华为云用户手册

漏洞消减方案 对于存量的集群节点，请按以下方法进行修复： 针对Ubuntu操作系统，建议您将openssh升级到官方发布的修复版本（1:8.9p1-3ubuntu0.10），详情请参见官方链接。 针对Huawei Cloud EulerOS 2.0操作系统，建议您将openssh升级到官方发布的修复版本（openssh-8.8p1-2.r34），详情请参见官方公告。 对于新建的集群节点，CCE将提供已修复该漏洞的节点镜像，请留意操作系统镜像版本说明关注修复进展。

漏洞详情 业界披露了Linux Kernel openvswitch模块权限提升漏洞（CVE-2022-2639）的漏洞细节。由于 openvswitch模块中reserve_sfa_size()函数在使用过程中存在缺陷，导致本地经过身份认证的攻击者可以利用漏洞提升至root权限。目前漏洞poc已公开，风险较高。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 权限提升 CVE-2022-2639 高 2022-09-01

相关链接 Ubuntu漏洞公告：https://ubuntu.com/security/CVE-2024-6387 Ubuntu补丁获取链接：https://launchpad.net/ubuntu/+source/openssh/1:8.9p1-3ubuntu0.10 Huawei Cloud EulerOS公告：https://repo.huaweicloud.com/hce/2.0/sa/HCE2-SA-2024-0224.xml

漏洞修复方案 当前CCE团队已修复该漏洞，请您关注补丁版本发布记录，及时将集群升级至漏洞修复版本。已EOS集群版本请升级到在维版本进行修复。 已修复集群版本：v1.25.16-r4、v1.27.16-r4、v1.28.13-r0、v1.29.8-r0、v1.30.4-r0及以上版本。 由于gitRepo存储卷已被弃用，社区建议的解决方案是使用initContainers容器执行Git克隆操作，然后将目录挂载至Pod容器中，请参见社区示例。

漏洞详情 containerd开源社区中披露了一个安全漏洞，在containerd创建容器的场景，非root容器进程的初始inheritalbe capability不为空，可能会造成在execve执行可执行文件时提升到允许的cap集合。该问题已被收录为CVE-2022-24769。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 权限提升 CVE-2022-24769 低 2022-3-24

漏洞影响 containerd创建容器时默认把 Linux Process capabilities配置到 Inheritable 集合上，这会导致在容器内的进程在以 Non-Root 用户 execve() 执行可执行文件时Inheritable和文件的Inheritable集合的交集被添加到执行完execve后的进程的Permited集合中，出现非预期的“越权“行为。需要说明的是，这个越权并没有突破 execve 前的进程权限，仅仅是继承之前的 capabilities。 该漏洞的影响范围如下： 1. CCE Turbo 集群，使用了低于1.4.1-98版本的containerd作为kuberentes CRI运行时。 2. CCE集群containerd版本低于1.5.11以下的集群。

判断方法 若CCE集群中安装了NGINX Ingress控制器插件，且版本号在3.0.7以下，则受该漏洞影响，否则不受影响。判断方法如下： 使用kubectl查找与cceaddon-nginx-ingress相关的Pod： kubectl get po -A | grep cceaddon-nginx-ingress 若返回如上图，则代表集群中安装了NGINX Ingress控制器插件。 检查NGINX Ingress控制器插件使用的nginx-ingress镜像版本： kubectl get deploy cceaddon-nginx-ingress-controller -nkube-system -oyaml|grep -w image 如上图，若当前安装的NGINX Ingress控制器插件对应的社区nginx-ingress版本低于v1.11.2，则涉及该漏洞。

判断方法 登录CCE控制台，单击集群名称进入集群总览页面，查看集群版本。 如果集群版本不在上述范围内则不受漏洞影响。 如果集群版本在受影响范围内，您可以通过以下命令，检查集群中是否存在该漏洞被利用的情况。 该命令会列举所有挂载使用了gitRepo类型的存储卷，并将仓库克隆到.git子目录的Pod中。 kubectl get pods --all-namespaces -o yaml | grep gitRepo -A 2 如果返回中不存在gitRepo配置则不受漏洞影响。

相关链接 内核修复commit：https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=24f6008564183aa120d07c03d9289519c2fe02af Red Hat社区漏洞公告：https://access.redhat.com/security/cve/cve-2022-0492

Gatekeeper插件版本发布记录 表1 Gatekeeper插件版本记录 插件版本 支持的集群版本 更新特性 社区版本 1.0.22 v1.25 v1.27 v1.28 v1.29 v1.30 v1.31 支持CCE v1.31集群 3.16.3 1.0.10 v1.23 v1.25 v1.27 v1.28 v1.29 v1.30 支持CCE v1.30集群 3.16.3 1.0.3 v1.23 v1.25 v1.27 v1.28 v1.29 首次提供Gatekeeper插件。 3.16.3 父主题： 插件版本发布记录

漏洞影响 该漏洞为Linux内核权限校验漏洞，根因为没有针对性的检查设置release_agent文件的进程是否具有正确的权限。在受影响的OS节点上，工作负载使用了root用户运行进程（或者具有CAP_SYS_ADMIN权限），并且未配置seccomp时将受到漏洞影响。 CCE集群受该漏洞影响的范围如下： x86场景EulerOS 2.5和CentOS镜像不受该漏洞影响。 内核版本小于4.19.36-vhulk1907.1.0.h962.eulerosv2r8.aarch64的EulerOS arm版本。 内核版本小于4.18.0-147.5.1.6.h541.eulerosv2r9.x86_64的EulerOS x86版本。 内核版本为4.15.0-136-generic以及以下内核版本的Ubuntu节点。

相关链接 Red Hat社区漏洞公告：https://access.redhat.com/security/cve/cve-2022-0811 cr8escape: New Vulnerability in CRI-O Container Engine Discovered by CrowdStrike：https://www.crowdstrike.com/blog/cr8escape-new-vulnerability-discovered-in-cri-o-container-engine-cve-2022-0811/

