以下のバージョンの GKE on AWS はサポートされていません。
Kubernetes 1.26
1.26.14-gke.1500
- バグの修正: Instance Metadata Service(IMDS)エミュレータがノードの IP アドレスにバインドできないことがある問題を修正しました。IMDS エミュレータにより、ノードは AWS EC2 インスタンス メタデータに安全にアクセスできます。
1.26.13-gke.400
- バグの修正:
- runc でのファイル記述漏えいのバグ(CVE-2024-21626)を修正しました。
- セキュリティに関する修正:
- CVE-2021-43565 を修正しました。
- CVE-2022-21698 を修正しました。
- CVE-2022-27191 を修正しました。
- CVE-2022-28948 を修正しました。
- CVE-2023-39318 を修正しました。
- CVE-2023-39319 を修正しました。
- CVE-2023-39323 を修正しました。
- CVE-2023-39325 を修正しました。
- CVE-2023-39326 を修正しました。
- CVE-2023-3978 を修正しました。
- CVE-2023-44487 を修正しました。
- CVE-2023-45142 を修正しました。
- CVE-2023-45285 を修正しました。
- CVE-2023-47108 を修正しました。
- CVE-2023-48795 を修正しました。
- CVE-2024-0193 を修正しました。
- CVE-2023-6932 を修正しました。
- CVE-2023-6931 を修正しました。
- CVE-2024-0193 を修正しました。
- CVE-2023-6817 を修正しました。
1.26.12-gke.100
- セキュリティに関する修正
- CVE-2023-5363 を修正しました。
- CVE-2023-47038 を修正しました。
- CVE-2023-5981 を修正しました。
- CVE-2023-2975 を修正しました。
- CVE-2023-4527 を修正しました。
- CVE-2023-29002 を修正しました。
- CVE-2023-38545 を修正しました。
- CVE-2023-28321 を修正しました。
- CVE-2023-0464 を修正しました。
- CVE-2023-1255 を修正しました。
- CVE-2023-41332 を修正しました。
- CVE-2023-0465 を修正しました。
- CVE-2023-4016 を修正しました。
- CVE-2022-29458 を修正しました。
- CVE-2022-3996 を修正しました。
- CVE-2023-2602 を修正しました。
- CVE-2023-38546 を修正しました。
- CVE-2023-34242 を修正しました。
- CVE-2023-0466 を修正しました。
- CVE-2022-48522 を修正しました。
- CVE-2023-28322 を修正しました。
- CVE-2023-30851 を修正しました。
- CVE-2023-2283 を修正しました。
- CVE-2023-27594 を修正しました。
- CVE-2023-2603 を修正しました。
- CVE-2023-27593 を修正しました。
- CVE-2023-5156 を修正しました。
- CVE-2023-39347 を修正しました。
- CVE-2023-1667 を修正しました。
- CVE-2023-2650 を修正しました。
- CVE-2023-31484 を修正しました。
- CVE-2023-27595 を修正しました。
- CVE-2023-41333 を修正しました。
- CVE-2023-5869 を修正しました。
- CVE-2023-39417 を修正しました。
- CVE-2023-5868 を修正しました。
- CVE-2023-5870 を修正しました。
1.26.10-gke.600
機能: G5 AWS EC2 インスタンスを使用してノードプールを作成できるようになりました。
バグの修正: Elastic File System(EFS)Container Storage Interface(CSI)ドライバ
aws-efs-csi-driver
をバージョン v1.3.8-gke.21 にアップグレードしました。バグの修正: Cloud Logging による Anthos clusters on AWS からのログの取り込みが強化されました。
- タイムスタンプの解析の問題を修正しました。
anthos-metadata-agent
のエラーログに正しい重大度を割り当てました。
セキュリティに関する修正
- CVE-2023-5197 を修正しました。
- CVE-2023-44487 を修正しました。
- CVE-2023-39325 を修正しました。
- CVE-2023-4147 を修正しました。
- CVE-2022-1996 を修正しました。
1.26.9-gke.700
- セキュリティに関する修正
- CVE-2015-3276 を修正しました。
- CVE-2022-29155 を修正しました。
1.26.8-gke.200
機能: Ubuntu 22.04 は linux-aws 6.2 カーネル バージョンを使用するようになりました。
セキュリティに関する修正
- CVE-2023-3610 を修正しました。
- CVE-2023-3776 を修正しました。
- CVE-2023-3611 を修正しました。
1.26.7-gke.500
- セキュリティに関する修正
- CVE-2022-3821 を修正しました。
- CVE-2022-4415 を修正しました。
1.26.5-gke.1400
- セキュリティに関する修正
- CVE-2022-27664 を修正しました
- CVE-2022-32149 を修正しました
- CVE-2022-41723 を修正しました
- CVE-2023-24534 を修正しました
- CVE-2023-24536 を修正しました
- CVE-2023-24537 を修正しました
- CVE-2023-24538 を修正しました。
1.26.5-gke.1200
- バグの修正
- --balance-similar-node-groups を使用して、アベイラビリティ ゾーン全体でノード数を分散するようにクラスタ オートスケーラーを構成します。
1.26.4-gke.2200
Kubernetes OSS リリースノート * 機能: Ubuntu 22.04 では linux-aws 5.19 カーネルを使用します。
バグの修正
- Kubernetes で、サポートが終了したアノテーション volume.beta.kubernetes.io/storage-class を持つ PersistentVolumeClaim にデフォルトの StorageClass が誤って適用される問題を修正しました。
- Logging エージェントが、メモリを大量に消費するようになる問題を修正しました。
セキュリティに関する修正
- ネットワーク接続をモニタリングする netfilter 接続トラッキング(conntrack)に悪影響を与える問題を修正しました。この修正により、conntrack テーブルに新しい接続が適切に挿入されます。また、Linux カーネル バージョン 5.15 以降に加えられた変更に起因する制限が解消されます。
1.26.2-gke.1001
既知の問題: Kubernetes 1.26.2 では、非推奨のアノテーション
volume.beta.kubernetes.io/storage-class
を持つ PersistentVolumeClaim にデフォルトの StorageClass が誤って適用されます。機能: OS イメージを Ubuntu 22.04 に更新しました。これにより、デフォルトのコントロール グループ構成として
cgroupv2
が使用されるようになりました。- Ubuntu 22.04 はデフォルトで
cgroupv2
