Nicht unterstützte Kubernetes-Clusterversionen

Die folgenden Versionen von GKE on Azure werden nicht unterstützt.

Kubernetes 1.25

1.25.14-gke.700

Kubernetes OSS-Versionshinweise

1.25.13-gke.200

Kubernetes OSS-Versionshinweise

1.25.12-gke.500

Kubernetes OSS-Versionshinweise * Funktion: Die Liste der von Knotenpools erfassten Messwerte wurde um gke-metrics-agent, cilium-agent, cilium-operator, coredns, fluentbit-gke, kubelet und konnectivity-agent erweitert.

1.25.10-gke.1400

Kubernetes OSS-Versionshinweise

1.25.10-gke.1200

Kubernetes OSS-Versionshinweise

  • Sicherheitsupdates
    • Knotenpool-Messwert-Agent und Messwertserver wurden zum authentifizierten Kubelet-Port migriert.

1.25.8-gke.500

Kubernetes OSS-Versionshinweise

  • Fehlerkorrekturen

    • Der Logging-Agent beanspruchte immer mehr Arbeitsspeicher. Das Problem wurde behoben.

  • Sicherheitsupdates

1.25.7-gke.1000

Kubernetes OSS-Versionshinweise

  • Fehlerkorrekturen:Für neu erstellte Cluster wird jetzt etcd v3.4.21 für eine verbesserte Stabilität verwendet. Vorhandene Cluster mit früheren Versionen nutzten bereits die etcd-Version 3.5.x und werden während des Clusterupgrades nicht auf Version 3.4.21 heruntergestuft. Diese Cluster verwenden stattdessen Version 3.5.6.

  • Sicherheitsupdates

1.25.6-gke.1600

Kubernetes OSS-Versionshinweise

1.25.5-gke.2000

Kubernetes OSS-Versionshinweise

  • Funktion:Der Anthos Identity Service wurde aktualisiert, um gleichzeitige Webhook-Anfragen zur Authentifizierung besser zu verarbeiten.

  • Fehlerkorrektur:Ein Problem wurde behoben, bei dem bestimmte Fehler beim Erstellen/Aktualisieren von Clustern nicht weitergegeben und gemeldet wurden.

  • Fehlerkorrektur:Ein Problem wurde behoben, bei dem die Authentifizierung über das Anthos Service Mesh-Dashboard fehlschlug, da die Identität des Endnutzers nicht übernommen werden konnte.

  • Sicherheitsupdates

1.25.5-gke.1500

Kubernetes OSS-Versionshinweise

  • Bekanntes Problem:Einige UI-Oberflächen in der Google Cloud Console können keine Autorisierung für den Cluster vornehmen und zeigen den Cluster möglicherweise als nicht erreichbar an. Sie können das Problem umgehen, indem Sie RBAC manuell anwenden, um den Nutzeridentitätswechsel zu ermöglichen. Weitere Informationen finden Sie unter Fehlerbehebung.

  • Sicherheitsupdates

1.25.4-gke.1300

Kubernetes OSS-Versionshinweise

  • Bekanntes Problem:Einige UI-Oberflächen in der Google Cloud Console können keine Autorisierung für den Cluster vornehmen und zeigen den Cluster möglicherweise als nicht erreichbar an. Sie können das Problem umgehen, indem Sie RBAC manuell anwenden, um den Nutzeridentitätswechsel zu ermöglichen. Weitere Informationen finden Sie unter Fehlerbehebung.

  • Einstellung:Verworfene integrierte Volume-Plug-ins flocker, quobyte und storageos wurden entfernt.

  • Funktion:Das Hochladen von Arbeitslastmesswerten mit Google Managed Service for Prometheus mit verwalteter Sammlung in Cloud Monarch ist jetzt in GA verfügbar.

  • Funktion: Erhöhte Sicherheit durch eingeschränkte statische Pods, die auf den VMs der Steuerungsebene des Clusters als Nicht-Root-Linux-Nutzer ausgeführt werden.

  • Funktion:Azure AD GA. Mit diesem Feature können Clusteradministratoren RBAC-Richtlinien auf Basis von Azure AD-Gruppen für die Autorisierung in Clustern konfigurieren. Dadurch können Gruppeninformationen für Nutzer abgerufen werden, die zu mehr als 200 Gruppen gehören, und so die Einschränkung des regulären OIDC überwinden, der mit Azure AD als Identitätsanbieter konfiguriert ist.

