Archivo de notas de la versión de Kubernetes

En esta página, se muestra un archivo histórico de las notas de la versión de Kubernetes para las versiones no compatibles. Para ver las notas de la versión más recientes, consulta las notas de la versión de Kubernetes.

Kubernetes 1.29

1.29.14-gke.200

Notas de la versión de OSS de Kubernetes

1.29.12-gke.100

Notas de la versión de OSS de Kubernetes

1.29.10-gke.100

Notas de la versión de OSS de Kubernetes

1.29.8-gke.1800

Notas de la versión de OSS de Kubernetes

1.29.8-gke.600

Notas de la versión de OSS de Kubernetes

1.29.7-gke.100

Notas de la versión de OSS de Kubernetes

1.29.6-gke.600

Notas de la versión de OSS de Kubernetes

1.29.5-gke.1100

Notas de la versión de OSS de Kubernetes

1.29.5-gke.700

Notas de la versión de OSS de Kubernetes

1.29.4-gke.200

Notas de la versión de OSS de Kubernetes

1.29.3-gke.600

Notas de la versión de OSS de Kubernetes

Kubernetes 1.28

1.28.14-gke.200

Notas de la versión de OSS de Kubernetes

1.28.13-gke.600

Notas de la versión de OSS de Kubernetes

1.28.12-gke.100

Notas de la versión de OSS de Kubernetes

1.28.11-gke.600

Notas de la versión de OSS de Kubernetes

1.28.10-gke.1300

Notas de la versión de OSS de Kubernetes

1.28.10-gke.800

Notas de la versión de OSS de Kubernetes

1.28.9-gke.400

Notas de la versión de OSS de Kubernetes

1.28.8-gke.800

Notas de la versión de OSS de Kubernetes

1.28.7-gke.1700

Notas de la versión de OSS de Kubernetes

  • Corrección de errores: Se solucionó un problema en el que el emulador de Instance Metadata Service (IMDS) a veces no se vinculaba a una dirección IP en el nodo. El emulador IMDS permite que los nodos accedan de forma segura a los metadatos de las instancias de AWS EC2.

1.28.5-gke.1200

Notas de la versión de OSS de Kubernetes

1.28.5-gke.100

Notas de la versión de OSS de Kubernetes

1.28.3-gke.700

Notas de la versión de OSS de Kubernetes

  • Cambio rotundo: A partir de la versión Kubernetes 1.28, los clústeres requieren conectividad HTTPS saliente a {GCP_LOCATION}-gkemulticloud.googleapis.com. Asegúrate de que tu servidor proxy o firewall permita este tráfico.

  • Cambio rotundo: A partir de Kubernetes 1.28, el rol de agente de servicio de la API de múltiples nubes requiere un permiso Iam:getinstanceprofile nuevo en tu proyecto de AWS. El servicio de múltiples nubes usa este permiso para inspeccionar los perfiles de instancia adjuntos a las instancias de máquina virtual en el clúster.

  • Función: Se agregó compatibilidad con reversiones para los grupos de nodos de AWS que fallaron en las operaciones de actualización. Esto permite a los clientes revertir los grupos de nodos a su estado original.

  • Función: Se agregó compatibilidad para extraer imágenes de Google Artifact Registry privado y de Google Container Registry privado sin la clave de cuenta de servicio de Google exportada. Google administra y rota automáticamente las credenciales de extracción de imágenes.

  • Función: Se quitó la necesidad de agregar de manera explícita vinculaciones de Google IAM para la mayoría de las funciones.

    1. Ya no es necesario agregar vinculaciones para gke-system/gke-telemetry-agent cuando creas un clúster.
    2. Ya no es necesario agregar ninguna vinculación para gmp-system/collector o gmp-system/rule-evaluator cuando se habilita la recopilación de datos administrada de Google Managed Service para Prometheus.
    3. Ya no es necesario agregar vinculaciones para gke-system/binauthz-agent cuando se habilita la Autorización Binaria.

  • Función: La actualización de aumento de AWS ahora tiene disponibilidad general. Las actualizaciones de aumento te permiten configurar la velocidad y la interrupción de las actualizaciones del grupo de nodos. Para obtener más detalles sobre cómo habilitar y establecer la configuración de aumento en tus grupos de nodos de AWS, consulta Configura actualizaciones de aumento de grupos de nodos.

  • Función: Se actualizó el kernel de Ubuntu 22.04 a linux-aws 6.2.

  • Función: Se agregó compatibilidad para crear grupos de nodos mediante las siguientes instancias de AWS EC2: G5, I4g, M7a, M7g, M7i, R7g, R7i y R7iz.

  • Corrección de errores: Se mejoró la creación de plantillas de lanzamiento. Las etiquetas que proporcionan los clientes se propagan a las instancias.

