Kubernetes 버전 메모 자료실

이 페이지에는 지원되지 않는 버전의 Kubernetes 버전 노트 기록이 포함되어 있습니다. 최신 버전 노트를 보려면 Kubernetes 버전 노트를 참고하세요.

Kubernetes 1.28

1.28.14-gke.200

Kubernetes OSS 출시 노트

1.28.13-gke.600

Kubernetes OSS 출시 노트

1.28.12-gke.100

Kubernetes OSS 출시 노트

1.28.11-gke.600

Kubernetes OSS 출시 노트

1.28.10-gke.1300

Kubernetes OSS 출시 노트

1.28.10-gke.800

Kubernetes OSS 출시 노트

1.28.9-gke.400

Kubernetes OSS 출시 노트

1.28.8-gke.800

Kubernetes OSS 출시 노트

1.28.7-gke.1700

Kubernetes OSS 출시 노트

  • 버그 수정: 인스턴스 메타데이터 서비스(IMDS) 에뮬레이터가 때때로 노드의 IP 주소에 결합되지 않는 문제가 해결되었습니다. IMDS 에뮬레이터를 사용하면 노드가 AWS EC2 인스턴스 메타데이터에 안전하게 액세스할 수 있습니다.

1.28.5-gke.1200

Kubernetes OSS 출시 노트

1.28.5-gke.100

Kubernetes OSS 출시 노트

1.28.3-gke.700

Kubernetes OSS 출시 노트

  • 브레이킹 체인지: Kubernetes 1.28부터 클러스터에 {GCP_LOCATION}-gkemulticloud.googleapis.com에 대한 아웃바운드 HTTPS 연결이 필요합니다. 프록시 서버 또는 방화벽이 이 트래픽을 허용하는지 확인하세요.

  • 브레이킹 체인지: Kubernetes 1.28부터 멀티 클라우드 API 서비스 에이전트 역할에 AWS 프로젝트에 대해 새로운 Iam:getinstanceprofile 권한이 필요합니다. 이 권한은 멀티 클라우드 서비스가 클러스터 내 가상 머신 인스턴스에 연결된 인스턴스 프로필을 조사하기 위해 사용됩니다.

  • 기능: 업데이트 작업이 실패한 AWS 노드 풀에 대한 롤백 지원이 추가되었습니다. 이에 따라 고객이 노드 풀을 원래 상태로 되돌릴 수 있습니다.

  • 기능: 내보낸 Google 서비스 계정 키 없이 비공개 Google Artifact Registry 및 비공개 Google Container Registry에서 이미지를 가져오기 위한 지원이 추가되었습니다. 이미지 가져오기 사용자 인증 정보는 Google에서 관리되며 자동으로 순환됩니다.

  • 기능: 대부분의 기능에 대해 Google IAM 바인딩을 명시적으로 추가할 필요가 없습니다.

    1. 클러스터를 만들 때 더 이상 gke-system/gke-telemetry-agent에 바인딩을 추가할 필요가 없습니다.
    2. Google Managed Service for Prometheus에 대해 관리형 데이터 수집을 사용 설정할 때 더 이상 gmp-system/collector 또는 gmp-system/rule-evaluator에 대해 바인딩을 추가할 필요가 없습니다.
    3. Binary Authorization을 사용 설정할 때 더 이상 gke-system/binauthz-agent에 대해 바인딩을 추가할 필요가 없습니다.

  • 기능: AWS 일시 급증 업데이트가 이제 정식 버전으로 제공됩니다. 일시 급증 업데이트를 사용하면 노드 풀 업데이트의 속도와 중단을 구성할 수 있습니다. AWS 노드 풀에서 일시 급증 설정을 사용 설정하고 구성하는 방법은 노드 풀의 일시 급증 업데이트 구성을 참조하세요.

  • 기능: Ubuntu 22.04의 커널이 linux-aws 6.2로 업그레이드되었습니다.

  • 기능: AWS EC2 인스턴스: G5, I4g, M7a, M7g, M7i, R7g, R7i, R7iz를 사용하여 노드 풀을 만들 수 있도록 지원이 추가되었습니다.

  • 버그 수정사항: 출시 템플릿 만들기가 개선되었습니다. 고객이 제공하는 태그가 인스턴스에 전파됩니다.

    • 이 변경사항은 주로 IAM 정책 규칙에 대한 지원을 향상시켜 줍니다. 특히 연결된 자동 확장 그룹(ASG)이 태그 전파를 수행하는 경우에도 태그 전파를 지원하지 않는 출시 템플릿 사용을 금지하는 규칙을 해결합니다.
    • 이 변경사항은 태그 검사와 관련해서 고객의 IAM 정책 상황에 따라 브레이킹 체인지가 될 수 있습니다. 따라서 부적절한 취급으로 클러스터가 성능 저하될 수 있으므로 업그레이드 과정 중에 주의가 필요합니다.
    • Anthos 멀티 클라우드 API 서비스 에이전트 역할에 대해 arn:aws:ec2:*:*:instance/* 리소스에 대한 ec2:CreateTags 작업이 필요합니다. 최신 정보는 https://cloud.google.com/kubernetes-engine/multi-cloud/docs/aws/how-to/create-aws-iam-roles#create_service_agent_role에서 확인하세요.
    • 고객이 1.28로 업그레이드를 시도하기 전에 테스트용 1.28 클러스터를 만들고 IAM 정책이 올바르게 작동하는지 확인하는 것이 좋습니다.

