Archiv der Kubernetes-Versionshinweise

Diese Seite enthält ein historisches Archiv von Versionshinweisen zu Kubernetes für nicht unterstützte Versionen. Neuere Versionshinweise finden Sie unter Versionshinweise zu Kubernetes.

Kubernetes 1.29

1.29.14-gke.200

Kubernetes OSS-Versionshinweise

1.29.12-gke.100

Kubernetes OSS-Versionshinweise

1.29.10-gke.100

Kubernetes OSS-Versionshinweise

1.29.8-gke.1800

Kubernetes OSS-Versionshinweise

1.29.8-gke.600

Kubernetes OSS-Versionshinweise

1.29.7-gke.100

Kubernetes OSS-Versionshinweise

1.29.6-gke.600

Kubernetes OSS-Versionshinweise

1.29.5-gke.1100

Kubernetes OSS-Versionshinweise

1.29.5-gke.700

Kubernetes OSS-Versionshinweise

1.29.4-gke.200

Kubernetes OSS-Versionshinweise

1.29.3-gke.600

Kubernetes OSS-Versionshinweise

Kubernetes 1.28

1.28.14-gke.200

Kubernetes OSS-Versionshinweise

1.28.13-gke.600

Kubernetes OSS-Versionshinweise

1.28.12-gke.100

Kubernetes OSS-Versionshinweise

1.28.11-gke.600

Kubernetes OSS-Versionshinweise

1.28.10-gke.1300

Kubernetes OSS-Versionshinweise

1.28.10-gke.800

Kubernetes OSS-Versionshinweise

1.28.9-gke.400

Kubernetes OSS-Versionshinweise

1.28.8-gke.800

Kubernetes OSS-Versionshinweise

1.28.7-gke.1700

Kubernetes OSS-Versionshinweise

  • Fehlerbehebung:Ein Problem wurde behoben, bei dem der IMDS-Emulator (Instance Metadata Service) manchmal nicht an eine IP-Adresse auf dem Knoten gebunden werden konnte. Mit dem IMDS-Emulator können Knoten sicher auf AWS EC2-Instanzmetadaten zugreifen.

1.28.5-gke.1200

Kubernetes OSS-Versionshinweise

1.28.5-gke.100

Kubernetes OSS-Versionshinweise

1.28.3-gke.700

Kubernetes OSS-Versionshinweise

  • Funktionsgefährdende Änderung: Ab Kubernetes 1.28 erfordern Cluster eine ausgehende HTTPS-Verbindung zu {GCP_LOCATION}-gkemulticloud.googleapis.com. Achten Sie darauf, dass Ihr Proxyserver und/oder die Firewall diesen Traffic zulässt.

  • Funktionsgefährdende Änderung:Ab Kubernetes 1.28 erfordert die Multi-Cloud API-Dienst-Agent-Rolle die neue Berechtigung Iam:getinstanceprofile für Ihr AWS-Projekt. Diese Berechtigung wird vom Multi-Cloud-Dienst verwendet, um die Instanzprofile zu prüfen, die an VM-Instanzen im Cluster angehängt sind.

  • Funktion:Unterstützung für Rollback für AWS-Knotenpools wurde hinzugefügt, bei denen Updatevorgänge fehlgeschlagen sind. So können Kunden Knotenpools in ihren ursprünglichen Zustand zurückversetzen.

  • Funktion:Es wurde Unterstützung für das Abrufen von Images aus der privaten Google Artifact Registry und der privaten Google Container Registry ohne exportierten Google-Dienstkontoschlüssel hinzugefügt. Die Anmeldedaten für das Abrufen von Images werden von Google verwaltet und automatisch rotiert.

  • Funktion: Für die meisten Funktionen ist es nicht mehr erforderlich, Google IAM-Bindungen explizit hinzuzufügen.

    1. Beim Erstellen eines Clusters müssen keine Bindungen für gke-system/gke-telemetry-agent mehr hinzugefügt werden.
    2. Sie müssen keine Bindungen für gmp-system/collector oder gmp-system/rule-evaluator mehr hinzufügen, wenn Sie die verwaltete Datenerhebung für Google Managed Service for Prometheus aktivieren.
    3. Beim Aktivieren der Binärautorisierung müssen keine Bindungen für gke-system/binauthz-agent mehr hinzugefügt werden.

  • Funktion:AWS Surge-Update ist jetzt allgemein verfügbar. Mit Surge-Updates können Sie die Geschwindigkeit und Unterbrechung von Knotenpool-Updates konfigurieren. Weitere Informationen zum Aktivieren und Konfigurieren von Surge-Einstellungen für Ihre AWS-Knotenpools finden Sie unter Surge-Updates von Knotenpools konfigurieren.

  • Funktion:Der Kernel für Ubuntu 22.04 wurde auf linux-aws 6.2 aktualisiert.

  • Feature:Unterstützung für das Erstellen von Knotenpools mit den folgenden AWS EC2-Instanzen wurde hinzugefügt: G5, I4g, M7a, M7g, M7i, R7g, R7i und R7iz.

  • Fehlerkorrektur:Die Erstellung von Startvorlagen wurde verbessert. Von Kunden bereitgestellte Tags werden an Instanzen weitergegeben.

