容器优化操作系统如何处理安全更新？

作为Kubernetes Engine，the auto-upgrade functionality of Container Optimized OS (cos) is disabled的一部分运营。通过使用GKE升级功能升级节点的映像版本来应用cos更新 - 升级主节点，然后升级节点池，或使用GKE自动升级功能。

有关升级Kubernetes Engine集群的指南介绍了用于手动和自动升级的升级过程：https://cloud.google.com/kubernetes-engine/docs/how-to/upgrading-a-cluster。

总之，遵循以下过程：

1. 节点已禁用调度（因此不会考虑将它们安排为允许进入群集的新pod）。
2. 分配给升级的节点的Pod已耗尽。如果连接到复制控制器或重新安排替换的等效管理器，则可以在其他地方重新创建它们，并且有群集容量可以在另一个节点上安排替换。
3. 使用相同的名称使用新的cos映像升级节点的计算机引擎实例。
4. 节点启动，重新添加到群集，并重新启用计划。 （除了某些条件，大多数豆荚都不会自动移回。）

对集群中的后续节点重复此过程。

运行升级时，Kubernetes Engine会一次停止计划，排空和删除所有群集的节点及其Pod。使用与其前任相同的名称重新创建替换节点。必须成功重新创建每个节点才能完成升级。当新节点向主节点注册时，Kubernetes Engine会将节点标记为可调度。