我有一個跨兩個區域運行多個節點的 GKE 集群。我的目標是安排一個每周運行一次的作業sudo apt-get upgrade來更新系統包。做了一些研究,我發現 GCP 提供了一個名為“作業系統補丁管理”的工具,可以做到這一點。我嘗試使用它,但 Patch Job 執行引發了錯誤通知
失敗原因:實體是托管實體組的一部分。
我還注意到,在創建 GKE 節點池期間,有一個啟用“自動升級”的選項。但根據它的描述,它只會升級 Kubernetes 的版本。
uj5u.com熱心網友回復:
根據博客Exploring container security: the shared responsibility model in GKE:
對于 GKE,在較高層面上,我們負責保護:
- 節點的作業系統,例如 Container-Optimized OS (COS) 或 Ubuntu。GKE 會立即為這些影像提供任何補丁。如果您啟用了自動升級,這些將自動部署。這是容器的基礎層——它與容器中運行的作業系統不同。
相反,您有責任保護:
- 運行您的作業負載的節點。您應對節點上安裝的任何額外軟體或對默認配置所做的更改負責。您還負責保持節點更新。我們默認提供強化的 VM 映像和配置,管理運行 GKE 所需的容器,并為您的作業系統提供補丁——您只需負責升級。如果您使用節點自動升級,它將升級這些節點的責任轉回給我們。
該節點自動升級功能并修補您的節點的作業系統,它不只是升級Kubernetes版本。
uj5u.com熱心網友回復:
作業系統補丁管理僅適用于 GCE 虛擬機。不適用于 GKE
您應該避免在 GKE 中進行作業系統級別的升級,這可能會導致一些意外行為(可能升級了軟體包并更改了一些會弄亂 GKE 配置的內容)。
您應該讓 GKE 自動升級作業系統和 Kubernetes。自動升級將升級作業系統,因為 GKE 版本與作業系統版本交織在一起。
一種簡單的方法是注冊您的集群以發布頻道,這樣它們可以根據需要隨時升級(取決于頻道),并且您的作業系統將定期修補。
您還可以遵循 GKE 強化指南,該指南為您提供了確保您的 GKE 集群盡可能安全的步驟
轉載請註明出處,本文鏈接:https://www.uj5u.com/qianduan/407587.html
標籤: