ארכיון של הערות לגבי גרסאות Kubernetes

בדף הזה מופיע ארכיון היסטורי של הערות לגבי גרסאות Kubernetes שלא נתמכות. כדי לראות נתוני גרסה עדכניים יותר, אפשר לעיין בנתוני הגרסה של Kubernetes.

‫Kubernetes 1.30

1.30.11-gke.800

הערות לגבי הגרסה של Kubernetes OSS

1.30.10-gke.200

הערות לגבי הגרסה של Kubernetes OSS

1.30.8-gke.100

הערות לגבי הגרסה של Kubernetes OSS

1.30.5-gke.1000

הערות לגבי הגרסה של Kubernetes OSS

1.30.5-gke.200

הערות לגבי הגרסה של Kubernetes OSS

1.30.4-gke.400

הערות לגבי הגרסה של Kubernetes OSS

1.30.3-gke.100

הערות לגבי הגרסה של Kubernetes OSS

  • תכונה: נוספה הגדרה של מערכת הצמתים kubeletConfig. התכונה הזו מאפשרת לכם לציין הגדרות בהתאמה אישית במאגרי הצמתים, כולל מדיניות של מנהל המעבד, הגבלת מהירות המעבד ומזהי תהליכים (PIDs).

  • תכונה: הפקודה gcloud beta container fleet memberships get-credentials משתמשת בתכונת תצוגה מקדימה של שער Connect, שמאפשרת להריץ את הפקודות kubectl, attach, cp ו-exec. מידע נוסף זמין בקטע מגבלות במאמרי העזרה בנושא Connect Gateway.

  • תיקוני אבטחה:

‫Kubernetes 1.29

1.29.14-gke.200

הערות לגבי הגרסה של Kubernetes OSS

1.29.12-gke.100

הערות לגבי הגרסה של Kubernetes OSS

1.29.10-gke.100

הערות לגבי הגרסה של Kubernetes OSS

1.29.8-gke.1800

הערות לגבי הגרסה של Kubernetes OSS

1.29.8-gke.600

הערות לגבי הגרסה של Kubernetes OSS

1.29.7-gke.100

הערות לגבי הגרסה של Kubernetes OSS

1.29.6-gke.600

הערות לגבי הגרסה של Kubernetes OSS

1.29.5-gke.1100

הערות לגבי הגרסה של Kubernetes OSS

1.29.5-gke.700

הערות לגבי הגרסה של Kubernetes OSS

1.29.4-gke.200

הערות לגבי הגרסה של Kubernetes OSS

1.29.3-gke.600

הערות לגבי הגרסה של Kubernetes OSS

‫Kubernetes 1.28

1.28.14-gke.200

הערות לגבי הגרסה של Kubernetes OSS

1.28.13-gke.600

הערות לגבי הגרסה של Kubernetes OSS

1.28.12-gke.100

הערות לגבי הגרסה של Kubernetes OSS

1.28.11-gke.600

הערות לגבי הגרסה של Kubernetes OSS

1.28.10-gke.1300

הערות לגבי הגרסה של Kubernetes OSS

1.28.10-gke.800

הערות לגבי הגרסה של Kubernetes OSS

1.28.9-gke.400

הערות לגבי הגרסה של Kubernetes OSS

1.28.8-gke.800

הערות לגבי הגרסה של Kubernetes OSS

1.28.7-gke.1700

הערות לגבי הגרסה של Kubernetes OSS

  • תיקון באגים: תוקנה בעיה שבה אמולטור של Instance Metadata Service‏ (IMDS) לפעמים לא הצליח לבצע איגוד לכתובת IP בצומת. האמולטור של IMDS מאפשר לצמתים לגשת בצורה מאובטחת למטא-נתונים של מכונות AWS EC2.

1.28.5-gke.1200

הערות לגבי הגרסה של Kubernetes OSS

1.28.5-gke.100

הערות לגבי הגרסה של Kubernetes OSS

1.28.3-gke.700

הערות לגבי הגרסה של Kubernetes OSS

  • שינוי שעלול לגרום לבעיות: החל מ-Kubernetes 1.28, נדרשת קישוריות HTTPS יוצאת לאשכולות אל {GCP_LOCATION}-gkemulticloud.googleapis.com. מוודאים ששרת ה-Proxy או חומת האש מאפשרים את התנועה הזו.

  • שינוי שעלול לגרום לבעיות: החל מ-Kubernetes 1.28, לתפקיד סוכן השירות של Multi-Cloud API נדרשת הרשאה חדשה, Iam:getinstanceprofile, בפרויקט שלכם ב-AWS. ההרשאה הזו משמשת את שירות Multi-Cloud לבדיקת פרופילי המכונות שמצורפים למכונות וירטואליות בתוך האשכול.

  • תכונה: נוספה תמיכה בהחזרה למצב הקודם למאגרי צמתים של AWS שפעולות העדכון שלהם נכשלו. כך הלקוחות יכולים להחזיר את מאגרי הצמתים למצב המקורי שלהם.

  • תכונה: נוספה תמיכה בשליפת תמונות מ-Google Artifact Registry פרטי ומ-Google Container Registry פרטי ללא מפתח מיוצא של חשבון שירות Google. פרטי הכניסה לשליפת התמונות מנוהלים ומוחלפים אוטומטית על ידי Google.

  • תכונה: אין יותר צורך להוסיף באופן מפורש קשרי IAM של Google לרוב התכונות.

    1. אין יותר צורך להוסיף כריכות ל-gke-system/gke-telemetry-agent כשיוצרים אשכול.
    2. כשמפעילים איסוף נתונים מנוהל בשירות המנוהל של Google ל-Prometheus, לא צריך יותר להוסיף קשירות ל-gmp-system/collector או ל-gmp-system/rule-evaluator.
    3. אין יותר צורך להוסיף כריכות ל-gke-system/binauthz-agent כשמפעילים הרשאה בינארית.