    • Diese Änderung verbessert vor allem die Unterstützung für IAM-Richtlinienregeln. Es geht speziell um Regeln, die die Verwendung von Startvorlagen verbieten, die keine Tag-Weitergabe unterstützen, auch wenn die zugehörige Auto Scaling-Gruppe (ASG) Tags weitergibt.
    • Dies kann eine schwerwiegende Änderung sein, je nach den Besonderheiten der IAM-Richtlinie des Kunden in Bezug auf Tag-Prüfungen. Daher ist es wichtig, beim Upgrade-Prozess vorsichtig zu sein, da eine unsachgemäße Handhabung dazu führen kann, dass ein Cluster in einem eingeschränkten Zustand verbleibt.
    • Die Aktion ec2:CreateTags für die Ressource arn:aws:ec2:*:*:instance/* ist für die Rolle „Anthos Multi-Cloud API-Dienst-Agent“ erforderlich. Die aktuellen Informationen finden Sie unter https://cloud.google.com/kubernetes-engine/multi-cloud/docs/aws/how-to/create-aws-iam-roles#create_service_agent_role.
    • Wir empfehlen Kunden, einen temporären Cluster mit Version 1.28 zu erstellen und zu prüfen, ob die IAM-Richtlinien korrekt funktionieren, bevor sie ein Upgrade auf Version 1.28 durchführen.

  • Fehlerkorrektur:Beim Upgrade eines Clusters auf Version 1.28 werden veraltete Ressourcen bereinigt, die möglicherweise in älteren Versionen (bis Version 1.25) erstellt wurden, aber nicht mehr relevant sind. Die folgenden Ressourcen im Namespace gke-system werden gelöscht, sofern sie vorhanden sind:

    • DaemonSets fluentbit-gke-windows und gke-metrics-agent-windows
    • configmaps fluentbit-gke-windows-config und gke-metrics-agent-windows-conf

  • Fehlerbehebung: Die Aufnahme von Logs aus Anthos-Cluster in AWS in Cloud Logging wurde verbessert:

    • Ein Problem beim Parsen von Zeitstempeln wurde behoben.
    • Den Fehlerlogs von anthos-metadata-agent wurde der richtige Schweregrad zugewiesen.

  • Behebung von Sicherheitsproblemen

Kubernetes 1.27

1.27.14-gke.1600

Kubernetes OSS-Versionshinweise

1.27.14-gke.1200

Kubernetes OSS-Versionshinweise

1.27.14-gke.700

Kubernetes OSS-Versionshinweise

1.27.13-gke.500

Kubernetes OSS-Versionshinweise

1.27.12-gke.800

Kubernetes OSS-Versionshinweise

1.27.11-gke.1600

Kubernetes OSS-Versionshinweise

  • Fehlerbehebung:Ein Problem wurde behoben, bei dem der IMDS-Emulator (Instance Metadata Service) manchmal nicht an eine IP-Adresse auf dem Knoten gebunden werden konnte. Mit dem IMDS-Emulator können Knoten sicher auf AWS EC2-Instanzmetadaten zugreifen.

1.27.10-gke.500

Kubernetes OSS-Versionshinweise

1.27.9-gke.100

Kubernetes OSS-Versionshinweise

1.27.7-gke.600

Kubernetes OSS-Versionshinweise

  • Funktion:Unterstützung für das Erstellen von Knotenpools mit der AWS EC2-Instanz vom Typ „G5“ wurde hinzugefügt.

  • Fehlerbehebung: Die Aufnahme von Logs aus Anthos-Cluster in AWS in Cloud Logging wurde verbessert:

    • Ein Problem beim Parsen von Zeitstempeln wurde behoben.
    • Den Fehlerlogs von anthos-metadata-agent wurde der richtige Schweregrad zugewiesen.

  • Behebung von Sicherheitsproblemen

1.27.6-gke.700

Kubernetes OSS-Versionshinweise

1.27.5-gke.200

Kubernetes OSS-Versionshinweise

1.27.4-gke.1600

Kubernetes OSS-VersionshinweiseEinstellung:Der nicht authentifizierte schreibgeschützte Port 10255 für kubelet wurde deaktiviert. Nachdem ein Knotenpool auf Version 1.27 aktualisiert wurde, können Arbeitslasten, die darauf ausgeführt werden, keine Verbindung mehr zu Port 10255 herstellen.

  • Funktion:Die AWS Surge-Update-Funktion ist im Vorschau-Modus verfügbar. Mit Surge-Updates können Sie die Geschwindigkeit und Unterbrechung von Knotenpool-Updates konfigurieren. Wenden Sie sich an Ihr Account-Management-Team, um die Vorschau zu aktivieren.
  • Funktion:Der EBS-CSI-Treiber wurde auf Version 1.20.0 aktualisiert.
  • Funktion:Der EFS-CSI-Treiber wurde auf Version 1.5.7 aktualisiert.

  • Funktion:Die Versionen von snapshot-controller und csi-snapshot-validation-webhook wurden auf v6.2.2 aktualisiert. Diese neue Version enthält eine wichtige Änderung an der API. Die v1beta1-APIs VolumeSnapshot, VolumeSnapshotContents und VolumeSnapshotClass sind nicht mehr verfügbar.

  • Funktion:Unterstützung für das neue admin-groups-Flag in den APIs zum Erstellen und Aktualisieren wurde hinzugefügt. Mit diesem Flag können Kunden aufgeführte Gruppen schnell und einfach als Clusteradministratoren authentifizieren, sodass keine RBAC-Richtlinien manuell erstellt und angewendet werden müssen.

  • Funktion:Unterstützung für die Binärautorisierung wurde hinzugefügt. Die Binärautorisierung ist eine Sicherheitskontrolle, die sich auf die Bereitstellungszeit bezieht und sicherstellt, dass nur vertrauenswürdige Container-Images bereitgestellt werden. Sie können dabei festlegen, dass die Images während des Entwicklungsprozesses von vertrauenswürdigen Stellen signiert werden, und dann beim Deployment die Signaturprüfung erzwingen. Durch Erzwingen einer Prüfung haben Sie mehr Kontrolle über die Containerumgebung und sorgen dafür, dass nur verifizierte Images in den Build‑ und Release-Prozess eingebunden werden. Weitere Informationen zum Aktivieren der Binärautorisierung für Ihre Cluster finden Sie unter Binärautorisierung aktivieren.

