Archivio delle note sulle versioni di Kubernetes

Questa pagina contiene un archivio storico delle note sulle versioni di Kubernetes per le versioni non supportate. Per visualizzare le note sulle versioni più recenti, consulta le note sulle versioni di Kubernetes.

Kubernetes 1.28

1.28.14-gke.200

Note di rilascio del progetto open source Kubernetes

1.28.13-gke.600

Note di rilascio del progetto open source Kubernetes

1.28.12-gke.100

Note di rilascio del progetto open source Kubernetes

1.28.11-gke.600

Note di rilascio del progetto open source Kubernetes

1.28.10-gke.1300

Note di rilascio del progetto open source Kubernetes

1.28.10-gke.800

Note di rilascio del progetto open source Kubernetes

1.28.9-gke.400

Note di rilascio del progetto open source Kubernetes

1.28.8-gke.800

Note di rilascio del progetto open source Kubernetes

1.28.7-gke.1700

Note di rilascio del progetto open source Kubernetes

  • Correzione di bug:è stato risolto un problema per cui a volte l'emulatore Instance Metadata Service (IMDS) non riusciva a eseguire il binding a un indirizzo IP sul nodo. L'emulatore IMDS consente ai nodi di accedere in sicurezza ai metadati delle istanze AWS EC2.

1.28.5-gke.1200

Note di rilascio del progetto open source Kubernetes

1.28.5-gke.100

Note di rilascio del progetto open source Kubernetes

1.28.3-gke.700

Note di rilascio del progetto open source Kubernetes

  • Modifica incompatibile: a partire da Kubernetes 1.28, i cluster richiedono la connettività HTTPS in uscita a {GCP_LOCATION}-gkemulticloud.googleapis.com. Assicurati che il server proxy e/o il firewall consentano questo traffico.

  • Modifica incompatibile: a partire da Kubernetes 1.28, il ruolo agente di servizio API multi-cloud richiede una nuova autorizzazione Iam:getinstanceprofile nel progetto AWS. Questa autorizzazione viene utilizzata dal servizio multicloud per ispezionare i profili delle istanze collegate alle istanze di macchine virtuali all'interno del cluster.

  • Funzionalità:è stato aggiunto il supporto del rollback per i pool di nodi AWS per le operazioni di aggiornamento non riuscite. In questo modo, i clienti possono ripristinare i pool di nodi allo stato originale.

  • Funzionalità:è stato aggiunto il supporto per il recupero delle immagini da Google Artifact Registry e Google Container Registry privati senza la chiave dell'account Google Service esportata. Le credenziali di estrazione delle immagini vengono gestite e ruotate automaticamente da Google.

  • Funzionalità: è stata rimossa la necessità di aggiungere esplicitamente le associazioni IAM di Google per la maggior parte delle funzionalità.

    1. Non è più necessario aggiungere associazioni per gke-system/gke-telemetry-agent durante la creazione di un cluster.
    2. Non è più necessario aggiungere associazioni per gmp-system/collector o gmp-system/rule-evaluator quando si attiva la raccolta dei dati gestita per il servizio gestito per Prometheus di Google.
    3. Non è più necessario aggiungere associazioni per gke-system/binauthz-agent quando viene attivata l'autorizzazione binaria.

  • Funzionalità: l'aggiornamento di AWS Surge è ora disponibile pubblicamente. Gli aggiornamenti di picco ti consentono di configurare la velocità e l'interruzione degli aggiornamenti dei pool di nodi. Per maggiori dettagli su come attivare e configurare le impostazioni di Surge nei tuoi node pool AWS, consulta Configurare gli aggiornamenti Surge dei node pool.

  • Funzionalità: è stato eseguito l'upgrade del kernel per Ubuntu 22.04 a linux-aws 6.2.

  • Funzionalità:è stato aggiunto il supporto per la creazione di pool di nodi utilizzando le seguenti istanze AWS EC2: G5, I4g, M7a, M7g, M7i, R7g, R7i e R7iz.

  • Correzione di bug:miglioramento della creazione del modello di lancio. I tag forniti dai clienti vengono propagati alle istanze.

    • Questa modifica migliora principalmente il supporto delle regole dei criteri IAM. In particolare, riguarda le regole che vietano l'utilizzo di modelli di avvio che non supportano la propagazione dei tag, anche nei casi in cui il gruppo di scalabilità automatica (ASG) associato propaghi i tag.
    • Questa può essere una modifica che comporta interruzioni, a seconda delle specifiche del criterio IAM del cliente relative ai controlli dei tag. Pertanto, è importante procedere con cautela durante la procedura di upgrade, in quanto una gestione scorretta potrebbe lasciare un cluster in uno stato di degradazione.
    • L'azione ec2:CreateTags sulla risorsa arn:aws:ec2:*:*:instance/* è obbligatoria per il ruolo dell'agente di servizio dell'API Anthos Multi-Cloud. Per informazioni aggiornate, consulta https://cloud.google.com/kubernetes-engine/multi-cloud/docs/aws/how-to/create-aws-iam-roles#create_service_agent_role
    • Consigliamo ai clienti di provare a creare un cluster 1.28 usa e getta e di verificare che i criteri IAM funzionino correttamente prima di tentare di eseguire l'upgrade a 1.28.