漏洞详情 crowdstrike安全团队披露CRI-O 1.19版本中存在一个安全漏洞，攻击者可以利用该漏洞绕过保护措施并在主机上设置任意内核参数。这将导致任何有权在使用CRI-O的Kubernetes集群上部署Pod的用户都可以滥用kernel.core_pattern内核参数，在集群中的任何节点上以root身份实现容器逃逸和执行任意代码。 该问题已被收录为CVE-2022-0811。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 容器逃逸 CVE-2022-0811 高 2021-03-16

API变更与弃用 在Kubernetes 1.28版本，移除特性NetworkPolicyStatus，因此Network Policy不再有status属性。 在Kubernetes 1.28版本，Job对象中增加了新的annotationbatch.kubernetes.io/cronJob-scheduled-timestamp，表示Job的创建时间。 在Kubernetes 1.28版本，Job API中添加podReplacementPolicy和terminating字段，当前一旦先前创建的pod终止，Job就会立即启动替换pod。添加字段允许用户指定是在先前的Pod终止后立即更换Pod（原行为），还是在现有的Pod完全终止后才替换Pod（新行为）。这是一项Alpha级别特性，您可以通过在集群中启用JobPodReplacementPolicy 来启用该特性。 在Kubernetes 1.28版本，Job支持BackoffLimitPerIndex字段。当前使用的运行Job的策略是Job中的整个Pod共享一个Backoff机制，当Job达到Backoff的限制时，整个Job都会被标记为失败，并清理资源，包括尚未运行的index。此字段允许对单个的index设置Backoff。更多信息请参见带索引Job的Backoff限制。 在Kubernetes 1.28版本，添加ServedVersions字段到 StorageVersion API中。该变化由混合代理版本特性引入。该增加字段ServedVersions用于表明 API服务 器可以提供的版本。 在Kubernetes 1.28版本，SelfSubjectReview 添加到authentication.k8s.io/v1中，并且kubectl auth whoami走向GA。 在Kubernetes 1.28版本，PersistentVolume有了一个新的字段LastPhaseTransitionTime，用来保存最近一次volume转变Phase的时间。 在Kubernetes 1.28版本，PVC.Status中移除resizeStatus，使用AllocatedResourceStatus替代。resizeStatus表示调整存储大小操作的状态，默认为空字符串。 在Kubernetes 1.28版本，设置了hostNetwork: true并且定义了ports的Pods，自动设置hostport字段。 在Kubernetes 1.28版本，StatefulSet的Pod索引设置为Pod的标签statefulset.kubernetes.io/pod-index。 在Kubernetes 1.28版本，Pod的Condition字段中的PodHasNetwork重命名为PodReadyToStartContainers，用来表明网络、卷等已成功创建，sandbox pod已经创建完成，可以启动容器。 在Kubernetes 1.28版本，在KubeSchedulerConfiguration中添加了新的配置选项delayCacheUntilActive， 该参数为true时，非master节点的kube-scheduler不会缓存调度信息。这为非主节点的内存减缓了压力，但会导致主节点发生故障时，减慢故障转移的速度。 在Kubernetes 1.28版本，在admissionregistration.k8s.io/v1alpha1.ValidatingAdmissionPolicy中添加namespaceParamRef字段。 在Kubernetes 1.28版本，在CRD validation rules中添加reason和fieldPath，允许用户指定验证失败的原因和字段路径。 在Kubernetes 1.28版本，ValidatingAdmissionPolicy的CEL表达式通过namespaceObject支持namespace访问。 在Kubernetes 1.28版本，将API groups ValidatingAdmissionPolicy 和ValidatingAdmissionPolicyBinding提升到betav1。 在Kubernetes 1.28版本，ValidatingAdmissionPolicy 扩展了messageExpression字段，用来检查已解析类型。

特性门禁及命令行参数 在Kubernetes 1.28版本，kubelet移除了flag –short。因此kubectl version 默认输出与kubectl version –short相同。 在Kubernetes 1.28版本，kube-controller-manager废弃flag--volume-host-cidr-denylist和--volume-host-allow-local-loopback。--volume-host-cidr-denylist是用逗号分隔的一个CIDR范围列表，禁止使用这些地址上的卷插件。--volume-host-allow-local-loopback为false时，禁止本地回路IP地址和--volume-host-cidr-denylist中所指定的CIDR范围。 在Kubernetes 1.28版本，kubelet --azure-container-registry-config被弃用并在未来的版本中会被删除。 请使用--image-credential-provider-config和--image-credential-provider-bin-dir来设置。 在Kubernetes 1.28版本，kube-scheduler: 删除了--lock-object-namespace和--lock-object-name。 请使用--leader-elect-resource-namespace和--leader-elect-resource-name或ComponentConfig来配置这些参数。（--lock-object-namespace用来定义锁对象的命名空间，--lock-object-name用来定义锁对象的名称） 在Kubernetes 1.28版本，KMSv1已弃用，以后只会接收安全更新。请改用KMSv2。在未来版本中，设置--feature-gates=KMSv1=true以使用已弃用的KMSv1功能。 在Kubernetes 1.28版本，移除了如下特性门禁：DelegateFSGroupTo CS IDriver、DevicePlugins、KubeletCredentialProviders、MixedProtocolLBService、ServiceInternalTrafficPolicy、ServiceIPStaticSubrange、EndpointSliceTerminatingCondition。