  • תכונה: AWS Surge update זמינה עכשיו לכולם. עדכוני גל מאפשרים לכם להגדיר את המהירות והשיבוש של עדכוני מאגר הצמתים. לפרטים נוספים על הפעלה והגדרה של הגדרות Surge במאגרי הצמתים שלכם ב-AWS, אפשר לעיין במאמר הגדרת עדכוני Surge במאגרי צמתים.

  • תכונה: שדרגנו את ליבת Ubuntu 22.04 ל-linux-aws 6.2.

  • תכונה: נוספה תמיכה ביצירת מאגרי צמתים באמצעות המופעים הבאים של AWS EC2: ‏ G5,‏ I4g,‏ M7a,‏ M7g,‏ M7i,‏ R7g,‏ R7i ו-R7iz.

  • תיקון באגים: שיפרנו את תהליך יצירת תבניות להשקה. תגים שסופקו על ידי לקוחות מועברים למופעים.

    • השינוי הזה משפר בעיקר את התמיכה בכללי מדיניות IAM. היא מתייחסת באופן ספציפי לכללים שאוסרים על שימוש בתבניות הפעלה שלא תומכות בהפצת תגים, גם במקרים שבהם קבוצת הגידול האוטומטי (ASG) המשויכת כן מפזרת תגים.
    • זה יכול להיות שינוי שובר, בהתאם לפרטים הספציפיים של מדיניות IAM של הלקוח בנוגע לבדיקות תגים. לכן חשוב לנקוט משנה זהירות במהלך תהליך השדרוג, כי טיפול לא נכון עלול להשאיר את האשכול במצב פגום.
    • נדרשת פעולה ec2:CreateTags במשאב arn:aws:ec2:*:*:instance/* עבור תפקיד סוכן השירות של Anthos Multi-Cloud API. מידע עדכני זמין בכתובת https://cloud.google.com/kubernetes-engine/multi-cloud/docs/aws/how-to/create-aws-iam-roles#create_service_agent_role.
    • מומלץ ללקוחות לנסות ליצור אשכול זמני בגרסה 1.28 ולאשר שמדיניות IAM פועלת בצורה תקינה לפני שמנסים לשדרג לגרסה 1.28.

  • תיקון באג: שדרוג של אשכול לגרסה 1.28 ינקה משאבים מיושנים שאולי נוצרו בגרסאות קודמות (עד 1.25) אבל כבר לא רלוונטיים. המשאבים הבאים במרחב השמות gke-system נמחקים אם הם קיימים:

    • ‫daemonsets‏ fluentbit-gke-windows ו-gke-metrics-agent-windows
    • ‫configmaps fluentbit-gke-windows-config ו-gke-metrics-agent-windows-conf

  • תיקון באג: שיפרנו את ההטמעה של יומנים מ-אשכולות Anthos ב-AWS ב-Cloud Logging:

    • תוקנה בעיה בניתוח חותמות זמן.
    • הקצאת רמת החומרה הנכונה ליומני השגיאות של anthos-metadata-agent.

  • תיקוני אבטחה

‫Kubernetes 1.27

1.27.14-gke.1600

הערות לגבי הגרסה של Kubernetes OSS

1.27.14-gke.1200

הערות לגבי הגרסה של Kubernetes OSS

1.27.14-gke.700

הערות לגבי הגרסה של Kubernetes OSS

1.27.13-gke.500

הערות לגבי הגרסה של Kubernetes OSS

1.27.12-gke.800

הערות לגבי הגרסה של Kubernetes OSS

1.27.11-gke.1600

הערות לגבי הגרסה של Kubernetes OSS

  • תיקון באגים: תוקנה בעיה שבה אמולטור של Instance Metadata Service‏ (IMDS) לפעמים לא הצליח לבצע איגוד לכתובת IP בצומת. האמולטור של IMDS מאפשר לצמתים לגשת בצורה מאובטחת למטא-נתונים של מכונות AWS EC2.

1.27.10-gke.500

הערות לגבי הגרסה של Kubernetes OSS

1.27.9-gke.100

הערות לגבי הגרסה של Kubernetes OSS

1.27.7-gke.600

הערות לגבי הגרסה של Kubernetes OSS

  • תכונה: נוספה תמיכה ביצירת מאגרי צמתים באמצעות מופע G5 של AWS EC2.

  • תיקון באג: שיפרנו את ההטמעה של יומנים מ-אשכולות Anthos ב-AWS ב-Cloud Logging:

    • תוקנה בעיה בניתוח חותמות זמן.
    • הקצאת רמת החומרה הנכונה ליומני השגיאות של anthos-metadata-agent.

  • תיקוני אבטחה

1.27.6-gke.700

הערות לגבי הגרסה של Kubernetes OSS

1.27.5-gke.200

הערות לגבי הגרסה של Kubernetes OSS

1.27.4-gke.1600

הערות לגבי הגרסה של Kubernetes OSS * הוצאה משימוש: השבתנו את יציאת הקריאה בלבד של kubelet ללא אימות, מספר 10255. אחרי שמשדרגים מאגר צמתים לגרסה 1.27, עומסי העבודה שפועלים בו לא יכולים יותר להתחבר ליציאה 10255.

  • תכונה: התכונה AWS Surge update זמינה במצב טרום-השקה. עדכונים מהירים מאפשרים לכם להגדיר את המהירות והשיבוש של עדכוני מאגר הצמתים. כדי להצטרף לתקופת הניסיון, צריך לפנות לצוות ניהול החשבון.
  • תכונה: שודרג EBS CSI Driver לגרסה v1.20.0.
  • תכונה: שודרג מנהל ההתקן EFS CSI לגרסה 1.5.7.

  • תכונה: שדרגנו את snapshot-controller ואת csi-snapshot-validation-webhook לגרסה 6.2.2. בגרסה החדשה הזו יש שינוי חשוב ב-API. בפרט, ממשקי ה-API‏ VolumeSnapshot, VolumeSnapshotContents ו-VolumeSnapshotClass v1beta1 כבר לא זמינים.

