Cette documentation concerne la version la plus récente des clusters Anthos sur AWS, lancée le 3 novembre. Consultez les notes de version pour plus d'informations. Pour en savoir plus sur la génération précédente d'Anthos clusters on AWS, consultez la section Génération précédente.

Quotas et limites

Cette page répertorie les quotas et limites qui s'appliquent à Anthos clusters on AWS.

Versions de cluster

Anthos clusters on AWS est compatible avec les versions Kubernetes suivantes :

Kubernetes 1.25

1.25.5-gke.2000

Notes de version de Kubernetes OSS

  • Certaines erreurs n'étaient pas propagées et signalées lors des opérations de création/mise à jour du cluster. Ce problème a été résolu.
  • Correction d'un problème avec le pilote CSI AWS EFS où les noms d'hôte EFS ne pouvaient pas être résolus lorsque le VPC AWS est configuré pour utiliser un serveur DNS personnalisé.
  • Mise à jour d'Anthos Identity Service pour mieux gérer les requêtes de webhook simultanées.

  • Mise à jour de fluent-bit vers la révision 1.9.9 pour corriger CVE-2022-42898.

  • Correctifs de sécurité

  • L'authentification via le tableau de bord Anthos Service Mesh échouait en raison de l'impossibilité d'emprunter l'identité de l'utilisateur final. Ce problème a été résolu.

1.25.5-gke.1500

Notes de version de Kubernetes OSS

  • Problème connu: Certaines surfaces d'UI de la console Google Cloud ne peuvent pas autoriser le cluster et peuvent afficher le cluster comme inaccessible. Une solution de contournement consiste à appliquer manuellement le contrôle RBAC permettant l'emprunt d'identité. Pour en savoir plus, consultez Dépannage.

  • Correctifs de sécurité

1.25.4-gke.1300

Notes de version de Kubernetes OSS

  • Problème connu: Certaines surfaces d'UI de la console Google Cloud ne peuvent pas autoriser le cluster et peuvent afficher le cluster comme inaccessible. Une solution de contournement consiste à appliquer manuellement le contrôle RBAC permettant l'emprunt d'identité. Pour en savoir plus, consultez Dépannage.

  • Suppression de plug-ins de volume "in-tree" obsolètes flocker, quobyte et storageos.

  • Correctifs de sécurité

  • Amélioration de la sécurité: les pods statiques restreints s'exécutant sur les VM du plan de contrôle du cluster s'exécutent en tant qu'utilisateurs Linux non racine.

  • Fonctionnalité désormais disponible pour la mise à jour dynamique des groupes de sécurité des pools de nœuds AWS. Pour mettre à jour les groupes de sécurité, vous devez disposer des autorisations suivantes dans votre rôle API :

    • ec2:ModifyInstanceAttribute
    • ec2:DescribeInstances

  • Fonctionnalité désormais disponible pour la mise à jour dynamique des tags de pool de nœuds AWS. Pour mettre à jour les tags de pool de nœuds, vous devez disposer des autorisations suivantes dans votre rôle API :

    • autoscaling:CreateOrUpdateTags
    • autoscaling:DeleteTags
    • ec2:CreateTags
    • ec2:DeleteTags
    • ec2:DescribeLaunchTemplates

  • Fonctionnalité: Le provisionnement dynamique EFS est désormais disponible en version stable pour les clusters à partir de la version 1.25. Pour utiliser cette fonctionnalité, vous devez ajouter les autorisations suivantes au rôle de plan de contrôle:

    • ec2:DescribeAvailabilityZones
    • elasticfilesystem:DescribeAccessPoints
    • elasticfilesystem:DescribeFileSystems
    • elasticfilesystem:DescribeMountTargets
    • elasticfilesystem:CreateAccessPoint
    • elasticfilesystem:DeleteAccessPoint

  • L'importation de métriques de charge de travail à l'aide de Google Managed Service pour Prometheus avec la collecte gérée dans Cloud Monarch est désormais disponible en disponibilité générale.

  • Fonctionnalité disponible: activation et mise à jour de la collecte de métriques CloudWatch sur le groupe d'autoscaling du pool de nœuds AWS. Pour activer ou mettre à jour la collecte de métriques via l'API de création ou de mise à jour, vous devez ajouter les autorisations suivantes à votre rôle API:

    • autoscaling:EnableMetricsCollection
    • autoscaling:DisableMetricsCollection

  • Fonctionnalité: Azure AD GA. Cette fonctionnalité permet aux administrateurs de cluster de configurer des stratégies RBAC basées sur des groupes Azure AD pour l'autorisation dans les clusters. Cela permet de récupérer les informations sur les groupes pour les utilisateurs de plus de 200 groupes, ce qui permet de contourner la limitation d'OIDC standard configurée avec Azure AD comme fournisseur d'identité.

