As imagens do SO otimizado para contentores têm a capacidade incorporada de serem atualizadas automaticamente para uma versão mais recente quando esta é lançada. Quando ativada, esta capacidade permite que as instâncias de utilizadores se mantenham atualizadas no que diz respeito a correções de segurança e correções de erros.
Quando o SO otimizado para contentores é usado como parte de um serviço gerido (por exemplo, o Google Kubernetes Engine, o Cloud SQL, etc.), o serviço gerido encarrega-se de atualizar a instância do SO otimizado para contentores para os utilizadores. Por isso, as atualizações automáticas estão desativadas por predefinição nesses dispositivos.
Os utilizadores que executam cargas de trabalho de produção sensíveis a atualizações do kernel e que requerem qualificação e implementação controladas também devem desativar as atualizações automáticas. Para mais informações, consulte a secção Desativar atualizações automáticas.
Ative ou desative as atualizações automáticas
Na etapa 117 e posteriores, a funcionalidade de atualizações automáticas está desativada por predefinição
em todas as imagens do SO otimizado para contentores. Em marcos anteriores à versão 117, a funcionalidade está ativada por predefinição. Pode ativar ou desativar as atualizações automáticas ao
definir os metadados cos-update-strategy em novas instâncias, instâncias existentes
ou em todas as instâncias num projeto, conforme descrito nas secções seguintes.
Configure as atualizações automáticas numa nova instância
Crie uma nova instância com as atualizações automáticas ativadas:
gcloud compute instances create INSTANCE_NAME \
--metadata cos-update-strategy=update_enabled
Crie uma nova instância com as atualizações automáticas desativadas:
gcloud compute instances create INSTANCE_NAME \
--metadata cos-update-strategy=update_disabled
Configure as atualizações automáticas numa instância existente
Ative as atualizações automáticas para uma instância existente:
gcloud compute instances add-metadata INSTANCE_NAME \
--metadata cos-update-strategy=update_enabled
Desative as atualizações automáticas para uma instância existente:
gcloud compute instances add-metadata INSTANCE_NAME \
--metadata cos-update-strategy=update_disabled
Configure as atualizações automáticas em todas as instâncias de um projeto
A partir da conquista 97, pode ativar ou desativar as atualizações automáticas para todas as instâncias num projeto através de flags de metadados nos metadados do projeto.
Ativar atualizações para todas as instâncias num projeto:
gcloud compute project-info add-metadata \
--metadata cos-update-strategy=update_enabled
Desativar atualizações para todas as instâncias num projeto:
gcloud compute project-info add-metadata \
--metadata cos-update-strategy=update_disabled
Design de atualizações automáticas
O SO otimizado para contentores usa um esquema de partição raiz ativo-passivo. A imagem do SO é atualizada na íntegra, incluindo o kernel, ao contrário das atualizações pacote a pacote, como nas distribuições Linux tradicionais. A imagem é enviada com a funcionalidade de atualizações automáticas ativada. Isto significa que uma instância do SO otimizado para contentores predefinida transfere sempre a versão mais recente do SO e instala-a na partição passiva pouco depois do lançamento.
Se estiver a usar uma imagem da conquista LTS ou da família de imagens cos-stable, recebe uma atualização da versão mais recente do SO da mesma conquista. Na família de imagens cos-dev e cos-beta, a atualização vai ser a versão do SO mais recente da família de imagens correspondente.
Alterações ao comportamento das atualizações automáticas
A equipa do SO otimizado para contentores está a trabalhar ativamente na melhoria da nossa infraestrutura de back-end que torna as atualizações automáticas possíveis. No âmbito destas alterações, vamos alternar as chaves usadas para assinar e validar os payloads de atualização. No entanto, as imagens lançadas antes da rotação de chaves não podem ser atualizadas automaticamente para imagens lançadas após a rotação. A lista de imagens afetadas é a seguinte:
Não é possível atualizar estas imagens para as versões mais recentes:
- No marco 77: imagens anteriores a cos-77-12371-1000-0
- No marco 81: imagens anteriores a cos-81-12871-1000-0
- No marco 85: imagens anteriores a cos-85-13310-1000-0
- No marco 86: imagens anteriores a cos-dev-86-15053-0-0
Estas imagens vão deixar de receber atualizações:
- Todos os marcos anteriores a 77, incluindo todos os marcos anteriormente descontinuados.
Os utilizadores que executam o SO otimizado para contentores autónomo com qualquer uma das versões afetadas e que têm a funcionalidade de atualização automática ativada não vão ver as respetivas instâncias atualizadas para versões mais recentes. Nestes casos, os utilizadores devem escolher manualmente versões mais recentes do SO recriando as respetivas instâncias de VM com a imagem mais recente. As atualizações automáticas vão continuar a funcionar em todos os marcos suportados para novos lançamentos.