    • Este cambio mejora sobre todo la compatibilidad con las reglas de la política de IAM. En particular, aborda las reglas que prohíben el uso de plantillas de lanzamiento que no admiten la propagación de etiquetas, incluso en los casos en que el grupo de ajuste de escala automático (ASG) asociado propaga etiquetas.
    • Este puede ser un cambio rotundo, según los detalles de la política de IAM del cliente relacionada con las verificaciones de etiquetas. Por lo tanto, es importante tener precaución durante el proceso de actualización, ya que un control inadecuado puede dejar un clúster en un estado degradado.
    • Se requiere la acción ec2:CreateTags en el recurso arn:aws:ec2:*:*:instance/* para el rol del agente de servicio de la API de múltiples nubes de Anthos. Consulta https://cloud.google.com/kubernetes-engine/multi-cloud/docs/aws/how-to/create-aws-iam-roles#create_service_agent_role para obtener la información más reciente.
    • Sugerimos que los clientes intenten crear un clúster 1.28 desechable y confirmar que las políticas de IAM funcionen correctamente antes de intentar actualizar a 1.28.

  • Corrección de errores: La actualización de un clúster a la versión 1.28 borrará los recursos obsoletos que podrían haberse creado en versiones anteriores (hasta la 1.25), pero ya no son relevantes. Los siguientes recursos del espacio de nombres gke-system se borran si existen:

    • daemonsets fluentbit-gke-windows y gke-metrics-agent-windows
    • mapas de configuración fluentbit-gke-windows-config y gke-metrics-agent-windows-conf

  • Corrección de errores: La transferencia de registros de Cloud Logging mejorada desde clústeres de Anthos en AWS:

    • Se solucionó un problema en el análisis de la marca de tiempo.
    • Se asignó el nivel de gravedad correcto a los registros de errores de anthos-metadata-agent.

  • Correcciones de seguridad

Kubernetes 1.27

1.27.14-gke.1600

Notas de la versión de OSS de Kubernetes

1.27.14-gke.1200

Notas de la versión de OSS de Kubernetes

1.27.14-gke.700

Notas de la versión de OSS de Kubernetes

1.27.13-gke.500

Notas de la versión de OSS de Kubernetes

1.27.12-gke.800

Notas de la versión de OSS de Kubernetes

1.27.11-gke.1600

Notas de la versión de OSS de Kubernetes

  • Corrección de errores: Se solucionó un problema en el que el emulador de Instance Metadata Service (IMDS) a veces no se vinculaba a una dirección IP en el nodo. El emulador IMDS permite que los nodos accedan de forma segura a los metadatos de las instancias de AWS EC2.

1.27.10-gke.500

Notas de la versión de OSS de Kubernetes

1.27.9-gke.100

Notas de la versión de OSS de Kubernetes

1.27.7-gke.600

Notas de la versión de OSS de Kubernetes

  • Función: Se agregó compatibilidad para crear grupos de nodos con la instancia de AWS EC2 “G5”.

  • Corrección de errores: La transferencia de registros de Cloud Logging mejorada desde clústeres de Anthos en AWS:

    • Se solucionó un problema en el análisis de la marca de tiempo.
    • Se asignó el nivel de gravedad correcto a los registros de errores de anthos-metadata-agent.

  • Correcciones de seguridad

1.27.6-gke.700

Notas de la versión de OSS de Kubernetes

1.27.5-gke.200

Notas de la versión de OSS de Kubernetes

1.27.4-gke.1600

Notas de la versión de OSS de Kubernetes * Baja: Inhabilitaste el puerto 10255 de solo lectura de kubelet no autenticado. Una vez que un grupo de nodos se actualice a la versión 1.27, las cargas de trabajo que se ejecutan en él ya no podrán conectarse al puerto 10255.

  • Función: La función de actualización de aumento de AWS está disponible en modo de vista previa. Las actualizaciones de aumento te permiten configurar la velocidad y la interrupción de las actualizaciones del grupo de nodos. Comunícate con tu equipo de cuentas para habilitar la vista previa.
  • Función: Se actualizó el controlador de CSI de EBS a la versión 1.20.0.
  • Función: Se actualizó el controlador de CSI de EFS a la versión 1.5.7.

  • Función: Se actualizaron snapshot-controller y csi-snapshot-validation-webhook a la versión 6.2.2. Esta versión nueva presenta un cambio importante en la API. En específico, las API de v1beta1 VolumeSnapshot, VolumeSnapshotContents y VolumeSnapshotClass ya no están disponibles.

  • Función: Se agregó compatibilidad con una marca nueva admin-groups en las API de creación y actualización. Esta marca permite a los clientes autenticar con rapidez y facilidad los grupos enumerados como administradores de clústeres, lo que elimina la necesidad de crear y aplicar políticas de RBAC de forma manual.

  • Función: Se agregó compatibilidad con la autorización binaria, que es un control de seguridad de tiempo de implementación que garantiza que solo se implementen imágenes de contenedor confiables. Con la autorización binaria, puedes exigir que autoridades de confianza firmen las imágenes durante el proceso de desarrollo y, luego, aplicar la validación de firma obligatoria en el momento de la implementación. Si aplicas esta validación, puedes ejercer más control sobre el entorno del contenedor, ya que te aseguras de que solo las imágenes verificadas se integren en el proceso de compilación y lanzamiento. Para obtener detalles sobre cómo habilitar la autorización binaria en los clústeres, consulta Cómo habilitar la autorización binaria.

  • Función: Compresión gzip habilitada para fluent-bit (un procesador y servidor de reenvío de registros), gke-metrics-agent (un recopilador de métricas) y audit-proxy (un registro de auditoría) apoderado). fluent-bit comprime los datos de registro del plano de control y las cargas de trabajo antes de enviarlos a Cloud Logging, gke-metrics-agent comprime los datos de las métricas del plano de control y las cargas de trabajo antes de enviarlos a Cloud Monitoring. audit-proxy comprime los datos del registro de auditoría antes de enviarlos al registro de auditoría. Esto reduce el ancho de banda y los costos de la red.

  • Función: La creación de grupos de nodos de AWS SPOT ahora tiene disponibilidad general.

  • Función: La reparación automática de nodos pasó a la etapa de disponibilidad general.

  • Función: Mejoras de seguridad mediante la adición de verificaciones de integridad de archivos y validación de huellas digitales para artefactos binarios descargados de Cloud Storage.

  • Función: Se agregó una opción ignore_errors a la API de eliminación para manejar casos en los que las funciones de IAM borradas por accidente o la eliminación manual de recursos impiden la eliminación de clústeres o grupos de nodos. Cuando agregas ?ignore_errors=true a la URL de la solicitud DELETE, los usuarios ahora pueden forzar para quitar clústeres o grupos de nodos. Sin embargo, este enfoque puede dar como resultado recursos huérfanos en AWS o Azure, que requieren una limpieza manual.

  • Función: Se agregó compatibilidad para la desfragmentación periódica automática de etcd y etcd-events en el plano de control. Esta función reduce el almacenamiento innecesario en el disco y ayuda a evitar que etcd y el plano de control dejen de estar disponibles debido a problemas de almacenamiento en disco.

  • Función: Se cambiaron los nombres de las métricas de las métricas de recursos de Kubernetes para que usen un prefijo de métricas de kubernetes.io/anthos/ en lugar de kubernetes.io/. Para obtener más detalles, consulta la documentación de referencia de métricas.

  • Función: Se cambió la versión predeterminada de etcd a la versión 3.4.21 en clústeres nuevos para mejorar la estabilidad. Los clústeres existentes actualizados a esta versión usarán etcd v3.5.6.

  • Función: Se mejoró la administración de recursos de nodos mediante la reserva de recursos para kubelet. Si bien esta función es fundamental para evitar errores de memoria insuficiente (OOM), ya que garantiza que los procesos del sistema y de Kubernetes tengan los recursos que necesitan, puede provocar interrupciones de la carga de trabajo. La reserva de recursos para kubelet puede afectar los recursos disponibles para Pods, lo que podría afectar la capacidad de los nodos más pequeños para manejar las cargas de trabajo existentes. Los clientes deben verificar que los nodos más pequeños aún puedan admitir sus cargas de trabajo con esta nueva función activada.

    • Los porcentajes de memoria reservada son los siguientes:
    • 255 MiB para máquinas con menos de 1 GB de memoria
    • Un 25% de los primeros 4 GB de memoria
    • Un 20% de los siguientes 4 GB
    • Un 10% de los siguientes 8 GB
    • Un 6% de los siguientes 112 GB
    • Un 2% de cualquier memoria por encima de 128 GB
    • Los porcentajes de CPU reservados son los siguientes:
    • Un 6% del primer núcleo
    • Un 1% del siguiente núcleo
    • Un 0.5% de los siguientes 2 núcleos
    • Un 0.25% de cualquier núcleo por encima de 4 núcleos

  • Corrección de errores.

    • Habilitar el escalador automático del clúster para balancear los nodos en diferentes zonas de disponibilidad Esto se logra con la marca --balance-similar-node-groups.

  • Correcciones de seguridad

Kubernetes 1.26

1.26.14-gke.1500

Notas de la versión de OSS de Kubernetes

  • Corrección de errores: Se solucionó un problema en el que el emulador de Instance Metadata Service (IMDS) a veces no se vinculaba a una dirección IP en el nodo. El emulador IMDS permite que los nodos accedan de forma segura a los metadatos de las instancias de AWS EC2.

1.26.13-gke.400

Notas de la versión de OSS de Kubernetes

1.26.12-gke.100

Notas de la versión de OSS de Kubernetes

1.26.10-gke.600

Notas de la versión de OSS de Kubernetes

  • Función: Se agregó compatibilidad para crear grupos de nodos con la instancia de AWS EC2 “G5”.

  • Corrección de errores: Se actualizó el controlador de Container Storage Interface (CSI) de Elastic File System (EFS) aws-efs-csi-driver a la versión v1.3.8-gke.21.

  • Corrección de errores: La transferencia de registros de Cloud Logging mejorada desde clústeres de Anthos en AWS:

    • Se solucionó un problema en el análisis de la marca de tiempo.
    • Se asignó el nivel de gravedad correcto a los registros de errores de anthos-metadata-agent.

  • Correcciones de seguridad

1.26.9-gke.700

Notas de la versión de OSS de Kubernetes

1.26.8-gke.200

Notas de la versión de OSS de Kubernetes

1.26.7-gke.500

Notas de la versión de OSS de Kubernetes

1.26.5-gke.1400

Notas de la versión de OSS de Kubernetes

1.26.5-gke.1200

Notas de la versión de OSS de Kubernetes

  • Corrección de errores
    • Configura el escalador automático del clúster para balancear la cantidad de nodos en las zonas de disponibilidad con grupos de nodos de balance similar.

1.26.4-gke.2200

Notas de la versión de OSS de Kubernetes* Función: Ubuntu 22.04 usa el kernel linux-aws 5.19.

  • Corrección de errores

    • Se solucionó un problema en el cual Kubernetes aplicaba de manera incorrecta el StorageClass predeterminado a PersistentVolumeClaims, que tienen el volume.beta.kubernetes.io/storage-class obsoleto.
    • Se solucionó un problema en el cual el agente de registro consumía cada vez más cantidades de memoria.

  • Correcciones de seguridad

    • Se solucionó un problema que afecta al seguimiento de conexión de netfilter (conntrack), que es responsable de supervisar las conexiones de red. La corrección garantiza la inserción correcta de conexiones nuevas en la tabla conntrack y supera las limitaciones causadas por los cambios realizados en las versiones de kernel 5.15 y posteriores de Linux.

1.26.2-gke.1001

Notas de la versión de OSS de Kubernetes

  • Problema conocido: Kubernetes 1.26.2 aplicará de forma incorrecta la StorageClass predeterminada a PersistentVolumeClaims que tengan la anotación obsoleta volume.beta.kubernetes.io/storage-class.

  • Función: Imagen de SO actualizada a Ubuntu 22.04. cgroupv2 ahora se usa como la configuración predeterminada del grupo de control.

    • Ubuntu 22.04 usa cgroupv2 de forma predeterminada. Te recomendamos que verifiques si alguna de tus aplicaciones accede al sistema de archivos cgroup. Si lo hacen, se deben actualizar para que usen cgroupv2. Estas son algunas aplicaciones de ejemplo que pueden requerir actualizaciones para garantizar la compatibilidad con cgroupv2:
    • Agentes de seguridad y supervisión de terceros que dependen del sistema de archivos cgroup.
    • Si cAdvisor se usa como un DaemonSet independiente para supervisar Pods y contenedores, debe actualizarse a la versión v0.43.0 o posterior.
    • Si usas JDK, te recomendamos que uses la versión 11.0.16 y posteriores, o la versión 15 y posteriores. Estas versiones son totalmente compatibles con cgroupv2.
    • Si usas el paquete uber-go/automaxprocs, asegúrate de usar la versión v1.5.1 o posterior.
    • Ubuntu 22.04 quita el paquete timesyncd. En su lugar, chrony ahora se usa para Amazon Time Sync Service.
    • Para obtener más información, consulta las notas de la versión de Ubuntu

  • Función: Envía métricas para los componentes del plano de control a Cloud Monitoring. Esto incluye un subconjunto de las métricas de Prometheus de kube-apiserver, etcd, kube-scheduler, kube-controller-manager. Los nombres de las métricas usan el prefijo kubernetes.io/anthos/.

  • Función: Se habilitó el envío de metadatos de recursos de Kubernetes a Google Cloud Platform, lo que mejora la interfaz de usuario y las métricas del clúster. Para que los metadatos se transfieran de forma correcta, los clientes deben habilitar la API de Config Monitoring for Ops. Esta API se puede habilitar en la consola de Google Cloud o a través de la habilitación manual de la API de opsconfigmonitoring.googleapis.com en gcloud CLI. Además, los clientes deben seguir los pasos descritos en la documentación Autoriza Cloud Logging/Monitoring para agregar las vinculaciones de IAM necesarias. Si corresponde, agrega opsconfigmonitoring.googleapis.com a tu lista de entidades permitidas del proxy.

  • Función: Se agregó una función de versión preliminar para crear un grupo de nodos Spot de AWS.

  • Función: La creación de grupos de nodos con tipos de instancias basados en ARM (Graviton) ahora está en etapa de disponibilidad general.

  • Función: Cierre ordenado de nodos de kubelet habilitado. Los Pods que no son del sistema tienen 15 segundos para finalizar, después de lo cuales los Pods del sistema (con las clases de prioridad system-cluster-critical o system-node-critical) tienen 15 segundos para finalizar de forma correcta.

  • Función: La función de reparación automática de nodos habilitada en el modo de vista previa. Comunícate con tu equipo de cuentas para habilitar la vista previa.

  • Función: Se agregaron etiquetas al recurso de punto de acceso de EFS creado de forma dinámica.

  • Función: Los clústeres ahora tienen reglas de grupo de seguridad de subred por grupo de nodos en lugar de reglas de toda la VPC

    • Anteriormente, el plano de control permitía el tráfico entrante de todo el rango de IP principal de la VPC en los puertos TCP/443 y TCP/8123, que usan los grupos de nodos.
    • Now, the control plane narrows the allowed inbound traffic to each IP range of the node pool subnets on ports TCP/443 and TCP/8123; varios grupos de nodos pueden compartir una subred.
    • Este cambio admite grupos de nodos que se ejecutan fuera del rango de IP principal de la VPC y mejora la seguridad del plano de control.
    • Si te basaste en la regla del grupo de seguridad de toda la VPC para permitir el tráfico desde fuera del clúster (p.ej., de un host de bastión para kubectl), como parte de la actualización, debes crear un grupo de seguridad, agrega un Regla de toda la VPC y adjunta el grupo de seguridad al plano de control (a través del campo AwsCluster.controlPlane.securityGroupIds).

  • Correcciones de errores: Los clústeres recién creados ahora usan etcd v3.4.21 para mejorar la estabilidad. Los clústeres existentes de versiones anteriores ya usaban etcd v3.5.x y no se pasarán a la versión v3.4.21 durante la actualización del clúster. En su lugar, usarán v3.5.6.

  • Corrección de seguridad: Establece el límite de salto de la respuesta del emulador de IMDS en 1. Esto protege la comunicación de los datos de IMDS entre el emulador y una carga de trabajo.

Kubernetes 1.25

1.25.14-gke.700

Notas de la versión de OSS de Kubernetes

1.25.13-gke.200

Notas de la versión de OSS de Kubernetes

1.25.12-gke.500

Notas de la versión de OSS de Kubernetes * Función: Se expandió la lista de métricas recopiladas de los grupos de nodos para incluirgke-metrics-agent, cilium-agent, cilium-operator, coredns, fluentbit-gke, kubelet y konnectivity-agent.

1.25.10-gke.1400

Notas de la versión de OSS de Kubernetes

1.25.10-gke.1200

Notas de la versión de OSS de Kubernetes

  • Corrección de errores
    • Configura el escalador automático del clúster para balancear la cantidad de nodos en las zonas de disponibilidad con grupos de nodos de balance similar.
  • Correcciones de seguridad
    • Agente de métricas de grupos de nodos y servidor de métricas migrados al puerto de kubelet autenticado.

1.25.8-gke.500

Notas de la versión de OSS de Kubernetes

  • Se corrigieron los errores.

    • Se solucionó un problema en el cual el agente de registro consumía cada vez más cantidades de memoria.

  • Correcciones de seguridad

1.25.7-gke.1000

Notas de la versión de OSS de Kubernetes

  • Función: Se agregaron etiquetas al recurso de punto de acceso de EFS creado de forma dinámica.

  • Correcciones de errores: Los clústeres recién creados ahora usan etcd v3.4.21 para mejorar la estabilidad. Los clústeres existentes de versiones anteriores ya usaban etcd v3.5.x y no se pasarán a la versión v3.4.21 durante la actualización del clúster. En su lugar, usarán v3.5.6.

1.25.6-gke.1600

Notas de la versión de OSS de Kubernetes

1.25.5-gke.2000

Notas de la versión de Kubernetes OSS * Función: Se actualizó Anthos Identity Service para controlar mejor las solicitudes de webhook de autenticación simultáneas.

  • Corrección de errores: Se solucionó un problema en el cual ciertos errores no se propagaban ni se informaban durante las operaciones de creación o actualización del clúster.
  • Corrección de errores: Se solucionó un problema con el controlador de CSI de EFS de AWS en el que los nombres de host de EFS no se pueden resolver cuando la VPC de AWS está configurada para usar un servidor DNS personalizado.

  • Corrección de errores: Se solucionó un problema en el que la autenticación a través del panel de Anthos Service Mesh fallaba debido a la imposibilidad de robar la identidad del usuario final.

  • Correcciones de seguridad

1.25.5-gke.1500

Notas de la versión de OSS de Kubernetes

  • Problema conocido: Algunas superficies de IU en la consola de Google Cloud no pueden autorizar al clúster y pueden mostrarlo como inaccesible. Una solución alternativa es aplicar de forma manual RBAC para permitir la identidad temporal de usuarios. Para obtener más información, consulta Solución de problemas.

  • Correcciones de seguridad

1.25.4-gke.1300

Notas de la versión de OSS de Kubernetes

  • Problema conocido: Algunas superficies de IU en la consola de Google Cloud no pueden autorizar al clúster y pueden mostrarlo como inaccesible. Una solución alternativa es aplicar de forma manual RBAC para permitir la identidad temporal de usuarios. Para obtener más información, consulta Solución de problemas.

