Archive des notes de version de Kubernetes

Cette page contient une archive historique des notes de version de Kubernetes pour les versions non compatibles. Pour afficher des notes de version plus récentes, consultez les notes de version de Kubernetes.

Kubernetes 1.28

1.28.14-gke.200

Notes de version de Kubernetes OSS

1.28.13-gke.600

Notes de version de Kubernetes OSS

1.28.12-gke.100

Notes de version de Kubernetes OSS

1.28.11-gke.600

Notes de version de Kubernetes OSS

1.28.10-gke.1300

Notes de version de Kubernetes OSS

1.28.10-gke.800

Notes de version de Kubernetes OSS

1.28.9-gke.400

Notes de version de Kubernetes OSS

1.28.8-gke.800

Notes de version de Kubernetes OSS

1.28.7-gke.1700

Notes de version de Kubernetes OSS

  • Correction de bug:correction d'un problème où l'émulateur du service de métadonnées d'instance (IMDS) ne parvenait parfois pas à s'associer à une adresse IP sur le nœud. L'émulateur IMDS permet aux nœuds d'accéder de manière sécurisée aux métadonnées des instances AWS EC2.

1.28.5-gke.1200

Notes de version de Kubernetes OSS

1.28.5-gke.100

Notes de version de Kubernetes OSS

1.28.3-gke.700

Notes de version de Kubernetes OSS

  • Modification destructive:à partir de Kubernetes 1.28, les clusters nécessitent une connectivité HTTPS sortante vers {GCP_LOCATION}-gkemulticloud.googleapis.com. Vérifiez que votre serveur proxy et/ou votre pare-feu autorisent ce trafic.

  • Modification destructive:à partir de Kubernetes 1.28, le rôle d'agent de service de l'API Multi-Cloud nécessite une nouvelle autorisation Iam:getinstanceprofile sur votre projet AWS. Cette autorisation est utilisée par le service Multi-Cloud pour inspecter les profils d'instance associés aux instances de machine virtuelle dans le cluster.

  • Fonctionnalité:ajout de la fonctionnalité de rollback pour les pools de nœuds AWS pour lesquels les opérations de mise à jour ont échoué. Cela permet aux clients de rétablir l'état d'origine des pools de nœuds.

  • Fonctionnalité:possibilité d'extraire des images à partir de Google Artifact Registry et de Google Container Registry privés sans clé de compte de service Google exportée. Les identifiants de récupération d'images sont gérés et alternés automatiquement par Google.

  • Caractéristique : il n'est plus nécessaire d'ajouter explicitement des liaisons IAM Google pour la plupart des fonctionnalités.

    1. Il n'est plus nécessaire d'ajouter des liaisons pour gke-system/gke-telemetry-agent lors de la création d'un cluster.
    2. Il n'est plus nécessaire d'ajouter des liaisons pour gmp-system/collector ou gmp-system/rule-evaluator lorsque vous activez la collecte de données gérée pour Google Managed Service pour Prometheus.
    3. Il n'est plus nécessaire d'ajouter des liaisons pour gke-system/binauthz-agent lors de l'activation de l'autorisation binaire.

  • Fonctionnalité:la mise à jour d'AWS Surge est désormais disponible en version stable. Les mises à jour de surutilisation vous permettent de configurer la vitesse et les perturbations occasionnées par les mises à jour de pool de nœuds. Pour savoir comment activer et configurer les paramètres Surge sur vos pools de nœuds AWS, consultez Configurer les mises à jour de surutilisation des pools de nœuds.

  • Fonctionnalité:mise à niveau du noyau d'Ubuntu 22.04 vers linux-aws 6.2.

  • Fonctionnalité:ajout de la prise en charge de la création de pools de nœuds à l'aide des instances AWS EC2 suivantes: G5, I4g, M7a, M7g, M7i, R7g, R7i et R7iz.

  • Correction de bug:amélioration de la création de modèles de lancement. Les tags fournis par les clients sont propagés aux instances.

    • Cette modification améliore principalement la compatibilité avec les règles de stratégie IAM. Il concerne spécifiquement les règles qui interdisent l'utilisation de modèles de lancement qui ne prennent pas en charge la propagation des tags, même lorsque le groupe Auto Scaling (ASG) associé propage les tags.
    • Il peut s'agir d'un changement majeur, en fonction des spécificités de la stratégie IAM du client concernant les vérifications des balises. Par conséquent, il est important de faire preuve de prudence pendant le processus de mise à niveau, car une mauvaise gestion peut laisser un cluster dans un état dégradé.
    • L'action ec2:CreateTags sur la ressource arn:aws:ec2:*:*:instance/* est requise pour le rôle d'agent de service de l'API Anthos Multi-cloud. Pour en savoir plus, consultez la page https://cloud.google.com/kubernetes-engine/multi-cloud/docs/aws/how-to/create-aws-iam-roles#create_service_agent_role.
    • Nous suggérons aux clients d'essayer de créer un cluster 1.28 jetable et de vérifier que les règles IAM fonctionnent correctement avant de tenter de passer à la version 1.28.

  • Correction de bug:la mise à niveau d'un cluster vers la version 1.28 permet de nettoyer les ressources obsolètes pouvant avoir été créées dans d'anciennes versions (jusqu'à 1.25), mais qui ne sont plus pertinentes. Les ressources suivantes dans l'espace de noms gke-system sont supprimées si elles existent:

    • Daemonsets fluentbit-gke-windows et gke-metrics-agent-windows
    • Configmaps fluentbit-gke-windows-config et gke-metrics-agent-windows-conf

  • Correction de bug:amélioration de l'ingestion des journaux de Cloud Logging à partir des clusters Anthos sur AWS:

    • Correction d'un problème d'analyse des codes temporels.
    • Attribution du niveau de gravité approprié aux journaux d'erreurs de anthos-metadata-agent.

  • Correctifs de sécurité

Kubernetes 1.27

1.27.14-gke.1600

Notes de version de Kubernetes OSS

1.27.14-gke.1200

Notes de version de Kubernetes OSS

1.27.14-gke.700

Notes de version de Kubernetes OSS

  • Correctifs de sécurité :

1.27.13-gke.500

Notes de version de Kubernetes OSS

1.27.12-gke.800

Notes de version de Kubernetes OSS

1.27.11-gke.1600

Notes de version de Kubernetes OSS

  • Correction de bug:correction d'un problème où l'émulateur du service de métadonnées d'instance (IMDS) ne parvenait parfois pas à s'associer à une adresse IP sur le nœud. L'émulateur IMDS permet aux nœuds d'accéder de manière sécurisée aux métadonnées des instances AWS EC2.

1.27.10-gke.500

Notes de version de Kubernetes OSS

1.27.9-gke.100

Notes de version de Kubernetes OSS

1.27.7-gke.600

Notes de version de Kubernetes OSS

  • Fonctionnalité:ajout de la possibilité de créer des pools de nœuds à l'aide de l'instance AWS EC2 "G5".

  • Correction de bug:amélioration de l'ingestion des journaux de Cloud Logging à partir des clusters Anthos sur AWS:

    • Correction d'un problème d'analyse des codes temporels.
    • Attribution du niveau de gravité approprié aux journaux d'erreurs de anthos-metadata-agent.

  • Correctifs de sécurité

1.27.6-gke.700

Notes de version de Kubernetes OSS

1.27.5-gke.200

Notes de version de Kubernetes OSS

  • Fonctionnalité:Ubuntu 22.04 utilise désormais la version du noyau linux-aws 6.2.

  • Correctifs de sécurité

1.27.4-gke.1600

Notes de version de Kubernetes OSSAbandon:désactivation du port 10255 de lecture seule du kubelet non authentifié. Une fois qu'un pool de nœuds est mis à niveau vers la version 1.27, les charges de travail qui y sont exécutées ne pourront plus se connecter au port 10255.

  • Fonctionnalité:la fonctionnalité de mise à jour AWS Surge est disponible en mode preview. Les mises à jour de surutilisation vous permettent de configurer la vitesse et les perturbations occasionnées par les mises à jour du pool de nœuds. Veuillez contacter l'équipe de gestion de votre compte pour activer la fonctionnalité bêta.
  • Fonctionnalité:mise à niveau du pilote CSI EBS vers la version 1.20.0.
  • Fonctionnalité:mise à niveau du pilote CSI EFS vers la version 1.5.7.

  • Fonctionnalité : mise à niveau de snapshot-controller et csi-snapshot-validation-webhook vers la version 6.2.2. Cette nouvelle version apporte une modification importante à l'API. Plus précisément, les API VolumeSnapshot, VolumeSnapshotContents et VolumeSnapshotClass v1beta1 ne sont plus disponibles.

  • Fonctionnalité : prise en charge d'un nouvel indicateur admin-groups dans les API de création et de mise à jour. Cet indicateur permet aux clients d'authentifier rapidement et facilement les groupes listés en tant qu"administrateurs de cluster, ce qui évite de devoir créer et appliquer manuellement des règles RBAC.

  • Fonctionnalité:ajout de la prise en charge de l'autorisation binaire, qui est un contrôle de sécurité intervenant au moment du déploiement qui garantit que seules des images de conteneur fiables sont déployées. Avec l'autorisation binaire, vous pouvez exiger que toutes les images soient signées par des autorités de confiance lors du processus de développement, puis appliquer la validation de signature lors du déploiement. Grâce à cette validation, vous pouvez exercer un contrôle plus strict sur votre environnement de conteneurs en vous assurant que seules les images validées sont intégrées au processus de compilation et de déploiement. Pour savoir comment activer l'autorisation binaire sur vos clusters, consultez la section Activer l'autorisation binaire.

  • Fonctionnalité : activation de la compression gzip pour fluent-bit (un processeur et un transmetteur de journaux), gke-metrics-agent (un collecteur de métriques) et audit-proxy (un proxy de journal d'audit). fluent-bit compresse les données de journal du plan de contrôle et des charges de travail avant de les envoyer à Cloud Logging, gke-metrics-agent compresse les données de métriques du plan de contrôle et des charges de travail avant de les envoyer à Cloud Monitoring, et audit-proxy compresse les données de journal d'audit avant de les envoyer au journal d'audit. Cela réduit la bande passante réseau et les coûts.

