Unterstützte Kubernetes-Clusterversionen
Jeder Release von GKE on Azure enthält Kubernetes-Versionshinweise. Sie ähneln den Versionshinweisen, sind jedoch spezifisch für eine Kubernetes-Version und enthalten möglicherweise mehr technische Details.
GKE on Azure unterstützt die folgenden Kubernetes-Versionen:
Kubernetes 1.28
1.28.7-gke.1700
Kubernetes OSS-Versionshinweise
1.28.5-gke.1200
Kubernetes OSS-Versionshinweise
- Fehlerkorrekturen
- Ein Fehler bezüglich eines Dateideskriptorlecks in runc (CVE-2024-21626) wurde behoben.
- Sicherheitsupdates
- Behebung von CVE-2023-38039.
- Behebung von CVE-2023-46219.
- Behebung von CVE-2023-39326.
- Behebung von CVE-2023-44487.
- Behebung von CVE-2023-45142.
- Behebung von CVE-2023-45285.
- Behebung von CVE-2023-48795.
- Behebung von CVE-2024-0193.
- Behebung von CVE-2023-6932.
- Behebung von CVE-2024-0193.
- Behebung von CVE-2023-6817.
1.28.5-gke.100
Kubernetes OSS-Versionshinweise
- Sicherheitsupdates
- Behebung von CVE-2022-28948.
- Behebung von CVE-2023-29491.
- Behebung von CVE-2023-36054.
- Behebung von CVE-2023-5363.
- Behebung von CVE-2023-47038.
- Behebung von CVE-2023-5981.
- Behebung von CVE-2023-4806.
- Behebung von CVE-2023-4016.
- Behebung von CVE-2023-4813.
- Behebung von CVE-2022-48522.
- Behebung von CVE-2023-46218.
- Behebung von CVE-2023-5156.
- Behebung von CVE-2023-39804.
- Behebung von CVE-2023-5869.
- Behebung von CVE-2023-39417.
- Behebung von CVE-2023-5868.
- Behebung von CVE-2023-5870.
- Ein Fehler bei GHSA-6xv5-86q9-7xr8 wurde behoben.
1.28.3-gke.700
Kubernetes OSS-Versionshinweise
Nicht funktionsgefährdende Änderung: Ab 1.28 erfordern Cluster eine ausgehende HTTPS-Verbindung zu
{GCP_LOCATION}-gkemulticloud.googleapis.com
. Stellen Sie sicher, dass Ihr Proxyserver und/oder Ihre Firewall diesen Datenverkehr zulassen.Funktion:Für die meisten Funktionen ist es nicht mehr erforderlich, explizit Google IAM-Bindungen hinzuzufügen.
- Sie müssen beim Erstellen eines Clusters keine Bindungen für
gke-system/gke-telemetry-agent
mehr hinzufügen. - Sie müssen keine Bindungen für
gmp-system/collector
odergmp-system/rule-evaluator
mehr hinzufügen, wenn Sie die verwaltete Datenerhebung für Google Managed Service for Prometheus aktivieren.
- Sie müssen beim Erstellen eines Clusters keine Bindungen für
Funktion:Ubuntu 22.04 verwendet jetzt die Kernel-Version linux-azure 6.2.
Fehlerkorrektur: Monitoring-Messwerte für den Pod der Steuerungsebene
gke-azure-encryption-provider
werden jetzt im Namespacekube-system
gemeldet. Zuvor wurden sie versehentlich für den Standard-Namespace gemeldet.Fehlerkorrektur:Durch das Upgrade eines Clusters auf Version 1.28 werden veraltete Ressourcen bereinigt, die in älteren Versionen (bis zu 1.25) erstellt wurden, aber nicht mehr relevant sind. Die folgenden Ressourcen im Namespace
gke-system
werden gelöscht, sofern vorhanden:- Daemonsets
fluentbit-gke-windows
undgke-metrics-agent-windows
- configmaps
fluentbit-gke-windows-config
undgke-metrics-agent-windows-conf
- Daemonsets
Fehlerkorrektur:Erweiterte Aufnahme von Logs aus Anthos-Cluster on Azure durch Cloud Logging:
- Ein Problem beim Parsen von Zeitstempeln wurde behoben.