  • Correzione di bug: l'upgrade di un cluster alla versione 1.28 consente di eliminare le risorse obsolete che potrebbero essere state create in versioni precedenti (fino alla 1.25), ma che non sono più pertinenti. Le seguenti risorse nello spazio dei nomi gke-system vengono eliminate se esistono:

    • daemonset fluentbit-gke-windows e gke-metrics-agent-windows
    • configmaps fluentbit-gke-windows-config e gke-metrics-agent-windows-conf

  • Correzione di bug:importazione migliorata dei log da Cluster Anthos on AWS in Cloud Logging:

    • È stato risolto un problema di analisi del timestamp.
    • Assegna il livello di gravità corretto ai log di errore di anthos-metadata-agent.

  • Correzioni relative alla sicurezza

Kubernetes 1.27

1.27.14-gke.1600

Note di rilascio del progetto open source Kubernetes

1.27.14-gke.1200

Note di rilascio del progetto open source Kubernetes

1.27.14-gke.700

Note di rilascio del progetto open source Kubernetes

  • Correzioni relative alla sicurezza:

1.27.13-gke.500

Note di rilascio del progetto open source Kubernetes

1.27.12-gke.800

Note di rilascio del progetto open source Kubernetes

1.27.11-gke.1600

Note di rilascio del progetto open source Kubernetes

  • Correzione di bug:è stato risolto un problema per cui a volte l'emulatore Instance Metadata Service (IMDS) non riusciva ad associarsi a un indirizzo IP sul nodo. L'emulatore IMDS consente ai nodi di accedere in sicurezza ai metadati delle istanze AWS EC2.

1.27.10-gke.500

Note di rilascio del progetto open source Kubernetes

1.27.9-gke.100

Note di rilascio del progetto open source Kubernetes

1.27.7-gke.600

Note di rilascio del progetto open source Kubernetes

  • Funzionalità:è stato aggiunto il supporto per la creazione di pool di nodi utilizzando l'istanza AWS EC2 "G5".

  • Correzione di bug:importazione migliorata dei log da Cluster Anthos on AWS in Cloud Logging:

    • È stato risolto un problema di analisi del timestamp.
    • Assegna il livello di gravità corretto ai log di errore di anthos-metadata-agent.

  • Correzioni relative alla sicurezza

1.27.6-gke.700

Note di rilascio del progetto open source Kubernetes

1.27.5-gke.200

Note di rilascio del progetto open source Kubernetes

  • Funzionalità: Ubuntu 22.04 ora utilizza la versione del kernel linux-aws 6.2.

  • Correzioni relative alla sicurezza

1.27.4-gke.1600

Note di rilascio di Kubernetes OSS * Ritiro: è stata disattivata la porta di sola lettura non autenticata di kubelet 10255. Una volta eseguito l'upgrade di un pool di nodi alla versione 1.27, i workload in esecuzione non potranno più connettersi alla porta 10255.

  • Funzionalità:la funzionalità di aggiornamento di AWS Surge è disponibile in modalità di anteprima. Gli aggiornamenti di picco ti consentono di configurare la velocità e l'interruzione degli aggiornamenti del pool di nodi. Contatta il team dedicato al tuo account per attivare l'anteprima.
  • Funzionalità:upgrade del driver CSI EBS alla versione 1.20.0.
  • Funzionalità:è stato eseguito l'upgrade del driver CSI EFS alla versione 1.5.7.

  • Funzionalità: è stato eseguito l'upgrade di snapshot-controller e csi-snapshot-validation-webhook alla v6.2.2. Questa nuova versione introduce un'importante modifica all'API. Nello specifico, le API VolumeSnapshot, VolumeSnapshotContents e VolumeSnapshotClass v1beta1 non sono più disponibili.

  • Funzionalità: è stato aggiunto il supporto di un nuovo flag admin-groups nelle API di creazione e aggiornamento. Questo flag consente ai clienti di autenticare rapidamente e facilmente i gruppi elencati come amministratori del cluster, eliminando la necessità di creare e applicare manualmente i criteri RBAC.

  • Funzionalità: è stato aggiunto il supporto dell'autorizzazione binaria, un controllo di sicurezza della fase di deployment che garantisce che venga eseguito il deployment solo delle immagini container attendibili. Con Autorizzazione binaria, puoi richiedere che le immagini vengano firmate da autorità attendibili durante il processo di sviluppo e quindi applicare la convalida della firma durante il deployment. Se applichi la convalida, puoi controllare più strettamente l'ambiente dei container assicurando che solo le immagini verificate siano integrate nel processo di build e rilascio. Per informazioni dettagliate su come attivare l'autorizzazione binaria sui cluster, consulta Come attivare l'autorizzazione binaria.

  • Funzionalità: è stata attivata la compressione gzip per fluent-bit (un elaboratore e un inoltro di log), gke-metrics-agent (un raccoglitore di metriche) e audit-proxy (un proxy per i log di controllo). fluent-bit comprime i dati dei log sia dal piano di controllo sia dai carichi di lavoro prima di inviarli a Cloud Logging, gke-metrics-agent comprime i dati delle metriche sia dal piano di controllo sia dai carichi di lavoro prima di inviarli a Cloud Monitoring e audit-proxy comprime i dati dei log di controllo prima di inviarli a Audit Logging. In questo modo si riducono la larghezza di banda e i costi della rete.