  • Fonctionnalité:la création de pools de nœuds AWS SPOT est désormais disponible en disponibilité générale.

  • Fonctionnalité : la réparation automatique de nœuds est désormais en disponibilité générale.

  • Fonctionnalité:amélioration de la sécurité grâce à l'ajout de vérifications de l'intégrité des fichiers et de la validation des empreintes digitales pour les artefacts binaires téléchargés depuis Cloud Storage.

  • Fonctionnalité:ajout d'une option ignore_errors à l'API de suppression pour gérer les cas où la suppression accidentelle de rôles IAM ou la suppression manuelle de ressources empêchent la suppression de clusters ou de pools de nœuds. En ajoutant ?ignore_errors=true à l'URL de la requête DELETE, les utilisateurs peuvent désormais supprimer de force des clusters ou des pools de nœuds. Toutefois, cette approche peut entraîner des ressources orphelines dans AWS ou Azure, ce qui nécessite un nettoyage manuel.

  • Fonctionnalité : prise en charge de la défragmentation périodique automatique de etcd et etcd-events sur le plan de contrôle. Cette fonctionnalité réduit l'espace de stockage inutile sur le disque et permet d'éviter que etcd et le plan de contrôle ne deviennent indisponibles en raison de problèmes de stockage sur le disque.

  • Fonctionnalité : Modification des noms des métriques de ressources Kubernetes pour qu'elles utilisent le préfixe de métrique kubernetes.io/anthos/ au lieu de kubernetes.io/. Pour en savoir plus, consultez la documentation de référence sur les métriques.

  • Fonctionnalité : Changement de la version par défaut d'etcd vers la version 3.4.21 sur les nouveaux clusters pour améliorer la stabilité. Les clusters existants mis à niveau vers cette version utiliseront etcd v3.5.6.

  • Fonctionnalité : amélioration de la gestion des ressources du nœud en réservant des ressources pour le kubelet. Bien que cette fonctionnalité soit essentielle pour éviter les erreurs de mémoire insuffisante (OOM) en vérifiant que les processus système et Kubernetes disposent des ressources nécessaires, elle peut perturber les charges de travail. La réservation de ressources pour le kubelet peut affecter les ressources disponibles pour les pods, ce qui peut affecter la capacité des nœuds plus petits à gérer les charges de travail existantes. Les clients doivent vérifier que les nœuds plus petits peuvent quand même gérer leurs charges de travail lorsque cette fonctionnalité est activée.

    • Les pourcentages de mémoire réservée sont les suivants :
    • 255 Mio pour les machines disposant de moins de 1 Go de mémoire
    • 25 % des 4 premiers Go de mémoire
    • 20 % des 4 Go suivants
    • 10 % des 8 Go suivants
    • 6 % des 112 Go suivants
    • 2 % de toute la mémoire au-delà de 128 Go
    • Les pourcentages d'utilisation du processeur réservé sont les suivants :
    • 6 % du premier cœur
    • 1 % du cœur suivant
    • 0,5 % des deux cœurs suivants
    • 0,25 % de tous les cœurs au-delà de 4 cœurs

  • Correction de bugs

    • L'autoscaler de cluster a été activé pour équilibrer les nœuds entre différentes zones de disponibilité. Pour ce faire, utilisez l'indicateur --balance-similar-node-groups.

  • Correctifs de sécurité

Kubernetes 1.26

1.26.14-gke.1500

Notes de version de Kubernetes OSS

  • Correction de bug:correction d'un problème où l'émulateur du service de métadonnées d'instance (IMDS) ne parvenait parfois pas à s'associer à une adresse IP sur le nœud. L'émulateur IMDS permet aux nœuds d'accéder de manière sécurisée aux métadonnées des instances AWS EC2.

1.26.13-gke.400

Notes de version de Kubernetes OSS

1.26.12-gke.100

Notes de version de Kubernetes OSS

1.26.10-gke.600

Notes de version de Kubernetes OSS

  • Fonctionnalité:ajout de la possibilité de créer des pools de nœuds à l'aide de l'instance AWS EC2 "G5".

  • Correction de bug:mise à niveau du pilote CSI (Container Storage Interface) aws-efs-csi-driver du système de fichiers Elastic (EFS) vers la version v1.3.8-gke.21.

  • Correction de bug:amélioration de l'ingestion des journaux de Cloud Logging à partir des clusters Anthos sur AWS:

    • Correction d'un problème d'analyse des codes temporels.
    • Attribution du niveau de gravité approprié aux journaux d'erreurs de anthos-metadata-agent.

  • Correctifs de sécurité

1.26.9-gke.700

Notes de version de Kubernetes OSS

1.26.8-gke.200

Notes de version de Kubernetes OSS

  • Fonctionnalité:Ubuntu 22.04 utilise désormais la version du noyau linux-aws 6.2.

