Arquivo de notas da versão do Kubernetes

Esta página contém um arquivo histórico das notas de versão do Kubernetes para versões sem suporte. Para conferir as notas de versão mais recentes, consulte Notas de versão do Kubernetes.

Kubernetes 1.28

1.28.14-gke.200

Notas de lançamento do OSS do Kubernetes (em inglês).

1.28.13-gke.600

Notas de lançamento do OSS do Kubernetes (em inglês).

1.28.12-gke.100

Notas de lançamento do OSS do Kubernetes (em inglês).

1.28.11-gke.600

Notas de lançamento do OSS do Kubernetes (em inglês).

1.28.10-gke.1300

Notas de lançamento do OSS do Kubernetes (em inglês).

1.28.10-gke.800

Notas de lançamento do OSS do Kubernetes (em inglês).

1.28.9-gke.400

Notas de lançamento do OSS do Kubernetes (em inglês).

1.28.8-gke.800

Notas de lançamento do OSS do Kubernetes (em inglês).

1.28.7-gke.1700

Notas de lançamento do OSS do Kubernetes (em inglês).

  • Correção de bug: foi corrigido um problema em que o emulador do Serviço de metadados de instância (IMDS, na sigla em inglês) às vezes falhava ao se vincular a um endereço IP no nó. O emulador de IMDS permite que os nós acessem com segurança os metadados da instância do AWS EC2.

1.28.5-gke.1200

Notas de lançamento do OSS do Kubernetes (em inglês).

1.28.5-gke.100

Notas de lançamento do OSS do Kubernetes (em inglês).

1.28.3-gke.700

Notas de lançamento do OSS do Kubernetes (em inglês).

  • Alteração interruptiva: a partir do Kubernetes 1.28, os clusters exigem conectividade HTTPS de saída para {GCP_LOCATION}-gkemulticloud.googleapis.com. Verifique se o servidor proxy e/ou o firewall permite esse tráfego.

  • Alteração interruptiva: a partir do Kubernetes 1.28, o papel de agente de serviço da API Multi-Cloud requer uma nova permissão Iam:getinstanceprofile no projeto da AWS. Essa permissão é usada pelo serviço multicloud para inspecionar os perfis de instância anexados às instâncias de máquina virtual no cluster.

  • Recurso: foi adicionado suporte à reversão para pools de nós da AWS que falharam nas operações de atualização. Assim, os clientes podem reverter os pools de nós ao estado original.

  • Recurso: foi adicionado suporte à extração de imagens do Google Artifact Registry particular e do Google Container Registry particular sem a chave da conta de serviço do Google exportada. As credenciais de pull de imagem são gerenciadas e alternadas automaticamente pelo Google.

  • Recurso: foi removida a necessidade de adicionar explicitamente vinculações do Google IAM para a maioria dos recursos.

    1. Não é mais necessário adicionar vinculações para gke-system/gke-telemetry-agent ao criar um cluster.
    2. Não é mais necessário adicionar vinculações para gmp-system/collector ou gmp-system/rule-evaluator ao ativar a coleta de dados gerenciada no Google Managed Service para Prometheus.
    3. Não é mais necessário adicionar vinculações para gke-system/binauthz-agent ao ativar a autorização binária

  • Recurso: a atualização do AWS Surge agora está em disponibilidade geral. As atualizações de surge permitem configurar a velocidade e a interrupção das atualizações do pool de nós. Para mais detalhes sobre como ativar e definir as configurações do Surge nos pools de nós da AWS, consulte Configurar atualizações do Surge de pools de nós.

  • Recurso: upgrade do kernel para Ubuntu 22.04 para linux-aws 6.2.

  • Recurso: foi adicionado suporte à criação de pools de nós usando as seguintes instâncias do AWS EC2: G5, I4g, M7a, M7g, M7i, R7g, R7i e R7iz.

  • Correção de bug: melhoria na criação do modelo de inicialização. As tags fornecidas pelos clientes são propagadas para as instâncias.

    • Essa alteração melhora principalmente o suporte às regras de política do IAM. Ela aborda especificamente as regras que proíbem o uso de modelos de inicialização que não são compatíveis com a propagação de tags, mesmo nos casos em que o grupo de escalonamento automático (ASG, na sigla em inglês) associado propaga tags.
    • Essa pode ser uma alteração interruptiva, dependendo das especificações da política do IAM do cliente sobre as verificações de tags. Portanto, é importante ter cuidado durante o processo de upgrade, já que o processamento inapropriado pode deixar um cluster em um estado degradado.
    • A ação ec2:CreateTags no recurso arn:aws:ec2:*:*:instance/* é necessária para o papel de agente de serviço da API Anthos Multi-Cloud. Consulte https://cloud.google.com/kubernetes-engine/multi-cloud/docs/aws/how-to/create-aws-iam-roles#create_service_agent_role para ver as informações mais recentes.
    • Sugerimos que os clientes tentem criar um cluster 1.28 descartável e confirme se as políticas do IAM funcionam corretamente antes de tentarem fazer upgrade para a 1.28.

