Versiones admitidas de clústeres de Kubernetes

Cada versión de GKE on AWS incluye notas de la versión de Kubernetes. Son similares a las notas de la versión, pero son específicas de una versión de Kubernetes y pueden ofrecer más detalles técnicos.

GKE en AWS admite las siguientes versiones de Kubernetes:

Kubernetes 1.29

1.29.3-gke.600

Notas de la versión de OSS de Kubernetes

Kubernetes 1.28

1.28.8-gke.800

Notas de la versión de OSS de Kubernetes

1.28.7-gke.1700

Notas de la versión de OSS de Kubernetes

  • Corrección de errores: Se solucionó un problema en el que el emulador de Instance Metadata Service (IMDS) a veces no se vinculaba a una dirección IP en el nodo. El emulador IMDS permite que los nodos accedan de forma segura a los metadatos de las instancias de AWS EC2.

1.28.5-gke.1200

Notas de la versión de OSS de Kubernetes

1.28.5-gke.100

Notas de la versión de OSS de Kubernetes

1.28.3-gke.700

Notas de la versión de OSS de Kubernetes

  • Cambio rotundo: A partir de la versión Kubernetes 1.28, los clústeres requieren conectividad HTTPS saliente a {GCP_LOCATION}-gkemulticloud.googleapis.com. Asegúrate de que tu servidor proxy o firewall permita este tráfico.

  • Cambio rotundo: A partir de Kubernetes 1.28, el rol de agente de servicio de la API de múltiples nubes requiere un permiso Iam:getinstanceprofile nuevo en tu proyecto de AWS. El servicio de múltiples nubes usa este permiso para inspeccionar los perfiles de instancia adjuntos a las instancias de máquina virtual en el clúster.

  • Función: Se agregó compatibilidad con reversiones para los grupos de nodos de AWS que fallaron en las operaciones de actualización. Esto permite a los clientes revertir los grupos de nodos a su estado original.

  • Función: Se agregó compatibilidad para extraer imágenes de Google Artifact Registry privado y de Google Container Registry privado sin la clave de cuenta de servicio de Google exportada. Google administra y rota automáticamente las credenciales de extracción de imágenes.

  • Función: Se quitó la necesidad de agregar de manera explícita vinculaciones de Google IAM para la mayoría de las funciones.

    1. Ya no es necesario agregar vinculaciones para gke-system/gke-telemetry-agent cuando creas un clúster.
    2. Ya no es necesario agregar ninguna vinculación para gmp-system/collector o gmp-system/rule-evaluator cuando se habilita la recopilación de datos administrada de Google Managed Service para Prometheus.
    3. Ya no es necesario agregar vinculaciones para gke-system/binauthz-agent cuando se habilita la Autorización Binaria.

  • Función: La actualización de aumento de AWS ahora tiene disponibilidad general. Las actualizaciones de aumento te permiten configurar la velocidad y la interrupción de las actualizaciones del grupo de nodos. Para obtener más detalles sobre cómo habilitar y establecer la configuración de aumento en tus grupos de nodos de AWS, consulta Configura actualizaciones de aumento de grupos de nodos.

  • Función: Se actualizó el kernel de Ubuntu 22.04 a linux-aws 6.2.

  • Función: Se agregó compatibilidad para crear grupos de nodos mediante las siguientes instancias de AWS EC2: G5, I4g, M7a, M7g, M7i, R7g, R7i y R7iz.

  • Corrección de errores: Se mejoró la creación de plantillas de lanzamiento. Las etiquetas que proporcionan los clientes se propagan a las instancias.

    • Este cambio mejora sobre todo la compatibilidad con las reglas de la política de IAM. En particular, aborda las reglas que prohíben el uso de plantillas de lanzamiento que no admiten la propagación de etiquetas, incluso en los casos en que el grupo de ajuste de escala automático (ASG) asociado propaga etiquetas.
    • Este puede ser un cambio rotundo, según los detalles de la política de IAM del cliente relacionada con las verificaciones de etiquetas. Por lo tanto, es importante tener precaución durante el proceso de actualización, ya que un control inadecuado puede dejar un clúster en un estado degradado.
    • Se requiere la acción ec2:CreateTags en el recurso arn:aws:ec2:*:*:instance/* para el rol del agente de servicio de la API de múltiples nubes de Anthos. Consulta https://cloud.google.com/kubernetes-engine/multi-cloud/docs/aws/how-to/create-aws-iam-roles#create_service_agent_role para obtener la información más reciente.
    • Sugerimos que los clientes intenten crear un clúster 1.28 desechable y confirmar que las políticas de IAM funcionen correctamente antes de intentar actualizar a 1.28.

