Arquivo de notas de versão do Kubernetes

Esta página contém um arquivo histórico de notas de versão do Kubernetes para versões sem suporte. Para ver notas de versão mais recentes, consulte Notas de versão do Kubernetes .

Kubernetes 1.28

1.28.14-gke.200

Notas de versão do Kubernetes OSS

1.28.13-gke.600

Notas de versão do Kubernetes OSS

1.28.12-gke.100

Notas de versão do Kubernetes OSS

1.28.11-gke.600

Notas de versão do Kubernetes OSS

1.28.10-gke.1300

Notas de versão do Kubernetes OSS

1.28.10-gke.800

Notas de versão do Kubernetes OSS

1.28.9-gke.400

Notas de versão do Kubernetes OSS

1.28.8-gke.800

Notas de versão do Kubernetes OSS

1.28.7-gke.1700

Notas de versão do Kubernetes OSS

  • Correção de bug: Corrigido um problema em que o emulador do Serviço de Metadados de Instância (IMDS) às vezes não conseguia se vincular a um endereço IP no nó. O emulador IMDS permite que os nós acessem com segurança os metadados da instância do AWS EC2.

1.28.5-gke.1200

Notas de versão do Kubernetes OSS

1.28.5-gke.100

Notas de versão do Kubernetes OSS

1.28.3-gke.700

Notas de versão do Kubernetes OSS

  • Mudança radical: a partir do Kubernetes 1.28, os clusters exigem conectividade HTTPS de saída para {GCP_LOCATION}-gkemulticloud.googleapis.com . Certifique-se de que seu servidor proxy e/ou firewall permitam esse tráfego.

  • Mudança significativa: A partir do Kubernetes 1.28, a função de agente de serviço da API Multi-Cloud exige uma nova permissão Iam:getinstanceprofile no seu projeto AWS. Essa permissão é usada pelo Serviço Multi-Cloud para inspecionar os perfis de instância anexados às Instâncias de Máquina Virtual no cluster.

  • Recurso: Adicionado suporte de reversão para pools de nós da AWS que falharam nas operações de atualização. Isso permite que os clientes revertam os pools de nós ao seu estado original.

  • Recurso: Adicionado suporte para extração de imagens do Registro de Artefatos do Google e do Registro de Contêineres do Google sem a chave de Conta de Serviço do Google exportada. As credenciais de extração de imagens são gerenciadas e rotacionadas automaticamente pelo Google.

  • Recurso: Foi removida a necessidade de adicionar explicitamente vinculações do Google IAM para a maioria dos recursos.

    1. Não é mais necessário adicionar nenhuma vinculação para gke-system/gke-telemetry-agent ao criar um cluster.
    2. Não é mais necessário adicionar nenhuma vinculação para gmp-system/collector ou gmp-system/rule-evaluator ao habilitar a coleta de dados gerenciados para o Google Managed Service para Prometheus.
    3. Não é mais necessário adicionar nenhuma vinculação para gke-system/binauthz-agent ao habilitar a autorização binária.

  • Recurso: A atualização do AWS Surge já está disponível para o público em geral. As atualizações do Surge permitem configurar a velocidade e a interrupção das atualizações do pool de nós. Para obter mais detalhes sobre como habilitar e configurar as configurações do Surge nos seus pools de nós da AWS, consulte Configurar atualizações do Surge nos pools de nós .

  • Recurso: Atualizado o kernel do Ubuntu 22.04 para linux-aws 6.2.

  • Recurso: Adicionado suporte para criação de pools de nós usando as seguintes instâncias do AWS EC2: G5, I4g, M7a, M7g, M7i, R7g, R7i e R7iz.

  • Correção de bug: Melhoria na criação de modelos de inicialização. As tags fornecidas pelos clientes são propagadas para as instâncias.

    • Essa alteração aprimora principalmente o suporte às regras de política do IAM. Ela aborda especificamente regras que proíbem o uso de modelos de inicialização que não suportam propagação de tags, mesmo em casos em que o Grupo de Dimensionamento Automático (ASG) associado propaga tags.
    • Esta pode ser uma alteração drástica, dependendo das especificações da política de IAM do cliente em relação às verificações de tags. Portanto, é importante ter cautela durante o processo de atualização, pois o manuseio incorreto pode deixar o cluster em um estado degradado.
    • A ação ec2:CreateTags no recurso arn:aws:ec2:*:*:instance/* é necessária para a função de agente de serviço da API Multi-Cloud do Anthos. Consulte https://cloud.google.com/kubernetes-engine/multi-cloud/docs/aws/how-to/create-aws-iam-roles#create_service_agent_role para obter as informações mais recentes.
    • Sugerimos que os clientes tentem criar um cluster 1.28 descartável e confirmem se as políticas do IAM funcionam corretamente antes de tentar atualizar para a versão 1.28.

  • Correção de bug: Atualizar um cluster para a versão 1.28 removerá recursos obsoletos que podem ter sido criados em versões anteriores (até a 1.25), mas que não são mais relevantes. Os seguintes recursos no namespace gke-system serão excluídos, se existirem:

    • daemonsets fluentbit-gke-windows e gke-metrics-agent-windows
    • configmaps fluentbit-gke-windows-config e gke-metrics-agent-windows-conf

  • Correção de bug: ingestão aprimorada de logs do Cloud Logging de clusters do Anthos na AWS:

    • Corrigido um problema na análise de registro de data e hora.
    • Atribuiu o nível de gravidade correto aos logs de erro do anthos-metadata-agent .

  • Correções de segurança

Kubernetes 1.27

1.27.14-gke.1600

Notas de versão do Kubernetes OSS

1.27.14-gke.1200

Notas de versão do Kubernetes OSS

1.27.14-gke.700

Notas de versão do Kubernetes OSS

1.27.13-gke.500

Notas de versão do Kubernetes OSS

1.27.12-gke.800

Notas de versão do Kubernetes OSS

1.27.11-gke.1600

Notas de versão do Kubernetes OSS

  • Correção de bug: Corrigido um problema em que o emulador do Serviço de Metadados de Instância (IMDS) às vezes não conseguia se vincular a um endereço IP no nó. O emulador IMDS permite que os nós acessem com segurança os metadados da instância do AWS EC2.

1.27.10-gke.500

Notas de versão do Kubernetes OSS

1.27.9-gke.100

Notas de versão do Kubernetes OSS

1.27.7-gke.600

Notas de versão do Kubernetes OSS

  • Recurso: adicionado suporte para criação de pools de nós usando a instância 'G5' do AWS EC2.

  • Correção de bug: ingestão aprimorada de logs do Cloud Logging de clusters do Anthos na AWS:

    • Corrigido um problema na análise de registro de data e hora.
    • Atribuiu o nível de gravidade correto aos logs de erro do anthos-metadata-agent .

  • Correções de segurança

1.27.6-gke.700

Notas de versão do Kubernetes OSS

1.27.5-gke.200

Notas de versão do Kubernetes OSS

1.27.4-gke.1600

Notas de versão do Kubernetes OSS * Descontinuação: Desabilitada a porta 10255 somente leitura do kubelet não autenticado. Depois que um pool de nós for atualizado para a versão 1.27, as cargas de trabalho em execução nele não poderão mais se conectar à porta 10255.

  • Recurso: O recurso de atualização do AWS Surge está disponível em modo de pré-visualização. As atualizações do Surge permitem configurar a velocidade e a interrupção das atualizações do pool de nós. Entre em contato com sua equipe de conta para ativar a pré-visualização.
  • Recurso: O driver EBS CSI foi atualizado para a v1.20.0.
  • Recurso: O driver EFS CSI foi atualizado para a versão 1.5.7.

  • Recurso: Atualizamos o snapshot-controller e csi-snapshot-validation-webhook para a versão 6.2.2. Esta nova versão introduz uma mudança importante na API. Especificamente, as APIs VolumeSnapshot , VolumeSnapshotContents e VolumeSnapshotClass v1beta1 não estão mais disponíveis.

  • Recurso: Adicionado suporte para um novo sinalizador admin-groups nas APIs de criação e atualização. Este sinalizador permite que os clientes autentiquem grupos listados como administradores de cluster de forma rápida e fácil, eliminando a necessidade de criar e aplicar manualmente políticas RBAC.

  • Recurso: Suporte à Autorização Binária adicionado, um controle de segurança no momento da implantação que garante que apenas imagens de contêiner confiáveis ​​sejam implantadas. Com a Autorização Binária, você pode exigir que as imagens sejam assinadas por autoridades confiáveis ​​durante o processo de desenvolvimento e, em seguida, aplicar a validação da assinatura durante a implantação. Ao aplicar a validação, você obtém um controle mais rigoroso sobre seu ambiente de contêiner, garantindo que apenas imagens verificadas sejam integradas ao processo de compilação e lançamento. Para obter detalhes sobre como habilitar a Autorização Binária em seus clusters, consulte Como habilitar a Autorização Binária .

  • Recurso: Compressão gzip habilitada para fluent-bit (processador e encaminhador de logs), gke-metrics-agent (coletor de métricas) e audit-proxy (proxy de log de auditoria). fluent-bit compacta dados de log do plano de controle e das cargas de trabalho antes de enviá-los ao Cloud Logging, gke-metrics-agent compacta dados de métricas do plano de controle e das cargas de trabalho antes de enviá-los ao Cloud Monitoring, e audit-proxy compacta dados de log de auditoria antes de enviá-los ao Audit Logging. Isso reduz a largura de banda da rede e os custos.