- Den Fehlerlogs von
anthos-metadata-agent
wurde die richtige Wichtigkeitsstufe zugewiesen.
Sicherheitsupdates
- Behoben: CVE-2023-3610
- Behoben: CVE-2023-3776
- Behoben: CVE-2023-3611
- Behoben: CVE-2023-5197
- Behoben: CVE-2023-44487
- Behoben: CVE-2023-39325
- Behoben: CVE-2023-4147
- Behoben: CVE-2022-1996
- Behoben: CVE-2023-29406
- Behoben: CVE-2023-29409
- Behoben: CVE-2023-39318
- Behoben: CVE-2023-39319
- Behoben: CVE-2023-39323
- Behoben: CVE-2023-3978
Kubernetes 1.27
1.27.11-gke.1600
Kubernetes OSS-Versionshinweise
1.27.10-gke.500
Kubernetes OSS-Versionshinweise
- Fehlerkorrekturen:
- Ein Fehler bezüglich eines Dateideskriptorlecks in runc (CVE-2024-21626) wurde behoben.
- Sicherheitsupdates:
- Behebung von CVE-2023-39323.
- Behebung von CVE-2023-39325.
- Behebung von CVE-2023-39326.
- Behebung von CVE-2023-3978.
- Behebung von CVE-2023-44487.
- Behebung von CVE-2023-45142.
- Behebung von CVE-2023-45285.
- Behebung von CVE-2023-48795.
- Behebung von CVE-2024-0193.
- Behebung von CVE-2023-6932.
- Behebung von CVE-2023-6931.
- Behebung von CVE-2024-0193.
- Behebung von CVE-2023-6817.
1.27.9-gke.100
Kubernetes OSS-Versionshinweise
- Sicherheitsupdates
- Behebung von CVE-2023-5363.
- Behebung von CVE-2023-47038.
- Behebung von CVE-2023-5981.
- Behebung von CVE-2023-2975.
- Behebung von CVE-2023-40217.
- Behebung von CVE-2023-29002.
- Behebung von CVE-2023-38545.
- Behebung von CVE-2023-28321.
- Behebung von CVE-2023-0464.
- Behebung von CVE-2023-1255.
- Behebung von CVE-2023-41332.
- Behebung von CVE-2023-0465.
- Behebung von CVE-2023-4016.
- Behebung von CVE-2022-29458.
- Behebung von CVE-2022-3996.
- Behebung von CVE-2023-2602.
- Behebung von CVE-2023-38546.
- Behebung von CVE-2023-34242.
- Behebung von CVE-2023-0466.
- Behebung von CVE-2022-48522.
- Behebung von CVE-2023-28322.
- Behebung von CVE-2023-30851.
- Behebung von CVE-2023-2283.
- Behebung von CVE-2023-27594.
- Behebung von CVE-2023-2603.
- Behebung von CVE-2023-27593.
- Behebung von CVE-2023-5156.
- Behebung von CVE-2023-39347.
- Behebung von CVE-2023-1667.
- Behebung von CVE-2023-2650.
- Behebung von CVE-2023-31484.
- Behebung von CVE-2023-27595.
- Behebung von CVE-2023-41333.
- Behebung von CVE-2023-5869.
- Behebung von CVE-2023-39417.
- Behebung von CVE-2023-5868.
- Behebung von CVE-2023-5870.
- Ein Fehler bei GHSA-6xv5-86q9-7xr8 wurde behoben.
1.27.7-gke.600
Kubernetes OSS-Versionshinweise
Fehlerkorrektur:Erweiterte Aufnahme von Logs aus Anthos-Cluster on Azure durch Cloud Logging:
- Ein Problem beim Parsen von Zeitstempeln wurde behoben.