  • תכונה: הוספנו תמיכה בדגל admin-groups חדש בממשקי ה-API ליצירה ולעדכון. הדגל הזה מאפשר ללקוחות לאמת במהירות ובקלות קבוצות שמופיעות ברשימה כמנהלי אשכולות, בלי צורך ליצור ולהחיל מדיניות RBAC באופן ידני.

  • תכונה: נוספה תמיכה בBinary Authorization, אמצעי בקרה לאבטחה בזמן הפריסה שמבטיח שרק קובצי אימג' של קונטיינר מהימנים ייפרסו. באמצעות Binary Authorization, אתם יכולים לדרוש חתימה של תמונות על ידי רשויות מהימנות במהלך תהליך הפיתוח, ולאחר מכן לאכוף אימות חתימה במהלך הפריסה. אכיפת האימות מאפשרת לכם לשלוט טוב יותר בסביבת הקונטיינרים, כי היא מבטיחה שרק תמונות מאומתות ישולבו בתהליך ה-build וההפצה. פרטים על הפעלת Binary Authorization באשכולות זמינים במאמר איך מפעילים Binary Authorization.

  • תכונה: הופעלה דחיסת gzip עבור fluent-bit (מעבד יומנים ומעביר), gke-metrics-agent (כלי לאיסוף מדדים) ו-audit-proxy (שרת proxy של יומן ביקורת). ‫fluent-bit דוחס נתוני יומן ממישור הבקרה ומעומסי העבודה לפני שליחתם ל-Cloud Logging, gke-metrics-agent דוחס נתוני מדדים ממישור הבקרה ומעומסי העבודה לפני שליחתם ל-Cloud Monitoring, ו-audit-proxy דוחס נתוני יומן ביקורת לפני שליחתם ל-Audit Logging. כך מצמצמים את רוחב הפס ברשת ואת העלויות.

  • תכונה: יצירת מאגרי צמתים של AWS SPOT זמינה עכשיו לכולם.

  • תכונה: התכונה 'תיקון אוטומטי של צמתים' זמינה עכשיו לכולם.

  • תכונה: שיפור האבטחה על ידי הוספת בדיקות שלמות קבצים ואימות טביעת אצבע עבור ארטיפקטים בינאריים שהורדו מ-Cloud Storage.

  • תכונה: נוספה אפשרות ignore_errors ל-API של המחיקה כדי לטפל במקרים שבהם תפקידי IAM נמחקו בטעות או שהסרה ידנית של משאבים מונעת את המחיקה של אשכולות או של מאגרי צמתים. על ידי הוספת ?ignore_errors=true לכתובת ה-URL של בקשת DELETE, המשתמשים יכולים עכשיו להסיר בכוח אשכולות או מאגרי צמתים. עם זאת, יכול להיות שהגישה הזו תגרום למשאבים יתומים ב-AWS או ב-Azure, ולכן יהיה צורך בניקוי ידני.

  • תכונה: נוספה תמיכה באיחוי תקופתי אוטומטי של etcd ושל etcd-events במישור הבקרה. התכונה הזו מצמצמת את השימוש בנפח אחסון בדיסק ועוזרת למנוע מצבים שבהם etcd ומישור הבקרה לא זמינים בגלל בעיות בנפח האחסון בדיסק.

  • תכונה: שמות המדדים של משאבי Kubernetes שונו כך שישתמשו בקידומת מדדים kubernetes.io/anthos/ במקום kubernetes.io/. פרטים נוספים מופיעים במאמרי העזרה בנושא מדדים.

  • תכונה: שונתה גרסת ברירת המחדל של etcd ל-v3.4.21 באשכולות חדשים לשיפור היציבות. קלאסטרים קיימים שמשודרגים לגרסה הזו ישתמשו ב-etcd v3.5.6.

  • תכונה: שיפור ניהול המשאבים של הצמתים על ידי שמירת משאבים עבור kubelet. התכונה הזו חשובה מאוד למניעת שגיאות של חוסר זיכרון (OOM) כי היא מבטיחה שלתהליכים של המערכת ושל Kubernetes יהיו המשאבים שהם צריכים, אבל היא עלולה לגרום לשיבושים בעומסי העבודה. ההזמנה של משאבים עבור kubelet עשויה להשפיע על המשאבים שזמינים ל-Pods, ועלולה להשפיע על היכולת של צמתים קטנים יותר לטפל בעומסי עבודה קיימים. הלקוחות צריכים לוודא שצמתים קטנים יותר עדיין יכולים לתמוך בעומסי העבודה שלהם כשהתכונה החדשה הזו מופעלת.

    • אלה אחוזי הזיכרון השמורים:
    • ‫255MiB למכונות עם פחות מ-1GB זיכרון
    • ‫25% מ-4GB הראשונים של הזיכרון
    • ‫20% מתוך 4GB הבאים
    • ‫10% מ-8GB הבאים
    • ‫6% מתוך 112GB הבאים
    • ‫2% מכל זיכרון מעל 128GB
    • אלה אחוזי המעבד ששמורים:
    • ‫6% מהליבה הראשונה
    • ‫1% מהליבה הבאה
    • ‫0.5% מ-2 הליבות הבאות
    • ‫0.25% מכל ליבה מעל 4 ליבות

  • תיקוני באגים

    • הפעלת המידרוג האוטומטי באשכול כדי לאזן את הצמתים באזורי זמינות שונים. כדי לעשות את זה, משתמשים בדגל --balance-similar-node-groups.

  • תיקוני אבטחה

‫Kubernetes 1.26

1.26.14-gke.1500

הערות לגבי הגרסה של Kubernetes OSS

  • תיקון באגים: תוקנה בעיה שבה אמולטור של Instance Metadata Service‏ (IMDS) לפעמים לא הצליח לבצע איגוד לכתובת IP בצומת. האמולטור של IMDS מאפשר לצמתים לגשת בצורה מאובטחת למטא-נתונים של מכונות AWS EC2.

1.26.13-gke.400

הערות לגבי הגרסה של Kubernetes OSS

1.26.12-gke.100

הערות לגבי הגרסה של Kubernetes OSS

1.26.10-gke.600

הערות לגבי הגרסה של Kubernetes OSS

  • תכונה: נוספה תמיכה ביצירת מאגרי צמתים באמצעות מופע G5 של AWS EC2.

  • תיקון באג: שודרג מנהל ההתקן של Elastic File System (EFS) Container Storage Interface ‏(CSI) aws-efs-csi-driver לגרסה v1.3.8-gke.21.

  • תיקון באג: שיפרנו את ההטמעה של יומנים מ-אשכולות Anthos ב-AWS ב-Cloud Logging:

    • תוקנה בעיה בניתוח חותמות זמן.
    • הקצאת רמת החומרה הנכונה ליומני השגיאות של anthos-metadata-agent.

  • תיקוני אבטחה

1.26.9-gke.700

הערות לגבי הגרסה של Kubernetes OSS

1.26.8-gke.200

הערות לגבי הגרסה של Kubernetes OSS

1.26.7-gke.500

הערות לגבי הגרסה של Kubernetes OSS

1.26.5-gke.1400

הערות לגבי הגרסה של Kubernetes OSS

1.26.5-gke.1200

הערות לגבי הגרסה של Kubernetes OSS

  • תיקוני באגים
    • הגדרה של Cluster Autoscaler כדי לאזן את מספר הצמתים באזורי הזמינות באמצעות ‎--balance-similar-node-groups.

1.26.4-gke.2200

הערות לגבי הגרסה של Kubernetes OSS * תכונה: ב-Ubuntu 22.04 נעשה שימוש בקרנל linux-aws 5.19.

  • תיקוני באגים

    • תוקנה בעיה שבה Kubernetes החיל באופן שגוי את ברירת המחדל של StorageClass על PersistentVolumeClaims עם הערת הכרך שהוצאה משימוש volume.beta.kubernetes.io/storage-class.
    • תוקנה בעיה שבה סוכן הרישום צרך כמויות זיכרון גבוהות יותר ויותר.

  • תיקוני אבטחה

    • תוקנה בעיה שמשפיעה על מעקב אחר חיבורים (conntrack) ב-netfilter, שאחראי על מעקב אחרי חיבורים לרשת. התיקון מבטיח הוספה תקינה של חיבורים חדשים לטבלת conntrack, ועוזר להתגבר על המגבלות שנובעות משינויים שבוצעו בגרסאות ליבת Linux 5.15 ומעלה.

1.26.2-gke.1001

הערות לגבי הגרסה של Kubernetes OSS

  • בעיה מוכרת: ב-Kubernetes 1.26.2, ברירת המחדל של StorageClass תוחל באופן שגוי על PersistentVolumeClaims עם ההערה שהוצאה משימוש volume.beta.kubernetes.io/storage-class.

  • תכונה: קובץ האימג' של מערכת ההפעלה עודכן ל-Ubuntu 22.04. אפליקציית cgroupv2 משמשת עכשיו כהגדרת ברירת המחדל של קבוצת הבקרה.

    • ב-Ubuntu 22.04 נעשה שימוש ב-cgroupv2 כברירת מחדל. מומלץ לבדוק אם אחת מהאפליקציות שלכם ניגשת למערכת הקבצים cgroup. אם כן, צריך לעדכן אותם כדי להשתמש ב-cgroupv2. אלה כמה דוגמאות לאפליקציות שאולי צריך לעדכן כדי לוודא שהן תואמות ל-cgroupv2:
    • סוכני אבטחה וניטור של צד שלישי שתלויים במערכת הקבצים cgroup.
    • אם נעשה שימוש ב-cAdvisor כ-DaemonSet עצמאי למעקב אחר Pods וקונטיינרים, צריך לעדכן אותו לגרסה v0.43.0 ואילך.
    • אם אתם משתמשים ב-JDK, מומלץ להשתמש בגרסה 11.0.16 ואילך, או בגרסה 15 ואילך. יש תמיכה מלאה ב-cgroupv2 בגרסאות האלה.
    • אם אתם משתמשים בחבילה uber-go/automaxprocs, הקפידו להשתמש בגרסה v1.5.1 ואילך.
    • ב-Ubuntu 22.04, החבילה timesyncd הוסרה. במקום זאת, נעשה עכשיו שימוש ב-chrony בשירות Amazon Time Sync.
    • מידע נוסף זמין בהערות הגרסה של Ubuntu

  • תכונה: שליחת מדדים של רכיבי מישור הבקרה אל Cloud Monitoring. הוא כולל קבוצת משנה של מדדי Prometheus מ-kube-apiserver,‏ etcd,‏ kube-scheduler ו-kube-controller-manager. שמות המדדים מתחילים בקידומת kubernetes.io/anthos/.

  • תכונה: הופעלה שליחת מטא-נתונים של משאבי Kubernetes אל Google Cloud Platform, כדי לשפר את ממשק המשתמש ואת מדדי האשכול. כדי שהמערכת תעבד את המטא-נתונים בצורה תקינה, הלקוחות צריכים להפעיל את Config Monitoring for Ops API. אפשר להפעיל את ה-API הזה ב-מסוף Google Cloud או להפעיל את opsconfigmonitoring.googleapis.com API באופן ידני ב-ה-CLI של gcloud. בנוסף, הלקוחות צריכים לבצע את השלבים שמפורטים במסמכי התיעוד בנושא הרשאת Cloud Logging/Monitoring כדי להוסיף את הקישורים הדרושים ב-IAM. אם רלוונטי, מוסיפים את opsconfigmonitoring.googleapis.com אל רשימת ההיתרים של ה-Proxy.

  • תכונה: נוספה תכונת תצוגה מקדימה ליצירת מאגר צמתים של Spot AWS.

  • תכונה: יצירת מאגרי צמתים באמצעות סוגי מופעים מבוססי ARM‏ (Graviton) זמינה עכשיו לכולם.