  • Corrección de errores: La actualización de un clúster a la versión 1.28 borrará los recursos obsoletos que podrían haberse creado en versiones anteriores (hasta la 1.25), pero ya no son relevantes. Los siguientes recursos del espacio de nombres gke-system se borran si existen:

    • daemonsets fluentbit-gke-windows y gke-metrics-agent-windows
    • mapas de configuración fluentbit-gke-windows-config y gke-metrics-agent-windows-conf

  • Corrección de errores: La transferencia de registros de Cloud Logging mejorada desde clústeres de Anthos en AWS:

    • Se solucionó un problema en el análisis de la marca de tiempo.
    • Se asignó el nivel de gravedad correcto a los registros de errores de anthos-metadata-agent.

  • Correcciones de seguridad

Kubernetes 1.27

1.27.12-gke.800

Notas de la versión de OSS de Kubernetes

1.27.11-gke.1600

Notas de la versión de OSS de Kubernetes

  • Corrección de errores: Se solucionó un problema en el que el emulador de Instance Metadata Service (IMDS) a veces no se vinculaba a una dirección IP en el nodo. El emulador IMDS permite que los nodos accedan de forma segura a los metadatos de las instancias de AWS EC2.

1.27.10-gke.500

Notas de la versión de OSS de Kubernetes

1.27.9-gke.100

Notas de la versión de OSS de Kubernetes

1.27.7-gke.600

Notas de la versión de OSS de Kubernetes

  • Función: Se agregó compatibilidad para crear grupos de nodos con la instancia de AWS EC2 “G5”.

  • Corrección de errores: La transferencia de registros de Cloud Logging mejorada desde clústeres de Anthos en AWS:

    • Se solucionó un problema en el análisis de la marca de tiempo.
    • Se asignó el nivel de gravedad correcto a los registros de errores de anthos-metadata-agent.

  • Correcciones de seguridad

1.27.6-gke.700

Notas de la versión de OSS de Kubernetes

1.27.5-gke.200

Notas de la versión de OSS de Kubernetes

1.27.4-gke.1600

Notas de la versión de OSS de Kubernetes * Baja: Inhabilitaste el puerto 10255 de solo lectura de kubelet no autenticado. Una vez que un grupo de nodos se actualice a la versión 1.27, las cargas de trabajo que se ejecutan en él ya no podrán conectarse al puerto 10255.

  • Función: La función de actualización de aumento de AWS está disponible en modo de vista previa. Las actualizaciones de aumento te permiten configurar la velocidad y la interrupción de las actualizaciones del grupo de nodos. Comunícate con tu equipo de cuentas para habilitar la vista previa.
  • Función: Se actualizó el controlador de CSI de EBS a la versión 1.20.0.
  • Función: Se actualizó el controlador de CSI de EFS a la versión 1.5.7.

  • Función: Se actualizaron snapshot-controller y csi-snapshot-validation-webhook a la versión 6.2.2. Esta versión nueva presenta un cambio importante en la API. En específico, las API de v1beta1 VolumeSnapshot, VolumeSnapshotContents y VolumeSnapshotClass ya no están disponibles.

  • Función: Se agregó compatibilidad con una marca nueva admin-groups en las API de creación y actualización. Esta marca permite a los clientes autenticar con rapidez y facilidad los grupos enumerados como administradores de clústeres, lo que elimina la necesidad de crear y aplicar políticas de RBAC de forma manual.

  • Función: Se agregó compatibilidad con la autorización binaria, que es un control de seguridad de tiempo de implementación que garantiza que solo se implementen imágenes de contenedor confiables. Con la autorización binaria, puedes exigir que autoridades de confianza firmen las imágenes durante el proceso de desarrollo y, luego, aplicar la validación de firma obligatoria en el momento de la implementación. Si aplicas esta validación, puedes ejercer más control sobre el entorno del contenedor, ya que te aseguras de que solo las imágenes verificadas se integren en el proceso de compilación y lanzamiento. Para obtener detalles sobre cómo habilitar la autorización binaria en los clústeres, consulta Cómo habilitar la autorización binaria.