  • Feature:Die gzip-Komprimierung wurde für fluent-bit (Logprozessor und Forwarder), gke-metrics-agent (Messwert-Collector) und audit-proxy (Audit-Log-Proxy) aktiviert. fluent-bit komprimiert Logdaten sowohl von der Steuerungsebene als auch von den Arbeitslasten, bevor sie an Cloud Logging gesendet werden. gke-metrics-agent komprimiert Messwertdaten sowohl von der Steuerungsebene als auch von den Arbeitslasten, bevor sie an Cloud Monitoring gesendet werden. audit-proxy komprimiert Audit-Logdaten, bevor sie an Audit Logging gesendet werden. Dies reduziert die Netzwerkbandbreite und die Netzwerkkosten.

  • Funktion:Das Erstellen von AWS SPOT-Knotenpools ist jetzt allgemein verfügbar.

  • Funktion:Die automatische Knotenreparatur ist jetzt allgemein verfügbar.

  • Funktion:Verbesserte Sicherheit durch Hinzufügen von Prüfungen der Dateiintegrität und der Fingerabdruckvalidierung für Binärartefakte, die aus Cloud Storage heruntergeladen werden.

  • Funktion:Der Delete API wurde die Option ignore_errors hinzugefügt, um Fälle zu behandeln, in denen versehentlich gelöschte IAM-Rollen oder das manuelle Entfernen von Ressourcen das Löschen von Clustern oder Knotenpools verhindern. Durch Anhängen von ?ignore_errors=true an die Anforderungs-URL DELETE können Nutzer jetzt Cluster oder Knotenpools zwangsweise entfernen. Dieser Ansatz kann jedoch zu verwaisten Ressourcen in AWS oder Azure führen, die manuell bereinigt werden müssen.

  • Funktion:Unterstützung für die automatische regelmäßige Defragmentierung von etcd und etcd-events auf der Steuerungsebene wurde hinzugefügt. Diese Funktion reduziert unnötigen Festplattenspeicher und trägt dazu bei, dass etcd und die Steuerungsebene nicht aufgrund von Problemen mit dem Festplattenspeicher ausfallen.

  • Funktion:Die Messwertnamen für Kubernetes-Ressourcenmesswerte wurden so geändert, dass sie das Messwertpräfix kubernetes.io/anthos/ anstelle von kubernetes.io/ verwenden. Weitere Informationen finden Sie in der Referenzdokumentation zu Messwerten.

  • Funktion:Die Standardversion von etcd wurde für neue Cluster auf v3.4.21 geändert, um die Stabilität zu verbessern. Bei vorhandenen Clustern, die auf diese Version aktualisiert werden, wird etcd v3.5.6 verwendet.

  • Funktion:Die Knotenressourcenverwaltung wurde verbessert, indem Ressourcen für das Kubelet reserviert werden. Diese Funktion ist zwar wichtig, um OOM-Fehler („Out of Memory“) zu verhindern, indem sichergestellt wird, dass System- und Kubernetes-Prozesse die benötigten Ressourcen haben, sie kann aber zu Unterbrechungen der Arbeitslast führen. Die Reservierung von Ressourcen für das Kubelet kann sich auf die verfügbaren Ressourcen für Pods auswirken und möglicherweise die Kapazität kleinerer Knoten zur Verarbeitung vorhandener Arbeitslasten beeinträchtigen. Kunden sollten prüfen, ob kleinere Knoten ihre Arbeitslasten weiterhin unterstützen können, wenn diese neue Funktion aktiviert ist.

    • Die Prozentsätze des reservierten Speichers sind:
    • 255 MiB für Geräte mit weniger als 1 GB Arbeitsspeicher
    • 25 % der ersten 4 GB Speicher
    • 20% der nächsten 4 GB
    • 10% der nächsten 8 GB
    • 6% der nächsten 112 GB
    • 2 % des Speichers oberhalb von 128 GB
    • Die reservierten CPU-Prozentsätze sind:
    • 6 % des ersten Kerns
    • 1% des nächsten Kerns
    • 0,5% der nächsten zwei Kerne
    • 0,25 % aller Kerne oberhalb von vier Kernen

  • Fehlerkorrekturen

    • Der Cluster Autoscaler ist aktiviert, um Knoten auf verschiedene Verfügbarkeitszonen zu verteilen. Dies wird mit dem Flag --balance-similar-node-groups erreicht.

  • Behebung von Sicherheitsproblemen

Kubernetes 1.26

1.26.14-gke.1500

Kubernetes OSS-Versionshinweise

  • Fehlerbehebung:Ein Problem wurde behoben, bei dem der IMDS-Emulator (Instance Metadata Service) manchmal nicht an eine IP-Adresse auf dem Knoten gebunden werden konnte. Mit dem IMDS-Emulator können Knoten sicher auf AWS EC2-Instanzmetadaten zugreifen.

1.26.13-gke.400

Kubernetes OSS-Versionshinweise

1.26.12-gke.100

Kubernetes OSS-Versionshinweise

1.26.10-gke.600

Kubernetes OSS-Versionshinweise

  • Funktion:Unterstützung für das Erstellen von Knotenpools mit der AWS EC2-Instanz vom Typ „G5“ wurde hinzugefügt.

  • Fehlerkorrektur:Der CSI-Treiber (Container Storage Interface) für Elastic File System (EFS) aws-efs-csi-driver wurde auf Version v1.3.8-gke.21 aktualisiert.

  • Fehlerbehebung: Die Aufnahme von Logs aus Anthos-Cluster in AWS in Cloud Logging wurde verbessert:

    • Ein Problem beim Parsen von Zeitstempeln wurde behoben.
    • Den Fehlerlogs von anthos-metadata-agent wurde der richtige Schweregrad zugewiesen.