新增特性及特性增强 社区特性的Alpha阶段默认禁用、Beta阶段一般默认启用、GA阶段将一直默认启用，且不能禁用（会在后续版本中删除这个开关功能）。CCE对新特性的策略与社区保持一致。 版本偏差策略扩展至3个版本 从1.28控制平面/1.25工作节点开始，Kubernetes版本偏差策略将支持的控制平面/工作节点偏差扩展到3个版本。 这使得节点的年度次要版本升级成为可能，同时保持受支持的次要版本。更多细节请参考版本偏差策略。 可追溯的默认StorageClass进阶至GA 在Kubernetes 1.28版本，可追溯默认StorageClass赋值现已进阶至GA。 这项增强特性极大地改进了默认的StorageClasses为PersistentVolumeClaim（PVC）赋值的方式。 PersistentVolume（PV）控制器已修改为：当未设置storageClassName时，自动向任何未绑定的PersistentVolumeClaim分配一个默认的StorageClass。此外，API 服务器中的PersistentVolumeClaim准入验证机制也已调整为允许将值从未设置状态更改为实际的StorageClass名称。更多使用细节请参考默认StorageClass赋值。 原生边车容器（Alpha） 在Kubernetes 1.28版本，原生边车容器以Alpha版本正式发布。其在Init容器中添加了一个新的restartPolicy字段， 该字段在SidecarContainers特性门控启用时可用。需要注意的是，原生边车容器目前仍有些问题需要解决，因此K8S社区建议仅在Alpha阶段的短期测试集群中使用边车功能。 更多使用细节请参考原生边车容器。 混合版本代理（Alpha） 在Kubernetes 1.28版本，发布了用于改进集群安全升级的新机制（混合版本代理）。该特性为Alpha特性。当集群进行升级时，集群中不同版本的kube-apiserver为不同的内置资源集（组、版本、资源）提供服务。在这种情况下资源请求如果由任一可用的apiserver提供服务，请求可能会到达无法解析此请求资源的apiserver中，导致请求失败。该特性能解决该问题。（主要注意的是，CCE本身提供的升级能力即可做到无损升级，因此不存在该特性涉及的场景）。更多使用细节请参考混合版本代理。 节点非体面关闭特性达到GA 在Kubernetes 1.28版本，节点非体面关闭特性达到GA阶段。当一个节点被关闭但没有被Kubelet的Node Shutdown Manager检测到时，StatefulSet的Pod将会停留在终止状态，并且不能移动到新运行的节点上。当用户确认该节点已经处于不可恢复的情况下，可以手动为Node打上out-of-service的污点，以使得该节点上的StatefulSet的Pod和VolumeAttachments被强制删除，并在健康的Node上创建相应的Pod。更多使用细节请参考节点非体面关闭。 NodeSwap特性达到Beta 在Kubernetes 1.28版本，NodeSwap能力进阶至Beta版本。目前仍然处于默认关闭状态，需要使用NodeSwap门控打开。该特性可以为Linux节点上运行的Kubernetes工作负载逐个节点地配置内存交换。需要注意的是，该特性虽然进阶至Beta特性，但仍然存在一些需要增强的问题和安全风险。更多使用细节请参考NodeSwap特性。 Job相关特性 在Kubernetes 1.28版本，增加了Pod更换策略和基于带索引Job的回退限制两个alpha特性。 Pod更换策略 默认情况下，当Pod进入终止（Terminating）状态（例如由于抢占或驱逐机制）时，Kubernetes会立即创建一个替换的Pod，因此这时会有两个Pod同时运行。 在Kubernetes 1.28版本中可以使用JobPodReplacementPolicy 来启用该特性。可以在Job的Spec中定义podReplacementPolicy，目前仅可设置为Failed。在设置为Failed之后，Pod仅在达到Failed阶段时才会被替换，而不是在它们处于终止过程中（Terminating）时被替换。此外，您可以检查Job的.status.termination字段。该字段的值表示终止过程中的Job所关联的Pod数量。 带索引Job的回退限制 默认情况下，带索引的Job（Indexed Job）的 Pod 失败情况会被记录下来，受.spec.backoffLimit字段所设置的全局重试次数限制。这意味着，如果存在某个索引值的Pod一直持续失败，则Pod会被重新启动，直到重试次数达到限制值。一旦达到限制值，整个Job将被标记为失败，并且对应某些索引的Pod甚至可能从不曾被启动。 在Kubernetes 1.28版本中，可以通过启用集群的JobBackoffLimitPerIndex特性门控来启用此特性。开启之后，允许在创建带索引的Job（Indexed Job）时指定.spec.backoffLimitPerIndex字段。当某个Job的失败次数超过设定的上限时，将不再进行重试。 CEL相关特性 在Kubernetes 1.28版本，CEL能力进行了相应的增强。 CRD使用CEL进行Validate的特性进阶至Beta 该特性在v1.25版本就已经升级为Beta版本。通过将CEL表达式直接集成在CRD中，可以使开发者在不使用Webhook的情况下解决大部分对CR实例进行验证的用例。在未来的版本，将继续扩展CEL表达式的功能，以支持默认值和 CRD转换。 基于CEL的准入控制进阶至Beta 基于通用表达式语言 (CEL) 的准入控制是可定制的，对于kube-apiserver接受到的请求，可以使用CEL表达式来决定是否接受或拒绝请求，可作为Webhook准入控制的一种替代方案。在 v1.28 中，CEL准入控制被升级为Beta，同时添加了一些新功能，包括但不限于： ValidatingAdmissionPolicy类型检查现在可以正确处理CEL表达式中的“authorizer”变量。 ValidatingAdmissionPolicy支持对messageExpression字段进行类型检查。 kube-controller-manager组件新增ValidatingAdmissionPolicy控制器，用来对ValidatingAdmissionPolicy中的CEL表达式做类型检查，并将原因保存在状态字段中。 支持变量组合，可以在ValidatingAdmissionPolicy中定义变量，然后在定义其他变量时使用它。 新增CEL库函数支持对Kubernetes的resource.Quantity类型进行解析。 其它特性说明 在Kubernetes 1.28版本，ServiceNodePortStaticSubrange 特性为beta，允许保留静态端口范围，避免与动态分配端口冲突。具体细节请参考为NodePort Service分配端口时避免冲突。 在Kubernetes 1.28版本，增加了alpha特性ConsistentListFromCache，允许kube-apiserver从缓存中提供一致性列表，Get和List请求可以从缓存中读取数据，而不需要从etcd中获取。 在Kubernetes 1.28版本，kubelet能够配置drop-in目录（alpha特性）。该特性允许向kubelet添加对“--config-dir”标志的支持，以允许用户指定一个插入目录，该目录将覆盖位于/etc/kubernetes/kubelet.conf位置的Kubelet的配置。 在Kubernetes 1.28版本，ExpandedDNSConfig升级至GA，默认会被打开。该参数用于允许扩展DNS的配置。 在Kubernetes 1.28版本，提供Alpha特性CRD Validation Ratcheting。该特性允许Patch或者Update请求没有更改任何不合法的字段，将允许CR验证失败。 在Kubernetes 1.28版本，kube-controller-manager添加了--concurrent-cron-job-syncs flag用来设置cron job controller的workers数。

