Archiv der Kubernetes-Versionshinweise

Diese Seite enthält ein historisches Archiv der Versionshinweise für nicht unterstützte Kubernetes-Versionen. Neuere Versionshinweise finden Sie hier.

Kubernetes 1.28

1.28.14-gke.200

Kubernetes OSS-Versionshinweise

1.28.13-gke.600

Kubernetes OSS-Versionshinweise

1.28.12-gke.100

Kubernetes OSS-Versionshinweise

1.28.11-gke.600

Kubernetes OSS-Versionshinweise

1.28.10-gke.1300

Kubernetes OSS-Versionshinweise

1.28.10-gke.800

Kubernetes OSS-Versionshinweise

1.28.9-gke.400

Kubernetes OSS-Versionshinweise

1.28.8-gke.800

Kubernetes OSS-Versionshinweise

1.28.7-gke.1700

Kubernetes OSS-Versionshinweise

  • Fehlerbehebung:Ein Problem wurde behoben, bei dem der IMDS-Emulator (Instance Metadata Service) manchmal nicht an eine IP-Adresse auf dem Knoten gebunden werden konnte. Der IMDS-Emulator ermöglicht Knoten den sicheren Zugriff auf AWS EC2-Instanzmetadaten.

1.28.5-gke.1200

Kubernetes OSS-Versionshinweise

1.28.5-gke.100

Kubernetes OSS-Versionshinweise

1.28.3-gke.700

Kubernetes OSS-Versionshinweise

  • Funktionsgefährdende Änderung: Ab Kubernetes 1.28 erfordern Cluster eine ausgehende HTTPS-Verbindung zu {GCP_LOCATION}-gkemulticloud.googleapis.com. Achten Sie darauf, dass Ihr Proxyserver und/oder die Firewall diesen Traffic zulässt.

  • Funktionsgefährdende Änderung: Ab Kubernetes 1.28 ist für die Rolle des Multi-Cloud API-Dienst-Agents eine neue Iam:getinstanceprofile-Berechtigung für Ihr AWS-Projekt erforderlich. Mit dieser Berechtigung prüft der Multi-Cloud-Dienst die Instanzprofile, die an In-Cluster-VM-Instanzen angehängt sind.

  • Funktion:Rollback-Unterstützung für AWS-Knotenpools, bei denen Aktualisierungsvorgänge fehlgeschlagen sind. So können Kunden Knotenpools auf ihren ursprünglichen Zustand zurücksetzen.

  • Funktion:Unterstützung für das Abrufen von Images aus der privaten Google Artifact Registry und der privaten Google Container Registry ohne exportierten Schlüssel für das Google-Dienstkonto hinzugefügt. Die Anmeldedaten für das Abrufen von Bildern werden von Google verwaltet und automatisch rotiert.

  • Funktion: Für die meisten Funktionen ist es nicht mehr erforderlich, Google IAM-Bindungen explizit hinzuzufügen.

    1. Beim Erstellen eines Clusters müssen keine Bindungen für gke-system/gke-telemetry-agent mehr hinzugefügt werden.
    2. Sie müssen keine Bindungen für gmp-system/collector oder gmp-system/rule-evaluator mehr hinzufügen, wenn Sie die verwaltete Datenerhebung für Google Managed Service for Prometheus aktivieren.
    3. Beim Aktivieren der Binärautorisierung müssen keine Bindungen für gke-system/binauthz-agent mehr hinzugefügt werden.

  • Funktion:Das AWS-Surge-Update ist jetzt allgemein verfügbar. Mit Surge-Updates können Sie die Geschwindigkeit und Unterbrechung von Knotenpool-Updates konfigurieren. Weitere Informationen zum Aktivieren und Konfigurieren von Surge-Einstellungen in Ihren AWS-Knotenpools finden Sie unter Surge-Updates von Knotenpools konfigurieren.

  • Funktion:Der Kernel für Ubuntu 22.04 wurde auf linux-aws 6.2 aktualisiert.

  • Funktion:Es wurde Unterstützung für das Erstellen von Knotenpools mit den folgenden AWS EC2-Instanzen hinzugefügt: G5, I4g, M7a, M7g, M7i, R7g, R7i und R7iz.

  • Fehlerkorrektur:Die Erstellung von Launch-Vorlagen wurde verbessert. Von Kunden bereitgestellte Tags werden an Instanzen weitergegeben.

    • Durch diese Änderung wird vor allem die Unterstützung für IAM-Richtlinienregeln verbessert. Es geht dabei insbesondere um Regeln, die die Verwendung von Launch-Vorlagen verbieten, die die Tag-Weitergabe nicht unterstützen, auch wenn die zugehörige Auto Scaling-Gruppe (ASG) Tags weitergibt.
    • Je nach den Details der IAM-Richtlinie des Kunden in Bezug auf Tag-Prüfungen kann dies eine bahnbrechende Änderung sein. Daher ist es wichtig, beim Upgrade vorsichtig vorzugehen, da eine unsachgemäße Handhabung dazu führen kann, dass ein Cluster in einen eingeschränkten Zustand versetzt wird.
    • Die Aktion ec2:CreateTags für die Ressource arn:aws:ec2:*:*:instance/* ist für die Rolle „Anthos Multi-Cloud API-Dienst-Agent“ erforderlich. Aktuelle Informationen finden Sie unter https://cloud.google.com/kubernetes-engine/multi-cloud/docs/aws/how-to/create-aws-iam-roles#create_service_agent_role.
    • Wir empfehlen Kunden, einen temporären Cluster der Version 1.28 zu erstellen und zu prüfen, ob die IAM-Richtlinien ordnungsgemäß funktionieren, bevor sie ein Upgrade auf Version 1.28 versuchen.