  • Función: Compresión gzip habilitada para fluent-bit (un procesador y servidor de reenvío de registros), gke-metrics-agent (un recopilador de métricas) y audit-proxy (un registro de auditoría) apoderado). fluent-bit comprime los datos de registro del plano de control y las cargas de trabajo antes de enviarlos a Cloud Logging, gke-metrics-agent comprime los datos de las métricas del plano de control y las cargas de trabajo antes de enviarlos a Cloud Monitoring. audit-proxy comprime los datos del registro de auditoría antes de enviarlos al registro de auditoría. Esto reduce el ancho de banda y los costos de la red.

  • Función: La creación de grupos de nodos de AWS SPOT ahora tiene disponibilidad general.

  • Función: La reparación automática de nodos pasó a la etapa de disponibilidad general.

  • Función: Mejoras de seguridad mediante la adición de verificaciones de integridad de archivos y validación de huellas digitales para artefactos binarios descargados de Cloud Storage.

  • Función: Se agregó una opción ignore_errors a la API de eliminación para manejar casos en los que las funciones de IAM borradas por accidente o la eliminación manual de recursos impiden la eliminación de clústeres o grupos de nodos. Cuando agregas ?ignore_errors=true a la URL de la solicitud DELETE, los usuarios ahora pueden forzar para quitar clústeres o grupos de nodos. Sin embargo, este enfoque puede dar como resultado recursos huérfanos en AWS o Azure, que requieren una limpieza manual.

  • Función: Se agregó compatibilidad para la desfragmentación periódica automática de etcd y etcd-events en el plano de control. Esta función reduce el almacenamiento innecesario en el disco y ayuda a evitar que etcd y el plano de control dejen de estar disponibles debido a problemas de almacenamiento en disco.

  • Función: Se cambiaron los nombres de las métricas de las métricas de recursos de Kubernetes para que usen un prefijo de métricas de kubernetes.io/anthos/ en lugar de kubernetes.io/. Para obtener más detalles, consulta la documentación de referencia de métricas.

  • Función: Se cambió la versión predeterminada de etcd a la versión 3.4.21 en clústeres nuevos para mejorar la estabilidad. Los clústeres existentes actualizados a esta versión usarán etcd v3.5.6.

  • Función: Se mejoró la administración de recursos de nodos mediante la reserva de recursos para kubelet. Si bien esta función es fundamental para evitar errores de memoria insuficiente (OOM), ya que garantiza que los procesos del sistema y de Kubernetes tengan los recursos que necesitan, puede provocar interrupciones de la carga de trabajo. La reserva de recursos para kubelet puede afectar los recursos disponibles para Pods, lo que podría afectar la capacidad de los nodos más pequeños para manejar las cargas de trabajo existentes. Los clientes deben verificar que los nodos más pequeños aún puedan admitir sus cargas de trabajo con esta nueva función activada.

    • Los porcentajes de memoria reservada son los siguientes:
    • 255 MiB para máquinas con menos de 1 GB de memoria
    • Un 25% de los primeros 4 GB de memoria
    • Un 20% de los siguientes 4 GB
    • Un 10% de los siguientes 8 GB
    • Un 6% de los siguientes 112 GB
    • Un 2% de cualquier memoria por encima de 128 GB
    • Los porcentajes de CPU reservados son los siguientes:
    • Un 6% del primer núcleo
    • Un 1% del siguiente núcleo
    • Un 0.5% de los siguientes 2 núcleos
    • Un 0.25% de cualquier núcleo por encima de 4 núcleos

  • Corrección de errores.

    • Habilitar el escalador automático del clúster para balancear los nodos en diferentes zonas de disponibilidad Esto se logra con la marca --balance-similar-node-groups.

  • Correcciones de seguridad

Ventanas de asistencia de versiones

Las fechas de lanzamiento y de finalización de la asistencia para las versiones de Kubernetes compatibles se enumeran en la página Ciclos de vida de la versión de GKE on AWS.