  • Behebung von Sicherheitsproblemen

1.26.9-gke.700

Kubernetes OSS-Versionshinweise

1.26.8-gke.200

Kubernetes OSS-Versionshinweise

1.26.7-gke.500

Kubernetes OSS-Versionshinweise

1.26.5-gke.1400

Kubernetes OSS-Versionshinweise

1.26.5-gke.1200

Kubernetes OSS-Versionshinweise

  • Diverse Fehlerkorrekturen
    • Konfiguriert Cluster Autoscaler so, dass die Anzahl der Knoten mithilfe von „--balance-similar-node-groups“ über Verfügbarkeitszonen hinweg ausgeglichen wird.

1.26.4-gke.2200

Kubernetes OSS-VersionshinweiseFunktion:Ubuntu 22.04 verwendet den Linux-AWS-Kernel 5.19.

  • Fehlerkorrekturen

    • Ein Problem wurde behoben, bei dem Kubernetes die Standard-StorageClass fälschlicherweise auf PersistentVolumeClaims angewendet hat, die die eingestellte Annotation „volume.beta.kubernetes.io/storage-class“ hatten.
    • Ein Problem wurde behoben, bei dem der Logging-Agent immer mehr Arbeitsspeicher belegte.

  • Behebung von Sicherheitsproblemen

    • Es wurde ein Problem mit der Netfilter-Verbindungsüberwachung (conntrack) behoben, die für die Überwachung von Netzwerkverbindungen zuständig ist. Durch die Korrektur wird sichergestellt, dass neue Verbindungen ordnungsgemäß in die conntrack-Tabelle eingefügt werden. Außerdem werden die Einschränkungen umgangen, die durch Änderungen an Linux-Kernel-Versionen 5.15 und höher verursacht werden.

1.26.2-gke.1001

Kubernetes OSS-Versionshinweise

  • Bekanntes Problem:In Kubernetes 1.26.2 wird die Standard-StorageClass fälschlicherweise auf PersistentVolumeClaims angewendet, die die eingestellte Annotation volume.beta.kubernetes.io/storage-class haben.

  • Funktion:Das Betriebssystem-Image wurde auf Ubuntu 22.04 aktualisiert. cgroupv2 wird jetzt als Standardkonfiguration für die Kontrollgruppe verwendet.

    • In Ubuntu 22.04 wird standardmäßig cgroupv2 verwendet. Wir empfehlen Ihnen, zu prüfen, ob eine Ihrer Anwendungen auf das cgroup-Dateisystem zugreift. Wenn das der Fall ist, müssen sie aktualisiert werden, damit cgroupv2 verwendet werden kann. Beispiele für Anwendungen, die möglicherweise aktualisiert werden müssen, um mit cgroupv2 kompatibel zu sein:
    • Drittanbieter-Monitoring- und Sicherheits-Agents, die vom cgroup-Dateisystem abhängen.
    • Wenn cAdvisor als eigenständiges DaemonSet zum Überwachen von Pods und Containern verwendet wird, sollte es auf Version 0.43.0 oder höher aktualisiert werden.
    • Wenn Sie JDK verwenden, empfehlen wir Version 11.0.16 oder höher oder Version 15 oder höher. cgroupv2 wird in diesen Versionen vollständig unterstützt.
    • Wenn Sie das Paket „uber-go/automaxprocs“ verwenden, achten Sie darauf, dass Sie Version v1.5.1 oder höher verwenden.
    • In Ubuntu 22.04 wurde das Paket timesyncd entfernt. Stattdessen wird chrony jetzt für den Amazon Time Sync Service verwendet.
    • Weitere Informationen finden Sie in den Ubuntu-Versionshinweisen.

  • Funktion:Sendet Messwerte für Komponenten der Steuerungsebene an Cloud Monitoring. Dazu gehört eine Teilmenge der Prometheus-Messwerte von kube-apiserver, etcd, kube-scheduler und kube-controller-manager. Messwertnamen haben das Präfix kubernetes.io/anthos/.

  • Funktion:Das Senden von Kubernetes-Ressourcenmetadaten an Google Cloud Platform wurde aktiviert, wodurch sowohl die Benutzeroberfläche als auch die Clustermesswerte verbessert werden. Damit die Metadaten richtig aufgenommen werden, müssen Kunden die Config Monitoring for Ops API aktivieren. Diese API kann entweder in der Google Cloud Console oder durch manuelles Aktivieren der opsconfigmonitoring.googleapis.com API in der gcloud CLI aktiviert werden. Kunden müssen außerdem die in der Dokumentation Cloud Logging/Monitoring autorisieren beschriebenen Schritte ausführen, um die erforderlichen IAM-Bindungen hinzuzufügen. Fügen Sie ggf. opsconfigmonitoring.googleapis.com Ihrer Proxy-Zulassungsliste hinzu.

  • Feature:Vorschaufunktion zum Erstellen von Spot-AWS-Knotenpools wurde hinzugefügt.

  • Funktion:Das Erstellen von Knotenpools mit ARM-basierten (Graviton) Instanztypen ist jetzt allgemein verfügbar.

  • Funktion:Graceful Node Shutdown für kubelet aktiviert. Nicht-System-Pods haben 15 Sekunden Zeit, um beendet zu werden. Danach haben System-Pods (mit den Prioritätsklassen system-cluster-critical oder system-node-critical) 15 Sekunden Zeit, um ordnungsgemäß beendet zu werden.

  • Funktion:Die automatische Knotenreparatur ist im Vorschaumodus aktiviert. Wenden Sie sich an Ihr Account-Management-Team, um die Vorschau zu aktivieren.

  • Feature:Der dynamisch erstellten EFS-Zugangspunktressource wurden Tags hinzugefügt.