  • תכונה: הופעלה השבתה הדרגתית של צומת kubelet. ל-Pods שאינם מערכתיים יש 15 שניות להפסיק את הפעולה, ולאחר מכן ל-Pods מערכתיים (עם מחלקות העדיפות system-cluster-critical או system-node-critical) יש 15 שניות להפסיק את הפעולה בצורה מסודרת.

  • תכונה: הפעלנו את התכונה לתיקון אוטומטי של צמתים במצב תצוגה מקדימה. כדי להצטרף לתקופת הניסיון, צריך לפנות לצוות ניהול החשבון.

  • תכונה: נוספו תגים למשאב של נקודת גישה ל-EFS שנוצר באופן דינמי.

  • תכונה: עכשיו יש ל-Clusters כללים של קבוצות אבטחה ברמת רשתות משנה לכל מאגר צמתים, במקום כללים ברמת VPC

    • בעבר, מישור הבקרה אפשר תעבורה נכנסת מכל טווח כתובות ה-IP הראשי של ה-VPC ביציאות TCP/443 ו-TCP/8123, שמשמשות מאגרי צמתים.
    • עכשיו, מישור הבקרה מצמצם את התנועה הנכנסת המותרת לכל טווח כתובות IP של רשתות המשנה של מאגרי הצמתים ביציאות TCP/443 ו-TCP/8123. כמה מאגרי צמתים יכולים לחלוק רשת משנה אחת.
    • השינוי הזה תומך במאגרי צמתים שפועלים מחוץ לטווח כתובות ה-IP הראשי של ה-VPC, ומשפר את האבטחה של מישור הבקרה.
    • אם הסתמכתם על כלל קבוצת האבטחה ברמת ה-VPC כדי לאפשר תנועה מחוץ לאשכול (למשל מיעד מבוצר (bastion host) ל-kubectl), כחלק מהשדרוג עליכם ליצור קבוצת אבטחה, להוסיף לה כלל ברמת ה-VPC ולצרף את קבוצת האבטחה למישור הבקרה (באמצעות השדה AwsCluster.controlPlane.securityGroupIds).

  • תיקוני באגים: אשכולות שנוצרו לאחרונה משתמשים עכשיו ב-etcd v3.4.21 לשיפור היציבות. באשכולות קיימים מגרסאות קודמות כבר נעשה שימוש ב-etcd v3.5.x, והם לא ישודרגו לאחור ל-v3.4.21 במהלך שדרוג האשכול. במקום זאת, האשכולות האלה ישתמשו ב-v3.5.6.

  • תיקון אבטחה: הגדרת מגבלת הצעדים של התגובה של IMDS emulator ל-1. ההצפנה הזו מאבטחת את התקשורת של נתוני IMDS בין האמולטור לבין עומס העבודה.

‫Kubernetes 1.25

1.25.14-gke.700

הערות לגבי הגרסה של Kubernetes OSS

1.25.13-gke.200

הערות לגבי הגרסה של Kubernetes OSS

1.25.12-gke.500

הערות לגבי הגרסה של Kubernetes OSS * תכונה: הרחבנו את רשימת המדדים שנאספים ממאגרי הצמתים כך שתכלול את המדדים הבאים: ‫gke-metrics-agent,‏ cilium-agent,‏ cilium-operator,‏ coredns, ‫fluentbit-gke,‏ kubelet ו-konnectivity-agent.

1.25.10-gke.1400

הערות לגבי הגרסה של Kubernetes OSS

1.25.10-gke.1200

הערות לגבי הגרסה של Kubernetes OSS

  • תיקוני באגים
    • הגדרה של Cluster Autoscaler כדי לאזן את מספר הצמתים באזורי הזמינות באמצעות ‎--balance-similar-node-groups.
  • תיקוני אבטחה
    • העברנו את סוכן המדדים ואת שרת המדדים של מאגר הצמתים ל-kubelet מאומת.

1.25.8-gke.500

הערות לגבי הגרסה של Kubernetes OSS

  • תיקוני באגים

    • תוקנה בעיה שבה סוכן הרישום צרך כמויות זיכרון גבוהות יותר ויותר.

  • תיקוני אבטחה

1.25.7-gke.1000

הערות לגבי הגרסה של Kubernetes OSS

  • תכונה: נוספו תגים למשאב של נקודת גישה ל-EFS שנוצר באופן דינמי.

  • תיקוני באגים: אשכולות שנוצרו לאחרונה משתמשים עכשיו ב-etcd v3.4.21 לשיפור היציבות. באשכולות קיימים מגרסאות קודמות כבר נעשה שימוש ב-etcd v3.5.x, והם לא ישודרגו לאחור ל-v3.4.21 במהלך שדרוג האשכול. במקום זאת, האשכולות האלה ישתמשו ב-v3.5.6.

1.25.6-gke.1600

הערות לגבי הגרסה של Kubernetes OSS

1.25.5-gke.2000

הערות לגבי הגרסה של Kubernetes OSS * תכונה: עודכן Anthos Identity Service כדי לטפל טוב יותר בבקשות webhook של אימות בו-זמני.

  • תיקון באג: תוקנה בעיה שגרמה לכך ששגיאות מסוימות לא הועברו ולא דווחו במהלך פעולות של יצירה או עדכון של אשכול.
  • תיקון באג: תוקנה בעיה במנהל התקן של AWS EFS CSI שבה אי אפשר לתרגם את שמות המארחים של EFS כש-AWS VPC מוגדר לשימוש בשרת DNS בהתאמה אישית.

  • תיקון באג: תוקנה הבעיה שגרמה לכך שהאימות דרך לוח הבקרה של Anthos Service Mesh נכשל בגלל חוסר אפשרות להתחזות למשתמש קצה.

  • תיקוני אבטחה

1.25.5-gke.1500

הערות לגבי הגרסה של Kubernetes OSS

  • בעיה ידועה: בחלק מהממשקים של Google Cloud console אין אפשרות לתת הרשאה לאשכול, ויכול להיות שהאשכול יוצג כלא זמין. פתרון עקיף הוא להחיל באופן ידני RBAC שמאפשר התחברות זמנית כמשתמש אחר. פרטים נוספים זמינים במאמר בנושא פתרון בעיות.

