支持的 Kubernetes 集群版本

每个 GKE 关联集群版本都附带 Kubernetes 版本说明。它们与发行版本说明 (release notes) 类似，但特定于 Kubernetes 版本，并且可能会提供更多技术细节。

GKE 关联集群支持以下 Kubernetes 版本：

Kubernetes 1.33

1.33.0-gke.1

• 安全修复程序
  • 修复了 CVE-2025-32988
  • 修复了 CVE-2025-32989
  • 修复了 CVE-2025-32990
  • 修复了 CVE-2025-3576
  • 修复了 CVE-2025-4802
  • 修复了 CVE-2025-6395
  • 修复了 CVE-2025-8713
  • 修复了 CVE-2025-8714
  • 修复了 CVE-2025-8715

Kubernetes 1.32

1.32.0-gke.2

• 安全修复程序
  • 修复了 CVE-2025-32988
  • 修复了 CVE-2025-32989
  • 修复了 CVE-2025-32990
  • 修复了 CVE-2025-3576
  • 修复了 CVE-2025-4802
  • 修复了 CVE-2025-6395
  • 修复了 CVE-2025-8713
  • 修复了 CVE-2025-8714
  • 修复了 CVE-2025-8715

1.32.0-gke.1

• 功能：您现在可以为关联集群中 Google 拥有的系统组件自定义 Kubernetes 标签和容忍。如需了解详情，请参阅：
  • 在 AKS 集群上自定义系统组件
  • 在 EKS 集群上自定义系统组件
  • 在符合 CNCF 要求的集群上自定义系统组件
• 安全修复程序
  • 修复了 CVE-2023-4039
  • 修复了 CVE-2024-13176
  • 修复了 CVE-2024-26462
  • 修复了 CVE-2025-0395
  • 修复了 CVE-2025-1390
  • 修复了 CVE-2025-24528
  • 修复了 CVE-2025-31115
  • 修复了 CVE-2025-4207

Kubernetes 1.31

1.31.0-gke.5

• 安全修复程序
  • 修复了 CVE-2025-32988
  • 修复了 CVE-2025-32989
  • 修复了 CVE-2025-32990
  • 修复了 CVE-2025-3576
  • 修复了 CVE-2025-4802
  • 修复了 CVE-2025-6395
  • 修复了 CVE-2025-8713
  • 修复了 CVE-2025-8714
  • 修复了 CVE-2025-8715

1.31.0-gke.4

• 功能：您现在可以为关联集群中 Google 拥有的系统组件自定义 Kubernetes 标签和容忍。如需了解详情，请参阅：
  • 在 AKS 集群上自定义系统组件
  • 在 EKS 集群上自定义系统组件
  • 在符合 CNCF 要求的集群上自定义系统组件
• 安全修复程序
  • 修复了 CVE-2023-4039
  • 修复了 CVE-2024-13176
  • 修复了 CVE-2024-26462
  • 修复了 CVE-2025-0395
  • 修复了 CVE-2025-1390
  • 修复了 CVE-2025-24528
  • 修复了 CVE-2025-31115
  • 修复了 CVE-2025-4207

1.31.0-gke.3

• 安全修复程序

  • 修复了 CVE-2020-13529
  • 修复了 CVE-2021-33560
  • 修复了 CVE-2022-4899
  • 修复了 CVE-2023-5678
  • 修复了 CVE-2024-0727
  • 修复了 CVE-2024-12133
  • 修复了 CVE-2024-12243
  • 修复了 CVE-2024-2511
  • 修复了 CVE-2024-4741
  • 修复了 CVE-2024-5535
  • 修复了 CVE-2024-9143
  • 修复了 CVE-2025-1094

1.31.0-gke.2

• 安全修复程序
  • 修复了 CVE-2024-10976
  • 修复了 CVE-2024-10977
  • 修复了 CVE-2024-10978
  • 修复了 CVE-2024-10979

1.31.0-gke.1

• 重大变更：在创建或更新关联集群时，GKE 关联集群会验证是否已启用以下必需服务：anthos.googleapis.com。如需了解详情，请参阅 Google Cloud 要求。
• 功能：gcloud beta container fleet memberships get-credentials 命令使用 Connect Gateway 的预览版功能，可让您运行 kubectl port-forward 命令。如需了解详情，请参阅 Connect Gateway 文档中的限制。
• 功能：添加了用于停用 Cloud Monitoring 的选项。在 API 中，将 cluster.monitoring_config.cloud_monitoring_config.enabled 设置为 false 可停用 Cloud Monitoring。请注意，当 Cloud Monitoring 处于停用状态时，您无法使用 Metrics Explorer。
• 安全修复程序
  • 修复了 CVE-2019-18276
  • 修复了 CVE-2020-1751
  • 修复了 CVE-2023-39318
  • 修复了 CVE-2023-39319
  • 修复了 CVE-2023-39323
  • 修复了 CVE-2023-39325
  • 修复了 CVE-2023-39326
  • 修复了 CVE-2023-3978
  • 修复了 CVE-2023-40577
  • 修复了 CVE-2023-44487
  • 修复了 CVE-2023-45142
  • 修复了 CVE-2023-45285
  • 修复了 CVE-2023-45288
  • 修复了 CVE-2023-45918
  • 修复了 CVE-2023-48795
  • 修复了 CVE-2024-24557
  • 修复了 CVE-2024-24786
  • 修复了 CVE-2024-24789
  • 修复了 CVE-2024-24790
  • 修复了 CVE-2024-29018
  • 修复了 CVE-2024-33599
  • 修复了 CVE-2024-33600
  • 修复了 CVE-2024-33601
  • 修复了 CVE-2024-33602
  • 修复了 CVE-2024-41110
  • 修复了 CVE-2024-6104
  • 修复了 GHSA-jq35-85cj-fj4p
  • 修复了 GHSA-m425-mq94-257g

Kubernetes 1.30

1.30.0-gke.7

• 功能：您现在可以为关联集群中 Google 拥有的系统组件自定义 Kubernetes 标签和容忍。如需了解详情，请参阅：
  • 在 AKS 集群上自定义系统组件
  • 在 EKS 集群上自定义系统组件
  • 在符合 CNCF 要求的集群上自定义系统组件
• 安全修复程序
  • 修复了 CVE-2023-4039
  • 修复了 CVE-2024-13176
  • 修复了 CVE-2024-26462
  • 修复了 CVE-2025-0395
  • 修复了 CVE-2025-1390
  • 修复了 CVE-2025-24528
  • 修复了 CVE-2025-31115
  • 修复了 CVE-2025-4207

1.30.0-gke.6

• 安全修复程序

  • 修复了 CVE-2020-13529
  • 修复了 CVE-2021-33560
  • 修复了 CVE-2022-4899
  • 修复了 CVE-2023-5678
  • 修复了 CVE-2024-0727
  • 修复了 CVE-2024-12133
  • 修复了 CVE-2024-12243
  • 修复了 CVE-2024-2511
  • 修复了 CVE-2024-4741
  • 修复了 CVE-2024-5535
  • 修复了 CVE-2024-9143
  • 修复了 CVE-2025-1094

1.30.0-gke.5

• 安全修复程序
  • 修复了 CVE-2024-10976
  • 修复了 CVE-2024-10977
  • 修复了 CVE-2024-10978
  • 修复了 CVE-2024-10979

1.30.0-gke.4

• 重大变更：在创建或更新关联集群时，GKE 关联集群会验证是否已启用以下必需服务：cloudresourcemanager.googleapis.com、monitoring.googleapis.com。如需了解详情，请参阅 Google Cloud 要求。

1.30.0-gke.3

• 重大变更：在创建或更新关联集群时，GKE 关联集群会验证是否已启用以下必需服务：gkeconnect.googleapis.com、gkehub.googleapis.com、kubernetesmetadata.googleapis.com、logging.googleapis.com。如需了解详情，请参阅 Google Cloud 要求。
• 安全修复程序：
  • 修复了 CVE-2023-47108
  • 修复了 CVE-2024-28834
  • 修复了 CVE-2024-28835
  • 修复了 CVE-2024-9143
  • 修复了 GHSA-87m9-rv8p-rgmg
  • 修复了 GHSA-mh55-gqvf-xfwm

1.30.0-gke.2

• 安全修复程序：
  • 修复了 CVE-2023-47108
  • 修复了 CVE-2024-7348

1.30.0-gke.1

• 安全修复程序：
  • 修复了 CVE-2024-0553
  • 修复了 CVE-2024-0567
  • 修复了 CVE-2024-37370
  • 修复了 CVE-2024-37371

Kubernetes 1.29

1.29.0-gke.9

• 安全修复程序

  • 修复了 CVE-2020-13529
  • 修复了 CVE-2021-33560
  • 修复了 CVE-2022-4899
  • 修复了 CVE-2023-5678
  • 修复了 CVE-2024-0727
  • 修复了 CVE-2024-12133
  • 修复了 CVE-2024-12243
  • 修复了 CVE-2024-2511
  • 修复了 CVE-2024-4741
  • 修复了 CVE-2024-5535
  • 修复了 CVE-2024-9143
  • 修复了 CVE-2025-1094

1.29.0-gke.8

• 安全修复程序
  • 修复了 CVE-2024-10976
  • 修复了 CVE-2024-10977
  • 修复了 CVE-2024-10978
  • 修复了 CVE-2024-10979

1.29.0-gke.7

• 重大变更：在创建或更新关联集群时，GKE 关联集群会验证是否已启用以下必需服务：cloudresourcemanager.googleapis.com、monitoring.googleapis.com。如需了解详情，请参阅 Google Cloud 要求。

1.29.0-gke.6

• 重大变更：在创建或更新关联集群时，GKE 关联集群会验证是否已启用以下必需服务：gkeconnect.googleapis.com、gkehub.googleapis.com、kubernetesmetadata.googleapis.com、logging.googleapis.com。如需了解详情，请参阅 Google Cloud 要求。
• 安全修复程序：
  • 修复了 CVE-2023-47108
  • 修复了 CVE-2024-28834
  • 修复了 CVE-2024-28835
  • 修复了 CVE-2024-9143
  • 修复了 GHSA-87m9-rv8p-rgmg
  • 修复了 GHSA-mh55-gqvf-xfwm

