Arquivo das notas de versão do Kubernetes

Esta página contém um arquivo histórico das notas de versão do Kubernetes para versões não suportadas. Para ver notas de versões mais recentes, consulte as notas de versão do Kubernetes.

Kubernetes 1.29

1.29.14-gke.200

Notas de lançamento do Kubernetes OSS

1.29.12-gke.100

Notas de lançamento do Kubernetes OSS

1.29.10-gke.100

Notas de lançamento do Kubernetes OSS

1.29.8-gke.1800

Notas de lançamento do Kubernetes OSS

1.29.8-gke.600

Notas de lançamento do Kubernetes OSS

1.29.7-gke.100

Notas de lançamento do Kubernetes OSS

1.29.6-gke.600

Notas de lançamento do Kubernetes OSS

1.29.5-gke.1100

Notas de lançamento do Kubernetes OSS

1.29.5-gke.700

Notas de lançamento do Kubernetes OSS

1.29.4-gke.200

Notas de lançamento do Kubernetes OSS

1.29.3-gke.600

Notas de lançamento do Kubernetes OSS

Kubernetes 1.28

1.28.14-gke.200

Notas de lançamento do Kubernetes OSS

1.28.13-gke.600

Notas de lançamento do Kubernetes OSS

1.28.12-gke.100

Notas de lançamento do Kubernetes OSS

1.28.11-gke.600

Notas de lançamento do Kubernetes OSS

1.28.10-gke.1300

Notas de lançamento do Kubernetes OSS

1.28.10-gke.800

Notas de lançamento do Kubernetes OSS

1.28.9-gke.400

Notas de lançamento do Kubernetes OSS

1.28.8-gke.800

Notas de lançamento do Kubernetes OSS

1.28.7-gke.1700

Notas de lançamento do Kubernetes OSS

  • Correção de erro: foi corrigido um problema em que o emulador do serviço de metadados da instância (IMDS) falhava por vezes a associação a um endereço IP no nó. O emulador do IMDS permite que os nós acedam em segurança aos metadados da instância do AWS EC2.

1.28.5-gke.1200

Notas de lançamento do Kubernetes OSS

1.28.5-gke.100

Notas de lançamento do Kubernetes OSS

1.28.3-gke.700

Notas de lançamento do Kubernetes OSS

  • Alteração significativa: a partir do Kubernetes 1.28, os clusters requerem conetividade HTTPS de saída para {GCP_LOCATION}-gkemulticloud.googleapis.com. Certifique-se de que o servidor proxy e/ou a firewall permitem este tráfego.

  • Alteração interruptiva: a partir do Kubernetes 1.28, a função de agente do serviço da API Multi-Cloud requer uma nova autorização Iam:getinstanceprofile no seu projeto da AWS. Esta autorização é usada pelo serviço multinuvem para inspecionar os perfis de instâncias anexados às instâncias de máquinas virtuais no cluster.

  • Funcionalidade: foi adicionado suporte de reversão para pools de nós da AWS com falhas nas operações de atualização. Isto permite que os clientes revertam os conjuntos de nós para o respetivo estado original.

  • Funcionalidade: foi adicionado suporte para extrair imagens do Google Artifact Registry privado e do Google Container Registry privado sem a chave da conta de serviço Google exportada. As credenciais de obtenção de imagens são geridas e rodadas automaticamente pela Google.

  • Funcionalidade: foi removida a necessidade de adicionar explicitamente associações da IAM do Google para a maioria das funcionalidades.

    1. Já não tem de adicionar associações para gke-system/gke-telemetry-agent quando cria um cluster.
    2. Já não tem de adicionar associações para gmp-system/collector ou gmp-system/rule-evaluator quando ativa a recolha de dados gerida para o serviço gerido pela Google para o Prometheus.
    3. Já não é necessário adicionar associações para gke-system/binauthz-agent quando ativa a autorização binária.

  • Funcionalidade: a atualização do AWS Surge está agora disponível de forma geral. As atualizações de picos permitem-lhe configurar a velocidade e a interrupção das atualizações do conjunto de nós. Para mais detalhes sobre como ativar e configurar as definições de aumento rápido nos seus conjuntos de nós da AWS, consulte o artigo Configure atualizações rápidas de conjuntos de nós.

  • Funcionalidade: atualizou o kernel para o Ubuntu 22.04 para o linux-aws 6.2.

  • Funcionalidade: foi adicionado suporte para a criação de pools de nós com as seguintes instâncias do AWS EC2: G5, I4g, M7a, M7g, M7i, R7g, R7i e R7iz.

  • Correção de erro: criação de modelos de lançamento melhorada. As etiquetas fornecidas pelos clientes são propagadas às instâncias.

    • Esta alteração melhora principalmente o suporte para regras de políticas de IAM. Aborda especificamente as regras que proíbem a utilização de modelos de lançamento que não suportam a propagação de etiquetas, mesmo nos casos em que o grupo de escalamento automático (ASG) associado propaga etiquetas.
    • Isto pode ser uma alteração interruptiva, consoante os detalhes específicos da política de IAM do cliente relativamente às verificações de etiquetas. Por conseguinte, é importante ter cuidado durante o processo de atualização, uma vez que o manuseamento inadequado pode deixar um cluster num estado degradado.
    • É necessária a ação ec2:CreateTags no recurso arn:aws:ec2:*:*:instance/* para a função de agente de serviço da API Anthos Multi-Cloud. Consulte https://cloud.google.com/kubernetes-engine/multi-cloud/docs/aws/how-to/create-aws-iam-roles#create_service_agent_role para ver as informações mais recentes.
    • Sugerimos que os clientes tentem criar um cluster 1.28 descartável e confirmem que as políticas de IAM funcionam corretamente antes de tentarem fazer a atualização para a versão 1.28.

  • Correção de erros: a atualização de um cluster para a versão 1.28 limpa os recursos obsoletos que podem ter sido criados em versões mais antigas (até à 1.25), mas já não são relevantes. Os seguintes recursos no espaço de nomes gke-system são eliminados se existirem:

    • daemonsets fluentbit-gke-windows e gke-metrics-agent-windows
    • configmaps fluentbit-gke-windows-config e gke-metrics-agent-windows-conf

  • Correção de erro: ingestão melhorada de registos do Cloud Logging a partir de clusters do Anthos no AWS:

    • Foi corrigido um problema na análise da indicação de tempo.
    • Atribuído o nível de gravidade correto aos registos de erros do anthos-metadata-agent.

  • Correções de segurança

Kubernetes 1.27

1.27.14-gke.1600

Notas de lançamento do Kubernetes OSS

1.27.14-gke.1200

Notas de lançamento do Kubernetes OSS

1.27.14-gke.700

Notas de lançamento do Kubernetes OSS

1.27.13-gke.500

Notas de lançamento do Kubernetes OSS

1.27.12-gke.800

Notas de lançamento do Kubernetes OSS

1.27.11-gke.1600

Notas de lançamento do Kubernetes OSS

  • Correção de erro: foi corrigido um problema em que o emulador do serviço de metadados da instância (IMDS) falhava por vezes a associação a um endereço IP no nó. O emulador do IMDS permite que os nós acedam em segurança aos metadados da instância do AWS EC2.

1.27.10-gke.500

Notas de lançamento do Kubernetes OSS

1.27.9-gke.100

Notas de lançamento do Kubernetes OSS

1.27.7-gke.600

Notas de lançamento do Kubernetes OSS

  • Funcionalidade: foi adicionado suporte para a criação de conjuntos de nós através da instância "G5" do AWS EC2.

  • Correção de erro: ingestão melhorada de registos do Cloud Logging a partir de clusters do Anthos no AWS:

    • Foi corrigido um problema na análise da indicação de tempo.
    • Atribuído o nível de gravidade correto aos registos de erros do anthos-metadata-agent.

  • Correções de segurança

1.27.6-gke.700

Notas de lançamento do Kubernetes OSS

1.27.5-gke.200

Notas de lançamento do Kubernetes OSS

1.27.4-gke.1600

Notas de lançamento do Kubernetes OSS * Descontinuação: a porta 10255 só de leitura do kubelet não autenticada foi desativada. Depois de um conjunto de nós ser atualizado para a versão 1.27, as cargas de trabalho em execução no mesmo já não vão poder estabelecer ligação à porta 10255.

  • Funcionalidade: a funcionalidade de atualização de picos da AWS está disponível no modo de pré-visualização. As atualizações de picos permitem-lhe configurar a velocidade e a interrupção das atualizações do node pool. Contacte a sua equipa da conta para participar na pré-visualização.
  • Funcionalidade: atualizou o controlador CSI do EBS para a versão 1.20.0.
  • Funcionalidade: atualizou o controlador CSI do EFS para a versão 1.5.7.

  • Funcionalidade: atualizou o snapshot-controller e o csi-snapshot-validation-webhook para a versão 6.2.2. Esta nova versão introduz uma alteração importante à API. Em concreto, as APIs VolumeSnapshot, VolumeSnapshotContents e VolumeSnapshotClass v1beta1 já não estão disponíveis.

  • Funcionalidade: foi adicionado suporte para uma nova flag admin-groups nas APIs de criação e atualização. Esta flag permite que os clientes autentiquem de forma rápida e fácil os grupos listados como administradores do cluster, eliminando a necessidade de criar e aplicar manualmente políticas de RBAC.

  • Funcionalidade: foi adicionado o suporte da autorização binária, que é um controlo de segurança no momento da implementação que garante que apenas são implementadas imagens de contentores fidedignas. Com a autorização binária, pode exigir que as imagens sejam assinadas por autoridades fidedignas durante o processo de desenvolvimento e, em seguida, aplicar a validação de assinatura durante a implementação. Ao aplicar a validação, pode obter um controlo mais rigoroso sobre o ambiente do contentor, garantindo que apenas as imagens validadas são integradas no processo de compilação e lançamento. Para ver detalhes sobre como ativar a autorização binária nos seus clusters, consulte o artigo Como ativar a autorização binária.

  • Funcionalidade: compressão gzip ativada para fluent-bit (um processador e encaminhador de registos), gke-metrics-agent (um coletor de métricas) e audit-proxy (um proxy de registos de auditoria). O fluent-bitcomprime os dados de registos do plano de controlo e das cargas de trabalho antes de os enviar para o Cloud Logging, gke-metrics-agentcomprime os dados das métricas do plano de controlo e das cargas de trabalho antes de os enviar para o Cloud Monitoring e audit-proxycomprime os dados de registos de auditoria antes de os enviar para o Audit Logging. Isto reduz a largura de banda e os custos da rede.

  • Funcionalidade: a criação de node pools SPOT da AWS está agora disponível para todos.

  • Funcionalidade: a reparação automática de nós está agora disponível para todos.

  • Funcionalidade: segurança melhorada através da adição de verificações de integridade de ficheiros e validação de impressões digitais para artefactos binários transferidos do Cloud Storage.

  • Funcionalidade: foi adicionada uma opção ignore_errors à API delete para processar casos em que as funções de IAM eliminadas acidentalmente ou a remoção manual de recursos impedem a eliminação de clusters ou conjuntos de nós. Ao anexar ?ignore_errors=true ao URL do pedido DELETE, os utilizadores podem agora remover à força clusters ou conjuntos de nós. No entanto, esta abordagem pode resultar em recursos órfãos na AWS ou no Azure, o que requer uma limpeza manual.

  • Funcionalidade: foi adicionado suporte para a desfragmentação periódica automática de etcd e etcd-events no plano de controlo. Esta funcionalidade reduz o armazenamento em disco desnecessário e ajuda a evitar que o etcd e o plano de controlo fiquem indisponíveis devido a problemas de armazenamento em disco.

  • Funcionalidade: alterámos os nomes das métricas de recursos do Kubernetes para usar um prefixo de métricas de kubernetes.io/anthos/ em vez de kubernetes.io/. Para ver detalhes, consulte a documentação de referência de métricas.

  • Funcionalidade: alteração da versão predefinida do etcd para v3.4.21 em novos clusters para melhorar a estabilidade. Os clusters existentes atualizados para esta versão vão usar o etcd v3.5.6.

  • Funcionalidade: gestão de recursos de nós melhorada através da reserva de recursos para o kubelet. Embora esta funcionalidade seja crucial para evitar erros de falta de memória (OOM), garantindo que os processos do sistema e do Kubernetes têm os recursos de que precisam, pode levar a interrupções da carga de trabalho. A reserva de recursos para o kubelet pode afetar os recursos disponíveis para os pods, o que pode afetar a capacidade dos nós mais pequenos para processar cargas de trabalho existentes. Os clientes devem verificar se os nós mais pequenos continuam a suportar as respetivas cargas de trabalho com esta nova funcionalidade ativada.

    • As percentagens de memória reservada são as seguintes:
    • 255 MiB para máquinas com menos de 1 GB de memória
    • 25% dos primeiros 4 GB de memória
    • 20% dos próximos 4 GB
    • 10% dos próximos 8 GB
    • 6% dos próximos 112 GB
    • 2% de qualquer memória acima de 128 GB
    • As percentagens de CPU reservadas são as seguintes:
    • 6% do primeiro núcleo
    • 1% do núcleo seguinte
    • 0,5% dos 2 núcleos seguintes
    • 0,25% de quaisquer núcleos acima de 4 núcleos

  • Correções de erros

    • Ativou o redimensionador automático de clusters para equilibrar os nós em diferentes zonas de disponibilidade. Isto é conseguido através da flag --balance-similar-node-groups.

  • Correções de segurança

Kubernetes 1.26

1.26.14-gke.1500

Notas de lançamento do Kubernetes OSS

  • Correção de erro: foi corrigido um problema em que o emulador do serviço de metadados da instância (IMDS) falhava por vezes a associação a um endereço IP no nó. O emulador do IMDS permite que os nós acedam em segurança aos metadados da instância do AWS EC2.

1.26.13-gke.400

Notas de lançamento do Kubernetes OSS

1.26.12-gke.100

Notas de lançamento do Kubernetes OSS

1.26.10-gke.600

Notas de lançamento do Kubernetes OSS

  • Funcionalidade: foi adicionado suporte para a criação de conjuntos de nós através da instância "G5" do AWS EC2.

  • Correção de erro: atualizou o controlador da interface de armazenamento de contentores (CSI) do sistema de ficheiros elástico (EFS) aws-efs-csi-driver para a versão v1.3.8-gke.21.

  • Correção de erro: ingestão melhorada de registos do Cloud Logging a partir de clusters do Anthos no AWS:

    • Foi corrigido um problema na análise da indicação de tempo.
    • Atribuído o nível de gravidade correto aos registos de erros do anthos-metadata-agent.

  • Correções de segurança

1.26.9-gke.700

Notas de lançamento do Kubernetes OSS

1.26.8-gke.200

Notas de lançamento do Kubernetes OSS

1.26.7-gke.500

Notas de lançamento do Kubernetes OSS

1.26.5-gke.1400

Notas de lançamento do Kubernetes OSS

1.26.5-gke.1200

Notas de lançamento do Kubernetes OSS

  • Correções de erros
    • Configura o redimensionador automático de clusters para equilibrar o número de nós nas zonas de disponibilidade através de --balance-similar-node-groups.

1.26.4-gke.2200

Notas de lançamento do Kubernetes OSS * Funcionalidade: o Ubuntu 22.04 está a usar o kernel linux-aws 5.19.

  • Correções de erros

    • Foi corrigido um problema em que o Kubernetes aplicava incorretamente a StorageClass predefinida a PersistentVolumeClaims que têm a anotação descontinuada volume.beta.kubernetes.io/storage-class.
    • Foi corrigido um problema em que o agente de registo consumia quantidades cada vez mais elevadas de memória.

  • Correções de segurança

    • Foi corrigido um problema que afetava a monitorização de ligações do netfilter (conntrack), que é responsável pela monitorização das ligações de rede. A correção garante a inserção adequada de novas ligações na tabela conntrack e supera as limitações causadas pelas alterações feitas às versões 5.15 e superiores do kernel do Linux.

1.26.2-gke.1001

Notas de lançamento do Kubernetes OSS

  • Problema conhecido: o Kubernetes 1.26.2 aplica incorretamente a StorageClass predefinida a PersistentVolumeClaims que têm a anotação descontinuada volume.beta.kubernetes.io/storage-class.

  • Funcionalidade: imagem do SO atualizada para o Ubuntu 22.04. cgroupv2 é agora usado como a configuração predefinida do grupo de controlo.

    • O Ubuntu 22.04 usa o cgroupv2 por predefinição. Recomendamos que verifique se alguma das suas aplicações acede ao sistema de ficheiros cgroup. Se o fizerem, têm de ser atualizadas para usar o cgroupv2. Seguem-se alguns exemplos de aplicações que podem exigir atualizações para garantir a compatibilidade com o cgroupv2:
    • Agentes de segurança e monitorização de terceiros que dependem do sistema de ficheiros cgroup.
    • Se o cAdvisor estiver a ser usado como um DaemonSet autónomo para monitorizar pods e contentores, deve ser atualizado para a versão v0.43.0 ou posterior.
    • Se estiver a usar o JDK, recomendamos que use a versão 11.0.16 e posteriores ou a versão 15 e posteriores. Estas versões suportam totalmente o cgroupv2.
    • Se estiver a usar o pacote uber-go/automaxprocs, certifique-se de que usa a versão v1.5.1 ou superior.
    • O Ubuntu 22.04 remove o pacote timesyncd. Em alternativa, o chrony é agora usado para o Amazon Time Sync Service.
    • Para mais informações, consulte as notas de lançamento do Ubuntu

  • Funcionalidade: envia métricas para componentes do plano de controlo para o Cloud Monitoring. Isto inclui um subconjunto das métricas do Prometheus do kube-apiserver, etcd, kube-scheduler e kube-controller-manager. Os nomes das métricas usam o prefixo kubernetes.io/anthos/.

  • Funcionalidade: envio ativado de metadados de recursos do Kubernetes para a Google Cloud Platform, o que melhora a interface do utilizador e as métricas do cluster. Para que os metadados sejam carregados corretamente, os clientes têm de ativar a API Config Monitoring for Ops. Pode ativar esta API na Google Cloud Console ou ativando manualmente a API opsconfigmonitoring.googleapis.com na CLI gcloud. Além disso, os clientes têm de seguir os passos descritos na documentação Autorizar o Cloud Logging/Monitoring para adicionar as associações da IAM necessárias. Se aplicável, adicione opsconfigmonitoring.googleapis.com à sua lista de autorizações de proxy.

  • Funcionalidade: foi adicionada uma funcionalidade de pré-visualização para criar um node pool de instâncias Spot da AWS.

  • Funcionalidade: a criação de pools de nós com tipos de instâncias baseados em ARM (Graviton) está agora disponível de forma geral.

  • Funcionalidade: encerramento gracioso do nó do kubelet ativado. Os pods não pertencentes ao sistema têm 15 segundos para terminar. Após este período, os pods do sistema (com as classes de prioridade system-cluster-critical ou system-node-critical) têm 15 segundos para terminar normalmente.

  • Funcionalidade: ativou a funcionalidade de reparação automática de nós no modo de pré-visualização. Contacte a sua equipa da conta para ativar a pré-visualização.

  • Funcionalidade: foram adicionadas etiquetas ao recurso de ponto de acesso do EFS criado dinamicamente.

  • Funcionalidade: agora, os clusters têm regras de grupo de segurança de sub-rede por conjunto de nós em vez de regras ao nível da VPC

    • Anteriormente, o plano de controlo permitia tráfego de entrada de todo o intervalo de IP principal da VPC nas portas TCP/443 e TCP/8123, que são usadas pelos conjuntos de nós.
    • Agora, o plano de controlo restringe o tráfego de entrada permitido a cada intervalo de IPs das sub-redes do conjunto de nós nas portas TCP/443 e TCP/8123. Vários conjuntos de nós podem partilhar uma sub-rede.
    • Esta alteração suporta pools de nós executados fora do intervalo de IPs principal da VPC e melhora a segurança do plano de controlo.
    • Se usou a regra do grupo de segurança ao nível da VPC para permitir o tráfego de fora do cluster (por exemplo, a partir de um anfitrião bastion para o kubectl), como parte da atualização, deve criar um grupo de segurança, adicionar-lhe uma regra ao nível da VPC e anexar o grupo de segurança ao plano de controlo (através do campo AwsCluster.controlPlane.securityGroupIds).

  • Correções de erros: os clusters recém-criados usam agora o etcd v3.4.21 para uma estabilidade melhorada. Os clusters existentes de versões anteriores já estavam a usar o etcd v3.5.x e não vão ser desatualizados para a versão v3.4.21 durante a atualização do cluster. Em vez disso, estes clusters vão usar a versão v3.5.6.

  • Correção de segurança: defina o limite de saltos da resposta do emulador IMDS para 1. Isto protege a comunicação de dados do IMDS entre o emulador e uma carga de trabalho.

Kubernetes 1.25

1.25.14-gke.700

Notas de lançamento do Kubernetes OSS

1.25.13-gke.200

Notas de lançamento do Kubernetes OSS

1.25.12-gke.500

Notas de lançamento do Kubernetes OSS * Funcionalidade: expandimos a lista de métricas recolhidas dos node pools para incluir gke-metrics-agent, cilium-agent, cilium-operator, coredns, fluentbit-gke, kubelet e konnectivity-agent.

1.25.10-gke.1400

Notas de lançamento do Kubernetes OSS

1.25.10-gke.1200

Notas de lançamento do Kubernetes OSS

  • Correções de erros
    • Configura o redimensionador automático de clusters para equilibrar o número de nós nas zonas de disponibilidade através de --balance-similar-node-groups.
  • Correções de segurança
    • Migrou o agente de métricas do node pool e o servidor de métricas para a porta kubelet autenticada.

1.25.8-gke.500

Notas de lançamento do Kubernetes OSS

  • Correções de erros

    • Foi corrigido um problema em que o agente de registo consumia quantidades cada vez mais elevadas de memória.

  • Correções de segurança

1.25.7-gke.1000

Notas de lançamento do Kubernetes OSS

  • Funcionalidade: foram adicionadas etiquetas ao recurso de ponto de acesso do EFS criado dinamicamente.

  • Correções de erros: os clusters recém-criados usam agora o etcd v3.4.21 para uma estabilidade melhorada. Os clusters existentes de versões anteriores já estavam a usar o etcd v3.5.x e não vão ser desatualizados para a versão v3.4.21 durante a atualização do cluster. Em vez disso, estes clusters vão usar a versão v3.5.6.

1.25.6-gke.1600

Notas de lançamento do Kubernetes OSS

1.25.5-gke.2000

Notas de lançamento do OSS do Kubernetes * Funcionalidade: o Anthos Identity Service foi atualizado para processar melhor os pedidos de webhook de autenticação concorrentes.

  • Correção de erro: foi corrigido um problema em que determinados erros não eram propagados nem comunicados durante as operações de criação/atualização de clusters.
  • Correção de erro: foi corrigido um problema com o controlador CSI do AWS EFS em que não é possível resolver os nomes de anfitriões do EFS quando a VPC da AWS está configurada para usar um servidor DNS personalizado.

  • Correção de erro: foi corrigido um problema em que a autenticação através do painel de controlo do Anthos Service Mesh falhava devido à incapacidade de roubar a identidade do utilizador final.

  • Correções de segurança

1.25.5-gke.1500

Notas de lançamento do Kubernetes OSS

  • Problema conhecido: algumas superfícies da IU na Google Cloud consola não conseguem autorizar o acesso ao cluster e podem apresentar o cluster como inacessível. Uma solução alternativa é aplicar manualmente o RBAC que permite a representação de utilizadores. Para obter detalhes, consulte a secção Resolução de problemas.

  • Correções de segurança

1.25.4-gke.1300

Notas de lançamento do Kubernetes OSS

  • Problema conhecido: algumas superfícies da IU na Google Cloud consola não conseguem autorizar o acesso ao cluster e podem apresentar o cluster como inacessível. Uma solução alternativa é aplicar manualmente o RBAC que permite a representação de utilizadores. Para obter detalhes, consulte a secção Resolução de problemas.

  • Descontinuação: foram removidos os plug-ins de volume no sistema flocker, quobyte e storageos descontinuados.

  • Funcionalidade: segurança melhorada através da restrição de pods estáticos executados nas VMs do plano de controlo do cluster para serem executados como utilizadores Linux não root.

  • Funcionalidade: foi adicionado suporte para a atualização dinâmica de grupos de segurança do conjunto de nós da AWS. Para atualizar grupos de segurança, tem de ter as seguintes autorizações na sua função da API:

    • ec2:ModifyInstanceAttribute
    • ec2:DescribeInstances

  • Funcionalidade: foi adicionado suporte para a atualização dinâmica de etiquetas de conjunto de nós da AWS. Para atualizar as etiquetas do conjunto de nós, tem de ter as seguintes autorizações na sua função da API:

    • autoscaling:CreateOrUpdateTags
    • autoscaling:DeleteTags
    • ec2:CreateTags
    • ec2:DeleteTags
    • ec2:DescribeLaunchTemplates

  • Funcionalidade: o aprovisionamento dinâmico do EFS está agora disponível na GA para clusters na versão 1.25 ou posterior. Para usar esta funcionalidade, tem de adicionar as seguintes autorizações à função do plano de controlo:

    • ec2:DescribeAvailabilityZones
    • elasticfilesystem:DescribeAccessPoints
    • elasticfilesystem:DescribeFileSystems
    • elasticfilesystem:DescribeMountTargets
    • elasticfilesystem:CreateAccessPoint
    • elasticfilesystem:DeleteAccessPoint

  • Funcionalidade: o carregamento de métricas de carga de trabalho através do serviço gerido da Google para o Prometheus com recolha gerida para o Cloud Monarch já está disponível na versão GA.

  • Funcionalidade: foi adicionado suporte para ativar e atualizar a recolha de métricas do CloudWatch no grupo de escalabilidade automática do node pool da AWS. Para ativar ou atualizar a recolha de métricas através da API de criação ou atualização, tem de adicionar as seguintes autorizações à sua função da API:

    • autoscaling:EnableMetricsCollection
    • autoscaling:DisableMetricsCollection

  • Funcionalidade: GA do Azure AD. Esta funcionalidade permite que os administradores de clusters configurem políticas de RBAC com base em grupos do Azure AD para autorização em clusters. Isto suporta a obtenção de informações de grupos para utilizadores pertencentes a mais de 200 grupos, superando assim uma limitação do OIDC normal configurado com o Azure AD como o fornecedor de identidade.

  • Funcionalidade: foi adicionado um novo gestor de tokens (gke-token-manager) para gerar tokens para componentes do plano de controlo, usando a chave de assinatura da conta de serviço. Vantagens:

    1. Eliminar a dependência do kube-apiserver para que os componentes do plano de controlo se autentiquem nos serviços Google. Anteriormente, os componentes do plano de controlo usavam a API TokenRequest e dependiam de um kube-apiserver em bom estado. Enquanto que agora o componente gke-token-manager cria os tokens diretamente através da chave de assinatura da conta de serviço.
    2. Elimine o RBAC para gerar o token para componentes do plano de controlo.
    3. Desacople o registo e o kube-apiserver. Para que o registo possa ser carregado antes de o kube-apiserver estar ativo.
    4. Aumentar a resiliência do plano de controlo. Quando o kube-apiserver está fora de serviço, os componentes do plano de controlo continuam a receber os tokens e a funcionar.

  • Funcionalidade: como funcionalidade de pré-visualização, ingira uma variedade de métricas dos componentes do plano de controlo no Cloud Monitoring, incluindo kube-apiserver, etcd, kube-scheduler e kube-controller-manager.

  • Funcionalidade: os utilizadores num grupo Google podem aceder a clusters da AWS através do Connect Gateway concedendo a autorização RBAC necessária ao grupo. Mais detalhes em Configure o gateway Connect com o Grupos do Google.

  • Correção de erro: corrigiu um problema que podia resultar na não remoção de versões desatualizadas do gke-connect-agent após atualizações do cluster.

  • Correções de segurança

Kubernetes 1.24

1.24.14-gke.2700

Notas de lançamento do Kubernetes OSS

1.24.14-gke.1400

Notas de lançamento do Kubernetes OSS

  • Correções de erros
    • Configura o redimensionador automático de clusters para equilibrar o número de nós nas zonas de disponibilidade através de --balance-similar-node-groups.

1.24.13-gke.500

Notas de lançamento do Kubernetes OSS

  • Correções de erros

    • Foi corrigido um problema em que o agente de registo consumia quantidades cada vez mais elevadas de memória.

  • Correções de segurança

1.24.11-gke.1000

Notas de lançamento do Kubernetes OSS

  • Correções de erros: os clusters recém-criados usam agora o etcd v3.4.21 para uma estabilidade melhorada. Os clusters existentes de versões anteriores já estavam a usar o etcd v3.5.x e não vão ser desatualizados para a versão v3.4.21 durante a atualização do cluster. Em vez disso, estes clusters vão usar a versão v3.5.6.