  • Funzionalità: la creazione di pool di nodi AWS SPOT è ora disponibile in versione generale.

  • Funzionalità:la riparazione automatica dei nodi è ora disponibile pubblicamente.

  • Funzionalità: sicurezza migliorata grazie all'aggiunta di controlli di integrità dei file e convalida dell'impronta per gli elementi binari scaricati da Cloud Storage.

  • Funzionalità: è stata aggiunta un'opzione ignore_errors all'API di eliminazione per gestire i casi in cui i ruoli IAM eliminati per errore o la rimozione manuale delle risorse impediscono l'eliminazione di cluster o pool di nodi. Se aggiungi ?ignore_errors=true all'URL di richiesta DELETE, ora gli utenti possono rimuovere forzatamente cluster o pool di nodi. Tuttavia, questo approccio potrebbe comportare risorse orfane in AWS o Azure, che richiedono la pulizia manuale.

  • Funzionalità: è stato aggiunto il supporto per la deframmentazione periodica automatica di etcd e etcd-events nel piano di controllo. Questa funzionalità riduce lo spazio su disco unnecessary e contribuisce a evitare che etcd e il piano di controllo diventino non disponibili a causa di problemi di spazio su disco.

  • Funzionalità:sono stati modificati i nomi delle metriche per le metriche delle risorse Kubernetes in modo da utilizzare un prefisso di kubernetes.io/anthos/ anziché kubernetes.io/. Per maggiori dettagli, consulta la documentazione di riferimento delle metriche.

  • Funzionalità:è stata modificata la versione predefinita di etcd in v3.4.21 nei nuovi cluster per migliorare la stabilità. I cluster esistenti di cui è stato eseguito l'upgrade a questa versione utilizzeranno etcd 3.5.6.

  • Funzionalità: gestione migliorata delle risorse del nodo mediante la prenotazione di risorse per kubelet. Sebbene questa funzionalità sia fondamentale per evitare errori di esaurimento della memoria (OOM) garantendo che i processi di sistema e Kubernetes dispongano delle risorse di cui hanno bisogno, potrebbe portare a interruzioni del workload. La prenotazione di risorse per il kubelet potrebbe influire sulle risorse disponibili per i pod, con potenziali ripercussioni sulla capacità dei nodi più piccoli di gestire i carichi di lavoro esistenti. I clienti devono verificare che i nodi più piccoli possano ancora supportare i loro carichi di lavoro con questa nuova funzionalità attivata.

    • Le percentuali di memoria riservata sono le seguenti:
    • 255 MiB per le macchine con meno di 1 GB di memoria
    • Il 25% dei primi 4 GB di memoria
    • Il 20% dei successivi 4 GB
    • Il 10% dei successivi 8 GB
    • 6% dei successivi 112 GB
    • 2% di qualsiasi memoria superiore a 128 GB
    • Le percentuali di CPU prenotata sono le seguenti:
    • 6% del primo core
    • 1% del core successivo
    • 0,5% dei 2 core successivi
    • 0,25% di qualsiasi core superiore a 4 core

  • Correzioni di bug

    • È stato attivato il gestore della scalabilità automatica dei cluster per bilanciare i nodi in diverse zone di disponibilità. Questo risultato viene ottenuto utilizzando il --balance-similar-node-groups flag.

  • Correzioni relative alla sicurezza

Kubernetes 1.26

1.26.14-gke.1500

Note di rilascio del progetto open source Kubernetes

  • Correzione di bug:è stato risolto un problema per cui a volte l'emulatore Instance Metadata Service (IMDS) non riusciva a eseguire il binding a un indirizzo IP sul nodo. L'emulatore IMDS consente ai nodi di accedere in sicurezza ai metadati delle istanze AWS EC2.

1.26.13-gke.400

Note di rilascio del progetto open source Kubernetes

1.26.12-gke.100

Note di rilascio del progetto open source Kubernetes

1.26.10-gke.600

Note di rilascio del progetto open source Kubernetes

  • Funzionalità:è stato aggiunto il supporto per la creazione di pool di nodi utilizzando l'istanza AWS EC2 "G5".

  • Correzione di bug: è stato eseguito l'upgrade del driver CSI (Container Storage Interface) per il file system Elastic (EFS) aws-efs-csi-driver alla versione v1.3.8-gke.21.

  • Correzione di bug:importazione migliorata dei log da Cluster Anthos su AWS in Cloud Logging:

    • È stato risolto un problema di analisi del timestamp.
    • Assegna il livello di gravità corretto ai log di errore di anthos-metadata-agent.

  • Correzioni relative alla sicurezza

1.26.9-gke.700

Note di rilascio del progetto open source Kubernetes

1.26.8-gke.200

Note di rilascio del progetto open source Kubernetes

  • Funzionalità: Ubuntu 22.04 ora utilizza la versione del kernel linux-aws 6.2.

  • Correzioni relative alla sicurezza

1.26.7-gke.500

Note di rilascio del progetto open source Kubernetes

1.26.5-gke.1400

Note di rilascio del progetto open source Kubernetes

1.26.5-gke.1200

Note di rilascio del progetto open source Kubernetes

  • Correzioni di bug
    • Configura il gestore della scalabilità automatica del cluster per bilanciare il numero di nodi tra le zone di disponibilità utilizzando --balance-similar-node-groups.