重要说明 在Kubernetes 1.28版本，调度框架发生变化，减少无用的重试，从而提高调度程序的整体性能。如果开发人员在集群中使用了自定义调度程序插件，请参见调度框架变化进行适配升级。 在Kubernetes 1.28 版本，Ceph FS 树内插件已在 v1.28 中弃用，并计划在 v1.31 中删除（社区没有计划进行 CSI 迁移）。 建议使用 Ceph CSI 第三方存储驱动程序作为替代方案。 在Kubernetes 1.28 版本，Ceph RBD 树内插件已在 v1.28 中弃用，并计划在 v1.31 中删除（社区没有计划进行 CSI 迁移）。建议使用 RBD 模式的 Ceph CSI 第三方存储驱动程序作为替代方案。

新增特性及特性增强 Webhook匹配表达式（GA） 在Kubernetes1.30版本中，Webhook匹配表达式特性进阶至GA。此特性允许对准入Webhook支持根据特定的条件进行匹配，更细粒度地控制Webhook的触发条件。详细使用方式请参考动态准入控制。 Pod调度就绪态（GA） 在Kubernetes1.30版本中，Pod调度就绪态特性进阶至GA。此特性允许对Pod添加自定义的schedulingGates，并由用户控制何时移除这些gate，当所有gates移除后，Pod才会被认为调度就绪。详细使用方式请参考Pod调度就绪态。 验证准入策略（GA） 在Kubernetes1.30版本中，验证准入策略（ValidatingAdmissionPolicy）特性进阶至GA。该特性支持通过CEL表达式声明资源的验证准入策略。详细使用方式请参考验证准入策略。 基于ContainerResource指标的Pod水平自动扩缩容（GA） 在Kubernetes1.30版本中，基于ContainerResource指标的Pod水平自动扩缩容特性进阶至GA。该特性允许HPA根据Pod中各个容器的资源使用情况来配置自动伸缩，而不仅是Pod的整体资源使用情况，便于为Pod中最重要的容器配置扩缩容阈值。详细使用方式请参考容器资源指标。 传统ServiceAccount令牌清理器（GA） 在Kubernetes1.30版本中，传统ServiceAccount令牌清理器特性进阶至GA。其作为kube-controller-manager的一部分运行，每24小时检查一次，查看是否有任何自动生成的传统ServiceAccount令牌在特定时间段内（默认为一年，通过--legacy-service-account-token-clean-up-period指定）未被使用。如果有的话，清理器会将这些令牌标记为无效，并添加kubernetes.io/legacy-token-invalid-since标签，其值为当前日期。如果一个无效的令牌在特定时间段（默认为1年，通过--legacy-service-account-token-clean-up-period指定）内未被使用，清理器将会删除它。更多使用细节请参考传统ServiceAccount令牌清理器。 Pod拓扑分布中的最小域（GA） 在Kubernetes1.30版本中，Pod拓扑分布中的最小域特性进阶至GA。此特性允许通过Pod的minDomains字段配置符合条件的域的最小数量。负载拓扑约束匹配到的域的数量如果大于minDomains，则该字段没有影响；如果小于minDomains，则会将全局最小值（符合条件的域中匹配 Pod 的最小数量）设为0，该字段必须结合whenUnsatisfiable: DoNotSchedule一起使用，实现在不满足拓扑约束的情况下让Pod不进行调度。详细使用方式参考Pod拓扑分布。

Kubernetes Web终端版本发布记录（停止维护） 表1 Kubernetes Web终端版本记录 插件版本 支持的集群版本 更新特性 社区版本 1.1.12 v1.15 v1.17 v1.19 v1.21 适配CCE v1.21集群 0.6.6 1.1.6 v1.15 v1.17 v1.19 配置seccomp默认规则 0.6.6 1.1.5 v1.15 v1.17 v1.19 兼容CCE v1.15集群 0.6.6 1.1.3 v1.17 v1.19 适配CCE v1.19集群 0.6.6 1.0.6 v1.15 v1.17 增加Pod安全策略资源 0.6.6 1.0.5 v1.9 v1.11 v1.13 v1.15 v1.17 支持v1.17版本集群 0.6.6 父主题： 插件版本发布记录

CCE AI套件（Ascend NPU）版本发布记录 表1 CCE AI套件（Ascend NPU）插件版本记录 插件版本 支持的集群版本 更新特性 2.1.46 v1.21 v1.23 v1.25 v1.27 v1.28 v1.29 v1.30 v1.31 支持CCE v1.31集群 2.1.23 v1.21 v1.23 v1.25 v1.27 v1.28 v1.29 v1.30 修复部分问题 2.1.22 v1.21 v1.23 v1.25 v1.27 v1.28 v1.29 v1.30 修复了一些页面显示问题 支持查询超节点信息 支持上报显卡拓扑信息 修复了日志打印问题 2.1.14 v1.21 v1.23 v1.25 v1.27 v1.28 v1.29 v1.30 修复部分问题 2.1.7 v1.21 v1.23 v1.25 v1.27 v1.28 v1.29 修复了为业务容器自动挂载npu-smi失败的问题 2.1.5 v1.21 v1.23 v1.25 v1.27 v1.28 v1.29 适配CCE v1.29集群 新增静默故障码 2.0.9 v1.21 v1.23 v1.25 v1.27 v1.28 修复进程级故障恢复和给工作负载添加注解偶现失败问题 2.0.5 v1.21 v1.23 v1.25 v1.27 v1.28 适配CCE v1.28集群 支持存活探针检查机制 支持为业务容器自动挂载Ascend驱动 1.2.14 v1.19 v1.21 v1.23 v1.25 v1.27 支持NPU监控 1.2.9 v1.19 v1.21 v1.23 v1.25 v1.27 适配CCE v1.27集群 1.2.6 v1.19 v1.21 v1.23 v1.25 支持NPU驱动自动安装 1.2.5 v1.19 v1.21 v1.23 v1.25 支持NPU驱动自动安装 1.2.4 v1.19 v1.21 v1.23 v1.25 适配CCE v1.25集群 1.2.2 v1.19 v1.21 v1.23 适配CCE v1.23集群 1.2.1 v1.19 v1.21 v1.23 适配CCE v1.23集群 1.1.8 v1.15 v1.17 v1.19 v1.21 适配CCE v1.21集群 1.1.2 v1.15 v1.17 v1.19 配置seccomp默认规则 1.1.1 v1.15 v1.17 v1.19 兼容CCE v1.15集群 1.1.0 v1.17 v1.19 适配CCE v1.19集群 1.0.8 v1.13 v1.15 v1.17 适配D310 C75驱动 1.0.6 v1.13 v1.15 v1.17 支持C75驱动 1.0.5 v1.13 v1.15 v1.17 支持容器里使用huawei NPU设备的管理插件 1.0.3 v1.13 v1.15 v1.17 支持容器里使用huawei NPU设备的管理插件 父主题： 插件版本发布记录

