Versioni del cluster Kubernetes supportate

Ogni release di GKE su AWS include le note sulla versione di Kubernetes. Si tratta di elementi simili alle note di rilascio, ma sono specifici di una versione di Kubernetes e possono offrire dettagli più tecnici.

GKE su AWS supporta le seguenti versioni di Kubernetes:

Kubernetes 1,29

1.29.3-gke.600

Note di rilascio di Kubernetes OSS.

Kubernetes 1.28

1.28.8-gke.800

Note di rilascio di Kubernetes OSS.

1.28.7-gke.1700

Note di rilascio di Kubernetes OSS

  • Correzione di bug: è stato risolto un problema per cui a volte l'emulatore IMDS (Instance Metadata Service) non riusciva a associarsi a un indirizzo IP sul nodo. L'emulatore IMDS consente ai nodi di accedere in modo sicuro ai metadati dell'istanza AWS EC2.

1.28.5-gke.1200

Note di rilascio di Kubernetes OSS

1.28.5-gke.100

Note di rilascio di Kubernetes OSS

1.28.3-gke.700

Note di rilascio di Kubernetes OSS

  • Ultima modifica: a partire da Kubernetes 1.28, i cluster richiedono la connettività HTTPS in uscita a {GCP_LOCATION}-gkemulticloud.googleapis.com. Assicurati che il server proxy e/o il firewall consentano questo traffico.

  • Breaking Change: a partire da Kubernetes 1.28, il ruolo Agente di servizio API Multi-Cloud richiede una nuova autorizzazione Iam:getinstanceprofile sul progetto AWS. Questa autorizzazione viene utilizzata dal servizio multi-cloud per esaminare i profili delle istanze collegati alle istanze di macchine virtuali nel cluster.

  • Funzionalità: è stato aggiunto il supporto del rollback per i pool di nodi AWS con operazioni di aggiornamento non riuscite. In questo modo i clienti possono ripristinare lo stato originale dei pool di nodi.

  • Funzionalità: è stato aggiunto il supporto per il pull di immagini da Google Artifact Registry privato e da Google Container Registry privato senza la chiave dell'account di servizio Google esportata. Le credenziali per il pull delle immagini vengono gestite e ruotate automaticamente da Google.

  • Funzionalità: è stata rimossa la necessità di aggiungere esplicitamente associazioni IAM Google per la maggior parte delle funzionalità.

    1. Non è più necessario aggiungere associazioni per gke-system/gke-telemetry-agent quando crei un cluster.
    2. Non è più necessario aggiungere associazioni per gmp-system/collector o gmp-system/rule-evaluator quando attivi la raccolta dei dati gestiti per Google Managed Service per Prometheus.
    3. Non è più necessario aggiungere associazioni per gke-system/binauthz-agent quando abiliti Autorizzazione binaria.

  • Funzione: l'aggiornamento di AWS Surge è ora in disponibilità generale. Gli aggiornamenti di Surge consentono di configurare la velocità e l'interruzione degli aggiornamenti del pool di nodi. Per ulteriori dettagli su come abilitare e configurare le impostazioni di Surge nei pool di nodi AWS, vedi Configurare gli aggiornamenti di Surge per i pool di nodi.

  • Funzione: è stato eseguito l'upgrade del kernel per Ubuntu 22.04 a linux-aws 6.2.

  • Funzionalità: è stato aggiunto il supporto per la creazione di pool di nodi utilizzando le seguenti istanze AWS EC2: G5, I4g, M7a, M7g, M7i, R7g, R7i e R7iz.

  • Correzione di bug: creazione del modello di lancio migliorata. I tag forniti dai clienti vengono propagati alle istanze.

    • Questa modifica migliora principalmente il supporto delle regole dei criteri IAM. Risolve in modo specifico le regole che vietano l'utilizzo di modelli di avvio che non supportano la propagazione dei tag, anche nei casi in cui il gruppo di scalabilità automatica (ASG) associato propaga i tag.
    • Potrebbe trattarsi di una modifica che provoca un errore, a seconda delle specifiche del criterio IAM del cliente relativo ai controlli dei tag. Di conseguenza, è importante prestare attenzione durante il processo di upgrade, perché una gestione non corretta può compromettere le prestazioni di un cluster.
    • L'azione ec2:CreateTags sulla risorsa arn:aws:ec2:*:*:instance/* è obbligatoria per il ruolo di agente di servizio API Multi-Cloud Anthos. Per le informazioni più recenti, visita https://cloud.google.com/kubernetes-engine/multi-cloud/docs/aws/how-to/create-aws-iam-roles#create_service_agent_role.
    • Consigliamo ai clienti di provare a creare un cluster 1.28 usa e getta e di verificare che i criteri IAM funzionino correttamente prima di tentare di eseguire l'upgrade alla versione 1.28.