  • Funktion:Es wurde ein neuer Token-Manager (gke-token-manager) hinzugefügt, um Tokens für Komponenten der Steuerungsebene mit dem Signaturschlüssel des Dienstkontos zu generieren. Vorteile:

    1. Beseitigen Sie die Abhängigkeit von kube-apiserver für Komponenten der Steuerungsebene zur Authentifizierung bei Google-Diensten. Bisher wurde für Komponenten der Steuerungsebene die TokenRequest API verwendet und sie basierten auf einem fehlerfreien kube-apiserver. Im Gegensatz dazu werden die Tokens von der Komponente „gke-token-manager“ jetzt direkt mit dem Signaturschlüssel des Dienstkontos erstellt.
    2. Entfernen Sie den RBAC zum Generieren von Tokens für Komponenten der Steuerungsebene.
    3. Logging und kube-apiserver entkoppeln Damit das Logging aufgenommen werden kann, bevor kube-apiserver aktiv ist.
    4. Stärkere Ausfallsicherheit der Steuerungsebene. Auch wenn kube-apiserver außer Betrieb ist, können die Komponenten der Steuerungsebene die Tokens abrufen und weiter funktionieren.

  • Funktion:Im Rahmen einer Vorabversion können Sie verschiedene Messwerte aus den Komponenten der Steuerungsebene in Cloud Monitoring aufnehmen, darunter kube-apiserver, etcd, kube-scheduler und kube-controller-manager.

  • Funktion:Nutzer in einer Google-Gruppe können über Connect Gateway auf Azure-Cluster zugreifen, indem sie der Gruppe die erforderliche RBAC-Berechtigung erteilen. Weitere Informationen finden Sie unter Connect-Gateway mit Google Groups einrichten.

  • Fehlerkorrektur:Es wurde ein Problem behoben, das dazu führen konnte, dass veraltete Versionen von gke-connect-agent nach Clusterupgrades nicht entfernt wurden.

  • Sicherheitsupdates

Kubernetes 1.24

1.24.14-gke.2700

Kubernetes OSS-Versionshinweise

1.24.14-gke.1400

Kubernetes OSS-Versionshinweise

1.24.13-gke.500

Kubernetes OSS-Versionshinweise

  • Fehlerkorrekturen

    • Der Logging-Agent beanspruchte immer mehr Arbeitsspeicher. Das Problem wurde behoben.

  • Sicherheitsupdates

1.24.11-gke.1000

Kubernetes OSS-Versionshinweise

  • Fehlerkorrekturen:Für neu erstellte Cluster wird jetzt etcd v3.4.21 für eine verbesserte Stabilität verwendet. Vorhandene Cluster mit früheren Versionen nutzten bereits die etcd-Version 3.5.x und werden während des Clusterupgrades nicht auf Version 3.4.21 heruntergestuft. Diese Cluster verwenden stattdessen Version 3.5.6.

  • Sicherheitsupdates

1.24.10-gke.1200

Kubernetes OSS-Versionshinweise

  • Fehlerkorrektur:Es wurde ein Problem behoben, bei dem Clusterupgrades fehlschlugen, wenn bestimmte Arten von validierenden Zulassungs-Webhooks registriert sind.
  • Fehlerkorrektur:Die Weitergabe von Cilium-Sicherheits-IDs wurde korrigiert, sodass die IDs im Tunnelheader korrekt übergeben werden, wenn Anfragen an Dienste vom Typ NodePort und LoadBalancer weitergeleitet werden.
  • Sicherheitsupdates

1.24.9-gke.2000

Kubernetes OSS-Versionshinweise

  • Funktion:Der Anthos Identity Service wurde aktualisiert, um gleichzeitige Webhook-Anfragen zur Authentifizierung besser zu verarbeiten.

  • Fehlerkorrektur:Ein Problem wurde behoben, bei dem bestimmte Fehler beim Erstellen/Aktualisieren von Clustern nicht weitergegeben und gemeldet wurden.

