Automatische Updates

Container-Optimized OS-Images verfügen über die integrierte Möglichkeit, nach der Veröffentlichung automatisch ein Upgrade auf eine neuere Version durchzuführen. Wenn diese Funktion aktiviert ist, können Nutzerinstanzen in Bezug auf Sicherheitsupdates und Fehlerkorrekturen auf dem neuesten Stand gehalten werden.

Wenn Container-Optimized OS als Teil eines verwalteten Dienstes (z. B. Google Kubernetes Engine, Cloud SQL usw.) verwendet wird, aktualisiert der verwaltete Dienst die Container-Optimized OS-Instanz für die Nutzer, um die Option zu aktivieren. Daher sind automatische Updates standardmäßig für diese deaktiviert.

Nutzer, die Produktionsarbeitslasten ausführen, die sensibel auf Kernel-Upgrades reagieren und eine kontrollierte Qualifizierung und Einführung benötigen, sollten auch automatische Updates deaktivieren. Weitere Informationen finden Sie im Abschnitt Automatische Updates deaktivieren.

Automatische Updates deaktivieren

Die Funktion für automatische Updates ist standardmäßig für alle Container-Optimized OS-Images aktiviert. Sie können das Feature deaktivieren, indem Sie die cos-update-strategy-Metadaten auf eine der folgenden Arten festlegen:

Neue Instanzen erstellen

gcloud compute instances create ... --metadata cos-update-strategy=update_disabled

Vorhandene Instanz

gcloud compute instances add-metadata --metadata cos-update-strategy=update_disabled

Design für automatische Updates

Container-Optimized OS verwendet ein Aktiv-Passiv-Root-Partitionsschema. Das Betriebssystem-Image wird komplett aktualisiert, einschließlich dem Kernel, im Gegensatz zu Aktualisierungen von traditionellen Linux-Distributionen, die Paket für Paket erfolgen. Das Image wird mit aktivierter automatischer Aktualisierungsfunktion gesendet. Dies bedeutet, dass eine standardmäßige Container-Optimized OS-Instanz immer die neueste Betriebssystemversion herunterlädt und sie kurz nach der Veröffentlichung auf der passiven Partition installiert.

Änderungen am Verhalten bei automatischen Updates

Das Team des Container-Optimized OS arbeitet aktiv an der Verbesserung unserer Back-End-Infrastruktur, die automatische Updates ermöglicht. Im Rahmen dieser Änderungen rotieren wir die Schlüssel, die zum Signieren und Überprüfen der Nutzlasten von Updates verwendet werden. Images, die vor der Schlüsselrotation freigegeben wurden, können jedoch nicht automatisch auf Images aktualisiert werden, die nach der Rotation freigegeben wurden. Die betroffene Image-Liste sieht so aus:

  • Diese Images können nicht auf die neueste Version aktualisiert werden:

    • Auf Meilenstein 77: Images vor cos-77-12771-1000-0
    • Auf Meilenstein 81: Images vor cos-81-12271-1000-0
    • Auf Meilenstein 85: Images vor cos-85-13310-1000-0
    • Auf Meilenstein 86: Images vor cos-dev-86-15053-0-0
  • Für diese Images werden keine Aktualisierungen mehr bereitgestellt:

    • Alle Meilensteine vor 77, einschließlich aller veralteten Meilensteine.

Automatische Updates funktionieren weiterhin bei allen unterstützten Meilensteinen für neue Versionen.

Nutzer, die Container-Optimized OS als Teil eines verwalteten Dienstes (z. B. Google Kubernetes Engine, Cloud SQL) verwenden, sind nicht betroffen.

Nutzer, die eigenständige Container-Optimized OS-Versionen mit aktiviertem auto-update ausführen, können ihre Instanzen nicht auf neue Versionen aktualisieren. Wir fordern diese Nutzer auf, manuell neuere Betriebssystemversionen auszuwählen. Dazu erstellen sie ihre VM-Instanzen mit dem neueren Image neu.