Versiones no compatibles de clústeres de Kubernetes

Las siguientes versiones de GKE en Azure no son compatibles.

Kubernetes 1.26

1.26.14-gke.1500

Notas de la versión de OSS de Kubernetes

1.26.13-gke.400

Notas de la versión de OSS de Kubernetes

1.26.12-gke.100

Notas de la versión de OSS de Kubernetes

1.26.10-gke.600

Notas de la versión de OSS de Kubernetes

  • Corrección de errores: Se mejoró la transferencia de registros de Cloud Logging desde clústeres de Anthos en Azure

    • Se solucionó un problema en el análisis de la marca de tiempo.
    • Se asignó el nivel de gravedad correcto a los registros de errores de anthos-metadata-agent.

  • Correcciones de seguridad

1.26.9-gke.700

Notas de la versión de OSS de Kubernetes

1.26.8-gke.200

Notas de la versión de OSS de Kubernetes

1.26.7-gke.500

Notas de la versión de OSS de Kubernetes

1.26.5-gke.1400

Notas de la versión de OSS de Kubernetes

1.26.5-gke.1200

Notas de la versión de OSS de Kubernetes

1.26.4-gke.2200

Notas de la versión de OSS de Kubernetes

  • Se corrigieron los errores.

    • Se solucionó un problema en el cual Kubernetes aplicaba de manera incorrecta el StorageClass predeterminado a PersistentVolumeClaims, que tienen el volume.beta.kubernetes.io/storage-class obsoleto.
    • Se solucionó un problema en el cual el agente de registro consumía cada vez más cantidades de memoria.

  • Correcciones de seguridad

    • Se corrigió CVE-2023-1872.
    • Se solucionó un problema que afecta al seguimiento de conexión de netfilter (conntrack), que es responsable de supervisar las conexiones de red. La corrección garantiza la inserción correcta de conexiones nuevas en la tabla conntrack y supera las limitaciones causadas por los cambios realizados en las versiones de kernel 5.15 y posteriores de Linux.

1.26.2-gke.1001

Notas de la versión de OSS de Kubernetes

  • Problema conocido: Kubernetes 1.26.2 aplicará de forma incorrecta la StorageClass predeterminada a PersistentVolumeClaims que tengan la anotación obsoleta volume.beta.kubernetes.io/storage-class.

  • Función: Imagen de SO actualizada a Ubuntu 22.04. cgroupv2 ahora se usa como la configuración predeterminada del grupo de control.

    • Ubuntu 22.04 usa cgroupv2 de forma predeterminada. Te recomendamos que verifiques si alguna de tus aplicaciones accede al sistema de archivos cgroup. Si es así, deben actualizarse para usar cgroupv2. Estas son algunas aplicaciones de ejemplo que pueden requerir actualizaciones para garantizar la compatibilidad con cgroupv2:
    • Agentes de seguridad y supervisión de terceros que dependen del sistema de archivos cgroup.
    • Si cAdvisor se usa como un DaemonSet independiente para supervisar Pods y contenedores, debe actualizarse a la versión v0.43.0 o posterior.
    • Si usas JDK, te recomendamos que uses la versión 11.0.16 y posteriores, o la versión 15 y posteriores. Estas versiones son totalmente compatibles con cgroupv2.
    • Si usas el paquete uber-go/automaxprocs, asegúrate de usar la versión v1.5.1 o posterior.
    • Para obtener más información, consulta las notas de la versión de Ubuntu.

  • Función: Envía métricas para los componentes del plano de control a Cloud Monitoring. Esto incluye un subconjunto de las métricas de Prometheus de kube-apiserver, etcd, kube-scheduler, kube-controller-manager. Los nombres de las métricas usan el prefijo kubernetes.io/anthos/.

  • Función: Habilita el envío de metadatos de recursos de Kubernetes a Google Cloud Platform, lo que mejora la interfaz de usuario y las métricas del clúster. Para que los metadatos se transfieran de forma correcta, los clientes deben habilitar la API de Config Monitoring for Ops. Esta API se puede habilitar en la consola de Google Cloud o a través de la habilitación manual de la API de opsconfigmonitoring.googleapis.com en gcloud CLI. Además, los clientes deben seguir los pasos descritos en la documentación Autoriza Cloud Logging/Monitoring para agregar las vinculaciones de IAM necesarias. Si corresponde, agrega opsconfigmonitoring.googleapis.com a tu Lista de entidades permitidas de proxy.

