このページには、サポートされていないバージョンの Kubernetes バージョン ノートの履歴が含まれています。最新のバージョン ノートを確認するには、Kubernetes バージョン ノートをご覧ください。
Kubernetes 1.28
1.28.14-gke.200
- セキュリティに関する修正:
- CVE-2024-9143 を修正しました
- GHSA-87m9-rv8p-rgmg を修正しました
- GHSA-mh55-gqvf-xfwm を修正しました
1.28.13-gke.600
- バグの修正:
csi-snapshotterをバージョン 6.3.3 に更新することで、「オブジェクトが変更されました」というエラー メッセージが頻繁に表示される問題を修正しました。 - セキュリティに関する修正:
- CVE-2023-50387 を修正しました
- CVE-2023-50868 を修正しました
- CVE-2024-0553 を修正しました
- CVE-2024-0567 を修正しました
- CVE-2024-4603 を修正しました
- CVE-2024-7348 を修正しました
1.28.12-gke.100
- セキュリティに関する修正:
- CVE-2024-26642 を修正しました
- CVE-2024-26923 を修正しました
1.28.11-gke.600
- セキュリティに関する修正
- CVE-2022-40735 を修正しました
- CVE-2023-24329 を修正しました
- CVE-2023-40217 を修正しました
- CVE-2023-41105 を修正しました
- CVE-2023-50387 を修正しました
- CVE-2023-50868 を修正しました
- CVE-2023-5678 を修正しました
- CVE-2023-6129 を修正しました
- CVE-2023-6237 を修正しました
- CVE-2023-6597 を修正しました
- CVE-2024-0450 を修正しました
- CVE-2024-0727 を修正しました
- CVE-2024-28834 を修正しました
- CVE-2024-28835 を修正しました
1.28.10-gke.1300
- セキュリティに関する修正:
- CVE-2024-6387 を修正しました
- CVE-2024-26583 を修正しました
- CVE-2024-26584 を修正しました
- CVE-2024-26585 を修正しました
- CVE-2023-52447 を修正しました
- CVE-2024-26643 を修正しました
- CVE-2024-26809 を修正しました
- CVE-2024-26808 を修正しました
- CVE-2024-26924 を修正しました
- CVE-2024-26925 を修正しました
1.28.10-gke.800
- セキュリティに関する修正:
- CVE-2022-3715 を修正しました
- CVE-2022-48303 を修正しました
- CVE-2023-2953 を修正しました
- CVE-2023-39804 を修正しました
- CVE-2023-4641 を修正しました
- CVE-2023-47038 を修正しました
- CVE-2023-52425 を修正しました
- CVE-2023-5678 を修正しました
- CVE-2023-5981 を修正しました
- CVE-2023-6004 を修正しました
- CVE-2023-6129 を修正しました
- CVE-2023-6237 を修正しました
- CVE-2023-6246 を修正しました
- CVE-2023-6779 を修正しました
- CVE-2023-6780 を修正しました
- CVE-2023-6918 を修正しました
- CVE-2023-7008 を修正しました
- CVE-2024-0553 を修正しました
- CVE-2024-0567 を修正しました
- CVE-2024-0727 を修正しました
- CVE-2024-0985 を修正しました
- CVE-2024-22365 を修正しました
- CVE-2024-2398 を修正しました
- CVE-2024-28085 を修正しました
- CVE-2024-28182 を修正しました
- CVE-2024-28757 を修正しました
- CVE-2024-28834 を修正しました
- CVE-2024-28835 を修正しました
1.28.9-gke.400
- セキュリティに関する修正:
- CVE-2023-52620 を修正しました。
- CVE-2024-1085 を修正しました。
- CVE-2024-26581 を修正しました。
1.28.8-gke.800
- バグの修正: クラスタ オートスケーラーの問題を修正し、ノードプールでユーザーが構成したラベルと taint が配慮されるようにしました。この機能強化により、ゼロノードからの正確なスケールアップが可能になり、クラスタのプロビジョニングの精度が向上します。この変更により、次の既知の問題が修正されます。
- セキュリティに関する修正:
- CVE-2020-29509 を修正しました。
- CVE-2020-29511 を修正しました。
- CVE-2020-29652 を修正しました。
- CVE-2021-29923 を修正しました。
- CVE-2021-31525 を修正しました。
- CVE-2021-33195 を修正しました。
- CVE-2021-33196 を修正しました。
- CVE-2021-33197 を修正しました。
- CVE-2021-33198 を修正しました。
- CVE-2021-34558 を修正しました。
- CVE-2021-36221 を修正しました。
- CVE-2021-38297 を修正しました。
- CVE-2021-38561 を修正しました。
- CVE-2021-39293 を修正しました。
- CVE-2021-41771 を修正しました。
- CVE-2021-41772 を修正しました。
- CVE-2021-43565 を修正しました。
- CVE-2021-44716 を修正しました。
- CVE-2022-1705 を修正しました。
- CVE-2022-1962 を修正しました。
- CVE-2022-21698 を修正しました。
- CVE-2022-23772 を修正しました。
- CVE-2022-23773 を修正しました。
- CVE-2022-23806 を修正しました。
- CVE-2022-24675 を修正しました。
- CVE-2022-24921 を修正しました。
- CVE-2022-27191 を修正しました。
- CVE-2022-27664 を修正しました。
- CVE-2022-28131 を修正しました。
- CVE-2022-28327 を修正しました。
- CVE-2022-2879 を修正しました。
- CVE-2022-2880 を修正しました。
- CVE-2022-29526 を修正しました。
- CVE-2022-30580 を修正しました。
- CVE-2022-30629 を修正しました。
- CVE-2022-30630 を修正しました。
- CVE-2022-30631 を修正しました。
- CVE-2022-30632 を修正しました。
- CVE-2022-30633 を修正しました。
- CVE-2022-30635 を修正しました。
- CVE-2022-32148 を修正しました。
- CVE-2022-32149 を修正しました。
- CVE-2022-32189 を修正しました。
- CVE-2022-41715 を修正しました。
- CVE-2022-41717 を修正しました。
- CVE-2022-41724 を修正しました。
- CVE-2022-41725 を修正しました。
- CVE-2023-24532 を修正しました。
- CVE-2023-24534 を修正しました。
- CVE-2023-24536 を修正しました
- CVE-2023-24537 を修正しました
- CVE-2023-24538 を修正しました。
- CVE-2023-24539 を修正しました。
- CVE-2023-24540 を修正しました。
- CVE-2023-29400 を修正しました。
- CVE-2023-29402 を修正しました。
- CVE-2023-29403 を修正しました。
- CVE-2023-29404 を修正しました。
- CVE-2023-29405 を修正しました。
1.28.7-gke.1700
- バグの修正: Instance Metadata Service(IMDS)エミュレータがノードの IP アドレスにバインドできないことがある問題を修正しました。IMDS エミュレータにより、ノードは AWS EC2 インスタンス メタデータに安全にアクセスできます。
1.28.5-gke.1200
- バグの修正
- runc でのファイル記述漏えいのバグ(CVE-2024-21626)を修正しました。
- セキュリティに関する修正
- CVE-2023-38039 を修正しました。
- CVE-2023-46219 を修正しました。
- CVE-2023-39326 を修正しました。
- CVE-2023-45142 を修正しました。
- CVE-2023-45285 を修正しました。
- CVE-2023-48795 を修正しました。
- CVE-2024-0193 を修正しました。
- CVE-2023-6932 を修正しました。
- CVE-2023-6931 を修正しました。
- CVE-2024-0193 を修正しました。
- CVE-2023-6817 を修正しました。
1.28.5-gke.100
- セキュリティに関する修正
- CVE-2022-28948 を修正しました。
- CVE-2023-29491 を修正しました。
- CVE-2023-36054 を修正しました。
- CVE-2023-5363 を修正しました。
- CVE-2023-47038 を修正しました。
- CVE-2023-5981 を修正しました。
- CVE-2023-4806 を修正しました。
- CVE-2023-4016 を修正しました。
- CVE-2023-4813 を修正しました。
- CVE-2022-48522 を修正しました。
- CVE-2023-46218 を修正しました。
- CVE-2023-5156 を修正しました。
- CVE-2023-39804 を修正しました。
- CVE-2023-5869 を修正しました。
- CVE-2023-39417 を修正しました。
- CVE-2023-5868 を修正しました。
- CVE-2023-5870 を修正しました。
- GHSA-6xv5-86q9-7xr8 を修正しました。
1.28.3-gke.700
- 互換性を破る変更: 1.28 以降、クラスタには
{GCP_LOCATION}-gkemulticloud.googleapis.comへのアウトバウンド HTTPS 接続が必要です。プロキシ サーバーまたはファイアウォール(あるいは両方)で、このトラフィックが許可されていることを確認してください。 互換性を破る変更: Kubernetes 1.28 以降、マルチクラウド API サービス エージェントのロールには、AWS プロジェクトに対する新しい
Iam:getinstanceprofile権限が必要になります。この権限は、クラスタ内仮想マシン インスタンスに接続されているインスタンス プロファイルの検査のためにマルチクラウド サービスによって使用されます。機能: 更新オペレーションが失敗した AWS ノードプールにロールバック サポートが追加されました。これにより、ユーザーはノードプールを元の状態に戻すことができます。
機能: エクスポートした Google サービス アカウント キーを使用せずに、限定公開の Google Artifact Registry と Google Container Registry からイメージを pull できるようになりました。イメージ pull 認証情報は Google によって管理され、自動的にローテーションされます。