  • Correctifs de sécurité

1.26.7-gke.500

Notes de version de Kubernetes OSS

1.26.5-gke.1400

Notes de version de Kubernetes OSS

1.26.5-gke.1200

Notes de version de Kubernetes OSS

  • Corrections de bugs
    • Configure l'autoscaler de cluster pour équilibrer le nombre de nœuds entre les zones de disponibilité à l'aide de --balance-similar-node-groups.

1.26.4-gke.2200

Notes de version de Kubernetes OSSFonctionnalité:Ubuntu 22.04 utilise le noyau linux-aws 5.19.

  • Correction de bugs

    • Correction d'un problème dans lequel Kubernetes appliquait de manière incorrecte la StorageClass par défaut aux PersistentVolumeClaims qui comportent l'annotation obsolète volume.beta.kubernetes.io/storage-class.
    • Correction d'un problème qui entraînait une consommation de mémoire de plus en plus importante de la part de l'agent de journalisation.

  • Correctifs de sécurité

    • Correction d'un problème affectant le suivi des connexions netfilter (conntrack), qui est chargé de surveiller les connexions réseau. Cette correction garantit l'insertion correcte des nouvelles connexions dans la table conntrack et surmonte les limites causées par les modifications apportées aux versions 5.15 et ultérieures du noyau Linux.

1.26.2-gke.1001

Notes de version de Kubernetes OSS

  • Problème connu:Kubernetes 1.26.2 applique de manière incorrecte la StorageClass par défaut aux PersistentVolumeClaims qui comportent l'annotation obsolète volume.beta.kubernetes.io/storage-class.

  • Fonctionnalité:mise à jour de l'image de l'OS vers Ubuntu 22.04. cgroupv2 est désormais utilisé comme configuration par défaut du groupe de contrôle.

    • Ubuntu 22.04 utilise cgroupv2 par défaut. Nous vous recommandons de vérifier si l'une de vos applications accède au système de fichiers cgroup. Le cas échéant, elles doivent être mises à jour pour utiliser cgroupv2. Voici quelques exemples d'applications qui peuvent nécessiter des mises à jour pour assurer leur compatibilité avec cgroupv2:
    • Agents de surveillance et de sécurité tiers qui dépendent du système de fichiers cgroup.
    • Si cAdvisor est utilisé en tant que DaemonSet autonome pour surveiller les pods et les conteneurs, vous devez le mettre à niveau vers la version 0.43.0 ou ultérieure.
    • Si vous utilisez le JDK, nous vous recommandons d'utiliser la version 11.0.16 ou ultérieure, ou la version 15 ou ultérieure. Ces versions sont entièrement compatibles avec cgroupv2.
    • Si vous utilisez le package uber-go/automaxprocs, assurez-vous d'utiliser la version 1.5.1 ou ultérieure.
    • Ubuntu 22.04 supprime le package timesyncd. chrony est désormais utilisé pour le service de synchronisation temporelle Amazon.
    • Pour en savoir plus, consultez les notes de version d'Ubuntu.

  • Fonctionnalité:envoie des métriques pour les composants du plan de contrôle à Cloud Monitoring. Cela inclut un sous-ensemble des métriques Prometheus de kube-apiserver, etcd, kube-scheduler et kube-controller-manager. Les noms des métriques utilisent le préfixe kubernetes.io/anthos/.

  • Caractéristique : activation de l'envoi des métadonnées de ressources Kubernetes à Google Cloud Platform, ce qui améliore à la fois l'interface utilisateur et les métriques des clusters. Pour que les métadonnées soient ingérées correctement, les clients doivent activer l'API Config Monitoring for Ops. Cette API peut être activée dans Google Cloud console, ou en activant manuellement l'API opsconfigmonitoring.googleapis.com dans la gcloud CLI. De plus, les clients doivent suivre les étapes décrites dans la documentation Autoriser Cloud Logging/Monitoring pour ajouter les liaisons IAM nécessaires. Le cas échéant, ajoutez opsconfigmonitoring.googleapis.com à votre liste d'autorisation de proxy.

  • Fonctionnalité:ajout d'une fonctionnalité en version preview pour créer un pool de nœuds AWS Spot.

  • Fonctionnalité:la création de pools de nœuds à l'aide de types d'instances basés sur ARM (Graviton) est désormais disponible en disponibilité générale.

  • Fonctionnalité:Activation de l'arrêt élégant du nœud kubelet. Les pods non système disposent de 15 secondes pour s'arrêter, après quoi les pods système (avec les classes de priorité system-cluster-critical ou system-node-critical) disposent de 15 secondes pour s'arrêter normalement.

  • Fonctionnalité:activation de la fonctionnalité de réparation automatique des nœuds en mode Preview. Veuillez contacter l'équipe de gestion de votre compte pour activer la fonctionnalité bêta.

  • Fonctionnalité:ajout de tags à la ressource de point d'accès EFS créée dynamiquement.