を使用します。cgroup
ファイル システムにアクセスするアプリケーションがあるかどうかを確認することをおすすめします。アクセスしている場合は、cgroupv2
を使用するように更新する必要があります。cgroupv2
との互換性を確保するために更新が必要になる可能性のあるアプリの例を以下に示します。 cgroup
ファイル システムに依存するサードパーティのモニタリング エージェントとセキュリティ エージェント。cAdvisor
が Pod とコンテナをモニタリングするためのスタンドアロンの DaemonSet として使用されている場合は、バージョン v0.43.0 以降に更新する必要があります。- JDK を使用している場合は、バージョン 11.0.16 以降またはバージョン 15 以降を使用することをおすすめします。これらのバージョンは
cgroupv2
を完全にサポートしています。 - uber-go/automaxprocs パッケージを使用している場合は、バージョン v1.5.1 以降を使用してください。
- Ubuntu 22.04 で、
timesyncd
パッケージが削除されました。代わりに、Amazon Time Sync Service にchrony
が使用されるようになりました。 - 詳細については、Ubuntu のリリースノートをご覧ください。
- Ubuntu 22.04 はデフォルトで
機能: コントロール プレーン コンポーネントの指標を Cloud Monitoring に送信します。これには、kube-apiserver、etcd、kube-scheduler、kube-controller-manager の Prometheus 指標のサブセットが含まれます。指標名には接頭辞
kubernetes.io/anthos/
を使用します。機能: Kubernetes リソース メタデータを Google Cloud Platform に送信できるようになりました。これにより、ユーザー インターフェースとクラスタ指標の両方が改善されます。メタデータを正しく取り込むには、お客様が
Config Monitoring for Ops
API を有効にする必要があります。この API は、Google Cloud コンソールで有効にするか、gcloud CLI でopsconfigmonitoring.googleapis.com
API を手動で有効にすることもできます。さらに、ユーザーは Cloud Logging/Monitoring の承認ドキュメントで説明されている手順に沿って、必要な IAM バインディングを追加する必要があります。その場合は、プロキシの許可リストにopsconfigmonitoring.googleapis.com
を追加します。機能: Spot AWS ノードプールを作成するためのプレビュー機能を追加しました。
機能: ARM ベース(Graviton)インスタンス タイプを使用したノードプールの作成が一般提供になりました。
機能: kubelet のグレースフル ノード シャットダウンが有効になりました。システム Pod 以外の Pod には 15 秒の猶予があります。その後、システム Pod(優先順位が
system-cluster-critical
またはsystem-node-critical
)に、正常に終了するために 15 秒の猶予があります。機能: プレビュー モードでノードの自動修復機能を有効にしました。プレビューを有効にするには、担当のアカウント チームまでお問い合わせください。
機能: 動的に作成された EFS アクセス ポイント リソースにタグを追加しました。
機能: クラスタに、VPC 全体のルールではなく、ノードプールごとのサブネット セキュリティ グループ ルールが適用されるようになりました。
- 以前のコントロール プレーンでは、ノードプールで使用されるポート TCP/443 と TCP/8123 で、VPC のプライマリ IP 範囲全体からのインバウンド トラフィックを許可していました。
- 現在のコントロール プレーンは、ポート TCP/443 と TCP/8123 でノードプール サブネットの各 IP 範囲に許可されるインバウンド トラフィックを制限します。また、複数のノードプールで 1 つのサブネットを共有できます。
- この変更により、VPC のプライマリ IP 範囲の外部で実行されるノードプールがサポートされ、コントロール プレーンのセキュリティが向上します。
- クラスタ外部からのトラフィック(kubectl の踏み台インスタンスからなど)を許可するために VPC 全体のセキュリティ グループ ルールに依存している場合は、アップグレードの一環としてセキュリティ グループを作成し、VPC 全体のルールをそれに追加して、そのセキュリティ グループをコントロール プレーンに接続する必要があります(AwsCluster.controlPlane.securityGroupIds フィールドを使用します)。
バグの修正: 新しく作成されたクラスタでは、安定性を高めるため、etcd v3.4.21 を使用するようになりました。以前のバージョンの既存のクラスタはすでに etcd v3.5.x を使用しており、クラスタのアップグレード時に v3.4.21 へダウングレードされることはありません。こうしたクラスタでは、代わりに v3.5.6 が使用されます。
セキュリティ修正: IMDS エミュレータ レスポンスのホップ上限を 1 に設定しました。これにより、エミュレータとワークロード間の IMDS データの通信が保護されます。
Kubernetes 1.25
1.25.14-gke.700
- セキュリティに関する修正
- CVE-2015-3276 を修正しました。
- CVE-2022-29155 を修正しました。
1.25.13-gke.200
- セキュリティに関する修正
- CVE-2023-3610 を修正しました。
- CVE-2023-3776 を修正しました。
- CVE-2023-3611 を修正しました。
1.25.12-gke.500
Kubernetes OSS リリースノート。* 機能: ノードプールから収集される指標のリストを拡張し、gke-metrics-agent
、cilium-agent
、cilium-operator
、coredns
、fluentbit-gke
、kubelet
、konnectivity-agent
を追加しました。
- セキュリティに関する修正
- CVE-2022-3821 を修正しました。
- CVE-2022-4415 を修正しました。
- CVE-2022-29458 を修正しました。
- CVE-2023-0464 を修正しました。
- CVE-2023-0465 を修正しました。
- CVE-2023-0466 を修正しました。
- CVE-2023-2650 を修正しました。
1.25.10-gke.1400
- セキュリティに関する修正
- CVE-2022-27664 を修正しました
- CVE-2022-32149 を修正しました。
- CVE-2023-29491 を修正しました。
- CVE-2023-31484 を修正しました。
1.25.10-gke.1200
- バグの修正
- --balance-similar-node-groups を使用して、アベイラビリティ ゾーン全体でノード数を分散するようにクラスタ オートスケーラーを構成します。
- セキュリティに関する修正
- ノードプールの指標エージェントと指標サーバーを、認証済みの kubelet ポートに移行しました。
1.25.8-gke.500
バグの修正
- Logging エージェントが、メモリを大量に消費するようになる問題を修正しました。
セキュリティに関する修正
- CVE-2023-1872 を修正しました。
1.25.7-gke.1000
機能: 動的に作成された EFS アクセス ポイント リソースにタグを追加しました。
バグの修正: 新しく作成されたクラスタでは、安定性を高めるため、etcd v3.4.21 を使用するようになりました。以前のバージョンの既存のクラスタはすでに etcd v3.5.x を使用しており、クラスタのアップグレード時に v3.4.21 へダウングレードされることはありません。こうしたクラスタでは、代わりに v3.5.6 が使用されます。