機能: ほとんどの機能で Google IAM バインディングを明示的に追加する必要がなくなりました。
- クラスタを作成するときに
gke-system/gke-telemetry-agentのバインディングを追加する必要がなくなりました。 - Google Managed Service for Prometheus のマネージド データ収集を有効にする際に、
gmp-system/collectorやgmp-system/rule-evaluatorのバインディングを追加する必要がなくなりました。 - Binary Authorization を有効にするときに
gke-system/binauthz-agentのバインディングを追加する必要がなくなりました。
- クラスタを作成するときに
機能: AWS サージ アップデートの一般提供が開始されました。サージ アップデートを使用すると、ノードプールの更新の速度と停止を構成できます。AWS ノードプールでサージ設定を有効にして構成する方法について詳しくは、ノードプールのサージ アップデートの構成をご覧ください。
機能: Ubuntu 22.04 のカーネルを linux-aws 6.2 にアップグレードしました。
機能: AWS EC2 インスタンス(G5、I4g、M7a、M7g、M7i、R7g、R7i、R7iz)を使用してノードプールを作成できるようになりました。
バグの修正: 起動テンプレートの作成機能が改善されました。ユーザーが指定したタグは、インスタンスに伝播されます。
- この変更により、主に IAM ポリシールールへのサポートが強化されます。具体的には、関連する自動スケーリング グループ(ASG)でタグが伝播される場合でも、タグの伝播をサポートしていない起動テンプレートの使用を禁止するルールに対応します。
- これは、タグのチェックに関するユーザーの IAM ポリシーによっては、互換性を失う変更となる可能性があります。したがって、不適切な処理を行うとクラスタがデグレード状態になる可能性があるため、アップグレード プロセス中は注意が必要です。
- Anthos マルチクラウド API サービス エージェントのロールには、リソース
arn:aws:ec2:*:*:instance/*に対するアクションec2:CreateTagsが必要です。最新情報については、https://cloud.google.com/kubernetes-engine/multi-cloud/docs/aws/how-to/create-aws-iam-roles#create_service_agent_role をご覧ください。 - バージョン 1.28 用の使い捨てクラスタを作成し、IAM ポリシーが正しく機能することを確認してから 1.28 にアップグレードすることをおすすめします。
バグの修正: クラスタをバージョン 1.28 にアップグレードすると、以前のバージョン(1.25 以前)で作成され、関連性がなくなった古いリソースがクリーンアップされます。名前空間
gke-system内に次のリソースが存在する場合は削除されます。- DaemonSet
fluentbit-gke-windowsとgke-metrics-agent-windows - ConfigMap
fluentbit-gke-windows-configとgke-metrics-agent-windows-conf
- DaemonSet
バグの修正: Cloud Logging による Anthos clusters on AWS からのログの取り込みが強化されました。
- タイムスタンプの解析の問題を修正しました。
anthos-metadata-agentのエラーログに正しい重大度を割り当てました。
セキュリティに関する修正
- CVE-2023-3610 を修正しました。
- CVE-2023-3776 を修正しました。
- CVE-2023-3611 を修正しました。
- CVE-2023-5197 を修正しました。
- CVE-2023-39325 を修正しました。
- CVE-2023-4147 を修正しました。
- CVE-2022-1996 を修正しました。
- CVE-2023-47108 を修正しました
- CVE-2023-45142 を修正しました
- CVE-2023-29409 を修正しました。
- CVE-2023-3978 を修正しました。
- CVE-2023-39323 を修正しました。
Kubernetes 1.27
1.27.14-gke.1600
1.27.14-gke.1200
- セキュリティに関する修正:
- CVE-2024-6387 を修正しました
- CVE-2024-26583 を修正しました
- CVE-2024-26584 を修正しました
- CVE-2024-26585 を修正しました
- CVE-2023-52447 を修正しました
- CVE-2024-26809 を修正しました
- CVE-2024-26808 を修正しました
- CVE-2024-26924 を修正しました
- CVE-2024-26925 を修正しました
1.27.14-gke.700
- セキュリティに関する修正:
- CVE-2024-0985 を修正しました
1.27.13-gke.500
- セキュリティに関する修正:
- CVE-2023-52620 を修正しました。
- CVE-2024-1085 を修正しました。
- CVE-2024-26581 を修正しました。
1.27.12-gke.800
- バグの修正: クラスタ オートスケーラーの問題を修正し、ノードプールでユーザーが構成したラベルと taint が配慮されるようにしました。この機能強化により、ゼロノードからの正確なスケールアップが可能になり、クラスタのプロビジョニングの精度が向上します。この変更により、次の既知の問題が修正されます。
- セキュリティに関する修正:
- CVE-2020-29509 を修正しました。
- CVE-2020-29511 を修正しました。
- CVE-2020-29652 を修正しました。
- CVE-2021-29923 を修正しました。
- CVE-2021-3121 を修正しました。
- CVE-2021-31525 を修正しました。
- CVE-2021-33195 を修正しました。
- CVE-2021-33196 を修正しました。
- CVE-2021-33197 を修正しました。
- CVE-2021-33198 を修正しました。
- CVE-2021-34558 を修正しました。
- CVE-2021-36221 を修正しました。
- CVE-2021-38297 を修正しました。
- CVE-2021-38561 を修正しました。
- CVE-2021-39293 を修正しました。
- CVE-2021-41771 を修正しました。
- CVE-2021-41772 を修正しました。
- CVE-2021-43565 を修正しました。
- CVE-2021-44716 を修正しました。
- CVE-2022-1705 を修正しました。
- CVE-2022-1962 を修正しました。
- CVE-2022-21698 を修正しました。
- CVE-2022-23772 を修正しました。
- CVE-2022-23773 を修正しました。
- CVE-2022-23806 を修正しました。
- CVE-2022-24675 を修正しました。
- CVE-2022-24921 を修正しました。
- CVE-2022-27664 を修正しました。
- CVE-2022-28131 を修正しました。
- CVE-2022-28327 を修正しました。
- CVE-2022-2879 を修正しました。
- CVE-2022-2880 を修正しました。
- CVE-2022-29526 を修正しました。
- CVE-2022-30580 を修正しました。
- CVE-2022-30629 を修正しました。
- CVE-2022-30630 を修正しました。
- CVE-2022-30631 を修正しました。
- CVE-2022-30632 を修正しました。
- CVE-2022-30633 を修正しました。
- CVE-2022-30635 を修正しました。
- CVE-2022-32148 を修正しました。
- CVE-2022-32149 を修正しました。
- CVE-2022-32189 を修正しました。
- CVE-2022-41715 を修正しました。
- CVE-2022-41717 を修正しました。
1.27.11-gke.1600
- バグの修正: Instance Metadata Service(IMDS)エミュレータがノードの IP アドレスにバインドできないことがある問題を修正しました。IMDS エミュレータにより、ノードは AWS EC2 インスタンス メタデータに安全にアクセスできます。
1.27.10-gke.500
- バグの修正:
- runc でのファイル記述漏えいのバグ(CVE-2024-21626)を修正しました。
- セキュリティに関する修正:
- CVE-2023-39323 を修正しました。
- CVE-2023-39325 を修正しました。
- CVE-2023-39326 を修正しました。
- CVE-2023-3978 を修正しました。
- CVE-2023-44487 を修正しました。
- CVE-2023-45142 を修正しました。
- CVE-2023-45285 を修正しました。
- CVE-2023-48795 を修正しました。
- CVE-2024-0193 を修正しました。
- CVE-2023-6932 を修正しました。
- CVE-2023-6931 を修正しました。
- CVE-2024-0193 を修正しました。
- CVE-2023-6817 を修正しました。
1.27.9-gke.100
- セキュリティに関する修正
- CVE-2023-5363 を修正しました。
- CVE-2023-47038 を修正しました。
- CVE-2023-5981 を修正しました。
- CVE-2023-2975 を修正しました。
- CVE-2023-40217 を修正しました。
- CVE-2023-29002 を修正しました。
- CVE-2023-38545 を修正しました。
- CVE-2023-28321 を修正しました。
- CVE-2023-0464 を修正しました。
- CVE-2023-1255 を修正しました。
- CVE-2023-41332 を修正しました。
- CVE-2023-0465 を修正しました。
- CVE-2023-4016 を修正しました。
- CVE-2022-29458 を修正しました。
- CVE-2022-3996 を修正しました。
- CVE-2023-2602 を修正しました。
- CVE-2023-38546 を修正しました。
- CVE-2023-34242 を修正しました。
- CVE-2023-0466 を修正しました。
- CVE-2022-48522 を修正しました。
- CVE-2023-28322 を修正しました。
- CVE-2023-30851 を修正しました。
- CVE-2023-2283 を修正しました。
- CVE-2023-27594 を修正しました。
- CVE-2023-2603 を修正しました。
- CVE-2023-27593 を修正しました。
- CVE-2023-5156 を修正しました。
- CVE-2023-39347 を修正しました。
- CVE-2023-1667 を修正しました。
- CVE-2023-2650 を修正しました。
- CVE-2023-31484 を修正しました。
- CVE-2023-27595 を修正しました。
- CVE-2023-41333 を修正しました。
- CVE-2023-5869 を修正しました。
- CVE-2023-39417 を修正しました。
- CVE-2023-5868 を修正しました。
- CVE-2023-5870 を修正しました。
- GHSA-6xv5-86q9-7xr8 を修正しました。
1.27.7-gke.600
