Actualizaciones automáticas

Las imágenes de Container-Optimized OS tienen la capacidad integrada para realizar actualizaciones automáticas a una versión más reciente cuando se lanzan. Después de habilitar esta función, permite que las instancias de usuario se mantengan al día con respecto a las correcciones de seguridad y las correcciones de errores.

Cuando Container-Optimized OS se usa como parte de un servicio administrado (por ejemplo, Google Kubernetes Engine, Cloud SQL, etc.), el servicio administrado se encarga de actualizar la instancia de Container-Optimized OS para los usuarios. Por lo tanto, las actualizaciones automáticas están inhabilitadas en ellas de forma predeterminada.

Los usuarios que ejecutan cargas de trabajo de producción que son sensibles a las actualizaciones de kernel y que requieren calificación controlada y lanzamiento también deben inhabilitar las actualizaciones automáticas. Para obtener más información, consulta la sección Inhabilita actualizaciones automáticas.

Cómo inhabilitar las actualizaciones automáticas

La función de actualizaciones automáticas está habilitada de forma predeterminada en todas las imágenes de Container-Optimized OS. La función se puede inhabilitar mediante la configuración de los metadatos cos-update-strategy de una de las siguientes maneras:

Crea una instancia nueva

gcloud compute instances create ... --metadata cos-update-strategy=update_disabled

Instancia existente

gcloud compute instances add-metadata --metadata cos-update-strategy=update_disabled

Diseño de actualización automática

Container-Optimized OS utiliza un esquema de partición raíz activo/pasivo. La imagen de SO se actualiza en su totalidad, incluido el kernel, a diferencia de las actualizaciones paquete por paquete, como en las distribuciones tradicionales de Linux. La imagen envía la característica de actualizaciones automáticas habilitadas Esto significa que una instancia predeterminada de Container-Optimized OS siempre descarga la última versión del SO y la instala en la partición pasiva poco después de su lanzamiento.

Cambios en el comportamiento de las actualizaciones automáticas

El equipo de Container-Optimized OS está trabajando de forma activa para mejorar nuestra infraestructura de backend que permite las actualizaciones automáticas. Como parte de estos cambios, rotamos las claves que se usan para firmar y validar las cargas útiles de actualización. Sin embargo, las imágenes publicadas antes de la rotación de claves no se pueden actualizar de forma automática a las imágenes publicadas después de la rotación. La lista de imágenes afectada es la siguiente:

  • Estas imágenes no se pueden actualizar a las últimas versiones:

    • En el evento importante 77: imágenes anteriores a cos-77-12371-1000-0
    • En el evento importante 81: imágenes anteriores a cos-81-12871-1000-0
    • En el evento importante 85: imágenes anteriores al cos-85-13310-1000-0
    • En el evento importante 86: imágenes anteriores a cos-dev-86-15053-0-0
  • Estas imágenes ya no recibirán actualizaciones:

    • Todos los eventos importantes antes de 77, incluidos los eventos importantes previamente obsoletos.

Las actualizaciones automáticas continuarán funcionando en todos los eventos importantes compatibles con versiones nuevas.

Los usuarios que usan Container-Optimized OS como parte de un servicio administrado (por ejemplo, Google Kubernetes Engine, Cloud SQL, etc.) no se ven afectados.

Los usuarios que ejecutan versiones independientes de Container-Optimized OS con auto-update habilitado no verán que sus instancias se actualicen a versiones más recientes. Solicitamos a esos usuarios que seleccionen nuevas versiones del SO de forma manual mediante la recreación de sus instancias de VM con la imagen más nueva.