  • Funktion:Cluster haben jetzt Subnetz-Sicherheitsgruppenregeln pro Knotenpool anstelle von VPC-weiten Regeln.

    • Bisher hat die Steuerungsebene eingehenden Traffic aus dem gesamten primären IP-Bereich der VPC an den Ports TCP/443 und TCP/8123 zugelassen, die von Knotenpools verwendet werden.
    • Die Steuerungsebene beschränkt den zulässigen eingehenden Traffic auf die einzelnen IP-Bereiche der Knotenpool-Subnetze an den Ports TCP/443 und TCP/8123. Mehrere Knotenpools können sich ein Subnetz teilen.
    • Diese Änderung unterstützt Knotenpools, die außerhalb des primären IP-Bereichs der VPC ausgeführt werden, und verbessert die Sicherheit der Steuerungsebene.
    • Wenn Sie sich auf die VPC-weite Sicherheitsgruppenregel verlassen haben, um Traffic von außerhalb des Clusters zuzulassen (z.B. von einem Bastion-Host für kubectl), sollten Sie im Rahmen des Upgrades eine Sicherheitsgruppe erstellen, eine VPC-weite Regel hinzufügen und die Sicherheitsgruppe an die Steuerungsebene anhängen (über das Feld „AwsCluster.controlPlane.securityGroupIds“).

  • Fehlerkorrekturen:Neu erstellte Cluster verwenden jetzt etcd v3.4.21 für eine verbesserte Stabilität. In vorhandenen Clustern früherer Versionen wurde bereits etcd v3.5.x verwendet. Diese Cluster werden während des Cluster-Upgrades nicht auf v3.4.21 zurückgestuft, sondern verwenden stattdessen v3.5.6.

  • Sicherheitskorrektur:Legen Sie das Hop-Limit der Antwort des IMDS-Emulators auf 1 fest. Dadurch wird die Kommunikation von IMDS-Daten zwischen dem Emulator und einer Arbeitslast gesichert.

Kubernetes 1.25

1.25.14-gke.700

Kubernetes OSS-Versionshinweise

1.25.13-gke.200

Kubernetes OSS-Versionshinweise

1.25.12-gke.500

Kubernetes OSS-Versionshinweise * Funktion:Die Liste der aus Knotenpools erhobenen Messwerte wurde um gke-metrics-agent, cilium-agent, cilium-operator, coredns, fluentbit-gke, kubelet und konnectivity-agent erweitert.

1.25.10-gke.1400

Kubernetes OSS-Versionshinweise

1.25.10-gke.1200

Kubernetes OSS-Versionshinweise

  • Diverse Fehlerkorrekturen
    • Konfiguriert Cluster Autoscaler so, dass die Anzahl der Knoten mithilfe von „--balance-similar-node-groups“ über Verfügbarkeitszonen hinweg ausgeglichen wird.
  • Behebung von Sicherheitsproblemen
    • Der Messwerte-Agent und der Messwertserver für migrierte Knotenpools wurden zum authentifizierten Kubelet-Port migriert.

1.25.8-gke.500

Kubernetes OSS-Versionshinweise

  • Fehlerkorrekturen

    • Ein Problem wurde behoben, bei dem der Logging-Agent immer mehr Arbeitsspeicher belegte.

  • Behebung von Sicherheitsproblemen

1.25.7-gke.1000

Kubernetes OSS-Versionshinweise

  • Feature:Der dynamisch erstellten EFS-Zugangspunktressource wurden Tags hinzugefügt.

  • Fehlerkorrekturen:Neu erstellte Cluster verwenden jetzt etcd v3.4.21 für eine verbesserte Stabilität. In vorhandenen Clustern früherer Versionen wurde bereits etcd v3.5.x verwendet. Diese Cluster werden während des Cluster-Upgrades nicht auf v3.4.21 zurückgestuft, sondern verwenden stattdessen v3.5.6.

1.25.6-gke.1600

Kubernetes OSS-Versionshinweise

1.25.5-gke.2000

Kubernetes OSS-VersionshinweiseFunktion:Anthos Identity Service wurde aktualisiert, um gleichzeitige Authentifizierungs-Webhook-Anfragen besser zu verarbeiten.

  • Fehlerbehebung:Ein Problem wurde behoben, bei dem bestimmte Fehler während der Erstellung/Aktualisierung von Clustern nicht weitergegeben und gemeldet wurden.
  • Fehlerkorrektur:Ein Problem mit dem AWS EFS CSI-Treiber wurde behoben, bei dem EFS-Hostnamen nicht aufgelöst werden konnten, wenn die AWS VPC für die Verwendung eines benutzerdefinierten DNS-Servers konfiguriert war.

  • Fehlerkorrektur:Ein Problem wurde behoben, bei dem die Authentifizierung über das Anthos Service Mesh-Dashboard fehlgeschlagen ist, weil der Identitätswechsel des Endnutzers nicht möglich war.

  • Behebung von Sicherheitsproblemen

1.25.5-gke.1500

Kubernetes OSS-Versionshinweise

  • Bekanntes Problem:Für einige UI-Oberflächen in der Google Cloud Console kann keine Autorisierung für den Cluster erfolgen. Der Cluster wird dann möglicherweise als nicht erreichbar angezeigt. Als Workaround können Sie RBAC manuell anwenden, um die Nutzeridentitätswechsel zu erlauben. Weitere Informationen finden Sie unter Fehlerbehebung.

  • Behebung von Sicherheitsproblemen

1.25.4-gke.1300

Kubernetes OSS-Versionshinweise

  • Bekanntes Problem:Für einige UI-Oberflächen in der Google Cloud Console kann keine Autorisierung für den Cluster erfolgen. Der Cluster wird dann möglicherweise als nicht erreichbar angezeigt. Als Workaround können Sie RBAC manuell anwenden, um die Nutzeridentitätswechsel zu erlauben. Weitere Informationen finden Sie unter Fehlerbehebung.

