支持的 Kubernetes 集群版本
每个 GKE on Azure 版本都附带相应的 Kubernetes 版本说明。它们与发行版本说明 (release notes) 类似,但特定于 Kubernetes 版本,并且可能会提供更多技术细节。
GKE on Azure 支持以下 Kubernetes 版本:
Kubernetes 1.29
1.29.3-gke.600
重大变更:从 Kubernetes 1.29 开始,集群需要与网域
kubernetesmetadata.googleapis.com
建立出站 HTTPS 连接。请确保您的代理服务器和/或防火墙配置允许此类流量。您还需要启用 Kubernetes Metadata API,可以在 Google Cloud 控制台中启用该 API。功能:不再需要连接到网域
opsconfigmonitoring.googleapis.com
。之前需要连接到此网域来实现日志记录和监控功能,但在 Kubernetes 1.29 及更高版本中不再需要此网域。您应该从防火墙和/或代理服务器配置中移除此网域。问题修复:修复了 Fluentbit 代理无响应并停止将日志注入到 Cloud Logging 的问题。解决方法是添加了一种机制,可以在检测到这种情况时自动重启代理。
安全修复程序:
- 修复了 CVE-2020-29509
- 修复了 CVE-2020-29511
- 修复了 CVE-2020-29652
- 修复了 CVE-2021-29923
- 修复了 CVE-2021-31525
- 修复了 CVE-2021-33195
- 修复了 CVE-2021-33196
- 修复了 CVE-2021-33197
- 修复了 CVE-2021-33198
- 修复了 CVE-2021-34558
- 修复了 CVE-2021-36221
- 修复了 CVE-2021-38297
- 修复了 CVE-2021-38561
- 修复了 CVE-2021-39293
- 修复了 CVE-2021-41771
- 修复了 CVE-2021-41772
- 修复了 CVE-2021-43565
- 修复了 CVE-2021-44716
- 修复了 CVE-2022-1705
- 修复了 CVE-2022-1962
- 修复了 CVE-2022-21698
- 修复了 CVE-2022-23772
- 修复了 CVE-2022-23773
- 修复了 CVE-2022-23806
- 修复了 CVE-2022-24675
- 修复了 CVE-2022-24921
- 修复了 CVE-2022-27191
- 修复了 CVE-2022-27664
- 修复了 CVE-2022-28131
- 修复了 CVE-2022-28327
- 修复了 CVE-2022-2879
- 修复了 CVE-2022-2880
- 修复了 CVE-2022-29526
- 修复了 CVE-2022-30580
- 修复了 CVE-2022-30629
- 修复了 CVE-2022-30630
- 修复了 CVE-2022-30631
- 修复了 CVE-2022-30632
- 修复了 CVE-2022-30633
- 修复了 CVE-2022-30635
- 修复了 CVE-2022-32148
- 修复了 CVE-2022-32149
- 修复了 CVE-2022-32189
- 修复了 CVE-2022-41715
- 修复了 CVE-2022-41717
- 修复了 CVE-2022-41724
- 修复了 CVE-2022-41725
- 修复了 CVE-2023-24532
- 修复了 CVE-2023-24534
- 修复了 CVE-2023-24536
- 修复了 CVE-2023-24537
- 修复了 CVE-2023-24538
- 修复了 CVE-2023-24539
- 修复了 CVE-2023-24540
- 修复了 CVE-2023-29400
- 修复了 CVE-2023-29402
- 修复了 CVE-2023-29403
- 修复了 CVE-2023-29404
- 修复了 CVE-2023-29405
- 修复了 CVE-2023-45287
Kubernetes 1.28
1.28.8-gke.800
- 安全修复程序:
- 修复了 CVE-2020-29509
- 修复了 CVE-2020-29511
- 修复了 CVE-2020-29652
- 修复了 CVE-2021-29923
- 修复了 CVE-2021-31525
- 修复了 CVE-2021-33195
- 修复了 CVE-2021-33196
- 修复了 CVE-2021-33197
- 修复了 CVE-2021-33198
- 修复了 CVE-2021-34558
- 修复了 CVE-2021-36221
- 修复了 CVE-2021-38297
- 修复了 CVE-2021-38561
- 修复了 CVE-2021-39293
- 修复了 CVE-2021-41771
- 修复了 CVE-2021-41772
- 修复了 CVE-2021-43565
- 修复了 CVE-2021-44716
- 修复了 CVE-2022-1705
- 修复了 CVE-2022-1962
- 修复了 CVE-2022-21698