- Den Fehlerlogs von
anthos-metadata-agent
wurde die richtige Wichtigkeitsstufe zugewiesen.
Sicherheitsupdates
- Behoben: CVE-2023-5197
- Behoben: CVE-2023-44487
- Behoben: CVE-2023-39325
- Behoben: CVE-2023-4147
- Behoben: CVE-2022-1996
1.27.6-gke.700
Kubernetes OSS-Versionshinweise
- Sicherheitsupdates
- Behoben: CVE-2015-3276
- Behoben: CVE-2022-29155
1.27.5-gke.200
Kubernetes OSS-Versionshinweise
Funktion:Ubuntu 22.04 verwendet jetzt die Kernel-Version linux-azure 6.2.
Sicherheitsupdates
- Behoben: CVE-2023-3610
- Behoben: CVE-2023-3776
- Behoben: CVE-2023-3611
1.27.4-gke.1600
Kubernetes OSS-Versionshinweise
Einstellung: Der nicht authentifizierte, schreibgeschützte Kubelet-Port 10255 wurde deaktiviert. Sobald ein Knotenpool auf Version 1.27 aktualisiert wurde, können darauf ausgeführte Arbeitslasten nicht mehr mit Port 10255 verbunden werden.
Funktion:Für den Azuredisk CSI-Treiber wurde ein Upgrade auf Version 1.28.1 durchgeführt.
Funktion:Der Azurefile CSI-Treiber wurde auf Version 1.28.1 aktualisiert.
Funktion:
snapshot-controller
undcsi-snapshot-validation-webhook
wurden auf Version 6.2.2 aktualisiert. Mit dieser neuen Version wird eine wichtige Änderung an der API vorgenommen. Die v1beta1 APIsVolumeSnapshot
,VolumeSnapshotContents
undVolumeSnapshotClass
sind nicht mehr verfügbar.Funktion:In den APIs zum Erstellen und Aktualisieren wird das neue Flag
admin-groups
unterstützt. Mit diesem Flag können Kunden schnell und einfach aufgelistete Gruppen als Clusteradministratoren authentifizieren, sodass keine RBAC-Richtlinien manuell erstellt und angewendet werden müssen.Funktion:Die gzip-Komprimierung für
fluent-bit
(Logprozessor und -weiterleitungsserver),gke-metrics-agent
(Messwerterfassung) undaudit-proxy
(Audit-Log-Proxy) wurde aktiviert.fluent-bit
komprimiert Logdaten sowohl von der Steuerungsebene als auch von Arbeitslasten, bevor sie an Cloud Logging gesendet werden.gke-metrics-agent
komprimiert Messwertdaten aus Steuerungsebene und Arbeitslasten, bevor sie an Cloud Monitoring gesendet werden.audit-proxy
komprimiert Audit-Logdaten, bevor sie an Audit Logging gesendet werden. Dies reduziert Netzwerkbandbreite und Kosten.Funktion:Die automatische Knotenreparatur ist jetzt allgemein verfügbar.
Funktion:Verbesserte Sicherheit durch Hinzufügen von Dateiintegritätsprüfungen und Fingerabdruckvalidierung für von Google verwaltete binäre Artefakte, die aus Cloud Storage heruntergeladen werden.
Funktion: Unterstützung für die automatische regelmäßige Defragmentierung von
etcd
undetcd-events
auf der Steuerungsebene wurde hinzugefügt. Dieses Feature reduziert unnötigen Speicherplatz auf dem Laufwerk und verhindert, dassetcd
und die Steuerungsebene aufgrund von Problemen mit dem Laufwerkspeicher nicht mehr verfügbar sind.Funktion:Die Messwertnamen für Kubernetes-Ressourcenmesswerte wurden so geändert, dass das Messwertpräfix
kubernetes.io/anthos/
stattkubernetes.io/
verwendet wird. Weitere Informationen finden Sie in der Referenzdokumentation zu Messwerten.Funktion:Die etcd-Standardversion wurde bei neuen Clustern zur Verbesserung der Stabilität in v3.4.21 geändert. Vorhandene Cluster, die auf diese Version aktualisiert werden, verwenden etcd v3.5.6.