1.26.4-gke.2200

Note di rilascio di Kubernetes OSS * Funzionalità: Ubuntu 22.04 utilizza il kernel linux-aws 5.19.

  • Correzioni di bug

    • È stato risolto un problema per cui Kubernetes applicava erroneamente StorageClass predefinito ai PersistentVolumeClaim che hanno l'annotazione deprecata volume.beta.kubernetes.io/storage-class.
    • È stato risolto un problema per cui l'agente di logging consumava quantità di memoria sempre maggiori.

  • Correzioni relative alla sicurezza

    • È stato risolto un problema relativo al monitoraggio delle connessioni netfilter (conntrack), che è responsabile del monitoraggio delle connessioni di rete. La correzione garantisce l'inserimento corretto delle nuove connessioni nella tabella conntrack e supera le limitazioni causate dalle modifiche apportate alle versioni del kernel Linux 5.15 e successive.

1.26.2-gke.1001

Note di rilascio del progetto open source Kubernetes

  • Problema noto: Kubernetes 1.26.2 applica erroneamente StorageClass predefinito ai PersistentVolumeClaim con l'annotazione deprecatavolume.beta.kubernetes.io/storage-class.

  • Funzionalità: immagine del sistema operativo aggiornata a Ubuntu 22.04. cgroupv2 viene ora utilizzato come configurazione predefinita del gruppo di controllo.

    • Ubuntu 22.04 utilizza cgroupv2 per impostazione predefinita. Ti consigliamo di verificare se una delle tue applicazioni accede al file system cgroup. In questo caso, devono essere aggiornati per poter utilizzare cgroupv2. Ecco alcuni esempi di applicazioni che potrebbero richiedere aggiornamenti per garantire la compatibilità con cgroupv2:
    • Agenti di monitoraggio e sicurezza di terze parti che dipendono dal file system cgroup.
    • Se cAdvisor viene utilizzato come DaemonSet autonomo per il monitoraggio di pod e contenitori, deve essere aggiornato alla versione v0.43.0 o successiva.
    • Se utilizzi JDK, ti consigliamo di utilizzare la versione 11.0.16 o successive oppure la versione 15 o successive. Queste versioni supportano completamente cgroupv2.
    • Se utilizzi il pacchetto uber-go/automaxprocs, assicurati di utilizzare la versione 1.5.1 o successive.
    • Ubuntu 22.04 rimuove il pacchetto timesyncd. Ora chrony viene utilizzato per il servizio di sincronizzazione dell'ora di Amazon.
    • Per ulteriori informazioni, consulta le note di rilascio di Ubuntu.

  • Funzionalità: invia le metriche per i componenti del piano di controllo a Cloud Monitoring. È incluso un sottoinsieme delle metriche di Prometheus di kube-apiserver, etcd, kube-scheduler e kube-controller-manager. I nomi delle metriche utilizzano il prefisso kubernetes.io/anthos/.

  • Funzionalità: è stato attivato l'invio dei metadati delle risorse Kubernetes alla piattaforma Google Cloud, migliorando sia l'interfaccia utente sia le metriche del cluster. Affinché i metadati vengano importati correttamente, i clienti devono attivare l'API Config Monitoring for Ops. Questa API può essere attivata in Google Cloud console o attivando manualmente l'API opsconfigmonitoring.googleapis.com in gcloud CLI. Inoltre, i clienti devono seguire i passaggi descritti nella documentazione di Autorizzazione di monitoraggio/registrazione in Cloud per aggiungere le associazioni IAM necessarie. Se applicabile, aggiungi opsconfigmonitoring.googleapis.com alla lista consentita dei proxy.

  • Funzionalità:è stata aggiunta la funzionalità di anteprima per la creazione del pool di nodi AWS Spot.

  • Funzionalità: la creazione di pool di nodi utilizzando i tipi di istanze basate su ARM (Graviton) è ora disponibile come versione generale.

  • Funzionalità: è stato attivato l'arresto controllato dei nodi kubelet. I pod non di sistema hanno 15 secondi di tempo per terminare, dopodiché i pod di sistema (con le classi di priorità system-cluster-critical o system-node-critical) hanno 15 secondi di tempo per terminare in modo corretto.

  • Funzionalità:è stata attivata la funzionalità di riparazione automatica dei nodi in modalità di anteprima. Contatta il team dedicato al tuo account per attivare l'anteprima.

  • Funzionalità:sono stati aggiunti tag alla risorsa punto di accesso EFS creata dinamicamente.

  • Funzionalità: i cluster ora hanno regole dei gruppi di sicurezza della subnet per pool di nodi anziché regole per l'intera VPC

    • In precedenza, il piano di controllo consentiva il traffico in entrata dall'intero intervallo IP principale del VPC sulle porte TCP/443 e TCP/8123, utilizzate dai pool di nodi.
    • Ora il piano di controllo restringe il traffico in entrata consentito a ogni intervallo IP delle subnet del pool di nodi sulle porte TCP/443 e TCP/8123. Inoltre, più pool di nodi possono condividere una subnet.
    • Questa modifica supporta i node pool in esecuzione al di fuori dell'intervallo IP principale della VPC e migliora la sicurezza del piano di controllo.
    • Se hai utilizzato la regola del gruppo di sicurezza a livello di VPC per consentire il traffico dall'esterno del cluster (ad es. da un bastion host per kubectl), nell'ambito dell'upgrade devi creare un gruppo di sicurezza, aggiungervi una regola a livello di VPC e collegarlo al piano di controllo (tramite il campo AwsCluster.controlPlane.securityGroupIds).

