升级集群说明

为什么需要升级

ACK保证Kubernetes最新3个次要版本的创建。例如，ACK支持Kubernetes 1.31、1.32、1.33三个版本时，1.30版本不再支持创建，过期补丁版本也不再支持创建，详情请参见ACK版本发布说明。

过期版本集群存在安全隐患和稳定性风险。集群版本过期后，将无法享受新Kubernetes版本支持的功能特性及缺陷修复，无法获得及时有效的技术支持，面临无法修复安全漏洞的风险。

建议您及时主动升级集群，以便享用最新的功能特性、缺陷修复和更及时的技术支持。

升级影响

ACK提供分阶段、分批次的升级策略，确保集群升级过程中业务Pod的连续性和稳定性。

• 前置检查：控制面和节点池升级前均提供前置检查，识别集群中潜在的兼容性风险，例如废弃API、组件版本、节点状态、磁盘状态等，并提供修复建议。前置检查结果不会影响集群业务的运行。

• 控制面：

  • ACK托管集群：API Server由ACK托管运行，升级过程中会滚动重启，正常情况下不影响应用的正常运行。当应用强依赖于API Server时可能因短暂断链而需要重连重试。

  • ACK专有集群：升级过程中，ACK会对每个Master节点逐个进行原地升级。正常情况下不影响应用的正常运行。当应用强依赖于API Server时可能因短暂断链而需要重连重试。

• 节点池：分批升级节点，确保服务连续性。支持自定义批量升级策略（每批次执行最多节点数、每批次间隔时间等），控制升级对业务的影响。

  • 原地升级时，不涉及磁盘替换和节点初始化，业务Pod正常运行，服务不会中断。

  • 替盘升级时，涉及节点排水、系统盘更换和节点初始化。但请注意以下影响：

    • 替盘升级时，ACK会进行节点排水操作，遵循PDB的前提下将节点上的Pod驱逐至其他可用节点。为确保服务高可用性，建议采用多副本部署策略，将工作负载分散在多个节点上，同时为关键业务配置PDB，控制同时中断的Pod数量。

    • 替盘升级时，ACK将按照节点池当前的配置（例如节点登录方式、操作系统镜像、容器运行时版本）重新初始化节点。正常情况下，更新节点池配置需通过编辑节点池来实现。如您通过其他方式对节点进行了更改，升级时这些更改会被覆盖。

    • 如果节点中的Pod引用了HostPath，且该HostPath指向系统盘，替盘升级后HostPath目录中数据会丢失。

升级流程

ACK集群升级包括控制面升级和节点池升级，请先执行前置检查后执行升级，建议在业务低峰期操作。控制面升级完成后，请仔细检查集群运行情况，然后继续升级节点池，保持与控制面版本一致。

1. 升级前准备

• 根据ACK版本发布说明确定待升级的版本。ACK目前仅支持逐级升级版本，不支持跨多个版本升级，且不支持回退版本。

• 仔细阅读待升级版本的版本说明文档，了解升级注意事项、重大变更、功能弃用情况等，避免升级后功能不兼容。

• 规划集群维护窗口，可提前执行升级前置检查识别潜在风险，并在业务低峰期执行升级操作。

2. 控制面升级

1. 发起前置检查：执行升级前请发起前置检查，等待所有检查项均已通过或修复完成后再执行升级。

   检查项包括废弃API（自1.20版本起）、组件兼容性、功能配置兼容性、集群状态、控制面组件状态等。

2. 执行升级：前置检查通过后，执行升级。

   • ACK托管集群、ACK Serverless集群：ACK托管升级，升级控制面组件，包括kube-apiserver、kube-controller-manager、kube-scheduler、kube-proxy。

   • ACK专有集群：采用原地升级，以更大程度地保证业务的连贯性，减少数据迁移和配置调整的风险。

     展开查看流程

     1. 当ACK检测到您的集群需要进一步升级etcd和容器运行时时，将依次升级Master节点上的etcd和容器运行时。

     2. 依次选择Master节点，一次只升级一个Master节点，并展示当前正在升级的Master节点的编号。

     3. 升级Master组件，包括kube-apiserver、kube-controller-manager、kube-scheduler、kube-proxy。