- 修复了 CVE-2022-23772
- 修复了 CVE-2022-23773
- 修复了 CVE-2022-23806
- 修复了 CVE-2022-24675
- 修复了 CVE-2022-24921
- 修复了 CVE-2022-27191
- 修复了 CVE-2022-27664
- 修复了 CVE-2022-28131
- 修复了 CVE-2022-28327
- 修复了 CVE-2022-2879
- 修复了 CVE-2022-2880
- 修复了 CVE-2022-29526
- 修复了 CVE-2022-30580
- 修复了 CVE-2022-30629
- 修复了 CVE-2022-30630
- 修复了 CVE-2022-30631
- 修复了 CVE-2022-30632
- 修复了 CVE-2022-30633
- 修复了 CVE-2022-30635
- 修复了 CVE-2022-32148
- 修复了 CVE-2022-32149
- 修复了 CVE-2022-32189
- 修复了 CVE-2022-41715
- 修复了 CVE-2022-41717
- 修复了 CVE-2022-41724
- 修复了 CVE-2022-41725
- 修复了 CVE-2023-24532
- 修复了 CVE-2023-24534
- 修复了 CVE-2023-24536
- 修复了 CVE-2023-24537
- 修复了 CVE-2023-24538
- 修复了 CVE-2023-24539
- 修复了 CVE-2023-24540
- 修复了 CVE-2023-29400
- 修复了 CVE-2023-29402
- 修复了 CVE-2023-29403
- 修复了 CVE-2023-29404
- 修复了 CVE-2023-29405
- 修复了 CVE-2023-45287
1.28.7-gke.1700
1.28.5-gke.1200
- 问题修复
- 修复了 runc 中文件描述符泄露的问题 (CVE-2024-21626)。
- 安全修复程序
- 修复了 CVE-2023-38039。
- 修复了 CVE-2023-46219。
- 修复了 CVE-2023-39326。
- 修复了 CVE-2023-44487。
- 修复了 CVE-2023-45142。
- 修复了 CVE-2023-45285。
- 修复了 CVE-2023-48795。
- 修复了 CVE-2024-0193。
- 修复了 CVE-2023-6932。
- 修复了 CVE-2024-0193。
- 修复了 CVE-2023-6817。
1.28.5-gke.100
- 安全修复程序
- 修复了 CVE-2022-28948。
- 修复了 CVE-2023-29491。
- 修复了 CVE-2023-36054。
- 修复了 CVE-2023-5363。
- 修复了 CVE-2023-47038。
- 修复了 CVE-2023-5981。
- 修复了 CVE-2023-4806。
- 修复了 CVE-2023-4016。
- 修复了 CVE-2023-4813。
- 修复了 CVE-2022-48522。
- 修复了 CVE-2023-46218。
- 修复了 CVE-2023-5156。
- 修复了 CVE-2023-39804。
- 修复了 CVE-2023-5869。
- 修复了 CVE-2023-39417。
- 修复了 CVE-2023-5868。
- 修复了 CVE-2023-5870。
- 修复了 GHSA-6xv5-86q9-7xr8。
1.28.3-gke.700
重大变更:从 1.28 开始,集群需要与
{GCP_LOCATION}-gkemulticloud.googleapis.com
建立出站 HTTPS 连接。请确保您的代理服务器和/或防火墙允许此类流量。功能:大多数功能不再需要明确添加 Google IAM 绑定。
- 创建集群时,不再需要为
gke-system/gke-telemetry-agent
添加任何绑定。 - 为 Google Managed Service for Prometheus 启用代管式数据收集功能时,不再需要为
gmp-system/collector
或gmp-system/rule-evaluator
添加任何绑定。
- 创建集群时,不再需要为
功能:Ubuntu 22.04 现在使用 linux-azure 6.2 内核版本。
问题修复:
gke-azure-encryption-provider
控制平面 Pod 的 Monitoring 指标现在会在kube-system
命名空间报告。之前,这些指标会错误地在默认命名空间报告。问题修复:将集群升级到 1.28 版将清理可能在旧版本(1.25 版及更低版本)中创建但不再需要的过时资源。将删除命名空间
gke-system
中的以下资源(如果存在):- daemonset
fluentbit-gke-windows
和gke-metrics-agent-windows
- configmap
fluentbit-gke-windows-config
和gke-metrics-agent-windows-conf
- daemonset
问题修复:增强了 Cloud Logging 从 Anthos Clusters on Azure 注入日志的功能:
- 修复了时间戳解析问题。
- 为
anthos-metadata-agent
的错误日志分配了正确的严重级别。
安全修复程序
- 修复了 CVE-2023-3610
- 修复了 CVE-2023-3776
- 修复了 CVE-2023-3611
- 修复了 CVE-2023-5197
- 修复了 CVE-2023-44487
- 修复了 CVE-2023-39325
- 修复了 CVE-2023-4147
- 修复了 CVE-2022-1996
- 修复了 CVE-2023-29406
- 修复了 CVE-2023-29409
- 修复了 CVE-2023-39318
- 修复了 CVE-2023-39319
- 修复了 CVE-2023-39323
- 修复了 CVE-2023-3978
Kubernetes 1.27
1.27.12-gke.800
- 安全修复程序:
- 修复了 CVE-2020-29509
- 修复了 CVE-2020-29511
- 修复了 CVE-2020-29652
- 修复了 CVE-2021-29923
- 修复了 CVE-2021-3121
- 修复了 CVE-2021-31525
- 修复了 CVE-2021-33195
- 修复了 CVE-2021-33196
- 修复了 CVE-2021-33197
- 修复了 CVE-2021-33198
- 修复了 CVE-2021-34558
- 修复了 CVE-2021-36221
- 修复了 CVE-2021-38297
- 修复了 CVE-2021-38561
- 修复了 CVE-2021-39293
- 修复了 CVE-2021-41771
- 修复了 CVE-2021-41772
- 修复了 CVE-2021-43565
- 修复了 CVE-2021-44716
- 修复了 CVE-2022-1705
- 修复了 CVE-2022-1962
- 修复了 CVE-2022-21698
- 修复了 CVE-2022-23772
- 修复了 CVE-2022-23773
- 修复了 CVE-2022-23806
- 修复了 CVE-2022-24675
- 修复了 CVE-2022-24921
- 修复了 CVE-2022-27664
- 修复了 CVE-2022-28131
- 修复了 CVE-2022-28327
- 修复了 CVE-2022-2879
- 修复了 CVE-2022-2880
- 修复了 CVE-2022-29526
- 修复了 CVE-2022-30580
- 修复了 CVE-2022-30629
- 修复了 CVE-2022-30630
- 修复了 CVE-2022-30631
- 修复了 CVE-2022-30632
- 修复了 CVE-2022-30633
- 修复了 CVE-2022-30635
- 修复了 CVE-2022-32148
- 修复了 CVE-2022-32149
- 修复了 CVE-2022-32189
- 修复了 CVE-2022-41715
- 修复了 CVE-2022-41717
1.27.11-gke.1600
1.27.10-gke.500
- 问题修复:
- 修复了 runc 中文件描述符泄露的问题 (CVE-2024-21626)。
- 安全修复程序:
- 修复了 CVE-2023-39323。
- 修复了 CVE-2023-39325。
- 修复了 CVE-2023-39326。
- 修复了 CVE-2023-3978。
- 修复了 CVE-2023-44487。
- 修复了 CVE-2023-45142。
- 修复了 CVE-2023-45285。
- 修复了 CVE-2023-48795。
- 修复了 CVE-2024-0193。
- 修复了 CVE-2023-6932。
- 修复了 CVE-2023-6931。
- 修复了 CVE-2024-0193。
- 修复了 CVE-2023-6817。
1.27.9-gke.100
- 安全修复程序
- 修复了 CVE-2023-5363。
- 修复了 CVE-2023-47038。
- 修复了 CVE-2023-5981。
- 修复了 CVE-2023-2975。
- 修复了 CVE-2023-40217。
- 修复了 CVE-2023-29002。
- 修复了 CVE-2023-38545。
- 修复了 CVE-2023-28321。
- 修复了 CVE-2023-0464。
- 修复了 CVE-2023-1255。
- 修复了 CVE-2023-41332。
- 修复了 CVE-2023-0465。
- 修复了 CVE-2023-4016。
- 修复了 CVE-2022-29458。
- 修复了 CVE-2022-3996。
- 修复了 CVE-2023-2602。
- 修复了 CVE-2023-38546。
- 修复了 CVE-2023-34242。
- 修复了 CVE-2023-0466。
- 修复了 CVE-2022-48522。
- 修复了 CVE-2023-28322。
- 修复了 CVE-2023-30851。
- 修复了 CVE-2023-2283。
- 修复了 CVE-2023-27594。
- 修复了 CVE-2023-2603。
- 修复了 CVE-2023-27593。