  • Fehlerkorrektur:Beim Upgrade eines Clusters auf Version 1.28 werden veraltete Ressourcen bereinigt, die möglicherweise in älteren Versionen (bis Version 1.25) erstellt wurden, aber nicht mehr relevant sind. Die folgenden Ressourcen im Namespace gke-system werden gelöscht, falls vorhanden:

    • DaemonSets fluentbit-gke-windows und gke-metrics-agent-windows
    • configmaps fluentbit-gke-windows-config und gke-metrics-agent-windows-conf

  • Fehlerbehebung: Die Aufnahme von Logs aus Anthos-Cluster in AWS in Cloud Logging wurde verbessert:

    • Ein Problem beim Parsen von Zeitstempeln wurde behoben.
    • Den Fehlerprotokollen von anthos-metadata-agent wurde der richtige Schweregrad zugewiesen.

  • Behebung von Sicherheitsproblemen

Kubernetes 1.27

1.27.14-gke.1600

Kubernetes OSS-Versionshinweise

1.27.14-gke.1200

Kubernetes OSS-Versionshinweise

1.27.14-gke.700

Kubernetes OSS-Versionshinweise

1.27.13-gke.500

Kubernetes OSS-Versionshinweise

1.27.12-gke.800

Kubernetes OSS-Versionshinweise

1.27.11-gke.1600

Kubernetes OSS-Versionshinweise

  • Fehlerbehebung:Ein Problem wurde behoben, bei dem der IMDS-Emulator (Instance Metadata Service) manchmal nicht an eine IP-Adresse auf dem Knoten gebunden werden konnte. Der IMDS-Emulator ermöglicht Knoten den sicheren Zugriff auf AWS EC2-Instanzmetadaten.

1.27.10-gke.500

Kubernetes OSS-Versionshinweise

1.27.9-gke.100

Kubernetes OSS-Versionshinweise

1.27.7-gke.600

Kubernetes OSS-Versionshinweise

  • Funktion:Unterstützung für das Erstellen von Knotenpools mit der AWS EC2-Instanz „G5“ hinzugefügt.

  • Fehlerbehebung: Die Aufnahme von Logs aus Anthos-Cluster in AWS in Cloud Logging wurde verbessert:

    • Ein Problem beim Parsen von Zeitstempeln wurde behoben.
    • Den Fehlerprotokollen von anthos-metadata-agent wurde der richtige Schweregrad zugewiesen.

  • Behebung von Sicherheitsproblemen

1.27.6-gke.700

Kubernetes OSS-Versionshinweise

1.27.5-gke.200

Kubernetes OSS-Versionshinweise

1.27.4-gke.1600

Kubernetes OSS-VersionshinweiseEinstellung:Der nicht authentifizierte schreibgeschützte Port für Kubelet 10255 wurde deaktiviert. Nachdem ein Knotenpool auf Version 1.27 aktualisiert wurde, können darauf ausgeführte Arbeitslasten keine Verbindung mehr zu Port 10255 herstellen.

  • Funktion:Die Funktion „AWS-Surge-Update“ ist im Vorabversionsmodus verfügbar. Mit Surge-Updates können Sie die Geschwindigkeit und Unterbrechung von Knotenpool-Updates konfigurieren. Wenden Sie sich an Ihr Account-Management-Team, um die Vorschau zu aktivieren.
  • Funktion:Der EBS-CSI-Treiber wurde auf Version 1.20.0 aktualisiert.
  • Funktion:Der EFS-CSI-Treiber wurde auf Version 1.5.7 aktualisiert.

  • Funktion:snapshot-controller und csi-snapshot-validation-webhook auf Version 6.2.2 aktualisiert. Diese neue Version enthält eine wichtige Änderung an der API. Insbesondere sind die v1beta1-APIs VolumeSnapshot, VolumeSnapshotContents und VolumeSnapshotClass nicht mehr verfügbar.

  • Funktion:Unterstützung für ein neues admin-groups-Flag in den APIs „create“ und „update“ hinzugefügt. Mit diesem Flag können Kunden aufgeführte Gruppen schnell und einfach als Clusteradministratoren authentifizieren, sodass RBAC-Richtlinien nicht mehr manuell erstellt und angewendet werden müssen.

  • Funktion:Unterstützung für die Binärautorisierung wurde hinzugefügt. Dies ist eine Sicherheitskontrolle, die zum Zeitpunkt des Deployments dafür sorgt, dass nur vertrauenswürdige Container-Images bereitgestellt werden. Sie können dabei festlegen, dass die Images während des Entwicklungsprozesses von vertrauenswürdigen Stellen signiert werden, und dann beim Deployment die Signaturprüfung erzwingen. Durch Erzwingen einer Prüfung haben Sie mehr Kontrolle über die Containerumgebung und sorgen dafür, dass nur verifizierte Images in den Build‑ und Release-Prozess eingebunden werden. Weitere Informationen zum Aktivieren der Binärautorisierung in Ihren Clustern finden Sie unter Binärautorisierung aktivieren.

  • Funktion:Die gzip-Komprimierung wurde für fluent-bit (Logprozessor und Forwarder), gke-metrics-agent (Messwert-Collector) und audit-proxy (Audit-Log-Proxy) aktiviert. fluent-bit komprimiert Logdaten sowohl aus der Kontrollebene als auch aus Arbeitslasten, bevor sie an Cloud Logging gesendet werden. gke-metrics-agent komprimiert Messwertdaten sowohl aus der Kontrollebene als auch aus Arbeitslasten, bevor sie an Cloud Monitoring gesendet werden. audit-proxy komprimiert Prüfprotokolldaten, bevor sie an das Prüfprotokoll gesendet werden. Dies reduziert die Netzwerkbandbreite und die Netzwerkkosten.