  • 버그 수정사항: 클러스터를 버전 1.28로 업그레이드하면 이전 버전(최대 1.25)에서 생성되었지만 더 이상 관련이 없는 오래된 리소스가 삭제됩니다. gke-system 네임스페이스에서 다음 리소스가 있으면 삭제됩니다.

    • fluentbit-gke-windowsgke-metrics-agent-windows daemonset
    • configmap fluentbit-gke-windows-configgke-metrics-agent-windows-conf

  • 버그 수정사항: AWS용 Anthos 클러스터에서 Cloud Logging의 로그 수집이 향상되었습니다.

    • 타임스탬프 파싱 문제가 해결되었습니다.
    • anthos-metadata-agent의 오류 로그에 올바른 심각도 수준이 할당되었습니다.

  • 보안 수정사항

Kubernetes 1.27

1.27.14-gke.1600

Kubernetes OSS 출시 노트

1.27.14-gke.1200

Kubernetes OSS 출시 노트

1.27.14-gke.700

Kubernetes OSS 출시 노트

1.27.13-gke.500

Kubernetes OSS 출시 노트

1.27.12-gke.800

Kubernetes OSS 출시 노트

1.27.11-gke.1600

Kubernetes OSS 출시 노트

  • 버그 수정: 인스턴스 메타데이터 서비스(IMDS) 에뮬레이터가 때때로 노드의 IP 주소에 결합되지 않는 문제가 해결되었습니다. IMDS 에뮬레이터를 사용하면 노드가 AWS EC2 인스턴스 메타데이터에 안전하게 액세스할 수 있습니다.

1.27.10-gke.500

Kubernetes OSS 출시 노트

1.27.9-gke.100

Kubernetes OSS 출시 노트

1.27.7-gke.600

Kubernetes OSS 출시 노트

  • 기능: 'G5' AWS EC2 인스턴스를 사용하여 노드 풀 만들기를 위한 지원이 추가되었습니다.

  • 버그 수정사항: AWS용 Anthos 클러스터에서 Cloud Logging의 로그 수집이 향상되었습니다.

    • 타임스탬프 파싱 문제가 해결되었습니다.
    • anthos-metadata-agent의 오류 로그에 올바른 심각도 수준이 할당되었습니다.

  • 보안 수정사항

1.27.6-gke.700

Kubernetes OSS 출시 노트

1.27.5-gke.200

Kubernetes OSS 출시 노트

  • 기능: 이제 Ubuntu 22.04에서 linux-aws 6.2 커널 버전을 사용합니다.

  • 보안 수정사항

1.27.4-gke.1600

Kubernetes OSS 출시 노트* 지원 중단: 인증되지 않은 kubelet 읽기 전용 포트 10255가 중지되었습니다. 노드 풀이 버전 1.27로 업그레이드되면 이 노드 풀에서 해당 버전에서 실행 중인 워크로드에서 더 이상 포트 10255에 연결할 수 없습니다.

  • 기능: AWS Surge 업데이트 기능은 프리뷰 모드로 제공됩니다. 일시 급증 업데이트를 사용하면 노드 풀 업데이트의 속도와 중단을 구성할 수 있습니다. 프리뷰를 선택하려면 계정팀에 문의하세요.
  • 기능: EBS CSI 드라이버를 v1.20.0으로 업그레이드했습니다.
  • 기능: EFS CSI 드라이버를 v1.5.7로 업그레이드했습니다.

  • 기능: snapshot-controllercsi-snapshot-validation-webhook이 v6.2.2로 업그레이드되었습니다. 새 버전에는 API에 대한 중요한 변경사항이 도입되었습니다. 특히 VolumeSnapshot, VolumeSnapshotContents, VolumeSnapshotClass v1beta1 API를 더 이상 사용할 수 없습니다.

  • 기능: API 생성 및 업데이트에서 새 admin-groups 플래그에 대한 지원이 추가되었습니다. 이 플래그를 사용하면 고객이 나열된 그룹을 클러스터 관리자로 쉽고 빠르게 인증할 수 있으므로 RBAC 정책을 수동으로 만들고 적용할 필요가 없습니다.

  • 기능: 신뢰할 수 있는 컨테이너 이미지만 배포되도록 보장하는 배포 시 보안 제어인 Binary Authorization 지원이 추가되었습니다. Binary Authorization을 사용하면 개발 프로세스 중에 신뢰할 수 있는 기관이 이미지에 서명하도록 요구하고 이후 배포 시 서명 유효성 검사를 시행할 수 있습니다. 유효성 검사를 시행하면 확인된 이미지만 빌드 및 출시 프로세스에 통합되므로 컨테이너 환경을 더욱 엄격하게 제어할 수 있습니다. 클러스터에서 Binary Authorization을 사용 설정하는 방법에 대한 자세한 내용은 Binary Authorization을 사용 설정하는 방법을 참조하세요.

