サポートされていない Kubernetes クラスタのバージョン
以下のバージョンの GKE on Azure はサポートされていません。
Kubernetes 1.26
1.26.14-gke.1500
1.26.13-gke.400
- バグの修正:
- runc でのファイル記述漏えいのバグ(CVE-2024-21626)を修正しました。
- セキュリティに関する修正:
- CVE-2021-43565 を修正しました。
- CVE-2022-21698 を修正しました。
- CVE-2022-27191 を修正しました。
- CVE-2022-28948 を修正しました。
- CVE-2023-39318 を修正しました。
- CVE-2023-39319 を修正しました。
- CVE-2023-39323 を修正しました。
- CVE-2023-39325 を修正しました。
- CVE-2023-39326 を修正しました。
- CVE-2023-3978 を修正しました。
- CVE-2023-44487 を修正しました。
- CVE-2023-45142 を修正しました。
- CVE-2023-45285 を修正しました。
- CVE-2023-47108 を修正しました。
- CVE-2023-48795 を修正しました。
- CVE-2024-0193 を修正しました。
- CVE-2023-6932 を修正しました。
- CVE-2023-6931 を修正しました。
- CVE-2024-0193 を修正しました。
- CVE-2023-6817 を修正しました。
1.26.12-gke.100
- セキュリティに関する修正
- CVE-2023-5363 を修正しました。
- CVE-2023-47038 を修正しました。
- CVE-2023-5981 を修正しました。
- CVE-2023-2975 を修正しました。
- CVE-2023-4527 を修正しました。
- CVE-2023-29002 を修正しました。
- CVE-2023-38545 を修正しました。
- CVE-2023-28321 を修正しました。
- CVE-2023-0464 を修正しました。
- CVE-2023-1255 を修正しました。
- CVE-2023-41332 を修正しました。
- CVE-2023-0465 を修正しました。
- CVE-2023-4016 を修正しました。
- CVE-2022-29458 を修正しました。
- CVE-2022-3996 を修正しました。
- CVE-2023-2602 を修正しました。
- CVE-2023-38546 を修正しました。
- CVE-2023-34242 を修正しました。
- CVE-2023-0466 を修正しました。
- CVE-2022-48522 を修正しました。
- CVE-2023-28322 を修正しました。
- CVE-2023-30851 を修正しました。
- CVE-2023-2283 を修正しました。
- CVE-2023-27594 を修正しました。
- CVE-2023-2603 を修正しました。
- CVE-2023-27593 を修正しました。
- CVE-2023-5156 を修正しました。
- CVE-2023-39347 を修正しました。
- CVE-2023-1667 を修正しました。
- CVE-2023-2650 を修正しました。
- CVE-2023-31484 を修正しました。
- CVE-2023-27595 を修正しました。
- CVE-2023-41333 を修正しました。
- CVE-2023-5869 を修正しました。
- CVE-2023-39417 を修正しました。
- CVE-2023-5868 を修正しました。
- CVE-2023-5870 を修正しました。
1.26.10-gke.600
バグの修正: Cloud Logging による Anthos clusters on Azure からのログの取り込みが強化されました。
- タイムスタンプ解析の問題を修正しました。
anthos-metadata-agent
のエラーログに正しい重大度を割り当てました。
セキュリティに関する修正
- CVE-2023-5197 を修正しました。
- CVE-2023-44487 を修正しました。
- CVE-2023-39325 を修正しました。
- CVE-2023-4147 を修正しました。
- CVE-2022-1996 を修正しました。
1.26.9-gke.700
- セキュリティに関する修正
- CVE-2015-3276 を修正しました。
- CVE-2022-29155 を修正しました。
1.26.8-gke.200
機能: Ubuntu 22.04 は linux-azure 6.2 カーネル バージョンを使用するようになりました。
セキュリティに関する修正
- CVE-2023-3610 を修正しました。
- CVE-2023-3776 を修正しました。
- CVE-2023-3611 を修正しました。
1.26.7-gke.500
- セキュリティに関する修正
- CVE-2022-3821 を修正しました。
- CVE-2022-4415 を修正しました。
1.26.5-gke.1400
- セキュリティに関する修正
- CVE-2022-27664 を修正しました
- CVE-2022-32149 を修正しました
- CVE-2022-41723 を修正しました
- CVE-2023-24534 を修正しました
- CVE-2023-24536 を修正しました
- CVE-2023-24537 を修正しました
- CVE-2023-24538 を修正しました。
1.26.5-gke.1200
1.26.4-gke.2200
バグの修正
- Kubernetes で、サポートが終了したアノテーション volume.beta.kubernetes.io/storage-class を持つ PersistentVolumeClaim にデフォルトの StorageClass が誤って適用される問題を修正しました。
- Logging エージェントが、メモリを大量に消費するようになる問題を修正しました。
セキュリティに関する修正
- CVE-2023-1872 を修正しました。
- ネットワーク接続をモニタリングする netfilter 接続トラッキング(conntrack)に悪影響を与える問題を修正しました。この修正により、conntrack テーブルに新しい接続が適切に挿入されます。また、Linux カーネル バージョン 5.15 以降に加えられた変更に起因する制限が解消されます。
1.26.2-gke.1001
- 既知の問題: Kubernetes 1.26.2 では、非推奨のアノテーション
volume.beta.kubernetes.io/storage-class
を持つ PersistentVolumeClaim にデフォルトの StorageClass が誤って適用されます。 機能: OS イメージを Ubuntu 22.04 に更新しました。これにより、デフォルトのコントロール グループ構成として
cgroupv2
が使用されるようになりました。- Ubuntu 22.04 はデフォルトで
cgroupv2
を使用します。cgroup
ファイル システムにアクセスするアプリケーションがあるかどうかを確認することをおすすめします。アクセスしている場合は、cgroupv2
を使用するように更新する必要があります。cgroupv2
との互換性を確保するために更新が必要になる可能性のあるアプリの例を以下に示します。 cgroup
ファイル システムに依存するサードパーティのモニタリング エージェントとセキュリティ エージェント。cAdvisor
が Pod とコンテナをモニタリングするためのスタンドアロンの DaemonSet として使用されている場合は、バージョン v0.43.0 以降に更新する必要があります。- JDK を使用している場合は、バージョン 11.0.16 以降またはバージョン 15 以降を使用することをおすすめします。これらのバージョンは
cgroupv2
を完全にサポートしています。 - uber-go/automaxprocs パッケージを使用している場合は、バージョン v1.5.1 以降を使用してください。
- 詳細については、Ubuntu のリリースノートをご覧ください。
- Ubuntu 22.04 はデフォルトで
機能: コントロール プレーン コンポーネントの指標を Cloud Monitoring に送信します。これには、kube-apiserver、etcd、kube-scheduler、kube-controller-manager の Prometheus 指標のサブセットが含まれます。指標名には接頭辞
kubernetes.io/anthos/
を使用します。機能: Kubernetes リソース メタデータを Google Cloud Platform に送信できるようになりました。これにより、ユーザー インターフェースとクラスタ指標の両方が改善されます。メタデータを正しく取り込むには、お客様が
Config Monitoring for Ops
API を有効にする必要があります。この API は、Google Cloud コンソールで有効にするか、gcloud CLI でopsconfigmonitoring.googleapis.com
API を手動で有効にすることもできます。さらに、ユーザーは Cloud Logging/Monitoring の承認ドキュメントで説明されている手順に沿って、必要な IAM バインディングを追加する必要があります。その場合は、プロキシの許可リストにopsconfigmonitoring.googleapis.com
を追加します。機能: kubelet のグレースフル ノード シャットダウンが有効になりました。システム Pod 以外の Pod には 15 秒の猶予があります。その後、システム Pod(優先順位が
system-cluster-critical
またはsystem-node-critical
)に、正常に終了するために 15 秒の猶予があります。機能: プレビュー モードでノードの自動修復機能を有効にしました。プレビューを有効にするには、担当のアカウント チームまでお問い合わせください。
バグの修正: 新しく作成されたクラスタでは、安定性を高めるため、etcd v3.4.21 を使用するようになりました。以前のバージョンの既存のクラスタはすでに etcd v3.5.x を使用しており、クラスタのアップグレード時に v3.4.21 へダウングレードされることはありません。こうしたクラスタでは、代わりに v3.5.6 が使用されます。
セキュリティに関する修正:
- CVE-2023-0461 を修正しました。
Kubernetes 1.25
1.25.14-gke.700
- セキュリティに関する修正
- CVE-2015-3276 を修正しました。
- CVE-2022-29155 を修正しました。
1.25.13-gke.200
- セキュリティに関する修正
- CVE-2023-3610 を修正しました。
- CVE-2023-3776 を修正しました。
- CVE-2023-3611 を修正しました。
1.25.12-gke.500
Kubernetes OSS リリースノート * 機能: ノードプールから収集する指標のリストを拡張し、gke-metrics-agent
、cilium-agent
、cilium-operator
、coredns
、fluentbit-gke
、kubelet
、konnectivity-agent
を追加しました。
- セキュリティに関する修正
- CVE-2022-3821 を修正しました。
- CVE-2022-4415 を修正しました。
- CVE-2022-29458 を修正しました。
- CVE-2023-0464 を修正しました。
- CVE-2023-0465 を修正しました。
- CVE-2023-0466 を修正しました。
- CVE-2023-2650 を修正しました。
1.25.10-gke.1400
- セキュリティに関する修正
- CVE-2022-0464 を修正しました。
- CVE-2022-27664 を修正しました。
- CVE-2022-32149 を修正しました。
- CVE-2023-29491 を修正しました。
- CVE-2023-31484 を修正しました。
1.25.10-gke.1200
- セキュリティに関する修正
- ノードプールの指標エージェントと指標サーバーを、認証済みの kubelet ポートに移行しました。
1.25.8-gke.500
バグの修正
- Logging エージェントが、メモリを大量に消費するようになる問題を修正しました。
セキュリティに関する修正
- CVE-2023-1872 を修正しました。
1.25.7-gke.1000
バグの修正: 新しく作成されたクラスタでは、安定性を高めるため、etcd v3.4.21 を使用するようになりました。以前のバージョンの既存のクラスタはすでに etcd v3.5.x を使用しており、クラスタのアップグレード時に v3.4.21 へダウングレードされることはありません。こうしたクラスタでは、代わりに v3.5.6 が使用されます。
セキュリティに関する修正
- CVE-2023-0461 を修正しました。
1.25.6-gke.1600
バグの修正: 特定のタイプの検証用アドミッション Webhook が登録されている場合、クラスタのアップグレードに失敗することがある問題を修正しました。
セキュリティに関する修正
- CVE-2023-25153 を修正しました。
- CVE-2023-25173 を修正しました。
- CVE-2023-0286 を修正しました。
- CVE-2022-4450 を修正しました。
- CVE-2023-0215 を修正しました。
- CVE-2022-2097 を修正しました。
- CVE-2022-4304 を修正しました。
1.25.5-gke.2000
機能: Anthos Identity Service を更新し、同時認証 Webhook リクエストをより適切に処理するようにしました。
バグの修正: クラスタの作成 / 更新オペレーション中に特定のエラーが伝播されず、レポートされない問題を修正しました。
バグの修正: エンドユーザーの権限を借用できず Anthos Service Mesh ダッシュボードでの認証が失敗する問題を修正しました。
セキュリティに関する修正
- CVE-2022-2097 を修正しました。
- CVE-2022-42898 を修正しました。
1.25.5-gke.1500
既知の問題: Google Cloud コンソールの一部の UI サーフェスでクラスタの認証ができず、クラスタが到達不能と表示されることがあります。この問題を回避するには、ユーザーの権限借用を許可する RBAC を手動で適用してください。詳しくは、トラブルシューティングをご覧ください。