  • תיקוני אבטחה

1.25.4-gke.1300

הערות לגבי הגרסה של Kubernetes OSS

  • בעיה ידועה: בחלק מהממשקים של Google Cloud console אין אפשרות לתת הרשאה לאשכול, ויכול להיות שהאשכול יוצג כלא זמין. פתרון עקיף הוא להחיל באופן ידני RBAC שמאפשר התחברות זמנית כמשתמש אחר. פרטים נוספים זמינים במאמר בנושא פתרון בעיות.

  • הוצאה משימוש: הוסרו תוספי נפח שהוצאו משימוש בתוך העץ: flocker, ‏ quobyte ו-storageos.

  • תכונה: שיפור האבטחה על ידי הגבלת הפעלת פודים סטטיים במכונות וירטואליות של מישור הבקרה של האשכול, כך שהם יפעלו כמשתמשי Linux שאינם משתמשי root.

  • תכונה: נוספה תמיכה בעדכון דינמי של קבוצות אבטחה של מאגר צמתים ב-AWS. כדי לעדכן קבוצות אבטחה, צריכות להיות לכם ההרשאות הבאות בתפקיד ב-API:

    • ec2:ModifyInstanceAttribute
    • ec2:DescribeInstances

  • תכונה: נוספה תמיכה בעדכון דינמי של תגי מאגר הצמתים של AWS. כדי לעדכן תגים של מאגר צמתים, אתם צריכים את ההרשאות הבאות בתפקיד ה-API שלכם:

    • autoscaling:CreateOrUpdateTags
    • autoscaling:DeleteTags
    • ec2:CreateTags
    • ec2:DeleteTags
    • ec2:DescribeLaunchTemplates

  • תכונה: הקצאת משאבים דינמית של EFS זמינה עכשיו ב-GA לאשכולות בגרסה 1.25 ואילך. כדי להשתמש בתכונה הזו, צריך להוסיף את ההרשאות הבאות לתפקיד במישור הבקרה:

    • ec2:DescribeAvailabilityZones
    • elasticfilesystem:DescribeAccessPoints
    • elasticfilesystem:DescribeFileSystems
    • elasticfilesystem:DescribeMountTargets
    • elasticfilesystem:CreateAccessPoint
    • elasticfilesystem:DeleteAccessPoint

  • תכונה: העלאה של מדדי עומס עבודה באמצעות שירות מנוהל של Google ל-Prometheus עם איסוף מנוהל ל-Cloud Monarch זמינה עכשיו ב-GA.

  • תכונה: נוספה תמיכה בהפעלה ובעדכון של איסוף מדדים של CloudWatch בקבוצת שינוי הגודל האוטומטי של מאגר הצמתים של AWS. כדי להפעיל או לעדכן איסוף מדדים באמצעות ממשק API ליצירה או לעדכון, צריך להוסיף את ההרשאות הבאות לתפקיד ב-API:

    • autoscaling:EnableMetricsCollection
    • autoscaling:DisableMetricsCollection

  • תכונה: Azure AD GA. התכונה הזו מאפשרת לאדמינים של אשכולות להגדיר מדיניות RBAC על סמך קבוצות Azure AD להרשאה באשכולות. התמיכה הזו מאפשרת לאחזר מידע על קבוצות של משתמשים ששייכים ליותר מ-200 קבוצות, וכך להתגבר על מגבלה של OIDC רגיל שהוגדר עם Azure AD כספק הזהויות.

  • תכונה: נוסף מנהל אסימונים חדש (gke-token-manager) ליצירת אסימונים לרכיבי מישור הבקרה, באמצעות מפתח החתימה של חשבון השירות. יתרונות:

    1. ביטול התלות ב-kube-apiserver לצורך אימות רכיבי מישור הבקרה בשירותי Google. בעבר, רכיבי מישור הבקרה השתמשו ב-TokenRequest API והסתמכו על kube-apiserver תקין. לעומת זאת, עכשיו רכיב gke-token-manager יוצר את האסימונים ישירות באמצעות מפתח החתימה של חשבון השירות.
    2. ביטול ה-RBAC ליצירת טוקן לרכיבי מישור הבקרה.
    3. מבטלים את הקישור בין הרישום ביומן לבין kube-apiserver. כדי שהרישום יתבצע לפני שה-kube-apiserver יפעל.
    4. שיפור העמידות של מישור הבקרה. כש-kube-apiserver לא פועל, רכיבי מישור הבקרה עדיין יכולים לקבל את האסימונים ולהמשיך לפעול.

  • תכונה: כחלק מגרסת טרום-השקה (Preview), אפשר להטמיע מגוון מדדים מרכיבי מישור הבקרה ב-Cloud Monitoring, כולל kube-apiserver, ‏ etcd,‏ kube-scheduler ו-kube-controller-manager.

  • תכונה: משתמשים בקבוצת Google יכולים לגשת לאשכולות AWS באמצעות Connect Gateway על ידי מתן הרשאת RBAC הנדרשת לקבוצה. פרטים נוספים זמינים במאמר הגדרת שער Connect באמצעות קבוצות Google.

  • תיקון באג: תוקנה בעיה שיכולה לגרום לכך שגרסאות לא עדכניות של gke-connect-agent לא יוסרו אחרי שדרוגים של אשכולות.

  • תיקוני אבטחה

‫Kubernetes 1.24

1.24.14-gke.2700

הערות לגבי הגרסה של Kubernetes OSS

1.24.14-gke.1400

הערות לגבי הגרסה של Kubernetes OSS

  • תיקוני באגים
    • הגדרה של Cluster Autoscaler כדי לאזן את מספר הצמתים באזורי הזמינות באמצעות ‎--balance-similar-node-groups.

1.24.13-gke.500

הערות לגבי הגרסה של Kubernetes OSS

  • תיקוני באגים

    • תוקנה בעיה שבה סוכן הרישום צרך כמויות זיכרון גבוהות יותר ויותר.