  • Fonctionnalité:les clusters disposent désormais de règles de groupe de sécurité de sous-réseau par pool de nœuds au lieu de règles s'appliquant à l'ensemble du VPC

    • Auparavant, le plan de contrôle autorisait le trafic entrant de l'ensemble de la plage d'adresses IP principale du VPC sur les ports TCP/443 et TCP/8123, qui sont utilisés par les pools de nœuds.
    • Désormais, le plan de contrôle restreint le trafic entrant autorisé à chaque plage d'adresses IP des sous-réseaux du pool de nœuds sur les ports TCP/443 et TCP/8123. Plusieurs pools de nœuds peuvent partager un sous-réseau.
    • Cette modification prend en charge les pools de nœuds exécutés en dehors de la plage d'adresses IP principale du VPC et améliore la sécurité du plan de contrôle.
    • Si vous vous appuyiez sur la règle de groupe de sécurité à l'échelle du VPC pour autoriser le trafic en dehors du cluster (par exemple, à partir d'un hôte bastion pour kubectl), vous devez créer un groupe de sécurité, y ajouter une règle à l'échelle du VPC et associer le groupe de sécurité au plan de contrôle (via le champ AwsCluster.controlPlane.securityGroupIds).

  • Corrections de bugs:les clusters nouvellement créés utilisent désormais etcd v3.4.21 pour améliorer la stabilité. Les clusters existants des versions précédentes utilisaient déjà etcd v3.5.x et ne seront pas rétrogradés vers la version 3.4.21 lors de la mise à niveau du cluster. Ils utiliseront plutôt la version 3.5.6.

  • Correction de sécurité:définissez la limite de saut de la réponse de l'émulateur IMDS sur 1. Cela sécurise la communication des données IMDS entre l'émulateur et une charge de travail.

Kubernetes 1.25

1.25.14-gke.700

Notes de version de Kubernetes OSS

1.25.13-gke.200

Notes de version de Kubernetes OSS

1.25.12-gke.500

Notes de version de Kubernetes OSS * Fonctionnalité:extension de la liste des métriques collectées à partir des pools de nœuds pour inclure gke-metrics-agent, cilium-agent, cilium-operator, coredns, fluentbit-gke, kubelet et konnectivity-agent.

1.25.10-gke.1400

Notes de version de Kubernetes OSS

1.25.10-gke.1200

Notes de version de Kubernetes OSS

  • Corrections de bugs
    • Configure l'autoscaler de cluster pour équilibrer le nombre de nœuds entre les zones de disponibilité à l'aide de --balance-similar-node-groups.
  • Correctifs de sécurité
    • Migration de l'agent de métriques du pool de nœuds et du serveur de métriques vers le port kubelet authentifié.

1.25.8-gke.500

Notes de version de Kubernetes OSS

  • Correction de bugs

    • Correction d'un problème qui entraînait une consommation de mémoire de plus en plus importante de la part de l'agent de journalisation.

  • Correctifs de sécurité

1.25.7-gke.1000

Notes de version de Kubernetes OSS

  • Fonctionnalité:ajout de tags à la ressource de point d'accès EFS créée dynamiquement.

  • Corrections de bugs:les clusters nouvellement créés utilisent désormais etcd v3.4.21 pour améliorer la stabilité. Les clusters existants des versions précédentes utilisaient déjà etcd v3.5.x et ne seront pas rétrogradés vers la version 3.4.21 lors de la mise à niveau du cluster. Ils utiliseront plutôt la version 3.5.6.

1.25.6-gke.1600

Notes de version de Kubernetes OSS

1.25.5-gke.2000

Notes de version de l'OSS Kubernetes * Fonctionnalité:mise à jour d'Anthos Identity Service pour mieux gérer les requêtes de webhook d'authentification simultanées.

  • Correction d'un bug:correction d'un problème qui empêchait la propagation et le signalement de certaines erreurs lors des opérations de création/mise à jour de clusters.
  • Correction de bug:correction d'un problème lié au pilote CSI AWS EFS, qui empêchait la résolution des noms d'hôte EFS lorsque le VPC AWS est configuré pour utiliser un serveur DNS personnalisé.

  • Correction d'un bug:correction d'un problème d'échec de l'authentification via le tableau de bord d'Anthos Service Mesh en raison de l'impossibilité d'usurper l'identité de l'utilisateur final.

  • Correctifs de sécurité

1.25.5-gke.1500

Notes de version de Kubernetes OSS

  • Problème connu:certaines surfaces d'interface utilisateur de la console Google Cloud ne peuvent pas autoriser l'accès au cluster et peuvent afficher le cluster comme inaccessible. Une solution consiste à appliquer manuellement le RBAC autorisant l'impersonnation d'utilisateur. Pour en savoir plus, consultez la section Dépannage.

  • Correctifs de sécurité

1.25.4-gke.1300

Notes de version de Kubernetes OSS

  • Problème connu:certaines surfaces d'interface utilisateur de la console Google Cloud ne peuvent pas autoriser l'accès au cluster et peuvent afficher le cluster comme inaccessible. Une solution consiste à appliquer manuellement le RBAC autorisant l'impersonnation d'utilisateur. Pour en savoir plus, consultez la section Dépannage.

  • Obsolescence:suppression des plug-ins de volume "in-tree" obsolètes flocker, quobyte et storageos.

  • Fonctionnalité:sécurité renforcée en limitant les pods statiques exécutés sur les VM du plan de contrôle du cluster à s'exécuter en tant qu'utilisateurs Linux non racine.