  • Architecture: ajout d'un gestionnaire de jetons (gke-token-manager) pour générer des jetons pour les composants du plan de contrôle à l'aide de la clé de signature de compte de service. Avantages :

    1. Éliminez la dépendance à kube-apiserver pour que les composants du plan de contrôle s'authentifient auprès des services Google. Auparavant, les composants du plan de contrôle utilisaient l'API TokenRequest et dépendaient d'un kube-apiserver opérationnel. À présent, le composant gke-token-manager génère les jetons directement à l'aide de la clé de signature de compte de service.
    2. Éliminez le RBAC pour générer un jeton pour les composants du plan de contrôle.
    3. Dissociez la journalisation et le kube-apiserver. Ainsi, la journalisation peut être ingérée avant la mise en service du kube-apiserver.
    4. Rendez le plan de contrôle plus résilient. Lorsque le kube-apiserver est hors service, les composants du plan de contrôle peuvent toujours obtenir les jetons et continuer à fonctionner.

  • En tant que fonctionnalité de prévisualisation, vous pouvez ingérer plusieurs métriques des composants du plan de contrôle à Cloud Monitoring, y compris kube-apiserver, etcd, kube-scheduler et kube-controller-manager.

  • Fonctionnalité: Les utilisateurs d'un groupe Google peuvent accéder aux clusters AWS à l'aide de Connect Gateway en accordant les autorisations RBAC nécessaires au groupe. Pour en savoir plus, consultez Configurer la passerelle Connect avec Google Groupes.

  • Correction d'un problème qui pouvait empêcher la suppression des versions obsolètes de gke-connect-agent après la mise à niveau du cluster.

Kubernetes 1.24

1.24.9-gke.2000

Notes de version de Kubernetes OSS

  • Certaines erreurs n'étaient pas propagées et signalées lors des opérations de création/mise à jour du cluster. Ce problème a été résolu.
  • Mise à jour d'Anthos Identity Service pour mieux gérer les requêtes de webhook simultanées.

  • Mise à jour de fluent-bit vers la révision 1.9.9 pour corriger CVE-2022-42898.

  • Correctifs de sécurité

1.24.9-gke.1500

Notes de version de Kubernetes OSS

1.24.8-gke.1300

Notes de version de Kubernetes OSS

1.24.5-gke.200

Notes de version de Kubernetes OSS

1.24.3-gke.2200

Notes de version de Kubernetes OSS

  • Correction d'un bug qui empêchait la création d'une ressource de service Kubernetes avec le type LoadBalancer et l'annotation service.beta.kubernetes.io/aws-load-balancer-type: nlb, avec un groupe cible vide Consultez la page https://github.com/kubernetes/cloud-provider-aws/issues/301

1.24.3-gke.2100

Notes de version de Kubernetes OSS

  • Importez des métriques de ressources Kubernetes dans des pools de nœuds Google Cloud Monitoring pour Windows.
  • Fournit un webhook pour faciliter l'injection d'émulateurs IMDS.
  • go1.18 n'accepte plus les certificats signés avec l'algorithme de hachage SHA-1 par défaut. Les webhooks d'admission/conversion ou les points de terminaison de serveur agrégés qui utilisent ces certificats non sécurisés cesseront de fonctionner par défaut en version 1.24. La variable d'environnement GODEBUG=x509sha1=1 est définie dans les clusters Anthos sur AWS comme solution temporaire pour permettre à ces certificats non sécurisés de continuer à fonctionner. Cependant, l'équipe go ne devrait plus prendre en charge cette solution de contournement dans les prochaines versions. Les clients doivent vérifier qu'aucun webhook d'admission/conversion ou point de terminaison de serveur agrégé n'utilise ce type de certificat non sécurisé avant de passer à la prochaine version de rupture.
  • Les clusters Anthos sur AWS sont désormais compatibles avec le provisionnement dynamique EFS en mode aperçu pour les clusters Kubernetes version 1.24 ou ultérieure. Pour utiliser cette fonctionnalité, vous devez ajouter les autorisations suivantes au Rôle du plan de contrôle :ec2:DescribeAvailabilityZones elasticfilesystem:DescribeAccessPoints elasticfilesystem:DescribeFileSystems elasticfilesystem:DescribeMountTargets elasticfilesystem:CreateAccessPoint elasticfilesystem:DeleteAccessPoint

  • Améliorez les vérifications de la connectivité réseau lors de la création du cluster et du pool de nœuds pour faciliter le dépannage.