  • Función: Cierre ordenado de nodos de kubelet habilitado. Los Pods que no son del sistema tienen 15 segundos para finalizar, después de lo cuales los Pods del sistema (con las clases de prioridad system-cluster-critical o system-node-critical) tienen 15 segundos para finalizar de forma correcta.

  • Función: La función de reparación automática de nodos habilitada en el modo de vista previa. Comunícate con tu equipo de cuentas para habilitar la vista previa.

  • Correcciones de errores: Los clústeres creados recientemente ahora usan etcd v3.4.21 para mejorar la estabilidad. Los clústeres existentes de versiones anteriores ya usaban etcd v3.5.x y no se pasarán a la versión v3.4.21 durante la actualización del clúster. En su lugar, usarán v3.5.6.

  • Correcciones de seguridad:

Kubernetes 1.25

1.25.14-gke.700

Notas de la versión de OSS de Kubernetes

1.25.13-gke.200

Notas de la versión de OSS de Kubernetes

1.25.12-gke.500

Notas de la versión de OSS de Kubernetes * Función: Se expandió la lista de métricas recopiladas de los grupos de nodos para incluir gke-metrics-agent, cilium-agent, cilium-operator, coredns, fluentbit-gke, kubelet y konnectivity-agent.

1.25.10-gke.1400

Notas de la versión de OSS de Kubernetes

1.25.10-gke.1200

Notas de la versión de OSS de Kubernetes

  • Correcciones de seguridad
    • Agente de métricas de grupos de nodos y servidor de métricas migrados al puerto de kubelet autenticado.

1.25.8-gke.500

Notas de la versión de OSS de Kubernetes

  • Se corrigieron los errores.

    • Se solucionó un problema en el cual el agente de registro consumía cada vez más cantidades de memoria.

  • Correcciones de seguridad

1.25.7-gke.1000

Notas de la versión de OSS de Kubernetes

  • Correcciones de errores: Los clústeres creados recientemente ahora usan etcd v3.4.21 para mejorar la estabilidad. Los clústeres existentes de versiones anteriores ya usaban etcd v3.5.x y no se pasarán a la versión v3.4.21 durante la actualización del clúster. En su lugar, usarán v3.5.6.

  • Correcciones de seguridad

1.25.6-gke.1600

Notas de la versión de OSS de Kubernetes

1.25.5-gke.2000

Notas de la versión de OSS de Kubernetes

  • Función: Se actualizó Anthos Identity Service para controlar mejor las solicitudes de webhook de autenticación simultáneas.

  • Corrección de errores: Se solucionó un problema en el cual ciertos errores no se propagaban ni se informaban durante las operaciones de creación o actualización del clúster.

  • Corrección de errores: Se solucionó un problema en el que la autenticación a través del panel de Anthos Service Mesh fallaba debido a la imposibilidad de robar la identidad del usuario final.

  • Correcciones de seguridad

1.25.5-gke.1500

Notas de la versión de OSS de Kubernetes

  • Problema conocido: Algunas superficies de IU en la consola de Google Cloud no pueden autorizar al clúster y pueden mostrarlo como inaccesible. Una solución alternativa es aplicar de forma manual RBAC para permitir la identidad temporal de usuarios. Para obtener detalles, consulta Solución de problemas.

  • Correcciones de seguridad

1.25.4-gke.1300

Notas de la versión de OSS de Kubernetes

  • Problema conocido: Algunas superficies de IU en la consola de Google Cloud no pueden autorizar al clúster y pueden mostrarlo como inaccesible. Una solución alternativa es aplicar de forma manual RBAC para permitir la identidad temporal de usuarios. Para obtener detalles, consulta Solución de problemas.

  • Baja: Se quitaron el flocker, quobyte y storageos de los complementos de volumen en árbol obsoletos.

  • Función: La carga de métricas de cargas de trabajo mediante Google Managed Service para Prometheus con la recopilación administrada a Cloud Monarch ahora está disponible en DG.

  • Característica: Seguridad mejorada mediante Pods estáticos restringidos que se ejecutan en las VM del plano de control del clúster para ejecutarse como usuarios de Linux no raíz.