1.25.6-gke.1600
バグの修正: 特定のタイプの検証用アドミッション Webhook が登録されている場合、クラスタのアップグレードに失敗することがある問題を修正しました。
セキュリティに関する修正
- CVE-2023-25153 を修正しました。
- CVE-2023-25173 を修正しました。
- CVE-2023-0286 を修正しました。
- CVE-2022-4450 を修正しました。
- CVE-2023-0215 を修正しました。
- CVE-2022-2097 を修正しました。
- CVE-2022-4304 を修正しました。
- CVE-2023-0461 を修正しました。
1.25.5-gke.2000
Kubernetes OSS リリースノート。* 機能: Anthos Identity Service を更新し、同時認証 Webhook リクエストをより適切に処理するようにしました。
- バグの修正: クラスタの作成 / 更新オペレーション中に特定のエラーが伝播されず、レポートされない問題を修正しました。
- バグの修正: AWS VPC がカスタム DNS サーバーを使用するように構成されている場合に EFS ホスト名を解決できない AWS EFS CSI ドライバの問題を修正しました。
バグの修正: エンドユーザーの権限を借用できず Anthos Service Mesh ダッシュボードでの認証が失敗する問題を修正しました。
セキュリティに関する修正
- CVE-2022-2097 を修正しました。
- CVE-2022-42898 を修正しました。
1.25.5-gke.1500
既知の問題: Google Cloud コンソールの一部の UI サーフェスでクラスタの認証ができず、クラスタが到達不能と表示されることがあります。この問題を回避するには、ユーザーの権限借用を許可する RBAC を手動で適用してください。詳しくは、トラブルシューティングをご覧ください。
セキュリティに関する修正
- CVE-2022-23471 を修正しました。
- CVE-2021-46848 を修正しました。
- CVE-2022-42898 を修正しました。
1.25.4-gke.1300
既知の問題: Google Cloud コンソールの一部の UI サーフェスでクラスタの認証ができず、クラスタが到達不能と表示されることがあります。この問題を回避するには、ユーザーの権限借用を許可する RBAC を手動で適用してください。詳しくは、トラブルシューティングをご覧ください。
非推奨: 非推奨の in-tree Volume プラグイン flocker、guobyte、storageos を削除しました。
機能: クラスタのコントロール プレーン VM で実行される静的 Pod を、root 以外の Linux ユーザーとして実行するように制限することで、セキュリティを強化しました。
機能: AWS ノードプールのセキュリティ グループを動的に更新するためのサポートを追加しました。セキュリティ グループを更新するには、API ロールに次の権限が必要です。
ec2:ModifyInstanceAttribute
ec2:DescribeInstances
機能: AWS ノードプール タグを動的に更新するためのサポートを追加しました。ノードプールのタグを更新するには、API ロールに次の権限が必要です。
autoscaling:CreateOrUpdateTags
autoscaling:DeleteTags
ec2:CreateTags
ec2:DeleteTags
ec2:DescribeLaunchTemplates
機能: バージョン 1.25 以降のクラスタで、EFS 動的プロビジョニングが一般提供され、利用できるようになりました。この機能を使用するには、以下の権限をコントロール プレーンのロールに追加する必要があります。
ec2:DescribeAvailabilityZones
elasticfilesystem:DescribeAccessPoints
elasticfilesystem:DescribeFileSystems
elasticfilesystem:DescribeMountTargets
elasticfilesystem:CreateAccessPoint
elasticfilesystem:DeleteAccessPoint
機能: マネージド収集で Google Managed Service for Prometheus を使用した、Cloud Monarch へのワークロード指標のアップロードが一般提供で利用可能になりました。
機能: AWS ノードプールの自動スケーリング グループで CloudWatch 指標の収集を有効にして更新するサポートを追加しました。API の作成または更新を介して指標の収集を有効化または更新するには、API ロールに次の権限を追加する必要があります。
autoscaling:EnableMetricsCollection
autoscaling:DisableMetricsCollection
機能: Azure AD GA。この機能を使用すると、クラスタ管理者は Azure AD グループに基づいて RBAC ポリシーを構成し、クラスタで認証できます。これにより、200 を超えるグループに属するユーザーのグループ情報を取得できるため、ID プロバイダとして Azure AD を構成した通常の OIDC の制限を解消できます。
機能: サービス アカウント署名鍵を使用して、コントロール プレーン コンポーネント用のトークンを生成する新しいトークン マネージャー(gke-token-manager)を追加しました。メリット:
- コントロール プレーン コンポーネントが Google サービスに対して認証を行うため、kube-apiserver への依存関係がなくなります。これまでは、コントロール プレーン コンポーネントは TokenRequest API を使用し、正常な kube-apiserver に依存していました。現在は gke-token-manager コンポーネントがサービス アカウント署名鍵を使用して、トークンを直接作成します。
- コントロール プレーン コンポーネントのトークン生成に対する RBAC が不要になります。
- ロギングと kube-apiserver が分離されます。kube-apiserver の起動前にロギングが取り込まれるようになります。
- コントロール プレーンの復元力が向上します。kube-apiserver が動作していない場合は、コントロール プレーン コンポーネントがトークンを取得して引き続き機能します。
機能: プレビュー機能として、kube-apiserver、etcd、kube-scheduler、kube-controller-manager などのコントロール プレーン コンポーネントから Cloud Monitoring にさまざまな指標を取り込みます。
機能: Google グループ内のユーザーは、グループに必要な RBAC 権限を付与することで、Connect ゲートウェイを使用して AWS クラスタにアクセスできます。詳細については、Google グループで Connect ゲートウェイを設定するをご覧ください。
バグの修正: クラスタのアップグレード後に古いバージョンの
gke-connect-agent
が削除されない問題を修正しました。セキュリティに関する修正
- CVE-2020-16156 を修正しました。
- CVE-2021-3671 を修正しました。
- CVE-2021-4037 を修正しました。
- CVE-2021-43618 を修正しました。
- CVE-2022-0171 を修正しました。
- CVE-2022-1184 を修正しました。
- CVE-2022-20421 を修正しました。
- CVE-2022-2602 を修正しました。
- CVE-2022-2663 を修正しました。