  • Correctifs de sécurité

  • Compatibilité avec les mises à jour des tags du plan de contrôle AWS Pour mettre à jour les tags, vous devez ajouter les autorisations suivantes au rôle API : autoscaling:CreateOrUpdateTags autoscaling:DeleteTags ec2:CreateTags ec2:DescribeLaunchTemplates ec2:DescribeSecurityGroupRules ec2:DeleteTags elasticloadbalancing:AddTags elasticloadbalancing:RemoveTags

  • Importer des métriques de charge de travail à l'aide de Google Managed Service pour Prometheus dans Cloud Monarch est disponible en aperçu privé sur invitation uniquement.

Kubernetes 1.23

1.23.16-gke.200

Notes de version de Kubernetes OSS

  • Certaines erreurs n'étaient pas propagées et signalées lors des opérations de création/mise à jour du cluster. Ce problème a été résolu.

  • Résolution des problèmes liés à cpp-httplib affectant le serveur kubeapi qui ne parvient pas à accéder à AIS.

  • Correctifs de sécurité

1.23.14 gke.1800

Notes de version de Kubernetes OSS

1.23.14 gke.1100

Notes de version de Kubernetes OSS

1.23.11-gke.300

Notes de version de Kubernetes OSS

1.23.9-gke.2200

Notes de version de Kubernetes OSS

  • Correction d'un bug qui empêchait la création d'une ressource de service Kubernetes avec le type LoadBalancer et l'annotation service.beta.kubernetes.io/aws-load-balancer-type: nlb, avec un groupe cible vide Consultez la page https://github.com/kubernetes/cloud-provider-aws/issues/301

1.23.9-gke.2100

Notes de version de Kubernetes OSS

1.23.9-gke.800

Notes de version de Kubernetes OSS

1.23.8-gke.1700

Notes de version de Kubernetes OSS

1.23.7-gke.1300

Notes de version de Kubernetes OSS

  • Désactivez le point de terminaison du profilage (/debug/pprof) par défaut dans kube-scheduler et kube-controller-manager.

  • Mettez à jour kube-apiserver et kubelet pour n'utiliser que des algorithmes de chiffrement sécurisés. Algorithmes de chiffrement compatibles utilisés par Kubelet :

    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_GCM_SHA256

    Algorithmes de chiffrement compatibles utilisés par kube api-server :

    TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256, TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384

  • Ajoutez un émulateur de serveur de métadonnées d'instance (IMDS).

  • Correctifs de sécurité

Régions où le service est disponible

Région Google Cloud Région AWS
asia-east2 ap-east-1
asia-northeast2 ap-northeast-1
ap-northeast-3
asia-south1 ap-south-1
asia-southeast1 ap-east-1
ap-northeast-1
ap-southeast-1
asia-southeast2 ap-southeast-3
australia-southeast1 ap-southeast-2
europe-north1 eu-north-1
europe-west1 eu-central-1
eu-north-1
eu-south-1
eu-west-1
eu-west-2
eu-west-3
europe-west2 eu-west-2
europe-west3 eu-central-1
europe-west9 eu-west-3
northamerica-northeast1 ca-central-1
southamerica-east1 sa-east-1
us-east4 ca-central-1
us-east-1
us-east-2
us-west1 us-west-1
us-west-2

Types de VM compatibles

Les tailles de VM AWS suivantes sont acceptées :