  • Correzioni di bug:i cluster appena creati ora utilizzano etcd 3.4.21 per una maggiore stabilità. I cluster esistenti delle versioni precedenti utilizzavano già etcd 3.5.x e non verrà eseguito il downgrade alla versione 3.4.21 durante l'upgrade del cluster. Questi cluster utilizzeranno invece la versione 3.5.6.

  • Correzione di sicurezza: imposta il limite di hop della risposta dell'emulatore IMDS su 1. In questo modo viene protetta la comunicazione dei dati IMDS tra l'emulatore e un workload.

Kubernetes 1.25

1.25.14-gke.700

Note di rilascio del progetto open source Kubernetes

1.25.13-gke.200

Note di rilascio del progetto open source Kubernetes

1.25.12-gke.500

Note sulla release di Kubernetes OSS * Funzionalità: è stato ampliato l'elenco delle metriche raccolte dai node pool in modo da includere gke-metrics-agent, cilium-agent, cilium-operator, coredns, fluentbit-gke, kubelet e konnectivity-agent.

1.25.10-gke.1400

Note di rilascio del progetto open source Kubernetes

1.25.10-gke.1200

Note di rilascio del progetto open source Kubernetes

  • Correzioni di bug
    • Configura il gestore della scalabilità automatica del cluster per bilanciare il numero di nodi tra le zone di disponibilità utilizzando --balance-similar-node-groups.
  • Correzioni relative alla sicurezza
    • È stata eseguita la migrazione dell'agente delle metriche del pool di nodi e del server delle metriche alla porta del kubelet autenticata.

1.25.8-gke.500

Note di rilascio del progetto open source Kubernetes

  • Correzioni di bug

    • È stato risolto un problema per cui l'agente di logging consumava quantità di memoria sempre maggiori.

  • Correzioni relative alla sicurezza

1.25.7-gke.1000

Note di rilascio del progetto open source Kubernetes

  • Funzionalità:sono stati aggiunti tag alla risorsa punto di accesso EFS creata dinamicamente.

  • Correzioni di bug:i cluster appena creati ora utilizzano etcd 3.4.21 per una maggiore stabilità. I cluster esistenti delle versioni precedenti utilizzavano già etcd 3.5.x e non verrà eseguito il downgrade alla versione 3.4.21 durante l'upgrade del cluster. Questi cluster utilizzeranno invece la versione 3.5.6.

1.25.6-gke.1600

Note di rilascio del progetto open source Kubernetes

  • Correzione di bug:è stato risolto un problema che poteva causare l'interruzione degli upgrade del cluster se sono registrati determinati tipi di webhook di ammissione con validazione.

  • Correzioni relative alla sicurezza

1.25.5-gke.2000

Note di rilascio di Kubernetes OSS * Funzionalità: Anthos Identity Service è stato aggiornato per gestire meglio le richieste webhook di autenticazione simultanea.

  • Correzione di bug:è stato risolto un problema per cui alcuni errori non venivano propagati e segnalati durante le operazioni di creazione/aggiornamento del cluster.
  • Correzione di bug:è stato risolto un problema con il driver CSI AWS EFS per cui non è possibile risolvere i nomi host EFS quando la VPC AWS è configurata per utilizzare un server DNS personalizzato.

  • Correzione di bug: è stato risolto un problema per cui l'autenticazione tramite la dashboard di Anthos Service Mesh non andava a buon fine a causa dell'impossibilità di rubare l'identità dell'utente finale.

  • Correzioni relative alla sicurezza

1.25.5-gke.1500

Note di rilascio del progetto open source Kubernetes

  • Problema noto:alcune interfacce utente nella Google Cloud console non possono autorizzarsi al cluster e potrebbero mostrare il cluster come non raggiungibile. Una soluzione alternativa è applicare manualmente il RBAC che consente l'usurpazione di identità dell'utente. Per maggiori dettagli, consulta la sezione Risoluzione dei problemi.

  • Correzioni relative alla sicurezza

1.25.4-gke.1300

Note di rilascio del progetto open source Kubernetes

  • Problema noto:alcune interfacce utente nella Google Cloud console non possono autorizzarsi al cluster e potrebbero mostrare il cluster come non raggiungibile. Una soluzione alternativa è applicare manualmente il RBAC che consente l'usurpazione di identità dell'utente. Per maggiori dettagli, consulta la sezione Risoluzione dei problemi.

  • Ritiro: sono stati rimossi i plug-in dei volumi in-tree ritirati flocker, quobyte e storageos.

  • Funzionalità:sicurezza avanzata limitando i pod statici in esecuzione sulle VM del control plane del cluster in modo che vengano eseguiti come utenti Linux non root.