1.29.0-gke.5

• 安全修复程序：
  • 修复了 CVE-2023-47108
  • 修复了 CVE-2024-7348

1.29.0-gke.4

• 安全修复程序：
  • 修复了 CVE-2024-0553
  • 修复了 CVE-2024-0567
  • 修复了 CVE-2024-37370
  • 修复了 CVE-2024-37371

1.29.0-gke.3

• 安全修复程序：
  • 修复了 CVE-2023-5981
  • 修复了 CVE-2024-0985
  • 修复了 CVE-2024-2961
  • 修复了 CVE-2024-33599
  • 修复了 CVE-2024-33600
  • 修复了 CVE-2024-33601
  • 修复了 CVE-2024-33602

1.29.0-gke.2

• 重大变更：从 Kubernetes 1.29 开始，集群需要与网域 kubernetesmetadata.googleapis.com 建立出站 HTTPS 连接。请确保您的代理服务器和/或防火墙配置允许此类流量。您还需要启用 Kubernetes Metadata API，可以在 Google Cloud 控制台中启用该 API。

• 功能：不再需要连接到网域 opsconfigmonitoring.googleapis.com。之前需要连接到此网域来实现日志记录和监控功能，但在 Kubernetes 1.29 及更高版本中不再需要此网域。您应该从防火墙和/或代理服务器配置中移除此网域。

• 问题修复：修复了 Fluentbit 代理无响应并停止将日志注入到 Cloud Logging 中的问题。解决方法是添加了一种机制，可以在检测到这种情况时自动重启代理。

1.29.0-gke.1

• 重大变更：从 Kubernetes 1.29 开始，集群需要与网域 kubernetesmetadata.googleapis.com 建立出站 HTTPS 连接。请确保您的代理服务器和/或防火墙配置允许此类流量。您还需要启用 Kubernetes Metadata API，可以在 Google Cloud 控制台中启用该 API。

• 功能：不再需要连接到网域 opsconfigmonitoring.googleapis.com。之前需要连接到此网域来实现日志记录和监控功能，但在 Kubernetes 1.29 及更高版本中不再需要此网域。您应该从防火墙和/或代理服务器配置中移除此网域。

• 问题修复：修复了 Fluentbit 代理无响应并停止将日志注入到 Cloud Logging 中的问题。解决方法是添加了一种机制，可以在检测到这种情况时自动重启代理。

Kubernetes 1.28

1.28.0-gke.9

• 安全修复程序：
  • 修复了 CVE-2023-47108
  • 修复了 CVE-2024-28834
  • 修复了 CVE-2024-28835
  • 修复了 CVE-2024-9143
  • 修复了 GHSA-87m9-rv8p-rgmg
  • 修复了 GHSA-mh55-gqvf-xfwm

1.28.0-gke.8

• 安全修复程序：
  • 修复了 CVE-2023-47108
  • 修复了 CVE-2024-7348

1.28.0-gke.7

• 安全修复程序：
  • 修复了 CVE-2024-0553
  • 修复了 CVE-2024-0567
  • 修复了 CVE-2024-37370
  • 修复了 CVE-2024-37371

1.28.0-gke.6

• 安全修复程序：
  • 修复了 CVE-2023-5981
  • 修复了 CVE-2024-0985
  • 修复了 CVE-2024-2961
  • 修复了 CVE-2024-33599
  • 修复了 CVE-2024-33600
  • 修复了 CVE-2024-33601
  • 修复了 CVE-2024-33602

1.28.0-gke.5

• 安全修复程序：

1.28.0-gke.4

• 安全修复程序：

1.28.0-gke.3

• 安全修复程序：
  • 修复了 CVE-2023-39326。
  • 修复了 CVE-2023-44487。
  • 修复了 CVE-2023-45142。
  • 修复了 CVE-2023-45285。
  • 修复了 CVE-2023-48795。

1.28.0-gke.2

• 问题修复：修复了使用 Google 群组时出现的间歇性授权失败问题。

1.28.0-gke.1

• 重大变更：从 1.28 开始，集群需要与 {GCP_LOCATION}-gkemulticloud.googleapis.com 建立出站 HTTPS 连接。请确保您的代理服务器和/或防火墙允许此类流量。

• 功能：大多数功能不再需要明确添加 Google IAM 绑定。

  1. 创建集群时，不再需要为 gke-system/gke-telemetry-agent 添加任何绑定。
  2. 为 Google Managed Service for Prometheus 启用代管式数据收集功能时，不再需要为 gmp-system/collector 或 gmp-system/rule-evaluator 添加任何绑定。
  3. 启用 Binary Authorization 时，不再需要为 gke-system/binauthz-agent 添加任何绑定。

• 问题修复：增强了 Cloud Logging 从 Anthos 关联集群注入日志的功能：

  • 修复了时间戳解析问题。
  • 为 anthos-metadata-agent 的错误日志分配了正确的严重级别。