Container-Optimized OS-Images verfügen über die integrierte Möglichkeit, nach der Veröffentlichung automatisch ein Upgrade auf eine neuere Version durchzuführen. Wenn diese Funktion aktiviert ist, können Nutzerinstanzen in Bezug auf Sicherheitsupdates und Fehlerkorrekturen auf dem neuesten Stand gehalten werden.
Wenn Container-Optimized OS als Teil eines verwalteten Dienstes (z. B. Google Kubernetes Engine, Cloud SQL usw.) verwendet wird, aktualisiert der verwaltete Dienst die Container-Optimized OS-Instanz für die Nutzer, um die Option zu aktivieren. Daher sind automatische Updates standardmäßig für diese deaktiviert.
Nutzer, die Produktionsarbeitslasten ausführen, die sensibel auf Kernel-Upgrades reagieren und eine kontrollierte Qualifizierung und Einführung benötigen, sollten auch automatische Updates deaktivieren. Weitere Informationen finden Sie im Abschnitt Automatische Updates deaktivieren.
Automatische Updates deaktivieren
Die Funktion für automatische Updates ist standardmäßig für alle Container-Optimized OS-Images aktiviert. Sie können das Feature deaktivieren, indem Sie die cos-update-strategy-Metadaten auf eine der folgenden Arten festlegen:
Neue Instanz erstellen
Erstellen Sie eine neue Instanz mit deaktivierten automatischen Updates:
gcloud compute instances create INSTANCE_NAME --metadata cos-update-strategy=update_disabled
Vorhandene Instanz
So deaktivieren Sie automatische Updates für eine vorhandene Instanz:
gcloud compute instances add-metadata INSTANCE_NAME --metadata cos-update-strategy=update_disabled
Updates für alle Instanzen in einem Projekt deaktivieren
Ab Meilenstein 97 können Sie automatische Updates für alle Instanzen in einem Projekt mithilfe von Metadaten-Flags in Projektmetadaten deaktivieren.
gcloud compute project-info add-metadata \
--metadata cos-update-strategy=update_disabled
Design für automatische Updates
Container-Optimized OS verwendet ein Aktiv-Passiv-Root-Partitionsschema. Das Betriebssystem-Image wird komplett aktualisiert, einschließlich dem Kernel, im Gegensatz zu Aktualisierungen von traditionellen Linux-Distributionen, die Paket für Paket erfolgen. Das Image wird mit aktivierter automatischer Aktualisierungsfunktion gesendet. Dies bedeutet, dass eine standardmäßige Container-Optimized OS-Instanz immer die neueste Betriebssystemversion herunterlädt und sie kurz nach der Veröffentlichung auf der passiven Partition installiert.
Wenn Sie ein Image aus der LTS-Meilenstein-Version oder der cos-stabilen Image-Familie verwenden, erhalten Sie ein Update der neuesten Betriebssystemversion vom gleichen Meilenstein. Bei der cos-dev- und cos-beta-Image-Familie ist die Aktualisierung die neueste Betriebssystemversion aus der entsprechenden Image-Familie.
Änderungen am Verhalten bei automatischen Updates
Das Team des Container-Optimized OS arbeitet aktiv an der Verbesserung unserer Back-End-Infrastruktur, die automatische Updates ermöglicht. Im Rahmen dieser Änderungen rotieren wir die Schlüssel, die zum Signieren und Überprüfen der Nutzlasten von Updates verwendet werden. Images, die vor der Schlüsselrotation freigegeben wurden, können jedoch nicht automatisch auf Images aktualisiert werden, die nach der Rotation freigegeben wurden. Die betroffene Image-Liste sieht so aus:
Diese Images können nicht auf die neueste Version aktualisiert werden:
- Auf Meilenstein 77: Images vor cos-77-12771-1000-0
- Auf Meilenstein 81: Images vor cos-81-12271-1000-0
- Auf Meilenstein 85: Images vor cos-85-13310-1000-0
- Auf Meilenstein 86: Images vor cos-dev-86-15053-0-0
Für diese Images werden keine Aktualisierungen mehr bereitgestellt:
- Alle Meilensteine vor 77, einschließlich aller veralteten Meilensteine.
Nutzer, die ein eigenständiges Container-Optimized OS mit einer der betroffenen Versionen ausführen und das automatische Update aktiviert haben, sehen keine Updates ihrer Instanzen auf neuere Versionen. In diesen Fällen sollten Nutzer neuere Betriebssystemversionen manuell auswählen, wenn sie ihre VM-Instanzen mit dem neueren Image neu erstellen. Automatische Updates funktionieren weiterhin auf allen unterstützten Meilensteinen für Neuveröffentlichungen.