機能: G5 AWS EC2 インスタンスを使用してノードプールを作成できるようになりました。
バグの修正: Cloud Logging による Anthos clusters on AWS からのログの取り込みが強化されました。
- タイムスタンプの解析の問題を修正しました。
anthos-metadata-agentのエラーログに正しい重大度を割り当てました。
セキュリティに関する修正
- CVE-2023-5197 を修正しました。
- CVE-2023-44487 を修正しました。
- CVE-2023-39325 を修正しました。
- CVE-2023-4147 を修正しました。
- CVE-2022-1996 を修正しました。
1.27.6-gke.700
- セキュリティに関する修正
- CVE-2015-3276 を修正しました。
- CVE-2022-29155 を修正しました。
1.27.5-gke.200
機能: Ubuntu 22.04 は linux-aws 6.2 カーネル バージョンを使用するようになりました。
セキュリティに関する修正
- CVE-2023-3610 を修正しました。
- CVE-2023-3776 を修正しました。
- CVE-2023-3611 を修正しました。
1.27.4-gke.1600
Kubernetes OSS リリースノート* 非推奨: 未認証の kubelet 読み取り専用ポート 10255 を無効にしました。ノードプールをバージョン 1.27 にアップグレードすると、そのノードプールで実行されているワークロードは、ポート 10255 に接続できなくなります。
- 機能: AWS サージ アップデート機能を、プレビュー モードで使用できるようになりました。サージ アップデートを使用すると、ノードプールの更新の速度と停止を構成できます。プレビューを有効にするには、担当のアカウント チームまでお問い合わせください。
- 機能: EBS CSI ドライバを v1.20.0 にアップグレードしました。
- 機能: EFS CSI ドライバを v1.5.7 にアップグレードしました。
機能:
snapshot-controllerとcsi-snapshot-validation-webhookを v6.2.2 にアップグレードしました。この新しいバージョンには、API に対する重要な変更が導入されています。具体的には、VolumeSnapshot、VolumeSnapshotContents、VolumeSnapshotClassの v1beta1 API は使用できなくなりました。機能: 作成および更新用の API で新しい
admin-groupsフラグのサポートを追加しました。このフラグにより、リスト化されたグループをクラスタ管理者として速やかに、かつ簡単に認証できるようになり、RBAC ポリシーを手動で作成して適用する必要がなくなります。機能: Binary Authorization が追加されました。これは、信頼できるコンテナ イメージのみがデプロイされるようにする、デプロイ時のセキュリティ コントロールです。Binary Authorization を使用すると、開発プロセス中に信頼できる機関によるイメージへの署名を必須にして、デプロイ時にその署名を検証できます。検証プロセスを適用することで、適切であると認められたイメージのみがビルドとリリースのプロセスに組み込まれるため、コンテナの環境をより厳密に管理できます。クラスタで Binary Authorization を有効にする方法の詳細については、Binary Authorization を有効にする方法をご覧ください。
機能:
fluent-bit(ログプロセッサとフォワーダー)、gke-metrics-agent(指標コレクタ)、audit-proxy(監査ログプロキシ)の gzip 圧縮を有効にしました。fluent-bitは、Cloud Logging に送信する前にコントロール プレーンとワークロードの両方からのログデータを圧縮します。gke-metrics-agentは、Cloud Monitoring に送信する前にコントロール プレーンとワークロードの両方からの指標データを圧縮します。audit-proxyは、監査ログデータを圧縮した後 Audit Logging に送信します。これにより、ネットワーク帯域幅とコストが削減されます。機能: AWS SPOT ノードプールの作成が GA になりました。
機能: ノードの自動修復が一般提供になりました。
機能: Cloud Storage からダウンロードされたバイナリ アーティファクトの整合性チェックとフィンガープリント検証を追加することで、セキュリティを改善しました。
機能: 削除 API に
ignore_errorsオプションを追加し、IAM ロールを誤って削除した場合は、リソースを手動で削除した場合に、クラスタやノードプールが削除できなくなることに対応できるようにしました。?ignore_errors=trueをDELETEリクエスト URL に追加することで、ユーザーがクラスタやノードプールを強制的に削除できるようになりました。ただし、この方法では AWS や Azure にリソースが取り残され、手動によるクリーンアップが必要になることがあります。機能: コントロール プレーンでの
etcdとetcd-eventsの定期的な自動デフラグのサポートを追加しました。この機能により、不要なディスク ストレージが減り、ディスク ストレージの問題でetcdとコントロール プレーンが使用不能にならないようにすることができます。機能:
kubernetes.io/ではなくkubernetes.io/anthos/の指標接頭辞を使用するように、Kubernetes リソース指標の指標名を変更しました。詳細については、指標のリファレンス ドキュメントをご覧ください。機能: 安定性を改善するために、新しいクラスタでデフォルトの etcd バージョンを v3.4.21 に変更しました。このバージョンにアップグレードされた既存のクラスタは、etcd v3.5.6 を使用します。
機能: kubelet のリソースを予約することで、ノードリソースの管理を改善しました。この機能は、システムと Kubernetes プロセスに必要なリソースを確保することで、メモリ不足(OOM)エラーを防ぐために不可欠ですが、ワークロードの中断につながる可能性があります。kubelet のリソースの予約は、Pod で使用可能なリソースに影響を与えることがあり、既存のワークロードを処理する小規模なノードの容量に影響を与える可能性があります。この新機能を有効にしても、小規模なノードが引き続きワークロードをサポートできることを確認する必要があります。
- 予約済みメモリの割合は次のとおりです。
- メモリが 1 GB 未満のマシンの場合: 255 MiB
- 最初の 4 GB のメモリの 25%
- 次の 4 GB の 20%
- 次の 8 GB の 10%
- 次の 112 GB の 6%
- 128 GB を超えるメモリの 2%
- 予約済み CPU の割合は次のとおりです。
- 最初のコアの 6%
- 次のコアの 1%
- 次の 2 コアの 0.5%
- 4 コアを超えるコアの 0.25%
バグの修正
- クラスタ オートスケーラーを有効にして、異なるアベイラビリティ ゾーンにノードを分散できるようになりました。これは
--balance-similar-node-groupsフラグを使用することで実現できます。
- クラスタ オートスケーラーを有効にして、異なるアベイラビリティ ゾーンにノードを分散できるようになりました。これは
セキュリティに関する修正
- CVE-2021-43565 を修正しました。
- CVE-2022-3821 を修正しました。
- CVE-2022-4415 を修正しました。
- CVE-2022-21698 を修正しました。
- CVE-2022-41723. を修正しました
- CVE-2022-41725. を修正しました
- CVE-2023-24539 を修正しました。
- CVE-2023-24540 を修正しました。
- CVE-2023-29400 を修正しました。
Kubernetes 1.26
1.26.14-gke.1500
- バグの修正: Instance Metadata Service(IMDS)エミュレータがノードの IP アドレスにバインドできないことがある問題を修正しました。IMDS エミュレータにより、ノードは AWS EC2 インスタンス メタデータに安全にアクセスできます。
1.26.13-gke.400
- バグの修正:
- runc でのファイル記述漏えいのバグ(CVE-2024-21626)を修正しました。
- セキュリティに関する修正:
- CVE-2021-43565 を修正しました。
- CVE-2022-21698 を修正しました。
- CVE-2022-27191 を修正しました。
- CVE-2022-28948 を修正しました。
- CVE-2023-39318 を修正しました。
- CVE-2023-39319 を修正しました。
- CVE-2023-39323 を修正しました。
- CVE-2023-39325 を修正しました。
- CVE-2023-39326 を修正しました。
- CVE-2023-3978 を修正しました。
- CVE-2023-44487 を修正しました。
- CVE-2023-45142 を修正しました。
- CVE-2023-45285 を修正しました。
- CVE-2023-47108 を修正しました。
- CVE-2023-48795 を修正しました。
- CVE-2024-0193 を修正しました。
- CVE-2023-6932 を修正しました。
- CVE-2023-6931 を修正しました。
- CVE-2024-0193 を修正しました。
- CVE-2023-6817 を修正しました。
1.26.12-gke.100
- セキュリティに関する修正
- CVE-2023-5363 を修正しました。
- CVE-2023-47038 を修正しました。
- CVE-2023-5981 を修正しました。
- CVE-2023-2975 を修正しました。
- CVE-2023-4527 を修正しました。
- CVE-2023-29002 を修正しました。
- CVE-2023-38545 を修正しました。
- CVE-2023-28321 を修正しました。
- CVE-2023-0464 を修正しました。
- CVE-2023-1255 を修正しました。
- CVE-2023-41332 を修正しました。
- CVE-2023-0465 を修正しました。
- CVE-2023-4016 を修正しました。
- CVE-2022-29458 を修正しました。
- CVE-2022-3996 を修正しました。
- CVE-2023-2602 を修正しました。
- CVE-2023-38546 を修正しました。
- CVE-2023-34242 を修正しました。
- CVE-2023-0466 を修正しました。
- CVE-2022-48522 を修正しました。
- CVE-2023-28322 を修正しました。
- CVE-2023-30851 を修正しました。
- CVE-2023-2283 を修正しました。
- CVE-2023-27594 を修正しました。
- CVE-2023-2603 を修正しました。
- CVE-2023-27593 を修正しました。
- CVE-2023-5156 を修正しました。
- CVE-2023-39347 を修正しました。
- CVE-2023-1667 を修正しました。
- CVE-2023-2650 を修正しました。
- CVE-2023-31484 を修正しました。
- CVE-2023-27595 を修正しました。
- CVE-2023-41333 を修正しました。
- CVE-2023-5869 を修正しました。
- CVE-2023-39417 を修正しました。
- CVE-2023-5868 を修正しました。
- CVE-2023-5870 を修正しました。
1.26.10-gke.600