  • תיקוני אבטחה

1.24.11-gke.1000

הערות לגבי הגרסה של Kubernetes OSS

  • תיקוני באגים: אשכולות שנוצרו לאחרונה משתמשים עכשיו ב-etcd v3.4.21 לשיפור היציבות. באשכולות קיימים מגרסאות קודמות כבר נעשה שימוש ב-etcd v3.5.x, והם לא ישודרגו לאחור ל-v3.4.21 במהלך שדרוג האשכול. במקום זאת, האשכולות האלה ישתמשו ב-v3.5.6.

1.24.10-gke.1200

הערות לגבי הגרסה של Kubernetes OSS

  • תיקון באג: תוקנה בעיה שיכולה לגרום לשדרוגי אשכול להיכשל אם נרשמו סוגים מסוימים של ווּבּהוּקים (webhooks) של אימות קבלה.
  • תיקון באג: תיקנו את ההעברה של מזהה האבטחה של Cilium כך שהמזהים מועברים בצורה תקינה בכותרת של המנהרה כשבקשות מועברות לשירותים מסוג NodePort ו-LoadBalancer.
  • תיקוני אבטחה

1.24.9-gke.2000

הערות לגבי הגרסה של Kubernetes OSS

  • תכונה: עודכן Anthos Identity Service כדי לטפל טוב יותר בבקשות webhook לאימות שמתבצעות במקביל.

  • תיקון באג: תוקנה בעיה שגרמה לכך ששגיאות מסוימות לא הועברו ולא דווחו במהלך פעולות של יצירה או עדכון של אשכול.

  • תיקוני אבטחה

1.24.9-gke.1500

הערות לגבי הגרסה של Kubernetes OSS

1.24.8-gke.1300

הערות לגבי הגרסה של Kubernetes OSS

1.24.5-gke.200

הערות לגבי הגרסה של Kubernetes OSS

1.24.3-gke.2200

הערות לגבי הגרסה של Kubernetes OSS

  • תיקון באג: תוקן באג שבו יצירת משאב Kubernetes Service עם הסוג LoadBalancer וההערה service.beta.kubernetes.io/aws-load-balancer-type: nlb, הייתה נשארת עם קבוצת יעד ריקה. פרטים נוספים זמינים בכתובת https://github.com/kubernetes/cloud-provider-aws/issues/301

1.24.3-gke.2100

הערות לגבי הגרסה של Kubernetes OSS

  • תכונה: העלאת מדדי משאבים של Kubernetes אל Google Cloud Monitoring עבור מאגרי צמתים של Windows.
  • תכונה: הוספנו webhook להזרקה קלה של אמולטור IMDS.
  • תכונה: החל מ-go1.18, המערכת מפסיקה לקבל כברירת מחדל אישורים שנחתמו באמצעות אלגוריתם הגיבוב SHA-1. כברירת מחדל, גרסה 1.24 תפסיק לתמוך ב-webhooks של הרשאות כניסה או המרות, או בנקודות קצה של שרתים מצטברים שמשתמשים באישורים לא מאובטחים. משתנה הסביבה GODEBUG=x509sha1=1 מוגדר באשכולות Anthos ב-AWS כפתרון זמני כדי לאפשר לאישורים הלא מאובטחים האלה להמשיך לפעול. עם זאת, הצוות של Go צפוי להסיר את התמיכה בפתרון העקיף הזה בגרסאות הקרובות. לפני שמשדרגים לגרסה הבאה שכוללת שינויים שעלולים לשבור תאימות לאחור, הלקוחות צריכים לבדוק ולוודא שאין webhooks של כניסה או המרה או נקודות קצה של שרתים מצטברים שמשתמשים באישורים לא מאובטחים כאלה.
  • תכונה: GKE ב-AWS תומך עכשיו בהקצאה דינמית של EFS במצב תצוגה מקדימה, לאשכולות Kubernetes בגרסה 1.24 ואילך. כדי להשתמש בתכונה הזו, צריך להוסיף את ההרשאות הבאות לתפקיד במישור הבקרה: ec2:DescribeAvailabilityZones elasticfilesystem:DescribeAccessPoints elasticfilesystem:DescribeFileSystems elasticfilesystem:DescribeMountTargets elasticfilesystem:CreateAccessPoint elasticfilesystem:DeleteAccessPoint

  • תכונה: שיפור הבדיקות של קישוריות הרשת במהלך יצירת אשכולות ומאגרי צמתים כדי לעזור בפתרון בעיות.

  • תכונה: תמיכה בעדכונים לתגי מישור הבקרה של AWS. כדי לעדכן תגים, צריך להוסיף את ההרשאות הבאות לתפקיד ב-APIautoscaling:CreateOrUpdateTags autoscaling:DeleteTags ec2:CreateTags ec2:DescribeLaunchTemplates ec2:DescribeSecurityGroupRules ec2:DeleteTags elasticloadbalancing:AddTags elasticloadbalancing:RemoveTags

  • תכונה: העלאת מדדי עומס עבודה באמצעות השירות המנוהל של Google ל-Prometheus אל Cloud Monarch זמינה כגרסת טרום-השקה פרטית בהזמנה בלבד.

  • תיקוני אבטחה

‫Kubernetes 1.23

1.23.16-gke.2800

הערות לגבי הגרסה של Kubernetes OSS

1.23.16-gke.200

הערות לגבי הגרסה של Kubernetes OSS

  • תיקון באג: תוקנה בעיה שגרמה לכך ששגיאות מסוימות לא הועברו ולא דווחו במהלך פעולות של יצירה או עדכון של אשכול.

  • תיקון באג: תוקנו בעיות ב-cpp-httplib שגרמו לשרת kubeapi לא להגיע ל-AIS.