  • Einstellung:Die eingestellten integrierten Volume-Plug-ins „flocker“, „quobyte“ und „storageos“ wurden entfernt.

  • Funktion:Erhöhte Sicherheit durch Einschränkung statischer Pods, die auf den VMs der Steuerungsebene des Clusters ausgeführt werden, auf die Ausführung als Linux-Nutzer ohne Root-Berechtigung.

  • Funktion: Unterstützung für die dynamische Aktualisierung von AWS-Knotenpool-Sicherheitsgruppen wurde hinzugefügt. Zum Aktualisieren von Sicherheitsgruppen benötigen Sie die folgenden Berechtigungen in Ihrer API-Rolle:

    • ec2:ModifyInstanceAttribute
    • ec2:DescribeInstances

  • Funktion: Unterstützung für das dynamische Aktualisieren von AWS-Knotenpool-Tags wurde hinzugefügt. Zum Aktualisieren von Knotenpool-Tags benötigen Sie die folgenden Berechtigungen in Ihrer API-Rolle:

    • autoscaling:CreateOrUpdateTags
    • autoscaling:DeleteTags
    • ec2:CreateTags
    • ec2:DeleteTags
    • ec2:DescribeLaunchTemplates

  • Funktion:Die dynamische EFS-Bereitstellung ist jetzt allgemein für Cluster mit Version 1.25 oder höher verfügbar. Damit Sie diese Funktion verwenden können, müssen Sie der Rolle der Steuerungsebene die folgenden Berechtigungen hinzufügen:

    • ec2:DescribeAvailabilityZones
    • elasticfilesystem:DescribeAccessPoints
    • elasticfilesystem:DescribeFileSystems
    • elasticfilesystem:DescribeMountTargets
    • elasticfilesystem:CreateAccessPoint
    • elasticfilesystem:DeleteAccessPoint

  • Funktion:Das Hochladen von Arbeitslastmesswerten mit Google Managed Service for Prometheus mit verwalteter Erfassung in Cloud Monarch ist jetzt allgemein verfügbar.

  • Funktion:Unterstützung für das Aktivieren und Aktualisieren der CloudWatch-Messwerterfassung in der automatischen Skalierungsgruppe des AWS-Knotenpools wurde hinzugefügt. Wenn Sie die Erfassung von Messwerten über die Create API oder die Update API aktivieren oder aktualisieren möchten, müssen Sie Ihrer API-Rolle die folgenden Berechtigungen hinzufügen:

    • autoscaling:EnableMetricsCollection
    • autoscaling:DisableMetricsCollection

  • Funktion:Allgemeine Verfügbarkeit von Azure AD. Mit dieser Funktion können Clusteradministratoren RBAC-Richtlinien basierend auf Azure AD-Gruppen für die Autorisierung in Clustern konfigurieren. Dadurch wird das Abrufen von Gruppeninformationen für Nutzer unterstützt, die mehr als 200 Gruppen angehören. So wird eine Einschränkung der regulären OIDC-Konfiguration mit Azure AD als Identitätsanbieter umgangen.

  • Funktion:Es wurde ein neuer Token-Manager (gke-token-manager) hinzugefügt, um mithilfe des Signaturschlüssels des Dienstkontos Tokens für Komponenten der Steuerungsebene zu generieren. Vorteile:

    1. Die Abhängigkeit von kube-apiserver für die Authentifizierung von Steuerungsebenenkomponenten bei Google-Diensten wird beseitigt. Bisher haben Komponenten der Steuerungsebene die TokenRequest API verwendet und waren auf einen funktionierenden kube-apiserver angewiesen. Jetzt erstellt die gke-token-manager-Komponente die Tokens direkt mit dem Signaturschlüssel des Dienstkontos.
    2. RBAC für das Generieren von Tokens für Komponenten der Steuerungsebene entfernen
    3. Entkoppeln Sie das Logging und kube-apiserver. Damit das Logging aufgenommen werden kann, bevor der kube-apiserver hochgefahren ist.
    4. Steuerungsebene robuster machen Wenn der kube-apiserver nicht verfügbar ist, können die Komponenten der Steuerungsebene weiterhin die Tokens abrufen und funktionieren.

  • Funktion:Als Vorabversion können Sie eine Vielzahl von Messwerten aus den Komponenten der Steuerungsebene in Cloud Monitoring aufnehmen, darunter kube-apiserver, etcd, kube-scheduler und kube-controller-manager.

  • Funktion:Nutzer in einer Google-Gruppe können über Connect Gateway auf AWS-Cluster zugreifen, indem der Gruppe die erforderliche RBAC-Berechtigung erteilt wird. Weitere Informationen finden Sie unter Connect-Gateway mit Google Groups einrichten.

  • Fehlerbehebung:gke-connect-agent-Versionen, die nicht mehr aktuell sind, werden nach Clusterupgrades nicht entfernt. Dieses Problem wurde behoben.

  • Behebung von Sicherheitsproblemen

Kubernetes 1.24

1.24.14-gke.2700

Kubernetes OSS-Versionshinweise

1.24.14-gke.1400

Kubernetes OSS-Versionshinweise

  • Diverse Fehlerkorrekturen
    • Konfiguriert Cluster Autoscaler so, dass die Anzahl der Knoten mithilfe von „--balance-similar-node-groups“ über Verfügbarkeitszonen hinweg ausgeglichen wird.

1.24.13-gke.500

Kubernetes OSS-Versionshinweise

  • Fehlerkorrekturen

    • Ein Problem wurde behoben, bei dem der Logging-Agent immer mehr Arbeitsspeicher belegte.