CCE集群弹性引擎版本发布记录 表1 v1.31集群配套插件版本记录 插件版本 支持的集群版本 更新特性 社区版本 1.31.8 v1.31 支持CCE v1.31集群 1.31.1 表2 v1.30集群配套插件版本记录 插件版本 支持的集群版本 更新特性 社区版本 1.30.46 v1.30 修复部分问题 1.30.1 1.30.19 v1.30 修复部分问题 1.30.1 1.30.18 v1.30 修复部分问题 1.30.1 1.30.15 v1.30 支持v1.30集群 事件增加节点池名称 1.30.1 表3 v1.29集群配套插件版本记录 插件版本 支持的集群版本 更新特性 社区版本 1.29.79 v1.29 修复部分问题 1.29.1 1.29.54 v1.29 修复部分问题 1.29.1 1.29.53 v1.29 修复部分问题 1.29.1 1.29.50 v1.29 事件增加节点池名称 1.29.1 1.29.17 v1.29 事件优化 1.29.1 1.29.13 v1.29 支持v1.29集群 1.29.1 表4 v1.28集群配套插件版本记录 插件版本 支持的集群版本 更新特性 社区版本 1.28.118 v1.28 修复部分问题 1.28.1 1.28.93 v1.28 修复部分问题 1.28.1 1.28.92 v1.28 修复部分问题 1.28.1 1.28.91 v1.28 修复部分问题 1.28.1 1.28.88 v1.28 事件增加节点池名称 1.28.1 1.28.55 v1.28 事件优化 1.28.1 1.28.51 v1.28 优化节点池资源售罄告警逻辑 1.28.1 1.28.22 v1.28 修复部分问题 1.28.1 1.28.20 v1.28 修复部分问题 1.28.1 1.28.17 v1.28 解决存在自定义控制器类型的Pod时无法缩容的问题 1.28.1 表5 v1.27集群配套插件版本记录 插件版本 支持的集群版本 更新特性 社区版本 1.27.149 v1.27 修复部分问题 1.27.1 1.27.124 v1.27 修复部分问题 1.27.1 1.27.123 v1.27 修复部分问题 1.27.1 1.27.122 v1.27 修复部分问题 1.27.1 1.27.119 v1.27 事件增加节点池名称 1.27.1 1.27.88 v1.27 事件优化 1.27.1 1.27.84 v1.27 优化节点池资源售罄告警逻辑 1.27.1 1.27.55 v1.27 修复部分问题 1.27.1 1.27.53 v1.27 修复部分问题 1.27.1 1.27.51 v1.27 修复部分问题 1.27.1 1.27.18 v1.27 修复部分问题 1.27.1 1.27.16 v1.27 伸缩组支持配置节点上下限 1.27.1 1.27.14 v1.27 修复多规格情况下无法缩容和非预期PreferNoSchedule污点问题 1.27.1 1.27.11 v1.27 - 1.27.1 1.27.7 v1.27 适配CCE v1.27集群 优化异构设备(GPU/NPU)识别方法 1.27.1 表6 v1.25集群配套插件版本记录 插件版本 支持的集群版本 更新特性 社区版本 1.25.179 v1.25 修复部分问题 1.25.0 1.25.154 v1.25 修复部分问题 1.25.0 1.25.153 v1.25 修复部分问题 1.25.0 1.25.152 v1.25 事件增加节点池名称 1.25.0 1.25.120 v1.25 事件优化 1.25.0 1.25.116 v1.25 优化节点池资源售罄告警逻辑 1.25.0 1.25.88 v1.25 修复部分问题 1.25.0 1.25.86 v1.25 修复部分问题 1.25.0 1.25.84 v1.25 修复部分问题 1.25.0 1.25.50 v1.25 修复部分问题 1.25.0 1.25.48 v1.25 伸缩组支持配置节点上下限 1.25.0 1.25.46 v1.25 修复多规格情况下无法缩容和非预期PreferNoSchedule污点问题 1.25.0 1.25.43 v1.25 - 1.25.0 1.25.39 v1.25 - 1.25.0 1.25.34 v1.25 优化异构设备(GPU/NPU)识别方法 扩容节点数量超过集群规模时，使用集群支持的剩余节点数量进行扩容 1.25.0 1.25.21 v1.25 修复autoscaler伸缩策略least-waste默认未启用的问题 修复节点池扩容失败后无法切换到其他节点池扩容且插件有重启动作的问题 默认污点容忍时长修改为60s 扩容规则禁用后仍然触发扩容 1.25.0 1.25.11 v1.25 支持插件实例AZ反亲和配置 对创建临时存储卷的POD添加不可调度容忍时间 修复伸缩组资源不足时无法正常修复节点池数量问题 1.25.0 1.25.7 v1.25 适配CCE v1.25集群 修改自定义规格的内存申请与限制 当没有开启弹性伸缩的节点池时上报无法伸缩的事件 修复NPU节点在扩容过程中会再次触发扩容的问题 1.25.0 表7 v1.23集群配套插件版本记录 插件版本 支持的集群版本 更新特性 社区版本 1.23.159 v1.23 修复部分问题 1.23.0 1.23.157 v1.23 修复部分问题 1.23.0 1.23.156 v1.23 事件增加节点池名称 1.23.0 1.23.125 v1.23 事件优化 1.23.0 1.23.121 v1.23 优化节点池资源售罄告警逻辑 1.23.0 1.23.95 v1.23 修复部分问题 1.23.0 1.23.93 v1.23 修复部分问题 1.23.0 1.23.91 v1.23 修复部分问题 1.23.0 1.23.57 v1.23 修复部分问题 1.23.0 1.23.56 v1.23 伸缩组支持配置节点上下限 修复配置节点AZ拓扑约束时，节点池弹性扩容后不符合预期问题 1.23.0 1.23.54 v1.23 修复多规格情况下无法缩容和非预期PreferNoSchedule污点问题 1.23.0 1.23.51 v1.23 - 1.23.0 1.23.47 v1.23 优化异构设备(GPU/NPU)识别方法 扩容节点数量超过集群规模时，使用集群支持的剩余节点数量进行扩容 1.23.0 1.23.44 v1.23 优化异构设备(GPU/NPU)识别方法 扩容节点数量超过集群规模时，使用集群支持的剩余节点数量进行扩容 1.23.0 1.23.31 v1.23 修复autoscaler伸缩策略least-waste默认未启用的问题 修复节点池扩容失败后无法切换到其他节点池扩容且插件有重启动作的问题 默认污点容忍时长修改为60s 扩容规则禁用后仍然触发扩容 1.23.0 1.23.21 v1.23 支持插件实例AZ反亲和配置 对创建临时存储卷的POD添加不可调度容忍时间 修复伸缩组资源不足时无法正常修复节点池数量问题 1.23.0 1.23.17 v1.23 适配NPU和安全容器 节点伸缩策略支持不设置步长 bug修复，自动移除已删除的节点池 设置优先调度 注册EmptyDir调度策略 修复停用节点伸缩策略时，低于缩容阈值的节点未触发缩容的问题 修改自定义规格的内存申请与限制 当没有开启弹性伸缩的节点池时上报无法伸缩的事件 修复NPU节点在扩容过程中会再次触发扩容的问题 1.23.0 1.23.10 v1.23 日志优化 支持缩容等待，等待用户在节点删除前完成数据转储等操作 1.23.0 1.23.9 v1.23 新增nodenetworkconfigs.crd.yangtse.cni资源对象权限。 