Versões de cluster do Kubernetes compatíveis

Cada versão do GKE na AWS vem com notas de versão do Kubernetes. Elas são semelhantes às notas da versão, mas são específicas para uma versão do Kubernetes e podem oferecer mais detalhes técnicos.

O GKE na AWS é compatível com as seguintes versões do Kubernetes:

Kubernetes 1.29

1.29.3-gke.600

Notas da versão do Kubernetes OSS (em inglês).

Kubernetes 1.28

1.28.8-gke.800

Notas da versão do Kubernetes OSS (em inglês).

1.28.7-gke.1700

Notas de lançamento do OSS do Kubernetes (em inglês).

  • Correção de bug: foi corrigido um problema em que o emulador do Serviço de metadados de instância (IMDS, na sigla em inglês) às vezes falhava ao se vincular a um endereço IP no nó. O emulador de IMDS permite que os nós acessem com segurança os metadados da instância do AWS EC2.

1.28.5-gke.1200

Notas de lançamento do OSS do Kubernetes (em inglês).

1.28.5-gke.100

Notas de lançamento do OSS do Kubernetes (em inglês).

1.28.3-gke.700

Notas de lançamento do OSS do Kubernetes (em inglês).

  • Alteração interruptiva: a partir do Kubernetes 1.28, os clusters exigem conectividade HTTPS de saída para {GCP_LOCATION}-gkemulticloud.googleapis.com. Verifique se o servidor proxy e/ou o firewall permite esse tráfego.

  • Alteração interruptiva: a partir do Kubernetes 1.28, o papel de agente de serviço da API Multi-Cloud requer uma nova permissão Iam:getinstanceprofile no projeto da AWS. Essa permissão é usada pelo serviço multicloud para inspecionar os perfis de instância anexados às instâncias de máquina virtual no cluster.

  • Recurso: foi adicionado suporte à reversão para pools de nós da AWS que falharam nas operações de atualização. Assim, os clientes podem reverter os pools de nós ao estado original.

  • Recurso: foi adicionado suporte à extração de imagens do Google Artifact Registry particular e do Google Container Registry particular sem a chave da conta de serviço do Google exportada. As credenciais de pull de imagem são gerenciadas e alternadas automaticamente pelo Google.

  • Recurso: foi removida a necessidade de adicionar explicitamente vinculações do Google IAM para a maioria dos recursos.

    1. Não é mais necessário adicionar vinculações para gke-system/gke-telemetry-agent ao criar um cluster.
    2. Não é mais necessário adicionar vinculações para gmp-system/collector ou gmp-system/rule-evaluator ao ativar a coleta de dados gerenciada no Google Managed Service para Prometheus.
    3. Não é mais necessário adicionar vinculações para gke-system/binauthz-agent ao ativar a autorização binária

  • Recurso: a atualização do AWS Surge agora está em disponibilidade geral. As atualizações de surge permitem configurar a velocidade e a interrupção das atualizações do pool de nós. Para mais detalhes sobre como ativar e definir as configurações do Surge nos pools de nós da AWS, consulte Configurar atualizações do Surge de pools de nós.

  • Recurso: upgrade do kernel para Ubuntu 22.04 para linux-aws 6.2.

  • Recurso: foi adicionado suporte à criação de pools de nós usando as seguintes instâncias do AWS EC2: G5, I4g, M7a, M7g, M7i, R7g, R7i e R7iz.

  • Correção de bug: melhoria na criação do modelo de inicialização. As tags fornecidas pelos clientes são propagadas para as instâncias.

    • Essa alteração melhora principalmente o suporte às regras de política do IAM. Ela aborda especificamente as regras que proíbem o uso de modelos de inicialização que não são compatíveis com a propagação de tags, mesmo nos casos em que o grupo de escalonamento automático (ASG, na sigla em inglês) associado propaga tags.
    • Essa pode ser uma alteração interruptiva, dependendo das especificações da política do IAM do cliente sobre as verificações de tags. Portanto, é importante ter cuidado durante o processo de upgrade, já que o processamento inapropriado pode deixar um cluster em um estado degradado.
    • A ação ec2:CreateTags no recurso arn:aws:ec2:*:*:instance/* é necessária para o papel de agente de serviço da API Anthos Multi-Cloud. Consulte https://cloud.google.com/kubernetes-engine/multi-cloud/docs/aws/how-to/create-aws-iam-roles#create_service_agent_role para ver as informações mais recentes.
    • Sugerimos que os clientes tentem criar um cluster 1.28 descartável e confirme se as políticas do IAM funcionam corretamente antes de tentarem fazer upgrade para a 1.28.