機能: G5 AWS EC2 インスタンスを使用してノードプールを作成できるようになりました。
バグの修正: Elastic File System(EFS)Container Storage Interface(CSI)ドライバ
aws-efs-csi-driverをバージョン v1.3.8-gke.21 にアップグレードしました。バグの修正: Cloud Logging による Anthos clusters on AWS からのログの取り込みが強化されました。
- タイムスタンプの解析の問題を修正しました。
anthos-metadata-agentのエラーログに正しい重大度を割り当てました。
セキュリティに関する修正
- CVE-2023-5197 を修正しました。
- CVE-2023-44487 を修正しました。
- CVE-2023-39325 を修正しました。
- CVE-2023-4147 を修正しました。
- CVE-2022-1996 を修正しました。
1.26.9-gke.700
- セキュリティに関する修正
- CVE-2015-3276 を修正しました。
- CVE-2022-29155 を修正しました。
1.26.8-gke.200
機能: Ubuntu 22.04 は linux-aws 6.2 カーネル バージョンを使用するようになりました。
セキュリティに関する修正
- CVE-2023-3610 を修正しました。
- CVE-2023-3776 を修正しました。
- CVE-2023-3611 を修正しました。
1.26.7-gke.500
- セキュリティに関する修正
- CVE-2022-3821 を修正しました。
- CVE-2022-4415 を修正しました。
1.26.5-gke.1400
- セキュリティに関する修正
- CVE-2022-27664 を修正しました
- CVE-2022-32149 を修正しました
- CVE-2022-41723 を修正しました
- CVE-2023-24534 を修正しました
- CVE-2023-24536 を修正しました
- CVE-2023-24537 を修正しました
- CVE-2023-24538 を修正しました。
1.26.5-gke.1200
- バグの修正
- --balance-similar-node-groups を使用して、アベイラビリティ ゾーン全体でノード数を分散するようにクラスタ オートスケーラーを構成します。
1.26.4-gke.2200
Kubernetes OSS リリースノート * 機能: Ubuntu 22.04 では linux-aws 5.19 カーネルを使用します。
バグの修正
- Kubernetes で、サポートが終了したアノテーション volume.beta.kubernetes.io/storage-class を持つ PersistentVolumeClaim にデフォルトの StorageClass が誤って適用される問題を修正しました。
- Logging エージェントが、メモリを大量に消費するようになる問題を修正しました。
セキュリティに関する修正
- ネットワーク接続をモニタリングする netfilter 接続トラッキング(conntrack)に悪影響を与える問題を修正しました。この修正により、conntrack テーブルに新しい接続が適切に挿入されます。また、Linux カーネル バージョン 5.15 以降に加えられた変更に起因する制限が解消されます。
1.26.2-gke.1001
既知の問題: Kubernetes 1.26.2 では、非推奨のアノテーション
volume.beta.kubernetes.io/storage-classを持つ PersistentVolumeClaim にデフォルトの StorageClass が誤って適用されます。機能: OS イメージを Ubuntu 22.04 に更新しました。これにより、デフォルトのコントロール グループ構成として
cgroupv2が使用されるようになりました。- Ubuntu 22.04 はデフォルトで
cgroupv2を使用します。cgroupファイル システムにアクセスするアプリケーションがあるかどうかを確認することをおすすめします。アクセスしている場合は、cgroupv2を使用するように更新する必要があります。cgroupv2との互換性を確保するために更新が必要になる可能性のあるアプリの例を以下に示します。 cgroupファイル システムに依存するサードパーティのモニタリング エージェントとセキュリティ エージェント。cAdvisorが Pod とコンテナをモニタリングするためのスタンドアロンの DaemonSet として使用されている場合は、バージョン v0.43.0 以降に更新する必要があります。- JDK を使用している場合は、バージョン 11.0.16 以降またはバージョン 15 以降を使用することをおすすめします。これらのバージョンは
cgroupv2を完全にサポートしています。 - uber-go/automaxprocs パッケージを使用している場合は、バージョン v1.5.1 以降を使用してください。
- Ubuntu 22.04 で、
timesyncdパッケージが削除されました。代わりに、Amazon Time Sync Service にchronyが使用されるようになりました。 - 詳細については、Ubuntu のリリースノートをご覧ください。
- Ubuntu 22.04 はデフォルトで
機能: コントロール プレーン コンポーネントの指標を Cloud Monitoring に送信します。これには、kube-apiserver、etcd、kube-scheduler、kube-controller-manager の Prometheus 指標のサブセットが含まれます。指標名には接頭辞
kubernetes.io/anthos/を使用します。機能: Kubernetes リソース メタデータを Google Cloud Platform に送信できるようになりました。これにより、ユーザー インターフェースとクラスタ指標の両方が改善されます。メタデータを正しく取り込むには、お客様が
Config Monitoring for OpsAPI を有効にする必要があります。この API は、Google Cloud コンソールで有効にするか、gcloud CLI でopsconfigmonitoring.googleapis.comAPI を手動で有効にすることもできます。さらに、ユーザーは Cloud Logging/Monitoring の承認ドキュメントで説明されている手順に沿って、必要な IAM バインディングを追加する必要があります。その場合は、プロキシの許可リストにopsconfigmonitoring.googleapis.comを追加します。機能: Spot AWS ノードプールを作成するためのプレビュー機能を追加しました。
機能: ARM ベース(Graviton)インスタンス タイプを使用したノードプールの作成が一般提供になりました。
機能: kubelet のグレースフル ノード シャットダウンが有効になりました。システム Pod 以外の Pod には 15 秒の猶予があります。その後、システム Pod(優先順位が
system-cluster-criticalまたはsystem-node-critical)に、正常に終了するために 15 秒の猶予があります。機能: プレビュー モードでノードの自動修復機能を有効にしました。プレビューを有効にするには、担当のアカウント チームまでお問い合わせください。
機能: 動的に作成された EFS アクセス ポイント リソースにタグを追加しました。
機能: クラスタに、VPC 全体のルールではなく、ノードプールごとのサブネット セキュリティ グループ ルールが適用されるようになりました。
- 以前のコントロール プレーンでは、ノードプールで使用されるポート TCP/443 と TCP/8123 で、VPC のプライマリ IP 範囲全体からのインバウンド トラフィックを許可していました。
- 現在のコントロール プレーンは、ポート TCP/443 と TCP/8123 でノードプール サブネットの各 IP 範囲に許可されるインバウンド トラフィックを制限します。また、複数のノードプールで 1 つのサブネットを共有できます。
- この変更により、VPC のプライマリ IP 範囲の外部で実行されるノードプールがサポートされ、コントロール プレーンのセキュリティが向上します。
- クラスタ外部からのトラフィック(kubectl の踏み台インスタンスからなど)を許可するために VPC 全体のセキュリティ グループ ルールに依存している場合は、アップグレードの一環としてセキュリティ グループを作成し、VPC 全体のルールをそれに追加して、そのセキュリティ グループをコントロール プレーンに接続する必要があります(AwsCluster.controlPlane.securityGroupIds フィールドを使用します)。
バグの修正: 新しく作成されたクラスタでは、安定性を高めるため、etcd v3.4.21 を使用するようになりました。以前のバージョンの既存のクラスタはすでに etcd v3.5.x を使用しており、クラスタのアップグレード時に v3.4.21 へダウングレードされることはありません。こうしたクラスタでは、代わりに v3.5.6 が使用されます。
セキュリティ修正: IMDS エミュレータ レスポンスのホップ上限を 1 に設定しました。これにより、エミュレータとワークロード間の IMDS データの通信が保護されます。
Kubernetes 1.25
1.25.14-gke.700
- セキュリティに関する修正
- CVE-2015-3276 を修正しました。
- CVE-2022-29155 を修正しました。
1.25.13-gke.200
- セキュリティに関する修正
- CVE-2023-3610 を修正しました。
- CVE-2023-3776 を修正しました。
- CVE-2023-3611 を修正しました。
1.25.12-gke.500
Kubernetes OSS リリースノート * 機能: ノードプールから収集する指標のリストを拡張し、gke-metrics-agent、cilium-agent、cilium-operator、coredns、fluentbit-gke、kubelet、konnectivity-agent を追加しました。
- セキュリティに関する修正
- CVE-2022-3821 を修正しました。
- CVE-2022-4415 を修正しました。
- CVE-2022-29458 を修正しました。
- CVE-2023-0464 を修正しました。
- CVE-2023-0465 を修正しました。
- CVE-2023-0466 を修正しました。
- CVE-2023-2650 を修正しました。
1.25.10-gke.1400
- セキュリティに関する修正
- CVE-2022-27664 を修正しました
- CVE-2022-32149 を修正しました。
- CVE-2023-29491 を修正しました。
- CVE-2023-31484 を修正しました。
1.25.10-gke.1200
- バグの修正
- --balance-similar-node-groups を使用して、アベイラビリティ ゾーン全体でノード数を分散するようにクラスタ オートスケーラーを構成します。
- セキュリティに関する修正
- ノードプールの指標エージェントと指標サーバーを、認証済みの kubelet ポートに移行しました。
1.25.8-gke.500
バグの修正
- Logging エージェントが、メモリを大量に消費するようになる問題を修正しました。
セキュリティに関する修正
- CVE-2023-1872 を修正しました。
1.25.7-gke.1000
機能: 動的に作成された EFS アクセス ポイント リソースにタグを追加しました。
バグの修正: 新しく作成されたクラスタでは、安定性を高めるため、etcd v3.4.21 を使用するようになりました。以前のバージョンの既存のクラスタはすでに etcd v3.5.x を使用しており、クラスタのアップグレード時に v3.4.21 へダウングレードされることはありません。こうしたクラスタでは、代わりに v3.5.6 が使用されます。
