Ansichten:
Profilanwendbarkeit: Stufe 2
Die automatische Node-Aktualisierung hält die Nodes auf dem aktuellen Kubernetes- und Betriebssystem-Sicherheits-Patch-Level, um bekannte Schwachstellen zu mindern.
Die automatische Knotenaktualisierung hilft Ihnen, die Knoten im Cluster oder Knotenpool mit der neuesten stabilen Patch-Version von Kubernetes sowie dem zugrunde liegenden Knoten-Betriebssystem auf dem neuesten Stand zu halten. Die automatische Knotenaktualisierung verwendet denselben Aktualisierungsmechanismus wie manuelle Knotenaktualisierungen.
Node-Pools mit aktivierter automatischer Node-Aktualisierung werden automatisch für Upgrades eingeplant, wenn eine neue stabile Kubernetes-Version verfügbar wird. Wenn das Upgrade durchgeführt wird, wird der Node-Pool aktualisiert, um der aktuellen Cluster-Master-Version zu entsprechen.
Aus Sicherheitsperspektive hat dies den Vorteil, dass Sicherheitsupdates automatisch auf die Kubernetes-Engine angewendet werden, wenn Sicherheitskorrekturen veröffentlicht werden.
Hinweis
Hinweis
Die automatische Aktualisierung von Knoten ist standardmäßig aktiviert. Auch wenn ein Cluster mit aktivierter automatischer Reparatur von Knoten erstellt wurde, gilt dies nur für den standardmäßigen Knotenpool. Nachfolgende Knotenpools haben die automatische Aktualisierung von Knoten nicht standardmäßig aktiviert.

Auswirkung

Das Aktivieren der automatischen Knotenaktualisierung führt nicht dazu, dass die Knoten sofort aktualisiert werden. Automatische Aktualisierungen erfolgen in regelmäßigen Abständen nach Ermessen des Kubernetes-Engine-Teams. Um zu verhindern, dass Aktualisierungen während einer Spitzenzeit für den Cluster stattfinden, sollte ein Wartungsfenster definiert werden.
Ein Wartungsfenster ist ein Zeitraum von vier Stunden, der ausgewählt werden kann, in dem automatische Upgrades stattfinden sollen. Upgrades können an jedem Tag der Woche und zu jeder Zeit innerhalb des Zeitrahmens erfolgen. Um zu verhindern, dass Upgrades an bestimmten Daten stattfinden, sollte ein Wartungsausschluss definiert werden. Ein Wartungsausschluss kann sich über mehrere Tage erstrecken.
Hinweis
Hinweis
Im Rahmen des Auto-Upgrade-Prozesses für GKE-Knoten wird der Knoten neu erstellt. Wenn ein Knoten erstellt wird, erhält er automatisch die neueste Version des Knotenabbilds. Für COS-Abbilder ist dies der primäre Mechanismus zur Aktualisierung des Betriebssystems.

Prüfung

Verwendung der Google Cloud Console:
  1. Gehen Sie zu Kubernetes Engine, indem Sie die Google Cloud Console Kubernetes Engine-Seite besuchen.
  2. Wählen Sie aus der Liste der Cluster den gewünschten Cluster aus.
  3. Für jeden Knotenpool öffnen Sie das Detailfenster des Knotenpools und stellen Sie sicher, dass unter der Überschrift 'Verwaltung' die Option 'Automatische Aktualisierung' auf 'Aktiviert' gesetzt ist.
Verwendung der Befehlszeile:
Um die Existenz der automatischen Aktualisierung von Knoten für den Knotenpool eines bestehenden Clusters zu überprüfen, definieren Sie zunächst 4 Variablen für Knotenpool, Clustername, Standort und Projekt und führen Sie dann den folgenden Befehl aus:
gcloud container node-pools describe $POOL_NAME --cluster $CLUSTER_NAME --location $LOCATION --project $PROJECT_ID --format json | jq '.management'
Stellen Sie sicher, dass das Ausgabeergebnis des obigen Befehls das JSON-Schlüsselattribut autoUpgrade auf true gesetzt hat:
{ "autoUpgrade": true }
Wenn die automatische Aktualisierung des Knotens deaktiviert ist, enthält die Ausgabe des obigen Befehls nicht den Eintrag autoUpgrade.

Wiederherstellung

Verwendung der Google Cloud Console:
  1. Gehen Sie zu Kubernetes Engine, indem Sie die Google Cloud Console Kubernetes Engine-Seite besuchen.
  2. Wählen Sie den Kubernetes-Cluster aus, der den Knotenpool enthält, für den das automatische Upgrade deaktiviert ist.
  3. Wählen Sie den Node-Pool aus, indem Sie auf den Namen des Pools klicken.
  4. Navigieren Sie zum Detailbereich des Node-Pools und klicken Sie auf BEARBEITEN.
  5. Unter der Überschrift Verwaltung, aktivieren Sie das Kontrollkästchen Automatische Aktualisierung aktivieren.
  6. Klicken Sie auf SPEICHERN.
  7. Wiederholen Sie die Schritte 2-6 für jeden Cluster und jeden Node-Pool mit deaktiviertem Auto-Upgrade.
Verwendung der Befehlszeile:
Um die automatische Aktualisierung von Knoten für den Knotenpool eines bestehenden Clusters zu aktivieren, führen Sie den folgenden Befehl aus:
gcloud container node-pools update <node_pool_name> --cluster <cluster_name> --location <location> --enable-autoupgrade