  • Funktion:Das Erstellen von AWS-SPOT-Knotenpools ist jetzt allgemein verfügbar.

  • Funktion:Die automatische Knotenreparatur ist jetzt allgemein verfügbar.

  • Funktion:Verbesserte Sicherheit durch Dateiintegritätsprüfungen und Fingerabdruckvalidierung für Binärartefakte, die aus Cloud Storage heruntergeladen wurden.

  • Funktion:Der Delete API wurde die Option ignore_errors hinzugefügt, um Fälle zu behandeln, in denen das Löschen von Clustern oder Knotenpools durch versehentlich gelöschte IAM-Rollen oder das manuelle Entfernen von Ressourcen verhindert wird. Wenn Nutzer der Anfrage-URL DELETE das Zeichen ?ignore_errors=true anhängen, können sie Cluster oder Knotenpools jetzt erzwungen entfernen. Dieser Ansatz kann jedoch zu verwaisten Ressourcen in AWS oder Azure führen, die manuell bereinigt werden müssen.

  • Funktion:Unterstützung für die automatische periodische Defragmentierung von etcd und etcd-events auf der Steuerungsebene hinzugefügt. Diese Funktion reduziert unnötigen Speicherplatz auf dem Laufwerk und hilft, zu verhindern, dass etcd und die Steuerungsebene aufgrund von Problemen mit dem Laufwerkspeicher nicht mehr verfügbar sind.

  • Funktion:Die Namen der Messwerte für Kubernetes-Ressourcenmesswerte wurden geändert. Statt kubernetes.io/ wird jetzt das Präfix kubernetes.io/anthos/ verwendet. Weitere Informationen finden Sie in der Referenzdokumentation zu Messwerten.

  • Funktion:Die Standard-etcd-Version wurde in neuen Clustern auf Version 3.4.21 geändert, um die Stabilität zu verbessern. Vorhandene Cluster, die auf diese Version aktualisiert wurden, verwenden etcd v3.5.6.

  • Funktion:Die Ressourcenverwaltung von Knoten wurde durch Reservierung von Ressourcen für das Kubelet verbessert. Diese Funktion ist zwar wichtig, um OOM-Fehler (Out of Memory) zu vermeiden, indem sichergestellt wird, dass System- und Kubernetes-Prozesse die erforderlichen Ressourcen haben, sie kann aber zu Unterbrechungen der Arbeitslast führen. Die Reservierung von Ressourcen für das kubelet kann sich auf die verfügbaren Ressourcen für Pods auswirken und möglicherweise die Kapazität kleinerer Knoten für die Verarbeitung vorhandener Arbeitslasten beeinträchtigen. Kunden sollten prüfen, ob kleinere Knoten ihre Arbeitslasten auch bei aktivierter neuer Funktion weiterhin unterstützen können.

    • Die Prozentsätze des reservierten Arbeitsspeichers sind:
    • 255 MiB für Geräte mit weniger als 1 GB Arbeitsspeicher
    • 25 % der ersten 4 GB Speicher
    • 20% der nächsten 4 GB
    • 10% der nächsten 8 GB
    • 6% der nächsten 112 GB
    • 2 % des Speichers oberhalb von 128 GB
    • Die reservierten CPU-Prozentsätze sind:
    • 6 % des ersten Kerns
    • 1% des nächsten Kerns
    • 0,5% der nächsten zwei Kerne
    • 0,25 % aller Kerne oberhalb von vier Kernen

  • Fehlerkorrekturen

    • Der Cluster Autoscaler wurde aktiviert, um Knoten auf verschiedene Verfügbarkeitszonen zu verteilen. Dazu wird das Flag --balance-similar-node-groups verwendet.

  • Behebung von Sicherheitsproblemen

Kubernetes 1.26

1.26.14-gke.1500

Kubernetes OSS-Versionshinweise

  • Fehlerbehebung:Ein Problem wurde behoben, bei dem der IMDS-Emulator (Instance Metadata Service) manchmal nicht an eine IP-Adresse auf dem Knoten gebunden werden konnte. Der IMDS-Emulator ermöglicht Knoten den sicheren Zugriff auf AWS EC2-Instanzmetadaten.

1.26.13-gke.400

Kubernetes OSS-Versionshinweise

1.26.12-gke.100

Kubernetes OSS-Versionshinweise

1.26.10-gke.600

Kubernetes OSS-Versionshinweise

  • Funktion:Unterstützung für das Erstellen von Knotenpools mit der AWS EC2-Instanz „G5“ hinzugefügt.

  • Fehlerkorrektur:Der CSI-Treiber (Container Storage Interface) für das Elastic File System (EFS) aws-efs-csi-driver wurde auf Version v1.3.8-gke.21 aktualisiert.

  • Fehlerbehebung: Die Aufnahme von Logs aus Anthos-Cluster in AWS in Cloud Logging wurde verbessert:

    • Ein Problem beim Parsen von Zeitstempeln wurde behoben.
    • Den Fehlerprotokollen von anthos-metadata-agent wurde der richtige Schweregrad zugewiesen.

  • Behebung von Sicherheitsproblemen

1.26.9-gke.700

Kubernetes OSS-Versionshinweise

1.26.8-gke.200

Kubernetes OSS-Versionshinweise

1.26.7-gke.500

Kubernetes OSS-Versionshinweise

1.26.5-gke.1400

Kubernetes OSS-Versionshinweise

1.26.5-gke.1200

Kubernetes OSS-Versionshinweise

  • Diverse Fehlerkorrekturen
    • Konfiguriert den Cluster-Autoscaler mithilfe von „–balance-similar-node-groups“, um die Anzahl der Knoten über die Verfügbarkeitszonen hinweg auszugleichen.