1.25.6-gke.1600
バグの修正: 特定のタイプの検証用アドミッション Webhook が登録されている場合、クラスタのアップグレードに失敗することがある問題を修正しました。
セキュリティに関する修正
- CVE-2023-25153 を修正しました。
- CVE-2023-25173 を修正しました。
- CVE-2023-0286 を修正しました。
- CVE-2022-4450 を修正しました。
- CVE-2023-0215 を修正しました。
- CVE-2022-2097 を修正しました。
- CVE-2022-4304 を修正しました。
- CVE-2023-0461 を修正しました。
1.25.5-gke.2000
Kubernetes OSS リリースノート* 機能: Anthos Identity Service を更新し、同時認証 Webhook リクエストをより適切に処理するようにしました。
- バグの修正: クラスタの作成 / 更新オペレーション中に特定のエラーが伝播されず、レポートされない問題を修正しました。
- バグの修正: AWS VPC がカスタム DNS サーバーを使用するように構成されている場合に EFS ホスト名を解決できない AWS EFS CSI ドライバの問題を修正しました。
バグの修正: エンドユーザーの権限を借用できず Anthos Service Mesh ダッシュボードでの認証が失敗する問題を修正しました。
セキュリティに関する修正
- CVE-2022-2097 を修正しました。
- CVE-2022-42898 を修正しました。
1.25.5-gke.1500
既知の問題: Google Cloud コンソールの一部の UI サーフェスでクラスタの認証ができず、クラスタが到達不能と表示されることがあります。この問題を回避するには、ユーザーの権限借用を許可する RBAC を手動で適用してください。詳しくは、トラブルシューティングをご覧ください。
セキュリティに関する修正
- CVE-2022-23471 を修正しました。
- CVE-2021-46848 を修正しました。
- CVE-2022-42898 を修正しました。
1.25.4-gke.1300
既知の問題: Google Cloud コンソールの一部の UI サーフェスでクラスタの認証ができず、クラスタが到達不能と表示されることがあります。この問題を回避するには、ユーザーの権限借用を許可する RBAC を手動で適用してください。詳しくは、トラブルシューティングをご覧ください。
非推奨: 非推奨の in-tree Volume プラグイン flocker、guobyte、storageos を削除しました。
機能: クラスタのコントロール プレーン VM で実行される静的 Pod を、root 以外の Linux ユーザーとして実行するように制限することで、セキュリティを強化しました。
機能: AWS ノードプールのセキュリティ グループを動的に更新するためのサポートを追加しました。セキュリティ グループを更新するには、API ロールに次の権限が必要です。
ec2:ModifyInstanceAttributeec2:DescribeInstances
機能: AWS ノードプール タグを動的に更新するためのサポートを追加しました。ノードプールのタグを更新するには、API ロールに次の権限が必要です。
autoscaling:CreateOrUpdateTagsautoscaling:DeleteTagsec2:CreateTagsec2:DeleteTagsec2:DescribeLaunchTemplates
機能: バージョン 1.25 以降のクラスタで、EFS 動的プロビジョニングが一般提供され、利用できるようになりました。この機能を使用するには、以下の権限をコントロール プレーンのロールに追加する必要があります。
ec2:DescribeAvailabilityZoneselasticfilesystem:DescribeAccessPointselasticfilesystem:DescribeFileSystemselasticfilesystem:DescribeMountTargetselasticfilesystem:CreateAccessPointelasticfilesystem:DeleteAccessPoint
機能: マネージド収集で Google Managed Service for Prometheus を使用した、Cloud Monarch へのワークロード指標のアップロードが一般提供で利用可能になりました。
機能: AWS ノードプールの自動スケーリング グループで CloudWatch 指標の収集を有効にして更新するサポートを追加しました。API の作成または更新を介して指標の収集を有効化または更新するには、API ロールに次の権限を追加する必要があります。
autoscaling:EnableMetricsCollectionautoscaling:DisableMetricsCollection
機能: Azure AD GA。この機能を使用すると、クラスタ管理者は Azure AD グループに基づいて RBAC ポリシーを構成し、クラスタで認証できます。これにより、200 を超えるグループに属するユーザーのグループ情報を取得できるため、ID プロバイダとして Azure AD を構成した通常の OIDC の制限を解消できます。
機能: サービス アカウント署名鍵を使用して、コントロール プレーン コンポーネント用のトークンを生成する新しいトークン マネージャー(gke-token-manager)を追加しました。メリット:
- コントロール プレーン コンポーネントが Google サービスに対して認証を行うため、kube-apiserver への依存関係がなくなります。これまでは、コントロール プレーン コンポーネントは TokenRequest API を使用し、正常な kube-apiserver に依存していました。現在は gke-token-manager コンポーネントがサービス アカウント署名鍵を使用して、トークンを直接作成します。
- コントロール プレーン コンポーネントのトークン生成に対する RBAC が不要になります。
- ロギングと kube-apiserver が分離されます。kube-apiserver の起動前にロギングが取り込まれるようになります。
- コントロール プレーンの復元力が向上します。kube-apiserver が動作していない場合は、コントロール プレーン コンポーネントがトークンを取得して引き続き機能します。
機能: プレビュー機能として、kube-apiserver、etcd、kube-scheduler、kube-controller-manager などのコントロール プレーン コンポーネントから Cloud Monitoring にさまざまな指標を取り込みます。
機能: Google グループ内のユーザーは、グループに必要な RBAC 権限を付与することで、Connect ゲートウェイを使用して AWS クラスタにアクセスできます。詳細については、Google グループで Connect ゲートウェイを設定するをご覧ください。
バグの修正: クラスタのアップグレード後に古いバージョンの
gke-connect-agentが削除されない問題を修正しました。セキュリティに関する修正
- CVE-2020-16156 を修正しました。
- CVE-2021-3671 を修正しました。
- CVE-2021-4037 を修正しました。
- CVE-2021-43618 を修正しました。
- CVE-2022-0171 を修正しました。
- CVE-2022-1184 を修正しました。
- CVE-2022-20421 を修正しました。
- CVE-2022-2602 を修正しました。
- CVE-2022-2663 を修正しました。
- CVE-2022-2978 を修正しました。
- CVE-2022-3061 を修正しました。
- CVE-2022-3116 を修正しました。
- CVE-2022-3176 を修正しました。
- CVE-2022-32221 を修正しました。
- CVE-2022-3303 を修正しました。
- CVE-2022-35737 を修正しました。
- CVE-2022-3586 を修正しました。
- CVE-2022-3621 を修正しました。
- CVE-2022-3646 を修正しました。
- CVE-2022-3649 を修正しました。
- CVE-2022-37434 を修正しました。
- CVE-2022-3903 を修正しました。
- CVE-2022-39188 を修正しました。
- CVE-2022-39842 を修正しました。
- CVE-2022-40303 を修正しました。
- CVE-2022-40304 を修正しました。
- CVE-2022-40307 を修正しました。
- CVE-2022-40768 を修正しました。
- CVE-2022-4095 を修正しました。
- CVE-2022-41674 を修正しました。
- CVE-2022-41916 を修正しました。
- CVE-2022-42010 を修正しました。
- CVE-2022-42011 を修正しました。
- CVE-2022-42012 を修正しました。
- CVE-2022-42719 を修正しました。
- CVE-2022-42720 を修正しました。
- CVE-2022-42721 を修正しました。
- CVE-2022-42722 を修正しました。
- CVE-2022-43680 を修正しました。
- CVE-2022-43750 を修正しました。
- CVE-2022-44638 を修正しました。
Kubernetes 1.24
1.24.14-gke.2700
- セキュリティに関する修正
- CVE-2022-28321 を修正しました。
- CVE-2022-44640 を修正しました。
1.24.14-gke.1400
- バグの修正
- --balance-similar-node-groups を使用して、アベイラビリティ ゾーン全体でノード数を分散するようにクラスタ オートスケーラーを構成します。
1.24.13-gke.500
バグの修正
- Logging エージェントが、メモリを大量に消費するようになる問題を修正しました。
セキュリティに関する修正
- CVE-2023-1872 を修正しました。
1.24.11-gke.1000
- バグの修正: 新しく作成されたクラスタでは、安定性を高めるため、etcd v3.4.21 を使用するようになりました。以前のバージョンの既存のクラスタはすでに etcd v3.5.x を使用しており、クラスタのアップグレード時に v3.4.21 へダウングレードされることはありません。こうしたクラスタでは、代わりに v3.5.6 が使用されます。
1.24.10-gke.1200
- バグの修正: 特定のタイプの検証用アドミッション Webhook が登録されている場合、クラスタのアップグレードに失敗することがある問題を修正しました。
- バグの修正: リクエストが NodePort と LoadBalancer タイプの Service に転送されるときに、トンネル ヘッダーで ID が適切に渡されるように、Cilium セキュリティ ID の伝播を修正しました。
- セキュリティに関する修正
- CVE-2023-25153 を修正しました。
- CVE-2023-25173 を修正しました。
- CVE-2023-0286 を修正しました。
- CVE-2022-4450 を修正しました。
- CVE-2023-0215 を修正しました。
- CVE-2022-2097 を修正しました。
- CVE-2022-4304 を修正しました。
- CVE-2023-0461 を修正しました。
1.24.9-gke.2000
機能: Anthos Identity Service を更新し、同時認証 Webhook リクエストをより適切に処理するようにしました。
