Archivo de notas de la versión de Kubernetes

Esta página contiene un archivo histórico de las notas de las versiones de Kubernetes que ya no se admiten. Para ver las notas de versiones más recientes, consulta las notas de la versión de Kubernetes.

Kubernetes 1.29

1.29.14-gke.200

Notas de las versiones de Kubernetes OSS

1.29.12-gke.100

Notas de las versiones de Kubernetes OSS

1.29.10-gke.100

Notas de las versiones de Kubernetes OSS

1.29.8-gke.1800

Notas de las versiones de Kubernetes OSS

1.29.8-gke.600

Notas de las versiones de Kubernetes OSS

1.29.7-gke.100

Notas de las versiones de Kubernetes OSS

1.29.6-gke.600

Notas de las versiones de Kubernetes OSS

1.29.5-gke.1100

Notas de las versiones de Kubernetes OSS

1.29.5-gke.700

Notas de las versiones de Kubernetes OSS

1.29.4-gke.200

Notas de las versiones de Kubernetes OSS

1.29.3-gke.600

Notas de las versiones de Kubernetes OSS

Kubernetes 1.28

1.28.14-gke.200

Notas de las versiones de Kubernetes OSS

1.28.13-gke.600

Notas de las versiones de Kubernetes OSS

1.28.12-gke.100

Notas de las versiones de Kubernetes OSS

1.28.11-gke.600

Notas de las versiones de Kubernetes OSS

1.28.10-gke.1300

Notas de las versiones de Kubernetes OSS

1.28.10-gke.800

Notas de las versiones de Kubernetes OSS

1.28.9-gke.400

Notas de las versiones de Kubernetes OSS

1.28.8-gke.800

Notas de las versiones de Kubernetes OSS

1.28.7-gke.1700

Notas de las versiones de Kubernetes OSS

  • Corrección de errores: se ha corregido un problema que provocaba que el emulador del servicio de metadatos de instancias (IMDS) a veces no pudiera enlazarse a una dirección IP en el nodo. El emulador de IMDS permite que los nodos accedan de forma segura a los metadatos de las instancias de AWS EC2.

1.28.5-gke.1200

Notas de las versiones de Kubernetes OSS

1.28.5-gke.100

Notas de las versiones de Kubernetes OSS

1.28.3-gke.700

Notas de las versiones de Kubernetes OSS

  • Cambio radical: a partir de Kubernetes 1.28, los clústeres requieren conectividad HTTPS saliente a {GCP_LOCATION}-gkemulticloud.googleapis.com. Asegúrate de que tu servidor proxy o cortafuegos permita este tráfico.

  • Cambio radical: a partir de Kubernetes 1.28, el rol de agente de servicio de la API multicloud requiere un nuevo permiso Iam:getinstanceprofile en tu proyecto de AWS. El servicio multicloud usa este permiso para inspeccionar los perfiles de instancia adjuntos a las instancias de máquina virtual del clúster.

  • Característica: se ha añadido la compatibilidad con la restauración para los grupos de nodos de AWS en los que se han producido errores en las operaciones de actualización. De esta forma, los clientes pueden restaurar los grupos de nodos a su estado original.

  • Función: se ha añadido compatibilidad para extraer imágenes de Google Artifact Registry privado y de Google Container Registry privado sin la clave de cuenta de servicio de Google exportada. Google gestiona las credenciales de extracción de imágenes y las rota automáticamente.

  • Función: ya no es necesario añadir explícitamente enlaces de gestión de identidades y accesos de Google para la mayoría de las funciones.

    1. Ya no es necesario añadir ninguna vinculación para gke-system/gke-telemetry-agent al crear un clúster.
    2. Ya no es necesario añadir ninguna vinculación para gmp-system/collector ni gmp-system/rule-evaluator al habilitar la recogida de datos gestionada en Google Managed Service para Prometheus.
    3. Ya no es necesario añadir ninguna vinculación para gke-system/binauthz-agent al habilitar la autorización binaria.

  • Función: La actualización de AWS Surge ya está disponible para todos los usuarios. Las actualizaciones de picos te permiten configurar la velocidad y la interrupción de las actualizaciones de grupos de nodos. Para obtener más información sobre cómo habilitar y configurar los ajustes de Surge en tus grupos de nodos de AWS, consulta Configurar las actualizaciones de Surge de los grupos de nodos.

  • Función: se ha actualizado el kernel de Ubuntu 22.04 a linux-aws 6.2.

  • Función: se ha añadido compatibilidad para crear grupos de nodos con las siguientes instancias de AWS EC2: G5, I4g, M7a, M7g, M7i, R7g, R7i y R7iz.

  • Corrección de errores: se ha mejorado la creación de plantillas de lanzamiento. Las etiquetas proporcionadas por los clientes se propagan a las instancias.

