版本说明 - v2.4.17
Rancher v2.4.17 版本于 2021 年 8 月 10 日发布。单击这里查看英文版版本说明。
此版本中的变化
Rancher v2.4.17是v2.4.16的一个镜像版本,以解决一个问题:
升级到Rancher 2.4.16后,无法将etcd快照到S3。#33835
v2.4.16的变化
针对 Rancher 漏洞的安全修复
此版本解决了 Rancher 中发现的安全问题。
- 防止通过恶意的 “Connection” 头进行的权限升级#33588 修复了CVE-2021-31999.
- 非特权用户不能再使用另一个用户的云凭证来向云提供商提出 API 请求。修复 CVE-2021-25320. #33589
- 在为应用程序创建 Kubernetes RBAC 资源时使用 apiGroups 而不是 “*“,以避免向集群中存在的所有应用程序 CRD 授予权限。修复了CVE-2021-25318. #33590
更多细节,请参见安全公告页。
额外的安全修复
- 更新了 minio-go,移除对 etcd 的依赖,并将 rancherd RKE2 版本更新为 v1.20.7+rke2r2 #33003
- 进程在收到恶意的 protobuf 消息时不再 panic。修复了CVE-2021-3121. #32944
Bug 修复
- 正确删除 vSphere vCenter server 条目。#33510
重要说明
该版本解决了Rancher 2.4.16中的一个回归问题,该问题导致用户无法在RKE集群上将etcd快照上传到S3。
我们鼓励用户升级到Rancher 2.4.17,因为Rancher 2.4.16集群没有现有的解决方法。
- 请查看v2.4.0 版发行说明,了解重要的更新/突破性变化。
Kubernetes 1.18 现在是默认版本 [#25117] - Kubernetes 1.18 现在是默认版本。无论何时升级到任何 Kubernetes 版本,请查看 Kubernetes 发布说明,了解任何破坏性的变化。
使用 Docker 容器安装的用户 - Docker 容器中的 Etcd 已经从 3.3 升级到 3.4,因此你必须在升级前进行备份,以便能够回滚到 v2.3.x 版本。如果没有这个备份,你将无法回滚。
使用 RHEL/CentOS 节点池的用户[#18065]。RHEL/CentOS 节点的默认存储驱动已经更新为 “overlay2”。如果你的节点模板没有指定存储驱动器,任何新的节点将使用新的更新的默认值(
overlay
)而不是旧的默认值(devicemapper
)进行配置。如果你需要继续使用devicemapper
作为你的存储驱动选项,请编辑你的节点模板,明确设置存储驱动为devicemapper
。运行 Windows 集群的用户[#25582] - Windows 从 2 月 11 日起推出了安全补丁。在升级之前,请更新你的节点以包括这个安全补丁,否则你的升级将失败,直到补丁被应用。
Rancher 启动的集群需要额外的 500MB 空间 - 默认情况下,Rancher 启动的集群已启用集群上的审计日志。
Rancher 启动的 Kubernetes 集群的升级行为已经改变[#23897] - work 节点现在是分批升级的。关于如何在不停机的情况下升级集群的应用,请参考RKE 文档。
将 Rancher helm chart 中的 Kubernetes 版本限制为小于 1.20.0 的版本[#30746] - 增加这一限制是为了防止 Rancher 被安装在不兼容的 Kubernetes 版本上。
版本
请参考README了解最新和稳定的版本。
请查阅我们的版本文档,以了解更多关于版本和标签惯例的细节。
离线安装和升级
在 v2.4.0 版本中,离线安装不再需要镜像 systems chart git repo。请遵循关于如何安装 Rancher 以使用打包的 systems chart的说明。
已知的主要问题
- 当使用启用了 Grafana 的持久性存储的监控时,升级监控会导致 pod 无法启动。Issue 中提供了解决的步骤。[#27450]
- 使用监控时,升级 Kubernetes 版本会删除 “API Server Request Rate” 指标 [#27267]
- 当一个新的 chart 版本被添加到 helm3 catalog 中时,升级过程可能默认为 helm2,导致 api 错误。Issue 中的解决方法。[27252]
版本
镜像
- rancher/rancher:v2.4.17
- rancher/rancher-agent:v2.4.17
工具
Kubernetes 版本
- 1.18.20 (默认)
- 1.17.17
- 1.16.15
- 1.15.12
升级和回滚
Rancher 同时支持升级和回滚。请注意你想升级或回滚的版本来改变 Rancher 的版本。
请注意,在升级到 v2.3.0+版本后,对 Rancher 启动的 Kubernetes 集群的任何编辑都将导致所有系统组件重新启动,因为 Kubernetes 系统组件的容忍度增加。请做好相应的计划。
如果你有一个使用自签名证书的 Rancher 的 HA 安装,那么最近对 cert-manager 的改变需要升级。如果你使用的是比 v0.9.1 更早的 cert-manager,请参考文档关于如何升级 cert-manager。
重要: 在回滚时,我们希望你能回滚到升级时的状态。升级后的任何变化都不会被反映出来。