  • Correção de bug: o upgrade de um cluster para a versão 1.28 vai limpar recursos obsoletos que podem ter sido criados em versões mais antigas (até a 1.25), mas que não são mais relevantes. Os seguintes recursos no namespace gke-system serão excluídos, se existirem:

    • Os daemonsets fluentbit-gke-windows e gke-metrics-agent-windows
    • configmaps fluentbit-gke-windows-config e gke-metrics-agent-windows-conf

  • Correção de bug: ingestão aprimorada de registros de clusters do Anthos na AWS pelo Cloud Logging:

    • Correção de um problema na análise do carimbo de data/hora.
    • O nível de gravidade correto foi atribuído aos registros de erro de anthos-metadata-agent.

  • Correções de segurança

Kubernetes 1.27

1.27.14-gke.1600

Notas de lançamento do OSS do Kubernetes (em inglês).

1.27.14-gke.1200

Notas de lançamento do OSS do Kubernetes (em inglês).

1.27.14-gke.700

Notas de lançamento do OSS do Kubernetes (em inglês).

1.27.13-gke.500

Notas de lançamento do OSS do Kubernetes (em inglês).

1.27.12-gke.800

Notas de lançamento do OSS do Kubernetes (em inglês).

1.27.11-gke.1600

Notas de lançamento do OSS do Kubernetes (em inglês).

  • Correção de bug: foi corrigido um problema em que o emulador do Serviço de metadados de instância (IMDS, na sigla em inglês) às vezes falhava ao se vincular a um endereço IP no nó. O emulador de IMDS permite que os nós acessem com segurança os metadados da instância do AWS EC2.

1.27.10-gke.500

Notas de lançamento do OSS do Kubernetes (em inglês).

1.27.9-gke.100

Notas de lançamento do OSS do Kubernetes (em inglês).

1.27.7-gke.600

Notas de lançamento do OSS do Kubernetes (em inglês).

  • Recurso: foi adicionado suporte para a criação de pools de nós usando a instância "G5" do AWS EC2.

  • Correção de bug: ingestão aprimorada de registros de clusters do Anthos na AWS pelo Cloud Logging:

    • Correção de um problema na análise do carimbo de data/hora.
    • O nível de gravidade correto foi atribuído aos registros de erro de anthos-metadata-agent.

  • Correções de segurança

1.27.6-gke.700

Notas de lançamento do OSS do Kubernetes (em inglês).

1.27.5-gke.200

Notas de lançamento do OSS do Kubernetes (em inglês).

1.27.4-gke.1600

Notas da versão do Kubernetes OSS * Descontinuação: desativação da porta somente leitura 10255 do kubelet não autenticado. Depois que um pool de nós é atualizado para a versão 1.27, as cargas de trabalho em execução nele não podem mais se conectar à porta 10255.

  • Recurso: o recurso de atualização do AWS Surge está disponível no modo de visualização. As atualizações de surge permitem configurar a velocidade e a interrupção das atualizações do pool de nós. Entre em contato com a equipe de conta para ativar a visualização.
  • Recurso: upgrade do driver CSI EBS para a v1.20.0.
  • Recurso: upgrade do driver CSI EFS para a v1.5.7.

  • Recurso: upgrade de snapshot-controller e csi-snapshot-validation-webhook para a v6.2.2. Esta nova versão introduz uma mudança importante na API. Especificamente, as APIs VolumeSnapshot, VolumeSnapshotContents e VolumeSnapshotClass v1beta1 não estão mais disponíveis.

  • Recurso: foi adicionado suporte a uma nova flag admin-groups nas APIs de criação e atualização. Essa flag permite que os clientes autentiquem grupos listados como administradores de cluster de maneira rápida e fácil, eliminando a necessidade de criar e aplicar políticas de RBAC manualmente.

  • Recurso: foi adicionado suporte à autorização binária, que é um controle de segurança no momento da implantação que garante que apenas imagens de contêiner confiáveis sejam implantadas. Com a autorização binária, é possível solicitar que as imagens sejam assinadas por autoridades confiáveis durante o processo de desenvolvimento e, então, aplicar a validação da assinatura na implantação. Ao aplicar a validação, você assume maior controle sobre o ambiente de contêiner, assegurando que apenas imagens verificadas sejam integradas ao processo de criação e lançamento. Para detalhes sobre como ativar a autorização binária nos clusters, consulte Como ativar a autorização binária.

  • Recurso: a compactação gzip foi ativada para fluent-bit (um processador e encaminhador de registros), gke-metrics-agent (um coletor de métricas) e audit-proxy (um proxy de registros de auditoria). fluent-bit compacta os dados de registro do plano de controle e das cargas de trabalho antes de enviá-los ao Cloud Logging. gke-metrics-agent compacta os dados de métricas do plano de controle e das cargas de trabalho antes de enviá-los ao Cloud Monitoring. audit-proxy compacta os dados do registro de auditoria antes de enviá-los ao registro de auditoria. Isso reduz os custos e a largura de banda da rede.

  • Recurso: a criação de pools de nós SPOT da AWS agora tem disponibilidade geral.

  • Recurso: o reparo automático de nós agora está em disponibilidade geral.

  • Recurso: segurança aprimorada com a adição de verificações de integridade do arquivo e validação de impressão digital para artefatos binários transferidos por download do Cloud Storage.

  • Recurso: adicionado uma opção ignore_errors à API de exclusão para lidar com casos em que papéis do IAM foram excluídos acidentalmente ou a remoção manual de recursos impede a exclusão de clusters ou pools de nós. Ao anexar ?ignore_errors=true ao URL de solicitação DELETE, os usuários agora podem forçar a remoção de clusters ou pools de nós. No entanto, essa abordagem pode resultar em recursos órfãos na AWS ou no Azure, exigindo limpeza manual.

  • Recurso: foi adicionado suporte à desfragmentação periódica e automática de etcd e etcd-events no plano de controle. Esse recurso reduz o armazenamento desnecessário em disco e ajuda a evitar que etcd e o plano de controle fiquem indisponíveis devido a problemas de armazenamento em disco.

  • Recurso: os nomes das métricas de recursos do Kubernetes foram alterados para usar um prefixo de métricas de kubernetes.io/anthos/ em vez de kubernetes.io/. Para mais detalhes, consulte a documentação de referência de métricas.

  • Recurso: foi alterada a versão padrão do etcd para a v3.4.21 em novos clusters para melhorar a estabilidade. Os clusters que receberam upgrade para essa versão vão usar o etcd v3.5.6.

  • Recurso: melhor gerenciamento de recursos de nós reservando recursos para o kubelet. Embora esse recurso seja essencial para evitar erros de falta de memória (OOM, na sigla em inglês), garantindo que os processos do sistema e do Kubernetes tenham os recursos necessários, isso pode levar a interrupções da carga de trabalho. A reserva de recursos para o kubelet pode afetar os recursos disponíveis para pods, possivelmente afetando a capacidade de nós menores de lidar com as cargas de trabalho atuais. Os clientes precisam verificar se os nós menores ainda suportam as cargas de trabalho com esse novo recurso ativado.

    • As porcentagens de memória reservada são as seguintes:
    • 255 MiB para máquinas com menos de 1 GB de memória
    • 25% dos primeiros 4 GB de memória
    • 20% dos próximos 4 GB
    • 10% dos próximos 8 GB
    • 6% dos próximos 112 GB
    • 2% de qualquer memória acima de 128 GB
    • As porcentagens de CPU reservadas são as seguintes:
    • 6% do primeiro núcleo
    • 1% do próximo núcleo
    • 0,5% dos próximos dois núcleos
    • 0,25% de todos os núcleos acima de quatro núcleos

  • Correções de bug

    • Escalonador automático de cluster ativado para equilibrar os nós em diferentes zonas de disponibilidade. Para isso, use a flag --balance-similar-node-groups.

  • Correções de segurança

Kubernetes 1.26

1.26.14-gke.1500

Notas de lançamento do OSS do Kubernetes (em inglês).

  • Correção de bug: foi corrigido um problema em que o emulador do Serviço de metadados de instância (IMDS, na sigla em inglês) às vezes falhava ao se vincular a um endereço IP no nó. O emulador de IMDS permite que os nós acessem com segurança os metadados da instância do AWS EC2.

1.26.13-gke.400

Notas de lançamento do OSS do Kubernetes (em inglês).

1.26.12-gke.100

Notas de lançamento do OSS do Kubernetes (em inglês).

1.26.10-gke.600

Notas de lançamento do OSS do Kubernetes (em inglês).

  • Recurso: foi adicionado suporte para a criação de pools de nós usando a instância "G5" do AWS EC2.

  • Correção de bug:upgrade do driver aws-efs-csi-driver da interface de armazenamento de contêineres (CSI) do Elastic File System (EFS) para a versão v1.3.8-gke.21.

  • Correção de bug: ingestão aprimorada de registros de clusters do Anthos na AWS pelo Cloud Logging:

    • Correção de um problema na análise do carimbo de data/hora.
    • O nível de gravidade correto foi atribuído aos registros de erro de anthos-metadata-agent.

  • Correções de segurança

1.26.9-gke.700

Notas de lançamento do OSS do Kubernetes (em inglês).

1.26.8-gke.200

Notas de lançamento do OSS do Kubernetes (em inglês).

1.26.7-gke.500

Notas de lançamento do OSS do Kubernetes (em inglês).

1.26.5-gke.1400

Notas de lançamento do OSS do Kubernetes (em inglês).

1.26.5-gke.1200

Notas de lançamento do OSS do Kubernetes (em inglês).

  • Correções de bugs
    • Configura o autoescalador de cluster para equilibrar o número de nós nas zonas de disponibilidade usando "--balance-similar-node-groups".

1.26.4-gke.2200

Notas da versão do OSS do Kubernetes * Recurso:o Ubuntu 22.04 está usando o kernel linux-aws 5.19.

  • Correções de bug

    • Correção de um problema em que o Kubernetes aplicava incorretamente o StorageClass padrão a PersistentVolumeClaims, que tinham a anotação descontinuada volume.beta.kubernetes.io/storage-class.
    • Correção de um problema em que o agente do Logging consumia quantidades cada vez maiores de memória.

  • Correções de segurança

    • Foi corrigido um problema que afetava o rastreamento de conexão do netfilter (conntrack), responsável por monitorar as conexões de rede. A correção garante a inserção correta de novas conexões na tabela conntrack e supera as limitações causadas por alterações feitas nas versões 5.15 e posteriores do kernel do Linux.

1.26.2-gke.1001

Notas de lançamento do OSS do Kubernetes (em inglês).

  • Problema conhecido:o Kubernetes 1.26.2 vai aplicar incorretamente o StorageClass padrão a PersistentVolumeClaims que tenham a anotação descontinuada volume.beta.kubernetes.io/storage-class.

  • Recurso:imagem do SO atualizada para o Ubuntu 22.04. cgroupv2 agora é usado como a configuração padrão do grupo de controle.

    • O Ubuntu 22.04 usa cgroupv2 por padrão. Recomendamos que você verifique se algum dos seus aplicativos acessa o sistema de arquivos cgroup. Se isso acontecer, será necessário atualizá-los para usar cgroupv2. Alguns exemplos de aplicativos que podem exigir atualizações para garantir a compatibilidade com cgroupv2 são:
    • Agentes de segurança e monitoramento de terceiros que dependem do sistema de arquivos cgroup.
    • Se cAdvisor estiver sendo usado como um DaemonSet independente para monitorar pods e contêineres, ele precisará ser atualizado para a versão v0.43.0 ou posterior.
    • Se você estiver usando o JDK, recomendamos a versão 11.0.16 ou posterior. Estas versões são totalmente compatíveis com cgroupv2.
    • Se você estiver usando o pacote uber-go/automaxprocs, use a versão v1.5.1 ou superior.
    • O Ubuntu 22.04 remove o pacote timesyncd. Em vez disso, chrony agora é usado para o Amazon Time Sync Service.
    • Para mais informações, consulte as notas da versão do Ubuntu.

  • Recurso:envia métricas para componentes do plano de controle ao Cloud Monitoring. Isso inclui um subconjunto das métricas do Prometheus de kube-apiserver, etcd, kube-scheduler e kube-controller-manager. Os nomes das métricas usam o prefixo kubernetes.io/anthos/.

  • Recurso: ativado o envio de metadados de recursos do Kubernetes para o Google Cloud Platform, melhorando a interface do usuário e as métricas do cluster. Para que os metadados sejam ingeridos corretamente, os clientes precisam ativar a API Config Monitoring for Ops. Essa API pode ser ativada no Google Cloud console ou ativando manualmente a API opsconfigmonitoring.googleapis.com na CLI gcloud. Além disso, os clientes precisam seguir as etapas descritas na documentação do Autorizar o Cloud Logging/Monitoring para adicionar as vinculações do IAM necessárias. Se aplicável, adicione opsconfigmonitoring.googleapis.com à sua lista de permissões de proxy.

  • Recurso:foi adicionado um recurso de visualização para criar um pool de nós do Spot AWS.

  • Recurso:a criação de pools de nós usando tipos de instância baseados em ARM (Graviton) agora é GA.

  • Recurso:encerramento de nó otimizado do kubelet ativado. Os pods que não são do sistema têm 15 segundos para serem encerrados. Depois disso, os pods do sistema (com as classes de prioridade system-cluster-critical ou system-node-critical) têm 15 segundos para serem encerrados normalmente.

  • Recurso:recurso de reparo automático de nó ativado no modo de visualização. Entre em contato com a equipe de conta para ativar a visualização.

  • Recurso:tags adicionadas ao recurso de ponto de acesso EFS criado dinamicamente.

  • Recurso:os clusters agora têm regras de grupo de segurança de sub-rede por pool de nós em vez de regras em toda a VPC

    • Anteriormente, o plano de controle permitia o tráfego de entrada de todo o intervalo de IP principal da VPC nas portas TCP/443 e TCP/8123, que são usadas por pools de nós.
    • Agora, o plano de controle restringe o tráfego de entrada permitido para cada intervalo de IP das sub-redes do pool de nós nas portas TCP/443 e TCP/8123. vários pools de nós podem compartilhar uma sub-rede.
    • Essa alteração é compatível com pools de nós em execução fora do intervalo de IP principal da VPC e melhora a segurança do plano de controle.
    • Se você usou a regra de grupo de segurança da VPC para permitir tráfego de fora do cluster (por exemplo, de um Bastion Host para kubectl), como parte do upgrade, crie um grupo de segurança, adicione uma regra da VPC e anexe o grupo de segurança ao plano de controle (pelo campo AwsCluster.controlPlane.securityGroupIds).

  • Correções de bugs:os clusters recém-criados agora usam o etcd v3.4.21 para melhorar a estabilidade. Os clusters das versões anteriores já estavam usando o etcd v3.5.x e não receberão downgrade para a v3.4.21 durante o upgrade do cluster. esses clusters usarão a versão 3.5.6.

  • Correção de segurança:defina o limite de salto da resposta do emulador IMDS como 1. Isso protege a comunicação de dados IGDG entre o emulador e uma carga de trabalho.

Kubernetes 1.25

1.25.14-gke.700

Notas de lançamento do OSS do Kubernetes (em inglês).

1.25.13-gke.200

Notas de lançamento do OSS do Kubernetes (em inglês).

1.25.12-gke.500

Notas da versão do OSS do Kubernetes * Recurso:a lista de métricas coletadas de pools de nós foi expandida para incluir gke-metrics-agent, cilium-agent, cilium-operator, coredns, fluentbit-gke, kubelet e konnectivity-agent.

1.25.10-gke.1400

Notas de lançamento do OSS do Kubernetes (em inglês).

1.25.10-gke.1200

Notas de lançamento do OSS do Kubernetes (em inglês).

  • Correções de bugs
    • Configura o autoescalador de cluster para equilibrar o número de nós nas zonas de disponibilidade usando "--balance-similar-node-groups".
  • Correções de segurança
    • Migração do agente e do servidor de métricas do pool de nós para a porta kubelet autenticada.

1.25.8-gke.500

Notas de lançamento do OSS do Kubernetes (em inglês).

  • Correções de bug

    • Correção de um problema em que o agente do Logging consumia quantidades cada vez maiores de memória.

  • Correções de segurança

1.25.7-gke.1000

Notas de lançamento do OSS do Kubernetes (em inglês).

  • Recurso:tags adicionadas ao recurso de ponto de acesso EFS criado dinamicamente.

  • Correções de bugs:os clusters recém-criados agora usam o etcd v3.4.21 para melhorar a estabilidade. Os clusters das versões anteriores já estavam usando o etcd v3.5.x e não receberão downgrade para a v3.4.21 durante o upgrade do cluster. esses clusters usarão a versão 3.5.6.

1.25.6-gke.1600

Notas de lançamento do OSS do Kubernetes (em inglês).

1.25.5-gke.2000

Observações da versão do Kubernetes OSS * Recurso:o Anthos Identity Service foi atualizado para lidar melhor com solicitações de webhook de autenticação simultâneas.

  • Correção de bug:foi corrigido um problema em que alguns erros não eram propagados e relatados durante as operações de criação/atualização do cluster.
  • Correção de bug:correção de um problema com o driver CSI do AWS EFS em que nomes do host do EFS não podem ser resolvidos quando a VPC da AWS está configurada para usar um servidor DNS personalizado.

  • Correção de bug:correção de um problema em que a autenticação pelo painel do Anthos Service Mesh falhava devido à impossibilidade de representar o usuário final.

  • Correções de segurança

1.25.5-gke.1500

Notas de lançamento do OSS do Kubernetes (em inglês).

  • Problema conhecido:algumas superfícies de IU no console do Google Cloud não podem autorizar o cluster e podem exibir o cluster como inacessível. Uma solução alternativa é aplicar manualmente o RBAC que permite a representação do usuário. Confira mais detalhes em Solução de problemas.

  • Correções de segurança

1.25.4-gke.1300

Notas de lançamento do OSS do Kubernetes (em inglês).

  • Problema conhecido:algumas superfícies de IU no console do Google Cloud não podem autorizar o cluster e podem exibir o cluster como inacessível. Uma solução alternativa é aplicar manualmente o RBAC que permite a representação do usuário. Confira mais detalhes em Solução de problemas.

  • Descontinuação:remoção dos plug-ins flocker, quobyte e storageos descontinuados de volumes na árvore.

  • Recurso:segurança aprimorada ao restringir pods estáticos em execução nas VMs do plano de controle do cluster para que sejam executados como usuários não raiz do Linux.