  • Behebung von Sicherheitsproblemen

1.24.11-gke.1000

Kubernetes OSS-Versionshinweise

  • Fehlerkorrekturen:Neu erstellte Cluster verwenden jetzt etcd v3.4.21 für eine verbesserte Stabilität. In vorhandenen Clustern früherer Versionen wurde bereits etcd v3.5.x verwendet. Diese Cluster werden während des Cluster-Upgrades nicht auf v3.4.21 zurückgestuft, sondern verwenden stattdessen v3.5.6.

1.24.10-gke.1200

Kubernetes OSS-Versionshinweise

  • Fehlerbehebung:Ein Problem wurde behoben, das dazu führen konnte, dass Cluster-Upgrades fehlschlugen, wenn bestimmte Arten von validierenden Zulassungs-Webhooks registriert waren.
  • Fehlerkorrektur:Die Weitergabe der Cilium-Sicherheits-ID wurde korrigiert, sodass IDs ordnungsgemäß im Tunnelheader übergeben werden, wenn Anfragen an Dienste vom Typ „NodePort“ und „LoadBalancer“ weitergeleitet werden.
  • Behebung von Sicherheitsproblemen

1.24.9-gke.2000

Kubernetes OSS-Versionshinweise

  • Funktion:Anthos Identity Service wurde aktualisiert, um gleichzeitige Webhook-Anfragen zur Authentifizierung besser zu verarbeiten.

  • Fehlerbehebung:Ein Problem wurde behoben, bei dem bestimmte Fehler während der Erstellung/Aktualisierung von Clustern nicht weitergegeben und gemeldet wurden.

  • Behebung von Sicherheitsproblemen

1.24.9-gke.1500

Kubernetes OSS-Versionshinweise

1.24.8-gke.1300

Kubernetes OSS-Versionshinweise

1.24.5-gke.200

Kubernetes OSS-Versionshinweise

1.24.3-gke.2200

Kubernetes OSS-Versionshinweise

  • Fehlerkorrektur:Ein Fehler wurde behoben, bei dem beim Erstellen einer Kubernetes-Dienstressource vom Typ „LoadBalancer“ mit der Annotation service.beta.kubernetes.io/aws-load-balancer-type: nlb eine leere Zielgruppe erstellt wurde. Siehe https://github.com/kubernetes/cloud-provider-aws/issues/301.

1.24.3-gke.2100

Kubernetes OSS-Versionshinweise

  • Funktion:Messwerte für Kubernetes-Ressourcen für Windows-Knotenpools in Google Cloud Monitoring hochladen.
  • Funktion:Es wurde ein Webhook für das einfache Einfügen des IMDS-Emulators bereitgestellt.
  • Funktion:go1.18 akzeptiert standardmäßig keine Zertifikate mehr, die mit dem SHA-1-Hash-Algorithmus signiert sind. Zulassungs-/Konvertierungs-Webhooks oder aggregierte Serverendpunkte, die diese unsicheren Zertifikate verwenden, funktionieren in Version 1.24 standardmäßig nicht mehr. Die Umgebungsvariable GODEBUG=x509sha1=1 wird in Anthos-Clustern in AWS als temporärer Workaround festgelegt, damit diese unsicheren Zertifikate weiterhin funktionieren. Es wird jedoch erwartet, dass das Go-Team die Unterstützung für diese Problemumgehung in den nächsten Releases entfernen wird. Kunden sollten prüfen, ob Zulassungs-/Konversions-Webhooks oder aggregierte Serverendpunkte solche unsicheren Zertifikate verwenden, bevor sie ein Upgrade auf die bevorstehende Breaking-Version durchführen.
  • Funktion:GKE on AWS unterstützt jetzt die dynamische EFS-Bereitstellung im Vorschaumodus für Kubernetes-Cluster ab Version 1.24. Für diese Funktion müssen Sie der Rolle der Steuerungsebene die folgenden Berechtigungen hinzufügen: ec2:DescribeAvailabilityZones elasticfilesystem:DescribeAccessPoints elasticfilesystem:DescribeFileSystems elasticfilesystem:DescribeMountTargets elasticfilesystem:CreateAccessPoint elasticfilesystem:DeleteAccessPoint

  • Funktion:Die Prüfungen der Netzwerkverbindung während der Cluster- und Knotenpoolerstellung wurden verbessert, um die Fehlerbehebung zu erleichtern.

  • Funktion:Unterstützung von Updates für AWS-Steuerungsebenen-Tags. Wenn Sie Tags aktualisieren möchten, müssen Sie der API-Rolle die folgenden Berechtigungen hinzufügen: autoscaling:CreateOrUpdateTags autoscaling:DeleteTags ec2:CreateTags ec2:DescribeLaunchTemplates ec2:DescribeSecurityGroupRules ec2:DeleteTags elasticloadbalancing:AddTags elasticloadbalancing:RemoveTags

  • Funktion:Das Hochladen von Arbeitslastmesswerten mit Google Managed Service for Prometheus in Cloud Monarch ist als private Vorschau nur auf Einladung verfügbar.

  • Behebung von Sicherheitsproblemen

Kubernetes 1.23

1.23.16-gke.2800

Kubernetes OSS-Versionshinweise

1.23.16-gke.200

Kubernetes OSS-Versionshinweise

  • Fehlerbehebung:Ein Problem wurde behoben, bei dem bestimmte Fehler während der Erstellung/Aktualisierung von Clustern nicht weitergegeben und gemeldet wurden.

  • Fehlerkorrektur:Probleme mit cpp-httplib wurden behoben, bei denen der kubeapi-Server AIS nicht erreichen konnte.