1.26.4-gke.2200

Kubernetes OSS-Versionshinweise * Funktion:Ubuntu 22.04 verwendet den Linux-AWS-5.19-Kernel.

  • Fehlerkorrekturen

    • Ein Problem wurde behoben, bei dem Kubernetes die Standard-StorageClass fälschlicherweise auf PersistentVolumeClaims mit der veralteten Anmerkung „volume.beta.kubernetes.io/storage-class“ anwendete.
    • Ein Problem wurde behoben, bei dem der Logging-Agent immer mehr Arbeitsspeicher benötigte.

  • Behebung von Sicherheitsproblemen

    • Es wurde ein Problem mit dem Netfilter-Verbindungs-Tracking (conntrack) behoben, das für die Überwachung von Netzwerkverbindungen verantwortlich ist. Durch die Korrektur werden neue Verbindungen korrekt in die Conntrack-Tabelle eingefügt und die Einschränkungen behoben, die durch Änderungen an den Linux-Kernelversionen 5.15 und höher verursacht wurden.

1.26.2-gke.1001

Kubernetes OSS-Versionshinweise

  • Bekanntes Problem:In Kubernetes 1.26.2 wird die Standard-StorageClass fälschlicherweise auf PersistentVolumeClaims mit der veralteten Anmerkung volume.beta.kubernetes.io/storage-class angewendet.

  • Funktion:Das Betriebssystem-Image wurde auf Ubuntu 22.04 aktualisiert. cgroupv2 wird jetzt als Standardkonfiguration für die Kontrollgruppe verwendet.

    • In Ubuntu 22.04 wird standardmäßig cgroupv2 verwendet. Wir empfehlen Ihnen, zu prüfen, ob eine Ihrer Anwendungen auf das cgroup-Dateisystem zugreift. In diesem Fall müssen sie aktualisiert werden, damit sie cgroupv2 verwenden können. Beispiele für Anwendungen, die möglicherweise aktualisiert werden müssen, um mit cgroupv2 kompatibel zu sein:
    • Monitoring- und Sicherheits-Agents von Drittanbietern, die vom cgroup-Dateisystem abhängen
    • Wenn cAdvisor als eigenständiger DaemonSet zum Überwachen von Pods und Containern verwendet wird, sollte es auf Version 0.43.0 oder höher aktualisiert werden.
    • Wenn Sie JDK verwenden, empfehlen wir Version 11.0.16 oder höher oder Version 15 oder höher. Diese Versionen unterstützen cgroupv2 vollständig.
    • Wenn Sie das Paket „uber-go/automaxprocs“ verwenden, muss es Version 1.5.1 oder höher sein.
    • In Ubuntu 22.04 wird das Paket timesyncd entfernt. Stattdessen wird jetzt chrony für den Amazon Time Sync Service verwendet.
    • Weitere Informationen finden Sie in den Ubuntu-Versionshinweisen.

  • Funktion:Sendet Messwerte für Komponenten der Kontrollebene an Cloud Monitoring. Dazu gehören einige der Prometheus-Messwerte von kube-apiserver, etcd, kube-scheduler und kube-controller-manager. Messwertnamen haben das Präfix kubernetes.io/anthos/.

  • Funktion:Es ist jetzt möglich, Kubernetes-Ressourcenmetadaten an die Google Cloud-Plattform zu senden. Dadurch wurden sowohl die Benutzeroberfläche als auch die Clustermesswerte verbessert. Damit die Metadaten richtig aufgenommen werden können, müssen Kunden die Config Monitoring for Ops API aktivieren. Diese API kann entweder in der Google Cloud console oder durch manuelles Aktivieren der opsconfigmonitoring.googleapis.com API in der gcloud CLI aktiviert werden. Kunden müssen außerdem die in der Dokumentation Cloud Logging/Monitoring autorisieren beschriebenen Schritte ausführen, um die erforderlichen IAM-Bindungen hinzuzufügen. Fügen Sie gegebenenfalls opsconfigmonitoring.googleapis.com zur Proxy-Zulassungsliste hinzu.

  • Funktion:Es wurde eine Vorschaufunktion zum Erstellen eines AWS-Knotenpools mit Spot-VMs hinzugefügt.

  • Funktion:Das Erstellen von Knotenpools mit ARM-basierten (Graviton) Instanztypen ist jetzt allgemein verfügbar.

  • Funktion:Graceful Node Shutdown für kubelet aktiviert. Nicht systemeigene Pods erhalten 15 Sekunden Zeit für die Beendigung. Anschließend haben System-Pods (mit den Prioritätsklassen system-cluster-critical oder system-node-critical) 15 Sekunden Zeit für eine ordnungsgemäße Beendigung.

  • Funktion:Die Funktion „Automatische Knotenreparatur“ wurde im Vorschaumodus aktiviert. Wenden Sie sich an Ihr Account-Management-Team, um die Vorschau zu aktivieren.

  • Funktion:Tags wurden dynamisch erstellten EFS-Zugangspunkt-Ressourcen hinzugefügt.

  • Funktion:Cluster haben jetzt Subnetz-Sicherheitsgruppenregeln pro Knotenpool anstelle von VPC-weiten Regeln.