バグの修正: クラスタの作成 / 更新オペレーション中に特定のエラーが伝播されず、レポートされない問題を修正しました。
セキュリティに関する修正
- CVE-2022-2097 を修正しました。
- CVE-2022-42898 を修正しました。
1.24.9-gke.1500
- セキュリティに関する修正
- CVE-2022-23471 を修正しました。
- CVE-2021-46848 を修正しました。
- CVE-2022-42898 を修正しました。
1.24.8-gke.1300
機能: Azure AD GA。この機能を使用すると、クラスタ管理者は Azure AD グループに基づいて RBAC ポリシーを構成し、クラスタで認証できます。これにより、200 を超えるグループに属するユーザーのグループ情報を取得できるため、ID プロバイダとして Azure AD を構成した通常の OIDC の制限を解消できます。
セキュリティに関する修正
- CVE-2020-16156 を修正しました。
- CVE-2021-3671 を修正しました。
- CVE-2021-4037 を修正しました。
- CVE-2021-43618 を修正しました。
- CVE-2022-0171 を修正しました。
- CVE-2022-1184 を修正しました。
- CVE-2022-20421 を修正しました。
- CVE-2022-2602 を修正しました。
- CVE-2022-2663 を修正しました。
- CVE-2022-2978 を修正しました。
- CVE-2022-3061 を修正しました。
- CVE-2022-3116 を修正しました。
- CVE-2022-3176 を修正しました。
- CVE-2022-32221 を修正しました。
- CVE-2022-3303 を修正しました。
- CVE-2022-3586 を修正しました。
- CVE-2022-3621 を修正しました。
- CVE-2022-3646 を修正しました。
- CVE-2022-3649 を修正しました。
- CVE-2022-37434 を修正しました。
- CVE-2022-3903 を修正しました。
- CVE-2022-39188 を修正しました。
- CVE-2022-39842 を修正しました。
- CVE-2022-40303 を修正しました。
- CVE-2022-40304 を修正しました。
- CVE-2022-40307 を修正しました。
- CVE-2022-40768 を修正しました。
- CVE-2022-4095 を修正しました。
- CVE-2022-41674 を修正しました。
- CVE-2022-42010 を修正しました。
- CVE-2022-42011 を修正しました。
- CVE-2022-42012 を修正しました。
- CVE-2022-42719 を修正しました。
- CVE-2022-42720 を修正しました。
- CVE-2022-42721 を修正しました。
- CVE-2022-42722 を修正しました。
- CVE-2022-43680 を修正しました。
- CVE-2022-43750 を修正しました。
- CVE-2022-44638 を修正しました。
1.24.5-gke.200
機能: ASM をサポートするために nodepool に
iptablesを追加しました。セキュリティに関する修正
- CVE-2022-40674 を修正しました。
- CVE-2021-3999 を修正しました。
- CVE-2022-1679 を修正しました。
- CVE-2022-2795 を修正しました。
- CVE-2022-3028 を修正しました。
- CVE-2022-38177 を修正しました。
- CVE-2022-38178 を修正しました。
- CVE-2021-3502 を修正しました。
- CVE-2021-44648 を修正しました。
- CVE-2021-46829 を修正しました。
- CVE-2022-2905 を修正しました。
- CVE-2022-3080 を修正しました。
- CVE-2022-35252 を修正しました。
- CVE-2022-39190 を修正しました。
- CVE-2022-41222 を修正しました。
- CVE-2020-8287 を修正しました。
- CVE-2022-1184 を修正しました。
- CVE-2022-1586 を修正しました。
- CVE-2022-1587 を修正しました。
- CVE-2022-2153 を修正しました。
- CVE-2022-39188 を修正しました。
- CVE-2022-20422 を修正しました。
- CVE-2021-3999 を修正しました。
- CVE-2022-1586 を修正しました。
- CVE-2022-1587 を修正しました。
- CVE-2022-35252 を修正しました。
- CVE-2020-35525 を修正しました。
- CVE-2020-35527 を修正しました。
- CVE-2021-20223 を修正しました。
- CVE-2022-40674 を修正しました。
- CVE-2022-37434 を修正しました。
- CVE-2021-46828 を修正しました。
- CVE-2021-3999 を修正しました。
- CVE-2022-2509 を修正しました。
- CVE-2022-1586 を修正しました。
- CVE-2022-1587 を修正しました。
- CVE-2022-40674 を修正しました。
- CVE-2022-37434 を修正しました。
- CVE-2021-3999 を修正しました。
- CVE-2022-1587 を修正しました。
- CVE-2022-1586 を修正しました。
1.24.3-gke.2200
- バグの修正: タイプが LoadBalancer で、アノテーション
service.beta.kubernetes.io/aws-load-balancer-type: nlbを持つ Kubernetes Service リソースを作成すると、空のターゲット グループが残る問題を修正しました。https://github.com/kubernetes/cloud-provider-aws/issues/301 をご覧ください。
1.24.3-gke.2100
- 機能: Windows ノードプール用に、Google Cloud Monitoring に Kubernetes リソース指標をアップロードします。
- 機能: IMDS エミュレータを簡単に挿入できる webhook を提供しました。
- 機能: go1.18 では、デフォルトで SHA-1 ハッシュ アルゴリズムで署名された証明書を受け付けなくなりました。1.24 のデフォルトでは、こうした安全でない証明書を使用するアドミッション / 変換 Webhook や集約されたサーバー エンドポイントは機能しなくなります。一時的な回避策として、Anthos on AWS クラスタには環境変数 GODEBUG=x509sha1=1 が設定されており、こうした安全でない証明書が引き続き機能できます。ただし、Go チームは今後のリリースでこの回避策のサポートを削除する可能性があります。お客様は、安全性の低い証明書を使用しているアドミッション / 変換 Webhook や集約されたサーバー エンドポイントがないことを確認してから、今後のバージョンにアップグレードする必要があります。
- 機能: バージョン 1.24 以降の Kubernetes クラスタでは、GKE on AWS がプレビュー モードで EFS 動的プロビジョニングをサポートするようになりました。この機能を使用するには、以下の権限をコントロール プレーンのロールに追加する必要があります。
ec2:DescribeAvailabilityZoneselasticfilesystem:DescribeAccessPointselasticfilesystem:DescribeFileSystemselasticfilesystem:DescribeMountTargetselasticfilesystem:CreateAccessPointelasticfilesystem:DeleteAccessPoint 機能: クラスタとノードプールの作成時のネットワーク接続性チェックを改善し、トラブルシューティングを容易にしました。
機能: AWS コントロール プレーン タグの更新をサポートしました。タグを更新するには、API ロールに次の権限を追加する必要があります。
autoscaling:CreateOrUpdateTagsautoscaling:DeleteTagsec2:CreateTagsec2:DescribeLaunchTemplatesec2:DescribeSecurityGroupRulesec2:DeleteTagselasticloadbalancing:AddTagselasticloadbalancing:RemoveTags機能: Google Managed Service for Prometheus を使用した Cloud Monarch へのワークロード指標のアップロードは、招待制の非公開プレビューとして利用できるようになりました。
セキュリティに関する修正
- CVE-2022-34903 を修正しました。
- CVE-2021-4209 を修正しました。
- CVE-2022-29900 を修正しました。
- CVE-2022-29901 を修正しました。
- CVE-2022-2385 を修正しました。
- CVE-2022-1462 を修正しました。
- CVE-2022-1882 を修正しました。
- CVE-2022-21505 を修正しました。
- CVE-2022-2585 を修正しました。
- CVE-2022-23816 を修正しました。
- CVE-2022-2509 を修正しました。
- CVE-2022-2586 を修正しました。
- CVE-2022-2588 を修正しました。
- CVE-2022-26373 を修正しました。
- CVE-2022-36879 を修正しました。
- CVE-2022-36946 を修正しました。
Kubernetes 1.23
1.23.16-gke.2800
バグの修正: 特定のタイプの検証用アドミッション Webhook が登録されている場合、クラスタのアップグレードに失敗することがある問題を修正しました。
セキュリティに関する修正
- CVE-2023-25153 を修正しました。
- CVE-2023-25173 を修正しました。
- CVE-2023-0215 を修正しました。
- CVE-2022-4450 を修正しました。
- CVE-2023-0286 を修正しました。
- CVE-2022-4304 を修正しました。
- CVE-2022-2097 を修正しました。
- CVE-2023-0461 を修正しました。
1.23.16-gke.200
- バグの修正: クラスタの作成 / 更新オペレーション中に特定のエラーが伝播されず、レポートされない問題を修正しました。
バグの修正: kubeapi サーバーが AIS に到達できない cpp-httplib の問題を修正しました。
セキュリティに関する修正
- CVE-2022-2097 を修正しました。
1.23.14-gke.1800
- セキュリティに関する修正
- CVE-2022-23471 を修正しました。
- CVE-2021-46848 を修正しました。
- CVE-2022-42898 を修正しました。
1.23.14-gke.1100
機能: Azure AD GA。この機能を使用すると、クラスタ管理者は Azure AD グループに基づいて RBAC ポリシーを構成し、クラスタで認証できます。これにより、200 を超えるグループに属するユーザーのグループ情報を取得できるため、ID プロバイダとして Azure AD を構成した通常の OIDC の制限を解消できます。
セキュリティに関する修正
- CVE-2016-10228 を修正しました。
- CVE-2019-19126 を修正しました。