1.23.0 1.23.8 v1.23 修复周期性扩容场景下，单次扩容数量超过节点池上限，扩容失败问题。 1.23.0 1.23.7 v1.23 支持CCE分布式集群 1.23.0 1.23.3 v1.23 适配CCE v1.23集群 1.23.0 表8 v1.21集群配套插件版本记录 插件版本 支持的集群版本 更新特性 社区版本 1.21.114 v1.21 优化节点池资源售罄告警逻辑 1.21.0 1.21.89 v1.21 修复部分问题 1.21.0 1.21.87 v1.21 修复部分问题 1.21.0 1.21.86 v1.21 修复配置节点AZ拓扑约束时，节点池弹性扩容后不符合预期问题 1.21.0 1.21.54 v1.21 修复部分问题 1.21.0 1.21.53 v1.21 伸缩组支持配置节点上下限 1.21.0 1.21.51 v1.21 修复多规格情况下无法缩容和非预期PreferNoSchedule污点问题 1.21.0 1.21.49 v1.21 - 1.21.0 1.21.45 v1.21 - 1.21.0 1.21.43 v1.21 优化异构设备(GPU/NPU)识别方法 扩容节点数量超过集群规模时，使用集群支持的剩余节点数量进行扩容 1.21.0 1.21.29 v1.21 支持插件实例AZ反亲和配置 对创建临时存储卷的POD添加不可调度容忍时间 修复伸缩组资源不足时无法正常修复节点池数量问题 修复节点池扩容失败后无法切换到其他节点池扩容且插件有重启动作的问题 默认污点容忍时长修改为60s 扩容规则禁用后仍然触发扩容 1.21.0 1.21.20 v1.21 支持插件实例AZ反亲和配置 对创建临时存储卷的POD添加不可调度容忍时间 修复伸缩组资源不足时无法正常修复节点池数量问题 1.21.0 1.21.16 v1.21 适配NPU和安全容器 节点伸缩策略支持不设置步长 bug修复，自动移除已删除的节点池 设置优先调度 注册EmptyDir调度策略 修复停用节点伸缩策略时，低于缩容阈值的节点未触发缩容的问题 修改自定义规格的内存申请与限制 当没有开启弹性伸缩的节点池时上报无法伸缩的事件 修复NPU节点在扩容过程中会再次触发扩容的问题 1.21.0 1.21.9 v1.21 日志优化 支持缩容等待，等待用户在节点删除前完成数据转储等操作 1.21.0 1.21.8 v1.21 新增nodenetworkconfigs.crd.yangtse.cni资源对象权限 1.21.0 1.21.6 v1.21 修复插件请求重试场景下签名错误导致鉴权失败的问题 1.21.0 1.21.4 v1.21 修复插件请求重试场景下签名错误导致鉴权失败的问题 1.21.0 1.21.2 v1.21 修复未注册节点删除失败可能阻塞弹性伸缩的问题 1.21.0 1.21.1 v1.21 修复在已有的周期弹性伸缩规则里节点池修改不生效的问题。 1.21.0 表9 v1.19集群配套插件版本记录 插件版本 支持的集群版本 更新特性 社区版本 1.19.76 v1.19 优化异构设备(GPU/NPU)识别方法 扩容节点数量超过集群规模时，使用集群支持的剩余节点数量进行扩容 1.19.0 1.19.56 v1.19 修复多规格情况下无法缩容和非预期PreferNoSchedule污点问题 1.19.0 1.19.54 v1.19 - 1.19.0 1.19.50 v1.19 - 1.19.0 1.19.48 v1.19 优化异构设备(GPU/NPU)识别方法 扩容节点数量超过集群规模时，使用集群支持的剩余节点数量进行扩容 1.19.0 1.19.35 v1.19 支持插件实例AZ反亲和配置 对创建临时存储卷的POD添加不可调度容忍时间 修复伸缩组资源不足时无法正常修复节点池数量问题 修复节点池扩容失败后无法切换到其他节点池扩容且插件有重启动作的问题 默认污点容忍时长修改为60s 扩容规则禁用后仍然触发扩容 1.19.0 1.19.27 v1.19 支持插件实例AZ反亲和配置 对创建临时存储卷的POD添加不可调度容忍时间 修复伸缩组资源不足时无法正常修复节点池数量问题 1.19.0 1.19.22 v1.19 适配NPU和安全容器 节点伸缩策略支持不设置步长 bug修复，自动移除已删除的节点池 设置优先调度 注册EmptyDir调度策略 修复停用节点伸缩策略时，低于缩容阈值的节点未触发缩容的问题 修改自定义规格的内存申请与限制 当没有开启弹性伸缩的节点池时上报无法伸缩的事件 修复NPU节点在扩容过程中会再次触发扩容的问题 1.19.0 1.19.14 v1.19 日志优化 支持缩容等待，等待用户在节点删除前完成数据转储等操作 1.19.0 1.19.13 v1.19 修复周期性扩容场景下，单次扩容数量超过节点池上限，扩容失败问题 1.19.0 1.19.12 v1.19 修复插件请求重试场景下签名错误导致鉴权失败的问题 1.19.0 1.19.11 v1.19 修复插件请求重试场景下签名错误导致鉴权失败的问题 1.19.0 1.19.9 v1.19 修复未注册节点删除失败可能阻塞弹性伸缩的问题 1.19.0 1.19.8 v1.19 修复在已有的周期弹性伸缩规则里节点池修改不生效的问题。 1.19.0 1.19.7 v1.19 插件依赖例行升级。 1.19.0 1.19.6 v1.19 修复污点异步更新场景触发的重复扩容问题。 1.19.0 1.19.3 v1.19 定时策略中能够根据节点总数，CPU，内存限制进行扩缩容。修复其它功能缺陷。 1.19.0 表10 v1.17集群配套插件版本记录 插件版本 支持的集群版本 更新特性 社区版本 1.17.27 v1.17 日志优化 bug修复，自动移除已删除的节点池 设置优先调度 修复刚扩容出的节点打污点会被覆盖的问题 修复停用节点伸缩策略时，低于缩容阈值的节点未触发缩容的问题 修改自定义规格的内存申请与限制 当没有开启弹性伸缩的节点池时上报无法伸缩的事件 1.17.0 1.17.22 v1.17 日志优化 1.17.0 1.17.21 v1.17 修复周期性扩容场景下，单次扩容数量超过节点池上限，扩容失败问题 1.17.0 1.17.19 v1.17 修复插件请求重试场景下签名错误导致鉴权失败的问题 1.17.0 1.17.17 v1.17 修复未注册节点删除失败可能阻塞弹性伸缩的问题 1.17.0 1.17.16 v1.17 修复在已有的周期弹性伸缩规则里节点池修改不生效的问题。 1.17.0 1.17.15 v1.17 资源规格配置单位统一化 1.17.0 1.17.14 v1.17 修复Taints异步更新场景触发的重复扩容问题。 1.17.0 1.17.8 v1.17 Bug修复 1.17.0 1.17.7 v1.17 添加日志内容，Bug修复 1.17.0 1.17.5 v1.17 支持v1.17版本的集群，支持页面显示伸缩事件 1.17.0 1.17.2 v1.17 支持v1.17版本的集群 1.17.0 父主题： 插件版本发布记录