  • Fonctionnalité:ajout de la possibilité de mettre à jour dynamiquement les groupes de sécurité des pools de nœuds AWS. Pour mettre à jour des groupes de sécurité, vous devez disposer des autorisations suivantes dans votre rôle API :

    • ec2:ModifyInstanceAttribute
    • ec2:DescribeInstances

  • Fonctionnalité:ajout de la possibilité de mettre à jour dynamiquement les tags de pool de nœuds AWS. Pour mettre à jour les tags de pool de nœuds, vous devez disposer des autorisations suivantes dans votre rôle API :

    • autoscaling:CreateOrUpdateTags
    • autoscaling:DeleteTags
    • ec2:CreateTags
    • ec2:DeleteTags
    • ec2:DescribeLaunchTemplates

  • Fonctionnalité:le provisionnement dynamique EFS est désormais disponible en disponibilité générale pour les clusters exécutant la version 1.25 ou ultérieure. Pour utiliser cette fonctionnalité, vous devez ajouter les autorisations suivantes au rôle du plan de contrôle:

    • ec2:DescribeAvailabilityZones
    • elasticfilesystem:DescribeAccessPoints
    • elasticfilesystem:DescribeFileSystems
    • elasticfilesystem:DescribeMountTargets
    • elasticfilesystem:CreateAccessPoint
    • elasticfilesystem:DeleteAccessPoint

  • Fonctionnalité:l'importation de métriques de charge de travail à l'aide de Google Managed Service pour Prometheus avec collecte gérée vers Cloud Monarch est désormais disponible en version GA.

  • Fonctionnalité:prise en charge de l'activation et de la mise à jour de la collecte des métriques CloudWatch sur le groupe d'autoscaling du pool de nœuds AWS. Pour activer ou mettre à jour la collecte de métriques via une API de création ou de mise à jour, vous devez ajouter les autorisations suivantes à votre rôle d'API:

    • autoscaling:EnableMetricsCollection
    • autoscaling:DisableMetricsCollection

  • Fonctionnalité:disponibilité générale d'Azure AD. Cette fonctionnalité permet aux administrateurs de cluster de configurer des stratégies RBAC basées sur des groupes Azure AD pour l'autorisation dans les clusters. Cela permet de récupérer des informations sur les groupes pour les utilisateurs appartenant à plus de 200 groupes, ce qui permet de surmonter une limitation de l'OIDC standard configuré avec Azure AD comme fournisseur d'identité.

  • Fonctionnalité:ajout d'un nouveau gestionnaire de jetons (gke-token-manager) pour générer des jetons pour les composants du plan de contrôle à l'aide de la clé de signature du compte de service. Avantages :

    1. Éliminez la dépendance à l'égard de kube-apiserver pour que les composants du plan de contrôle puissent s'authentifier auprès des services Google. Auparavant, les composants du plan de contrôle utilisaient l'API TokenRequest et dépendaient d'un kube-apiserver opérationnel. Alors qu'aujourd'hui, le composant gke-token-manager crée les jetons directement à l'aide de la clé de signature du compte de service.
    2. Éliminez le RBAC pour générer un jeton pour les composants du plan de contrôle.
    3. Dissociez la journalisation et kube-apiserver. Pour que la journalisation puisse être ingérée avant que kube-apiserver ne soit opérationnel.
    4. Renforcer la résilience du plan de contrôle Lorsque kube-apiserver est hors service, les composants du plan de contrôle peuvent toujours obtenir les jetons et continuer à fonctionner.

  • Fonctionnalité:en tant que fonctionnalité en version Preview, insérez diverses métriques des composants du plan de contrôle dans Cloud Monitoring, y compris kube-apiserver, etcd, kube-scheduler et kube-controller-manager.

  • Fonctionnalité:les utilisateurs d'un groupe Google peuvent accéder aux clusters AWS à l'aide de Connect Gateway en accordant au groupe l'autorisation RBAC nécessaire. Pour en savoir plus, consultez la section Configurer la passerelle Connect avec Google Groupes.

  • Correction de bug:correction d'un problème qui pouvait entraîner la non-suppression de versions obsolètes de gke-connect-agent après la mise à niveau du cluster.

  • Correctifs de sécurité

Kubernetes 1.24

1.24.14-gke.2700

Notes de version de Kubernetes OSS

1.24.14-gke.1400

Notes de version de Kubernetes OSS

  • Corrections de bugs
    • Configure l'autoscaler de cluster pour équilibrer le nombre de nœuds entre les zones de disponibilité à l'aide de --balance-similar-node-groups.

1.24.13-gke.500

Notes de version de Kubernetes OSS

  • Correction de bugs

    • Correction d'un problème qui entraînait une consommation de mémoire de plus en plus importante de la part de l'agent de journalisation.

  • Correctifs de sécurité

1.24.11-gke.1000

Notes de version de Kubernetes OSS

  • Corrections de bugs:les clusters nouvellement créés utilisent désormais etcd v3.4.21 pour améliorer la stabilité. Les clusters existants des versions précédentes utilisaient déjà etcd v3.5.x et ne seront pas rétrogradés vers la version 3.4.21 lors de la mise à niveau du cluster. Ils utiliseront plutôt la version 3.5.6.

