Ansichten:
Profilanwendbarkeit: Stufe 2
Die automatische Knotenaktualisierung hält die Knoten auf dem aktuellen Kubernetes- und Betriebssystem-Sicherheitspatch-Level, um bekannte Schwachstellen zu mindern.
Hinweis
Hinweis
Automatische Node-Upgrades sind für Alpha-Cluster nicht verfügbar.
Die automatische Knotenaktualisierung hilft Ihnen, die Knoten im Cluster oder Knotenpool mit der neuesten stabilen Patch-Version von Kubernetes sowie dem zugrunde liegenden Knoten-Betriebssystem auf dem neuesten Stand zu halten. Die automatische Knotenaktualisierung verwendet denselben Aktualisierungsmechanismus wie manuelle Knotenaktualisierungen.
Node-Pools mit aktivierter automatischer Knotenaktualisierung werden automatisch für Upgrades eingeplant, wenn eine neue stabile Kubernetes-Version verfügbar wird. Wenn das Upgrade durchgeführt wird, wird der Node-Pool aktualisiert, um mit der aktuellen Cluster-Master-Version übereinzustimmen. Aus Sicherheitssicht hat dies den Vorteil, dass Sicherheitsupdates automatisch auf die Kubernetes-Engine angewendet werden, wenn Sicherheitskorrekturen veröffentlicht werden.
Hinweis
Hinweis
Die automatische Knotenaktualisierung ist standardmäßig aktiviert.
Selbst wenn ein Cluster mit aktivierter automatischer Reparatur von Knoten erstellt wurde, gilt dies nur für den Standard-Knotenpool. Nachfolgende Knotenpools haben standardmäßig keine aktivierte automatische Aktualisierung der Knoten.

Auswirkung

Das Aktivieren der automatischen Knotenaktualisierung führt nicht dazu, dass die Knoten sofort aktualisiert werden. Automatische Aktualisierungen erfolgen in regelmäßigen Abständen nach Ermessen des Kubernetes Engine-Teams.
Um Upgrades während einer Spitzenzeit für den Cluster zu verhindern, sollte ein Wartungsfenster definiert werden. Ein Wartungsfenster ist ein vierstündiger Zeitraum, der gewählt werden kann, in dem automatische Upgrades stattfinden sollen. Upgrades können an jedem Tag der Woche und zu jeder Zeit innerhalb des Zeitraums erfolgen. Um Upgrades an bestimmten Daten zu verhindern, sollte ein Wartungsausschluss definiert werden. Ein Wartungsausschluss kann sich über mehrere Tage erstrecken.

Prüfung

Verwendung der Google Cloud Console:
  1. Gehen Sie zur Kubernetes Engine-Website.
  2. Wählen Sie aus der Liste der Cluster den gewünschten Cluster aus.
  3. Für jeden Node-Pool, sehen Sie sich das Detailfenster des Node-Pools an und stellen Sie sicher, dass unter der Überschrift Verwaltung die automatische Aktualisierung auf Aktiviert eingestellt ist.
Verwendung der Befehlszeile:
Um das Vorhandensein der automatischen Knotenaktualisierung für den Knotenpool eines bestehenden Clusters zu überprüfen, führen Sie Folgendes aus:
gcloud container node-pools describe <node_pool_name> --cluster 
<cluster_name> --zone <cluster_zone> --format json | jq '.management'
Stellen Sie sicher, dass das Ausgabeergebnis des obigen Befehls das JSON-Schlüsselattribut autoUpgrade auf true gesetzt hat:
{ 
    "autoUpgrade": true 
}
Wenn die automatische Aktualisierung des Knotens deaktiviert ist, enthält die Ausgabe des obigen Befehls nicht den Eintrag autoUpgrade.

Wiederherstellung

Verwendung der Google Cloud Console:
  1. Gehen Sie zur Kubernetes Engine-Website.
  2. Wählen Sie den Kubernetes-Cluster aus, der den Knotenpool enthält, für den das automatische Upgrade deaktiviert ist.
  3. Wählen Sie den Node-Pool aus, indem Sie auf den Namen des Pools klicken.
  4. Navigieren Sie zum Detailbereich des Knotenpools und klicken Sie auf EDIT.
  5. Unter der Überschrift Verwaltung aktivieren Sie das Kontrollkästchen Enable auto-repair.
  6. Klicken Sie auf Speichern.
  7. Wiederholen Sie die Schritte 2-6 für jeden Cluster und jeden Knotenpool mit deaktiviertem Auto-Upgrade.
Verwendung der Befehlszeile:
Um die automatische Aktualisierung von Knoten für den Knotenpool eines bestehenden Clusters zu aktivieren, führen Sie den folgenden Befehl aus:
gcloud container node-pools update <node_pool_name> --cluster <cluster_name> 
--zone <cluster_zone> --enable-autoupgrade