セキュリティに関する修正
- CVE-2022-23471 を修正しました。
- CVE-2021-46848 を修正しました。
- CVE-2022-42898 を修正しました。
1.25.4-gke.1300
既知の問題: Google Cloud コンソールの一部の UI サーフェスでクラスタの認証ができず、クラスタが到達不能と表示されることがあります。この問題を回避するには、ユーザーの権限借用を許可する RBAC を手動で適用してください。詳しくは、トラブルシューティングをご覧ください。
非推奨: 非推奨の in-tree Volume プラグイン flocker、guobyte、storageos を削除しました。
機能: マネージド収集で Google Managed Service for Prometheus を使用した、Cloud Monarch へのワークロード指標のアップロードが一般提供で利用可能になりました。
機能: クラスタのコントロール プレーン VM で実行される静的 Pod を、root 以外の Linux ユーザーとして実行するように制限することで、セキュリティを強化しました。
機能: Azure AD GA。この機能を使用すると、クラスタ管理者は Azure AD グループに基づいて RBAC ポリシーを構成し、クラスタで認証できます。これにより、200 を超えるグループに属するユーザーのグループ情報を取得できるため、ID プロバイダとして Azure AD を構成した通常の OIDC の制限を解消できます。
機能: サービス アカウント署名鍵を使用して、コントロール プレーン コンポーネント用のトークンを生成する新しいトークン マネージャー(gke-token-manager)を追加しました。メリット:
- コントロール プレーン コンポーネントが Google サービスに対して認証を行うため、kube-apiserver への依存関係がなくなります。これまでは、コントロール プレーン コンポーネントは TokenRequest API を使用し、正常な kube-apiserver に依存していました。現在は gke-token-manager コンポーネントがサービス アカウント署名鍵を使用して、トークンを直接作成します。
- コントロール プレーン コンポーネントのトークン生成に対する RBAC が不要になります。
- ロギングと kube-apiserver が分離されます。kube-apiserver の起動前にロギングが取り込まれるようになります。
- コントロール プレーンの復元力が向上します。kube-apiserver が動作していない場合は、コントロール プレーン コンポーネントがトークンを取得して引き続き機能します。
機能: プレビュー機能として、kube-apiserver、etcd、kube-scheduler、kube-controller-manager などのコントロール プレーン コンポーネントから Cloud Monitoring にさまざまな指標を取り込みます。
機能: Google グループ内のユーザーは、グループに必要な RBAC 権限を付与することで、Connect ゲートウェイを使用して Azure クラスタにアクセスできます。詳細については、Google グループで Connect ゲートウェイを設定するをご覧ください。
バグの修正: クラスタのアップグレード後に古いバージョンの
gke-connect-agent
が削除されない問題を修正しました。セキュリティに関する修正
- CVE-2020-16156 を修正しました。
- CVE-2021-3671 を修正しました。
- CVE-2021-4037 を修正しました。
- CVE-2021-43618 を修正しました。
- CVE-2022-0171 を修正しました。
- CVE-2022-1184 を修正しました。
- CVE-2022-20421 を修正しました。
- CVE-2022-2602 を修正しました。
- CVE-2022-2663 を修正しました。
- CVE-2022-2978 を修正しました。
- CVE-2022-3061 を修正しました。
- CVE-2022-3116 を修正しました。
- CVE-2022-3176 を修正しました。
- CVE-2022-32221 を修正しました。
- CVE-2022-3303 を修正しました。
- CVE-2022-35737 を修正しました。
- CVE-2022-3586 を修正しました。
- CVE-2022-3621 を修正しました。
- CVE-2022-3646 を修正しました。
- CVE-2022-3649 を修正しました。
- CVE-2022-37434 を修正しました。
- CVE-2022-3903 を修正しました。
- CVE-2022-39188 を修正しました。
- CVE-2022-39842 を修正しました。
- CVE-2022-40303 を修正しました。
- CVE-2022-40304 を修正しました。
- CVE-2022-40307 を修正しました。
- CVE-2022-40768 を修正しました。
- CVE-2022-4095 を修正しました。
- CVE-2022-41674 を修正しました。
- CVE-2022-41916 を修正しました。
- CVE-2022-42010 を修正しました。
- CVE-2022-42011 を修正しました。
- CVE-2022-42012 を修正しました。
- CVE-2022-42719 を修正しました。
- CVE-2022-42720 を修正しました。
- CVE-2022-42721 を修正しました。
- CVE-2022-42722 を修正しました。
- CVE-2022-43680 を修正しました。
- CVE-2022-43750 を修正しました。
- CVE-2022-44638 を修正しました。
Kubernetes 1.24
1.24.14-gke.2700
- セキュリティに関する修正
- CVE-2022-28321 を修正しました。
- CVE-2022-44640 を修正しました。
1.24.14-gke.1400
1.24.13-gke.500
バグの修正
- Logging エージェントが、メモリを大量に消費するようになる問題を修正しました。
セキュリティに関する修正
- CVE-2023-1872 を修正しました。
1.24.11-gke.1000
バグの修正: 新しく作成されたクラスタでは、安定性を高めるため、etcd v3.4.21 を使用するようになりました。以前のバージョンの既存のクラスタはすでに etcd v3.5.x を使用しており、クラスタのアップグレード時に v3.4.21 へダウングレードされることはありません。こうしたクラスタでは、代わりに v3.5.6 が使用されます。
セキュリティに関する修正
- CVE-2023-0461 を修正しました。
1.24.10-gke.1200
- バグの修正: 特定のタイプの検証用アドミッション Webhook が登録されている場合、クラスタのアップグレードに失敗することがある問題を修正しました。
- バグの修正: リクエストが NodePort と LoadBalancer タイプの Service に転送されるときに、トンネル ヘッダーで ID が適切に渡されるように、Cilium セキュリティ ID の伝播を修正しました。
- セキュリティに関する修正
- CVE-2023-25153 を修正しました。
- CVE-2023-25173 を修正しました。