  • Funzionalità: è stato aggiunto il supporto per l'aggiornamento dinamico dei gruppi di sicurezza del pool di nodi AWS. Per aggiornare i gruppi di sicurezza, devi disporre delle seguenti autorizzazioni nel tuo ruolo API:

    • ec2:ModifyInstanceAttribute
    • ec2:DescribeInstances

  • Funzionalità:è stato aggiunto il supporto per l'aggiornamento dinamico dei tag del pool di nodi AWS. Per aggiornare i tag del pool di nodi, devi disporre delle seguenti autorizzazioni nel tuo ruolo API:

    • autoscaling:CreateOrUpdateTags
    • autoscaling:DeleteTags
    • ec2:CreateTags
    • ec2:DeleteTags
    • ec2:DescribeLaunchTemplates

  • Funzionalità: il provisioning dinamico di EFS è ora disponibile in versione GA per i cluster dalla versione 1.25 in poi. Per utilizzare questa funzionalità, devi aggiungere le seguenti autorizzazioni al ruolo del piano di controllo:

    • ec2:DescribeAvailabilityZones
    • elasticfilesystem:DescribeAccessPoints
    • elasticfilesystem:DescribeFileSystems
    • elasticfilesystem:DescribeMountTargets
    • elasticfilesystem:CreateAccessPoint
    • elasticfilesystem:DeleteAccessPoint

  • Funzionalità: il caricamento delle metriche sul carico di lavoro utilizzando Google Managed Service per Prometheus con raccolta gestita in Cloud Monarch è ora disponibile in versione GA.

  • Funzionalità: è stato aggiunto il supporto per attivare e aggiornare la raccolta delle metriche di CloudWatch nel gruppo di scalabilità automatica del pool di nodi AWS. Per attivare o aggiornare la raccolta delle metriche tramite l'API di creazione o aggiornamento, devi aggiungere le seguenti autorizzazioni al tuo ruolo API:

    • autoscaling:EnableMetricsCollection
    • autoscaling:DisableMetricsCollection

  • Funzionalità: versione generale di Azure AD. Questa funzionalità consente agli amministratori dei cluster di configurare i criteri RBAC basati sui gruppi Azure AD per l'autorizzazione nei cluster. In questo modo, è possibile recuperare le informazioni dei gruppi per gli utenti appartenenti a più di 200 gruppi, superando così una limitazione del normale OIDC configurato con Azure AD come provider di identità.

  • Funzionalità: è stato aggiunto un nuovo gestore dei token (gke-token-manager) per generare token per i componenti del piano di controllo utilizzando la chiave di firma dell'account di servizio. Vantaggi:

    1. Elimina la dipendenza da kube-apiserver per l'autenticazione dei componenti del piano di controllo ai servizi Google. In precedenza, i componenti del piano di controllo utilizzavano l'API TokenRequest e si basavano su un kube-apiserver funzionante. Mentre ora il componente gke-token-manager conia i token direttamente utilizzando la chiave di firma dell'account di servizio.
    2. Elimina il RBAC per la generazione di token per i componenti del piano di controllo.
    3. Scollega il logging e kube-apiserver. In modo che i log possano essere caricati prima dell'avvio di kube-apiserver.
    4. Aumenta la resilienza del piano di controllo. Quando kube-apiserver non è attivo, i componenti del piano di controllo possono comunque recuperare i token e continuare a funzionare.

  • Funzionalità: come funzionalità di anteprima, importa una serie di metriche dai componenti del piano di controllo in Cloud Monitoring, tra cui kube-apiserver, etcd, kube-scheduler e kube-controller-manager.

  • Funzionalità:gli utenti di un gruppo Google possono accedere ai cluster AWS utilizzando Connect Gateway concedendo al gruppo l'autorizzazione RBAC necessaria. Per ulteriori dettagli, consulta Configurare Connect Gateway con Google Gruppi.

  • Correzione di bug:è stato corretto un problema che poteva comportare la mancata rimozione di versioni obsolete di gke-connect-agent dopo gli upgrade del cluster.

  • Correzioni relative alla sicurezza

Kubernetes 1.24

1.24.14-gke.2700

Note di rilascio del progetto open source Kubernetes

1.24.14-gke.1400

Note di rilascio del progetto open source Kubernetes

  • Correzioni di bug
    • Configura il gestore della scalabilità automatica del cluster per bilanciare il numero di nodi tra le zone di disponibilità utilizzando --balance-similar-node-groups.

1.24.13-gke.500

Note di rilascio del progetto open source Kubernetes

  • Correzioni di bug

    • È stato risolto un problema per cui l'agente di logging consumava quantità di memoria sempre maggiori.

  • Correzioni relative alla sicurezza

1.24.11-gke.1000

Note di rilascio del progetto open source Kubernetes

  • Correzioni di bug:i cluster appena creati ora utilizzano etcd 3.4.21 per una maggiore stabilità. I cluster esistenti delle versioni precedenti utilizzavano già etcd 3.5.x e non verrà eseguito il downgrade alla versione 3.4.21 durante l'upgrade del cluster. Questi cluster utilizzeranno invece la versione 3.5.6.

