サポートされていない Kubernetes クラスタのバージョン

以下のバージョンの GKE on Azure はサポートされていません。

Kubernetes 1.26

1.26.14-gke.1500

Kubernetes OSS リリースノート

1.26.13-gke.400

Kubernetes OSS リリースノート

1.26.12-gke.100

Kubernetes OSS リリースノート

1.26.10-gke.600

Kubernetes OSS リリースノート

  • バグの修正: Cloud Logging による Anthos clusters on Azure からのログの取り込みが強化されました。

    • タイムスタンプ解析の問題を修正しました。
    • anthos-metadata-agent のエラーログに正しい重大度を割り当てました。
  • セキュリティに関する修正

1.26.9-gke.700

Kubernetes OSS リリースノート

1.26.8-gke.200

Kubernetes OSS リリースノート

  • 機能: Ubuntu 22.04 は linux-azure 6.2 カーネル バージョンを使用するようになりました。

  • セキュリティに関する修正

1.26.7-gke.500

Kubernetes OSS リリースノート

1.26.5-gke.1400

Kubernetes OSS リリースノート

1.26.5-gke.1200

Kubernetes OSS リリースノート

1.26.4-gke.2200

Kubernetes OSS リリースノート

  • バグの修正

    • Kubernetes で、サポートが終了したアノテーション volume.beta.kubernetes.io/storage-class を持つ PersistentVolumeClaim にデフォルトの StorageClass が誤って適用される問題を修正しました。
    • Logging エージェントが、メモリを大量に消費するようになる問題を修正しました。
  • セキュリティに関する修正

    • CVE-2023-1872 を修正しました。
    • ネットワーク接続をモニタリングする netfilter 接続トラッキング(conntrack)に悪影響を与える問題を修正しました。この修正により、conntrack テーブルに新しい接続が適切に挿入されます。また、Linux カーネル バージョン 5.15 以降に加えられた変更に起因する制限が解消されます。

1.26.2-gke.1001

Kubernetes OSS リリースノート

  • 既知の問題: Kubernetes 1.26.2 では、非推奨のアノテーション volume.beta.kubernetes.io/storage-class を持つ PersistentVolumeClaim にデフォルトの StorageClass が誤って適用されます。
  • 機能: OS イメージを Ubuntu 22.04 に更新しました。これにより、デフォルトのコントロール グループ構成として cgroupv2 が使用されるようになりました。

    • Ubuntu 22.04 はデフォルトで cgroupv2 を使用します。cgroup ファイル システムにアクセスするアプリケーションがあるかどうかを確認することをおすすめします。アクセスしている場合は、cgroupv2 を使用するように更新する必要があります。cgroupv2 との互換性を確保するために更新が必要になる可能性のあるアプリの例を以下に示します。
    • cgroup ファイル システムに依存するサードパーティのモニタリング エージェントとセキュリティ エージェント。
    • cAdvisor が Pod とコンテナをモニタリングするためのスタンドアロンの DaemonSet として使用されている場合は、バージョン v0.43.0 以降に更新する必要があります。
    • JDK を使用している場合は、バージョン 11.0.16 以降またはバージョン 15 以降を使用することをおすすめします。これらのバージョンは cgroupv2 を完全にサポートしています。
    • uber-go/automaxprocs パッケージを使用している場合は、バージョン v1.5.1 以降を使用してください。
    • 詳細については、Ubuntu のリリースノートをご覧ください。
  • 機能: コントロール プレーン コンポーネントの指標を Cloud Monitoring に送信します。これには、kube-apiserver、etcd、kube-scheduler、kube-controller-manager の Prometheus 指標のサブセットが含まれます。指標名には接頭辞 kubernetes.io/anthos/ を使用します。

  • 機能: Kubernetes リソース メタデータを Google Cloud Platform に送信できるようになりました。これにより、ユーザー インターフェースとクラスタ指標の両方が改善されます。メタデータを正しく取り込むには、お客様が Config Monitoring for Ops API を有効にする必要があります。この API は、Google Cloud コンソールで有効にするか、gcloud CLIopsconfigmonitoring.googleapis.com API を手動で有効にすることもできます。さらに、ユーザーは Cloud Logging/Monitoring の承認ドキュメントで説明されている手順に沿って、必要な IAM バインディングを追加する必要があります。その場合は、プロキシの許可リストopsconfigmonitoring.googleapis.com を追加します。