  • Behebung von Sicherheitsproblemen

1.23.14-gke.1800

Kubernetes OSS-Versionshinweise

1.23.14-gke.1100

Kubernetes OSS-Versionshinweise

1.23.11-gke.300

Kubernetes OSS-Versionshinweise

1.23.9-gke.2200

Kubernetes OSS-Versionshinweise

  • Fehlerkorrektur:Ein Fehler wurde behoben, bei dem beim Erstellen einer Kubernetes-Dienstressource vom Typ „LoadBalancer“ mit der Annotation service.beta.kubernetes.io/aws-load-balancer-type: nlb eine leere Zielgruppe erstellt wurde. Siehe https://github.com/kubernetes/cloud-provider-aws/issues/301.

1.23.9-gke.2100

Kubernetes OSS-Versionshinweise

1.23.9-gke.800

Kubernetes OSS-Versionshinweise

1.23.8-gke.1700

Kubernetes OSS-Versionshinweise

1.23.7-gke.1300

Kubernetes OSS-Versionshinweise

  • Feature:Der Profilerstellungs-Endpunkt (/debug/pprof) ist im kube-scheduler und kube-controller-manager standardmäßig deaktiviert.

  • Funktion:Aktualisieren Sie kube-apiserver und kubelet so, dass nur starke kryptografische Chiffren verwendet werden. Unterstützte, von Kubelet verwendete Chiffren:

    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_GCM_SHA256

    Unterstützte, vom kube api-server verwendete Chiffren:

    TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256, TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384

  • Funktion:Metadatenserver-Emulator für Instanzen (IMDS-Emulator) hinzufügen.

  • Behebung von Sicherheitsproblemen

Kubernetes 1.22

1.22.15-gke.100

Kubernetes OSS-Versionshinweise

1.22.12-gke.2300

Kubernetes OSS-Versionshinweise

1.22.12-gke.1100

Kubernetes OSS-Versionshinweise

1.22.12-gke.200

Kubernetes OSS-Versionshinweise

1.22.10-gke.1500

Kubernetes OSS-Versionshinweise

1.22.8-gke.2100

Kubernetes OSS-Versionshinweise

  • Funktion:Windows-Knoten verwenden jetzt pigz, um die Extraktion von Images zu verbessern.

1.22.8-gke.1300

  • Diverse Fehlerkorrekturen
    • Das Problem, dass Add-ons nicht angewendet werden können, wenn Windows-Knotenpools aktiviert sind, wurde behoben.
    • Das Problem, dass der Logging-Agent angehängten Speicherplatz belegen konnte, wurde behoben.
  • Behebung von Sicherheitsproblemen
    • Korrigiert CVE-2022-1055.
    • Korrigiert CVE-2022-0886.
    • Korrigiert CVE-2022-0492.
    • Korrigiert CVE-2022-24769.
    • Dieser Release enthält die folgenden Änderungen an der rollenbasierten Zugriffssteuerung (Role-based Access Control, RBAC):
    • anet-operator-Berechtigungen wurden für die Lease-Aktualisierung herabgestuft.
    • Die anetd-Daemon-Set-Berechtigungen für Knoten und Pods wurden herabgestuft.
    • fluentbit-gke-Berechtigungen für Dienstkontotokens wurden herabgestuft.
    • gke-metrics-agent für Dienstkonto-Tokens herabgestuft.
    • coredns-autoscaler-Berechtigungen für Knoten, ConfigMaps und Deployments wurden herabgestuft.

1.22.8-gke.200

Kubernetes OSS-Versionshinweise

  • Funktion:Der Standardinstanztyp für Cluster und Knotenpools, die unter Kubernetes v1.22 erstellt wurden, ist jetzt „m5.large“ anstelle von „t3.medium“.
  • Funktion:Wenn Sie einen neuen Cluster mit Kubernetes-Version 1.22 erstellen, können Sie jetzt benutzerdefinierte Logging-Parameter konfigurieren.
  • Funktion:Im Rahmen einer Funktion in der Vorabversion können Sie jetzt beim Erstellen von Knotenpools mit Kubernetes Version 1.22 Windows als Knotenpool-Image-Typ auswählen.
  • Funktion:Als Funktion in der Vorabversion können Sie Hostcomputer jetzt als dedizierte Hosts konfigurieren.
  • Funktion:Sie können sich jetzt die häufigsten asynchronen Cluster- und Knotenpool-Boot-Fehler im Feld für Fehler bei Vorgängen mit langer Ausführungszeit ansehen. Weitere Informationen finden Sie in der gcloud container aws operations list-Referenzdokumentation.
  • Behebung von Sicherheitsproblemen

Kubernetes 1.21

1.21.14-gke.2900

Kubernetes OSS-Versionshinweise

1.21.14-gke.2100

Kubernetes OSS-Versionshinweise

1.21.11-gke.1900

Kubernetes OSS-Versionshinweise

1.21.11-gke.1800

Kubernetes OSS-Versionshinweise

1.21.11-gke.1100

  • Behebung von Sicherheitsproblemen
    • Korrigiert CVE-2022-1055.
    • Korrigiert CVE-2022-0886.
    • Korrigiert CVE-2022-0492.
    • Korrigiert CVE-2022-24769.
    • RBAC-Fehlerkorrekturen:
    • anet-Operator-Berechtigungen für Lease-Update heruntergestuft.
    • Die anetd-Daemon-Set-Berechtigungen für Knoten und Pods wurden herabgestuft.
    • fluentbit-gke-Berechtigungen für Dienstkontotokens herabgestuft.
    • gke-metrics-agent für Dienstkonto-Tokens herabgestuft.
    • Coredns-Autoscaling-Berechtigungen für Knoten, ConfigMaps und Deployments herabgestuft.

1.21.11-gke.100

Kubernetes OSS-Versionshinweise

1.21.6-gke.1500

Kubernetes OSS-Versionshinweise

1.21.5-gke.2800

Kubernetes OSS-Versionshinweise