  • Correção de bug: o upgrade de um cluster para a versão 1.28 vai limpar recursos obsoletos que podem ter sido criados em versões mais antigas (até a 1.25), mas que não são mais relevantes. Os seguintes recursos no namespace gke-system serão excluídos, se existirem:

    • Os daemonsets fluentbit-gke-windows e gke-metrics-agent-windows
    • configmaps fluentbit-gke-windows-config e gke-metrics-agent-windows-conf

  • Correção de bug: ingestão aprimorada de registros de clusters do Anthos na AWS pelo Cloud Logging:

    • Correção de um problema na análise do carimbo de data/hora.
    • O nível de gravidade correto foi atribuído aos registros de erro de anthos-metadata-agent.

  • Correções de segurança

Kubernetes 1.27

1.27.12-gke.800

Notas da versão do Kubernetes OSS (em inglês).

1.27.11-gke.1600

Notas de lançamento do OSS do Kubernetes (em inglês).

  • Correção de bug: foi corrigido um problema em que o emulador do Serviço de metadados de instância (IMDS, na sigla em inglês) às vezes falhava ao se vincular a um endereço IP no nó. O emulador de IMDS permite que os nós acessem com segurança os metadados da instância do AWS EC2.

1.27.10-gke.500

Notas de lançamento do OSS do Kubernetes (em inglês).

1.27.9-gke.100

Notas de lançamento do OSS do Kubernetes (em inglês).

1.27.7-gke.600

Notas de lançamento do OSS do Kubernetes (em inglês).

  • Recurso: foi adicionado suporte para a criação de pools de nós usando a instância "G5" do AWS EC2.

  • Correção de bug: ingestão aprimorada de registros de clusters do Anthos na AWS pelo Cloud Logging:

    • Correção de um problema na análise do carimbo de data/hora.
    • O nível de gravidade correto foi atribuído aos registros de erro de anthos-metadata-agent.

  • Correções de segurança

1.27.6-gke.700

Notas de lançamento do OSS do Kubernetes (em inglês).

1.27.5-gke.200

Notas de lançamento do OSS do Kubernetes (em inglês).

1.27.4-gke.1600

Notas da versão do Kubernetes OSS * Descontinuação: desativação da porta somente leitura 10255 do kubelet não autenticado. Depois que um pool de nós é atualizado para a versão 1.27, as cargas de trabalho em execução nele não podem mais se conectar à porta 10255.

  • Recurso: o recurso de atualização do AWS Surge está disponível no modo de visualização. As atualizações de surge permitem configurar a velocidade e a interrupção das atualizações do pool de nós. Entre em contato com a equipe de conta para ativar a visualização.
  • Recurso: upgrade do driver CSI EBS para a v1.20.0.
  • Recurso: upgrade do driver CSI EFS para a v1.5.7.

  • Recurso: upgrade de snapshot-controller e csi-snapshot-validation-webhook para a v6.2.2. Esta nova versão introduz uma mudança importante na API. Especificamente, as APIs VolumeSnapshot, VolumeSnapshotContents e VolumeSnapshotClass v1beta1 não estão mais disponíveis.

  • Recurso: foi adicionado suporte a uma nova flag admin-groups nas APIs de criação e atualização. Essa flag permite que os clientes autentiquem grupos listados como administradores de cluster de maneira rápida e fácil, eliminando a necessidade de criar e aplicar políticas de RBAC manualmente.