  • 機能: kubelet のグレースフル ノード シャットダウンが有効になりました。システム Pod 以外の Pod には 15 秒の猶予があります。その後、システム Pod(優先順位が system-cluster-critical または system-node-critical)に、正常に終了するために 15 秒の猶予があります。

  • 機能: プレビュー モードでノードの自動修復機能を有効にしました。プレビューを有効にするには、担当のアカウント チームまでお問い合わせください。

  • バグの修正: 新しく作成されたクラスタでは、安定性を高めるため、etcd v3.4.21 を使用するようになりました。以前のバージョンの既存のクラスタはすでに etcd v3.5.x を使用しており、クラスタのアップグレード時に v3.4.21 へダウングレードされることはありません。こうしたクラスタでは、代わりに v3.5.6 が使用されます。

  • セキュリティに関する修正:

Kubernetes 1.25

1.25.14-gke.700

Kubernetes OSS リリースノート

1.25.13-gke.200

Kubernetes OSS リリースノート

1.25.12-gke.500

Kubernetes OSS リリースノート * 機能: ノードプールから収集する指標のリストを拡張し、gke-metrics-agentcilium-agentcilium-operatorcorednsfluentbit-gkekubeletkonnectivity-agent を追加しました。

1.25.10-gke.1400

Kubernetes OSS リリースノート

1.25.10-gke.1200

Kubernetes OSS リリースノート

  • セキュリティに関する修正
    • ノードプールの指標エージェントと指標サーバーを、認証済みの kubelet ポートに移行しました。

1.25.8-gke.500

Kubernetes OSS リリースノート

  • バグの修正

    • Logging エージェントが、メモリを大量に消費するようになる問題を修正しました。
  • セキュリティに関する修正

1.25.7-gke.1000

Kubernetes OSS リリースノート

  • バグの修正: 新しく作成されたクラスタでは、安定性を高めるため、etcd v3.4.21 を使用するようになりました。以前のバージョンの既存のクラスタはすでに etcd v3.5.x を使用しており、クラスタのアップグレード時に v3.4.21 へダウングレードされることはありません。こうしたクラスタでは、代わりに v3.5.6 が使用されます。

  • セキュリティに関する修正

1.25.6-gke.1600

Kubernetes OSS リリースノート

  • バグの修正: 特定のタイプの検証用アドミッション Webhook が登録されている場合、クラスタのアップグレードに失敗することがある問題を修正しました。

  • セキュリティに関する修正

1.25.5-gke.2000

Kubernetes OSS リリースノート

  • 機能: Anthos Identity Service を更新し、同時認証 Webhook リクエストをより適切に処理するようにしました。

  • バグの修正: クラスタの作成 / 更新オペレーション中に特定のエラーが伝播されず、レポートされない問題を修正しました。

  • バグの修正: エンドユーザーの権限を借用できず Anthos Service Mesh ダッシュボードでの認証が失敗する問題を修正しました。

  • セキュリティに関する修正

1.25.5-gke.1500

Kubernetes OSS リリースノート

  • 既知の問題: Google Cloud コンソールの一部の UI サーフェスでクラスタの認証ができず、クラスタが到達不能と表示されることがあります。この問題を回避するには、ユーザーの権限借用を許可する RBAC を手動で適用してください。詳しくは、トラブルシューティングをご覧ください。

  • セキュリティに関する修正

1.25.4-gke.1300

Kubernetes OSS リリースノート

  • 既知の問題: Google Cloud コンソールの一部の UI サーフェスでクラスタの認証ができず、クラスタが到達不能と表示されることがあります。この問題を回避するには、ユーザーの権限借用を許可する RBAC を手動で適用してください。詳しくは、トラブルシューティングをご覧ください。

  • 非推奨: 非推奨の in-tree Volume プラグイン flocker、guobyte、storageos を削除しました。

  • 機能: マネージド収集で Google Managed Service for Prometheus を使用した、Cloud Monarch へのワークロード指標のアップロードが一般提供で利用可能になりました。

  • 機能: クラスタのコントロール プレーン VM で実行される静的 Pod を、root 以外の Linux ユーザーとして実行するように制限することで、セキュリティを強化しました。

  • 機能: Azure AD GA。この機能を使用すると、クラスタ管理者は Azure AD グループに基づいて RBAC ポリシーを構成し、クラスタで認証できます。これにより、200 を超えるグループに属するユーザーのグループ情報を取得できるため、ID プロバイダとして Azure AD を構成した通常の OIDC の制限を解消できます。