  • Función: Azure AD GA. Esta función permite a los administradores de clústeres configurar políticas de RBAC basadas en grupos de Azure AD para la autorización en clústeres. Esto admite la recuperación de información de grupos para usuarios que pertenecen a más de 200 grupos, lo que supera una limitación de OIDC normal configurado con Azure AD como el proveedor de identidad.

  • Función: Se agregó un administrador de tokens nuevo (gke-token-manager) a fin de generar tokens para los componentes del plano de control mediante la clave de firma de la cuenta de servicio. Beneficios:

    1. Elimina la dependencia de kube-apiserver para que los componentes del plano de control se autentiquen en los servicios de Google. Antes, los componentes del plano de control usaban la API de TokenRequest y dependían de un kube-apiserver en buen estado. Mientras que ahora el componente gke-token-manager crea los tokens directamente con la clave de firma de la cuenta de servicio.
    2. Elimina el RBAC a fin de generar tokens para los componentes del plano de control.
    3. Separan el registro y kube-apiserver. Para que el registro se pueda transferir antes de que kube-apiserver esté activo.
    4. Hacer que el plano de control tenga más resiliencia. Cuando el kube-apiserver está fuera de servicio, los componentes del plano de control aún pueden obtener los tokens y seguir funcionando.

  • Función: Como función de versión preliminar, transfiere una variedad de métricas de los componentes del plano de control a Cloud Monitoring, incluidos kube-apiserver, etcd, kube-scheduler y kube-controller-manager.

  • Función: Los usuarios de un Grupo de Google pueden acceder a los clústeres de Azure mediante la puerta de enlace de Connect si otorgan el permiso de RBAC necesario al grupo. Obtén más información en Configura la puerta de enlace de Connect con Grupos de Google.

  • Corrección de errores: Se corrigió un problema que podía provocar versiones desactualizadas de gke-connect-agent. que no se quitarán después de las actualizaciones del clúster.

  • Correcciones de seguridad

Kubernetes 1.24

1.24.14-gke.2700

Notas de la versión de OSS de Kubernetes

1.24.14-gke.1400

Notas de la versión de OSS de Kubernetes

1.24.13-gke.500

Notas de la versión de OSS de Kubernetes

  • Se corrigieron los errores.

    • Se solucionó un problema en el cual el agente de registro consumía cada vez más cantidades de memoria.

  • Correcciones de seguridad

1.24.11-gke.1000

Notas de la versión de OSS de Kubernetes

  • Correcciones de errores: Los clústeres creados recientemente ahora usan etcd v3.4.21 para mejorar la estabilidad. Los clústeres existentes de versiones anteriores ya usaban etcd v3.5.x y no se pasarán a la versión v3.4.21 durante la actualización del clúster. En su lugar, usarán v3.5.6.

  • Correcciones de seguridad

1.24.10-gke.1200

Notas de la versión de OSS de Kubernetes

  • Corrección de errores: Se solucionó un problema que podía provocar errores en las actualizaciones de los clústeres si se producían ciertos tipos de que validan los webhooks de admisión.
  • Corrección de errores: Se corrigió la propagación de ID de seguridad de Cilium para que los ID se pasen de forma correcta en el encabezado del túnel cuando las solicitudes se reenvían a los servicios de tipo NodePort y LoadBalancer.
  • Correcciones de seguridad

1.24.9-gke.2000

Notas de la versión de OSS de Kubernetes

  • Función: Se actualizó Anthos Identity Service para controlar mejor las solicitudes de webhook de autenticación simultáneas.

  • Corrección de errores: Se solucionó un problema en el cual ciertos errores no se propagaban ni se informaban durante las operaciones de creación o actualización del clúster.