Funktion:Verbesserte Verwaltung von Knotenressourcen durch Reservieren von Ressourcen für das Kubelet. Diese Funktion ist zwar entscheidend, um Fehler aufgrund fehlenden Arbeitsspeichers zu verhindern, indem sichergestellt wird, dass System- und Kubernetes-Prozesse über die benötigten Ressourcen verfügen. Es kann jedoch zu Unterbrechungen der Arbeitslasten führen. Die Reservierung von Ressourcen für das Kubelet kann sich auf die verfügbaren Ressourcen für Pods und somit auch auf die Kapazität kleinerer Knoten zur Verarbeitung vorhandener Arbeitslasten auswirken. Kunden sollten darauf achten, dass auch kleinere Knoten ihre Arbeitslasten bei aktiviertem neuen Feature noch unterstützen können.
- Für den reservierten Arbeitsspeicher gelten folgende Prozentsätze:
- 255 MiB für Maschinen mit weniger als 1 GB Arbeitsspeicher
- 25 % der ersten 4 GB Speicher
- 20% der nächsten 4 GB
- 10% der nächsten 8 GB
- 6% der nächsten 112 GB
- 2 % des Speichers oberhalb von 128 GB
- Die reservierten CPU-Prozentsätze sehen so aus:
- 6 % des ersten Kerns
- 1% des nächsten Kerns
- 0,5% der nächsten zwei Kerne
- 0,25 % aller Kerne oberhalb von vier Kernen
Sicherheitsupdates
- Behoben: CVE-2021-43565
- Behoben: CVE-2022-3821
- Behoben: CVE-2022-4415
- Behoben: CVE-2022-21698
- Behoben: CVE-2023-24539
- Behoben: CVE-2023-24540
- Behoben: CVE-2023-29400
Kubernetes 1.26
1.26.14-gke.1500
Kubernetes OSS-Versionshinweise
1.26.13-gke.400
Kubernetes OSS-Versionshinweise
- Fehlerkorrekturen:
- Ein Fehler bezüglich eines Dateideskriptorlecks in runc (CVE-2024-21626) wurde behoben.
- Sicherheitsupdates:
- Behebung von CVE-2021-43565.
- Behebung von CVE-2022-21698.
- Behebung von CVE-2022-27191.
- Behebung von CVE-2022-28948.
- Behebung von CVE-2023-39318.
- Behebung von CVE-2023-39319.
- Behebung von CVE-2023-39323.
- Behebung von CVE-2023-39325.
- Behebung von CVE-2023-39326.
- Behebung von CVE-2023-3978.
- Behebung von CVE-2023-44487.
- Behebung von CVE-2023-45142.
- Behebung von CVE-2023-45285.
- Behebung von CVE-2023-47108.
- Behebung von CVE-2023-48795.
- Behebung von CVE-2024-0193.
- Behebung von CVE-2023-6932.
- Behebung von CVE-2023-6931.
- Behebung von CVE-2024-0193.
- Behebung von CVE-2023-6817.
1.26.12-gke.100
Kubernetes OSS-Versionshinweise
- Sicherheitsupdates
- Behebung von CVE-2023-5363.
- Behebung von CVE-2023-47038.
- Behebung von CVE-2023-5981.
- Behebung von CVE-2023-2975.
- Behebung von CVE-2023-4527.
- Behebung von CVE-2023-29002.
- Behebung von CVE-2023-38545.
- Behebung von CVE-2023-28321.
- Behebung von CVE-2023-0464.
- Behebung von CVE-2023-1255.
- Behebung von CVE-2023-41332.
- Behebung von CVE-2023-0465.
- Behebung von CVE-2023-4016.
- Behebung von CVE-2022-29458.
- Behebung von CVE-2022-3996.