  • Baja: se quitaron el flocker, quobyte y storageos de los complementos de volumen en árbol obsoletos.

  • Característica: Seguridad mejorada mediante la restricción de los Pods estáticos que se ejecutan en las VM del plano de control del clúster para que se ejecuten como usuarios de Linux no raíz.

  • Función: Se agregó compatibilidad para actualizar de forma dinámica los grupos de seguridad del grupo de nodos de AWS. Para actualizar los grupos de seguridad, debes tener los siguientes permisos en tu función de API:

    • ec2:ModifyInstanceAttribute
    • ec2:DescribeInstances

  • Función: Se agregó compatibilidad para actualizar de forma dinámica las etiquetas de grupo de nodos de AWS. Para actualizar las etiquetas del grupo de nodos, debes tener los siguientes permisos en tu rol de API -

    • autoscaling:CreateOrUpdateTags
    • autoscaling:DeleteTags
    • ec2:CreateTags
    • ec2:DeleteTags
    • ec2:DescribeLaunchTemplates

  • Función: El aprovisionamiento dinámico de EFS ahora está disponible en DG para los clústeres en la versión 1.25 o posterior. Para usar esta función, debes agregar los siguientes permisos al rol del plano de control:

    • ec2:DescribeAvailabilityZones
    • elasticfilesystem:DescribeAccessPoints
    • elasticfilesystem:DescribeFileSystems
    • elasticfilesystem:DescribeMountTargets
    • elasticfilesystem:CreateAccessPoint
    • elasticfilesystem:DeleteAccessPoint

  • Función: La carga de métricas de cargas de trabajo mediante Google Managed Service para Prometheus con la recopilación administrada a Cloud Monarch ahora está disponible en DG.

  • Función: Se agregó compatibilidad para habilitar y actualizar la recopilación de métricas de CloudWatch en el grupo de ajuste de escala automático del grupo de nodos de AWS. Para habilitar o actualizar la recopilación de métricas a través de la creación o actualización de una API, debes agregar los siguientes permisos a tu función de API:

    • autoscaling:EnableMetricsCollection
    • autoscaling:DisableMetricsCollection

  • Función: Azure AD GA. Esta función permite a los administradores de clústeres configurar políticas de RBAC basadas en grupos de Azure AD para la autorización en clústeres. Esto admite la recuperación de información de grupos para usuarios que pertenecen a más de 200 grupos, lo que supera una limitación de OIDC normal configurado con Azure AD como el proveedor de identidad.

  • Función: Se agregó un administrador de tokens nuevo (gke-token-manager) a fin de generar tokens para los componentes del plano de control mediante la clave de firma de la cuenta de servicio. Beneficios:

    1. Elimina la dependencia de kube-apiserver para que los componentes del plano de control se autentiquen en los servicios de Google. Antes, los componentes del plano de control usaban la API de TokenRequest y dependían de un kube-apiserver en buen estado. Mientras que ahora el componente gke-token-manager crea los tokens directamente con la clave de firma de la cuenta de servicio.
    2. Elimina el RBAC a fin de generar tokens para los componentes del plano de control.
    3. Separan el registro y kube-apiserver. Para que el registro se pueda transferir antes de que kube-apiserver esté activo.
    4. Hacer que el plano de control tenga más resiliencia. Cuando el kube-apiserver está fuera de servicio, los componentes del plano de control aún pueden obtener los tokens y seguir funcionando.

  • Función: Como función de versión preliminar, transfiere una variedad de métricas de los componentes del plano de control a Cloud Monitoring, incluidos kube-apiserver, etcd, kube-scheduler y kube-controller-manager.

  • Función: Los usuarios de un Grupo de Google pueden acceder a los clústeres de AWS mediante la puerta de enlace de Connect si otorgan el permiso de RBAC necesario al grupo. Obtén más información en Configura la puerta de enlace de Connect con Grupos de Google.

  • Corrección de errores: Se solucionó un problema que podía provocar que las versiones desactualizadas de gke-connect-agent no se quitaran después de las actualizaciones del clúster.

  • Correcciones de seguridad

Kubernetes 1.24

1.24.14-gke.2700

Notas de la versión de OSS de Kubernetes

1.24.14-gke.1400

Notas de la versión de OSS de Kubernetes

  • Corrección de errores
    • Configura el escalador automático del clúster para balancear la cantidad de nodos en las zonas de disponibilidad con grupos de nodos de balance similar.

1.24.13-gke.500

Notas de la versión de OSS de Kubernetes

  • Se corrigieron los errores.

    • Se solucionó un problema en el cual el agente de registro consumía cada vez más cantidades de memoria.

  • Correcciones de seguridad

1.24.11-gke.1000

Notas de la versión de OSS de Kubernetes

  • Correcciones de errores: Los clústeres recién creados ahora usan etcd v3.4.21 para mejorar la estabilidad. Los clústeres existentes de versiones anteriores ya usaban etcd v3.5.x y no se pasarán a la versión v3.4.21 durante la actualización del clúster. En su lugar, usarán v3.5.6.