- CVE-2022-2978 を修正しました。
- CVE-2022-3061 を修正しました。
- CVE-2022-3116 を修正しました。
- CVE-2022-3176 を修正しました。
- CVE-2022-32221 を修正しました。
- CVE-2022-3303 を修正しました。
- CVE-2022-35737 を修正しました。
- CVE-2022-3586 を修正しました。
- CVE-2022-3621 を修正しました。
- CVE-2022-3646 を修正しました。
- CVE-2022-3649 を修正しました。
- CVE-2022-37434 を修正しました。
- CVE-2022-3903 を修正しました。
- CVE-2022-39188 を修正しました。
- CVE-2022-39842 を修正しました。
- CVE-2022-40303 を修正しました。
- CVE-2022-40304 を修正しました。
- CVE-2022-40307 を修正しました。
- CVE-2022-40768 を修正しました。
- CVE-2022-4095 を修正しました。
- CVE-2022-41674 を修正しました。
- CVE-2022-41916 を修正しました。
- CVE-2022-42010 を修正しました。
- CVE-2022-42011 を修正しました。
- CVE-2022-42012 を修正しました。
- CVE-2022-42719 を修正しました。
- CVE-2022-42720 を修正しました。
- CVE-2022-42721 を修正しました。
- CVE-2022-42722 を修正しました。
- CVE-2022-43680 を修正しました。
- CVE-2022-43750 を修正しました。
- CVE-2022-44638 を修正しました。
Kubernetes 1.24
1.24.14-gke.2700
- セキュリティに関する修正
- CVE-2022-28321 を修正しました。
- CVE-2022-44640 を修正しました。
1.24.14-gke.1400
- バグの修正
- --balance-similar-node-groups を使用して、アベイラビリティ ゾーン全体でノード数を分散するようにクラスタ オートスケーラーを構成します。
1.24.13-gke.500
バグの修正
- Logging エージェントが、メモリを大量に消費するようになる問題を修正しました。
セキュリティに関する修正
- CVE-2023-1872 を修正しました。
1.24.11-gke.1000
- バグの修正: 新しく作成されたクラスタでは、安定性を高めるため、etcd v3.4.21 を使用するようになりました。以前のバージョンの既存のクラスタはすでに etcd v3.5.x を使用しており、クラスタのアップグレード時に v3.4.21 へダウングレードされることはありません。こうしたクラスタでは、代わりに v3.5.6 が使用されます。
1.24.10-gke.1200
- バグの修正: 特定のタイプの検証用アドミッション Webhook が登録されている場合、クラスタのアップグレードに失敗することがある問題を修正しました。
- バグの修正: リクエストが NodePort と LoadBalancer タイプの Service に転送されるときに、トンネル ヘッダーで ID が適切に渡されるように、Cilium セキュリティ ID の伝播を修正しました。
- セキュリティに関する修正
- CVE-2023-25153 を修正しました。
- CVE-2023-25173 を修正しました。
- CVE-2023-0286 を修正しました。
- CVE-2022-4450 を修正しました。
- CVE-2023-0215 を修正しました。
- CVE-2022-2097 を修正しました。
- CVE-2022-4304 を修正しました。
- CVE-2023-0461 を修正しました。
1.24.9-gke.2000
機能: Anthos Identity Service を更新し、同時認証 Webhook リクエストをより適切に処理するようにしました。
バグの修正: クラスタの作成 / 更新オペレーション中に特定のエラーが伝播されず、レポートされない問題を修正しました。
セキュリティに関する修正
- CVE-2022-2097 を修正しました。
- CVE-2022-42898 を修正しました。
1.24.9-gke.1500
- セキュリティに関する修正
- CVE-2022-23471 を修正しました。
- CVE-2021-46848 を修正しました。
- CVE-2022-42898 を修正しました。
1.24.8-gke.1300
機能: Azure AD GA。この機能を使用すると、クラスタ管理者は Azure AD グループに基づいて RBAC ポリシーを構成し、クラスタで認証できます。これにより、200 を超えるグループに属するユーザーのグループ情報を取得できるため、ID プロバイダとして Azure AD を構成した通常の OIDC の制限を解消できます。
セキュリティに関する修正
- CVE-2020-16156 を修正しました。
- CVE-2021-3671 を修正しました。
- CVE-2021-4037 を修正しました。
- CVE-2021-43618 を修正しました。
- CVE-2022-0171 を修正しました。
- CVE-2022-1184 を修正しました。
- CVE-2022-20421 を修正しました。
- CVE-2022-2602 を修正しました。
- CVE-2022-2663 を修正しました。
- CVE-2022-2978 を修正しました。
- CVE-2022-3061 を修正しました。
- CVE-2022-3116 を修正しました。
- CVE-2022-3176 を修正しました。
- CVE-2022-32221 を修正しました。
- CVE-2022-3303 を修正しました。
- CVE-2022-3586 を修正しました。
- CVE-2022-3621 を修正しました。
- CVE-2022-3646 を修正しました。
- CVE-2022-3649 を修正しました。
- CVE-2022-37434 を修正しました。
- CVE-2022-3903 を修正しました。
- CVE-2022-39188 を修正しました。
- CVE-2022-39842 を修正しました。
- CVE-2022-40303 を修正しました。
- CVE-2022-40304 を修正しました。
- CVE-2022-40307 を修正しました。
- CVE-2022-40768 を修正しました。
- CVE-2022-4095 を修正しました。
- CVE-2022-41674 を修正しました。
- CVE-2022-42010 を修正しました。
- CVE-2022-42011 を修正しました。
- CVE-2022-42012 を修正しました。
- CVE-2022-42719 を修正しました。
- CVE-2022-42720 を修正しました。
- CVE-2022-42721 を修正しました。
- CVE-2022-42722 を修正しました。
- CVE-2022-43680 を修正しました。
- CVE-2022-43750 を修正しました。
- CVE-2022-44638 を修正しました。
1.24.5-gke.200
機能: ASM をサポートするために nodepool に
iptables
を追加しました。セキュリティに関する修正
- CVE-2022-40674 を修正しました。
- CVE-2021-3999 を修正しました。
- CVE-2022-1679 を修正しました。
- CVE-2022-2795 を修正しました。
- CVE-2022-3028 を修正しました。
- CVE-2022-38177 を修正しました。
- CVE-2022-38178 を修正しました。
- CVE-2021-3502 を修正しました。
- CVE-2021-44648 を修正しました。
- CVE-2021-46829 を修正しました。