1.24.10-gke.1200

Notes de version de Kubernetes OSS

  • Correction de bug:correction d'un problème qui pouvait entraîner l'échec des mises à niveau de cluster si certains types de webhooks d'admission validant sont enregistrés.
  • Correction d'un bug:correction de la propagation de l'ID de sécurité Cilium afin que les ID soient correctement transmis dans l'en-tête du tunnel lorsque les requêtes sont transférées vers des services de type NodePort et LoadBalancer.
  • Correctifs de sécurité

1.24.9-gke.2000

Notes de version de Kubernetes OSS

  • Fonctionnalité:mise à jour d'Anthos Identity Service pour mieux gérer les requêtes de webhook d'authentification simultanées.

  • Correction d'un bug:correction d'un problème qui empêchait la propagation et le signalement de certaines erreurs lors des opérations de création/mise à jour de clusters.

  • Correctifs de sécurité

1.24.9-gke.1500

Notes de version de Kubernetes OSS

1.24.8-gke.1300

Notes de version de Kubernetes OSS

1.24.5-gke.200

Notes de version de Kubernetes OSS

1.24.3-gke.2200

Notes de version de Kubernetes OSS

  • Correction de bug:correction d'un bug qui entraînait la création d'un groupe cible vide lors de la création d'une ressource de service Kubernetes de type LoadBalancer et d'annotation service.beta.kubernetes.io/aws-load-balancer-type: nlb. Voir https://github.com/kubernetes/cloud-provider-aws/issues/301

1.24.3-gke.2100

Notes de version de Kubernetes OSS

  • Fonctionnalité:importez des métriques de ressources Kubernetes dans Google Cloud Monitoring pour les pools de nœuds Windows.
  • Fonctionnalité:Fournit un webhook pour faciliter l'injection de l'émulateur IMDS.
  • Fonctionnalité:go1.18 cesse d'accepter les certificats signés avec l'algorithme de hachage SHA-1 par défaut. Les webhooks d'admission/conversion ou les points de terminaison de serveur agrégés qui utilisent ces certificats non sécurisés ne fonctionneront plus par défaut dans la version 1.24. La variable d'environnement GODEBUG=x509sha1=1 est définie dans les clusters Anthos sur AWS comme solution temporaire pour permettre à ces certificats non sécurisés de continuer à fonctionner. Toutefois, l'équipe Go devrait supprimer la prise en charge de cette solution de contournement dans les prochaines versions. Les clients doivent vérifier qu'aucun webhook d'admission/conversion ou point de terminaison de serveur agrégé n'utilise ce type de certificat non sécurisé avant de passer à la prochaine version de rupture.
  • Fonctionnalité:GKE sur AWS est désormais compatible avec le provisionnement dynamique EFS en mode preview pour les clusters Kubernetes version 1.24 ou ultérieure. Pour utiliser cette fonctionnalité, vous devez ajouter les autorisations suivantes au rôle du plan de contrôle :ec2:DescribeAvailabilityZones elasticfilesystem:DescribeAccessPoints elasticfilesystem:DescribeFileSystems elasticfilesystem:DescribeMountTargets elasticfilesystem:CreateAccessPoint elasticfilesystem:DeleteAccessPoint

  • Fonctionnalité:amélioration des vérifications de la connectivité réseau lors de la création de clusters et de pools de nœuds pour faciliter le dépannage.

  • Fonctionnalité:prise en charge des mises à jour des tags du plan de contrôle AWS. Pour mettre à jour les balises, vous devez ajouter les autorisations suivantes au rôle de l'API : autoscaling:CreateOrUpdateTags autoscaling:DeleteTags ec2:CreateTags ec2:DescribeLaunchTemplates ec2:DescribeSecurityGroupRules ec2:DeleteTags elasticloadbalancing:AddTags elasticloadbalancing:RemoveTags

  • Fonctionnalité:l'importation de métriques de charge de travail à l'aide de Google Managed Service pour Prometheus vers Cloud Monarch est disponible en tant qu'aperçu privé sur invitation uniquement.

  • Correctifs de sécurité

Kubernetes 1.23

1.23.16-gke.2800

Notes de version de Kubernetes OSS

1.23.16-gke.200

Notes de version de Kubernetes OSS

  • Correction d'un bug:correction d'un problème qui empêchait la propagation et le signalement de certaines erreurs lors des opérations de création/mise à jour de clusters.

  • Correction de bug:correction des problèmes cpp-httplib avec le serveur kubeapi qui ne parvenait pas à atteindre l'AIS.