1.24.10-gke.1200

Note di rilascio del progetto open source Kubernetes

  • Correzione di bug:è stato risolto un problema che poteva causare l'interruzione degli upgrade del cluster se sono registrati determinati tipi di webhook di ammissione con validazione.
  • Correzione di bug: è stata corretta la propagazione dell'ID sicurezza di Cilium in modo che gli ID vengano trasmessi correttamente nell'header del tunnel quando le richieste vengono inoltrate ai servizi di tipo NodePort e LoadBalancer.
  • Correzioni relative alla sicurezza

1.24.9-gke.2000

Note di rilascio del progetto open source Kubernetes

  • Funzionalità: Anthos Identity Service è stato aggiornato per gestire meglio le richieste webhook di autenticazione simultanea.

  • Correzione di bug:è stato risolto un problema per cui alcuni errori non venivano propagati e segnalati durante le operazioni di creazione/aggiornamento del cluster.

  • Correzioni relative alla sicurezza

1.24.9-gke.1500

Note di rilascio del progetto open source Kubernetes

1.24.8-gke.1300

Note di rilascio del progetto open source Kubernetes

1.24.5-gke.200

Note di rilascio del progetto open source Kubernetes

1.24.3-gke.2200

Note di rilascio del progetto open source Kubernetes

  • Correzione di bug: è stato corretto un bug per cui la creazione di una risorsa di servizio Kubernetes di tipo LoadBalancer e con annotazione service.beta.kubernetes.io/aws-load-balancer-type: nlb rimaneva con un gruppo di destinazione vuoto. Vedi https://github.com/kubernetes/cloud-provider-aws/issues/301

1.24.3-gke.2100

Note di rilascio del progetto open source Kubernetes

  • Funzionalità:carica le metriche delle risorse Kubernetes in Google Cloud Monitoring per i pool di nodi Windows.
  • Funzionalità:è stato fornito un webhook per l'iniezione facile dell'emulatore IMDS.
  • Funzionalità: per impostazione predefinita, go 1.18 non accetta più i certificati firmati con l'algoritmo hash SHA-1. Gli webhook di ammissione/conversione o gli endpoint del server aggregati che utilizzano questi certificati non sicuri non funzioneranno per impostazione predefinita nella versione 1.24. La variabile di ambiente GODEBUG=x509sha1=1 è impostata nei cluster Anthos on AWS come soluzione temporanea per consentire il funzionamento di questi certificati non sicuri. Tuttavia, il team di Go prevede di rimuovere il supporto di questa soluzione alternativa nelle prossime release. Prima di eseguire l'upgrade alla versione non compatibile imminente, i clienti devono verificare e assicurarsi che non ci siano webhook di ammissione/conversione o endpoint server aggregati che utilizzano questi certificati non sicuri.
  • Funzionalità:GKE su AWS ora supporta il provisioning dinamico di EFS in modalità di anteprima per i cluster Kubernetes versione 1.24 o successive. Per utilizzare questa funzionalità, devi aggiungere le seguenti autorizzazioni al ruolo del control plane: ec2:DescribeAvailabilityZones elasticfilesystem:DescribeAccessPoints elasticfilesystem:DescribeFileSystems elasticfilesystem:DescribeMountTargets elasticfilesystem:CreateAccessPoint elasticfilesystem:DeleteAccessPoint

  • Funzionalità: migliora i controlli di connettività di rete durante la creazione di cluster e pool di nodi per contribuire alla risoluzione dei problemi.

  • Funzionalità:sono supportati gli aggiornamenti ai tag del piano di controllo AWS. Per aggiornare i tag, devi aggiungere le seguenti autorizzazioni al ruolo API: autoscaling:CreateOrUpdateTags autoscaling:DeleteTags ec2:CreateTags ec2:DescribeLaunchTemplates ec2:DescribeSecurityGroupRules ec2:DeleteTags elasticloadbalancing:AddTags elasticloadbalancing:RemoveTags

  • Funzionalità: il caricamento delle metriche sul carico di lavoro utilizzando Google Cloud Managed Service per Prometheus in Cloud Monarch è disponibile come anteprima privata solo su invito.

  • Correzioni relative alla sicurezza

Kubernetes 1.23

1.23.16-gke.2800

Note di rilascio del progetto open source Kubernetes

  • Correzione di bug:è stato risolto un problema che poteva causare l'interruzione degli upgrade del cluster se sono registrati determinati tipi di webhook di ammissione con validazione.

  • Correzioni relative alla sicurezza

1.23.16-gke.200

Note di rilascio del progetto open source Kubernetes

  • Correzione di bug:è stato risolto un problema per cui alcuni errori non venivano propagati e segnalati durante le operazioni di creazione/aggiornamento del cluster.

  • Correzione di bug:sono stati corretti i problemi di cpp-httplib con il server kubeapi che non riesce a raggiungere AIS.

  • Correzioni relative alla sicurezza

1.23.14-gke.1800

Note di rilascio del progetto open source Kubernetes

1.23.14-gke.1100

Note di rilascio del progetto open source Kubernetes

1.23.11-gke.300

Note di rilascio del progetto open source Kubernetes

1.23.9-gke.2200

Note di rilascio del progetto open source Kubernetes

  • Correzione di bug: è stato corretto un bug per cui la creazione di una risorsa di servizio Kubernetes di tipo LoadBalancer e con annotazione service.beta.kubernetes.io/aws-load-balancer-type: nlb rimaneva con un gruppo di destinazione vuoto. Vedi https://github.com/kubernetes/cloud-provider-aws/issues/301

1.23.9-gke.2100

Note di rilascio del progetto open source Kubernetes

1.23.9-gke.800

Note di rilascio del progetto open source Kubernetes

1.23.8-gke.1700

Note di rilascio del progetto open source Kubernetes

1.23.7-gke.1300

Note di rilascio del progetto open source Kubernetes

  • Funzionalità: disattiva l'endpoint di profilazione (/debug/pprof) per impostazione predefinita in kube-scheduler e kube-controller-manager.