- CVE-2022-2905 を修正しました。
- CVE-2022-3080 を修正しました。
- CVE-2022-35252 を修正しました。
- CVE-2022-39190 を修正しました。
- CVE-2022-41222 を修正しました。
- CVE-2020-8287 を修正しました。
- CVE-2022-1184 を修正しました。
- CVE-2022-1586 を修正しました。
- CVE-2022-1587 を修正しました。
- CVE-2022-2153 を修正しました。
- CVE-2022-39188 を修正しました。
- CVE-2022-20422 を修正しました。
- CVE-2021-3999 を修正しました。
- CVE-2022-1586 を修正しました。
- CVE-2022-1587 を修正しました。
- CVE-2022-35252 を修正しました。
- CVE-2020-35525 を修正しました。
- CVE-2020-35527 を修正しました。
- CVE-2021-20223 を修正しました。
- CVE-2022-40674 を修正しました。
- CVE-2022-37434 を修正しました。
- CVE-2021-46828 を修正しました。
- CVE-2021-3999 を修正しました。
- CVE-2022-2509 を修正しました。
- CVE-2022-1586 を修正しました。
- CVE-2022-1587 を修正しました。
- CVE-2022-40674 を修正しました。
- CVE-2022-37434 を修正しました。
- CVE-2021-3999 を修正しました。
- CVE-2022-1587 を修正しました。
- CVE-2022-1586 を修正しました。
1.24.3-gke.2200
- バグの修正: タイプが LoadBalancer で、アノテーション
service.beta.kubernetes.io/aws-load-balancer-type: nlb
を持つ Kubernetes Service リソースを作成すると、空のターゲット グループが残る問題を修正しました。https://github.com/kubernetes/cloud-provider-aws/issues/301 をご覧ください。
1.24.3-gke.2100
- 機能: Windows ノードプール用に、Google Cloud Monitoring に Kubernetes リソース指標をアップロードします。
- 機能: IMDS エミュレータを簡単に挿入できる webhook を提供しました。
- 機能: go1.18 では、デフォルトで SHA-1 ハッシュ アルゴリズムで署名された証明書を受け付けなくなりました。1.24 のデフォルトでは、こうした安全でない証明書を使用するアドミッション / 変換 Webhook や集約されたサーバー エンドポイントは機能しなくなります。一時的な回避策として、Anthos on AWS クラスタには環境変数 GODEBUG=x509sha1=1 が設定されており、こうした安全でない証明書が引き続き機能できます。ただし、Go チームは今後のリリースでこの回避策のサポートを削除する可能性があります。お客様は、安全性の低い証明書を使用しているアドミッション / 変換 Webhook や集約されたサーバー エンドポイントがないことを確認してから、今後のバージョンにアップグレードする必要があります。
- 機能: バージョン 1.24 以降の Kubernetes クラスタでは、GKE on AWS がプレビュー モードで EFS 動的プロビジョニングをサポートするようになりました。この機能を使用するには、以下の権限をコントロール プレーンのロールに追加する必要があります。
ec2:DescribeAvailabilityZones
elasticfilesystem:DescribeAccessPoints
elasticfilesystem:DescribeFileSystems
elasticfilesystem:DescribeMountTargets
elasticfilesystem:CreateAccessPoint
elasticfilesystem:DeleteAccessPoint
機能: クラスタとノードプールの作成時のネットワーク接続性チェックを改善し、トラブルシューティングを容易にしました。
機能: AWS コントロール プレーン タグの更新をサポートしました。タグを更新するには、API ロールに次の権限を追加する必要があります。
autoscaling:CreateOrUpdateTags
autoscaling:DeleteTags
ec2:CreateTags
ec2:DescribeLaunchTemplates
ec2:DescribeSecurityGroupRules
ec2:DeleteTags
elasticloadbalancing:AddTags
elasticloadbalancing:RemoveTags
機能: Google Managed Service for Prometheus を使用した Cloud Monarch へのワークロード指標のアップロードは、招待制の非公開プレビューとして利用できるようになりました。
セキュリティに関する修正
- CVE-2022-34903 を修正しました。
- CVE-2021-4209 を修正しました。
- CVE-2022-29900 を修正しました。
- CVE-2022-29901 を修正しました。
- CVE-2022-2385 を修正しました。
- CVE-2022-1462 を修正しました。
- CVE-2022-1882 を修正しました。
- CVE-2022-21505 を修正しました。
- CVE-2022-2585 を修正しました。
- CVE-2022-23816 を修正しました。
- CVE-2022-2509 を修正しました。
- CVE-2022-2586 を修正しました。
- CVE-2022-2588 を修正しました。
- CVE-2022-26373 を修正しました。
- CVE-2022-36879 を修正しました。
- CVE-2022-36946 を修正しました。
Kubernetes 1.23
1.23.16-gke.2800
バグの修正: 特定のタイプの検証用アドミッション Webhook が登録されている場合、クラスタのアップグレードに失敗することがある問題を修正しました。
セキュリティに関する修正
- CVE-2023-25153 を修正しました。
- CVE-2023-25173 を修正しました。
- CVE-2023-0215 を修正しました。
- CVE-2022-4450 を修正しました。
- CVE-2023-0286 を修正しました。
- CVE-2022-4304 を修正しました。
- CVE-2022-2097 を修正しました。
- CVE-2023-0461 を修正しました。
1.23.16-gke.200
- バグの修正: クラスタの作成 / 更新オペレーション中に特定のエラーが伝播されず、レポートされない問題を修正しました。
バグの修正: kubeapi サーバーが AIS に到達できない cpp-httplib の問題を修正しました。
セキュリティに関する修正
- CVE-2022-2097 を修正しました。
1.23.14-gke.1800
- セキュリティに関する修正
- CVE-2022-23471 を修正しました。
- CVE-2021-46848 を修正しました。
- CVE-2022-42898 を修正しました。
1.23.14-gke.1100
機能: Azure AD GA。この機能を使用すると、クラスタ管理者は Azure AD グループに基づいて RBAC ポリシーを構成し、クラスタで認証できます。これにより、200 を超えるグループに属するユーザーのグループ情報を取得できるため、ID プロバイダとして Azure AD を構成した通常の OIDC の制限を解消できます。
セキュリティに関する修正
- CVE-2016-10228 を修正しました。