1.24.10-gke.1200

Notas de lançamento do Kubernetes OSS

  • Correção de erro: foi corrigido um problema que podia fazer com que as atualizações de clusters falhassem se determinados tipos de webhooks de admissão de validação estivessem registados.
  • Correção de erro: foi corrigida a propagação do ID de segurança do Cilium para que os IDs sejam transmitidos corretamente no cabeçalho do túnel quando os pedidos são encaminhados para serviços do tipo NodePort e LoadBalancer.
  • Correções de segurança

1.24.9-gke.2000

Notas de lançamento do Kubernetes OSS

  • Funcionalidade: o Anthos Identity Service foi atualizado para processar melhor os pedidos de webhook de autenticação simultânea.

  • Correção de erro: foi corrigido um problema em que determinados erros não eram propagados nem comunicados durante as operações de criação/atualização de clusters.

  • Correções de segurança

1.24.9-gke.1500

Notas de lançamento do Kubernetes OSS

1.24.8-gke.1300

Notas de lançamento do Kubernetes OSS

1.24.5-gke.200

Notas de lançamento do Kubernetes OSS

1.24.3-gke.2200

Notas de lançamento do Kubernetes OSS

  • Correção de erro: corrija um erro em que a criação de um recurso do serviço Kubernetes com o tipo LoadBalancer e a anotação service.beta.kubernetes.io/aws-load-balancer-type: nlb permanecia com um grupo de destino vazio. Consulte https://github.com/kubernetes/cloud-provider-aws/issues/301

1.24.3-gke.2100

Notas de lançamento do Kubernetes OSS

  • Funcionalidade: carregue métricas de recursos do Kubernetes para o Google Cloud Monitoring para node pools do Windows.
  • Funcionalidade: foi disponibilizado um webhook para facilitar a injeção do emulador IMDS.
  • Funcionalidade: o go1.18 deixa de aceitar certificados assinados com o algoritmo hash SHA-1 por predefinição. Os webhooks de admissão/conversão ou os pontos finais do servidor agregados que usam estes certificados não seguros vão deixar de funcionar por predefinição na versão 1.24. A variável de ambiente GODEBUG=x509sha1=1 está definida nos clusters do Anthos on AWS como uma solução temporária para permitir que estes certificados não seguros continuem a funcionar. No entanto, prevê-se que a equipa do Go remova o suporte desta solução alternativa nos próximos lançamentos. Os clientes devem verificar e garantir que não existem webhooks de admissão/conversão nem pontos finais de servidor agregados que estejam a usar esses certificados não seguros antes de atualizarem para a próxima versão com alterações significativas.
  • Funcionalidade: o GKE na AWS suporta agora o aprovisionamento dinâmico do EFS no modo de pré-visualização para clusters do Kubernetes na versão 1.24 ou posterior. Para usar esta funcionalidade, tem de adicionar as seguintes autorizações à função do plano de controlo: ec2:DescribeAvailabilityZones elasticfilesystem:DescribeAccessPoints elasticfilesystem:DescribeFileSystems elasticfilesystem:DescribeMountTargets elasticfilesystem:CreateAccessPoint elasticfilesystem:DeleteAccessPoint

  • Funcionalidade: melhore as verificações de conetividade de rede durante a criação de clusters e conjuntos de nós para ajudar na resolução de problemas.

  • Funcionalidade: suporte para atualizações de etiquetas do plano de controlo da AWS. Para atualizar as etiquetas, tem de adicionar as seguintes autorizações à função da API: autoscaling:CreateOrUpdateTags autoscaling:DeleteTags ec2:CreateTags ec2:DescribeLaunchTemplates ec2:DescribeSecurityGroupRules ec2:DeleteTags elasticloadbalancing:AddTags elasticloadbalancing:RemoveTags

  • Funcionalidade: a funcionalidade de carregamento de métricas de carga de trabalho através do Google Managed Service for Prometheus para o Cloud Monarch está disponível como pré-visualização privada apenas por convite.

  • Correções de segurança

Kubernetes 1.23

1.23.16-gke.2800

Notas de lançamento do Kubernetes OSS

1.23.16-gke.200

Notas de lançamento do Kubernetes OSS

  • Correção de erro: foi corrigido um problema em que determinados erros não eram propagados nem comunicados durante as operações de criação/atualização de clusters.

  • Correção de erros: foram corrigidos problemas de cpp-httplib com o servidor kubeapi que não conseguia alcançar o AIS.