1.24.10-gke.1200

Notas de la versión de OSS de Kubernetes

  • Corrección de errores: Se solucionó un problema que podía provocar errores en las actualizaciones de los clústeres si se producían ciertos tipos de que validan los webhooks de admisión.
  • Corrección de errores: Se corrigió la propagación de ID de seguridad de Cilium para que los ID se pasen de forma correcta en el encabezado del túnel cuando las solicitudes se reenvían a los servicios de tipo NodePort y LoadBalancer.
  • Correcciones de seguridad

1.24.9-gke.2000

Notas de la versión de OSS de Kubernetes

  • Función: Se actualizó Anthos Identity Service para controlar mejor las solicitudes de webhook de autenticación simultáneas.

  • Corrección de errores: Se solucionó un problema en el cual ciertos errores no se propagaban ni se informaban durante las operaciones de creación o actualización del clúster.

  • Correcciones de seguridad

1.24.9-gke.1500

Notas de la versión de OSS de Kubernetes

1.24.8-gke.1300

Notas de la versión de OSS de Kubernetes

1.24.5-gke.200

Notas de la versión de OSS de Kubernetes

1.24.3-gke.2200

Notas de la versión de OSS de Kubernetes

  • Corrección de errores: Corrige un error en el que la creación de un recurso de servicio de Kubernetes con el tipo LoadBalancer y la anotación service.beta.kubernetes.io/aws-load-balancer-type: nlb, permanecería con un grupo de destino vacío. Consulta https://github.com/kubernetes/cloud-provider-aws/issues/301.

1.24.3-gke.2100

Notas de la versión de OSS de Kubernetes

  • Función: Sube las métricas de recursos de Kubernetes a Google Cloud Monitoring para los grupos de nodos de Windows.
  • Función: Se proporcionó un webhook para facilitar la inserción del emulador de IMDS.
  • Función: go1.18 deja de aceptar certificados firmados con el algoritmo de hash SHA-1 de forma predeterminada. Los webhooks de admisión o conversión o los extremos del servidor agregados que usen estos certificados no seguros se romperán de forma predeterminada en la versión 1.24. La variable de entorno GODEBUG=x509sha1=1 se configura en los clústeres de Anthos en AWS como una solución temporal para permitir que estos certificados no seguros continúen funcionando. Sin embargo, se prevé que el equipo de Go quite la solución alternativa en las próximas versiones. Los clientes deben verificar y asegurarse de que no haya webhooks de admisión o conversión ni extremos de servidor agregados que usen esos certificados no seguros antes de actualizar a la próxima versión rotunda.
  • Función: GKE en AWS ahora admite el aprovisionamiento dinámico de EFS en modo de vista previa para clústeres de Kubernetes en la versión 1.24 o posterior. Para usar esta función, debes agregar los siguientes permisos al rol del plano de control: ec2:DescribeAvailabilityZones elasticfilesystem:DescribeAccessPoints elasticfilesystem:DescribeFileSystems elasticfilesystem:DescribeMountTargets elasticfilesystem:CreateAccessPoint elasticfilesystem:DeleteAccessPoint

  • Función: Mejora las verificaciones de conectividad de red durante la creación del clúster y el grupo de nodos para ayudar a solucionar problemas.

  • Función: Admite actualizaciones para las etiquetas del plano de control de AWS. Para actualizar las etiquetas, debes agregar los siguientes permisos al rol de la API - autoscaling:CreateOrUpdateTags autoscaling:DeleteTags ec2:CreateTags ec2:DescribeLaunchTemplates ec2:DescribeSecurityGroupRules ec2:DeleteTags elasticloadbalancing:AddTags elasticloadbalancing:RemoveTags

  • Función: Subir métricas de cargas de trabajo con Google Managed Service para Prometheus a Cloud Monarch está disponible como vista previa privada solo con invitación.

  • Correcciones de seguridad

Kubernetes 1.23

1.23.16-gke.2800

Notas de la versión de OSS de Kubernetes

1.23.16-gke.200

Notas de la versión de OSS de Kubernetes

  • Corrección de errores: Se solucionó un problema en el cual ciertos errores no se propagaban ni se informaban durante las operaciones de creación o actualización del clúster.

  • Corrección de errores: Se solucionaron los problemas de cpp-httplib con el servidor de kubeapi que no puede acceder a AIS.

  • Correcciones de seguridad

1.23.14-gke.1800

Notas de la versión de OSS de Kubernetes

1.23.14-gke.1100

Notas de la versión de OSS de Kubernetes

1.23.11-gke.300

Notas de la versión de OSS de Kubernetes

1.23.9-gke.2200

Notas de la versión de OSS de Kubernetes

  • Corrección de errores: Corrige un error en el que la creación de un recurso de servicio de Kubernetes con el tipo LoadBalancer y la anotación service.beta.kubernetes.io/aws-load-balancer-type: nlb, permanecería con un grupo de destino vacío. Consulta https://github.com/kubernetes/cloud-provider-aws/issues/301.

1.23.9-gke.2100

Notas de la versión de OSS de Kubernetes

1.23.9-gke.800

Notas de la versión de OSS de Kubernetes

1.23.8-gke.1700

Notas de la versión de OSS de Kubernetes

1.23.7-gke.1300

Notas de la versión de OSS de Kubernetes

  • Función: Inhabilita el extremo de generación de perfiles (/debug/pprof) de forma predeterminada en kube-scheduler y kube-controller-manager.

  • Función: Actualiza kube-apiserver y kubelet para usar solo algoritmos de cifrado criptográficos sólidos. Algoritmos de cifrado compatibles que usa Kubelet:

    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_GCM_SHA256

    Algoritmos de cifrado admitidos que usa kube api-server:

    TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256, TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384

  • Función: Agrega un emulador de servidor de metadatos de instancia (IMDS).

  • Correcciones de seguridad

Kubernetes 1.22

1.22.15-gke.100

Notas de la versión de OSS de Kubernetes

1.22.12-gke.2300

Notas de la versión de OSS de Kubernetes

1.22.12-gke.1100

Notas de la versión de OSS de Kubernetes

1.22.12-gke.200

Notas de la versión de OSS de Kubernetes

1.22.10-gke.1500

Notas de la versión de OSS de Kubernetes

1.22.8-gke.2100

Notas de la versión de OSS de Kubernetes

  • Función: Los nodos de Windows ahora usan pigz para mejorar el rendimiento de la extracción de capas de imagen.

1.22.8-gke.1300

  • Corrección de errores
    • Se solucionó un problema en el cual no se pueden aplicar complementos cuando se habilitan los grupos de nodos de Windows.
    • Se solucionó un problema en el cual el agente de Logging podía llenar el espacio de disco conectado.
  • Correcciones de seguridad
    • Se corrigió CVE-2022-1055.
    • Se corrigió CVE-2022-0886.
    • Se corrigió CVE-2022-0492.
    • Se corrigió CVE-2022-24769.
    • En esta versión, se incluyen los siguientes cambios de control de acceso basado en roles (RBAC):
    • Permisos de anet-operator con alcance reducido para la actualización de la asignación de tiempo.
    • Permisos de anetd de Daemonset con alcance reducido para nodos y Pods.
    • Permisos de fluentbit-gke con alcance reducido para los tokens de la cuenta de servicio.
    • gke-metrics-agent con alcance reducido para los tokens de la cuenta de servicio.
    • Permisos de coredns-autoscaler con alcance reducido para nodos, ConfigMaps y Deployments.

1.22.8-gke.200

Notas de la versión de OSS de Kubernetes

  • Función: El tipo de instancia predeterminado para los clústeres y grupos de nodos creados en Kubernetes v1.22 ahora es m5.large en lugar de t3.medium.
  • Función: Cuando creas un clúster nuevo con la versión 1.22 de Kubernetes, ahora puedes configurar parámetros de registro personalizados.
  • Función: Como función de versión preliminar, ahora puedes elegir Windows como el tipo de imagen de grupo de nodos cuando crees grupos de nodos con la versión 1.22 de Kubernetes.
  • Función: Como función de versión preliminar, ahora puedes configurar máquinas anfitrión como hosts dedicados.
  • Función: Ahora puedes ver los errores más comunes de inicio de grupo de nodos y clúster asíncrono en el campo de error de operación de larga duración. Para obtener más información, consulta la gcloud container aws operations list documentación de referencia.
  • Correcciones de seguridad

Kubernetes 1.21

1.21.14-gke.2900

Notas de la versión de OSS de Kubernetes

1.21.14-gke.2100

Notas de la versión de OSS de Kubernetes

1.21.11-gke.1900

Notas de la versión de OSS de Kubernetes

1.21.11-gke.1800

Notas de la versión de OSS de Kubernetes

1.21.11-gke.1100

  • Correcciones de seguridad
    • Se corrigió CVE-2022-1055.
    • Se corrigió CVE-2022-0886.
    • Se corrigió CVE-2022-0492.
    • Se corrigió CVE-2022-24769.
    • Correcciones de RBAC:
    • Permisos de anet con alcance reducido para la actualización de la asignación de tiempo.
    • Permisos de anetd de Daemonset con alcance reducido para nodos y Pods.
    • Permisos de fluentbit con alcance reducido para los tokens de la cuenta de servicio.
    • Permisos de gke-metric-agent con alcance reducido para los tokens de la cuenta de servicio.
    • Permisos de coredns-autoscaler con alcance reducido para nodos, ConfigMaps y Deployments.

1.21.11-gke.100

Notas de la versión de OSS de Kubernetes

1.21.6-gke.1500

Notas de la versión de OSS de Kubernetes

1.21.5-gke.2800

Notas de la versión de OSS de Kubernetes