- Behebung von CVE-2023-2602.
- Behebung von CVE-2023-38546.
- Behebung von CVE-2023-34242.
- Behebung von CVE-2023-0466.
- Behebung von CVE-2022-48522.
- Behebung von CVE-2023-28322.
- Behebung von CVE-2023-30851.
- Behebung von CVE-2023-2283.
- Behebung von CVE-2023-27594.
- Behebung von CVE-2023-2603.
- Behebung von CVE-2023-27593.
- Behebung von CVE-2023-5156.
- Behebung von CVE-2023-39347.
- Behebung von CVE-2023-1667.
- Behebung von CVE-2023-2650.
- Behebung von CVE-2023-31484.
- Behebung von CVE-2023-27595.
- Behebung von CVE-2023-41333.
- Behebung von CVE-2023-5869.
- Behebung von CVE-2023-39417.
- Behebung von CVE-2023-5868.
- Behebung von CVE-2023-5870.
1.26.10-gke.600
Kubernetes OSS-Versionshinweise
Fehlerkorrektur:Erweiterte Aufnahme von Logs aus Anthos-Cluster on Azure durch Cloud Logging:
- Ein Problem beim Parsen von Zeitstempeln wurde behoben.
- Den Fehlerlogs von
anthos-metadata-agent
wurde die richtige Wichtigkeitsstufe zugewiesen.
Sicherheitsupdates
- Behoben: CVE-2023-5197
- Behoben: CVE-2023-44487
- Behoben: CVE-2023-39325
- Behoben: CVE-2023-4147
- Behoben: CVE-2022-1996
1.26.9-gke.700
Kubernetes OSS-Versionshinweise
- Sicherheitsupdates
- Behoben: CVE-2015-3276
- Behoben: CVE-2022-29155
1.26.8-gke.200
Kubernetes OSS-Versionshinweise
Funktion:Ubuntu 22.04 verwendet jetzt die Kernel-Version linux-azure 6.2.
Sicherheitsupdates
- Behoben: CVE-2023-3610
- Behoben: CVE-2023-3776
- Behoben: CVE-2023-3611
1.26.7-gke.500
Kubernetes OSS-Versionshinweise
- Sicherheitsupdates
- Behoben: CVE-2022-3821
- Behoben: CVE-2022-4415
1.26.5-gke.1400
Kubernetes OSS-Versionshinweise
- Sicherheitsupdates
- Behoben: CVE-2022-27664
- Behoben: CVE-2022-32149
- Behoben: CVE-2022-41723
- Behoben: CVE-2023-24534
- Behoben: CVE-2023-24536
- Behoben: CVE-2023-24537
- Behoben: CVE-2023-24538
1.26.5-gke.1200
Kubernetes OSS-Versionshinweise
1.26.4-gke.2200
Kubernetes OSS-Versionshinweise
Fehlerkorrekturen
- Ein Problem wurde behoben, bei dem Kubernetes die Standard-Speicherklasse fälschlicherweise auf PersistentClaims mit der verworfenen Annotation „volume.beta.kubernetes.io/storage-class“ angewendet hat.
- Der Logging-Agent beanspruchte immer mehr Arbeitsspeicher. Das Problem wurde behoben.
Sicherheitsupdates
- Behebung von CVE-2023-1872.
- Es wurde ein Problem behoben, das sich auf die netfilter-Verbindungsverfolgung (conntrack) ausgewirkt hat, die für die Überwachung von Netzwerkverbindungen verantwortlich ist. Diese Korrektur sorgt dafür, dass neue Verbindungen korrekt in die Conntrack-Tabelle eingefügt werden, und überwindet die Einschränkungen, die durch Änderungen an den Linux-Kernel-Versionen 5.15 und höher verursacht werden.