Kubernetes Metrics Server插件版本发布记录 表1 Kubernetes Metrics Server插件版本记录 插件版本 支持的集群版本 更新特性 社区版本 1.3.90 v1.25 v1.27 v1.28 v1.29 v1.30 v1.31 支持CCE v1.31集群 0.6.2 1.3.68 v1.21 v1.23 v1.25 v1.27 v1.28 v1.29 v1.30 适配CCE v1.30集群 0.6.2 1.3.60 v1.21 v1.23 v1.25 v1.27 v1.28 v1.29 适配CCE v1.29集群 0.6.2 1.3.39 v1.21 v1.23 v1.25 v1.27 v1.28 修复部分问题 0.6.2 1.3.37 v1.21 v1.23 v1.25 v1.27 v1.28 适配CCE v1.28集群 0.6.2 1.3.12 v1.19 v1.21 v1.23 v1.25 v1.27 - 0.6.2 1.3.10 v1.19 v1.21 v1.23 v1.25 v1.27 适配CCE v1.27集群 0.6.2 1.3.8 v1.19 v1.21 v1.23 v1.25 插件挂载节点时区 0.6.2 1.3.6 v1.19 v1.21 v1.23 v1.25 支持插件实例AZ反亲和配置 默认污点容忍时长修改为60s 0.6.2 1.3.3 v1.19 v1.21 v1.23 v1.25 适配CCE v1.25集群 CronHPA调整Deployment实例数，新增skip场景 0.6.2 1.3.2 v1.19 v1.21 v1.23 v1.25 适配CCE v1.25集群 0.6.2 1.2.1 v1.19 v1.21 v1.23 适配CCE v1.23集群 0.4.4 1.1.10 v1.15 v1.17 v1.19 v1.21 适配CCE v1.21集群 0.4.4 1.1.4 v1.15 v1.17 v1.19 资源规格配置单位统一化 0.4.4 1.1.2 v1.15 v1.17 v1.19 同步至社区v0.4.4版本 0.4.4 1.1.1 v1.13 v1.15 v1.17 v1.19 支持自定义资源规格配置，最大无效实例数改为1 0.3.7 1.1.0 v1.13 v1.15 v1.17 v1.19 适配CCE v1.19集群 0.3.7 1.0.5 v1.13 v1.15 v1.17 更新至社区v0.3.7版本 0.3.7 父主题： 插件版本发布记录