    • Bisher erlaubte die Steuerungsebene eingehenden Traffic aus dem gesamten primären IP-Bereich des VPC über die Ports TCP/443 und TCP/8123, die von Knotenpools verwendet werden.
    • Jetzt schränkt die Steuerungsebene den zulässigen eingehenden Traffic auf jeden IP-Bereich der Knotenpool-Subnetze an den Ports TCP/443 und TCP/8123 ein. Mehrere Knotenpools können sich ein Subnetz teilen.
    • Durch diese Änderung werden Knotenpools unterstützt, die außerhalb des primären IP-Bereichs des VPC ausgeführt werden. Außerdem wird die Sicherheit der Steuerungsebene verbessert.
    • Wenn Sie die VPC-weite Sicherheitsgruppenregel verwendet haben, um Traffic von außerhalb des Clusters zuzulassen (z.B. von einem Bastion Host für kubectl), sollten Sie im Rahmen des Upgrades eine Sicherheitsgruppe erstellen, ihr eine VPC-weite Regel hinzufügen und die Sicherheitsgruppe über das Feld „AwsCluster.controlPlane.securityGroupIds“ an die Steuerungsebene anhängen.

  • Fehlerkorrekturen:Für neu erstellte Cluster wird jetzt etcd v3.4.21 verwendet, um die Stabilität zu verbessern. Vorhandene Cluster früherer Versionen verwendeten bereits etcd 3.5.x und werden beim Clusterupgrade nicht auf Version 3.4.21 zurückgestuft. Stattdessen wird in diesen Clustern Version 3.5.6 verwendet.

  • Sicherheitsfix:Das Hop-Limit der Antwort des IMDS-Emulators wurde auf „1“ festgelegt. Dadurch wird die Kommunikation von IMDS-Daten zwischen dem Emulator und einer Arbeitslast gesichert.

Kubernetes 1.25

1.25.14-gke.700

Kubernetes OSS-Versionshinweise

1.25.13-gke.200

Kubernetes OSS-Versionshinweise

1.25.12-gke.500

Kubernetes OSS-Versionshinweise * Funktion:Die Liste der Messwerte, die aus Knotenpools erfasst werden, wurde um gke-metrics-agent, cilium-agent, cilium-operator, coredns, fluentbit-gke, kubelet und konnectivity-agent erweitert.

1.25.10-gke.1400

Kubernetes OSS-Versionshinweise

1.25.10-gke.1200

Kubernetes OSS-Versionshinweise

  • Diverse Fehlerkorrekturen
    • Konfiguriert den Cluster-Autoscaler mithilfe von „–balance-similar-node-groups“, um die Anzahl der Knoten über die Verfügbarkeitszonen hinweg auszugleichen.
  • Behebung von Sicherheitsproblemen
    • Der Knotenpool-Messwert-Agent und der Messwertserver wurden zum authentifizierten Kubelet-Port migriert.

1.25.8-gke.500

Kubernetes OSS-Versionshinweise

  • Fehlerkorrekturen

    • Ein Problem wurde behoben, bei dem der Logging-Agent immer mehr Arbeitsspeicher benötigte.

  • Behebung von Sicherheitsproblemen

1.25.7-gke.1000

Kubernetes OSS-Versionshinweise

  • Funktion:Tags wurden dynamisch erstellten EFS-Zugangspunkt-Ressourcen hinzugefügt.

  • Fehlerkorrekturen:Für neu erstellte Cluster wird jetzt etcd v3.4.21 verwendet, um die Stabilität zu verbessern. Vorhandene Cluster früherer Versionen verwendeten bereits etcd 3.5.x und werden beim Clusterupgrade nicht auf Version 3.4.21 zurückgestuft. Stattdessen wird in diesen Clustern Version 3.5.6 verwendet.

1.25.6-gke.1600

Kubernetes OSS-Versionshinweise

1.25.5-gke.2000

Kubernetes OSS-Releasenotizen * Funktion:Der Anthos Identity Service wurde aktualisiert, um gleichzeitige Authentifizierungs-Webhook-Anfragen besser zu verarbeiten.

  • Fehlerbehebung:Ein Problem wurde behoben, bei dem bestimmte Fehler bei Clustererstellungs-/‑aktualisierungsvorgängen nicht weitergegeben und gemeldet wurden.
  • Fehlerbehebung:Ein Problem mit dem AWS EFS CSI-Treiber wurde behoben, bei dem EFS-Hostnamen nicht aufgelöst werden konnten, wenn die AWS VPC für die Verwendung eines benutzerdefinierten DNS-Servers konfiguriert ist.

  • Fehlerbehebung:Ein Problem wurde behoben, bei dem die Authentifizierung über das Anthos Service Mesh-Dashboard fehlgeschlagen ist, da sich kein Endnutzer imitieren ließ.

  • Behebung von Sicherheitsproblemen

1.25.5-gke.1500

Kubernetes OSS-Versionshinweise

  • Bekanntes Problem:Einige UI-Oberflächen in der Google Cloud Console können nicht für den Cluster autorisiert werden und der Cluster wird möglicherweise als nicht erreichbar angezeigt. Eine Lösung besteht darin, die RBAC manuell anzuwenden und die Nutzeridentitätsdiebstahl-Funktion zuzulassen. Weitere Informationen finden Sie unter Fehlerbehebung.

  • Behebung von Sicherheitsproblemen

1.25.4-gke.1300

Kubernetes OSS-Versionshinweise

  • Bekanntes Problem:Einige UI-Oberflächen in der Google Cloud Console können nicht für den Cluster autorisiert werden und der Cluster wird möglicherweise als nicht erreichbar angezeigt. Eine Lösung besteht darin, die RBAC manuell anzuwenden und die Nutzeridentitätsdiebstahl-Funktion zuzulassen. Weitere Informationen finden Sie unter Fehlerbehebung.

  • Einstellung:Die veralteten integrierten Volume-Plug-ins flocker, quobyte und storageos wurden entfernt.

  • Funktion:Verbesserte Sicherheit durch Einschränkung statischer Pods, die auf den VMs der Kontrollebene des Clusters ausgeführt werden, auf die Ausführung als Linux-Nutzer ohne Root-Berechtigung.