  • Recurso:suporte adicionado para atualizar dinamicamente os grupos de segurança do pool de nós da AWS. Para atualizar grupos de segurança, você precisa ter as seguintes permissões no papel da API:

    • ec2:ModifyInstanceAttribute
    • ec2:DescribeInstances

  • Recurso:foi adicionado suporte para atualizar dinamicamente as tags do pool de nós da AWS. Para atualizar as tags do pool de nós, você precisa ter as seguintes permissões no papel da API:

    • autoscaling:CreateOrUpdateTags
    • autoscaling:DeleteTags
    • ec2:CreateTags
    • ec2:DeleteTags
    • ec2:DescribeLaunchTemplates

  • Recurso:o provisionamento dinâmico do EFS agora está disponível na versão GA para clusters na versão 1.25 ou mais recente. Para usar esse recurso, você precisa adicionar as seguintes permissões ao papel do plano de controle:

    • ec2:DescribeAvailabilityZones
    • elasticfilesystem:DescribeAccessPoints
    • elasticfilesystem:DescribeFileSystems
    • elasticfilesystem:DescribeMountTargets
    • elasticfilesystem:CreateAccessPoint
    • elasticfilesystem:DeleteAccessPoint

  • Recurso:o upload de métricas de carga de trabalho usando o Google Managed Service para Prometheus com a coleta gerenciada para o Cloud Monarch já está disponível em GA.

  • Recurso:suporte adicionado para ativar e atualizar a coleta de métricas do CloudWatch no grupo de escalonamento automático do pool de nós da AWS. Para ativar ou atualizar a coleta de métricas pela API Create ou Update, adicione as seguintes permissões ao papel da API:

    • autoscaling:EnableMetricsCollection
    • autoscaling:DisableMetricsCollection

  • Recurso:GA do Azure AD. Esse recurso permite que os administradores de cluster configurem políticas de RBAC com base nos grupos do Azure AD para autorização em clusters. Isso permite a recuperação de informações de grupos para usuários pertencentes a mais de 200 grupos, ultrapassando uma limitação do OIDC normal configurado com o Azure AD como o provedor de identidade.

  • Recurso:foi adicionado um novo gerenciador de tokens (gke-token-manager) para gerar tokens para componentes do plano de controle usando a chave de assinatura da conta de serviço. Benefícios:

    1. Elimine a dependência no kube-apiserver para componentes do plano de controle com relação à autenticação nos serviços do Google. Anteriormente, os componentes do plano de controle usavam a API TokenRequest e dependiam de um kube-apiserver íntegro. Agora, o componente gke-token-manager gera os tokens diretamente usando a chave de assinatura da conta de serviço.
    2. Elimine o RBAC a fim de gerar tokens para componentes do plano de controle.
    3. Separe a geração de registros e o kube-apiserver. Para que a geração de registros possa ser ingerida antes do kube-apiserver estar ativo.
    4. Faça com que o plano de controle seja mais resiliente. Quando o kube-apiserver está fora de serviço, os componentes do plano de controle ainda podem receber os tokens e continuar funcionando.

  • Recurso:como recurso em fase de pré-lançamento, faça a ingestão de várias métricas dos componentes do plano de controle no Cloud Monitoring, incluindo kube-apiserver, etcd, kube-scheduler e kube-controller-manager.

  • Recurso:os usuários em um grupo do Google podem acessar os clusters da AWS usando o Connect Gateway concedendo a permissão RBAC necessária ao grupo. Confira mais detalhes em Configurar o gateway do Connect com os Grupos do Google.

  • Correção de bug:correção de um problema que poderia fazer com que versões desatualizadas de gke-connect-agent não fossem removidas após upgrades do cluster.

  • Correções de segurança

Kubernetes 1.24

1.24.14-gke.2700

Notas de lançamento do OSS do Kubernetes (em inglês).

1.24.14-gke.1400

Notas de lançamento do OSS do Kubernetes (em inglês).

  • Correções de bugs
    • Configura o autoescalador de cluster para equilibrar o número de nós nas zonas de disponibilidade usando "--balance-similar-node-groups".

1.24.13-gke.500

Notas de lançamento do OSS do Kubernetes (em inglês).

  • Correções de bug

    • Correção de um problema em que o agente do Logging consumia quantidades cada vez maiores de memória.

  • Correções de segurança

1.24.11-gke.1000

Notas de lançamento do OSS do Kubernetes (em inglês).

  • Correções de bugs:os clusters recém-criados agora usam o etcd v3.4.21 para melhorar a estabilidade. Os clusters das versões anteriores já estavam usando o etcd v3.5.x e não receberão downgrade para a v3.4.21 durante o upgrade do cluster. esses clusters usarão a versão 3.5.6.

1.24.10-gke.1200

Notas de lançamento do OSS do Kubernetes (em inglês).