     4. 升级Master节点上的kubelet。

3. 升级后检查：检查集群版本、核心组件运行状态、业务应用运行状态、Pod创建、节点添加等是否正常。

3. 节点池升级

节点池升级包括kubelet和容器运行时的升级。

1. 发起前置检查：执行升级前请发起前置检查，等待所有检查项均已通过或修复完成后再执行升级。

   检查项包括节点状态、系统资源、磁盘状态、网络环境等。

2. 配置升级策略并执行升级：选择升级方式（原地升级或替盘升级），配置批量升级策略（包括每批次执行最多节点数、是否自动创建快照等）。

3. 升级后检查：检查kubelet和容器运行时版本、Pod调度、业务应用运行状态等是否正常。

4. 其他流程

• 更换操作系统镜像：如需升级节点池的操作系统镜像版本，或切换操作系统类型（例如Alibaba Cloud Linux 2切换至Alibaba Cloud Linux 3），请参见更换操作系统。

• 集群组件：除控制面组件和部分核心组件（如kube-proxy）外，ACK不会升级其他集群组件。您可以在控制台的组件管理页面了解待升级的组件，参见组件介绍与发布记录了解其版本兼容性和升级要求，并在业务低峰期完成升级。

升级注意事项

升级方式

原地升级和替盘升级

控制面升级时，ACK托管集群、ACK Serverless集群由ACK托管升级；ACK专有集群采用原地升级。

节点池升级时，ACK提供原地升级和替盘升级两种方式。

• 原地升级：直接在现有节点上进行升级，无需替换节点系统盘或重新初始化节点，原节点数据不受影响。节点IP、磁盘挂载等ECS实例相关配置保持不变，而ACK管理的组件配置（如containerd、kubelet等）可能会根据组件版本差异进行相应调整。

  如需自定义containerd或kubelet配置，请参见自定义节点池kubelet配置、自定义节点池containerd配置实现。

• 替盘升级：通过替换系统盘的方式升级，节点会重新初始化。节点IP、数据盘挂载等ECS实例相关的配置不发生改变，但系统盘上的数据将被删除。需提前做好系统盘的备份工作，建议开启磁盘快照。

  额外挂载到该节点上的数据盘不受影响。

特殊场景说明

以下场景必须使用替盘升级：

• 自1.24版本起不再支持将Docker作为内置容器运行时，需将容器运行时从Docker迁移至containerd。

  详情请参见将节点容器运行时从Docker迁移到containerd。

• 更换操作系统类型，例如自1.30版本起不再支持CentOS和Alibaba Cloud Linux 2，可转而使用其他支持中的操作系统。

  操作步骤，请参见更换操作系统。

• 升级Windows节点池时，需通过替盘的方式进行升级。

此外，您也可以新建节点池进行轮转升级：创建新节点池并配置目标环境，通过设置老节点池为不可调度或更新负载调度方式逐步迁移应用至新节点池，最后下线旧节点池。新旧节点池共存期间会产生对应费用。

常见问题

• 如何手动升级我的集群？

  请参见手动升级集群先完成前置检查，然后执行升级，升级后验证是否符合预期。

• 升级集群时有哪些推荐做法？

  • 保持升级频率：通过帮助文档、邮件、短信等方式关注ACK版本发布说明，及时规划升级。建议及时升级集群。

  • 制定升级规划：集群升级不仅是版本号的变化，还涉及废弃API、废弃功能、重大变化。请根据集群规模和业务需求提前制定升级规划，预留集群维护窗口。建议在业务低峰期升级集群，升级完成后请充分验证、观察，确保升级对业务无影响。同时建议在测试环境先进行升级验证。

  • 使用自动升级：使用自动升级集群功能，ACK会提前生成升级计划，在维护窗口期内触发前置检查并升级集群，降低版本运维压力。

    您也可以创建ACK托管集群（智能托管模式），集群版本会由ACK自动升级。

• 集群升级需要多长时间？

  • 控制面：ACK托管集群、ACK Serverless集群由ACK托管升级，约5分钟；ACK专有集群的Master节点需逐一串行升级，每个节点约8分钟。

  • 节点池：取决于节点分批情况。原地升级每批次约5～10分钟；替盘升级（不涉及快照）约8分钟，具体时长受排水情况影响；如需创建快照，升级需等待快照结束后执行，快照创建时间受数据量影响。

• 我能不能不升级集群版本，永远停留在一个版本？

  不能。过期版本的潜在安全风险不仅会对您的集群产生影响，也可能影响阿里云的整体安全。ACK不允许集群长期处于过期状态，会采取强制升级方式将集群升级至安全稳定的版本。

  请及时升级集群版本（手动升级集群），以便享受ACK提供的最新功能特性和更好的技术支持。升级前，请参见版本发布说明了解各版本的特性变更和注意事项。推荐您启用自动升级集群功能，保持集群的周期性自动升级。