  • 機能: サービス アカウント署名鍵を使用して、コントロール プレーン コンポーネント用のトークンを生成する新しいトークン マネージャー(gke-token-manager)を追加しました。メリット:

    1. コントロール プレーン コンポーネントが Google サービスに対して認証を行うため、kube-apiserver への依存関係がなくなります。これまでは、コントロール プレーン コンポーネントは TokenRequest API を使用し、正常な kube-apiserver に依存していました。現在は gke-token-manager コンポーネントがサービス アカウント署名鍵を使用して、トークンを直接作成します。
    2. コントロール プレーン コンポーネントのトークン生成に対する RBAC が不要になります。
    3. ロギングと kube-apiserver が分離されます。kube-apiserver の起動前にロギングが取り込まれるようになります。
    4. コントロール プレーンの復元力が向上します。kube-apiserver が動作していない場合は、コントロール プレーン コンポーネントがトークンを取得して引き続き機能します。
  • 機能: プレビュー機能として、kube-apiserver、etcd、kube-scheduler、kube-controller-manager などのコントロール プレーン コンポーネントから Cloud Monitoring にさまざまな指標を取り込みます。

  • 機能: Google グループ内のユーザーは、グループに必要な RBAC 権限を付与することで、Connect ゲートウェイを使用して Azure クラスタにアクセスできます。詳細については、Google グループで Connect ゲートウェイを設定するをご覧ください。

  • バグの修正: クラスタのアップグレード後に古いバージョンの gke-connect-agent が削除されない問題を修正しました。

  • セキュリティに関する修正

Kubernetes 1.24

1.24.14-gke.2700

Kubernetes OSS リリースノート

1.24.14-gke.1400

Kubernetes OSS リリースノート

1.24.13-gke.500

Kubernetes OSS リリースノート

  • バグの修正

    • Logging エージェントが、メモリを大量に消費するようになる問題を修正しました。
  • セキュリティに関する修正

1.24.11-gke.1000

Kubernetes OSS リリースノート

  • バグの修正: 新しく作成されたクラスタでは、安定性を高めるため、etcd v3.4.21 を使用するようになりました。以前のバージョンの既存のクラスタはすでに etcd v3.5.x を使用しており、クラスタのアップグレード時に v3.4.21 へダウングレードされることはありません。こうしたクラスタでは、代わりに v3.5.6 が使用されます。

  • セキュリティに関する修正

1.24.10-gke.1200

Kubernetes OSS リリースノート

  • バグの修正: 特定のタイプの検証用アドミッション Webhook が登録されている場合、クラスタのアップグレードに失敗することがある問題を修正しました。
  • バグの修正: リクエストが NodePort と LoadBalancer タイプの Service に転送されるときに、トンネル ヘッダーで ID が適切に渡されるように、Cilium セキュリティ ID の伝播を修正しました。
  • セキュリティに関する修正