  • Correções de segurança

1.23.14-gke.1800

Notas de lançamento do Kubernetes OSS

1.23.14-gke.1100

Notas de lançamento do Kubernetes OSS

1.23.11-gke.300

Notas de lançamento do Kubernetes OSS

1.23.9-gke.2200

Notas de lançamento do Kubernetes OSS

  • Correção de erro: corrija um erro em que a criação de um recurso do serviço Kubernetes com o tipo LoadBalancer e a anotação service.beta.kubernetes.io/aws-load-balancer-type: nlb permanecia com um grupo de destino vazio. Consulte https://github.com/kubernetes/cloud-provider-aws/issues/301

1.23.9-gke.2100

Notas de lançamento do Kubernetes OSS

1.23.9-gke.800

Notas de lançamento do Kubernetes OSS

1.23.8-gke.1700

Notas de lançamento do Kubernetes OSS

1.23.7-gke.1300

Notas de lançamento do Kubernetes OSS

  • Funcionalidade: desative o ponto final de criação de perfis (/debug/pprof) por predefinição no kube-scheduler e no kube-controller-manager.

  • Funcionalidade: atualize o kube-apiserver e o kubelet para usarem apenas cifras criptográficas fortes. Cifras suportadas usadas pelo Kubelet:

    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_GCM_SHA256

    Cifras suportadas usadas pelo kube-apiserver:

    TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256, TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384

  • Funcionalidade: adicione um emulador de servidor de metadados de instância (IMDS).

  • Correções de segurança

Kubernetes 1.22

1.22.15-gke.100

Notas de lançamento do Kubernetes OSS

1.22.12-gke.2300

Notas de lançamento do Kubernetes OSS

1.22.12-gke.1100

Notas de lançamento do Kubernetes OSS

1.22.12-gke.200

Notas de lançamento do Kubernetes OSS

1.22.10-gke.1500

Notas de lançamento do Kubernetes OSS

1.22.8-gke.2100

Notas de lançamento do Kubernetes OSS

  • Funcionalidade: os nós do Windows usam agora o pigz para melhorar o desempenho da extração da camada de imagem.

1.22.8-gke.1300

  • Correções de erros
    • Foi corrigido um problema em que não é possível aplicar suplementos quando os nodepools do Windows estão ativados.
    • Foi corrigido um problema em que o agente de registo podia ocupar o espaço do disco anexado.
  • Correções de segurança
    • Corrigido o CVE-2022-1055.
    • Foi corrigido o CVE-2022-0886.
    • Corrigido o CVE-2022-0492.
    • Foi corrigido o CVE-2022-24769.
    • Esta versão inclui as seguintes alterações ao controlo de acesso baseado em funções (RBAC):
    • Autorizações de anet-operator restritas para a atualização do arrendamento.
    • Autorizações do anetd Daemonset reduzidas para nós e pods.
    • Autorizações fluentbit-gke restritas para tokens de contas de serviço.
    • Âmbito reduzido do gke-metrics-agent para tokens de contas de serviço.
    • Autorizações coredns-autoscaler restritas para nós, mapas de configuração e implementações.

1.22.8-gke.200

Notas de lançamento do Kubernetes OSS

  • Funcionalidade: o tipo de instância predefinido para clusters e node pools criados no Kubernetes v1.22 é agora m5.large em vez de t3.medium.
  • Funcionalidade: quando cria um novo cluster com a versão 1.22 do Kubernetes, já pode configurar parâmetros de registo personalizados.
  • Funcionalidade: como funcionalidade de pré-visualização, agora pode escolher o Windows como o tipo de imagem do node pool quando cria node pools com a versão 1.22 do Kubernetes.
  • Funcionalidade: como funcionalidade de pré-visualização, já pode configurar máquinas anfitriãs como anfitriões dedicados.
  • Funcionalidade: agora, pode ver os erros de arranque de cluster e nodepool assíncronos mais comuns no campo de erro da operação de longa duração. Para mais informações, consulte a documentação de referência gcloud container aws operations list.
  • Correções de segurança

Kubernetes 1.21

1.21.14-gke.2900

Notas de lançamento do Kubernetes OSS

1.21.14-gke.2100

Notas de lançamento do Kubernetes OSS

1.21.11-gke.1900

Notas de lançamento do Kubernetes OSS

1.21.11-gke.1800

Notas de lançamento do Kubernetes OSS

1.21.11-gke.1100

  • Correções de segurança
    • Corrigido o CVE-2022-1055.
    • Foi corrigido o CVE-2022-0886.
    • Corrigido o CVE-2022-0492.
    • Foi corrigido o CVE-2022-24769.
    • Correções de RBAC:
    • Autorizações do operador da rede de anúncios restritas para a atualização do arrendamento.
    • Reduzimos o âmbito das autorizações do Daemonset anetd para nós e pods.
    • Autorizações do fluentbit-gke restritas para tokens de contas de serviço.
    • Âmbito reduzido do gke-metrics-agent para tokens de contas de serviço.
    • As autorizações do coredns-autoscaler foram reduzidas para nós, ConfigMaps e implementações.

1.21.11-gke.100

Notas de lançamento do Kubernetes OSS

1.21.6-gke.1500

Notas de lançamento do Kubernetes OSS

1.21.5-gke.2800

Notas de lançamento do Kubernetes OSS