- CVE-2019-19126 を修正しました。
- CVE-2019-25013 を修正しました。
- CVE-2020-10029 を修正しました。
- CVE-2020-16156 を修正しました。
- CVE-2020-1752 を修正しました。
- CVE-2020-27618 を修正しました。
- CVE-2020-6096 を修正しました。
- CVE-2021-27645 を修正しました。
- CVE-2021-3326 を修正しました。
- CVE-2021-33574 を修正しました。
- CVE-2021-35942 を修正しました。
- CVE-2021-3671 を修正しました。
- CVE-2021-3999 を修正しました。
- CVE-2021-43618 を修正しました。
- CVE-2022-1586 を修正しました。
- CVE-2022-1587 を修正しました。
- CVE-2022-23218 を修正しました。
- CVE-2022-23219 を修正しました。
- CVE-2022-3116 を修正しました。
- CVE-2022-32221 を修正しました。
- CVE-2022-35737 を修正しました。
- CVE-2022-37434 を修正しました。
- CVE-2022-41916 を修正しました。
- CVE-2022-43680 を修正しました。
1.23.11-gke.300
- 機能: ASM をサポートするために nodepool に
iptables
を追加しました。 - セキュリティに関する修正
- CVE-2021-3999 を修正しました。
- CVE-2022-35252 を修正しました。
- CVE-2020-35525 を修正しました。
- CVE-2020-35527 を修正しました。
- CVE-2021-20223 を修正しました。
- CVE-2022-40674 を修正しました。
- CVE-2022-37434 を修正しました。
- CVE-2021-46828 を修正しました。
- CVE-2021-3999 を修正しました。
- CVE-2022-2509 を修正しました。
- CVE-2022-1586 を修正しました。
- CVE-2022-1587 を修正しました。
- CVE-2022-40674 を修正しました。
- CVE-2022-37434 を修正しました。
- CVE-2021-46828 を修正しました。
- CVE-2022-2509 を修正しました。
- CVE-2021-3999 を修正しました。
- CVE-2022-1587 を修正しました。
- CVE-2022-1586 を修正しました。
1.23.9-gke.2200
- バグの修正: タイプが LoadBalancer で、アノテーション
service.beta.kubernetes.io/aws-load-balancer-type: nlb
を持つ Kubernetes Service リソースを作成すると、空のターゲット グループが残る問題を修正しました。https://github.com/kubernetes/cloud-provider-aws/issues/301 をご覧ください。
1.23.9-gke.2100
- セキュリティに関する修正
- CVE-2022-34903 を修正しました。
- CVE-2021-4209 を修正しました。
- CVE-2022-29900 を修正しました。
- CVE-2022-29901 を修正しました。
- CVE-2022-2385 を修正しました。
- CVE-2021-4209 を修正しました。
1.23.9-gke.800
- セキュリティに関する修正
- CVE-2022-34903 を修正しました。
- CVE-2021-4209 を修正しました。
- CVE-2022-29901 を修正しました。
- CVE-2022-28693 を修正しました。
- CVE-2022-29900 を修正しました。
- CVE-2022-23825 を修正しました。
- CVE-2022-31030 を修正しました。
1.23.8-gke.1700
- セキュリティに関する修正
- CVE-2020-1712 を修正しました。
- CVE-2021-4160 を修正しました。
- CVE-2021-43566 を修正しました。
- CVE-2022-0778 を修正しました。
- CVE-2022-1292 を修正しました。
- CVE-2022-1304 を修正しました。
- CVE-2022-1664 を修正しました。
- CVE-2022-2068 を修正しました。
- CVE-2022-2097 を修正しました。
- CVE-2022-2327 を修正しました。
- CVE-2022-32206 を修正しました。
- CVE-2022-32208 を修正しました。
1.23.7-gke.1300
- 機能: kube-scheduler と kube-controller-manager で、プロファイリング エンドポイント(/debug/pprof)がデフォルトで無効になりました。
機能: Strong Cryptographic Ciphers のみを使用するように kube-apiserver と kubelet を更新しました。Kubelet で使用されるサポート対象の暗号:
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256、TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256、TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305、TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384、TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305、TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384、TLS_RSA_WITH_AES_256_GCM_SHA384、TLS_RSA_WITH_AES_128_GCM_SHA256
kube api-server で使用されるサポート対象の暗号:
TLS_AES_128_GCM_SHA256、TLS_AES_256_GCM_SHA384、TLS_CHACHA20_POLY1305_SHA256、TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA、TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256、TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA、TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384、TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305、TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256、TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA、TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA、TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256、TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA、TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384、TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305、TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256、TLS_RSA_WITH_3DES_EDE_CBC_SHA、TLS_RSA_WITH_AES_128_CBC_SHA、TLS_RSA_WITH_AES_128_GCM_SHA256、TLS_RSA_WITH_AES_256_CBC_SHA、TLS_RSA_WITH_AES_256_GCM_SHA384