Type Taille
Instances C5 c5.large
Instances C5 c5.xlarge
Instances C5 c5.2xlarge
Instances C5 c5.4xlarge
Instances C5 c5.9xlarge
Instances C5 c5.12xlarge
Instances C5 c5.18xlarge
Instances C5 c5.24xlarge
Instances C5 c5a.large
Instances C5 c5a.xlarge
Instances C5 c5a.2xlarge
Instances C5 c5a.4xlarge
Instances C5 c5a.9xlarge
Instances C5 c5a.12xlarge
Instances C5 c5a.18xlarge
Instances C5 c5a.24xlarge
Instances C5 c5ad.large
Instances C5 c5ad.xlarge
Instances C5 c5ad.2xlarge
Instances C5 c5ad.4xlarge
Instances C5 c5ad.9xlarge
Instances C5 c5ad.12xlarge
Instances C5 c5ad.18xlarge
Instances C5 c5ad.24xlarge
Instances C5 c5d.large
Instances C5 c5d.xlarge
Instances C5 c5d.2xlarge
Instances C5 c5d.4xlarge
Instances C5 c5d.9xlarge
Instances C5 c5d.12xlarge
Instances C5 c5d.18xlarge
Instances C5 c5d.24xlarge
Instances I3en i3en.large
Instances I3en i3en.xlarge
Instances I3en i3en.2xlarge
Instances I3en i3en.3xlarge
Instances I3en i3en.6xlarge
Instances I3en i3en.12xlarge
Instances I3en i3en.24xlarge
Instances M5 m5.large
Instances M5 m5.xlarge
Instances M5 m5.2xlarge
Instances M5 m5.4xlarge
Instances M5 m5.8xlarge
Instances M5 m5.12xlarge
Instances M5 m5.16xlarge
Instances M5 m5.24xlarge
Instances M5 m5a.large
Instances M5 m5a.xlarge
Instances M5 m5a.2xlarge
Instances M5 m5a.4xlarge
Instances M5 m5a.8xlarge
Instances M5 m5a.12xlarge
Instances M5 m5a.16xlarge
Instances M5 m5a.24xlarge
Instances M5 m5ad.large
Instances M5 m5ad.xlarge
Instances M5 m5ad.2xlarge
Instances M5 m5ad.4xlarge
Instances M5 m5ad.8xlarge
Instances M5 m5ad.12xlarge
Instances M5 m5ad.16xlarge
Instances M5 m5ad.24xlarge
Instances M5 m5d.large
Instances M5 m5d.xlarge
Instances M5 m5d.2xlarge
Instances M5 m5d.4xlarge
Instances M5 m5d.8xlarge
Instances M5 m5d.12xlarge
Instances M5 m5d.16xlarge
Instances M5 m5d.24xlarge
Instances R5 r5.large
Instances R5 r5.xlarge
Instances R5 r5.2xlarge
Instances R5 r5.4xlarge
Instances R5 r5.8xlarge
Instances R5 r5.12xlarge
Instances R5 r5.16xlarge
Instances R5 r5.24xlarge
Instances R5 r5a.large
Instances R5 r5a.xlarge
Instances R5 r5a.2xlarge
Instances R5 r5a.4xlarge
Instances R5 r5a.8xlarge
Instances R5 r5a.12xlarge
Instances R5 r5a.16xlarge
Instances R5 r5a.24xlarge
Instances R5 r5ad.large
Instances R5 r5ad.xlarge
Instances R5 r5ad.2xlarge
Instances R5 r5ad.4xlarge
Instances R5 r5ad.8xlarge
Instances R5 r5ad.12xlarge
Instances R5 r5ad.16xlarge
Instances R5 r5ad.24xlarge
Instances R5 r5d.large
Instances R5 r5d.xlarge
Instances R5 r5d.2xlarge
Instances R5 r5d.4xlarge
Instances R5 r5d.8xlarge
Instances R5 r5d.12xlarge
Instances R5 r5d.16xlarge
Instances R5 r5d.24xlarge
Instances T3 t3.medium
Instances T3 t3.large
Instances T3 t3.xlarge
Instances T3 t3.2xlarge
Instances T3 t3a.medium
Instances T3 t3a.large
Instances T3 t3a.xlarge
Instances T3 t3a.2xlarge

Types d'images de nœuds

Les nœuds de clusters Anthos clusters on AWS exécutent Ubuntu version 20.04. L'image ressemble à l'image de nœud Ubuntu de GKE.

Les nœuds ContainerOS ne sont actuellement pas compatibles.

Tailles des pools de nœuds

Anthos clusters on AWS accepte les pools de nœuds contenant jusqu'à 50 nœuds.

Quotas des clusters et des pools de nœuds

Les clusters Anthos sur AWS imposent plusieurs quotas par défaut. Pour les augmenter, contactez l'assistance Google Cloud.

Notez qu'à partir de la version mineure de Kubernetes 1.26, les clusters Anthos sur AWS sont compatibles avec un maximum de 1 000 nœuds par cluster. Pour augmenter le nombre de nœuds par cluster, contactez l'assistance Google Cloud.

Nom du quota Valeur par défaut
Nombre de clusters par projet Google Cloud 20
Nombre de pools de nœuds par cluster 10
Nombre de nœuds par cluster 500
Nombre de nœuds par pool de nœuds 50
Nombre de pods par nœud 110

En plus de ces quotas, votre installation des clusters Anthos sur AWS est soumise à tous les quotas de service AWS figurant sur votre compte AWS, y compris les éléments suivants :

Pour en savoir plus, consultez la console Quotas des services AWS.