  • Correzione di bug: l'upgrade di un cluster alla versione 1.28 ripulisce le risorse obsolete che potrebbero essere state create in versioni precedenti (fino alla 1.25), ma che non sono più pertinenti. Le seguenti risorse nello spazio dei nomi gke-system vengono eliminate se esistono:

    • daemonset fluentbit-gke-windows e gke-metrics-agent-windows
    • configmap fluentbit-gke-windows-config e gke-metrics-agent-windows-conf

  • Correzione di bug: importazione avanzata di Cloud Logging dei log dai cluster Anthos su AWS:

    • È stato risolto un problema nell'analisi del timestamp.
    • Assegnato il livello di gravità corretto ai log degli errori di anthos-metadata-agent.

  • Correzioni di sicurezza

Kubernetes 1.27

1.27.12-gke.800

Note di rilascio di Kubernetes OSS.

1.27.11-gke.1600

Note di rilascio di Kubernetes OSS

  • Correzione di bug: è stato risolto un problema per cui a volte l'emulatore IMDS (Instance Metadata Service) non riusciva a associarsi a un indirizzo IP sul nodo. L'emulatore IMDS consente ai nodi di accedere in modo sicuro ai metadati dell'istanza AWS EC2.

1.27.10-gke.500

Note di rilascio di Kubernetes OSS

1.27.9-gke.100

Note di rilascio di Kubernetes OSS

1.27.7-gke.600

Note di rilascio di Kubernetes OSS

  • Funzionalità: è stato aggiunto il supporto per la creazione di pool di nodi utilizzando l'istanza AWS EC2 "G5".

  • Correzione di bug: importazione avanzata di Cloud Logging dei log dai cluster Anthos su AWS:

    • È stato risolto un problema nell'analisi del timestamp.
    • Assegnato il livello di gravità corretto ai log degli errori di anthos-metadata-agent.

  • Correzioni di sicurezza

1.27.6-gke.700

Note di rilascio di Kubernetes OSS

1.27.5-gke.200

Note di rilascio di Kubernetes OSS

1.27.4-gke.1600

Note di rilascio di Kubernetes OSS * Ritiro: la porta di sola lettura kubelet non autenticata 10255 è stata disabilitata. Dopo l'upgrade di un pool di nodi alla versione 1.27, i carichi di lavoro in esecuzione su di esso non potranno più connettersi alla porta 10255.

  • Funzione: la funzione di aggiornamento di AWS Surge è disponibile in modalità di anteprima. Gli aggiornamenti di Surge consentono di configurare la velocità e l'interruzione degli aggiornamenti del pool di nodi. Contatta il team dedicato al tuo account per attivare l'anteprima.
  • Caratteristica: upgrade del driver CSI EBS alla versione 1.20.0.
  • Funzione: è stato eseguito l'upgrade del driver CSI di EFS alla versione 1.5.7.

  • Funzionalità: è stato eseguito l'upgrade di snapshot-controller e csi-snapshot-validation-webhook alla v6.2.2. Questa nuova versione introduce una modifica importante all'API. Nello specifico, le API VolumeSnapshot, VolumeSnapshotContents e VolumeSnapshotClass v1beta1 non sono più disponibili.

  • Funzionalità: è stato aggiunto il supporto di un nuovo flag admin-groups nelle API di creazione e aggiornamento. Questo flag consente ai clienti di autenticare in modo rapido e semplice i gruppi elencati come amministratori di cluster, eliminando la necessità di creare e applicare manualmente i criteri RBAC.

  • Funzionalità: è stato aggiunto il supporto di Autorizzazione binaria, un controllo di sicurezza in fase di deployment che garantisce che venga eseguito il deployment solo delle immagini container attendibili. Con Autorizzazione binaria, puoi richiedere che le immagini vengano firmate da autorità attendibili durante il processo di sviluppo e quindi applicare la convalida della firma durante il deployment. Se applichi la convalida, puoi controllare più strettamente l'ambiente dei container assicurando che solo le immagini verificate siano integrate nel processo di build e rilascio. Per maggiori dettagli su come abilitare Autorizzazione binaria sui cluster, vedi Come abilitare Autorizzazione binaria.

