版本说明 - v2.4.16

Rancher 2.4.16 版本于 2021 年 7 月 15 日发布。单击这里查看英文版版本说明。

此版本中的变化

针对 Rancher 漏洞的安全修复

此版本解决了 Rancher 中发现的安全问题。

  • 防止通过恶意的 “Connection” 头进行的权限升级#33588 修复了CVE-2021-31999.
  • 非特权用户不能再使用另一个用户的云凭证来向云提供商提出 API 请求。修复 CVE-2021-25320. #33589
  • 在为应用程序创建 Kubernetes RBAC 资源时使用 apiGroups 而不是 “*“,以避免向集群中存在的所有应用程序 CRD 授予权限。修复了CVE-2021-25318. #33590

更多细节,请参见安全公告页

额外的安全修复

  • 更新了 minio-go,移除对 etcd 的依赖,并将 rancherd RKE2 版本更新为 v1.20.7+rke2r2 #33003
  • 进程在收到恶意的 protobuf 消息时不再 panic。修复了CVE-2021-3121. #32944

Bug 修复

  • 正确删除 vSphere vCenter server 条目。#33510

重要说明

Kubernetes 1.18 现在是默认版本 [#25117] - Kubernetes 1.18 现在是默认版本。无论何时升级到任何 Kubernetes 版本,请查看 Kubernetes 发布说明,了解任何破坏性的变化。

  • 使用 Docker 容器安装的用户 - Docker 容器中的 Etcd 已经从 3.3 升级到 3.4,因此你必须在升级前进行备份,以便能够回滚到 v2.3.x 版本。如果没有这个备份,你将无法回滚。

  • 使用 RHEL/CentOS 节点池的用户[#18065]。RHEL/CentOS 节点的默认存储驱动已经更新为 “overlay2”。如果你的节点模板没有指定存储驱动器,任何新的节点将使用新的更新的默认值(overlay)而不是旧的默认值(devicemapper)进行配置。如果你需要继续使用devicemapper作为你的存储驱动选项,请编辑你的节点模板,明确设置存储驱动为devicemapper

  • 运行 Windows 集群的用户[#25582] - Windows 从 2 月 11 日起推出了安全补丁。在升级之前,请更新你的节点以包括这个安全补丁,否则你的升级将失败,直到补丁被应用。

  • Rancher 启动的集群需要额外的 500MB 空间 - 默认情况下,Rancher 启动的集群已启用集群上的审计日志。

  • Rancher 启动的 Kubernetes 集群的升级行为已经改变[#23897] - work 节点现在是分批升级的。关于如何在不停机的情况下升级集群的应用,请参考RKE 文档

  • 将 Rancher helm chart 中的 Kubernetes 版本限制为小于 1.20.0 的版本[#30746] - 增加这一限制是为了防止 Rancher 被安装在不兼容的 Kubernetes 版本上。

版本

请参考README了解最新和稳定的版本。

请查阅我们的版本文档,以了解更多关于版本和标签惯例的细节。

离线安装和升级

在 v2.4.0 版本中,离线安装不再需要镜像 systems chart git repo。请遵循关于如何安装 Rancher 以使用打包的 systems chart的说明。

已知的主要问题

  • 当使用启用了 Grafana 的持久性存储的监控时,升级监控会导致 pod 无法启动。Issue 中提供了解决的步骤。[#27450]
  • 使用监控时,升级 Kubernetes 版本会删除 “API Server Request Rate” 指标 [#27267]
  • 当一个新的 chart 版本被添加到 helm3 catalog 中时,升级过程可能默认为 helm2,导致 api 错误。Issue 中的解决方法。[27252]

版本

镜像

  • rancher/rancher:v2.4.16
  • rancher/rancher-agent:v2.4.16

工具

Kubernetes 版本

  • 1.18.20 (默认)
  • 1.17.17
  • 1.16.15
  • 1.15.12

升级和回滚

Rancher 同时支持升级和回滚。请注意你想升级回滚的版本来改变 Rancher 的版本。

请注意,在升级到 v2.3.0+版本后,对 Rancher 启动的 Kubernetes 集群的任何编辑都将导致所有系统组件重新启动,因为 Kubernetes 系统组件的容忍度增加。请做好相应的计划。

如果你有一个使用自签名证书的 Rancher 的 HA 安装,那么最近对 cert-manager 的改变需要升级。如果你使用的是比 v0.9.1 更早的 cert-manager,请参考文档关于如何升级 cert-manager。

重要: 在回滚时,我们希望你能回滚到升级时的状态。升级后的任何变化都不会被反映出来。