機能: Instance Metadata Server(IMDS)エミュレータを追加しました。
セキュリティに関する修正
- CVE-2022-1786 を修正しました。
- CVE-2022-29582 を修正しました。
- CVE-2022-29581 を修正しました。
- CVE-2022-1116 を修正しました。
Kubernetes 1.22
1.22.15-gke.100
- 機能: ASM をサポートするために nodepool に
iptables
を追加しました。 - セキュリティに関する修正
- CVE-2021-3999 を修正しました。
- CVE-2022-35252 を修正しました。
- CVE-2020-35525 を修正しました。
- CVE-2020-35527 を修正しました。
- CVE-2021-20223 を修正しました。
- CVE-2022-40674 を修正しました。
- CVE-2022-37434 を修正しました。
- CVE-2021-46828 を修正しました。
- CVE-2021-3999 を修正しました。
- CVE-2022-2509 を修正しました。
- CVE-2022-1586 を修正しました。
- CVE-2022-1587 を修正しました。
- CVE-2022-40674 を修正しました。
- CVE-2022-37434 を修正しました。
- CVE-2021-46828 を修正しました。
- CVE-2022-2509 を修正しました。
- CVE-2021-3999 を修正しました。
- CVE-2022-1587 を修正しました。
- CVE-2022-1586 を修正しました。
1.22.12-gke.2300
- セキュリティに関する修正
- CVE-2022-34903 を修正しました。
- CVE-2021-4209 を修正しました。
- CVE-2022-29900 を修正しました。
- CVE-2022-29901 を修正しました。
- CVE-2022-2385 を修正しました。
- CVE-2022-2509 を修正しました。
1.22.12-gke.1100
- セキュリティに関する修正
- CVE-2022-34903 を修正しました。
- CVE-2021-4209 を修正しました。
- CVE-2022-29901 を修正しました。
- CVE-2022-28693 を修正しました。
- CVE-2022-29900 を修正しました。
- CVE-2022-23825 を修正しました。
- CVE-2022-31030 を修正しました。
1.22.12-gke.200
- セキュリティに関する修正
- CVE-2020-1712 を修正しました。
- CVE-2021-4160 を修正しました。
- CVE-2021-43566 を修正しました。
- CVE-2022-0778 を修正しました。
- CVE-2022-1292 を修正しました。
- CVE-2022-1304 を修正しました。
- CVE-2022-1664 を修正しました。
- CVE-2022-2068 を修正しました。
- CVE-2022-2097 を修正しました。
- CVE-2022-2327 を修正しました。
- CVE-2022-32206 を修正しました。
- CVE-2022-32208 を修正しました。
1.22.10-gke.1500
- セキュリティに関する修正
- CVE-2022-1786 を修正しました。
- CVE-2022-29582 を修正しました。
- CVE-2022-29581 を修正しました。
- CVE-2022-1116 を修正しました。
1.22.8-gke.2100
- 機能: Windows ノードで pigz を使用して画像レイヤを抽出するパフォーマンスを改善しました。
1.22.8-gke.1300
- バグの修正
- Windows ノードプールが有効な場合にアドオンが適用できない問題を修正しました。
- Logging エージェントによって、アタッチされているディスク容量がいっぱいになる問題を修正しました。
- セキュリティに関する修正
- CVE-2022-1055 を修正しました。
- CVE-2022-0886 を修正しました。
- CVE-2022-0492 を修正しました。
- CVE-2022-24769 を修正しました。
- このリリースには、次のロールベース アクセス制御(RBAC)の変更が含まれています。
- リース更新の
anet-operator
権限の範囲を縮小しました。 - ノードと Pod の
anetd
DaemonSet 権限の範囲を縮小しました。 - サービス アカウント トークンの
fluentbit-gke
権限の範囲を縮小しました。 - サービス アカウント トークンの
gke-metrics-agent
の範囲を縮小しました。 - ノード、ConfigMap、Deployment の
coredns-autoscaler
権限の範囲を縮小しました。
1.22.8-gke.200
- 機能: Kubernetes v1.22 で作成されたクラスタとノードプールのデフォルトのインスタンス タイプが、t3.medium ではなく m5.large になりました。
- 機能: Kubernetes バージョン 1.22 を使用して新しいクラスタを作成するときに、カスタム ロギング パラメータを構成できるようになりました。
- 機能: (プレビュー機能)Kubernetes バージョン 1.22 でノードプールを作成するときに、ノードプールのイメージタイプとして Windows を選択できるようになりました。
- 機能:(プレビュー機能)ホストマシンを専用ホストとして構成できるようになりました。
- 機能: 長時間実行オペレーションのエラー フィールドで、最もよく発生する非同期のクラスタエラーとノードプール起動エラーを確認できるようになりました。詳細については、
gcloud container aws operations list
リファレンス ドキュメントをご覧ください。 - セキュリティに関する修正
- CVE-2021-22600 を修正しました。
- CVE-2022-23648 を修正しました。
- CVE-2022-0001 を修正しました。
- CVE-2022-0002 を修正しました。
- CVE-2022-23960 を修正しました。
- CVE-2022-0847 を修正しました。
Kubernetes 1.21
1.21.14-gke.2900
- セキュリティに関する修正
- CVE-2022-2097 を修正しました。
- CVE-2022-32206 を修正しました。
- CVE-2022-32208 を修正しました。
- CVE-2022-34903 を修正しました。
- CVE-2021-4209 を修正しました。
- CVE-2022-29901 を修正しました。
- CVE-2022-28693 を修正しました。
- CVE-2022-29900 を修正しました。
- CVE-2022-23825 を修正しました。
- CVE-2022-31030 を修正しました。
1.21.14-gke.2100
- セキュリティに関する修正
- CVE-2016-10228 を修正しました。
- CVE-2018-16301 を修正しました。
- CVE-2018-25032 を修正しました。
- CVE-2019-18276 を修正しました。
- CVE-2019-20838 を修正しました。
- CVE-2019-25013 を修正しました。
- CVE-2020-14155 を修正しました。
- CVE-2020-27618 を修正しました。
- CVE-2020-27820 を修正しました。
