Google cloud platform 容器优化操作系统如何处理安全更新？_Google Cloud Platform_Google Kubernetes Engine

Google cloud platform 容器优化操作系统如何处理安全更新？

google-cloud-platform

Google cloud platform 容器优化操作系统如何处理安全更新？,google-cloud-platform,google-kubernetes-engine,Google Cloud Platform,Google Kubernetes Engine,如果谷歌的容器优化操作系统本身有一个安全补丁，那么如何应用更新谷歌关于这个问题的信息是模糊的谷歌声称这些更新是自动的，但如何更新呢我是否必须设置配置选项以自动更新节点是否需要访问internet，更新来自哪里？或者，谷歌云是否足够聪明，可以让容器优化的操作系统在私有VPC中进行自我更新作为Kubernetes发动机的一部分运行时。通过使用GKE升级功能升级节点的映像版本来应用cos更新—升级主机，然后升级节点池，或者使用GKE自动升级功能关于升级Kubernetes引擎群集的指

如果谷歌的容器优化操作系统本身有一个安全补丁，那么如何应用更新

谷歌关于这个问题的信息是模糊的

谷歌声称这些更新是自动的，但如何更新呢

我是否必须设置配置选项以自动更新
节点是否需要访问internet，更新来自哪里？或者，谷歌云是否足够聪明，可以让容器优化的操作系统在私有VPC中进行自我更新

作为Kubernetes发动机的一部分运行时。通过使用GKE升级功能升级节点的映像版本来应用cos更新—升级主机，然后升级节点池，或者使用GKE自动升级功能

关于升级Kubernetes引擎群集的指南介绍了用于手动和自动升级的升级过程：

总之，遵循以下过程：

节点已禁用调度（因此，在调度允许加入集群的新POD时，不会考虑这些节点）

分配给正在升级的节点的吊舱将被排空。如果连接到重新安排更换的复制控制器或等效管理器，并且有群集容量在另一个节点上安排更换，则可以在其他位置重新创建它们

节点的计算机引擎实例使用相同的名称升级为新的cos映像

启动节点，将其重新添加到集群，并重新启用调度。（除某些情况外，大多数吊舱不会自动向后移动。）

对于群集中的后续节点重复此过程

运行升级时，Kubernetes引擎停止调度、耗尽和删除集群的所有节点及其吊舱，一次删除一个。替换节点将使用与其前一个节点相同的名称重新创建。必须成功重新创建每个节点才能完成升级。当新节点向主节点注册时，Kubernetes引擎将节点标记为可调度

我是否必须设置配置选项以自动更新

计算引擎（GCE）容器优化操作系统（COS）虚拟机（即直接从GCE创建的实例）的自动更新行为通过“COS更新策略”GCE元数据进行控制。请参阅上的文档

当前记录的默认行为是：“如果未设置，则自动下载并安装当前频道的所有更新。”

下载将在后台进行，更新将在VM重新启动时生效

节点是否需要访问internet，更新来自哪里？或者，谷歌云是否足够聪明，可以让容器优化的操作系统在私有VPC中进行自我更新

是的，虚拟机需要访问互联网。如果您禁用了所有出口网络流量，COS虚拟机将无法自我更新。

谢谢您提供的信息。您提供的说明涉及升级kubernetes。在维护相同的kubernetes版本的同时，是否可以自行升级容器优化的操作系统以获得最新的安全补丁？还是容器优化操作系统与kuberenetes版本紧密结合，因此升级一个需要升级另一个？@iLoner我编辑了答案，以澄清这一点。您也可以参考。>容器优化操作系统使用主动-被动根分区方案。操作系统映像（包括内核）是整体更新的，而不是像传统Linux发行版那样逐包更新。