  • Recurso: a criação de pools de nós do AWS SPOT agora está disponível gratuitamente.

  • Recurso: O Node Auto Repair agora está disponível gratuitamente.

  • Recurso: Segurança aprimorada adicionando verificações de integridade de arquivos e validação de impressão digital para artefatos binários baixados do Cloud Storage.

  • Recurso: Adicionada a opção ignore_errors à API de exclusão para lidar com casos em que funções do IAM excluídas acidentalmente ou a remoção manual de recursos impedem a exclusão de clusters ou pools de nós. Ao anexar ?ignore_errors=true à URL da solicitação DELETE , os usuários agora podem remover clusters ou pools de nós à força. No entanto, essa abordagem pode resultar em recursos órfãos na AWS ou no Azure, exigindo limpeza manual.

  • Recurso: Adicionado suporte para desfragmentação periódica automática de etcd e etcd-events no plano de controle. Este recurso reduz o armazenamento em disco desnecessário e ajuda a evitar que etcd e o plano de controle fiquem indisponíveis devido a problemas de armazenamento em disco.

  • Recurso: Alterados os nomes das métricas de recursos do Kubernetes para usar o prefixo de métricas kubernetes.io/anthos/ em vez de kubernetes.io/ . Para obter detalhes, consulte a documentação de referência de métricas.

  • Recurso: Versão padrão do etcd alterada para v3.4.21 em novos clusters para maior estabilidade. Clusters existentes atualizados para esta versão usarão o etcd v3.5.6.

  • Recurso: Gerenciamento aprimorado de recursos de nós, reservando recursos para o kubelet. Embora esse recurso seja crucial para evitar erros de falta de memória (OOM), garantindo que os processos do sistema e do Kubernetes tenham os recursos necessários, ele pode levar a interrupções na carga de trabalho. A reserva de recursos para o kubelet pode afetar os recursos disponíveis para pods, potencialmente afetando a capacidade de nós menores de lidar com as cargas de trabalho existentes. Os clientes devem verificar se os nós menores ainda conseguem suportar suas cargas de trabalho com esse novo recurso ativado.

    • As porcentagens de memória reservada são as seguintes:
    • 255 MiB para máquinas com menos de 1 GB de memória
    • 25% dos primeiros 4 GB de memória
    • 20% dos próximos 4 GB
    • 10% dos próximos 8 GB
    • 6% dos próximos 112 GB
    • 2% de qualquer memória acima de 128 GB
    • As porcentagens de CPU reservadas são as seguintes:
    • 6% do primeiro núcleo
    • 1% do próximo núcleo
    • 0,5% dos próximos 2 núcleos
    • 0,25% de quaisquer núcleos acima de 4 núcleos

  • Correções de bugs

    • O escalonador automático de cluster foi habilitado para balancear nós em diferentes zonas de disponibilidade. Isso é feito usando o sinalizador --balance-similar-node-groups .

  • Correções de segurança

Kubernetes 1.26

1.26.14-gke.1500

Notas de versão do Kubernetes OSS

  • Correção de bug: Corrigido um problema em que o emulador do Serviço de Metadados de Instância (IMDS) às vezes não conseguia se vincular a um endereço IP no nó. O emulador IMDS permite que os nós acessem com segurança os metadados da instância do AWS EC2.

1.26.13-gke.400

Notas de versão do Kubernetes OSS

1.26.12-gke.100

Notas de versão do Kubernetes OSS

1.26.10-gke.600

Notas de versão do Kubernetes OSS

  • Recurso: adicionado suporte para criação de pools de nós usando a instância 'G5' do AWS EC2.

  • Correção de bug: Atualizado o driver da interface de armazenamento de contêiner (CSI) do Elastic File System (EFS) aws-efs-csi-driver para a versão v1.3.8-gke.21.

  • Correção de bug: ingestão aprimorada de logs do Cloud Logging de clusters do Anthos na AWS:

    • Corrigido um problema na análise de registro de data e hora.
    • Atribuiu o nível de gravidade correto aos logs de erro do anthos-metadata-agent .

  • Correções de segurança

1.26.9-gke.700

Notas de versão do Kubernetes OSS

1.26.8-gke.200

Notas de versão do Kubernetes OSS

1.26.7-gke.500

Notas de versão do Kubernetes OSS

1.26.5-gke.1400

Notas de versão do Kubernetes OSS

1.26.5-gke.1200

Notas de versão do Kubernetes OSS

  • Correções de bugs
    • Configura o dimensionador automático de cluster para balancear o número de nós entre zonas de disponibilidade usando --balance-similar-node-groups.

1.26.4-gke.2200

Notas de versão do Kubernetes OSS * Recurso: O Ubuntu 22.04 está usando o kernel linux-aws 5.19.

  • Correções de bugs

    • Corrigido um problema em que o Kubernetes aplicava incorretamente o StorageClass padrão a PersistentVolumeClaims que têm a anotação obsoleta volume.beta.kubernetes.io/storage-class.
    • Corrigido um problema no qual o agente de registro consumia quantidades cada vez maiores de memória.

  • Correções de segurança

    • Corrigido um problema que afetava o rastreamento de conexões do Netfilter (conntrack), responsável por monitorar conexões de rede. A correção garante a inserção correta de novas conexões na tabela conntrack e supera as limitações causadas pelas alterações feitas nas versões 5.15 e superiores do kernel Linux.

1.26.2-gke.1001

Notas de versão do Kubernetes OSS

  • Problema conhecido: o Kubernetes 1.26.2 aplicará incorretamente o StorageClass padrão a PersistentVolumeClaims que têm a anotação obsoleta volume.beta.kubernetes.io/storage-class .

  • Recurso: Imagem do sistema operacional atualizada para Ubuntu 22.04. cgroupv2 agora é usado como a configuração de grupo de controle padrão.

    • O Ubuntu 22.04 usa cgroupv2 por padrão. Recomendamos que você verifique se algum dos seus aplicativos acessa o sistema de arquivos cgroup . Se acessarem, eles precisam ser atualizados para usar cgroupv2 . Alguns exemplos de aplicativos que podem exigir atualizações para garantir a compatibilidade com cgroupv2 são:
    • Agentes de monitoramento e segurança de terceiros que dependem do sistema de arquivos cgroup .
    • Se cAdvisor estiver sendo usado como um DaemonSet independente para monitorar Pods e contêineres, ele deverá ser atualizado para a versão v0.43.0 ou posterior.
    • Se você estiver usando o JDK, recomendamos a versão 11.0.16 e posteriores, ou a versão 15 e posteriores. Essas versões oferecem suporte total cgroupv2 .
    • Se você estiver usando o pacote uber-go/automaxprocs, certifique-se de usar a versão v1.5.1 ou superior.
    • O Ubuntu 22.04 remove o pacote timesyncd . Em vez disso, chrony agora é usado para o Serviço de Sincronização de Tempo da Amazon.
    • Para mais informações, consulte as notas de lançamento do Ubuntu

  • Recurso: Envia métricas para componentes do plano de controle para o Cloud Monitoring. Isso inclui um subconjunto das métricas do Prometheus de kube-apiserver, etcd, kube-scheduler e kube-controller-manager. Os nomes das métricas usam o prefixo kubernetes.io/anthos/ .

  • Recurso: Habilitado o envio de metadados de recursos do Kubernetes para o Google Cloud Platform, melhorando tanto a interface do usuário quanto as métricas do cluster. Para que os metadados sejam ingeridos corretamente, os clientes precisam habilitar a API Config Monitoring for Ops . Essa API pode ser habilitada noGoogle Cloud console , ou habilitando manualmente a API opsconfigmonitoring.googleapis.com na CLI do gcloud . Além disso, os clientes devem seguir as etapas descritas na documentação "Autorizar Cloud Logging/Monitoring" para adicionar as vinculações do IAM necessárias. Se aplicável, adicione opsconfigmonitoring.googleapis.com à sua Lista de Permissões de Proxy .

  • Recurso: Recurso de visualização adicionado para criação de pool de nós Spot AWS.

  • Recurso: A criação de pools de nós usando tipos de instância baseados em ARM (Graviton) agora está disponível gratuitamente.

  • Recurso: Habilitado o desligamento normal do nó do Kubelet. Pods que não são do sistema têm 15 segundos para encerrar, após os quais os Pods do sistema (com as classes de prioridade system-cluster-critical ou system-node-critical ) têm 15 segundos para encerrar normalmente.

  • Recurso: Reparo automático do Node habilitado no modo de visualização. Entre em contato com sua equipe de conta para ativar a visualização.

  • Recurso: tags adicionadas ao recurso de ponto de acesso EFS criado dinamicamente.