  • Funktion:Unterstützung für die dynamische Aktualisierung von AWS-Knotenpool-Sicherheitsgruppen wurde hinzugefügt. Um Sicherheitsgruppen zu aktualisieren, benötigen Sie die folgenden Berechtigungen in Ihrer API-Rolle:

    • ec2:ModifyInstanceAttribute
    • ec2:DescribeInstances

  • Funktion:Unterstützung für die dynamische Aktualisierung von AWS-Knotenpool-Tags wurde hinzugefügt. Zum Aktualisieren von Knotenpool-Tags benötigen Sie die folgenden Berechtigungen in Ihrer API-Rolle:

    • autoscaling:CreateOrUpdateTags
    • autoscaling:DeleteTags
    • ec2:CreateTags
    • ec2:DeleteTags
    • ec2:DescribeLaunchTemplates

  • Funktion:Die dynamische Bereitstellung von EFS ist jetzt in der GA-Version für Cluster mit Version 1.25 oder höher verfügbar. Wenn Sie diese Funktion verwenden möchten, müssen Sie der Rolle der Steuerungsebene die folgenden Berechtigungen hinzufügen:

    • ec2:DescribeAvailabilityZones
    • elasticfilesystem:DescribeAccessPoints
    • elasticfilesystem:DescribeFileSystems
    • elasticfilesystem:DescribeMountTargets
    • elasticfilesystem:CreateAccessPoint
    • elasticfilesystem:DeleteAccessPoint

  • Funktion:Das Hochladen von Arbeitslastmesswerten mit Google Managed Service for Prometheus und verwalteter Erfassung in Cloud Monarch ist jetzt allgemein verfügbar.

  • Funktion:Es wurde eine Unterstützung hinzugefügt, um die CloudWatch-Messwerterfassung in der automatischen Skalierungsgruppe des AWS-Knotenpools zu aktivieren und zu aktualisieren. Wenn Sie die Erfassung von Messwerten über die API „Erstellen“ oder „Aktualisieren“ aktivieren oder aktualisieren möchten, müssen Sie Ihrer API-Rolle die folgenden Berechtigungen hinzufügen:

    • autoscaling:EnableMetricsCollection
    • autoscaling:DisableMetricsCollection

  • Funktion:Azure AD ist allgemein verfügbar. Mit dieser Funktion können Clusteradministratoren RBAC-Richtlinien basierend auf Azure AD-Gruppen für die Autorisierung in Clustern konfigurieren. So können Gruppeninformationen für Nutzer abgerufen werden, die zu mehr als 200 Gruppen gehören. Damit wird eine Einschränkung von regulärem OIDC überwunden, das mit Azure AD als Identitätsanbieter konfiguriert ist.

  • Funktion:Es wurde ein neuer Token-Manager (gke-token-manager) hinzugefügt, um mit dem Signaturschlüssel des Dienstkontos Tokens für Kontrollebenenkomponenten zu generieren. Vorteile:

    1. Beseitigung der Abhängigkeit von kube-apiserver für die Authentifizierung von Steuerungsebenenkomponenten bei Google-Diensten Bisher verwendeten die Komponenten der Steuerungsebene die TokenRequest API und waren auf einen fehlerfreien kube-apiserver angewiesen. Jetzt werden die Tokens von der Komponente „gke-token-manager“ direkt mit dem Signaturschlüssel des Dienstkontos erstellt.
    2. RBAC für das Generieren von Tokens für Komponenten der Steuerungsebene entfernen
    3. Trennen Sie die Logging-Funktion von kube-apiserver. So können die Protokolle aufgenommen werden, bevor der kube-apiserver verfügbar ist.
    4. Die Steuerungsebene wird resilienter. Wenn der kube-apiserver ausfällt, können die Komponenten der Steuerungsebene die Tokens weiterhin abrufen und weiterarbeiten.

  • Funktion:Als Vorabversion können Sie eine Vielzahl von Messwerten aus den Komponenten der Steuerungsebene in Cloud Monitoring aufnehmen, darunter kube-apiserver, etcd, kube-scheduler und kube-controller-manager.

  • Funktion:Nutzer in einer Google-Gruppe können über Connect Gateway auf AWS-Cluster zugreifen, indem sie der Gruppe die erforderlichen RBAC-Berechtigungen erteilen. Weitere Informationen finden Sie unter Connect-Gateway mit Google Groups einrichten.

  • Fehlerbehebung:Ein Problem wurde behoben, durch das veraltete Versionen von gke-connect-agent nach Clusterupgrades möglicherweise nicht entfernt wurden.

  • Behebung von Sicherheitsproblemen

Kubernetes 1.24

1.24.14-gke.2700

Kubernetes OSS-Versionshinweise

1.24.14-gke.1400

Kubernetes OSS-Versionshinweise

  • Diverse Fehlerkorrekturen
    • Konfiguriert den Cluster-Autoscaler mithilfe von „–balance-similar-node-groups“, um die Anzahl der Knoten über die Verfügbarkeitszonen hinweg auszugleichen.

1.24.13-gke.500

Kubernetes OSS-Versionshinweise

  • Fehlerkorrekturen

    • Ein Problem wurde behoben, bei dem der Logging-Agent immer mehr Arbeitsspeicher benötigte.

  • Behebung von Sicherheitsproblemen

1.24.11-gke.1000

Kubernetes OSS-Versionshinweise

  • Fehlerkorrekturen:Für neu erstellte Cluster wird jetzt etcd v3.4.21 verwendet, um die Stabilität zu verbessern. Vorhandene Cluster früherer Versionen verwendeten bereits etcd 3.5.x und werden beim Clusterupgrade nicht auf Version 3.4.21 zurückgestuft. Stattdessen wird in diesen Clustern Version 3.5.6 verwendet.