1.24.9-gke.2000

Kubernetes OSS リリースノート

  • 機能: Anthos Identity Service を更新し、同時認証 Webhook リクエストをより適切に処理するようにしました。

  • バグの修正: クラスタの作成 / 更新オペレーション中に特定のエラーが伝播されず、レポートされない問題を修正しました。

  • セキュリティに関する修正

1.24.9-gke.1500

Kubernetes OSS リリースノート

1.24.8-gke.1300

Kubernetes OSS リリースノート

1.24.5-gke.200

Kubernetes OSS リリースノート

1.24.3-gke.2100

Kubernetes OSS リリースノート

  • 機能: kube-scheduler と kube-controller-manager で、プロファイリング エンドポイント(/debug/pprof)がデフォルトで無効になりました。
  • 機能: Strong Cryptographic Ciphers のみを使用するように kube-apiserver と kubelet を更新しました。
  • 機能: go1.18 では、デフォルトで SHA-1 ハッシュ アルゴリズムで署名された証明書を受け付けなくなりました。1.24 のデフォルトでは、こうした安全でない証明書を使用するアドミッション / 変換 Webhook や集約されたサーバー エンドポイントは機能しなくなります。一時的な回避策として、Anthos on Azure クラスタには環境変数 GODEBUG=x509sha1=1 が設定されており、こうした安全でない証明書が引き続き機能できます。ただし、Go チームは今後のリリースでこの回避策のサポートを削除する可能性があります。お客様は、安全性の低い証明書を使用しているアドミッション / 変換 Webhook や集約されたサーバー エンドポイントがないことを確認してから、今後のバージョンにアップグレードする必要があります。
  • 機能: クラスタとノードプールの作成時のネットワーク接続性チェックを改善し、トラブルシューティングを容易にしました。
  • 機能: Windows ノードプール用に、Google Cloud Monitoring に Kubernetes リソース指標をアップロードします。
  • 機能: kubelet 認証情報を使用して DaemonSet azure-cloud-node-manager をデプロイし、ノード初期化を完了します。
  • 機能: kubelet を更新して外部 Azure クラウド プロバイダを適用します。
  • 機能: Google Managed Service for Prometheus を使用した Cloud Monarch へのワークロード指標のアップロードは、招待制の非公開プレビューとして利用できるようになりました。

  • セキュリティに関する修正

Kubernetes 1.23

1.23.16-gke.2800

Kubernetes OSS リリースノート

  • バグの修正: 特定のタイプの検証用アドミッション Webhook が登録されている場合、クラスタのアップグレードに失敗することがある問題を修正しました。

  • セキュリティに関する修正

1.23.16-gke.200

Kubernetes OSS リリースノート

  • バグの修正: クラスタの作成 / 更新オペレーション中に特定のエラーが伝播されず、レポートされない問題を修正しました。
  • バグの修正: kubeapi サーバーが AIS に到達できない cpp-httplib の問題を修正しました。

  • セキュリティに関する修正

1.23.14-gke.1800

Kubernetes OSS リリースノート

1.23.14-gke.1100

Kubernetes OSS リリースノート

1.23.11-gke.300

Kubernetes OSS リリースノート

1.23.9-gke.2100

Kubernetes OSS リリースノート

1.23.9-gke.800

Kubernetes OSS リリースノート

1.23.8-gke.1700

Kubernetes OSS リリースノート

1.23.7-gke.1300

Kubernetes OSS リリースノート

  • 機能: https://console.cloud.google.com/storage/browser/gke-multi-cloud-api-release/azuredisk-csi-driver で使用可能な Azuredisk のソースコード
  • 機能: https://console.cloud.google.com/storage/browser/gke-multi-cloud-api-release/azurefile-csi-driver で使用可能な Azurefile のソースコード
  • 機能: kube-scheduler と kube-controller-manager で、プロファイリング エンドポイント(/debug/pprof)がデフォルトで無効になりました。
  • 機能: Strong Cryptographic Ciphers のみを使用するように kube-apiserver と kubelet を更新しました。Kubelet で使用されるサポート対象の暗号:

    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256、TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256、TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305、TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384、TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305、TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384、TLS_RSA_WITH_AES_256_GCM_SHA384、TLS_RSA_WITH_AES_128_GCM_SHA256

    kube api-server で使用されるサポート対象の暗号:

    TLS_AES_128_GCM_SHA256、TLS_AES_256_GCM_SHA384、TLS_CHACHA20_POLY1305_SHA256、TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA、TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256、TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA、TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384、TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305、TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256、TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA、TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA、TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256、TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA、TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384、TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305、TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256、TLS_RSA_WITH_3DES_EDE_CBC_SHA、TLS_RSA_WITH_AES_128_CBC_SHA、TLS_RSA_WITH_AES_128_GCM_SHA256、TLS_RSA_WITH_AES_256_CBC_SHA、TLS_RSA_WITH_AES_256_GCM_SHA384

  • セキュリティに関する修正

Kubernetes 1.22

1.22.15-gke.100

Kubernetes OSS リリースノート

1.22.12-gke.2300

Kubernetes OSS リリースノート

1.22.12-gke.1100

Kubernetes OSS リリースノート

1.22.12-gke.200

Kubernetes OSS リリースノート

1.22.10-gke.1500

Kubernetes OSS リリースノート

1.22.8-gke.2100

Kubernetes OSS リリースノート

  • 機能: Windows ノードで pigz を使用して画像レイヤを抽出するパフォーマンスを改善しました。

1.22.8-gke.1300

  • 機能: このバージョンで新しいクラスタを作成することや、既存のクラスタをこのバージョンにアップグレードすることはできません。ただし、このバージョンの既存のクラスタやノードプールは引き続き動作します。また、新しいバージョンにアップグレードできます。

