vous définissez. Si l'expulsion aboutit, Amazon EKS applique le dernier correctif sur le nouveau pod. Vous n'avez pas besoin de prendre d'autres mesures.
Q : Suis-je averti en cas d'échec de l'expulsion d'un pod ou de la fermeture d'un nœud ?
Lorsque l'expulsion d'un pod échoue, AWS envoie une notification concernant l'échec de l'expulsion. Si vous n'agissez pas avant la fin planifiée, Amazon EKS résilie les pods existants et les nœuds sous-jacents sans aucune notification. Après la résiliation, les nouveaux pods disposent du dernier correctif.
Q. Comment Amazon EKS gère-t-il les correctifs pour un pod d'application que j'ai configuré avec des PDB ?
Lorsqu'Amazon EKS applique des correctifs aux pods Fargate, il ne met pas fin brusquement aux pods que vous avez configurés avec des PDB. Pour plus d'informations, consultez la section Budgets de perturbation des pods sur le site Web de Kubernetes. Lorsqu'Amazon EKS met à jour le nœud sous-jacent, il prend en compte les PDB. Pour éviter la durée d’indisponibilité, il est recommandé de configurer les PDB pour vos pods. Cependant, des PDB agressifs peuvent provoquer des échecs d'expulsion et la résiliation de nœuds.
Q. Puis-je reporter l'application de correctifs ou l'expulsion parce que je ne peux pas prendre de mesures pour éviter la durée d’indisponibilité ?
Pour des raisons de sécurité, Amazon EKS applique automatiquement les correctifs par lots sur plusieurs clusters. Dans la mesure où certaines vulnérabilités et certains risques communs (CVE) sont critiques et nécessitent une attention immédiate, vous ne pouvez pas reporter l'application des correctifs. Si vous avez besoin d'une exception, soumettez un dossier de support technique à l'équipe Amazon EKS avec une justification détaillée.
Q. À quelle fréquence Amazon EKS applique-t-il des correctifs au système d'exploitation sur les nœuds Fargate ?
Amazon EKS applique des correctifs au système d'exploitation (OS) des nœuds Fargate à intervalles réguliers. Il applique également des correctifs pour les corrections de bogues et les mises à jour de sécurité qui ne peuvent pas être déterminées à l'avance.
Q. Où puis-je trouver des informations sur l'heure et la date exactes d'application des correctifs ?
Amazon EKS vous informe à l'avance de la procédure de mise à jour. Cependant, la date et l'heure d'application des correctifs ne sont pas définies. Comme Amazon EKS applique automatiquement les correctifs, ceux-ci peuvent être appliqués à tout moment à la date spécifiée dans la notification ou après cette date.
Q. Où puis-je vérifier si Amazon EKS reçoit des notifications relatives aux mises à jour de la sécurité ?
Amazon EKS envoie une notification par e-mail concernant les correctifs de sécurité à l'adresse e-mail principale de votre compte AWS et au Tableau de bord AWS Health. Vous pouvez utiliser Amazon EventBridge pour transmettre ces notifications à d'autres services AWS ou à des outils tiers.