  • תיקוני אבטחה

1.23.14-gke.1800

הערות לגבי הגרסה של Kubernetes OSS

1.23.14-gke.1100

הערות לגבי הגרסה של Kubernetes OSS

1.23.11-gke.300

הערות לגבי הגרסה של Kubernetes OSS

1.23.9-gke.2200

הערות לגבי הגרסה של Kubernetes OSS

  • תיקון באג: תוקן באג שבו יצירת משאב Kubernetes Service עם הסוג LoadBalancer וההערה service.beta.kubernetes.io/aws-load-balancer-type: nlb, הייתה נשארת עם קבוצת יעד ריקה. פרטים נוספים זמינים בכתובת https://github.com/kubernetes/cloud-provider-aws/issues/301

1.23.9-gke.2100

הערות לגבי הגרסה של Kubernetes OSS

1.23.9-gke.800

הערות לגבי הגרסה של Kubernetes OSS

1.23.8-gke.1700

הערות לגבי הגרסה של Kubernetes OSS

1.23.7-gke.1300

הערות לגבי הגרסה של Kubernetes OSS

  • תכונה: השבתה של נקודת הקצה של יצירת פרופילים (/debug/pprof) כברירת מחדל ב-kube-scheduler וב-kube-controller-manager.

  • תכונה: עדכון של kube-apiserver ו-kubelet כך שישתמשו רק בצפנים קריפטוגרפיים חזקים. הצפנות נתמכות שמשמשות את Kubelet:

    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_GCM_SHA256

    הצפנות הנתמכות שמשמשות את kube api-server:

    TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256, TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384

  • תכונה: הוספת אמולטור של שרת מטא-נתונים של מכונה (IMDS).

  • תיקוני אבטחה

‫Kubernetes 1.22

1.22.15-gke.100

הערות לגבי הגרסה של Kubernetes OSS

1.22.12-gke.2300

הערות לגבי הגרסה של Kubernetes OSS

1.22.12-gke.1100

הערות לגבי הגרסה של Kubernetes OSS

1.22.12-gke.200

הערות לגבי הגרסה של Kubernetes OSS

1.22.10-gke.1500

הערות לגבי הגרסה של Kubernetes OSS

1.22.8-gke.2100

הערות לגבי הגרסה של Kubernetes OSS

  • תכונה: צמתי Windows משתמשים עכשיו ב-pigz כדי לשפר את הביצועים של חילוץ שכבות תמונה.

1.22.8-gke.1300

  • תיקוני באגים
    • תוקנה בעיה שבה אי אפשר להחיל תוספים כשמאגרי צמתים של Windows מופעלים.
    • תוקנה בעיה שבה סוכן הרישום יכול היה למלא את נפח האחסון של הדיסק המצורף.
  • תיקוני אבטחה
    • תוקן CVE-2022-1055.
    • תוקן CVE-2022-0886.
    • תוקן CVE-2022-0492.
    • תוקן CVE-2022-24769.
    • הגרסה הזו כוללת את השינויים הבאים בבקרת גישה מבוססת-תפקידים (RBAC):
    • הצטמצמו ההרשאות של anet-operator לעדכון השכרה.
    • הצטמצם היקף ההרשאות של anetd Daemonset לצמתים ולפודים.
    • הצטמצם היקף ההרשאות fluentbit-gke באסימונים של חשבון השירות.
    • היקף ההרשאות צומצם gke-metrics-agent עבור טוקנים של חשבונות שירות.
    • הגדרת הרשאות coredns-autoscaler מצומצמות יותר לצמתים, ל-ConfigMap ולפריסות.

1.22.8-gke.200

הערות לגבי הגרסה של Kubernetes OSS

  • תכונה: סוג ברירת המחדל של המכונה לשימוש באשכולות ובמאגרי צמתים שנוצרו ב-Kubernetes v1.22 הוא עכשיו m5.large במקום t3.medium.
  • תכונה: כשיוצרים אשכול חדש באמצעות Kubernetes גרסה 1.22, אפשר עכשיו להגדיר פרמטרים מותאמים אישית לרישום ביומן.
  • תכונה: כחלק מתכונות בתצוגה מקדימה, עכשיו אפשר לבחור ב-Windows כסוג התמונה של מאגר הצמתים כשיוצרים מאגרי צמתים עם Kubernetes בגרסה 1.22.
  • תכונה: עכשיו אפשר להגדיר מכונות מארחות כמארחים ייעודיים. התכונה הזו זמינה כגרסת Preview.
  • תכונה: עכשיו אפשר לראות את רוב השגיאות הנפוצות בהפעלה של אשכולות אסינכרוניים ושל מאגרי צמתים בשדה השגיאה של פעולה ארוכת טווח. מידע נוסף מופיע במאמרי העזרה בנושא gcloud container aws operations list.
  • תיקוני אבטחה

‫Kubernetes 1.21

1.21.14-gke.2900

הערות לגבי הגרסה של Kubernetes OSS

1.21.14-gke.2100

הערות לגבי הגרסה של Kubernetes OSS

1.21.11-gke.1900

הערות לגבי הגרסה של Kubernetes OSS

1.21.11-gke.1800

הערות לגבי הגרסה של Kubernetes OSS

1.21.11-gke.1100

  • תיקוני אבטחה
    • תוקן CVE-2022-1055.
    • תוקן CVE-2022-0886.
    • תוקן CVE-2022-0492.
    • תוקן CVE-2022-24769.
    • תיקונים ב-RBAC:
    • צמצמנו את ההרשאות של anet-operator לעדכון של חכירה.
    • הצטמצם היקף ההרשאות של anetd Daemonset לצמתים ולפודים.
    • הגדרנו הרשאות מצומצמות יותר ל-fluentbit-gke עבור אסימוני חשבון שירות.
    • הגבלת ההיקף של gke-metrics-agent לאסימונים של חשבונות שירות.
    • הצטמצם היקף ההרשאות של coredns-autoscaler עבור Nodes, ‏ ConfigMaps ו-Deployments.

1.21.11-gke.100

הערות לגבי הגרסה של Kubernetes OSS

1.21.6-gke.1500

הערות לגבי הגרסה של Kubernetes OSS

1.21.5-gke.2800

הערות לגבי הגרסה של Kubernetes OSS