1.24.10-gke.1200

Kubernetes OSS-Versionshinweise

  • Fehlerbehebung:Ein Problem wurde behoben, das dazu führen konnte, dass Clusterupgrades fehlschlugen, wenn bestimmte Arten von Webhooks zur Zulassungsbestätigung registriert waren.
  • Fehlerkorrektur:Die Cilium-Sicherheits-ID-Weitergabe wurde korrigiert, damit IDs im Tunnel-Header korrekt übergeben werden, wenn Anfragen an Dienste vom Typ „NodePort“ und „LoadBalancer“ weitergeleitet werden.
  • Behebung von Sicherheitsproblemen

1.24.9-gke.2000

Kubernetes OSS-Versionshinweise

  • Funktion:Der Anthos Identity Service wurde aktualisiert, um gleichzeitige Authentifizierungs-Webhook-Anfragen besser zu verarbeiten.

  • Fehlerbehebung:Ein Problem wurde behoben, bei dem bestimmte Fehler bei Clustererstellungs-/‑aktualisierungsvorgängen nicht weitergegeben und gemeldet wurden.

  • Behebung von Sicherheitsproblemen

1.24.9-gke.1500

Kubernetes OSS-Versionshinweise

1.24.8-gke.1300

Kubernetes OSS-Versionshinweise

1.24.5-gke.200

Kubernetes OSS-Versionshinweise

1.24.3-gke.2200

Kubernetes OSS-Versionshinweise

  • Fehlerkorrektur: Ein Fehler wurde behoben, bei dem beim Erstellen einer Kubernetes-Dienstressource vom Typ „LoadBalancer“ und der Anmerkung „service.beta.kubernetes.io/aws-load-balancer-type: nlb“ eine leere Zielgruppe zurückgegeben wurde. Siehe https://github.com/kubernetes/cloud-provider-aws/issues/301

1.24.3-gke.2100

Kubernetes OSS-Versionshinweise

  • Funktion:Kubernetes-Ressourcenmesswerte in Google Cloud Monitoring für Windows-Knotenpools hochladen
  • Funktion:Es wurde ein Webhook für die einfache IMDS-Emulator-Injection bereitgestellt.
  • Funktion:In Go 1.18 werden standardmäßig keine Zertifikate mehr akzeptiert, die mit dem SHA-1-Hashalgorithmus signiert sind. Zulassungs-/Conversion-Webhooks oder aggregierte Serverendpunkte, die diese unsicheren Zertifikate verwenden, funktionieren in Version 1.24 standardmäßig nicht mehr. Die Umgebungsvariable GODEBUG=x509sha1=1 wird in Anthos-Clustern in AWS als vorübergehende Problemumgehung festgelegt, damit diese unsicheren Zertifikate weiterhin funktionieren. Das Go-Team wird diese Problemumgehung jedoch in den nächsten Releases voraussichtlich nicht mehr unterstützen. Kunden sollten prüfen, ob es keine Zulassungs-/Conversion-Webhooks oder aggregierten Serverendpunkte gibt, die solche unsicheren Zertifikate verwenden, bevor sie auf die bevorstehende Version mit BREAKING-Änderungen umstellen.
  • Funktion:GKE on AWS unterstützt jetzt die dynamische Bereitstellung von EFS im Vorabversionsmodus für Kubernetes-Cluster ab Version 1.24. Wenn Sie diese Funktion verwenden möchten, müssen Sie der Rolle für die Steuerungsebene die folgenden Berechtigungen hinzufügen: ec2:DescribeAvailabilityZones elasticfilesystem:DescribeAccessPoints elasticfilesystem:DescribeFileSystems elasticfilesystem:DescribeMountTargets elasticfilesystem:CreateAccessPoint elasticfilesystem:DeleteAccessPoint

  • Funktion:Die Prüfung der Netzwerkverbindung beim Erstellen von Clustern und Knotenpools wurde verbessert, um die Fehlerbehebung zu erleichtern.

  • Funktion:Unterstützung von Aktualisierungen von AWS-Steuerungsebenen-Tags. Wenn Sie Tags aktualisieren möchten, müssen Sie der API-Rolle die folgenden Berechtigungen hinzufügen: autoscaling:CreateOrUpdateTags autoscaling:DeleteTags ec2:CreateTags ec2:DescribeLaunchTemplates ec2:DescribeSecurityGroupRules ec2:DeleteTags elasticloadbalancing:AddTags elasticloadbalancing:RemoveTags

  • Funktion:Das Hochladen von Arbeitslastmesswerten mit Google Managed Service for Prometheus in Cloud Monarch ist als private Vorabversion nur auf Einladung verfügbar.

  • Behebung von Sicherheitsproblemen

Kubernetes 1.23

1.23.16-gke.2800

Kubernetes OSS-Versionshinweise

1.23.16-gke.200

Kubernetes OSS-Versionshinweise

  • Fehlerbehebung:Ein Problem wurde behoben, bei dem bestimmte Fehler bei Clustererstellungs-/‑aktualisierungsvorgängen nicht weitergegeben und gemeldet wurden.

  • Fehlerkorrektur:Probleme mit cpp-httplib wurden behoben, bei denen der kubeapi-Server AIS nicht erreichen konnte.