- CVE-2020-29562 を修正しました。
- CVE-2020-6096 を修正しました。
- CVE-2020-8037 を修正しました。
- CVE-2021-20193 を修正しました。
- CVE-2021-22600 を修正しました。
- CVE-2021-26401 を修正しました。
- CVE-2021-27645 を修正しました。
- CVE-2021-28711 を修正しました。
- CVE-2021-28712 を修正しました。
- CVE-2021-28713 を修正しました。
- CVE-2021-28714 を修正しました。
- CVE-2021-28715 を修正しました。
- CVE-2021-3326 を修正しました。
- CVE-2021-35942 を修正しました。
- CVE-2021-36084 を修正しました。
- CVE-2021-36085 を修正しました。
- CVE-2021-36086 を修正しました。
- CVE-2021-36087 を修正しました。
- CVE-2021-36690 を修正しました。
- CVE-2021-3711 を修正しました。
- CVE-2021-3712 を修正しました。
- CVE-2021-3772 を修正しました。
- CVE-2021-39685 を修正しました。
- CVE-2021-39686 を修正しました。
- CVE-2021-39698 を修正しました。
- CVE-2021-3995 を修正しました。
- CVE-2021-3996 を修正しました。
- CVE-2021-3999 を修正しました。
- CVE-2021-4083 を修正しました。
- CVE-2021-4135 を修正しました。
- CVE-2021-4155 を修正しました。
- CVE-2021-4160 を修正しました。
- CVE-2021-4197 を修正しました。
- CVE-2021-4202 を修正しました。
- CVE-2021-43566 を修正しました。
- CVE-2021-43618 を修正しました。
- CVE-2021-43975 を修正しました。
- CVE-2021-43976 を修正しました。
- CVE-2021-44733 を修正しました。
- CVE-2021-45095 を修正しました。
- CVE-2021-45469 を修正しました。
- CVE-2021-45480 を修正しました。
- CVE-2022-0001 を修正しました。
- CVE-2022-0002 を修正しました。
- CVE-2022-0330 を修正しました。
- CVE-2022-0435 を修正しました。
- CVE-2022-0492 を修正しました。
- CVE-2022-0516 を修正しました。
- CVE-2022-0617 を修正しました。
- CVE-2022-0778 を修正しました。
- CVE-2022-1011 を修正しました。
- CVE-2022-1016 を修正しました。
- CVE-2022-1055 を修正しました。
- CVE-2022-1116 を修正しました。
- CVE-2022-1158 を修正しました。
- CVE-2022-1198 を修正しました。
- CVE-2022-1271 を修正しました。
- CVE-2022-1292 を修正しました。
- CVE-2022-1304 を修正しました。
- CVE-2022-1353 を修正しました。
- CVE-2022-1516 を修正しました。
- CVE-2022-1664 を修正しました。
- CVE-2022-1966 を修正しました。
- CVE-2022-20008 を修正しました。
- CVE-2022-20009 を修正しました。
- CVE-2022-2068 を修正しました。
- CVE-2022-21123 を修正しました。
- CVE-2022-21125 を修正しました。
- CVE-2022-21166 を修正しました。
- CVE-2022-21499 を修正しました。
- CVE-2022-22576 を修正しました。
- CVE-2022-22942 を修正しました。
- CVE-2022-23036 を修正しました。
- CVE-2022-23037 を修正しました。
- CVE-2022-23038 を修正しました。
- CVE-2022-23039 を修正しました。
- CVE-2022-23040 を修正しました。
- CVE-2022-23041 を修正しました。
- CVE-2022-23042 を修正しました。
- CVE-2022-23218 を修正しました。
- CVE-2022-23219 を修正しました。
- CVE-2022-2327 を修正しました。
- CVE-2022-23960 を修正しました。
- CVE-2022-24407 を修正しました。
- CVE-2022-24448 を修正しました。
- CVE-2022-24958 を修正しました。
- CVE-2022-24959 を修正しました。
- CVE-2022-25258 を修正しました。
- CVE-2022-25375 を修正しました。
- CVE-2022-25636 を修正しました。
- CVE-2022-26490 を修正しました。
- CVE-2022-26966 を修正しました。
- CVE-2022-27223 を修正しました。
- CVE-2022-27666 を修正しました。
- CVE-2022-27774 を修正しました。
- CVE-2022-27775 を修正しました。
- CVE-2022-27776 を修正しました。
- CVE-2022-27781 を修正しました。
- CVE-2022-27782 を修正しました。
- CVE-2022-28356 を修正しました。
- CVE-2022-28388 を修正しました。
- CVE-2022-28389 を修正しました。
- CVE-2022-28390 を修正しました。
- CVE-2022-29155 を修正しました。
- CVE-2022-29581 を修正しました。
- CVE-2022-30594 を修正しました。
1.21.11-gke.1900
- セキュリティに関する修正
- CVE-2022-1786 を修正しました。
- CVE-2022-29582 を修正しました。
- CVE-2022-29581 を修正しました。
- CVE-2022-1116 を修正しました。
1.21.11-gke.1800
1.21.11-gke.1100
- セキュリティに関する修正
- CVE-2022-1055 を修正しました。
- CVE-2022-0886 を修正しました。
- CVE-2022-0492 を修正しました。
- CVE-2022-24769 を修正しました。
- RBAC の修正:
- リース更新のための anet-operator 権限の範囲を縮小しました。
- ノードと Pod の anetd DaemonSet 権限の範囲を縮小しました。
- サービス アカウント トークンの fluentbit-gke 権限の範囲を縮小しました。
- サービス アカウント トークンの gke-metrics-agent の範囲を縮小しました。
- ノード、ConfigMap、Deployment の coredns-autoscaler 権限の範囲を縮小しました。
1.21.11-gke.100
- セキュリティに関する修正
- CVE-2021-22600 を修正しました。
- CVE-2022-23648 を修正しました。
- CVE-2022-23648 を修正しました。
- CVE-2022-0001 を修正しました。
- CVE-2022-0002 を修正しました。
- CVE-2022-23960 を修正しました。
- CVE-2022-0847 を修正しました。
1.21.6-gke.1500
- セキュリティに関する修正
- CVE-2021-4154 を修正しました。詳細については、GCP-2022-002 をご覧ください。
- CVE-2022-0185 を修正しました。詳細については、GCP-2022-002 をご覧ください。