  • Correção de bug:foi corrigido um problema que poderia causar falhas em upgrades de cluster se alguns tipos de webhooks de admissão de validação fossem registrados.
  • Correção de bug:a propagação do ID de segurança do Cilium foi corrigida para que os códigos sejam transmitidos corretamente no cabeçalho do túnel quando as solicitações são encaminhadas para serviços dos tipos NodePort e LoadBalancer.
  • Correções de segurança

1.24.9-gke.2000

Notas de lançamento do OSS do Kubernetes (em inglês).

  • Recurso:o Anthos Identity Service foi atualizado para lidar melhor com solicitações de webhook de autenticação simultâneas.

  • Correção de bug:foi corrigido um problema em que alguns erros não eram propagados e relatados durante as operações de criação/atualização do cluster.

  • Correções de segurança

1.24.9-gke.1500

Notas de lançamento do OSS do Kubernetes (em inglês).

1.24.8-gke.1300

Notas de lançamento do OSS do Kubernetes (em inglês).

1.24.5-gke.200

Notas de lançamento do OSS do Kubernetes (em inglês).

1.24.3-gke.2200

Notas de lançamento do OSS do Kubernetes (em inglês).

  • Correção de bug:correção de um bug em que a criação de um recurso de Serviço do Kubernetes com o tipo LoadBalancer e a anotação service.beta.kubernetes.io/aws-load-balancer-type: nlb permaneceria com um grupo de segmentação vazio. Consulte https://github.com/kubernetes/cloud-provider-aws/issues/301

1.24.3-gke.2100

Notas de lançamento do OSS do Kubernetes (em inglês).

  • Recurso:fazer o upload de métricas de recursos do Kubernetes para o Google Cloud Monitoring para pools de nós do Windows.
  • Recurso:fornecimento de um webhook para injeção fácil de emulador do IMDS.
  • Recurso:o go1.18 para de aceitar certificados assinados com o algoritmo de hash SHA-1 por padrão. Os webhooks de admissão/conversão ou endpoints de servidor agregados que usam esses certificados não seguros serão corrompidos por padrão na versão 1.24. A variável de ambiente GODEBUG=x509sha1=1 é definida nos clusters do Anthos no AWS como uma solução temporária para permitir que esses certificados não seguros continuem funcionando. No entanto, a equipe do Go está prevista para remover o suporte para essa solução nas próximas versões. Os clientes devem verificar se não há webhooks de admissão/conversão ou endpoints de servidor agregados que usam esses certificados não seguros antes de fazer upgrade para a próxima versão interruptiva.
  • Recurso:o GKE na AWS agora é compatível com o provisionamento dinâmico do EFS no modo de visualização, para clusters do Kubernetes na versão 1.24 ou mais recente. Para usar esse recurso, você precisa adicionar as seguintes permissões à função do plano de controle: ec2:DescribeAvailabilityZones elasticfilesystem:DescribeAccessPoints elasticfilesystem:DescribeFileSystems elasticfilesystem:DescribeMountTargets elasticfilesystem:CreateAccessPoint elasticfilesystem:DeleteAccessPoint

  • Recurso:melhore as verificações de conectividade de rede durante a criação do cluster e do pool de nós para ajudar na solução de problemas.

  • Recurso:compatível com atualizações das tags do plano de controle do AWS. Para atualizar as tags, adicione as seguintes permissões ao papel da API: autoscaling:CreateOrUpdateTags autoscaling:DeleteTags ec2:CreateTags ec2:DescribeLaunchTemplates ec2:DescribeSecurityGroupRules ec2:DeleteTags elasticloadbalancing:AddTags elasticloadbalancing:RemoveTags

  • Recurso:o upload de métricas de carga de trabalho usando o Google Managed Service para Prometheus para o Cloud Monarch está disponível como uma visualização particular somente para convidados.

  • Correções de segurança

Kubernetes 1.23

1.23.16-gke.2800

Notas de lançamento do OSS do Kubernetes (em inglês).

1.23.16-gke.200

Notas de lançamento do OSS do Kubernetes (em inglês).

  • Correção de bug:foi corrigido um problema em que alguns erros não eram propagados e relatados durante as operações de criação/atualização do cluster.

  • Correção de bug:foram corrigidos problemas de cpp-httplib com o servidor kubeapi incapaz de acessar o AIS.

  • Correções de segurança

1.23.14-gke.1800

Notas de lançamento do OSS do Kubernetes (em inglês).

1.23.14-gke.1100

Notas de lançamento do OSS do Kubernetes (em inglês).

1.23.11-gke.300

Notas de lançamento do OSS do Kubernetes (em inglês).

1.23.9-gke.2200

Notas de lançamento do OSS do Kubernetes (em inglês).

  • Correção de bug:correção de um bug em que a criação de um recurso de Serviço do Kubernetes com o tipo LoadBalancer e a anotação service.beta.kubernetes.io/aws-load-balancer-type: nlb permaneceria com um grupo de segmentação vazio. Consulte https://github.com/kubernetes/cloud-provider-aws/issues/301

1.23.9-gke.2100

Notas de lançamento do OSS do Kubernetes (em inglês).