  • Behebung von Sicherheitsproblemen

1.23.14-gke.1800

Kubernetes OSS-Versionshinweise

1.23.14-gke.1100

Kubernetes OSS-Versionshinweise

1.23.11-gke.300

Kubernetes OSS-Versionshinweise

1.23.9-gke.2200

Kubernetes OSS-Versionshinweise

  • Fehlerkorrektur: Ein Fehler wurde behoben, bei dem beim Erstellen einer Kubernetes-Dienstressource vom Typ „LoadBalancer“ und der Anmerkung „service.beta.kubernetes.io/aws-load-balancer-type: nlb“ eine leere Zielgruppe zurückgegeben wurde. Siehe https://github.com/kubernetes/cloud-provider-aws/issues/301

1.23.9-gke.2100

Kubernetes OSS-Versionshinweise

1.23.9-gke.800

Kubernetes OSS-Versionshinweise

1.23.8-gke.1700

Kubernetes OSS-Versionshinweise

1.23.7-gke.1300

Kubernetes OSS-Versionshinweise

  • Funktion:Der Endpunkt für die Profilerstellung (/debug/pprof) wird standardmäßig im kube-scheduler und kube-controller-manager deaktiviert.

  • Funktion:Aktualisieren Sie kube-apiserver und kubelet so, dass nur starke kryptografische Chiffren verwendet werden. Unterstützte, von Kubelet verwendete Chiffren:

    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_GCM_SHA256

    Unterstützte, vom kube api-server verwendete Chiffren:

    TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256, TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384

  • Funktion:Einen Metadatenserver-Emulator für Instanzen (IMDS-Emulator) hinzufügen.

  • Behebung von Sicherheitsproblemen

Kubernetes 1.22

1.22.15-gke.100

Kubernetes OSS-Versionshinweise

1.22.12-gke.2300

Kubernetes OSS-Versionshinweise

1.22.12-gke.1100

Kubernetes OSS-Versionshinweise

1.22.12-gke.200

Kubernetes OSS-Versionshinweise

1.22.10-gke.1500

Kubernetes OSS-Versionshinweise

1.22.8-gke.2100

Kubernetes OSS-Versionshinweise

  • Funktion:Windows-Knoten verwenden jetzt pigz, um die Extraktion von Images zu verbessern.

1.22.8-gke.1300

  • Diverse Fehlerkorrekturen
    • Das Problem, dass Add-ons nicht angewendet werden können, wenn Windows-Knotenpools aktiviert sind, wurde behoben.
    • Das Problem, dass der Logging-Agent angehängten Speicherplatz belegen konnte, wurde behoben.
  • Behebung von Sicherheitsproblemen
    • Korrigiert CVE-2022-1055.
    • Korrigiert CVE-2022-0886.
    • Korrigiert CVE-2022-0492.
    • Korrigiert CVE-2022-24769.
    • Dieser Release enthält die folgenden Änderungen an der rollenbasierten Zugriffssteuerung (Role-based Access Control, RBAC):
    • anet-operator-Berechtigungen wurden für die Lease-Aktualisierung herabgestuft.
    • Die anetd-Daemon-Set-Berechtigungen für Knoten und Pods wurden herabgestuft.
    • fluentbit-gke-Berechtigungen für Dienstkontotokens wurden herabgestuft.
    • gke-metrics-agent für Dienstkonto-Tokens herabgestuft.
    • coredns-autoscaler-Berechtigungen für Knoten, ConfigMaps und Deployments wurden herabgestuft.

1.22.8-gke.200

Kubernetes OSS-Versionshinweise

  • Funktion:Der Standardinstanztyp für Cluster und Knotenpools, die unter Kubernetes v1.22 erstellt wurden, ist jetzt m5.large anstelle von t3.medium.
  • Funktion:Wenn Sie einen neuen Cluster mit Kubernetes Version 1.22 erstellen, können Sie jetzt benutzerdefinierte Logging-Parameter konfigurieren.
  • Funktion:Im Rahmen einer Funktion in der Vorabversion können Sie jetzt beim Erstellen von Knotenpools mit Kubernetes Version 1.22 Windows als Knotenpool-Image-Typ auswählen.
  • Funktion:Als Funktion in der Vorabversion können Sie Hostcomputer jetzt als dedizierte Hosts konfigurieren.
  • Funktion:Sie können sich jetzt die häufigsten asynchronen Cluster- und Knotenpool-Boot-Fehler im Feld für Fehler bei Vorgängen mit langer Ausführungszeit ansehen. Weitere Informationen finden Sie in der gcloud container aws operations list-Referenzdokumentation.
  • Behebung von Sicherheitsproblemen

Kubernetes 1.21

1.21.14-gke.2900

Kubernetes OSS-Versionshinweise

1.21.14-gke.2100

Kubernetes OSS-Versionshinweise

1.21.11-gke.1900

Kubernetes OSS-Versionshinweise

1.21.11-gke.1800

Kubernetes OSS-Versionshinweise

1.21.11-gke.1100

  • Behebung von Sicherheitsproblemen
    • Korrigiert CVE-2022-1055.
    • Korrigiert CVE-2022-0886.
    • Korrigiert CVE-2022-0492.
    • Korrigiert CVE-2022-24769.
    • RBAC-Fehlerkorrekturen:
    • anet-Operator-Berechtigungen für Lease-Update heruntergestuft.
    • Die anetd-Daemon-Set-Berechtigungen für Knoten und Pods wurden herabgestuft.
    • fluentbit-gke-Berechtigungen für Dienstkontotokens herabgestuft.
    • gke-metrics-agent für Dienstkonto-Tokens herabgestuft.
    • Coredns-Autoscaling-Berechtigungen für Knoten, ConfigMaps und Deployments herabgestuft.

1.21.11-gke.100

Kubernetes OSS-Versionshinweise

1.21.6-gke.1500

Kubernetes OSS-Versionshinweise

1.21.5-gke.2800

Kubernetes OSS-Versionshinweise