- 修复了 CVE-2023-5156。
- 修复了 CVE-2023-39347。
- 修复了 CVE-2023-1667。
- 修复了 CVE-2023-2650。
- 修复了 CVE-2023-31484。
- 修复了 CVE-2023-27595。
- 修复了 CVE-2023-41333。
- 修复了 CVE-2023-5869。
- 修复了 CVE-2023-39417。
- 修复了 CVE-2023-5868。
- 修复了 CVE-2023-5870。
- 修复了 GHSA-6xv5-86q9-7xr8。
1.27.7-gke.600
问题修复:增强了 Cloud Logging 从 Anthos Clusters on Azure 注入日志的功能:
- 修复了时间戳解析问题。
- 为
anthos-metadata-agent
的错误日志分配了正确的严重级别。
安全修复程序
- 修复了 CVE-2023-5197
- 修复了 CVE-2023-44487
- 修复了 CVE-2023-39325
- 修复了 CVE-2023-4147
- 修复了 CVE-2022-1996
1.27.6-gke.700
- 安全修复程序
- 修复了 CVE-2015-3276
- 修复了 CVE-2022-29155
1.27.5-gke.200
功能:Ubuntu 22.04 现在使用 linux-azure 6.2 内核版本。
安全修复程序
- 修复了 CVE-2023-3610
- 修复了 CVE-2023-3776
- 修复了 CVE-2023-3611
1.27.4-gke.1600
弃用:停用了未经身份验证的 kubelet 只读端口 10255。节点池升级到 1.27 版后,在其上运行的工作负载将无法再连接到端口 10255。
功能:将 Azuredisk CSI 驱动程序升级到 v1.28.1。
功能:将 Azurefile CSI 驱动程序升级到 v1.28.1。
功能:将
snapshot-controller
和csi-snapshot-validation-webhook
升级到 v6.2.2。此新版本引入了对 API 的重要更改。 具体而言,VolumeSnapshot
、VolumeSnapshotContents
和VolumeSnapshotClass
v1beta1 API 不再可用。功能:在创建和更新 API 中新增了对
admin-groups
标志的支持。通过此标志,客户能够以集群管理员身份快速轻松地对列出的群组进行身份验证,无需手动创建和应用 RBAC 政策。功能:为
fluent-bit
(日志处理器和转发器)、gke-metrics-agent
(指标收集器)和audit-proxy
(审核日志代理)启用了 gzip 压缩。fluent-bit
在将日志数据从控制平面和工作负载发送到 Cloud Logging 之前会对其进行压缩,gke-metrics-agent
在将指标数据从控制平面和工作负载发送到 Cloud Monitoring 之前会对其进行压缩,audit-proxy
在将审核日志数据发送到审核日志记录之前会对其进行压缩。这样可以减少网络带宽和费用。功能:节点自动修复功能现已正式发布。
功能:通过为从 Cloud Storage 下载的由 Google 管理的二进制工件添加文件完整性检查和指纹验证,提高安全性。
功能:添加了对控制平面上的
etcd
和etcd-events
自动进行定期碎片整理的支持。此功能可减少不必要的磁盘存储,并有助于防止etcd
和控制平面因磁盘存储问题而不可用。功能:更改了 Kubernetes 资源指标的指标名称,以使用
kubernetes.io/anthos/
指标前缀,而不是kubernetes.io/
。如需了解详情,请参阅指标参考文档。功能:将新集群上的默认 etcd 版本更改为了 v3.4.21,以提高稳定性。升级到此版本的现有集群将使用 etcd v3.5.6。
功能:通过为 kubelet 预留资源改进了节点资源管理。虽然此功能通过确保系统和 Kubernetes 进程具有所需资源来防止内存不足 (OOM) 错误至关重要,但可能会导致工作负载中断。预留 kubelet 的资源可能会影响 Pod 的可用资源,从而可能影响较小的节点处理现有工作负载的容量。客户应验证较小的节点是否仍可通过激活此新功能来支持其工作负载。
- 预留内存百分比如下:
- 内存不足 1 GB 的机器为 255 MiB
- 前 4 GB 内存的 25%
- 接下来 4 GB 的 20%
- 接下来 8 GB 的 10%
- 接下来 112 GB 的 6%
- 128 GB 以上任何内存的 2%
- 预留的 CPU 百分比如下:
- 第一个核心的 6%
- 下一个核心的 1%
- 接下来 2 个核心的 0.5%
- 4 个以上任何核心数量的 0.25%
安全修复程序
- 修复了 CVE-2021-43565
- 修复了 CVE-2022-3821
- 修复了 CVE-2022-4415
- 修复了 CVE-2022-21698
- 修复了 CVE-2023-24539
- 修复了 CVE-2023-24540
- 修复了 CVE-2023-29400
版本支持窗口
GKE on Azure 版本有效期页面列出了支持的 Kubernetes 版本的发布日期和支持终止日期。