• ACK支持跨多个版本升级吗？

  ACK不支持跨次要版本升级，您需要逐级升级版本。此外，升级集群控制面前，请确保集群节点的版本与控制面版本相同。

• 我的集群版本很老了，如何快速升级我的集群版本？

  您可以通过以下两种方案来实现。

  • 方案一：逐级升级版本。每次升级后，请观察集群业务是否持续稳定运行，再进行下一次升级。具体操作，请参见手动升级集群。

  • 方案二：新建一个最新版本的集群，将集群应用逐步迁移至新集群，再下线老集群。关于如何创建并配置集群，请参见创建ACK托管集群。

• 1.22版本的集群升级至1.24时需要切换Docker至containerd，如何操作？

  ACK在1.24及更高版本中不再支持将Docker作为内置容器运行时，您需要将节点容器运行时从Docker迁移到containerd。

  您可以通过节点池升级功能在原节点池完成运行时切换，也可以新建containerd节点池完成轮转迁移。具体操作，请参见将节点容器运行时从Docker迁移到containerd。

• ACK如何保证集群升级的稳定性？

  一个ACK集群由控制面和节点池两部分组成。

  • 控制面升级：ACK提供升级前的前置检查功能，对废弃API、组件兼容性、功能配置兼容性、控制面组件等进行检查。检查结果不影响集群中业务的正常运行。如检查结果异常，可参见控制台获取修复建议。更多信息，请参见手动升级集群。

  • 节点池升级：节点池升级包括kubelet和containerd的升级。ACK提供升级前的前置检查功能，检查节点状态、系统资源、磁盘状态、网络环境等。检查结果不影响集群中业务的正常运行。如检查结果异常，可参见控制台获取修复建议。

    您也可以自行配置升级策略，例如通过指定待升级节点、设置每批次可升级的最大节点数、配置升级暂停策略等配置控制升级节奏。如节点系统盘上有重要业务数据，也可以在升级节点池前为节点创建快照。更多信息，请参见升级节点池。

• 集群升级有哪些注意事项？

  • 集群升级不支持回滚。建议您先升级测试环境，验证通过后再升级生产环境。您也可以在升级过程中优先升级某些节点进行验证。

  • 每个Kubernetes版本支持的组件版本、功能特性、功能废弃情况不同，请参见不同版本的版本发布说明。

  • 遵循控制面升级注意事项。

  • 遵循节点池升级注意事项。

• 过期版本的集群还能正常使用吗？

  您仍然可以使用过期版本的集群。但过期版本集群存在安全隐患和稳定性风险，请参见及时升级至维护中的版本。

  由于ACK集群主要采用托管架构，这些安全风险不仅会对您的集群产生影响，也可能会影响阿里云的整体安全。因此，ACK不允许集群长期处于过期状态，会采取强制升级方式将集群升级至安全稳定的版本，请参见过期版本的强制升级。

• 集群升级后支持版本回退吗？

  控制面和节点池kubelet和容器运行时版本升级后均不支持回退。

  升级节点池过程中，如节点系统盘上有重要业务数据，您可在升级前为节点创建快照，以便进行节点数据的备份和恢复。

• 同时需要升级集群和迁移集群至ACK托管集群Pro版，应该先执行哪个？

  推荐您先完成集群的迁移，观测业务运行正常后再开始升级集群。

• 前置检查提示废弃API怎么办？

  1.20及以上版本的集群升级时，ACK会检查当前版本是否使用了废弃API。检查结果不影响升级流程，仅作为提示信息。建议在升级前完成修复，避免影响下一版本集群的正常运行。

• 前置检查提示组件版本过低怎么办？

  除控制面组件和部分核心组件（如kube-proxy）外，ACK不会升级其他集群组件。您可以在控制台的组件管理页面了解待升级的组件，参见组件介绍与发布记录了解其版本兼容性和升级要求，并在业务低峰期完成升级。

• 如何处理集群升级失败并提示the aliyun service is not running on the instance？

  云助手不可用，导致升级命令下发失败。您可以在启动或停止云助手后，重新执行集群升级操作。具体操作，请参见启动、停止或者卸载云助手Agent。

• 如何处理节点PLEG not healthy？

  容器或者容器运行时无响应。请重启节点后重新执行升级。

• 升级集群时出现invalid object doesn't have additional properties报错怎么办？

  集群升级后，需要同步升级本地的kubectl版本。如果未及时升级，在使用本地kubectl的过程中可能会因为与集群API Server版本不同，发生类似invalid object doesn't have additional properties的报错。关于如何安装或升级kubectl，请参见安装kubectl。