  • 기능: fluent-bit(로그 프로세서 및 전달자), gke-metrics-agent(측정항목 수집기), audit-proxy(감사 로그 프록시)에 대해 gzip 압축이 사용 설정되었습니다. fluent-bit는 컨트롤 플레인과 워크로드의 로그 데이터를 Cloud Logging으로 보내기 전에 압축하며 gke-metrics-agent는 컨트롤 플레인과 워크로드의 측정항목 데이터를 Cloud Monitoring으로 보내기 전에 압축합니다. audit-proxy는 감사 로그 데이터를 감사 로깅으로 보내기 전에 압축합니다. 이를 통해 네트워크 대역폭과 비용이 줄어듭니다.

  • 기능: 이제 AWS SPOT 노드 풀을 만드는 기능이 정식 버전으로 제공됩니다.

  • 기능: 이제 노드 자동 복구가 정식 버전으로 제공됩니다.

  • 기능: Cloud Storage에서 다운로드한 바이너리 아티팩트에 파일 무결성 검사와 지문 유효성 검사를 추가하여 보안이 향상되었습니다.

  • 기능: 클러스터나 노드 풀 삭제가 방지되도록 우발적으로 IAM 역할이 삭제되거나 수동으로 리소스를 삭제한 경우를 처리하기 위해 삭제 API에 ignore_errors 옵션이 추가되었습니다. 이제 DELETE 요청 URL에 ?ignore_errors=true를 추가하면 사용자가 클러스터나 노드 풀을 강제로 삭제할 수 있습니다. 하지만 이 방식은 AWS 또는 Azure에서 리소스가 분리될 수 있으므로 수동 정리가 필요합니다.

  • 기능: 컨트롤 플레인에서 etcdetcd-events의 자동 주기적 디스크 조각 모음에 대한 지원이 추가되었습니다. 이 기능은 불필요한 디스크 스토리지를 줄이고 디스크 스토리지 문제로 인해 etcd 및 컨트롤 플레인을 사용할 수 없게 되는 것을 방지하는 데 도움이 됩니다.

  • 기능: Kubernetes 리소스 측정항목의 측정항목 이름에서 kubernetes.io/ 대신 kubernetes.io/anthos/ 측정항목 프리픽스를 사용하도록 변경되었습니다. 자세한 내용은 측정항목 참고 문서를 참조하세요.

  • 기능: 안정성이 향상될 수 있도록 기본 etcd 버전이 새 클러스터에서 v3.4.21로 변경되었습니다. 이 버전으로 업그레이드된 기존 클러스터는 etcd v3.5.6을 사용합니다.

  • 기능: kubelet의 리소스를 예약하여 노드 리소스 관리가 개선되었습니다. 이 기능은 시스템 및 Kubernetes 프로세스에 필요한 리소스가 있는지 확인하여 메모리 부족(OOM) 오류를 방지하는 데 중요하지만 워크로드 중단이 발생할 수 있습니다. kubelet의 리소스 예약은 사용 가능한 포드 리소스에 영향을 미쳐 기존 워크로드를 처리하기 위한 소규모 노드의 용량에 영향을 줄 수 있습니다. 고객은 이 새로운 기능을 활성화하여 소규모 노드에서 계속 워크로드를 지원할 수 있는지 확인해야 합니다.

    • 예약된 메모리 비율은 다음과 같습니다.
    • 메모리가 1GB 미만인 머신의 경우 255MiB
    • 처음 4GB 메모리 중 25%
    • 다음 4GB 중 20%
    • 다음 8GB의 10%
    • 다음 112GB의 6%
    • 128GB 이상의 메모리 중 2%
    • 예약된 CPU 비율은 다음과 같습니다.
    • 첫 번째 코어의 6%
    • 다음 코어의 1%
    • 다음 코어 2개의 0.5%
    • 4개를 넘는 코어의 0.25%

  • 버그 수정

    • 클러스터 자동 확장 처리에서 여러 가용성 영역 간에 노드를 분산하도록 사용 설정되었습니다. --balance-similar-node-groups 플래그를 사용합니다.

  • 보안 수정사항

Kubernetes 1.26

1.26.14-gke.1500

Kubernetes OSS 출시 노트

  • 버그 수정: 인스턴스 메타데이터 서비스(IMDS) 에뮬레이터가 때때로 노드의 IP 주소에 결합되지 않는 문제가 해결되었습니다. IMDS 에뮬레이터를 사용하면 노드가 AWS EC2 인스턴스 메타데이터에 안전하게 액세스할 수 있습니다.

1.26.13-gke.400

Kubernetes OSS 출시 노트

1.26.12-gke.100

Kubernetes OSS 출시 노트

1.26.10-gke.600

Kubernetes OSS 출시 노트

  • 기능: 'G5' AWS EC2 인스턴스를 사용하여 노드 풀 만들기를 위한 지원이 추가되었습니다.

  • 버그 수정사항: Elastic File System(EFS) 컨테이너 스토리지 인터페이스(CSI) 드라이버 aws-efs-csi-driver가 버전 v1.3.8-gke.21로 업그레이드되었습니다.

  • 버그 수정사항: AWS용 Anthos 클러스터에서 Cloud Logging의 로그 수집이 향상되었습니다.

    • 타임스탬프 파싱 문제가 해결되었습니다.
    • anthos-metadata-agent의 오류 로그에 올바른 심각도 수준이 할당되었습니다.

  • 보안 수정사항

1.26.9-gke.700

Kubernetes OSS 출시 노트

1.26.8-gke.200

Kubernetes OSS 출시 노트

  • 기능: 이제 Ubuntu 22.04에서 linux-aws 6.2 커널 버전을 사용합니다.

  • 보안 수정사항

1.26.7-gke.500

Kubernetes OSS 출시 노트

1.26.5-gke.1400

Kubernetes OSS 출시 노트

1.26.5-gke.1200

Kubernetes OSS 출시 노트

  • 버그 수정사항
    • --balance-similar-node-groups를 사용하여 가용성 영역에서 노드 수를 분산하도록 클러스터 자동 확장 처리를 구성합니다.

1.26.4-gke.2200

Kubernetes OSS 출시 노트 * 기능: Ubuntu 22.04에서 linux-aws 5.19 커널을 사용합니다.

  • 버그 수정

    • Kubernetes가 지원 중단된 주석 volume.beta.kubernetes.io/storage-class가 있는 PersistentVolumeClaims에 기본 StorageClass를 잘못 적용하는 문제가 해결되었습니다.
    • Logging 에이전트가 점점 더 많은 양의 메모리를 사용하는 문제가 해결되었습니다.

  • 보안 수정사항

    • 네트워크 연결 모니터링을 담당하는 netfilter 연결 추적(conntrack)에 영향을 미치는 문제가 해결되었습니다. 이 수정은 conntrack 테이블에 새 연결을 올바르게 삽입하고 Linux 커널 버전 5.15 이상의 변경사항으로 인한 제한사항을 해결합니다.

1.26.2-gke.1001

Kubernetes OSS 출시 노트

  • 알려진 문제: Kubernetes 1.26.2는 지원 중단된 주석 volume.beta.kubernetes.io/storage-class가 있는 PersistentVolumeClaims에 기본 StorageClass를 잘못 적용합니다.

  • 기능: OS 이미지가 Ubuntu 22.04로 업데이트되었습니다. 이제 cgroupv2가 기본 제어 그룹 구성으로 사용됩니다.

    • Ubuntu 22.04는 기본적으로 cgroupv2를 사용합니다. 애플리케이션이 cgroup 파일 시스템에 액세스하는지 확인하는 것이 좋습니다. 이러한 경우 cgroupv2를 사용하도록 업데이트해야 합니다. cgroupv2와의 호환성을 보장하기 위해 업데이트가 필요할 수 있는 몇 가지 애플리케이션의 예시는 다음과 같습니다.
    • cgroup 파일 시스템에 의존하는 서드 파티 모니터링 및 보안 에이전트
    • cAdvisor가 포드 및 컨테이너 모니터링을 위한 독립형 DaemonSet로 사용되는 경우 버전 v0.43.0 이상으로 업데이트해야 합니다.
    • JDK를 사용하는 경우 버전 11.0.16 이상 또는 버전 15 이상을 사용하는 것이 좋습니다. 이러한 버전은 cgroupv2를 완벽하게 지원합니다.
    • uber-go/automaxprocs 패키지를 사용하는 경우 v1.5.1 이상 버전을 사용해야 합니다.
    • Ubuntu 22.04는 timesyncd 패키지를 삭제합니다. 대신 이제 Amazon Time Sync Service에 chrony가 사용됩니다.
    • 자세한 내용은 Ubuntu 출시 노트를 참조하세요.

  • 기능: 컨트롤 플레인 구성요소의 측정항목을 Cloud Monitoring으로 보냅니다. 여기에는 kube-apiserver, etcd, kube-scheduler, kube-controller-manager의 Prometheus 측정항목 하위 집합이 포함됩니다. 측정항목 이름은 kubernetes.io/anthos/ 프리픽스를 사용합니다.

  • 기능: Google Cloud Platform으로 Kubernetes 리소스 메타데이터를 전송하여 사용자 인터페이스 및 클러스터 측정항목을 모두 개선할 수 있습니다. 메타데이터를 올바르게 수집하려면 고객이 Config Monitoring for Ops API를 사용 설정해야 합니다. 이 API는 Google Cloud console에서 사용 설정하거나 gcloud CLI에서 직접 opsconfigmonitoring.googleapis.com API를 사용 설정할 수 있습니다. 또한 고객은 Cloud Logging/Monitoring 승인 문서에 설명된 단계에 따라 필요한 IAM 바인딩을 추가해야 합니다. 해당하는 경우 opsconfigmonitoring.googleapis.com프록시 허용 목록에 추가합니다.

  • 기능: Spot AWS 노드 풀을 만들기 위한 프리뷰 기능이 추가되었습니다.

  • 기능: 이제 ARM 기반(Graviton) 인스턴스 유형을 사용하여 노드 풀 만들기가 정식 버전으로 출시되었습니다.

  • 기능: kubelet 단계적 노드 종료가 사용 설정되었습니다. 시스템 이외의 포드는 종료하는 데 15초가 주어지며 그 후 시스템 포드(system-cluster-critical 또는 system-node-critical 우선순위 클래스 포함)는 정상적으로 종료하는 데 15초가 걸립니다.

  • 기능: 프리뷰 모드에서 노드 자동 복구 기능이 사용 설정되었습니다. 프리뷰를 선택하려면 계정팀에 문의하세요.

  • 기능: 동적으로 생성된 EFS 액세스 포인트 리소스에 태그가 추가되었습니다.

  • 기능: 이제 클러스터에 VPC 전체 규칙 대신 노드 풀별 서브넷 보안 그룹 규칙이 포함됩니다.

    • 이전에는 컨트롤 플레인이 노드 풀에 사용되는 포트 TCP/443 및 TCP/8123의 VPC 전체 기본 IP 범위에서 인바운드 트래픽을 허용했습니다.
    • 이제 컨트롤 플레인이 포트 TCP/443 및 TCP/8123에서 노드 풀 서브넷의 각 IP 범위로 허용되는 인바운드 트래픽의 범위를 좁힙니다. 여러 노드 풀은 하나의 서브넷을 공유할 수 있습니다.
    • 이 변경사항은 VPC의 기본 IP 범위 외부에서 실행되는 노드 풀을 지원하고 컨트롤 플레인의 보안을 강화합니다.
    • 클러스터 외부의 트래픽(예: kubectl의 배스천 호스트)을 허용하기 위해 VPC 전체의 보안 그룹 규칙을 사용한 경우 업그레이드의 일부로 보안 그룹을 생성하고 여기에 VPC 전체 규칙을 추가하고 AwsCluster.controlPlane.securityGroupIds 필드를 통해 보안 그룹을 컨트롤 플레인에 연결해야 합니다.

  • 버그 수정: 새로 생성된 클러스터는 이제 안정성 향상을 위해 etcd v3.4.21을 사용합니다. 이전 버전의 기존 클러스터는 이미 etcd v3.5.x를 사용했으며 클러스터 업그레이드 중 v3.4.21로 다운그레이드되지 않습니다. 이 클러스터는 대신 v3.5.6을 사용합니다.

  • 보안 수정: IMDS 에뮬레이터 응답의 홉 한도를 1로 설정합니다. 이렇게 하면 에뮬레이터와 워크로드 간에 IMDS 데이터의 통신이 보호됩니다.

Kubernetes 1.25

1.25.14-gke.700

Kubernetes OSS 출시 노트

1.25.13-gke.200

Kubernetes OSS 출시 노트

1.25.12-gke.500

Kubernetes OSS 출시 노트 * 기능: gke-metrics-agent, cilium-agent, cilium-operator, coredns, fluentbit-gke, kubelet, konnectivity-agent가 포함되도록 노드 풀에서 수집되는 측정항목 목록이 확장되었습니다.

1.25.10-gke.1400

Kubernetes OSS 출시 노트

1.25.10-gke.1200

Kubernetes OSS 출시 노트

  • 버그 수정사항
    • --balance-similar-node-groups를 사용하여 가용성 영역에서 노드 수를 분산하도록 클러스터 자동 확장 처리를 구성합니다.
  • 보안 수정사항
    • 노드 풀 측정항목 에이전트 및 측정항목 서버를 인증된 kubelet 포트로 마이그레이션했습니다.

1.25.8-gke.500

Kubernetes OSS 출시 노트

  • 버그 수정

    • Logging 에이전트가 점점 더 많은 양의 메모리를 사용하는 문제가 해결되었습니다.

  • 보안 수정사항

1.25.7-gke.1000

Kubernetes OSS 출시 노트

  • 기능: 동적으로 생성된 EFS 액세스 포인트 리소스에 태그가 추가되었습니다.

  • 버그 수정: 새로 생성된 클러스터는 이제 안정성 향상을 위해 etcd v3.4.21을 사용합니다. 이전 버전의 기존 클러스터는 이미 etcd v3.5.x를 사용했으며 클러스터 업그레이드 중 v3.4.21로 다운그레이드되지 않습니다. 이 클러스터는 대신 v3.5.6을 사용합니다.

1.25.6-gke.1600

Kubernetes OSS 출시 노트

1.25.5-gke.2000

Kubernetes OSS 출시 노트 * 기능: 동시 인증 웹훅 요청을 더 효과적으로 처리하도록 Anthos Identity Service가 업데이트되었습니다.

  • 버그 수정: 클러스터 만들기/업데이트 작업 중에 특정 오류가 전파 및 보고되지 않는 문제가 수정되었습니다.
  • 버그 수정: 커스텀 DNS 서버를 사용하도록 AWS VPC를 구성할 때 EFS 호스트 이름을 확인할 수 없는 AWS EFS CSI 드라이버 문제가 해결되었습니다.

  • 버그 수정: 최종 사용자를 가장할 수 없어 Anthos Service Mesh 대시보드를 통한 인증이 실패하는 문제가 해결되었습니다.

  • 보안 수정사항

1.25.5-gke.1500

Kubernetes OSS 출시 노트

  • 알려진 문제: Google Cloud 콘솔의 일부 UI 표시는 클러스터에 승인할 수 없으며 클러스터에 연결할 수 없다고 표시될 수 있습니다. 해결 방법은 사용자 가장을 허용하는 RBAC를 수동으로 적용하는 것입니다. 자세한 내용은 문제 해결을 참조하세요.

  • 보안 수정사항

1.25.4-gke.1300

Kubernetes OSS 출시 노트

  • 알려진 문제: Google Cloud 콘솔의 일부 UI 표시는 클러스터에 승인할 수 없으며 클러스터에 연결할 수 없다고 표시될 수 있습니다. 해결 방법은 사용자 가장을 허용하는 RBAC를 수동으로 적용하는 것입니다. 자세한 내용은 문제 해결을 참조하세요.

  • 지원 중단: 지원 중단된 트리 내 볼륨 플러그인 flocker, quobyte, storageos를 삭제했습니다.

  • 기능: 클러스터의 컨트롤 플레인 VM에서 실행되는 정적 포드가 루트가 아닌 Linux 사용자로 실행되도록 제한하여 보안이 강화되었습니다.

  • 기능: AWS 노드 풀 보안 그룹을 동적으로 업데이트하기 위한 지원이 추가되었습니다. 보안 그룹을 업데이트하려면 API 역할에 다음 권한이 있어야 합니다.

    • ec2:ModifyInstanceAttribute
    • ec2:DescribeInstances

  • 기능: AWS 노드 풀 태그를 동적으로 업데이트하기 위한 지원이 추가되었습니다. 노드 풀 태그를 업데이트하려면 API 역할에 다음 권한이 있어야 합니다.

    • autoscaling:CreateOrUpdateTags
    • autoscaling:DeleteTags
    • ec2:CreateTags
    • ec2:DeleteTags
    • ec2:DescribeLaunchTemplates

  • 기능: 이제 버전 1.25 이상의 클러스터에서 EFS 동적 프로비저닝을 정식 버전으로 사용할 수 있습니다. 이 기능을 사용하려면 컨트롤 플레인 역할에 다음 권한을 추가해야 합니다.

    • ec2:DescribeAvailabilityZones
    • elasticfilesystem:DescribeAccessPoints
    • elasticfilesystem:DescribeFileSystems
    • elasticfilesystem:DescribeMountTargets
    • elasticfilesystem:CreateAccessPoint
    • elasticfilesystem:DeleteAccessPoint

  • 기능: 이제 관리형 컬렉션과 함께 Google Managed Service for Prometheus를 사용하여 워크로드 측정항목을 Cloud Monarch로 업로드하는 기능이 정식 버전으로 제공됩니다.

  • 기능: AWS 노드 풀의 자동 확장 그룹에서 CloudWatch 측정항목 수집을 사용 설정하고 업데이트하는 지원이 추가되었습니다. API를 만들거나 업데이트하여 측정항목 수집을 사용 설정하거나 업데이트하려면 API 역할에 다음 권한을 추가해야 합니다.

    • autoscaling:EnableMetricsCollection
    • autoscaling:DisableMetricsCollection

  • 기능: Azure AD 정식 버전. 이 기능을 사용하면 클러스터 관리자가 Azure AD 그룹을 기반으로 클러스터의 RBAC 정책을 구성하여 승인할 수 있습니다. 따라서 200개가 넘는 그룹에 속하는 사용자의 그룹 정보를 검색할 수 있으므로 Azure AD를 ID 공급업체로 구성한 일반 OIDC의 제한을 극복할 수 있습니다.

  • 기능: 서비스 계정 서명 키를 사용하여 컨트롤 플레인 구성요소의 토큰을 생성하는 새로운 토큰 관리자(gke-token-manager)가 추가되었습니다. 장점:

    1. Google 서비스 인증을 위해 컨트롤 플레인 구성요소에서 kube-apiserver에 대한 종속 항목을 없앱니다. 이전에는 컨트롤 플레인 구성요소에서 TokenRequest API를 사용하고 정상 kube-apiserver에 의존했습니다. 반면 gke-token-manager 구성요소는 서비스 계정 서명 키를 사용하여 토큰을 직접 발급합니다.
    2. 컨트롤 플레인 구성요소의 토큰을 생성하는 RBAC를 제거합니다.
    3. 로깅과 kube-apiserver를 분리하여 kube-apiserver가 작동되기 전에 로깅이 수집될 수 있도록 합니다.
    4. 컨트롤 플레인의 복원력을 높입니다. kube-apiserver가 서비스가 중단되더라도 컨트롤 플레인 구성요소는 여전히 토큰을 가져와서 계속 작동할 수 있습니다.

  • 기능: 프리뷰 기능으로 kube-apiserver, etcd, kube-scheduler, kube-controller-manager를 포함하여 컨트롤 플레인 구성요소에서 Cloud Monitoring으로 다양한 측정항목을 수집합니다.

  • 기능: 필요한 RBAC 권한을 그룹에 부여하여 Google 그룹의 사용자가 Connect Gateway를 사용해 AWS 클러스터에 액세스할 수 있습니다. 자세한 내용은 Google 그룹스를 사용하여 Connect Gateway 설정을 참조하세요.

  • 버그 수정: 클러스터 업그레이드 후 오래된 gke-connect-agent 버전이 삭제되지 않는 문제가 해결되었습니다.

  • 보안 수정사항

Kubernetes 1.24

1.24.14-gke.2700

Kubernetes OSS 출시 노트

1.24.14-gke.1400

Kubernetes OSS 출시 노트

  • 버그 수정사항
    • --balance-similar-node-groups를 사용하여 가용성 영역에서 노드 수를 분산하도록 클러스터 자동 확장 처리를 구성합니다.

1.24.13-gke.500

Kubernetes OSS 출시 노트

  • 버그 수정

    • Logging 에이전트가 점점 더 많은 양의 메모리를 사용하는 문제가 해결되었습니다.

  • 보안 수정사항

1.24.11-gke.1000

Kubernetes OSS 출시 노트

  • 버그 수정: 새로 생성된 클러스터는 이제 안정성 향상을 위해 etcd v3.4.21을 사용합니다. 이전 버전의 기존 클러스터는 이미 etcd v3.5.x를 사용했으며 클러스터 업그레이드 중 v3.4.21로 다운그레이드되지 않습니다. 이 클러스터는 대신 v3.5.6을 사용합니다.

1.24.10-gke.1200

Kubernetes OSS 출시 노트

  • 버그 수정: 특정 유형의 검증 허용 웹훅이 등록된 경우 클러스터 업그레이드가 실패할 수 있는 문제가 수정되었습니다.
  • 버그 수정: 요청이 NodePort 및 LoadBalancer 유형의 서비스로 전달될 때 터널 헤더에 ID가 올바르게 전달되도록 Cilium 보안 ID 전파가 수정되었습니다.
  • 보안 수정사항

1.24.9-gke.2000

Kubernetes OSS 출시 노트

  • 기능: 동시 인증 웹훅 요청을 더 효과적으로 처리하도록 Anthos Identity Service가 업데이트되었습니다.

  • 버그 수정: 클러스터 만들기/업데이트 작업 중에 특정 오류가 전파 및 보고되지 않는 문제가 수정되었습니다.

  • 보안 수정사항

1.24.9-gke.1500

Kubernetes OSS 출시 노트

1.24.8-gke.1300

Kubernetes OSS 출시 노트

1.24.5-gke.200

Kubernetes OSS 출시 노트

1.24.3-gke.2200

Kubernetes OSS 출시 노트

  • 버그 수정: 유형 LoadBalancer 및 service.beta.kubernetes.io/aws-load-balancer-type: nlb 주석으로 Kubernetes 서비스 리소스를 만들 때 빈 대상 그룹이 유지되는 버그를 수정합니다. https://github.com/kubernetes/cloud-provider-aws/issues/301 참조

1.24.3-gke.2100

Kubernetes OSS 출시 노트

  • 기능: Windows 노드 풀의 Google Cloud Monitoring에 Kubernetes 리소스 측정항목을 업로드합니다.
  • 기능: 간편한 IMDS 에뮬레이터 삽입을 위한 웹훅을 제공했습니다.
  • 기능: go1.18은 기본적으로 SHA-1 해시 알고리즘으로 서명된 인증서의 수락을 중지합니다. 이러한 안전하지 않은 인증서를 사용하는 허용/변환 웹훅 또는 집계 서버 엔드포인트는 1.24 버전에서 기본적으로 중단됩니다. Anthos on-AWS 클러스터에 이러한 안전하지 않은 인증서가 계속 작동되도록 하는 임시 해결 방법으로 환경 변수 GODEBUG=x509sha1=1이 설정됩니다. 하지만 Go팀은 곧 출시될 출시 버전에서 이 해결 방법에 대한 지원을 제거할 것으로 예상됩니다. 고객은 향후 출시되는 버전으로 업그레이드하기 전에 안전하지 않은 인증서를 사용하는 허용/변환 웹훅 또는 집계된 서버 엔드포인트가 없는지 확인해야 합니다.
  • 기능: AWS용 GKE는 이제 Kubernetes 클러스터 버전 1.24 이상의 프리뷰 모드에서 EFS 동적 프로비저닝을 지원합니다. 이 기능을 사용하려면 컨트롤 플레인 역할에 다음 권한을 추가해야 합니다. ec2:DescribeAvailabilityZones elasticfilesystem:DescribeAccessPoints elasticfilesystem:DescribeFileSystems elasticfilesystem:DescribeMountTargets elasticfilesystem:CreateAccessPoint elasticfilesystem:DeleteAccessPoint

  • 기능: 클러스터 및 노드 풀 생성 중 네트워크 연결 확인을 개선하여 문제 해결에 도움을 줍니다.

  • 기능: AWS 컨트롤 플레인 태그 업데이트를 지원합니다. 태그를 업데이트하려면 다음 권한을 API 역할에 추가해야 합니다. autoscaling:CreateOrUpdateTags autoscaling:DeleteTags ec2:CreateTags ec2:DescribeLaunchTemplates ec2:DescribeSecurityGroupRules ec2:DeleteTags elasticloadbalancing:AddTags elasticloadbalancing:RemoveTags

  • 기능: Cloud Monarch에 Managed Service for Prometheus를 사용하여 워크로드 측정항목을 업로드하는 기능은 초대 전용 비공개 프리뷰로만 사용할 수 있습니다.

  • 보안 수정사항

Kubernetes 1.23

1.23.16-gke.2800

Kubernetes OSS 출시 노트

1.23.16-gke.200

Kubernetes OSS 출시 노트

  • 버그 수정: 클러스터 만들기/업데이트 작업 중에 특정 오류가 전파 및 보고되지 않는 문제가 수정되었습니다.

  • 버그 수정: kubeapi 서버가 AIS에 연결할 수 없는 cpp-httplib 문제가 해결되었습니다.