  • Sicherheitsupdates

1.24.9-gke.1500

Kubernetes OSS-Versionshinweise

1.24.8-gke.1300

Kubernetes OSS-Versionshinweise

1.24.5-gke.200

Kubernetes OSS-Versionshinweise

1.24.3-gke.2100

Kubernetes OSS-Versionshinweise

  • Funktion:Deaktivieren Sie den Endpunkt für die Profilerstellung (/debug/pprof) in kube-scheduler und kube-controller-manager standardmäßig.
  • Funktion:Aktualisieren Sie kube-apiserver und kubelet, um nur starke kryptografische Chiffren zu verwenden.
  • Funktion:go1.18 akzeptiert standardmäßig keine Zertifikate, die mit dem SHA-1-Hash-Algorithmus signiert sind. Zulassungs-/Conversion-Webhooks oder aggregierte Serverendpunkte, die diese unsicheren Zertifikate verwenden, funktionieren in Version 1.24 standardmäßig nicht mehr. Die Umgebungsvariable GODEBUG=x509sha1=1 wird in Anthos on Azure-Clustern als temporäre Problemumgehung festgelegt, damit diese unsicheren Zertifikate weiterhin funktionieren. Das Go-Team wird jedoch voraussichtlich in den kommenden Releases den Support für diese Problemumgehung einstellen. Kunden sollten vor dem Upgrade auf die anstehende funktionsgefährdende Version prüfen und sicherstellen, dass es keine Zulassungs-/Conversion-Webhooks oder aggregierten Serverendpunkte gibt, die solche unsicheren Zertifikate verwenden.
  • Funktion:Verbessern Sie die Netzwerkverbindungsprüfungen beim Erstellen von Clustern und Knotenpools, um die Fehlerbehebung zu erleichtern.
  • Funktion:Laden Sie Kubernetes-Ressourcenmesswerte in Google Cloud Monitoring für Windows-Knotenpools hoch.
  • Funktion:Stellen Sie Daemonset azure-cloud-node-manager mit kubelet-Anmeldedaten bereit, um die Knoteninitialisierung abzuschließen.
  • Funktion:Aktualisieren Sie Kubelet, um einen externen Azure-Cloud-Anbieter anzuwenden.

  • Funktion:Das Hochladen von Arbeitslastmesswerten mit Google Managed Service for Prometheus in Cloud Monarch ist als private Vorschau nur auf Einladung verfügbar.

  • Sicherheitsupdates

Kubernetes 1.23

1.23.16-gke.2800

Kubernetes OSS-Versionshinweise

1.23.16-gke.200

Kubernetes OSS-Versionshinweise

  • Fehlerkorrektur:Ein Problem wurde behoben, bei dem bestimmte Fehler beim Erstellen/Aktualisieren von Clustern nicht weitergegeben und gemeldet wurden.

  • Fehlerkorrektur:Es wurden cpp-httplib-Probleme behoben, bei denen der kubeapi-Server AIS nicht erreichen konnte.

  • Sicherheitsupdates

1.23.14-gke.1800

Kubernetes OSS-Versionshinweise

1.23.14-gke.1100

Kubernetes OSS-Versionshinweise

1.23.11-gke.300

Kubernetes OSS-Versionshinweise

1.23.9-gke.2100

Kubernetes OSS-Versionshinweise

1.23.9-gke.800

Kubernetes OSS-Versionshinweise

1.23.8-gke.1700

Kubernetes OSS-Versionshinweise

1.23.7-gke.1300

Kubernetes OSS-Versionshinweise

  • Funktion:Quellcode von Azuredisk verfügbar unter https://console.cloud.google.com/storage/browser/gke-multi-cloud-api-release/azuredisk-csi-driver
  • Funktion:Quellcode von Azurefile ist verfügbar unter https://console.cloud.google.com/storage/browser/gke-multi-cloud-api-release/azurefile-csi-driver
  • Funktion:Deaktivieren Sie den Endpunkt für die Profilerstellung (/debug/pprof) in kube-scheduler und kube-controller-manager standardmäßig.

  • Funktion:Aktualisieren Sie kube-apiserver und kubelet, um nur starke kryptografische Chiffren zu verwenden. Unterstützte, von Kubelet verwendete Chiffren:

    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_GCM_SHA256

    Unterstützte, vom kube api-server verwendete Chiffren:

    TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256, TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384

  • Sicherheitsupdates

Kubernetes 1.22

1.22.15-gke.100

Kubernetes OSS-Versionshinweise

1.22.12-gke.2300

Kubernetes OSS-Versionshinweise

1.22.12-gke.1100

Kubernetes OSS-Versionshinweise

1.22.12-gke.200

Kubernetes OSS-Versionshinweise

1.22.10-gke.1500

Kubernetes OSS-Versionshinweise

1.22.8-gke.2100

Kubernetes OSS-Versionshinweise

  • Funktion:Windows-Knoten verwenden jetzt Pigz, um die Leistung der Extraktion von Bildebenen zu verbessern.

1.22.8-gke.1300

  • Funktion:Sie können keine neuen Cluster mit dieser Version erstellen oder vorhandene Cluster auf diese Version upgraden. Vorhandene Cluster oder Knotenpools dieser Version funktionieren jedoch weiterhin und können auf eine neuere Version aktualisiert werden.

  • Fehlerkorrekturen

    • Das Problem, dass Add-ons nicht angewendet werden können, wenn Windows-Knotenpools aktiviert sind, wurde behoben.
    • Das Problem, dass der Logging-Agent angehängten Speicherplatz belegen konnte, wurde behoben.