  • Recurso: Os clusters agora têm regras de grupo de segurança de sub-rede por pool de nós em vez de regras para toda a VPC

    • Anteriormente, o plano de controle permitia tráfego de entrada de todo o intervalo de IP primário da VPC nas portas TCP/443 e TCP/8123, que são usadas por pools de nós.
    • Agora, o plano de controle restringe o tráfego de entrada permitido para cada intervalo de IP das sub-redes do pool de nós nas portas TCP/443 e TCP/8123; vários pools de nós podem compartilhar uma sub-rede.
    • Essa alteração oferece suporte a pools de nós em execução fora do intervalo de IP principal da VPC e melhora a segurança do plano de controle.
    • Se você confiou na regra do grupo de segurança de toda a VPC para permitir tráfego de fora do cluster (por exemplo, de um bastião host para kubectl), então, como parte da atualização, você deve criar um grupo de segurança, adicionar uma regra de toda a VPC a ele e anexar o grupo de segurança ao plano de controle (por meio do campo AwsCluster.controlPlane.securityGroupIds).

  • Correções de bugs: Clusters recém-criados agora usam o etcd v3.4.21 para maior estabilidade. Clusters existentes de versões anteriores já usavam o etcd v3.5.x e não serão rebaixados para a v3.4.21 durante a atualização do cluster; esses clusters usarão a v3.5.6.

  • Correção de segurança: defina o limite de salto da resposta do emulador IMDS como 1. Isso protege a comunicação de dados IMDS entre o emulador e uma carga de trabalho.

Kubernetes 1.25

1.25.14-gke.700

Notas de versão do Kubernetes OSS

1.25.13-gke.200

Notas de versão do Kubernetes OSS

1.25.12-gke.500

Notas de versão do Kubernetes OSS * Recurso: Expandida a lista de métricas coletadas de pools de nós para incluir gke-metrics-agent , cilium-agent , cilium-operator , coredns , fluentbit-gke , kubelet e konnectivity-agent .

1.25.10-gke.1400

Notas de versão do Kubernetes OSS

1.25.10-gke.1200

Notas de versão do Kubernetes OSS

  • Correções de bugs
    • Configura o dimensionador automático de cluster para balancear o número de nós entre zonas de disponibilidade usando --balance-similar-node-groups.
  • Correções de segurança
    • O agente de métricas do pool de nós e o servidor de métricas foram migrados para a porta kubelet autenticada.

1.25.8-gke.500

Notas de versão do Kubernetes OSS

  • Correções de bugs

    • Corrigido um problema no qual o agente de registro consumia quantidades cada vez maiores de memória.

  • Correções de segurança

1.25.7-gke.1000

Notas de versão do Kubernetes OSS

  • Recurso: tags adicionadas ao recurso de ponto de acesso EFS criado dinamicamente.

  • Correções de bugs: Clusters recém-criados agora usam o etcd v3.4.21 para maior estabilidade. Clusters existentes de versões anteriores já usavam o etcd v3.5.x e não serão rebaixados para a v3.4.21 durante a atualização do cluster; esses clusters usarão a v3.5.6.

1.25.6-gke.1600

Notas de versão do Kubernetes OSS

1.25.5-gke.2000

Notas de versão do Kubernetes OSS * Recurso: Anthos Identity Service atualizado para lidar melhor com solicitações de webhook de autenticação simultâneas.

  • Correção de bug: corrigido um problema em que certos erros não eram propagados e relatados durante operações de criação/atualização de cluster.
  • Correção de bug: corrigido um problema com o driver CSI do AWS EFS em que os nomes de host do EFS não podiam ser resolvidos quando o AWS VPC estava configurado para usar um servidor DNS personalizado.

  • Correção de bug: corrigido um problema em que a autenticação por meio do painel do Anthos Service Mesh falhava devido à incapacidade de representar o usuário final.

  • Correções de segurança

1,25,5-gke.1500

Notas de versão do Kubernetes OSS

  • Problema conhecido: algumas superfícies de IU em Google Cloud O console não consegue autorizar o cluster e pode exibi-lo como inacessível. Uma solução alternativa é aplicar manualmente o RBAC, permitindo a representação do usuário. Para obter mais detalhes, consulte Solução de problemas .

  • Correções de segurança

1.25.4-gke.1300

Notas de versão do Kubernetes OSS

  • Problema conhecido: algumas superfícies de IU em Google Cloud O console não consegue autorizar o cluster e pode exibi-lo como inacessível. Uma solução alternativa é aplicar manualmente o RBAC, permitindo a representação do usuário. Para obter mais detalhes, consulte Solução de problemas .

  • Descontinuação: foram removidos os plugins de volume obsoletos na árvore flocker, quobyte e storageos .

  • Recurso: Segurança aprimorada ao restringir pods estáticos em execução nas VMs do plano de controle do cluster para serem executados como usuários Linux não raiz.

  • Recurso: Adicionado suporte para atualização dinâmica de grupos de segurança do pool de nós da AWS. Para atualizar grupos de segurança, você precisa ter as seguintes permissões na sua função de API :

    • ec2:ModifyInstanceAttribute
    • ec2:DescribeInstances

  • Recurso: Adicionado suporte para atualização dinâmica de tags de pool de nós da AWS. Para atualizar as tags de pool de nós, você precisa ter as seguintes permissões na sua função de API :

    • autoscaling:CreateOrUpdateTags
    • autoscaling:DeleteTags
    • ec2:CreateTags
    • ec2:DeleteTags
    • ec2:DescribeLaunchTemplates

  • Recurso: O provisionamento dinâmico do EFS agora está disponível no GA para clusters na versão 1.25 ou posterior. Para usar este recurso, você precisa adicionar as seguintes permissões à função do plano de controle :

    • ec2:DescribeAvailabilityZones
    • elasticfilesystem:DescribeAccessPoints
    • elasticfilesystem:DescribeFileSystems
    • elasticfilesystem:DescribeMountTargets
    • elasticfilesystem:CreateAccessPoint
    • elasticfilesystem:DeleteAccessPoint

  • Recurso: O upload de métricas de carga de trabalho usando o Google Managed Service para Prometheus com coleta gerenciada para o Cloud Monarch agora está disponível no GA.

  • Recurso: Adicionado suporte para habilitar e atualizar a coleta de métricas do CloudWatch no grupo de dimensionamento automático do pool de nós da AWS. Para habilitar ou atualizar a coleta de métricas por meio da API de criação ou atualização, você deve adicionar as seguintes permissões à sua função de API :

    • autoscaling:EnableMetricsCollection
    • autoscaling:DisableMetricsCollection

  • Recurso: Azure AD GA. Este recurso permite que administradores de cluster configurem políticas de RBAC com base em grupos do Azure AD para autorização em clusters. Isso permite a recuperação de informações de grupos para usuários pertencentes a mais de 200 grupos, superando assim uma limitação do OIDC comum configurado com o Azure AD como provedor de identidade.

  • Recurso: Adicionado um novo gerenciador de tokens (gke-token-manager) para gerar tokens para componentes do plano de controle, usando a chave de assinatura da conta de serviço. Benefícios:

    1. Eliminação da dependência do kube-apiserver para que os componentes do plano de controle se autentiquem nos serviços do Google. Anteriormente, os componentes do plano de controle usavam a API TokenRequest e dependiam de um kube-apiserver íntegro. Agora, o componente gke-token-manager cria os tokens diretamente usando a chave de assinatura da conta de serviço.
    2. Elimine o RBAC para gerar token para componentes do plano de controle.
    3. Desvincule o registro e o kube-apiserver para que o registro possa ser ingerido antes que o kube-apiserver esteja ativo.
    4. Aumente a resiliência do plano de controle. Quando o kube-apiserver estiver fora de serviço, os componentes do plano de controle ainda poderão obter os tokens e continuar funcionando.

  • Recurso: como um recurso de visualização, ingira uma variedade de métricas dos componentes do plano de controle para o Cloud Monitoring, incluindo kube-apiserver, etcd, kube-scheduler e kube-controller-manager.

  • Recurso: Usuários em um Grupo do Google podem acessar clusters da AWS usando o Connect Gateway, concedendo a permissão RBAC necessária ao Grupo. Mais detalhes em Configurar o Gateway Connect com o Grupo do Google .

  • Correção de bug: corrigido um problema que poderia fazer com que versões desatualizadas do gke-connect-agent não fossem removidas após atualizações de cluster.

  • Correções de segurança

Kubernetes 1.24

1.24.14-GKE.2700

Notas de liberação do OSS de Kubernetes

1.24.14-GKE.1400

Notas de liberação do OSS de Kubernetes

  • Correções de bugs
    • Configura o Autocaler do Cluster para equilibrar o número de nós nas zonas de disponibilidade usando-grupos de nó similares de equilíbrio.

1.24.13-gke.500

Notas de liberação do OSS de Kubernetes

  • Correções de bugs

    • Corrigido um problema no qual o agente de registro consumia quantidades cada vez mais altas de memória.

  • Correções de segurança

1.24.11-gke.1000

Notas de liberação do OSS de Kubernetes

  • Correções de bug: clusters recém-criados agora usam etcd v3.4.21 para melhorar a estabilidade. Os clusters existentes de versões anteriores já estavam usando o etcd v3.5.x e não serão rebaixados para v3.4.21 durante a atualização do cluster; Esses clusters usarão v3.5.6.

1.24.10-GKE.1200

Notas de liberação do OSS de Kubernetes

  • Correção de bug: corrigido um problema que pode fazer com que as atualizações do cluster falhem se certos tipos de webhooks de admissão validando forem registrados.
  • Correção de bug: corrigido a propagação de ID de segurança do cílio para que os IDs sejam aprovados corretamente no cabeçalho do túnel quando as solicitações são encaminhadas para os serviços do tipo Nodeport e LoadBalancer.
  • Correções de segurança

1.24.9-GKE.2000

Notas de liberação do OSS de Kubernetes

  • Recurso: Serviço de identidade Anthos atualizado para lidar melhor com as solicitações de webhook de autenticação simultânea.

  • Correção de bug: corrigiu um problema em que certos erros não foram propagados e relatados durante as operações de criação/atualização do cluster.

  • Correções de segurança

1.24.9-GKE.1500

Notas de liberação do OSS de Kubernetes

1.24.8-GKE.1300

Notas de liberação do OSS de Kubernetes

1.24.5-GKE.200

Notas de liberação do OSS de Kubernetes

1.24.3-GKE.2200

Notas de liberação do OSS de Kubernetes

  • Correção de bug: corrija um bug ao criar um recurso de serviço Kubernetes com o tipo de loadbalancer e service.beta.kubernetes.io/aws-load-balancer-type: nlb , permaneceria com um grupo alvo vazio. Consulte https://github.com/kubernetes/cloud-provider-aws/issues/301

1.24.3-GKE.2100

Notas de liberação do OSS de Kubernetes

  • Recurso: faça o upload das métricas de recursos do Kubernetes para o Google Cloud Monitoring para Windows Node Pools.
  • Recurso: forneceu um webhook para injeção de emulador fácil do IMDS.
  • Recurso: Go1.18 para de aceitar certificados assinados com o algoritmo SHA-1 hash por padrão. Webhooks de admissão/conversão ou terminais de servidor agregados usando esses certificados inseguros quebrarão por padrão em 1.24. A variável de ambiente godebug = x509sha1 = 1 é definida em clusters de Anthos On-AWS como uma solução alternativa temporária para permitir que esses certificados inseguros continuem funcionando. No entanto, espera -se que a equipe do Go remova o suporte nesta solução alternativa nos próximos lançamentos. Os clientes devem verificar e garantir que não haja nenhum webhooks de admissão/conversão ou terminais de servidores agregados que estejam usando certificados tão inseguros antes de atualizar para a próxima versão de quebra.
  • Recurso: o GKE na AWS agora suporta provisionamento dinâmico do EFS no modo de visualização, para clusters Kubernetes na versão 1.24 ou posterior. Para usar esse recurso, você deve adicionar as seguintes permissões à função de plano de controle : ec2:DescribeAvailabilityZones elasticfilesystem:DescribeAccessPoints elasticfilesystem:DescribeMountTargets elasticfilesystem:DescribeFileSystems elasticfilesystem:CreateAccessPoint elasticfilesystem:DeleteAccessPoint

  • Recurso: Melhore as verificações de conectividade de rede durante a criação de cluster e nó para ajudar a solucionar problemas.

  • Recurso: Atualizações de suporte para tags de plano de controle da AWS. Para atualizar as tags, você precisa adicionar as seguintes permissões à função da API - autoscaling:CreateOrUpdateTags autoscaling:DeleteTags ec2:CreateTags ec2:DescribeLaunchTemplates ec2:DescribeSecurityGroupRules ec2:DeleteTags elasticloadbalancing:AddTags elasticloadbalancing:RemoveTags

  • Recurso: Upload de métricas de carga de trabalho usando o Serviço Gerenciado do Google para Prometheus to Cloud Monarch está disponível como apenas uma visualização privada convite.

  • Correções de segurança

Kubernetes 1.23

1.23.16-GKE.2800

Notas de liberação do OSS de Kubernetes

1.23.16-gke.200

Notas de liberação do OSS de Kubernetes

  • Correção de bug: corrigiu um problema em que certos erros não foram propagados e relatados durante as operações de criação/atualização do cluster.

  • Correção de bug: corrigido os problemas do CPP-HTTPLIB com o servidor KUBEAPI, incapaz de alcançar o AIS.

  • Correções de segurança

1.23.14-gke.1800

Notas de liberação do OSS de Kubernetes

1.23.14-gke.1100

Notas de liberação do OSS de Kubernetes

1.23.11-gke.300

Notas de liberação do OSS de Kubernetes

1.23.9-gke.2200

Notas de liberação do OSS de Kubernetes

  • Correção de bug: corrija um bug ao criar um recurso de serviço Kubernetes com o tipo de loadbalancer e service.beta.kubernetes.io/aws-load-balancer-type: nlb , permaneceria com um grupo alvo vazio. Consulte https://github.com/kubernetes/cloud-provider-aws/issues/301

1.23.9-GKE.2100

Notas de liberação do OSS de Kubernetes

1.23.9-gke.800

Notas de liberação do OSS de Kubernetes

1.23.8-GKE.1700

Notas de liberação do OSS de Kubernetes

1.23.7-GKE.1300

Notas de liberação do OSS de Kubernetes

  • Recurso: Desative o final do perfil (/Debug/PPROF) por padrão em Kube-Scheduler e Kube-Controller-manager.

  • Recurso: Atualize o Kube-Apiserver e o Kubelet para usar apenas cifras criptográficas fortes. Cifras suportadas usadas por Kubelet:

    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_GCM_SHA256

    Cifras suportadas usadas pelo Kube API-Server:

    TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, Tls_ecdhe_ecdsa_with_chacha20_poly1305, tls_ecdhe_ecdsa_with_chacha20_poly130_sha256, Tls_ecdhe_rsa_with_3des_ede_cbc_sha, tls_ecdhe_rsa_with_aes_128_cbc_sha, tls_ecdhe_rsa_with_aes_128_gcm_sha256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305, Tls_ecdhe_rsa_with_chacha20_poly1305_sha256, tls_rsa_with_3des_ede_cbc_sha, tls_rsa_with_aes_128_cbc_sha, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384

  • Recurso: Adicione um emulador de servidor de metadados (IMDS).

  • Correções de segurança

Kubernetes 1.22

1.22.15-gke.100

Notas de liberação do OSS de Kubernetes

1.22.12-gke.2300

Notas de liberação do OSS de Kubernetes

1.22.12-gke.1100

Notas de liberação do OSS de Kubernetes

1.22.12-gke.200

Notas de liberação do OSS de Kubernetes

1.22.10-gke.1500

Notas de liberação do OSS de Kubernetes

1.22.8-GKE.2100

Notas de liberação do OSS de Kubernetes

  • Recurso: os nós do Windows agora usam Pigz para melhorar o desempenho da extração da camada de imagem.

1.22.8-gke.1300

  • Correções de bugs
    • Corrigido um problema em que os complementos não podem ser aplicados quando o Windows NodePools estiver ativado.
    • Corrigido um problema em que o agente de registro poderia preencher o espaço do disco anexado.
  • Correções de segurança
    • CVE-2022-1055 fixo.
    • CVE-2022-0886 fixo.
    • CVE-2022-0492 fixo.
    • CVE-2022-24769 fixo.
    • Esta versão inclui as seguintes alterações de controle de acesso baseado em função (RBAC):
    • Permissões anet-operator para atualização de arrendamento.
    • Scopou as permissões de danonset anetd para nós e vagens.
    • Permissões de fluentbit-gke de fluentbit para tokens de conta de serviço.
    • gke-metrics-agent
    • Escondido as permissões coredns-autoscaler para nós, configurações de configurações e implantações.

1.22.8-gke.200

Notas de liberação do OSS de Kubernetes

  • Recurso: o tipo de instância padrão para clusters e pools de nós criados no Kubernetes v1.22 agora é M5.Large em vez de t3.medium.
  • Recurso: Quando você cria um novo cluster usando o Kubernetes versão 1.22, agora você pode configurar parâmetros de log personalizados.
  • Recurso: Como um recurso de visualização, agora você pode escolher o Windows como seu tipo de imagem do pool de nós quando criar pools de nós com o Kubernetes versão 1.22.
  • Recurso: Como um recurso de visualização, agora você pode configurar máquinas host como hosts dedicados .
  • Recurso: agora você pode visualizar o cluster assíncrono mais comum e os erros de inicialização do NodePool no campo de erro de operação de longa data. Para obter mais informações, consulte a documentação de referência gcloud container aws operations list .
  • Correções de segurança

Kubernetes 1.21

1.21.14-gke.2900

Notas de liberação do OSS de Kubernetes

1.21.14-gke.2100

Notas de liberação do OSS de Kubernetes

1.21.11-gke.1900

Notas de liberação do OSS de Kubernetes

1.21.11-gke.1800

Notas de liberação do OSS de Kubernetes

1.21.11-gke.1100

  • Correções de segurança
    • CVE-2022-1055 fixo.
    • CVE-2022-0886 fixo.
    • CVE-2022-0492 fixo.
    • CVE-2022-24769 fixo.
    • RBAC correções:
    • Permissões de ANET-Operator de ANET para atualização de arrendamento.
    • Scopou as permissões de danonset para nós para nós e vagens.
    • Permissões de GKE fluentbit de fluentbit para tokens de conta de serviço.
    • Scoped
    • Escondido as permissões do COREDNS-GOUSCALER para nós, configurações de configurações e implantações.

1.21.11-gke.100

Notas de liberação do OSS de Kubernetes

1.21.6-gke.1500

Notas de liberação do OSS de Kubernetes

1.21.5-GKE.2800

Notas de liberação do OSS de Kubernetes