  • 보안 수정사항

1.23.14-gke.1800

Kubernetes OSS 출시 노트

1.23.14-gke.1100

Kubernetes OSS 출시 노트

1.23.11-gke.300

Kubernetes OSS 출시 노트

1.23.9-gke.2200

Kubernetes OSS 출시 노트

  • 버그 수정: 유형 LoadBalancer 및 service.beta.kubernetes.io/aws-load-balancer-type: nlb 주석으로 Kubernetes 서비스 리소스를 만들 때 빈 대상 그룹이 유지되는 버그를 수정합니다. https://github.com/kubernetes/cloud-provider-aws/issues/301 참조

1.23.9-gke.2100

Kubernetes OSS 출시 노트

1.23.9-gke.800

Kubernetes OSS 출시 노트

1.23.8-gke.1700

Kubernetes OSS 출시 노트

1.23.7-gke.1300

Kubernetes OSS 출시 노트

  • 기능: 기본적으로 kube-scheduler 및 kube-controller-manager에서 프로파일링 엔드포인트(/debug/pprof)를 중지합니다.

  • 기능: 강력한 암호화만 사용하도록 kube-apiserver 및 kubelet을 업데이트합니다. Kubelet에서 사용하는 지원되는 암호화:

    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_GCM_SHA256

    kube api-server에서 사용하는 지원되는 암호화:

    TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256, TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384

  • 기능: 인스턴스 메타데이터 서버(IMDS) 에뮬레이터를 추가합니다.

  • 보안 수정사항

Kubernetes 1.22

1.22.15-gke.100

Kubernetes OSS 출시 노트

1.22.12-gke.2300

Kubernetes OSS 출시 노트

1.22.12-gke.1100

Kubernetes OSS 출시 노트

1.22.12-gke.200

Kubernetes OSS 출시 노트

1.22.10-gke.1500

Kubernetes OSS 출시 노트

1.22.8-gke.2100

Kubernetes OSS 출시 노트

  • 기능: 이제 Windows 노드는 pigz를 사용하여 이미지 레이어 추출 성능을 개선합니다.

1.22.8-gke.1300

  • 버그 수정사항
    • Windows 노드 풀이 사용 설정된 경우 부가기능을 적용할 수 없는 문제가 수정되었습니다.
    • Logging 에이전트가 연결된 디스크 공간을 채울 수 있는 문제가 수정되었습니다.
  • 보안 수정사항
    • CVE-2022-1055가 수정되었습니다.
    • CVE-2022-0886이 수정되었습니다.
    • CVE-2022-0492가 수정되었습니다.
    • CVE-2022-24769가 수정되었습니다.
    • 이 출시 버전에는 다음과 같은 역할 기반 액세스 제어(RBAC) 변경사항이 포함되어 있습니다.
    • 임대 기간 업데이트의 anet-operator 권한 범위를 축소했습니다.
    • 노드와 포드의 anetd Daemonset 권한 범위를 축소했습니다.
    • 서비스 계정 토큰의 fluentbit-gke 권한 범위를 축소했습니다.
    • 서비스 계정 토큰의 gke-metrics-agent 범위를 축소했습니다.
    • 노드, ConfigMap, 배포의 coredns-autoscaler 권한 범위를 축소했습니다.

1.22.8-gke.200

Kubernetes OSS 출시 노트

  • 기능: Kubernetes v1.22에서 생성되는 클러스터 및 노드 풀의 기본 인스턴스 유형은 이제 t3.medium 대신 m5.large입니다.
  • 기능: Kubernetes 버전 1.22를 사용하여 새 클러스터를 만들 때 이제 커스텀 로깅 매개변수를 구성할 수 있습니다.
  • 기능: 이제 프리뷰 기능으로 Kubernetes 버전 1.22로 노드 풀을 생성할 때 Windows를 노드 풀 이미지 유형으로 선택할 수 있습니다.
  • 기능: 이제 프리뷰 기능으로 호스트 머신을 전용 호스트로 구성할 수 있습니다.
  • 기능: 이제 장기 실행 작업 오류 필드에서 가장 일반적인 비동기 클러스터 및 노드 풀 부팅 오류를 볼 수 있습니다. 자세한 내용은 gcloud container aws operations list 참고 문서를 확인하세요.
  • 보안 수정사항

Kubernetes 1.21

1.21.14-gke.2900

Kubernetes OSS 출시 노트

1.21.14-gke.2100

Kubernetes OSS 출시 노트

1.21.11-gke.1900

Kubernetes OSS 출시 노트

1.21.11-gke.1800

Kubernetes OSS 출시 노트

1.21.11-gke.1100

  • 보안 수정사항
    • CVE-2022-1055가 수정되었습니다.
    • CVE-2022-0886이 수정되었습니다.
    • CVE-2022-0492가 수정되었습니다.
    • CVE-2022-24769가 수정되었습니다.
    • RBAC 수정사항은 다음과 같습니다.
    • 임대 기간 업데이트의 anet-operator 권한 범위를 축소했습니다.
    • 노드와 포드의 anetd Daemonset 권한 범위를 축소했습니다.
    • 서비스 계정 토큰의 fluentbit-gke 권한 범위를 축소했습니다.
    • 서비스 계정 토큰의 gke-metrics-agent 범위를 축소했습니다.
    • 노드, ConfigMap, 배포의 coredns-autoscaler 권한 범위를 축소했습니다.

1.21.11-gke.100

Kubernetes OSS 출시 노트

1.21.6-gke.1500

Kubernetes OSS 출시 노트

1.21.5-gke.2800

Kubernetes OSS 출시 노트