  • Correctifs de sécurité

1.23.14-gke.1800

Notes de version de Kubernetes OSS

1.23.14-gke.1100

Notes de version de Kubernetes OSS

1.23.11-gke.300

Notes de version de Kubernetes OSS

1.23.9-gke.2200

Notes de version de Kubernetes OSS

  • Correction de bug:correction d'un bug qui entraînait la création d'un groupe cible vide lors de la création d'une ressource de service Kubernetes de type LoadBalancer et d'annotation service.beta.kubernetes.io/aws-load-balancer-type: nlb. Voir https://github.com/kubernetes/cloud-provider-aws/issues/301

1.23.9-gke.2100

Notes de version de Kubernetes OSS

1.23.9-gke.800

Notes de version de Kubernetes OSS

1.23.8-gke.1700

Notes de version de Kubernetes OSS

1.23.7-gke.1300

Notes de version de Kubernetes OSS

  • Fonctionnalité:désactivation du point de terminaison de profilage (/debug/pprof) par défaut dans kube-scheduler et kube-controller-manager.

  • Fonctionnalité:mise à jour de kube-apiserver et kubelet pour n'utiliser que des algorithmes de chiffrement sécurisés. Algorithmes de chiffrement compatibles utilisés par Kubelet :

    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_GCM_SHA256

    Algorithmes de chiffrement compatibles utilisés par kube api-server :

    TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256, TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384

  • Fonctionnalité:ajout d'un émulateur de serveur de métadonnées d'instance (IMDS).

  • Correctifs de sécurité

Kubernetes 1.22

1.22.15-gke.100

Notes de version de Kubernetes OSS

1.22.12-gke.2300

Notes de version de Kubernetes OSS

1.22.12-gke.1100

Notes de version de Kubernetes OSS

1.22.12-gke.200

Notes de version de Kubernetes OSS

1.22.10-gke.1500

Notes de version de Kubernetes OSS

1.22.8-gke.2100

Notes de version de Kubernetes OSS

  • Fonctionnalité:les nœuds Windows utilisent désormais pigz pour améliorer les performances d'extraction des couches d'image.

1.22.8-gke.1300

  • Corrections de bugs
    • Correction d'un problème de non-application de modules complémentaires lorsque les pools de nœuds Windows sont activés.
    • Correction d'un problème dans lequel l'agent Logging pouvait remplir l'espace disque associé.
  • Correctifs de sécurité
    • Correction de la faille CVE-2022-1055.
    • Correction de la faille CVE-2022-0886.
    • Correction de la faille CVE-2022-0492.
    • Correction de la faille CVE-2022-24769.
    • Cette version inclut les modifications suivantes du contrôle des accès basé sur les rôles (RBAC) :
    • Restriction de la portée des autorisations anet-operator pour la mise à jour du bail.
    • Restriction de la portée des autorisations Daemonset anetd pour les nœuds et les pods.
    • Restriction de la portée des autorisations fluentbit-gke pour les jetons de compte de service.
    • Restriction de la portée de gke-metrics-agent pour les jetons de compte de service.
    • Restriction de la portée des autorisations coredns-autoscaler pour les nœuds, les ConfigMaps et les déploiements.

1.22.8-gke.200

Notes de version de Kubernetes OSS

  • Fonctionnalité:le type d'instance par défaut pour les clusters et les pools de nœuds créés sous Kubernetes v1.22 est désormais m5.large au lieu de t3.medium.
  • Fonctionnalité:lorsque vous créez un cluster à l'aide de Kubernetes 1.22, vous pouvez désormais configurer des paramètres de journalisation personnalisés.
  • Fonctionnalité:en tant que fonctionnalité bêta, vous pouvez désormais choisir Windows comme type d'image de pool de nœuds lorsque vous créez des pools de nœuds avec Kubernetes version 1.22.
  • Fonctionnalité:en tant que fonctionnalité en version preview, vous pouvez désormais configurer des machines hôtes en tant qu'hôtes dédiés.
  • Fonctionnalité:vous pouvez désormais afficher les erreurs de démarrage des clusters et des pools de nœuds asynchrones les plus courantes dans le champ des erreurs d'opérations de longue durée. Pour en savoir plus, consultez la documentation de référence de gcloud container aws operations list.
  • Correctifs de sécurité

Kubernetes 1.21

1.21.14-gke.2900

Notes de version de Kubernetes OSS

1.21.14-gke.2100

Notes de version de Kubernetes OSS

1.21.11-gke.1900

Notes de version de Kubernetes OSS

1.21.11-gke.1800

Notes de version de Kubernetes OSS

1.21.11-gke.1100

  • Correctifs de sécurité
    • Correction de la faille CVE-2022-1055.
    • Correction de la faille CVE-2022-0886.
    • Correction de la faille CVE-2022-0492.
    • Correction de la faille CVE-2022-24769.
    • Corrections apportées au contrôle d'accès RBAC:
    • Restriction de la portée des autorisations anet-operator pour la mise à jour du bail.
    • Restriction de la portée des autorisations Daemonset anetd pour les nœuds et les pods.
    • Restriction de la portée des autorisations fluentbit-gke pour les jetons de compte de service.
    • Restriction de la portée de gke-metrics-agent pour les jetons de compte de service.
    • Restriction de la portée des autorisations coredns-autoscaler pour les nœuds, les ConfigMaps et les déploiements.

1.21.11-gke.100

Notes de version de Kubernetes OSS

1.21.6-gke.1500

Notes de version de Kubernetes OSS

1.21.5-gke.2800

Notes de version de Kubernetes OSS