  • Correcciones de seguridad

1.24.9-gke.1500

Notas de la versión de OSS de Kubernetes

1.24.8-gke.1300

Notas de la versión de OSS de Kubernetes

1.24.5-gke.200

Notas de la versión de OSS de Kubernetes

1.24.3-gke.2100

Notas de la versión de OSS de Kubernetes

  • Función: Inhabilita el extremo de generación de perfiles (/debug/pprof) de forma predeterminada en kube-scheduler y kube-controller-manager.
  • Función: Actualiza kube-apiserver y kubelet para usar solo algoritmos de cifrado criptográficos sólidos.
  • Función: go1.18 deja de aceptar certificados firmados con el algoritmo de hash SHA-1 de forma predeterminada. Los webhooks de admisión o conversión o los extremos del servidor agregados que usen estos certificados no seguros se romperán de forma predeterminada en la versión 1.24. La variable de entorno GODEBUG=x509sha1=1 se configura en los clústeres de Anthos on Azure como una solución temporal para permitir que estos certificados no seguros continúen funcionando. Sin embargo, se prevé que el equipo de Go quite la solución alternativa en las próximas versiones. Los clientes deben verificar y asegurarse de que no haya webhooks de admisión o conversión ni extremos de servidor agregados que usen esos certificados no seguros antes de actualizar a la próxima versión rotunda.
  • Función: Mejora las verificaciones de conectividad de red durante la creación del clúster y el grupo de nodos para ayudar a solucionar problemas.
  • Función: Sube las métricas de recursos de Kubernetes a Google Cloud Monitoring para los grupos de nodos de Windows.
  • Función: Implementa azure-cloud-node-manager de Daemonset con credenciales de kubelet para completar la inicialización del nodo.
  • Función: Actualiza kubelet para aplicar el proveedor de servicios en la nube externo de Azure.

  • Función: Subir métricas de cargas de trabajo con Google Managed Service para Prometheus a Cloud Monarch está disponible como vista previa privada solo con invitación.

  • Correcciones de seguridad

Kubernetes 1.23

1.23.16-gke.2800

Notas de la versión de OSS de Kubernetes

1.23.16-gke.200

Notas de la versión de OSS de Kubernetes

  • Corrección de errores: Se solucionó un problema en el cual ciertos errores no se propagaban ni se informaban durante las operaciones de creación o actualización del clúster.

  • Corrección de errores: Se solucionaron los problemas de cpp-httplib con el servidor de kubeapi que no puede acceder a AIS.

  • Correcciones de seguridad

1.23.14-gke.1800

Notas de la versión de OSS de Kubernetes

1.23.14-gke.1100

Notas de la versión de OSS de Kubernetes

1.23.11-gke.300

Notas de la versión de OSS de Kubernetes

1.23.9-gke.2100

Notas de la versión de OSS de Kubernetes

1.23.9-gke.800

Notas de la versión de OSS de Kubernetes

1.23.8-gke.1700

Notas de la versión de OSS de Kubernetes

1.23.7-gke.1300

Notas de la versión de OSS de Kubernetes

  • Función: Código fuente de Azuredisk disponible en https://console.cloud.google.com/storage/browser/gke-multi-cloud-api-release/azuredisk-csi-driver
  • Función: Código fuente de Azurefile disponible en https://console.cloud.google.com/storage/browser/gke-multi-cloud-api-release/azurefile-csi-driver
  • Función: Inhabilita el extremo de generación de perfiles (/debug/pprof) de forma predeterminada en kube-scheduler y kube-controller-manager.

  • Función: Actualiza kube-apiserver y kubelet para usar solo algoritmos de cifrado criptográficos sólidos. Algoritmos de cifrado compatibles que usa Kubelet:

    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_GCM_SHA256

    Algoritmos de cifrado admitidos que usa kube api-server:

    TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256, TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384

  • Correcciones de seguridad

Kubernetes 1.22

1.22.15-gke.100

Notas de la versión de OSS de Kubernetes

1.22.12-gke.2300

Notas de la versión de OSS de Kubernetes

1.22.12-gke.1100

Notas de la versión de OSS de Kubernetes

1.22.12-gke.200

Notas de la versión de OSS de Kubernetes

1.22.10-gke.1500

Notas de la versión de OSS de Kubernetes

1.22.8-gke.2100

Notas de la versión de OSS de Kubernetes

  • Función: Los nodos de Windows ahora usan pigz para mejorar el rendimiento de la extracción de capas de imagen.

1.22.8-gke.1300

  • Función: No puedes crear clústeres nuevos con esta versión ni actualizar clústeres existentes a esta. Sin embargo, los clústeres o grupos de nodos existentes en esta versión continuarán funcionando y se podrán actualizar a una versión posterior.

  • Se corrigieron los errores.