  • Recurso: foi adicionado suporte à autorização binária, que é um controle de segurança no momento da implantação que garante que apenas imagens de contêiner confiáveis sejam implantadas. Com a autorização binária, é possível solicitar que as imagens sejam assinadas por autoridades confiáveis durante o processo de desenvolvimento e, então, aplicar a validação da assinatura na implantação. Ao aplicar a validação, você assume maior controle sobre o ambiente de contêiner, assegurando que apenas imagens verificadas sejam integradas ao processo de criação e lançamento. Para detalhes sobre como ativar a autorização binária nos clusters, consulte Como ativar a autorização binária.

  • Recurso: a compactação gzip foi ativada para fluent-bit (um processador e encaminhador de registros), gke-metrics-agent (um coletor de métricas) e audit-proxy (um proxy de registros de auditoria). fluent-bit compacta os dados de registro do plano de controle e das cargas de trabalho antes de enviá-los ao Cloud Logging. gke-metrics-agent compacta os dados de métricas do plano de controle e das cargas de trabalho antes de enviá-los ao Cloud Monitoring. audit-proxy compacta os dados do registro de auditoria antes de enviá-los ao registro de auditoria. Isso reduz os custos e a largura de banda da rede.

  • Recurso: a criação de pools de nós SPOT da AWS agora tem disponibilidade geral.

  • Recurso: o reparo automático de nós agora está em disponibilidade geral.

  • Recurso: segurança aprimorada com a adição de verificações de integridade do arquivo e validação de impressão digital para artefatos binários transferidos por download do Cloud Storage.

  • Recurso: adicionado uma opção ignore_errors à API de exclusão para lidar com casos em que papéis do IAM foram excluídos acidentalmente ou a remoção manual de recursos impede a exclusão de clusters ou pools de nós. Ao anexar ?ignore_errors=true ao URL de solicitação DELETE, os usuários agora podem forçar a remoção de clusters ou pools de nós. No entanto, essa abordagem pode resultar em recursos órfãos na AWS ou no Azure, exigindo limpeza manual.

  • Recurso: foi adicionado suporte à desfragmentação periódica e automática de etcd e etcd-events no plano de controle. Esse recurso reduz o armazenamento desnecessário em disco e ajuda a evitar que etcd e o plano de controle fiquem indisponíveis devido a problemas de armazenamento em disco.

  • Recurso: os nomes das métricas de recursos do Kubernetes foram alterados para usar um prefixo de métricas de kubernetes.io/anthos/ em vez de kubernetes.io/. Para mais detalhes, consulte a documentação de referência de métricas.

  • Recurso: foi alterada a versão padrão do etcd para a v3.4.21 em novos clusters para melhorar a estabilidade. Os clusters que receberam upgrade para essa versão vão usar o etcd v3.5.6.

  • Recurso: melhor gerenciamento de recursos de nós reservando recursos para o kubelet. Embora esse recurso seja essencial para evitar erros de falta de memória (OOM, na sigla em inglês), garantindo que os processos do sistema e do Kubernetes tenham os recursos necessários, isso pode levar a interrupções da carga de trabalho. A reserva de recursos para o kubelet pode afetar os recursos disponíveis para pods, possivelmente afetando a capacidade de nós menores de lidar com as cargas de trabalho atuais. Os clientes precisam verificar se os nós menores ainda suportam as cargas de trabalho com esse novo recurso ativado.

    • As porcentagens de memória reservada são as seguintes:
    • 255 MiB para máquinas com menos de 1 GB de memória
    • 25% dos primeiros 4 GB de memória
    • 20% dos próximos 4 GB
    • 10% dos próximos 8 GB
    • 6% dos próximos 112 GB
    • 2% de qualquer memória acima de 128 GB
    • As porcentagens de CPU reservadas são as seguintes:
    • 6% do primeiro núcleo
    • 1% do próximo núcleo
    • 0,5% dos próximos dois núcleos
    • 0,25% de todos os núcleos acima de quatro núcleos

  • Correções de bug

    • Escalonador automático de cluster ativado para equilibrar os nós em diferentes zonas de disponibilidade. Para isso, use a flag --balance-similar-node-groups.

  • Correções de segurança

Janelas de suporte de versão

As datas de lançamento e as datas de término do suporte para as versões com suporte do Kubernetes estão listadas na página Duração da versão do GKE na AWS.