如果Google的容器优化操作系统本身有安全补丁,那么如何应用更新?
谷歌有关该主题的信息含糊不清
https://cloud.google.com/container-optimized-os/docs/concepts/security#automatic_updates
谷歌声称更新是自动的,但如何?
作为Kubernetes Engine,the auto-upgrade functionality of Container Optimized OS (cos) is disabled的一部分运营。通过使用GKE升级功能升级节点的映像版本来应用cos更新 - 升级主节点,然后升级节点池,或使用GKE自动升级功能。
有关升级Kubernetes Engine集群的指南介绍了用于手动和自动升级的升级过程:https://cloud.google.com/kubernetes-engine/docs/how-to/upgrading-a-cluster。
总之,遵循以下过程:
对集群中的后续节点重复此过程。
运行升级时,Kubernetes Engine会一次停止计划,排空和删除所有群集的节点及其Pod。使用与其前任相同的名称重新创建替换节点。必须成功重新创建每个节点才能完成升级。当新节点向主节点注册时,Kubernetes Engine会将节点标记为可调度。