- CVE-2023-0286 を修正しました。
- CVE-2022-4450 を修正しました。
- CVE-2023-0215 を修正しました。
- CVE-2022-2097 を修正しました。
- CVE-2022-4304 を修正しました。
1.24.9-gke.2000
機能: Anthos Identity Service を更新し、同時認証 Webhook リクエストをより適切に処理するようにしました。
バグの修正: クラスタの作成 / 更新オペレーション中に特定のエラーが伝播されず、レポートされない問題を修正しました。
セキュリティに関する修正
- CVE-2022-2097 を修正しました。
- CVE-2022-42898 を修正しました。
1.24.9-gke.1500
- セキュリティに関する修正
- CVE-2022-23471 を修正しました。
- CVE-2021-46848 を修正しました。
- CVE-2022-42898 を修正しました。
1.24.8-gke.1300
機能: Azure AD GA。この機能を使用すると、クラスタ管理者は Azure AD グループに基づいて RBAC ポリシーを構成し、クラスタで認証できます。これにより、200 を超えるグループに属するユーザーのグループ情報を取得できるため、ID プロバイダとして Azure AD を構成した通常の OIDC の制限を解消できます。
セキュリティに関する修正
- CVE-2020-16156 を修正しました。
- CVE-2021-3671 を修正しました。
- CVE-2021-4037 を修正しました。
- CVE-2021-43618 を修正しました。
- CVE-2022-0171 を修正しました。
- CVE-2022-1184 を修正しました。
- CVE-2022-20421 を修正しました。
- CVE-2022-2602 を修正しました。
- CVE-2022-2663 を修正しました。
- CVE-2022-2978 を修正しました。
- CVE-2022-3061 を修正しました。
- CVE-2022-3116 を修正しました。
- CVE-2022-3176 を修正しました。
- CVE-2022-32221 を修正しました。
- CVE-2022-3303 を修正しました。
- CVE-2022-3586 を修正しました。
- CVE-2022-3621 を修正しました。
- CVE-2022-3646 を修正しました。
- CVE-2022-3649 を修正しました。
- CVE-2022-37434 を修正しました。
- CVE-2022-3903 を修正しました。
- CVE-2022-39188 を修正しました。
- CVE-2022-39842 を修正しました。
- CVE-2022-40303 を修正しました。
- CVE-2022-40304 を修正しました。
- CVE-2022-40307 を修正しました。
- CVE-2022-40768 を修正しました。
- CVE-2022-4095 を修正しました。
- CVE-2022-41674 を修正しました。
- CVE-2022-42010 を修正しました。
- CVE-2022-42011 を修正しました。
- CVE-2022-42012 を修正しました。
- CVE-2022-42719 を修正しました。
- CVE-2022-42720 を修正しました。
- CVE-2022-42721 を修正しました。
- CVE-2022-42722 を修正しました。
- CVE-2022-43680 を修正しました。
- CVE-2022-43750 を修正しました。
- CVE-2022-44638 を修正しました。
1.24.5-gke.200
- セキュリティに関する修正
- CVE-2022-40674 を修正しました。
- CVE-2021-3999 を修正しました。
- CVE-2022-1679 を修正しました。
- CVE-2022-2795 を修正しました。
- CVE-2022-3028 を修正しました。
- CVE-2022-38177 を修正しました。
- CVE-2022-38178 を修正しました。
- CVE-2021-3502 を修正しました。
- CVE-2021-44648 を修正しました。
- CVE-2021-46829 を修正しました。
- CVE-2022-2905 を修正しました。
- CVE-2022-3080 を修正しました。
- CVE-2022-35252 を修正しました。
- CVE-2022-39190 を修正しました。
- CVE-2022-41222 を修正しました。
- CVE-2020-8287 を修正しました。
- CVE-2022-1184 を修正しました。
- CVE-2022-1586 を修正しました。
- CVE-2022-1587 を修正しました。
- CVE-2022-2153 を修正しました。
- CVE-2022-39188 を修正しました。
- CVE-2022-20422 を修正しました。
- CVE-2021-3999 を修正しました。
- CVE-2022-1586 を修正しました。
- CVE-2022-1587 を修正しました。
- CVE-2022-35252 を修正しました。
- CVE-2020-35525 を修正しました。
- CVE-2020-35527 を修正しました。
- CVE-2021-20223 を修正しました。
- CVE-2022-37434 を修正しました。
- CVE-2022-40674 を修正しました。
- CVE-2021-3999 を修正しました。
- CVE-2022-32744 を修正しました。
- CVE-2021-46828 を修正しました。
- CVE-2022-2509 を修正しました。
- CVE-2022-2031 を修正しました。
- CVE-2022-32745 を修正しました。
- CVE-2022-1586 を修正しました。
- CVE-2022-1587 を修正しました。
- CVE-2022-32742 を修正しました。
- CVE-2022-32746 を修正しました。
- CVE-2022-1586 を修正しました。
- CVE-2022-1587 を修正しました。
- CVE-2022-40674 を修正しました。
- CVE-2022-37434 を修正しました。
- CVE-2021-3999 を修正しました。
- CVE-2022-2509 を修正しました。
- CVE-2021-46828 を修正しました。
1.24.3-gke.2100
- 機能: kube-scheduler と kube-controller-manager で、プロファイリング エンドポイント(/debug/pprof)がデフォルトで無効になりました。
- 機能: Strong Cryptographic Ciphers のみを使用するように kube-apiserver と kubelet を更新しました。
- 機能: go1.18 では、デフォルトで SHA-1 ハッシュ アルゴリズムで署名された証明書を受け付けなくなりました。1.24 のデフォルトでは、こうした安全でない証明書を使用するアドミッション / 変換 Webhook や集約されたサーバー エンドポイントは機能しなくなります。一時的な回避策として、Anthos on Azure クラスタには環境変数 GODEBUG=x509sha1=1 が設定されており、こうした安全でない証明書が引き続き機能できます。ただし、Go チームは今後のリリースでこの回避策のサポートを削除する可能性があります。お客様は、安全性の低い証明書を使用しているアドミッション / 変換 Webhook や集約されたサーバー エンドポイントがないことを確認してから、今後のバージョンにアップグレードする必要があります。