1.23.9-gke.800

Notas de lançamento do OSS do Kubernetes (em inglês).

1.23.8-gke.1700

Notas de lançamento do OSS do Kubernetes (em inglês).

1.23.7-gke.1300

Notas de lançamento do OSS do Kubernetes (em inglês).

  • Recurso:desativação do endpoint de criação de perfil (/debug/pprof) por padrão no kube-scheduler e no kube-controller-manager.

  • Recurso:atualize o kube-apiserver e o kubelet para usar apenas criptografias criptográficas fortes. Criptografias compatíveis usadas pelo Kubelet:

    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_GCM_SHA256

    Criptografias compatíveis usadas pelo kube api-server:

    TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256, TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384

  • Recurso:adicionar um emulador do servidor de metadados da instância (IMDS).

  • Correções de segurança

Kubernetes 1.22

1.22.15-gke.100

Notas de lançamento do OSS do Kubernetes (em inglês).

1.22.12-gke.2300

Notas de lançamento do OSS do Kubernetes (em inglês).

1.22.12-gke.1100

Notas de lançamento do OSS do Kubernetes (em inglês).

1.22.12-gke.200

Notas de lançamento do OSS do Kubernetes (em inglês).

1.22.10-gke.1500

Notas de lançamento do OSS do Kubernetes (em inglês).

1.22.8-gke.2100

Notas de lançamento do OSS do Kubernetes (em inglês).

  • Recurso:os nós do Windows agora usam pigz para melhorar o desempenho da extração de camadas de imagem.

1.22.8-gke.1300

  • Correções de bugs
    • Correção de um problema em que os complementos não podiam ser aplicados quando os pools de nós do Windows estavam ativados.
    • Correção de um problema em que o agente de geração de registros podia preencher o espaço em disco anexado.
  • Correções de segurança
    • Foi corrigida a CVE-2022-1055.
    • Foi corrigida a CVE-2022-0886.
    • Foi corrigida a CVE-2022-0492.
    • Foi corrigida a CVE-2022-24769.
    • Essa versão inclui as seguintes alterações de controle de acesso baseado em função (RBAC):
    • Permissões anet-operator no escopo da atualização do easing.
    • O escopo anetd foi definido como permissões do Daemonset para nós e pods.
    • Remoção das permissões fluentbit-gke para tokens de conta de serviço.
    • O escopo gke-metrics-agent foi definido para os tokens da conta de serviço.
    • Permissões coredns-autoscaler com escopo definido para nós, ConfigMaps e implantações.

1.22.8-gke.200

Notas de lançamento do OSS do Kubernetes (em inglês).

  • Recurso:o tipo de instância padrão para clusters e pools de nós criados no Kubernetes v1.22 agora é m5.large, em vez de t3.medium.
  • Recurso:ao criar um novo cluster usando o Kubernetes versão 1.22, agora é possível configurar parâmetros de geração de registros personalizados.
  • Recurso:como recurso de visualização, agora é possível escolher o Windows como o tipo de imagem do pool de nós ao criar pools de nós com a versão 1.22 do Kubernetes.
  • Recurso:como recurso de pré-lançamento, agora é possível configurar máquinas host como hosts dedicados.
  • Recurso:agora é possível visualizar os erros de inicialização mais comuns de cluster assíncrono e pool de nós no campo de erro de operação longa. Para mais informações, consulte a documentação de referência do gcloud container aws operations list.
  • Correções de segurança

Kubernetes 1.21

1.21.14-gke.2900

Notas de lançamento do OSS do Kubernetes (em inglês).

1.21.14-gke.2100

Notas de lançamento do OSS do Kubernetes (em inglês).

1.21.11-gke.1900

Notas de lançamento do OSS do Kubernetes (em inglês).

1.21.11-gke.1800

Notas de lançamento do OSS do Kubernetes (em inglês).

1.21.11-gke.1100

  • Correções de segurança
    • Foi corrigida a CVE-2022-1055.
    • Foi corrigida a CVE-2022-0886.
    • Foi corrigida a CVE-2022-0492.
    • Foi corrigida a CVE-2022-24769.
    • Correções do RBAC:
    • Permissões do operador anet com escopo definido para a atualização do Lease.
    • Permissões do Daemonset anetd com escopo para nós e pods.
    • Permissões fluentbit-gke com escopo para tokens de contas de serviço
    • Gke-metrics-agent com escopo para os tokens da conta de serviço.
    • Permissões corecore-autoscaler com escopo para nós, ConfigMaps e implantações.

1.21.11-gke.100

Notas de lançamento do OSS do Kubernetes (em inglês).

1.21.6-gke.1500

Notas de lançamento do OSS do Kubernetes (em inglês).

1.21.5-gke.2800

Notas de lançamento do OSS do Kubernetes (em inglês).