  • バグの修正

    • Windows ノードプールが有効な場合にアドオンが適用できない問題を修正しました。
    • Logging エージェントによって、アタッチされているディスク容量がいっぱいになる問題を修正しました。
  • セキュリティに関する修正

    • CVE-2022-1055 を修正しました。
    • CVE-2022-0886 を修正しました。
    • CVE-2022-0492 を修正しました。
    • CVE-2022-24769 を修正しました。
    • このリリースには、次のロールベース アクセス制御(RBAC)の変更が含まれています。
    • リース更新の anet-operator 権限の範囲を縮小しました。
    • ノードと Pod の anetd DaemonSet 権限の範囲を縮小しました。
    • サービス アカウント トークンの fluentbit-gke 権限の範囲を縮小しました。
    • サービス アカウント トークンの gke-metrics-agent の範囲を縮小しました。
    • ノード、ConfigMap、Deployment の coredns-autoscaler 権限の範囲を縮小しました。

1.22.8-gke.200

Kubernetes OSS リリースノート

  • 機能: このバージョンで新しいクラスタを作成することや、既存のクラスタをこのバージョンにアップグレードすることはできません。ただし、このバージョンの既存のクラスタやノードプールは引き続き動作します。また、新しいバージョンにアップグレードできます。

  • 機能: Kubernetes バージョン 1.22 を使用して新しいクラスタを作成するときに、カスタム ロギング パラメータを構成できるようになりました。

  • 機能: (プレビュー機能)Kubernetes バージョン 1.22 でノードプールを作成するときに、ノードプールのイメージタイプとして Windows を選択できるようになりました。

  • 機能: 長時間実行オペレーションのエラー フィールドで、最もよく発生する非同期のクラスタエラーとノードプール起動エラーを確認できるようになりました。詳細については、gcloud container azure operations list リファレンス ドキュメントをご覧ください。

  • バグの修正

    • GKE Connect エージェントがクラスタのプロキシ設定を正しく読み取り、適用するようになりました。
  • セキュリティに関する修正

Kubernetes 1.21

1.21.14-gke.2900

Kubernetes OSS リリースノート

1.21.14-gke.2100

Kubernetes OSS リリースノート

1.21.11-gke.1900

Kubernetes OSS リリースノート

1.21.11-gke.1800

Kubernetes OSS リリースノート

1.21.11-gke.1100

このバージョンで新しいクラスタを作成することや、既存のクラスタをこのバージョンにアップグレードすることはできません。ただし、このバージョンの既存のクラスタやノードプールは引き続き動作します。また、新しいバージョンにアップグレードできます。

  • セキュリティに関する修正
    • CVE-2022-1055 を修正しました。
    • CVE-2022-0886 を修正しました。
    • CVE-2022-0492 を修正しました。
    • CVE-2022-24769 を修正しました。
    • RBAC の修正:
    • リース更新のための anet-operator 権限の範囲を縮小しました。
    • ノードと Pod の anetd DaemonSet 権限の範囲を縮小しました。
    • サービス アカウント トークンの fluentbit-gke 権限の範囲を縮小しました。
    • サービス アカウント トークンの gke-metrics-agent の範囲を縮小しました。
    • ノード、ConfigMap、Deployment の coredns-autoscaler 権限の範囲を縮小しました。

1.21.11-gke.100

Kubernetes OSS リリースノート。* 機能: このバージョンで新しいクラスタを作成することや、既存のクラスタをこのバージョンにアップグレードすることはできません。ただし、このバージョンの既存のクラスタやノードプールは引き続き動作します。また、新しいバージョンにアップグレードできます。* バグの修正 * GKE Connect エージェントがクラスタのプロキシ設定を正しく読み取り、適用するようになりました。

1.21.6-gke.1500

Kubernetes OSS リリースノート

セキュリティ修正 - CVE-2021-4154 を修正しました。詳細については、GCP-2022-002 をご覧ください。 - CVE-2022-0185 を修正しました。詳細については、GCP-2022-002 をご覧ください。 - CVE-2021-4034 を修正しました。詳細については、GCP-2022-004 をご覧ください。 - CVE-2021-43527 を修正しました。詳細については、GCP-2022-005 をご覧ください。

1.21.5-gke.2800

Kubernetes OSS リリースノート