- 機能: クラスタとノードプールの作成時のネットワーク接続性チェックを改善し、トラブルシューティングを容易にしました。
- 機能: Windows ノードプール用に、Google Cloud Monitoring に Kubernetes リソース指標をアップロードします。
- 機能: kubelet 認証情報を使用して DaemonSet
azure-cloud-node-manager
をデプロイし、ノード初期化を完了します。 - 機能: kubelet を更新して外部 Azure クラウド プロバイダを適用します。
機能: Google Managed Service for Prometheus を使用した Cloud Monarch へのワークロード指標のアップロードは、招待制の非公開プレビューとして利用できるようになりました。
セキュリティに関する修正
- CVE-2022-1786 を修正しました。
- CVE-2022-29582 を修正しました。
- CVE-2022-29581 を修正しました。
- CVE-2022-1116 を修正しました。
- CVE-2022-34903 を修正しました。
- CVE-2021-4209 を修正しました。
- CVE-2022-29900 を修正しました。
- CVE-2022-29901 を修正しました。
- CVE-2022-2385 を修正しました。
- CVE-2022-1462 を修正しました。
- CVE-2022-1882 を修正しました。
- CVE-2022-21505 を修正しました。
- CVE-2022-2585 を修正しました。
- CVE-2022-23816 を修正しました。
- CVE-2022-2509 を修正しました。
- CVE-2022-2586 を修正しました。
- CVE-2022-2588 を修正しました。
- CVE-2022-26373 を修正しました。
- CVE-2022-36879 を修正しました。
- CVE-2022-36946 を修正しました。
Kubernetes 1.23
1.23.16-gke.2800
バグの修正: 特定のタイプの検証用アドミッション Webhook が登録されている場合、クラスタのアップグレードに失敗することがある問題を修正しました。
セキュリティに関する修正
- CVE-2023-25153 を修正しました。
- CVE-2023-25173 を修正しました。
- CVE-2023-0215 を修正しました。
- CVE-2022-4450 を修正しました。
- CVE-2023-0286 を修正しました。
- CVE-2022-4304 を修正しました。
- CVE-2022-2097 を修正しました。
1.23.16-gke.200
- バグの修正: クラスタの作成 / 更新オペレーション中に特定のエラーが伝播されず、レポートされない問題を修正しました。
バグの修正: kubeapi サーバーが AIS に到達できない cpp-httplib の問題を修正しました。
セキュリティに関する修正
- CVE-2022-2097 を修正しました。
1.23.14-gke.1800
- セキュリティに関する修正
- CVE-2022-23471 を修正しました。
- CVE-2021-46848 を修正しました。
- CVE-2022-42898 を修正しました。
1.23.14-gke.1100
機能: Azure AD GA。この機能を使用すると、クラスタ管理者は Azure AD グループに基づいて RBAC ポリシーを構成し、クラスタで認証できます。これにより、200 を超えるグループに属するユーザーのグループ情報を取得できるため、ID プロバイダとして Azure AD を構成した通常の OIDC の制限を解消できます。
セキュリティに関する修正
- CVE-2016-10228 を修正しました。
- CVE-2019-19126 を修正しました。
- CVE-2019-25013 を修正しました。
- CVE-2020-10029 を修正しました。
- CVE-2020-16156 を修正しました。
- CVE-2020-1752 を修正しました。
- CVE-2020-27618 を修正しました。
- CVE-2020-6096 を修正しました。
- CVE-2021-27645 を修正しました。
- CVE-2021-3326 を修正しました。
- CVE-2021-33574 を修正しました。
- CVE-2021-35942 を修正しました。
- CVE-2021-3671 を修正しました。
- CVE-2021-3999 を修正しました。
- CVE-2021-43618 を修正しました。
- CVE-2022-1586 を修正しました。
- CVE-2022-1587 を修正しました。
- CVE-2022-23218 を修正しました。
- CVE-2022-23219 を修正しました。
- CVE-2022-3116 を修正しました。
- CVE-2022-32221 を修正しました。
- CVE-2022-35737 を修正しました。
- CVE-2022-37434 を修正しました。
- CVE-2022-41916 を修正しました。
- CVE-2022-43680 を修正しました。
1.23.11-gke.300
- セキュリティに関する修正
- CVE-2021-3999 を修正しました。
- CVE-2022-35252 を修正しました。
- CVE-2020-35525 を修正しました。
- CVE-2020-35527 を修正しました。
- CVE-2021-20223 を修正しました。
- CVE-2022-37434 を修正しました。
- CVE-2022-40674 を修正しました。
- CVE-2021-3999 を修正しました。
- CVE-2022-32744 を修正しました。
- CVE-2021-46828 を修正しました。
- CVE-2022-2509 を修正しました。
- CVE-2022-2031 を修正しました。
- CVE-2022-32745 を修正しました。
- CVE-2022-1586 を修正しました。
- CVE-2022-1587 を修正しました。
- CVE-2022-32742 を修正しました。
- CVE-2022-32746 を修正しました。
- CVE-2022-1586 を修正しました。
- CVE-2022-1587 を修正しました。
- CVE-2022-40674 を修正しました。
- CVE-2022-37434 を修正しました。
- CVE-2021-3999 を修正しました。
- CVE-2022-2509 を修正しました。
- CVE-2021-46828 を修正しました。
1.23.9-gke.2100
- セキュリティに関する修正
- CVE-2022-34903 を修正しました。
- CVE-2021-4209 を修正しました。
- CVE-2022-29900 を修正しました。
- CVE-2022-29901 を修正しました。
- CVE-2022-2385 を修正しました。
- CVE-2021-4209 を修正しました。
1.23.9-gke.800
- セキュリティに関する修正
- CVE-2022-34903 を修正しました。
- CVE-2021-4209 を修正しました。
- CVE-2022-29901 を修正しました。
- CVE-2022-28693 を修正しました。
- CVE-2022-29900 を修正しました。
- CVE-2022-23825 を修正しました。
- CVE-2022-31030 を修正しました。
1.23.8-gke.1700
- セキュリティに関する修正
- CVE-2021-4160 を修正しました。
- CVE-2021-43566 を修正しました。
- CVE-2022-0778 を修正しました。
- CVE-2022-1292 を修正しました。
- CVE-2022-1304 を修正しました。
- CVE-2022-1664 を修正しました。
- CVE-2022-2068 を修正しました。
- CVE-2022-2097 を修正しました。
- CVE-2022-2327 を修正しました。
- CVE-2022-32206 を修正しました。
- CVE-2022-32208 を修正しました。
1.23.7-gke.1300
- 機能: https://console.cloud.google.com/storage/browser/gke-multi-cloud-api-release/azuredisk-csi-driver で使用可能な Azuredisk のソースコード
- 機能: https://console.cloud.google.com/storage/browser/gke-multi-cloud-api-release/azurefile-csi-driver で使用可能な Azurefile のソースコード
- 機能: kube-scheduler と kube-controller-manager で、プロファイリング エンドポイント(/debug/pprof)がデフォルトで無効になりました。
機能: Strong Cryptographic Ciphers のみを使用するように kube-apiserver と kubelet を更新しました。Kubelet で使用されるサポート対象の暗号:
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256、TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256、TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305、TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384、TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305、TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384、TLS_RSA_WITH_AES_256_GCM_SHA384、TLS_RSA_WITH_AES_128_GCM_SHA256
kube api-server で使用されるサポート対象の暗号:
TLS_AES_128_GCM_SHA256、TLS_AES_256_GCM_SHA384、TLS_CHACHA20_POLY1305_SHA256、TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA、TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256、TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA、TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384、TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305、TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256、TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA、TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA、TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256、TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA、TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384、TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305、TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256、TLS_RSA_WITH_3DES_EDE_CBC_SHA、TLS_RSA_WITH_AES_128_CBC_SHA、TLS_RSA_WITH_AES_128_GCM_SHA256、TLS_RSA_WITH_AES_256_CBC_SHA、TLS_RSA_WITH_AES_256_GCM_SHA384
セキュリティに関する修正
- CVE-2022-1786 を修正しました。
- CVE-2022-29582 を修正しました。
- CVE-2022-29581 を修正しました。
- CVE-2022-1116 を修正しました。
Kubernetes 1.22
1.22.15-gke.100
- セキュリティに関する修正
- CVE-2021-3999 を修正しました。
- CVE-2022-35252 を修正しました。
- CVE-2020-35525 を修正しました。
- CVE-2020-35527 を修正しました。
- CVE-2021-20223 を修正しました。
- CVE-2022-40674 を修正しました。
- CVE-2022-37434 を修正しました。
- CVE-2022-2509 を修正しました。
- CVE-2022-2031 を修正しました。
- CVE-2021-46828 を修正しました。
- CVE-2022-32744 を修正しました。
- CVE-2021-3999 を修正しました。
- CVE-2022-32745 を修正しました。
- CVE-2022-1586 を修正しました。
- CVE-2022-1587 を修正しました。
- CVE-2022-32742 を修正しました。
- CVE-2022-32746 を修正しました。
- CVE-2022-1586 を修正しました。
- CVE-2022-1587 を修正しました。
- CVE-2022-40674 を修正しました。
- CVE-2022-37434 を修正しました。
- CVE-2021-3999 を修正しました。
- CVE-2022-2509 を修正しました。
- CVE-2021-46828 を修正しました。
1.22.12-gke.2300
- セキュリティに関する修正
- CVE-2022-34903 を修正しました。
- CVE-2021-4209 を修正しました。
- CVE-2022-29900 を修正しました。
- CVE-2022-29901 を修正しました。
- CVE-2022-2385 を修正しました。
- CVE-2022-2509 を修正しました。
1.22.12-gke.1100
- セキュリティに関する修正
- CVE-2022-34903 を修正しました。
- CVE-2021-4209 を修正しました。
- CVE-2022-29901 を修正しました。
- CVE-2022-28693 を修正しました。
- CVE-2022-29900 を修正しました。
- CVE-2022-23825 を修正しました。
- CVE-2022-31030 を修正しました。
1.22.12-gke.200
- セキュリティに関する修正
- CVE-2021-4160 を修正しました。
- CVE-2021-43566 を修正しました。
- CVE-2022-0778 を修正しました。
- CVE-2022-1292 を修正しました。
- CVE-2022-1304 を修正しました。
- CVE-2022-1664 を修正しました。
- CVE-2022-2068 を修正しました。
- CVE-2022-2097 を修正しました。
- CVE-2022-2327 を修正しました。
- CVE-2022-32206 を修正しました。
- CVE-2022-32208 を修正しました。
1.22.10-gke.1500
- セキュリティに関する修正
- CVE-2022-1786 を修正しました。
- CVE-2022-29582 を修正しました。
- CVE-2022-29581 を修正しました。
- CVE-2022-1116 を修正しました。
1.22.8-gke.2100
- 機能: Windows ノードで pigz を使用して画像レイヤを抽出するパフォーマンスを改善しました。
1.22.8-gke.1300
機能: このバージョンで新しいクラスタを作成することや、既存のクラスタをこのバージョンにアップグレードすることはできません。ただし、このバージョンの既存のクラスタやノードプールは引き続き動作します。また、新しいバージョンにアップグレードできます。
バグの修正
- Windows ノードプールが有効な場合にアドオンが適用できない問題を修正しました。
- Logging エージェントによって、アタッチされているディスク容量がいっぱいになる問題を修正しました。
セキュリティに関する修正
- CVE-2022-1055 を修正しました。
- CVE-2022-0886 を修正しました。
- CVE-2022-0492 を修正しました。
- CVE-2022-24769 を修正しました。
- このリリースには、次のロールベース アクセス制御(RBAC)の変更が含まれています。
- リース更新の
anet-operator
権限の範囲を縮小しました。 - ノードと Pod の
anetd
DaemonSet 権限の範囲を縮小しました。 - サービス アカウント トークンの
fluentbit-gke
権限の範囲を縮小しました。 - サービス アカウント トークンの
gke-metrics-agent
の範囲を縮小しました。 - ノード、ConfigMap、Deployment の
coredns-autoscaler
権限の範囲を縮小しました。
1.22.8-gke.200
機能: このバージョンで新しいクラスタを作成することや、既存のクラスタをこのバージョンにアップグレードすることはできません。ただし、このバージョンの既存のクラスタやノードプールは引き続き動作します。また、新しいバージョンにアップグレードできます。
機能: Kubernetes バージョン 1.22 を使用して新しいクラスタを作成するときに、カスタム ロギング パラメータを構成できるようになりました。
機能: (プレビュー機能)Kubernetes バージョン 1.22 でノードプールを作成するときに、ノードプールのイメージタイプとして Windows を選択できるようになりました。
機能: 長時間実行オペレーションのエラー フィールドで、最もよく発生する非同期のクラスタエラーとノードプール起動エラーを確認できるようになりました。詳細については、
gcloud container azure operations list
リファレンス ドキュメントをご覧ください。バグの修正
- GKE Connect エージェントがクラスタのプロキシ設定を正しく読み取り、適用するようになりました。
セキュリティに関する修正
- CVE-2022-23648 を修正しました。
- CVE-2021-22600 を修正しました。
- CVE-2022-0001 を修正しました。
- CVE-2022-0002 を修正しました。
- CVE-2022-23960 を修正しました。
- CVE-2022-0847 を修正しました。
Kubernetes 1.21
1.21.14-gke.2900
- セキュリティに関する修正
- CVE-2022-2097 を修正しました。
- CVE-2022-32206 を修正しました。
- CVE-2022-32208 を修正しました。
- CVE-2022-34903 を修正しました。
- CVE-2021-4209 を修正しました。
- CVE-2022-29901 を修正しました。
- CVE-2022-28693 を修正しました。
- CVE-2022-29900 を修正しました。
- CVE-2022-23825 を修正しました。
- CVE-2022-31030 を修正しました。
1.21.14-gke.2100
- セキュリティに関する修正
- CVE-2016-10228 を修正しました。
- CVE-2018-16301 を修正しました。
- CVE-2018-25032 を修正しました。
- CVE-2019-18276 を修正しました。
- CVE-2019-20838 を修正しました。
- CVE-2019-25013 を修正しました。
- CVE-2020-14155 を修正しました。
- CVE-2020-27618 を修正しました。
- CVE-2020-27820 を修正しました。
- CVE-2020-29562 を修正しました。
- CVE-2020-6096 を修正しました。
- CVE-2020-8037 を修正しました。
- CVE-2021-20193 を修正しました。
- CVE-2021-22600 を修正しました。
- CVE-2021-26401 を修正しました。
- CVE-2021-27645 を修正しました。
- CVE-2021-28711 を修正しました。
- CVE-2021-28712 を修正しました。
- CVE-2021-28713 を修正しました。
- CVE-2021-28714 を修正しました。
- CVE-2021-28715 を修正しました。
- CVE-2021-3326 を修正しました。
- CVE-2021-35942 を修正しました。
- CVE-2021-36084 を修正しました。
- CVE-2021-36085 を修正しました。
- CVE-2021-36086 を修正しました。
- CVE-2021-36087 を修正しました。
- CVE-2021-36690 を修正しました。
- CVE-2021-3711 を修正しました。
- CVE-2021-3712 を修正しました。
- CVE-2021-3772 を修正しました。
- CVE-2021-39685 を修正しました。
- CVE-2021-39686 を修正しました。
- CVE-2021-39698 を修正しました。
- CVE-2021-3995 を修正しました。
- CVE-2021-3996 を修正しました。