    • Se solucionó un problema en el cual no se pueden aplicar complementos cuando se habilitan los grupos de nodos de Windows.
    • Se solucionó un problema en el cual el agente de Logging podía llenar el espacio en el disco conectado.

  • Correcciones de seguridad

    • Se corrigió CVE-2022-1055.
    • Se corrigió CVE-2022-0886.
    • Se corrigió CVE-2022-0492.
    • Se corrigió CVE-2022-24769.
    • En esta versión, se incluyen los siguientes cambios de control de acceso basado en roles (RBAC):
    • Permisos de anet-operator con alcance reducido para la actualización de la asignación de tiempo.
    • Permisos de anetd de Daemonset con alcance reducido para nodos y Pods.
    • Permisos de fluentbit-gke con alcance reducido para los tokens de la cuenta de servicio.
    • gke-metrics-agent con alcance reducido para los tokens de la cuenta de servicio.
    • Permisos de coredns-autoscaler con alcance reducido para nodos, ConfigMaps y Deployments.

1.22.8-gke.200

Notas de la versión de OSS de Kubernetes

  • Función: No puedes crear clústeres nuevos con esta versión ni actualizar clústeres existentes a esta. Sin embargo, los clústeres o grupos de nodos existentes en esta versión continuarán funcionando y se podrán actualizar a una versión posterior.

  • Función: Cuando creas un clúster nuevo con la versión 1.22 de Kubernetes, ahora puedes configurar parámetros de registro personalizados.

  • Función: Como función de versión preliminar, ahora puedes elegir Windows como el tipo de imagen de grupo de nodos cuando crees grupos de nodos con la versión 1.22 de Kubernetes.

  • Función: Ahora puedes ver los errores más comunes de inicio de grupo de nodos y clúster asíncrono en el campo de error de operación de larga duración. Para obtener más información, consulta la gcloud container azure operations list documentación de referencia.

  • Se corrigieron los errores.

    • El agente de GKE Connect ahora lee y aplica correctamente la configuración del proxy del clúster.

  • Correcciones de seguridad

Kubernetes 1.21

1.21.14-gke.2900

Notas de la versión de OSS de Kubernetes

1.21.14-gke.2100

Notas de la versión de OSS de Kubernetes

1.21.11-gke.1900

Notas de la versión de OSS de Kubernetes

1.21.11-gke.1800

Notas de la versión de OSS de Kubernetes

1.21.11-gke.1100

No puedes crear clústeres nuevos con esta versión ni actualizar clústeres existentes a esta. Sin embargo, los clústeres o grupos de nodos existentes en esta versión continuarán funcionando y se podrán actualizar a una versión posterior.

  • Correcciones de seguridad
    • Se corrigió CVE-2022-1055.
    • Se corrigió CVE-2022-0886.
    • Se corrigió CVE-2022-0492.
    • Se corrigió CVE-2022-24769.
    • Correcciones de RBAC:
    • Permisos de anet con alcance reducido para la actualización de la asignación de tiempo.
    • Permisos de anetd de Daemonset con alcance reducido para nodos y Pods.
    • Permisos de fluentbit con alcance reducido para los tokens de la cuenta de servicio.
    • Permisos de gke-metric-agent con alcance reducido para los tokens de la cuenta de servicio.
    • Permisos de coredns-autoscaler con alcance reducido para nodos, ConfigMaps y Deployments.

1.21.11-gke.100

Notas de la versión de OSS de Kubernetes * Función: No puedes crear clústeres nuevos con esta versión ni actualizar clústeres existentes a esta. Sin embargo, los clústeres o grupos de nodos existentes en esta versión continuarán funcionando y se podrán actualizar a una versión posterior. * Correcciones de errores * El agente de GKE Connect ahora lee y aplica correctamente la configuración del proxy del clúster.

1.21.6-gke.1500

Notas de la versión de OSS de Kubernetes

Correcciones de seguridad: - Se corrigió CVE-2021-4154, consulta GCP-2022-002 para obtener más detalles. - Se corrigió CVE-2022-0185, consulta GCP-2022-002 para obtener más detalles. - Se corrigió CVE-2021-4034, consulta GCP-2022-004 para obtener más detalles. - Se corrigió CVE-2021-43527, consulta GCP-2022-005 para obtener más detalles.

1.21.5-gke.2800

Notas de la versión de OSS de Kubernetes