- CVE-2019-25013 を修正しました。
- CVE-2020-10029 を修正しました。
- CVE-2020-16156 を修正しました。
- CVE-2020-1752 を修正しました。
- CVE-2020-27618 を修正しました。
- CVE-2020-6096 を修正しました。
- CVE-2021-27645 を修正しました。
- CVE-2021-3326 を修正しました。
- CVE-2021-33574 を修正しました。
- CVE-2021-35942 を修正しました。
- CVE-2021-3671 を修正しました。
- CVE-2021-3999 を修正しました。
- CVE-2021-43618 を修正しました。
- CVE-2022-1586 を修正しました。
- CVE-2022-1587 を修正しました。
- CVE-2022-23218 を修正しました。
- CVE-2022-23219 を修正しました。
- CVE-2022-3116 を修正しました。
- CVE-2022-32221 を修正しました。
- CVE-2022-35737 を修正しました。
- CVE-2022-37434 を修正しました。
- CVE-2022-41916 を修正しました。
- CVE-2022-43680 を修正しました。
1.23.11-gke.300
- 機能: ASM をサポートするために nodepool に
iptablesを追加しました。 - セキュリティに関する修正
- CVE-2021-3999 を修正しました。
- CVE-2022-35252 を修正しました。
- CVE-2020-35525 を修正しました。
- CVE-2020-35527 を修正しました。
- CVE-2021-20223 を修正しました。
- CVE-2022-40674 を修正しました。
- CVE-2022-37434 を修正しました。
- CVE-2021-46828 を修正しました。
- CVE-2021-3999 を修正しました。
- CVE-2022-2509 を修正しました。
- CVE-2022-1586 を修正しました。
- CVE-2022-1587 を修正しました。
- CVE-2022-40674 を修正しました。
- CVE-2022-37434 を修正しました。
- CVE-2021-46828 を修正しました。
- CVE-2022-2509 を修正しました。
- CVE-2021-3999 を修正しました。
- CVE-2022-1587 を修正しました。
- CVE-2022-1586 を修正しました。
1.23.9-gke.2200
- バグの修正: タイプが LoadBalancer で、アノテーション
service.beta.kubernetes.io/aws-load-balancer-type: nlbを持つ Kubernetes Service リソースを作成すると、空のターゲット グループが残る問題を修正しました。https://github.com/kubernetes/cloud-provider-aws/issues/301 をご覧ください。
1.23.9-gke.2100
- セキュリティに関する修正
- CVE-2022-34903 を修正しました。
- CVE-2021-4209 を修正しました。
- CVE-2022-29900 を修正しました。
- CVE-2022-29901 を修正しました。
- CVE-2022-2385 を修正しました。
- CVE-2021-4209 を修正しました。
1.23.9-gke.800
- セキュリティに関する修正
- CVE-2022-34903 を修正しました。
- CVE-2021-4209 を修正しました。
- CVE-2022-29901 を修正しました。
- CVE-2022-28693 を修正しました。
- CVE-2022-29900 を修正しました。
- CVE-2022-23825 を修正しました。
- CVE-2022-31030 を修正しました。
1.23.8-gke.1700
- セキュリティに関する修正
- CVE-2020-1712 を修正しました。
- CVE-2021-4160 を修正しました。
- CVE-2021-43566 を修正しました。
- CVE-2022-0778 を修正しました。
- CVE-2022-1292 を修正しました。
- CVE-2022-1304 を修正しました。
- CVE-2022-1664 を修正しました。
- CVE-2022-2068 を修正しました。
- CVE-2022-2097 を修正しました。
- CVE-2022-2327 を修正しました。
- CVE-2022-32206 を修正しました。
- CVE-2022-32208 を修正しました。
1.23.7-gke.1300
- 機能: kube-scheduler と kube-controller-manager で、プロファイリング エンドポイント(/debug/pprof)がデフォルトで無効になりました。
機能: Strong Cryptographic Ciphers のみを使用するように kube-apiserver と kubelet を更新しました。Kubelet で使用されるサポート対象の暗号:
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256、TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256、TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305、TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384、TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305、TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384、TLS_RSA_WITH_AES_256_GCM_SHA384、TLS_RSA_WITH_AES_128_GCM_SHA256
kube api-server で使用されるサポート対象の暗号:
TLS_AES_128_GCM_SHA256、TLS_AES_256_GCM_SHA384、TLS_CHACHA20_POLY1305_SHA256、TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA、TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256、TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA、TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384、TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305、TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256、TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA、TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA、TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256、TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA、TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384、TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305、TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256、TLS_RSA_WITH_3DES_EDE_CBC_SHA、TLS_RSA_WITH_AES_128_CBC_SHA、TLS_RSA_WITH_AES_128_GCM_SHA256、TLS_RSA_WITH_AES_256_CBC_SHA、TLS_RSA_WITH_AES_256_GCM_SHA384
機能: Instance Metadata Server(IMDS)エミュレータを追加しました。
セキュリティに関する修正
- CVE-2022-1786 を修正しました。
- CVE-2022-29582 を修正しました。
- CVE-2022-29581 を修正しました。
- CVE-2022-1116 を修正しました。
Kubernetes 1.22
1.22.15-gke.100
- 機能: ASM をサポートするために nodepool に
iptablesを追加しました。 - セキュリティに関する修正
- CVE-2021-3999 を修正しました。
- CVE-2022-35252 を修正しました。
- CVE-2020-35525 を修正しました。
- CVE-2020-35527 を修正しました。
- CVE-2021-20223 を修正しました。
- CVE-2022-40674 を修正しました。
- CVE-2022-37434 を修正しました。
- CVE-2021-46828 を修正しました。
- CVE-2021-3999 を修正しました。
- CVE-2022-2509 を修正しました。
- CVE-2022-1586 を修正しました。
- CVE-2022-1587 を修正しました。
- CVE-2022-40674 を修正しました。
- CVE-2022-37434 を修正しました。
- CVE-2021-46828 を修正しました。
- CVE-2022-2509 を修正しました。
- CVE-2021-3999 を修正しました。
- CVE-2022-1587 を修正しました。
- CVE-2022-1586 を修正しました。
1.22.12-gke.2300
- セキュリティに関する修正
- CVE-2022-34903 を修正しました。
- CVE-2021-4209 を修正しました。
- CVE-2022-29900 を修正しました。
- CVE-2022-29901 を修正しました。
- CVE-2022-2385 を修正しました。
- CVE-2022-2509 を修正しました。
1.22.12-gke.1100
- セキュリティに関する修正
- CVE-2022-34903 を修正しました。
- CVE-2021-4209 を修正しました。
- CVE-2022-29901 を修正しました。
- CVE-2022-28693 を修正しました。
- CVE-2022-29900 を修正しました。
- CVE-2022-23825 を修正しました。
- CVE-2022-31030 を修正しました。
1.22.12-gke.200
- セキュリティに関する修正
- CVE-2020-1712 を修正しました。
- CVE-2021-4160 を修正しました。
- CVE-2021-43566 を修正しました。
- CVE-2022-0778 を修正しました。
- CVE-2022-1292 を修正しました。
- CVE-2022-1304 を修正しました。
- CVE-2022-1664 を修正しました。
- CVE-2022-2068 を修正しました。
- CVE-2022-2097 を修正しました。
- CVE-2022-2327 を修正しました。
- CVE-2022-32206 を修正しました。
- CVE-2022-32208 を修正しました。
1.22.10-gke.1500
- セキュリティに関する修正
- CVE-2022-1786 を修正しました。
- CVE-2022-29582 を修正しました。
- CVE-2022-29581 を修正しました。
- CVE-2022-1116 を修正しました。
1.22.8-gke.2100