  • Sicherheitsupdates

    • Korrigiert CVE-2022-1055.
    • Korrigiert CVE-2022-0886.
    • Korrigiert CVE-2022-0492.
    • Korrigiert CVE-2022-24769.
    • Dieser Release umfasst die folgenden Änderungen bei der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC):
    • anet-operator-Berechtigungen wurden für die Lease-Aktualisierung herabgestuft.
    • Die anetd-Daemon-Set-Berechtigungen für Knoten und Pods wurden herabgestuft.
    • fluentbit-gke-Berechtigungen für Dienstkontotokens wurden herabgestuft.
    • gke-metrics-agent für Dienstkonto-Tokens herabgestuft.
    • coredns-autoscaler-Berechtigungen für Knoten, ConfigMaps und Deployments wurden herabgestuft.

1.22.8-gke.200

Kubernetes OSS-Versionshinweise

  • Funktion:Sie können keine neuen Cluster mit dieser Version erstellen oder vorhandene Cluster auf diese Version upgraden. Vorhandene Cluster oder Knotenpools dieser Version funktionieren jedoch weiterhin und können auf eine neuere Version aktualisiert werden.

  • Funktion:Wenn Sie einen neuen Cluster mit der Kubernetes-Version 1.22 erstellen, können Sie jetzt benutzerdefinierte Logging-Parameter konfigurieren.

  • Funktion: Im Rahmen einer Vorabversion können Sie beim Erstellen von Knotenpools mit Kubernetes Version 1.22 jetzt Windows als Knotenpool-Image-Typ auswählen.

  • Funktion:Die häufigsten Fehler beim Booten von asynchronen Clustern und Knotenpools werden jetzt im Fehlerfeld für lang andauernde Vorgänge angezeigt. Weitere Informationen finden Sie in der Referenzdokumentation zu gcloud container azure operations list.

  • Fehlerkorrekturen

    • Der GKE Connect-Agent liest und wendet die Proxyeinstellungen des Clusters jetzt korrekt an.

  • Sicherheitsupdates

Kubernetes 1.21

1.21.14-gke.2900

Kubernetes OSS-Versionshinweise

1.21.14-gke.2100

Kubernetes OSS-Versionshinweise

1.21.11-gke.1900

Kubernetes OSS-Versionshinweise

1.21.11-gke.1800

Kubernetes OSS-Versionshinweise

1.21.11-gke.1100

Sie können mit dieser Version keine neuen Cluster erstellen oder vorhandene Cluster auf diese Version aktualisieren. Vorhandene Cluster oder Knotenpools dieser Version funktionieren jedoch weiterhin und können auf eine neuere Version aktualisiert werden.

  • Sicherheitsupdates
    • Korrigiert CVE-2022-1055.
    • Korrigiert CVE-2022-0886.
    • Korrigiert CVE-2022-0492.
    • Korrigiert CVE-2022-24769.
    • RBAC-Korrekturen:
    • anet-Operator-Berechtigungen für Lease-Update heruntergestuft.
    • Die anetd-Daemon-Set-Berechtigungen für Knoten und Pods wurden herabgestuft.
    • fluentbit-gke-Berechtigungen für Dienstkontotokens herabgestuft.
    • gke-metrics-agent für Dienstkonto-Tokens herabgestuft.
    • Coredns-Autoscaling-Berechtigungen für Knoten, ConfigMaps und Deployments herabgestuft.

1.21.11-gke.100

Kubernetes OSS-Versionshinweise * Funktion:Sie können mit dieser Version keine neuen Cluster erstellen oder vorhandene Cluster auf diese Version upgraden. Vorhandene Cluster oder Knotenpools dieser Version funktionieren jedoch weiterhin und können auf eine neuere Version aktualisiert werden. * Fehlerkorrekturen * Der GKE-Connect-Agent liest jetzt die Proxyeinstellungen des Clusters korrekt und wendet sie an.

1.21.6-gke.1500

Kubernetes OSS-Versionshinweise

Sicherheitskorrekturen – Fehlerkorrektur für CVE-2021-4154. Weitere Informationen finden Sie unter GCP-2022-002. - CVE-2022-0185 behoben. Weitere Informationen finden Sie unter GCP-2022-002. - CVE-2021-4034 behoben. Weitere Informationen finden Sie unter GCP-2022-004. - CVE-2021-43527 behoben. Weitere Informationen finden Sie unter GCP-2022-005.

1.21.5-gke.2800

Kubernetes OSS-Versionshinweise