  • Funzionalità: aggiorna kube-apiserver e kubelet in modo che utilizzino solo crittografi di sicurezza avanzati. Tipi di crittografia supportati utilizzati da Kubelet:

    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_GCM_SHA256

    Algoritmi di crittografia supportati utilizzati da kube-apiserver:

    TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256, TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384

  • Funzionalità: aggiungi un emulatore di server di metadati delle istanze (IMDS).

  • Correzioni relative alla sicurezza

Kubernetes 1.22

1.22.15-gke.100

Note di rilascio del progetto open source Kubernetes

1.22.12-gke.2300

Note di rilascio del progetto open source Kubernetes

1.22.12-gke.1100

Note di rilascio del progetto open source Kubernetes

1.22.12-gke.200

Note di rilascio del progetto open source Kubernetes

1.22.10-gke.1500

Note di rilascio del progetto open source Kubernetes

1.22.8-gke.2100

Note di rilascio del progetto open source Kubernetes

  • Funzionalità:i nodi Windows ora utilizzano pigz per migliorare le prestazioni di estrazione dei livelli di immagine.

1.22.8-gke.1300

  • Correzioni di bug
    • È stato risolto un problema per cui non è possibile applicare i componenti aggiuntivi quando sono attivati i pool di nodi Windows.
    • È stato risolto un problema per cui l'agente di registrazione poteva occupare tutto lo spazio su disco collegato.
  • Correzioni relative alla sicurezza
    • È stato corretto il problema CVE-2022-1055.
    • È stato corretto il problema CVE-2022-0886.
    • È stato corretto il problema CVE-2022-0492.
    • È stato corretto il problema CVE-2022-24769.
    • Questa release include le seguenti modifiche al controllo dell'accesso basato sui ruoli (RBAC):
    • Sono state limitate le autorizzazioni anet-operator per l'aggiornamento del contratto di locazione.
    • Sono state limitate le autorizzazioni dei set di daemon anetd per nodi e pod.
    • Sono state limitate le autorizzazioni fluentbit-gke per i token degli account di servizio.
    • È stato limitato l'ambito di gke-metrics-agent per i token dell'account di servizio.
    • Autorizzazioni coredns-autoscaler con ambito limitato per nodi, ConfigMap e deployment.

1.22.8-gke.200

Note di rilascio del progetto open source Kubernetes

  • Funzionalità: il tipo di istanza predefinito per i cluster e i pool di nodi creati in Kubernetes 1.22 ora è m5.large anziché t3.medium.
  • Funzionalità:quando crei un nuovo cluster utilizzando la versione 1.22 di Kubernetes, ora puoi configurare i parametri di logging personalizzati.
  • Funzionalità:come funzionalità di anteprima, ora puoi scegliere Windows come tipo di immagine del pool di nodi quando crei pool di nodi con la versione 1.22 di Kubernetes.
  • Funzionalità: come funzionalità di anteprima, ora puoi configurare le macchine host come host dedicati.
  • Funzionalità: ora puoi visualizzare gli errori di avvio del cluster e del pool di nodi asincroni più comuni nel campo dell'errore dell'operazione a lunga esecuzione. Per ulteriori informazioni, consulta la documentazione di riferimento di gcloud container aws operations list.
  • Correzioni relative alla sicurezza

Kubernetes 1.21

1.21.14-gke.2900

Note di rilascio del progetto open source Kubernetes

1.21.14-gke.2100

Note di rilascio del progetto open source Kubernetes

1.21.11-gke.1900

Note di rilascio del progetto open source Kubernetes

1.21.11-gke.1800

Note di rilascio del progetto open source Kubernetes

1.21.11-gke.1100

  • Correzioni relative alla sicurezza
    • È stato corretto il problema CVE-2022-1055.
    • È stato corretto il problema CVE-2022-0886.
    • È stato corretto il problema CVE-2022-0492.
    • È stato corretto il problema CVE-2022-24769.
    • Correzioni RBAC:
    • Sono state limitate le autorizzazioni anet-operator per l'aggiornamento del contratto di locazione.
    • Sono state limitate le autorizzazioni del set di daemon anetd per i nodi e i pod.
    • Sono state limitate le autorizzazioni fluentbit-gke per i token dell'account di servizio.
    • È stato limitato l'ambito di gke-metrics-agent per i token dell'account di servizio.
    • Sono state limitate le autorizzazioni di coredns-autoscaler per nodi, ConfigMap e deployment.

1.21.11-gke.100

Note di rilascio del progetto open source Kubernetes

1.21.6-gke.1500

Note di rilascio del progetto open source Kubernetes

1.21.5-gke.2800

Note di rilascio del progetto open source Kubernetes