    • Este cambio mejora principalmente la compatibilidad con las reglas de políticas de gestión de identidades y accesos. En concreto, aborda las reglas que prohíben el uso de plantillas de lanzamiento que no admiten la propagación de etiquetas, incluso en los casos en los que el grupo de escalado automático (ASG) asociado sí propaga etiquetas.
    • Puede tratarse de un cambio incompatible, en función de los detalles de la política de gestión de identidades y accesos del cliente en relación con las comprobaciones de etiquetas. Por lo tanto, es importante tener cuidado durante el proceso de actualización, ya que si no se gestiona correctamente, el clúster puede quedar en un estado degradado.
    • Se requiere la acción ec2:CreateTags en el recurso arn:aws:ec2:*:*:instance/* para el rol de agente de servicio de la API Anthos Multi-Cloud. Consulta la información más reciente en https://cloud.google.com/kubernetes-engine/multi-cloud/docs/aws/how-to/create-aws-iam-roles#create_service_agent_role.
    • Recomendamos a los clientes que creen un clúster 1.28 desechable y confirmen que las políticas de IAM funcionan correctamente antes de intentar actualizar a la versión 1.28.

  • Corrección de errores: al actualizar un clúster a la versión 1.28, se eliminarán los recursos obsoletos que se hayan creado en versiones anteriores (hasta la 1.25), pero que ya no sean relevantes. Se eliminan los siguientes recursos del espacio de nombres gke-system si existen:

    • daemonsets fluentbit-gke-windows y gke-metrics-agent-windows
    • configmaps fluentbit-gke-windows-config y gke-metrics-agent-windows-conf

  • Corrección de errores: se ha mejorado la ingestión de registros de Cloud Logging desde clústeres de Anthos en AWS:

    • Se ha corregido un problema en el análisis de marcas de tiempo.
    • Se ha asignado el nivel de gravedad correcto a los registros de errores de anthos-metadata-agent.

  • Correcciones de seguridad

Kubernetes 1.27

1.27.14-gke.1600

Notas de las versiones de Kubernetes OSS

1.27.14-gke.1200

Notas de las versiones de Kubernetes OSS

1.27.14-gke.700

Notas de las versiones de Kubernetes OSS

1.27.13-gke.500

Notas de las versiones de Kubernetes OSS

1.27.12-gke.800

Notas de las versiones de Kubernetes OSS

1.27.11-gke.1600

Notas de las versiones de Kubernetes OSS

  • Corrección de errores: se ha corregido un problema que provocaba que el emulador del servicio de metadatos de instancias (IMDS) a veces no pudiera enlazarse a una dirección IP en el nodo. El emulador de IMDS permite que los nodos accedan de forma segura a los metadatos de las instancias de AWS EC2.

1.27.10-gke.500

Notas de las versiones de Kubernetes OSS

1.27.9-gke.100

Notas de las versiones de Kubernetes OSS

1.27.7-gke.600

Notas de las versiones de Kubernetes OSS

  • Función: se ha añadido compatibilidad para crear grupos de nodos con la instancia "G5" de AWS EC2.

  • Corrección de errores: se ha mejorado la ingestión de registros de Cloud Logging desde clústeres de Anthos en AWS:

    • Se ha corregido un problema en el análisis de marcas de tiempo.
    • Se ha asignado el nivel de gravedad correcto a los registros de errores de anthos-metadata-agent.

  • Correcciones de seguridad

1.27.6-gke.700

Notas de las versiones de Kubernetes OSS

1.27.5-gke.200

Notas de las versiones de Kubernetes OSS

1.27.4-gke.1600

Notas de la versión de OSS de Kubernetes * Obsoleto: se ha inhabilitado el puerto 10255 de solo lectura de kubelet no autenticado. Una vez que se actualice un grupo de nodos a la versión 1.27, las cargas de trabajo que se ejecuten en él ya no podrán conectarse al puerto 10255.

  • Función: la función de actualización de AWS Surge está disponible en modo de vista previa. Las actualizaciones de picos te permiten configurar la velocidad y la interrupción de las actualizaciones de grupos de nodos. Para participar en la versión preliminar, ponte en contacto con el equipo de tu cuenta.
  • Función: se ha actualizado el controlador de CSI de EBS a la versión 1.20.0.
  • Función: se ha actualizado el controlador CSI de EFS a la versión 1.5.7.

  • Función: se ha actualizado snapshot-controller y csi-snapshot-validation-webhook a la versión 6.2.2. Esta nueva versión introduce un cambio importante en la API. En concreto, las APIs VolumeSnapshot, VolumeSnapshotContents y VolumeSnapshotClass v1beta1 ya no están disponibles.

  • Función: se ha añadido compatibilidad con una nueva marca admin-groups en las APIs de creación y actualización. Esta marca permite a los clientes autenticar de forma rápida y sencilla los grupos incluidos en la lista como administradores de clústeres, lo que elimina la necesidad de crear y aplicar manualmente políticas de RBAC.

  • Función: se ha añadido compatibilidad con Autorización binaria, un control de seguridad en el momento del despliegue que garantiza que solo se desplieguen imágenes de contenedor que sean de confianza. Con la autorización binaria, puedes requerir que una autoridad de confianza firme las imágenes durante el proceso de desarrollo y, después, aplicar la validación de la firma cuando se desplieguen. Al hacer esto último, tendrás un control más estricto sobre tu entorno de contenedores y te asegurarás de que solo las imágenes verificadas puedan incluirse en el proceso de compilación y lanzamiento. Para obtener información sobre cómo habilitar la autorización binaria en tus clústeres, consulta el artículo Cómo habilitar la autorización binaria.

  • Función: se ha habilitado la compresión con gzip para fluent-bit (un procesador y reenviador de registros), gke-metrics-agent (un recopilador de métricas) y audit-proxy (un proxy de registro de auditoría). fluent-bit comprime los datos de registro del plano de control y de las cargas de trabajo antes de enviarlos a Cloud Logging, gke-metrics-agent comprime los datos de métricas del plano de control y de las cargas de trabajo antes de enviarlos a Cloud Monitoring y audit-proxy comprime los datos de registro de auditoría antes de enviarlos a Audit Logging. De esta forma, se reduce el ancho de banda de la red y los costes.

  • Función: ya está disponible para el público general la creación de grupos de nodos SPOT de AWS.

  • Función: La reparación automática de nodos ya está disponible para GA.

  • Función: se ha mejorado la seguridad añadiendo comprobaciones de integridad de archivos y validación de huellas digitales para los artefactos binarios descargados de Cloud Storage.

  • Función: se ha añadido una opción ignore_errors a la API de eliminación para gestionar los casos en los que los roles de gestión de identidades y accesos se han eliminado por error o los recursos se han quitado manualmente, lo que impide eliminar clústeres o grupos de nodos. Si añaden ?ignore_errors=true a la URL de solicitud de DELETE, los usuarios ahora pueden quitar clústeres o grupos de nodos de forma forzada. Sin embargo, este enfoque puede dar lugar a recursos huérfanos en AWS o Azure, lo que requiere una limpieza manual.

  • Función: se ha añadido compatibilidad con la desfragmentación periódica automática de etcd y etcd-events en el plano de control. Esta función reduce el almacenamiento en disco innecesario y ayuda a evitar que etcd y el plano de control dejen de estar disponibles debido a problemas de almacenamiento en disco.

  • Función: se han cambiado los nombres de las métricas de recursos de Kubernetes para que usen el prefijo de métricas kubernetes.io/anthos/ en lugar de kubernetes.io/. Para obtener más información, consulta la documentación de referencia de las métricas.

  • Función: se ha cambiado la versión predeterminada de etcd a la 3.4.21 en los clústeres nuevos para mejorar la estabilidad. Los clústeres que se actualicen a esta versión usarán etcd v3.5.6.

  • Función: gestión de recursos de nodos mejorada mediante la reserva de recursos para kubelet. Aunque esta función es fundamental para evitar errores de falta de memoria (OOM) al asegurar que los procesos del sistema y de Kubernetes tengan los recursos que necesitan, puede provocar interrupciones en las cargas de trabajo. La reserva de recursos para el kubelet puede afectar a los recursos disponibles para los pods, lo que puede influir en la capacidad de los nodos más pequeños para gestionar las cargas de trabajo. Los clientes deben verificar que los nodos más pequeños puedan seguir admitiendo sus cargas de trabajo con esta nueva función activada.

    • Los porcentajes de memoria reservada son los siguientes:
    • 255 MiB para máquinas con menos de 1 GB de memoria
    • 25 % de los primeros 4 GB de memoria
    • 20% de los siguientes 4 GB
    • 10% de los siguientes 8 GB
    • 6% de los siguientes 112 GB
    • 2% de la memoria que supere los 128 GB
    • Los porcentajes de CPU reservados son los siguientes:
    • 6 % del primer núcleo
    • 1% del siguiente núcleo
    • 0,5% de los dos núcleos siguientes
    • 0,25% de los núcleos que superen los 4 núcleos

  • Corrección de errores

    • Habilitar la herramienta de adaptación dinámica de clústeres para equilibrar los nodos en diferentes zonas de disponibilidad. Para ello, se usa la marca --balance-similar-node-groups.

  • Correcciones de seguridad

Kubernetes 1.26

1.26.14-gke.1500

Notas de las versiones de Kubernetes OSS

  • Corrección de errores: se ha corregido un problema que provocaba que el emulador del servicio de metadatos de instancias (IMDS) a veces no pudiera enlazarse a una dirección IP en el nodo. El emulador de IMDS permite que los nodos accedan de forma segura a los metadatos de las instancias de AWS EC2.

1.26.13-gke.400

Notas de las versiones de Kubernetes OSS

1.26.12-gke.100

Notas de las versiones de Kubernetes OSS

1.26.10-gke.600

Notas de las versiones de Kubernetes OSS

  • Función: se ha añadido compatibilidad para crear grupos de nodos con la instancia "G5" de AWS EC2.

  • Corrección de errores: se ha actualizado el controlador de interfaz de almacenamiento de contenedores (CSI) de Elastic File System (EFS) aws-efs-csi-driver a la versión v1.3.8-gke.21.

  • Corrección de errores: se ha mejorado la ingestión de registros de Cloud Logging desde clústeres de Anthos en AWS:

    • Se ha corregido un problema en el análisis de marcas de tiempo.
    • Se ha asignado el nivel de gravedad correcto a los registros de errores de anthos-metadata-agent.

  • Correcciones de seguridad

1.26.9-gke.700

Notas de las versiones de Kubernetes OSS

1.26.8-gke.200

Notas de las versiones de Kubernetes OSS

1.26.7-gke.500

Notas de las versiones de Kubernetes OSS

1.26.5-gke.1400

Notas de las versiones de Kubernetes OSS

1.26.5-gke.1200

Notas de las versiones de Kubernetes OSS

  • Corrección de errores
    • Configura el autoescalador de clústeres para equilibrar el número de nodos en las zonas de disponibilidad mediante --balance-similar-node-groups.

1.26.4-gke.2200

Notas de la versión de OSS de Kubernetes * Función: Ubuntu 22.04 usa el kernel linux-aws 5.19.

  • Corrección de errores

    • Se ha corregido un problema que provocaba que Kubernetes aplicara incorrectamente la clase de almacenamiento predeterminada a PersistentVolumeClaims que tienen la anotación obsoleta volume.beta.kubernetes.io/storage-class.
    • Se ha solucionado un problema por el que el agente de registro consumía cantidades de memoria cada vez mayores.

  • Correcciones de seguridad

    • Se ha corregido un problema que afectaba al seguimiento de conexiones de netfilter (conntrack), que se encarga de monitorizar las conexiones de red. La corrección asegura que las nuevas conexiones se inserten correctamente en la tabla conntrack y supera las limitaciones causadas por los cambios realizados en las versiones 5.15 y posteriores del kernel de Linux.

1.26.2-gke.1001

Notas de las versiones de Kubernetes OSS

  • Problema conocido: Kubernetes 1.26.2 aplicará incorrectamente la StorageClass predeterminada a PersistentVolumeClaims que tengan la anotación obsoleta volume.beta.kubernetes.io/storage-class.

  • Función: se ha actualizado la imagen del SO a Ubuntu 22.04. Ahora se usa cgroupv2 como configuración predeterminada del grupo de control.

    • Ubuntu 22.04 usa cgroupv2 de forma predeterminada. Te recomendamos que compruebes si alguna de tus aplicaciones accede al sistema de archivos cgroup. Si lo hacen, deben actualizarse para usar cgroupv2. Estos son algunos ejemplos de aplicaciones que pueden requerir actualizaciones para garantizar la compatibilidad con cgroupv2:
    • Agentes de monitorización y seguridad de terceros que dependen del sistema de archivos cgroup.
    • Si cAdvisor se usa como un DaemonSet independiente para monitorizar pods y contenedores, debe actualizarse a la versión v0.43.0 o posterior.
    • Si usas JDK, te recomendamos que utilices la versión 11.0.16 o una posterior, o la versión 15 o una posterior. Estas versiones son totalmente compatibles con cgroupv2.
    • Si usas el paquete uber-go/automaxprocs, asegúrate de usar la versión v1.5.1 o una posterior.
    • Ubuntu 22.04 elimina el paquete timesyncd. En su lugar, ahora se usa chrony para el servicio de sincronización de hora de Amazon.
    • Para obtener más información, consulta las notas de la versión de Ubuntu.

  • Función: envía métricas de los componentes del plano de control a Cloud Monitoring. Esto incluye un subconjunto de las métricas de Prometheus de kube-apiserver, etcd, kube-scheduler y kube-controller-manager. Los nombres de las métricas usan el prefijo kubernetes.io/anthos/.

  • Función: se ha habilitado el envío de metadatos de recursos de Kubernetes a Google Cloud Platform, lo que mejora tanto la interfaz de usuario como las métricas de los clústeres. Para que los metadatos se ingieran correctamente, los clientes deben habilitar la API Config Monitoring for Ops. Esta API se puede habilitar en la consola de Google Cloud o habilitando manualmente la API opsconfigmonitoring.googleapis.com en la CLI de gcloud. Además, los clientes deben seguir los pasos que se indican en la documentación Autorizar Cloud Logging o Cloud Monitoring para añadir los enlaces de IAM necesarios. Si procede, añade opsconfigmonitoring.googleapis.com a tu lista de permitidos de proxies.

  • Función: se ha añadido una función de vista previa para crear un grupo de nodos de AWS Spot.

  • Función: ahora se pueden crear grupos de nodos con tipos de instancia basados en ARM (Graviton).

  • Función: se ha habilitado el cierre ordenado de nodos de kubelet. Los pods que no son del sistema tienen 15 segundos para finalizar. Después, los pods del sistema (con las clases de prioridad system-cluster-critical o system-node-critical) tienen 15 segundos para finalizar correctamente.

  • Función: se ha habilitado la función de reparación automática de nodos en el modo de vista previa. Ponte en contacto con el equipo de tu cuenta para participar en la versión preliminar.

  • Función: se han añadido etiquetas al recurso de punto de acceso de EFS creado de forma dinámica.

  • Función: los clústeres ahora tienen reglas de grupo de seguridad de subred por grupo de nodos en lugar de reglas de toda la VPC

    • Antes, el plano de control permitía el tráfico entrante de todo el intervalo de IPs principal de la VPC en los puertos TCP/443 y TCP/8123, que utilizan los grupos de nodos.
    • Ahora, el plano de control reduce el tráfico entrante permitido a cada intervalo de IPs de las subredes del grupo de nodos en los puertos TCP/443 y TCP/8123. Varios grupos de nodos pueden compartir una subred.
    • Este cambio admite grupos de nodos que se ejecutan fuera del intervalo de IPs principal de la VPC y mejora la seguridad del plano de control.
    • Si has usado la regla del grupo de seguridad de toda la VPC para permitir el tráfico desde fuera del clúster (por ejemplo, desde un host bastion para kubectl), como parte de la actualización, debes crear un grupo de seguridad, añadirle una regla de toda la VPC y asociar el grupo de seguridad al plano de control (mediante el campo AwsCluster.controlPlane.securityGroupIds).

  • Corrección de errores: los clústeres recién creados ahora usan etcd v3.4.21 para mejorar la estabilidad. Los clústeres de versiones anteriores ya usaban etcd v3.5.x y no se degradarán a v3.4.21 durante la actualización del clúster. En su lugar, usarán v3.5.6.

  • Corrección de seguridad: se ha definido el límite de saltos de la respuesta del emulador de IMDS en 1. De esta forma, se protege la comunicación de datos de IMDS entre el emulador y una carga de trabajo.

Kubernetes 1.25

1.25.14-gke.700

Notas de las versiones de Kubernetes OSS

1.25.13-gke.200

Notas de las versiones de Kubernetes OSS

1.25.12-gke.500

Notas de la versión de software de código abierto de Kubernetes * Función: se ha ampliado la lista de métricas recogidas de los grupos de nodos para incluir gke-metrics-agent, cilium-agent, cilium-operator, coredns, fluentbit-gke, kubelet y konnectivity-agent.

1.25.10-gke.1400

Notas de las versiones de Kubernetes OSS

1.25.10-gke.1200

Notas de las versiones de Kubernetes OSS

  • Corrección de errores
    • Configura el autoescalador de clústeres para equilibrar el número de nodos en las zonas de disponibilidad mediante --balance-similar-node-groups.
  • Correcciones de seguridad
    • Se ha migrado el agente de métricas y el servidor de métricas del grupo de nodos al puerto kubelet autenticado.

1.25.8-gke.500

Notas de las versiones de Kubernetes OSS

  • Corrección de errores

    • Se ha solucionado un problema por el que el agente de registro consumía cantidades de memoria cada vez mayores.

  • Correcciones de seguridad

1.25.7-gke.1000

Notas de las versiones de Kubernetes OSS

  • Función: se han añadido etiquetas al recurso de punto de acceso de EFS creado de forma dinámica.

  • Corrección de errores: los clústeres recién creados ahora usan etcd v3.4.21 para mejorar la estabilidad. Los clústeres de versiones anteriores ya usaban etcd v3.5.x y no se degradarán a v3.4.21 durante la actualización del clúster. En su lugar, usarán v3.5.6.

1.25.6-gke.1600

Notas de las versiones de Kubernetes OSS

1.25.5-gke.2000

Notas de la versión de Kubernetes OSS * Función: se ha actualizado Anthos Identity Service para gestionar mejor las solicitudes de webhook de autenticación simultáneas.

  • Corrección de errores: se ha corregido un problema por el que no se propagaban ni se notificaban determinados errores durante las operaciones de creación o actualización de clústeres.
  • Corrección de errores: se ha corregido un problema con el controlador CSI de EFS de AWS que impedía resolver los nombres de host de EFS cuando la VPC de AWS se configuraba para usar un servidor DNS personalizado.

  • Corrección de errores: se ha corregido un problema que provocaba que la autenticación a través del panel de control de Anthos Service Mesh fallara debido a que no se podía suplantar la identidad del usuario final.

  • Correcciones de seguridad

1.25.5-gke.1500

Notas de las versiones de Kubernetes OSS

  • Problema conocido: Algunas superficies de la interfaz de usuario de la consola Google Cloud no pueden autorizarse en el clúster y es posible que lo muestren como inaccesible. Una solución alternativa es aplicar manualmente el control de acceso basado en roles que permita la suplantación de identidad de los usuarios. Para obtener más información, consulta la sección Solución de problemas.

  • Correcciones de seguridad

1.25.4-gke.1300

Notas de las versiones de Kubernetes OSS

  • Problema conocido: Algunas superficies de la interfaz de usuario de la consola Google Cloud no pueden autorizarse en el clúster y es posible que lo muestren como inaccesible. Una solución alternativa es aplicar manualmente el control de acceso basado en roles que permita la suplantación de identidad de los usuarios. Para obtener más información, consulta la sección Solución de problemas.

  • Obsoleto: se han eliminado los complementos de volumen obsoletos en el árbol flocker, quobyte y storageos.

  • Función: seguridad mejorada al restringir los pods estáticos que se ejecutan en las VMs del plano de control del clúster para que se ejecuten como usuarios de Linux que no sean root.

  • Función: se ha añadido compatibilidad para actualizar dinámicamente los grupos de seguridad de los grupos de nodos de AWS. Para actualizar grupos de seguridad, debes tener los siguientes permisos en tu rol de API:

    • ec2:ModifyInstanceAttribute
    • ec2:DescribeInstances

  • Función: se ha añadido compatibilidad para actualizar dinámicamente las etiquetas de los grupos de nodos de AWS. Para actualizar las etiquetas de un grupo de nodos, debes tener los siguientes permisos en tu rol de API:

    • autoscaling:CreateOrUpdateTags
    • autoscaling:DeleteTags
    • ec2:CreateTags
    • ec2:DeleteTags
    • ec2:DescribeLaunchTemplates

  • Función: El aprovisionamiento dinámico de EFS ya está disponible con carácter general para los clústeres con la versión 1.25 o posterior. Para usar esta función, debes añadir los siguientes permisos al rol del plano de control:

    • ec2:DescribeAvailabilityZones
    • elasticfilesystem:DescribeAccessPoints
    • elasticfilesystem:DescribeFileSystems
    • elasticfilesystem:DescribeMountTargets
    • elasticfilesystem:CreateAccessPoint
    • elasticfilesystem:DeleteAccessPoint

  • Función: Ya está disponible de forma general la subida de métricas de cargas de trabajo a Cloud Monarch mediante Google Managed Service para Prometheus con la recogida gestionada.

  • Función: se ha añadido compatibilidad para habilitar y actualizar la recogida de métricas de CloudWatch en el grupo de escalado automático del grupo de nodos de AWS. Para habilitar o actualizar la recogida de métricas mediante la API de creación o actualización, debes añadir los siguientes permisos a tu rol de API:

    • autoscaling:EnableMetricsCollection
    • autoscaling:DisableMetricsCollection

  • Función: disponibilidad general de Azure AD. Esta función permite a los administradores de clústeres configurar políticas de control de acceso basado en roles (RBAC) basadas en grupos de Azure AD para la autorización en clústeres. De esta forma, se puede obtener información de grupos de usuarios que pertenezcan a más de 200 grupos, lo que permite superar una limitación de la configuración normal de OIDC con Azure AD como proveedor de identidades.

  • Función: se ha añadido un nuevo gestor de tokens (gke-token-manager) para generar tokens para los componentes del plano de control mediante la clave de firma de la cuenta de servicio. Ventajas:

    1. Elimina la dependencia de kube-apiserver para que los componentes del plano de control se autentiquen en los servicios de Google. Antes, los componentes del plano de control usaban la API TokenRequest y dependían de un kube-apiserver en buen estado. Ahora, el componente gke-token-manager genera los tokens directamente con la clave de firma de la cuenta de servicio.
    2. Elimina el RBAC para generar tokens para los componentes del plano de control.
    3. Desvincula el registro y kube-apiserver. Para que los registros se puedan ingerir antes de que se inicie kube-apiserver.
    4. Aumentar la resiliencia del plano de control. Cuando kube-apiserver no funciona, los componentes del plano de control pueden seguir obteniendo los tokens y funcionando.

  • Función: como función de vista previa, ingiere una variedad de métricas de los componentes del plano de control en Cloud Monitoring, incluidos kube-apiserver, etcd, kube-scheduler y kube-controller-manager.

  • Función: los usuarios de un grupo de Google pueden acceder a clústeres de AWS mediante Connect Gateway concediendo al grupo el permiso RBAC necesario. Para obtener más información, consulta el artículo Configurar la pasarela de conexión con Grupos de Google.

  • Corrección de errores: se ha corregido un problema que podía provocar que no se eliminaran las versiones obsoletas de gke-connect-agent después de actualizar los clústeres.

  • Correcciones de seguridad

Kubernetes 1.24

1.24.14-gke.2700

Notas de las versiones de Kubernetes OSS

1.24.14-gke.1400

Notas de las versiones de Kubernetes OSS

  • Corrección de errores
    • Configura el autoescalador de clústeres para equilibrar el número de nodos en las zonas de disponibilidad mediante --balance-similar-node-groups.

1.24.13-gke.500

Notas de las versiones de Kubernetes OSS

  • Corrección de errores

    • Se ha solucionado un problema por el que el agente de registro consumía cantidades de memoria cada vez mayores.

  • Correcciones de seguridad

1.24.11-gke.1000

Notas de las versiones de Kubernetes OSS

  • Corrección de errores: los clústeres recién creados ahora usan etcd v3.4.21 para mejorar la estabilidad. Los clústeres de versiones anteriores ya usaban etcd v3.5.x y no se degradarán a v3.4.21 durante la actualización del clúster. En su lugar, usarán v3.5.6.

1.24.10-gke.1200

Notas de las versiones de Kubernetes OSS

  • Corrección de errores: se ha corregido un problema que podía provocar que las actualizaciones de clústeres fallaran si se registraban determinados tipos de webhooks de admisión de validación.
  • Corrección de errores: se ha corregido la propagación del ID de seguridad de Cilium para que los IDs se transfieran correctamente en el encabezado del túnel cuando las solicitudes se reenvíen a servicios de tipo NodePort y LoadBalancer.
  • Correcciones de seguridad

1.24.9-gke.2000

Notas de las versiones de Kubernetes OSS

  • Función: se ha actualizado Anthos Identity Service para gestionar mejor las solicitudes de webhook de autenticación simultáneas.

  • Corrección de errores: se ha corregido un problema por el que no se propagaban ni se notificaban determinados errores durante las operaciones de creación o actualización de clústeres.

  • Correcciones de seguridad

1.24.9-gke.1500

Notas de las versiones de Kubernetes OSS

1.24.8-gke.1300

Notas de las versiones de Kubernetes OSS

1.24.5-gke.200

Notas de las versiones de Kubernetes OSS

1.24.3-gke.2200

Notas de las versiones de Kubernetes OSS

  • Corrección de errores: se ha corregido un error que provocaba que, al crear un recurso de servicio de Kubernetes de tipo LoadBalancer y con la anotación service.beta.kubernetes.io/aws-load-balancer-type: nlb, el grupo de destino permaneciera vacío. Consulta https://github.com/kubernetes/cloud-provider-aws/issues/301.

1.24.3-gke.2100

Notas de las versiones de Kubernetes OSS

  • Función: sube métricas de recursos de Kubernetes a Google Cloud Monitoring para grupos de nodos de Windows.
  • Función: se ha proporcionado un webhook para facilitar la inyección del emulador de IMDS.
  • Función: go1.18 deja de aceptar de forma predeterminada los certificados firmados con el algoritmo de hash SHA-1. Los webhooks de admisión o conversión, o los endpoints de servidor agregados que usen estos certificados no seguros, dejarán de funcionar de forma predeterminada en la versión 1.24. La variable de entorno GODEBUG=x509sha1=1 se define en los clústeres de Anthos en AWS como solución alternativa temporal para que estos certificados no seguros sigan funcionando. Sin embargo, el equipo de Go tiene previsto eliminar la compatibilidad con esta solución alternativa en las próximas versiones. Los clientes deben comprobar que no haya webhooks de admisión o conversión ni endpoints de servidor agregados que usen certificados no seguros antes de actualizar a la próxima versión incompatible.
  • Función: GKE en AWS ahora admite el aprovisionamiento dinámico de EFS en modo de vista previa para clústeres de Kubernetes con la versión 1.24 o posterior. Para usar esta función, debes añadir los siguientes permisos al rol de plano de control: ec2:DescribeAvailabilityZones elasticfilesystem:DescribeAccessPoints elasticfilesystem:DescribeFileSystems elasticfilesystem:DescribeMountTargets elasticfilesystem:CreateAccessPoint elasticfilesystem:DeleteAccessPoint

  • Función: se han mejorado las comprobaciones de conectividad de red durante la creación de clústeres y grupos de nodos para facilitar la solución de problemas.

  • Función: se han añadido actualizaciones para las etiquetas del plano de control de AWS. Para actualizar las etiquetas, debes añadir los siguientes permisos al rol de API: autoscaling:CreateOrUpdateTags autoscaling:DeleteTags ec2:CreateTags ec2:DescribeLaunchTemplates ec2:DescribeSecurityGroupRules ec2:DeleteTags elasticloadbalancing:AddTags elasticloadbalancing:RemoveTags

  • Función: la subida de métricas de cargas de trabajo mediante Google Managed Service para Prometheus a Cloud Monarch está disponible como versión preliminar privada solo con invitación.

  • Correcciones de seguridad

Kubernetes 1.23

1.23.16-gke.2800

Notas de las versiones de Kubernetes OSS

1.23.16-gke.200

Notas de las versiones de Kubernetes OSS

  • Corrección de errores: se ha corregido un problema por el que no se propagaban ni se notificaban determinados errores durante las operaciones de creación o actualización de clústeres.

  • Corrección de errores: se han corregido problemas de cpp-httplib por los que el servidor kubeapi no podía acceder a AIS.

  • Correcciones de seguridad

1.23.14-gke.1800

Notas de las versiones de Kubernetes OSS

1.23.14-gke.1100

Notas de las versiones de Kubernetes OSS

1.23.11-gke.300

Notas de las versiones de Kubernetes OSS

1.23.9-gke.2200

Notas de las versiones de Kubernetes OSS

  • Corrección de errores: se ha corregido un error que provocaba que, al crear un recurso de servicio de Kubernetes de tipo LoadBalancer y con la anotación service.beta.kubernetes.io/aws-load-balancer-type: nlb, el grupo de destino permaneciera vacío. Consulta https://github.com/kubernetes/cloud-provider-aws/issues/301.