- CVE-2021-3999 を修正しました。
- CVE-2021-4083 を修正しました。
- CVE-2021-4135 を修正しました。
- CVE-2021-4155 を修正しました。
- CVE-2021-4160 を修正しました。
- CVE-2021-4197 を修正しました。
- CVE-2021-4202 を修正しました。
- CVE-2021-43566 を修正しました。
- CVE-2021-43618 を修正しました。
- CVE-2021-43975 を修正しました。
- CVE-2021-43976 を修正しました。
- CVE-2021-44733 を修正しました。
- CVE-2021-45095 を修正しました。
- CVE-2021-45469 を修正しました。
- CVE-2021-45480 を修正しました。
- CVE-2022-0001 を修正しました。
- CVE-2022-0002 を修正しました。
- CVE-2022-0330 を修正しました。
- CVE-2022-0435 を修正しました。
- CVE-2022-0492 を修正しました。
- CVE-2022-0516 を修正しました。
- CVE-2022-0617 を修正しました。
- CVE-2022-0778 を修正しました。
- CVE-2022-1011 を修正しました。
- CVE-2022-1016 を修正しました。
- CVE-2022-1055 を修正しました。
- CVE-2022-1116 を修正しました。
- CVE-2022-1158 を修正しました。
- CVE-2022-1198 を修正しました。
- CVE-2022-1271 を修正しました。
- CVE-2022-1292 を修正しました。
- CVE-2022-1304 を修正しました。
- CVE-2022-1353 を修正しました。
- CVE-2022-1516 を修正しました。
- CVE-2022-1664 を修正しました。
- CVE-2022-1966 を修正しました。
- CVE-2022-20008 を修正しました。
- CVE-2022-20009 を修正しました。
- CVE-2022-2068 を修正しました。
- CVE-2022-21123 を修正しました。
- CVE-2022-21125 を修正しました。
- CVE-2022-21166 を修正しました。
- CVE-2022-21499 を修正しました。
- CVE-2022-22576 を修正しました。
- CVE-2022-22942 を修正しました。
- CVE-2022-23036 を修正しました。
- CVE-2022-23037 を修正しました。
- CVE-2022-23038 を修正しました。
- CVE-2022-23039 を修正しました。
- CVE-2022-23040 を修正しました。
- CVE-2022-23041 を修正しました。
- CVE-2022-23042 を修正しました。
- CVE-2022-23218 を修正しました。
- CVE-2022-23219 を修正しました。
- CVE-2022-2327 を修正しました。
- CVE-2022-23960 を修正しました。
- CVE-2022-24407 を修正しました。
- CVE-2022-24448 を修正しました。
- CVE-2022-24958 を修正しました。
- CVE-2022-24959 を修正しました。
- CVE-2022-25258 を修正しました。
- CVE-2022-25375 を修正しました。
- CVE-2022-25636 を修正しました。
- CVE-2022-26490 を修正しました。
- CVE-2022-26966 を修正しました。
- CVE-2022-27223 を修正しました。
- CVE-2022-27666 を修正しました。
- CVE-2022-27774 を修正しました。
- CVE-2022-27775 を修正しました。
- CVE-2022-27776 を修正しました。
- CVE-2022-27781 を修正しました。
- CVE-2022-27782 を修正しました。
- CVE-2022-28356 を修正しました。
- CVE-2022-28388 を修正しました。
- CVE-2022-28389 を修正しました。
- CVE-2022-28390 を修正しました。
- CVE-2022-29155 を修正しました。
- CVE-2022-29581 を修正しました。
- CVE-2022-30594 を修正しました。
1.21.11-gke.1900
- セキュリティに関する修正
- CVE-2022-1786 を修正しました。
- CVE-2022-29582 を修正しました。
- CVE-2022-29581 を修正しました。
- CVE-2022-1116 を修正しました。
1.21.11-gke.1800
1.21.11-gke.1100
このバージョンで新しいクラスタを作成することや、既存のクラスタをこのバージョンにアップグレードすることはできません。ただし、このバージョンの既存のクラスタやノードプールは引き続き動作します。また、新しいバージョンにアップグレードできます。
- セキュリティに関する修正
- CVE-2022-1055 を修正しました。
- CVE-2022-0886 を修正しました。
- CVE-2022-0492 を修正しました。
- CVE-2022-24769 を修正しました。
- RBAC の修正:
- リース更新のための anet-operator 権限の範囲を縮小しました。
- ノードと Pod の anetd DaemonSet 権限の範囲を縮小しました。
- サービス アカウント トークンの fluentbit-gke 権限の範囲を縮小しました。
- サービス アカウント トークンの gke-metrics-agent の範囲を縮小しました。
- ノード、ConfigMap、Deployment の coredns-autoscaler 権限の範囲を縮小しました。
1.21.11-gke.100
Kubernetes OSS リリースノート。* 機能: このバージョンで新しいクラスタを作成することや、既存のクラスタをこのバージョンにアップグレードすることはできません。ただし、このバージョンの既存のクラスタやノードプールは引き続き動作します。また、新しいバージョンにアップグレードできます。* バグの修正 * GKE Connect エージェントがクラスタのプロキシ設定を正しく読み取り、適用するようになりました。
- セキュリティに関する修正
- CVE-2022-23648 を修正しました。
- CVE-2021-22600 を修正しました。
- CVE-2022-0001 を修正しました。
- CVE-2022-0002 を修正しました。
- CVE-2022-23960 を修正しました。
- CVE-2022-0847 を修正しました。
1.21.6-gke.1500
セキュリティ修正 - CVE-2021-4154 を修正しました。詳細については、GCP-2022-002 をご覧ください。 - CVE-2022-0185 を修正しました。詳細については、GCP-2022-002 をご覧ください。 - CVE-2021-4034 を修正しました。詳細については、GCP-2022-004 をご覧ください。 - CVE-2021-43527 を修正しました。詳細については、GCP-2022-005 をご覧ください。