  • Funzionalità: compressione gzip abilitata per fluent-bit (un processore di log e un server di inoltro), gke-metrics-agent (un raccoglitore di metriche) e audit-proxy (un proxy di audit log). fluent-bit comprime i dati di log sia del piano di controllo sia dei carichi di lavoro prima di inviarli a Cloud Logging, gke-metrics-agent comprime i dati delle metriche del piano di controllo e dei carichi di lavoro prima di inviarli a Cloud Monitoring e audit-proxy comprime i dati degli audit log prima di inviarli all'audit logging. Ciò riduce la larghezza di banda e i costi di rete.

  • Funzionalità: la creazione di pool di nodi AWS SPOT è ora in GA.

  • Funzionalità: la riparazione automatica dei nodi è ora in disponibilità generale.

  • Funzionalità: sicurezza migliorata grazie all'aggiunta di controlli di integrità dei file e di convalida delle impronte per gli artefatti binari scaricati da Cloud Storage.

  • Funzionalità: è stata aggiunta un'opzione ignore_errors all'API di eliminazione per gestire i casi in cui i ruoli IAM eliminati accidentalmente o la rimozione manuale delle risorse impediscono l'eliminazione di cluster o pool di nodi. Aggiungendo ?ignore_errors=true all'URL della richiesta DELETE, gli utenti possono ora rimuovere forzatamente i cluster o i pool di nodi. Tuttavia, questo approccio potrebbe causare risorse orfane in AWS o Azure, richiedendo la pulizia manuale.

  • Funzionalità: è stato aggiunto il supporto per la deframmentazione periodica automatica di etcd e etcd-events sul piano di controllo. Questa funzionalità riduce l'archiviazione su disco non necessaria e contribuisce a evitare che etcd e il piano di controllo diventino disponibili a causa di problemi di archiviazione su disco.

  • Caratteristica: sono stati modificati i nomi delle metriche delle risorse Kubernetes in modo da utilizzare un prefisso delle metriche kubernetes.io/anthos/ anziché kubernetes.io/. Per maggiori dettagli, consulta la documentazione di riferimento sulle metriche.

  • Funzionalità: la versione predefinita etcd è stata modificata in v3.4.21 nei nuovi cluster per una migliore stabilità. I cluster esistenti aggiornati a questa versione utilizzeranno etcd v3.5.6.

  • Caratteristica: è stata migliorata la gestione delle risorse dei nodi grazie alla prenotazione di risorse per il kubelet. Questa funzionalità è fondamentale per evitare errori di memoria insufficiente assicurando che i processi di sistema e Kubernetes dispongano delle risorse necessarie, ma può causare interruzioni del carico di lavoro. La prenotazione di risorse per il kubelet può influire sulle risorse disponibili per i pod, influenzando potenzialmente la capacità dei nodi più piccoli di gestire i carichi di lavoro esistenti. Con questa nuova funzionalità attivata, i clienti devono verificare che i nodi più piccoli possano ancora supportare i carichi di lavoro.

    • Le percentuali di memoria riservata sono le seguenti:
    • 255 MiB per le macchine con meno di 1 GB di memoria
    • Il 25% dei primi 4 GB di memoria
    • 20% dei successivi 4 GB
    • 10% dei successivi 8 GB
    • 6% dei successivi 112 GB
    • Il 2% di memoria superiore a 128 GB
    • Le percentuali di CPU prenotate sono le seguenti:
    • 6% del primo core
    • 1% del core successivo
    • 0,5% dei successivi 2 core
    • 0,25% di tutti i core sopra i 4 core

  • Correzioni di bug

    • È stato abilitato il gestore della scalabilità automatica dei cluster per bilanciare i nodi in diverse zone di disponibilità. Ciò viene ottenuto utilizzando il flag --balance-similar-node-groups.

  • Correzioni di sicurezza

Finestre di supporto delle versioni

Le date di rilascio e di fine del supporto per le versioni di Kubernetes supportate sono elencate nella pagina Durata delle versioni di GKE su AWS.