1.26.2-gke.1001
Kubernetes OSS-Versionshinweise
- Bekanntes Problem:Kubernetes 1.26.2 wendet die Standard-Speicherklasse fälschlicherweise auf PersistentClaims mit der verworfenen Annotation
volume.beta.kubernetes.io/storage-class
an. Funktion:Aktualisierung des Betriebssystem-Images auf Ubuntu 22.04.
cgroupv2
wird jetzt als Standardkonfiguration für Kontrollgruppe verwendet.- Ubuntu 22.04 verwendet standardmäßig
cgroupv2
. Wir empfehlen Ihnen zu prüfen, ob eine Ihrer Anwendungen auf das Dateisystemcgroup
zugreift. Ist dies der Fall, müssen sie für die Verwendung voncgroupv2
aktualisiert werden. Hier einige Beispielanwendungen, die möglicherweise Updates benötigen, um die Kompatibilität mitcgroupv2
sicherzustellen: - Monitoring- und Sicherheits-Agents von Drittanbietern, die vom Dateisystem
cgroup
abhängig sind. - Wenn
cAdvisor
als eigenständiges DaemonSet zum Monitoring von Pods und Containern verwendet wird, sollte es auf Version 0.43.0 oder höher aktualisiert werden. - Wenn Sie das JDK verwenden, empfehlen wir Version 11.0.16 oder höher bzw. Version 15 und höher. Diese Versionen unterstützen
cgroupv2
vollständig. - Wenn Sie das Paket uber-go/automaxprocs verwenden, achten Sie darauf, dass Sie die Version v1.5.1 oder höher verwenden.
- Weitere Informationen finden Sie in den Ubuntu-Versionshinweisen.
- Ubuntu 22.04 verwendet standardmäßig
Funktion:Sendet Messwerte für Komponenten der Steuerungsebene an Cloud Monitoring. Dazu gehört eine Teilmenge der Prometheus-Messwerte von kube-apiserver, etcd, kube-scheduler, kube-controller-manager. Messwertnamen verwenden das Präfix
kubernetes.io/anthos/
.Funktion: Das Senden von Kubernetes-Ressourcenmetadaten an die Google Cloud Platform wurde aktiviert, wodurch sowohl die Benutzeroberfläche als auch die Clustermesswerte verbessert wurden. Damit die Metadaten korrekt aufgenommen werden können, müssen Kunden die
Config Monitoring for Ops
API aktivieren. Sie können diese API entweder in der Google Cloud Console oder durch manuelles Aktivieren deropsconfigmonitoring.googleapis.com
API in der gcloud CLI aktivieren. Darüber hinaus müssen Kunden die in der Dokumentation Cloud Logging/Monitoring autorisieren beschriebenen Schritte ausführen, um die erforderlichen IAM-Bindungen hinzuzufügen. Fügen Sie gegebenenfallsopsconfigmonitoring.googleapis.com
Ihrer Proxy-Zulassungsliste hinzu.Funktion:Das ordnungsgemäße Herunterfahren von Kubelet-Knoten ist aktiviert. System-Pods haben 15 Sekunden zum Beenden. Danach haben System-Pods (mit der Prioritätsklasse
system-cluster-critical
odersystem-node-critical
) 15 Sekunden Zeit, um ordnungsgemäß beendet zu werden.Funktion:Die automatische Knotenreparatur wurde im Vorschaumodus aktiviert. Wenden Sie sich an Ihr Account-Management-Team, um die Vorschau zu aktivieren.
Fehlerkorrekturen:Für neu erstellte Cluster wird jetzt etcd v3.4.21 für eine verbesserte Stabilität verwendet. Vorhandene Cluster mit früheren Versionen nutzten bereits die etcd-Version 3.5.x und werden während des Clusterupgrades nicht auf Version 3.4.21 heruntergestuft. Diese Cluster verwenden stattdessen Version 3.5.6.
Sicherheitsupdates:
- Behebung von CVE-2023-0461.
Zeiträume für die Versionsunterstützung
Das Release- und das Ende des Supportzeitraums für unterstützte Kubernetes-Versionen sind auf der Seite Nutzungsdauer der GKE in Azure-Versionen aufgeführt.