1.23.9-gke.2100

Notas de las versiones de Kubernetes OSS

1.23.9-gke.800

Notas de las versiones de Kubernetes OSS

1.23.8-gke.1700

Notas de las versiones de Kubernetes OSS

1.23.7-gke.1300

Notas de las versiones de Kubernetes OSS

  • Función: inhabilitar el endpoint de creación de perfiles (/debug/pprof) de forma predeterminada en kube-scheduler y kube-controller-manager.

  • Función: actualiza kube-apiserver y kubelet para que solo usen cifrados criptográficos seguros. Cifrados admitidos que usa Kubelet:

    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_GCM_SHA256

    Cifrados admitidos que usa kube-apiserver:

    TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256, TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384

  • Función: añade un emulador de servidor de metadatos de instancia (IMDS).

  • Correcciones de seguridad

Kubernetes 1.22

1.22.15-gke.100

Notas de las versiones de Kubernetes OSS

1.22.12-gke.2300

Notas de las versiones de Kubernetes OSS

1.22.12-gke.1100

Notas de las versiones de Kubernetes OSS

1.22.12-gke.200

Notas de las versiones de Kubernetes OSS

1.22.10-gke.1500

Notas de las versiones de Kubernetes OSS

1.22.8-gke.2100

Notas de las versiones de Kubernetes OSS

  • Función: los nodos de Windows ahora usan pigz para mejorar el rendimiento de la extracción de capas de imágenes.

1.22.8-gke.1300

  • Corrección de errores
    • Se ha corregido un problema que impedía aplicar complementos cuando los nodepools de Windows estaban habilitados.
    • Se ha corregido un problema que provocaba que el agente de registro pudiera llenar el espacio de disco adjunto.
  • Correcciones de seguridad
    • Se ha corregido CVE-2022-1055.
    • Se ha corregido CVE-2022-0886.
    • Se ha corregido CVE-2022-0492.
    • Se ha corregido CVE-2022-24769.
    • Esta versión incluye los siguientes cambios en el control de acceso basado en roles (RBAC):
    • Se han reducido los permisos de anet-operator para la actualización de arrendamientos.
    • Se han reducido los permisos de anetd DaemonSet para nodos y pods.
    • Se han reducido los permisos de fluentbit-gke para los tokens de cuenta de servicio.
    • Se ha reducido el ámbito de gke-metrics-agent para los tokens de cuenta de servicio.
    • Se han reducido los permisos de coredns-autoscaler para los nodos, los ConfigMaps y las implementaciones.

1.22.8-gke.200

Notas de las versiones de Kubernetes OSS

  • Función: el tipo de instancia predeterminado de los clústeres y grupos de nodos creados con Kubernetes 1.22 ahora es m5.large en lugar de t3.medium.
  • Función: cuando creas un clúster con la versión 1.22 de Kubernetes, ahora puedes configurar parámetros de registro personalizados.
  • Función: como función de vista previa, ahora puedes elegir Windows como tipo de imagen de grupo de nodos al crear grupos de nodos con la versión 1.22 de Kubernetes.
  • Función: como función de vista previa, ahora puedes configurar máquinas host como hosts dedicados.
  • Función: ahora puede ver los errores de arranque de clústeres y grupos de nodos asíncronos más habituales en el campo de errores de operaciones de larga duración. Para obtener más información, consulta la documentación de referencia de gcloud container aws operations list.
  • Correcciones de seguridad

Kubernetes 1.21

1.21.14-gke.2900

Notas de las versiones de Kubernetes OSS

1.21.14-gke.2100

Notas de las versiones de Kubernetes OSS

1.21.11-gke.1900

Notas de las versiones de Kubernetes OSS

1.21.11-gke.1800

Notas de las versiones de Kubernetes OSS

1.21.11-gke.1100

  • Correcciones de seguridad
    • Se ha corregido CVE-2022-1055.
    • Se ha corregido CVE-2022-0886.
    • Se ha corregido CVE-2022-0492.
    • Se ha corregido CVE-2022-24769.
    • Correcciones de RBAC:
    • Se han reducido los permisos de anet-operator para la actualización de Lease.
    • Se han reducido los permisos de DaemonSet de anetd para nodos y pods.
    • Se han reducido los permisos de fluentbit-gke para los tokens de cuenta de servicio.
    • Se ha reducido el ámbito de gke-metrics-agent para los tokens de cuenta de servicio.
    • Se han reducido los permisos de coredns-autoscaler para nodos, ConfigMaps y despliegues.

1.21.11-gke.100

Notas de las versiones de Kubernetes OSS

1.21.6-gke.1500

Notas de las versiones de Kubernetes OSS

1.21.5-gke.2800

Notas de las versiones de Kubernetes OSS