- 機能: Windows ノードで pigz を使用して画像レイヤを抽出するパフォーマンスを改善しました。
1.22.8-gke.1300
- バグの修正
- Windows ノードプールが有効な場合にアドオンが適用できない問題を修正しました。
- Logging エージェントによって、アタッチされているディスク容量がいっぱいになる問題を修正しました。
- セキュリティに関する修正
- CVE-2022-1055 を修正しました。
- CVE-2022-0886 を修正しました。
- CVE-2022-0492 を修正しました。
- CVE-2022-24769 を修正しました。
- このリリースには、次のロールベース アクセス制御(RBAC)の変更が含まれています。
- リース更新の
anet-operator権限の範囲を縮小しました。 - ノードと Pod の
anetdDaemonSet 権限の範囲を縮小しました。 - サービス アカウント トークンの
fluentbit-gke権限の範囲を縮小しました。 - サービス アカウント トークンの
gke-metrics-agentの範囲を縮小しました。 - ノード、ConfigMap、Deployment の
coredns-autoscaler権限の範囲を縮小しました。
1.22.8-gke.200
- 機能: Kubernetes v1.22 で作成されたクラスタとノードプールのデフォルトのインスタンス タイプが、t3.medium ではなく m5.large になりました。
- 機能: Kubernetes バージョン 1.22 を使用して新しいクラスタを作成するときに、カスタム ロギング パラメータを構成できるようになりました。
- 機能: (プレビュー機能)Kubernetes バージョン 1.22 でノードプールを作成するときに、ノードプールのイメージタイプとして Windows を選択できるようになりました。
- 機能:(プレビュー機能)ホストマシンを専用ホストとして構成できるようになりました。
- 機能: 長時間実行オペレーションのエラー フィールドで、最もよく発生する非同期のクラスタエラーとノードプール起動エラーを確認できるようになりました。詳細については、
gcloud container aws operations listリファレンス ドキュメントをご覧ください。 - セキュリティに関する修正
- CVE-2021-22600 を修正しました。
- CVE-2022-23648 を修正しました。
- CVE-2022-0001 を修正しました。
- CVE-2022-0002 を修正しました。
- CVE-2022-23960 を修正しました。
- CVE-2022-0847 を修正しました。
Kubernetes 1.21
1.21.14-gke.2900
- セキュリティに関する修正
- CVE-2022-2097 を修正しました。
- CVE-2022-32206 を修正しました。
- CVE-2022-32208 を修正しました。
- CVE-2022-34903 を修正しました。
- CVE-2021-4209 を修正しました。
- CVE-2022-29901 を修正しました。
- CVE-2022-28693 を修正しました。
- CVE-2022-29900 を修正しました。
- CVE-2022-23825 を修正しました。
- CVE-2022-31030 を修正しました。
1.21.14-gke.2100
- セキュリティに関する修正
- CVE-2016-10228 を修正しました。
- CVE-2018-16301 を修正しました。
- CVE-2018-25032 を修正しました。
- CVE-2019-18276 を修正しました。
- CVE-2019-20838 を修正しました。
- CVE-2019-25013 を修正しました。
- CVE-2020-14155 を修正しました。
- CVE-2020-27618 を修正しました。
- CVE-2020-27820 を修正しました。
- CVE-2020-29562 を修正しました。
- CVE-2020-6096 を修正しました。
- CVE-2020-8037 を修正しました。
- CVE-2021-20193 を修正しました。
- CVE-2021-22600 を修正しました。
- CVE-2021-26401 を修正しました。
- CVE-2021-27645 を修正しました。
- CVE-2021-28711 を修正しました。
- CVE-2021-28712 を修正しました。
- CVE-2021-28713 を修正しました。
- CVE-2021-28714 を修正しました。
- CVE-2021-28715 を修正しました。
- CVE-2021-3326 を修正しました。
- CVE-2021-35942 を修正しました。
- CVE-2021-36084 を修正しました。
- CVE-2021-36085 を修正しました。
- CVE-2021-36086 を修正しました。
- CVE-2021-36087 を修正しました。
- CVE-2021-36690 を修正しました。
- CVE-2021-3711 を修正しました。
- CVE-2021-3712 を修正しました。
- CVE-2021-3772 を修正しました。
- CVE-2021-39685 を修正しました。
- CVE-2021-39686 を修正しました。
- CVE-2021-39698 を修正しました。
- CVE-2021-3995 を修正しました。
- CVE-2021-3996 を修正しました。
- CVE-2021-3999 を修正しました。
- CVE-2021-4083 を修正しました。
- CVE-2021-4135 を修正しました。
- CVE-2021-4155 を修正しました。
- CVE-2021-4160 を修正しました。
- CVE-2021-4197 を修正しました。
- CVE-2021-4202 を修正しました。
- CVE-2021-43566 を修正しました。
- CVE-2021-43618 を修正しました。
- CVE-2021-43975 を修正しました。
- CVE-2021-43976 を修正しました。
- CVE-2021-44733 を修正しました。
- CVE-2021-45095 を修正しました。
- CVE-2021-45469 を修正しました。
- CVE-2021-45480 を修正しました。
- CVE-2022-0001 を修正しました。
- CVE-2022-0002 を修正しました。
- CVE-2022-0330 を修正しました。
- CVE-2022-0435 を修正しました。
- CVE-2022-0492 を修正しました。
- CVE-2022-0516 を修正しました。
- CVE-2022-0617 を修正しました。
- CVE-2022-0778 を修正しました。
- CVE-2022-1011 を修正しました。
- CVE-2022-1016 を修正しました。
- CVE-2022-1055 を修正しました。
- CVE-2022-1116 を修正しました。
- CVE-2022-1158 を修正しました。
- CVE-2022-1198 を修正しました。
- CVE-2022-1271 を修正しました。
- CVE-2022-1292 を修正しました。
- CVE-2022-1304 を修正しました。
- CVE-2022-1353 を修正しました。
- CVE-2022-1516 を修正しました。
- CVE-2022-1664 を修正しました。
- CVE-2022-1966 を修正しました。
- CVE-2022-20008 を修正しました。
- CVE-2022-20009 を修正しました。
- CVE-2022-2068 を修正しました。
- CVE-2022-21123 を修正しました。
- CVE-2022-21125 を修正しました。
- CVE-2022-21166 を修正しました。
- CVE-2022-21499 を修正しました。
- CVE-2022-22576 を修正しました。
- CVE-2022-22942 を修正しました。
- CVE-2022-23036 を修正しました。
- CVE-2022-23037 を修正しました。
- CVE-2022-23038 を修正しました。
- CVE-2022-23039 を修正しました。
- CVE-2022-23040 を修正しました。
- CVE-2022-23041 を修正しました。
- CVE-2022-23042 を修正しました。
- CVE-2022-23218 を修正しました。
- CVE-2022-23219 を修正しました。
- CVE-2022-2327 を修正しました。
- CVE-2022-23960 を修正しました。
- CVE-2022-24407 を修正しました。
- CVE-2022-24448 を修正しました。
- CVE-2022-24958 を修正しました。
- CVE-2022-24959 を修正しました。
- CVE-2022-25258 を修正しました。
- CVE-2022-25375 を修正しました。
- CVE-2022-25636 を修正しました。
- CVE-2022-26490 を修正しました。
- CVE-2022-26966 を修正しました。
- CVE-2022-27223 を修正しました。
- CVE-2022-27666 を修正しました。
- CVE-2022-27774 を修正しました。
- CVE-2022-27775 を修正しました。
- CVE-2022-27776 を修正しました。
- CVE-2022-27781 を修正しました。
- CVE-2022-27782 を修正しました。
- CVE-2022-28356 を修正しました。
- CVE-2022-28388 を修正しました。
- CVE-2022-28389 を修正しました。
- CVE-2022-28390 を修正しました。
- CVE-2022-29155 を修正しました。
- CVE-2022-29581 を修正しました。
- CVE-2022-30594 を修正しました。
1.21.11-gke.1900
- セキュリティに関する修正
- CVE-2022-1786 を修正しました。
- CVE-2022-29582 を修正しました。
- CVE-2022-29581 を修正しました。
- CVE-2022-1116 を修正しました。
1.21.11-gke.1800
1.21.11-gke.1100
- セキュリティに関する修正
- CVE-2022-1055 を修正しました。
- CVE-2022-0886 を修正しました。
- CVE-2022-0492 を修正しました。
- CVE-2022-24769 を修正しました。
- RBAC の修正:
- リース更新のための anet-operator 権限の範囲を縮小しました。
- ノードと Pod の anetd DaemonSet 権限の範囲を縮小しました。
- サービス アカウント トークンの fluentbit-gke 権限の範囲を縮小しました。
- サービス アカウント トークンの gke-metrics-agent の範囲を縮小しました。
- ノード、ConfigMap、Deployment の coredns-autoscaler 権限の範囲を縮小しました。
1.21.11-gke.100
- セキュリティに関する修正
- CVE-2021-22600 を修正しました。
- CVE-2022-23648 を修正しました。
- CVE-2022-23648 を修正しました。
- CVE-2022-0001 を修正しました。
- CVE-2022-0002 を修正しました。
- CVE-2022-23960 を修正しました。
- CVE-2022-0847 を修正しました。
1.21.6-gke.1500
- セキュリティに関する修正
- CVE-2021-4154 を修正しました。詳細については、GCP-2022-002 をご覧ください。
- CVE-2022-0185 を修正しました。詳細については、GCP-2022-002 をご覧ください。