集群版本与操作系统对应关系 如下为当前已经发布的集群版本与操作系统版本的对应关系，请参考： 表1 弹性云服务器-虚拟机节点操作系统 操作系统 集群版本 CCE Standard集群 CCE Turbo集群 最新内核信息 VPC网络模型 容器隧道网络模型 云原生网络2.0 Huawei Cloud EulerOS 2.0 v1.31 √ √ √ 5.10.0-182.0.0.95.r2220_156.hce2.x86_64 v1.30 √ √ √ 5.10.0-182.0.0.95.r2220_156.hce2.x86_64 v1.29 √ √ √ 5.10.0-182.0.0.95.r2220_156.hce2.x86_64 v1.28 √ √ √ 5.10.0-182.0.0.95.r2220_156.hce2.x86_64 v1.27 √ v1.27.3-r0及以上版本支持 √ 5.10.0-182.0.0.95.r2220_156.hce2.x86_64 v1.25 √ v1.25.6-r0及以上版本支持 √ v1.25.3-r0及以上集群版本： 5.10.0-182.0.0.95.r2220_156.hce2.x86_64 v1.25.3-r0以下集群版本： 5.10.0-60.18.0.50.r865_35.hce2.x86_64 v1.23（停止维护） √ v1.23.11-r0及以上版本支持 √ v1.23.8-r0及以上集群版本： 5.10.0-182.0.0.95.r2220_156.hce2.aarch64 v1.23.8-r0以下集群版本： 5.10.0-60.18.0.50.r865_35.hce2.x86_64 Huawei Cloud EulerOS 2.0 (ARM) v1.31 √ √ √ 5.10.0-182.0.0.95.r2220_156.hce2.aarch64 v1.30 √ √ √ 5.10.0-182.0.0.95.r2220_156.hce2.aarch64 v1.29 √ √ √ 5.10.0-182.0.0.95.r2220_156.hce2.aarch64 v1.28 √ √ √ 5.10.0-182.0.0.95.r2220_156.hce2.aarch64 v1.27 √ v1.27.3-r0及以上版本支持 √ 5.10.0-182.0.0.95.r2220_156.hce2.aarch64 v1.25 √ v1.25.6-r0及以上版本支持 √ v1.25.3-r0及以上集群版本： 5.10.0-182.0.0.95.r2220_156.hce2.aarch64 v1.25.3-r0以下集群版本： 5.10.0-60.18.0.50.r865_35.hce2.aarch64 v1.23（停止维护） √ v1.23.11-r0及以上版本支持 √ v1.23.8-r0及以上集群版本： 5.10.0-182.0.0.95.r2220_156.hce2.aarch64 v1.23.8-r0以下集群版本： 5.10.0-60.18.0.50.r865_35.hce2.aarch64 Ubuntu 22.04 v1.31 √ × √ 5.15.0-126-generic v1.30 √ × √ 5.15.0-126-generic v1.29 √ × √ 5.15.0-126-generic v1.28 √ × √ 5.15.0-126-generic v1.27 √ × √ v1.27.3-r0及以上集群版本： 5.15.0-126-generic v1.27.3-r0以下集群版本： 5.15.0-86-generic v1.25 √ × √ v1.25.6-r0及以上集群版本： 5.15.0-126-generic v1.25.6-r0以下集群版本： 5.15.0-86-generic v1.23（停止维护） √ × √ v1.23.11-r0及以上集群版本： 5.15.0-126-generic v1.23.11-r0以下集群版本： 5.15.0-86-generic Huawei Cloud EulerOS 1.1 v1.31 √ √ √ 3.10.0-1160.76.2.hce1c.x86_64 v1.30 √ √ √ 3.10.0-1160.76.2.hce1c.x86_64 v1.29 √ √ √ 3.10.0-1160.76.2.hce1c.x86_64 v1.28 √ √ √ 3.10.0-1160.76.2.hce1c.x86_64 v1.27 √ √ √ 3.10.0-1160.76.2.hce1c.x86_64 v1.25 √ √ √ 3.10.0-1160.76.2.hce1c.x86_64 v1.23（停止维护） √ √ √ 3.10.0-1160.76.2.hce1c.x86_64 v1.21（停止维护） √ √ √ 3.10.0-1160.76.2.hce1c.x86_64 CentOS Linux release 7.6 v1.31 √ √ √ 3.10.0-1160.119.1.el7.x86 64 v1.30 √ √ √ 3.10.0-1160.119.1.el7.x86 64 v1.29 √ √ √ 3.10.0-1160.119.1.el7.x86 64 v1.28 √ √ √ 3.10.0-1160.119.1.el7.x86 64 v1.27 √ √ √ 3.10.0-1160.119.1.el7.x86 64 v1.25 √ √ √ 3.10.0-1160.119.1.el7.x86 64 v1.23（停止维护） √ √ √ v1.23.3-r0及以上集群版本： 3.10.0-1160.119.1.el7.x86 64 v1.23.3-r0以下集群版本： 3.10.0-1160.66.1.el7.x86_64 v1.21（停止维护） √ √ √ v1.21.5-r0及以上集群版本： 3.10.0-1160.119.1.el7.x86_64 v1.21.4-r0集群版本： 3.10.0-1160.66.1.el7.x86_64 v1.21.4-r0以下集群版本： 3.10.0-1160.25.1.el7.x86_64 v1.19（停止维护） √ √ √ 3.10.0-1160.108.1.el7.x86_64 v1.17.17（停止维护） √ √ √ 3.10.0-1160.15.2.el7.x86_64 v1.17.9（停止维护） √ √ √ 3.10.0-1062.12.1.el7.x86_64 v1.15.11（停止维护） √ √ √ 3.10.0-1062.12.1.el7.x86_64 v1.15.6-r1（停止维护） √ √ √ 3.10.0-1062.1.1.el7.x86_64 v1.13.10-r1（停止维护） √ √ √ 3.10.0-957.21.3.el7.x86_64 v1.13.7-r0（停止维护） √ √ √ 3.10.0-957.21.3.el7.x86_64 EulerOS release 2.9 v1.31 √ √ √ 4.18.0-147.5.1.6.h1447.eulerosv2r9.x86_64 v1.30 √ √ √ 4.18.0-147.5.1.6.h1447.eulerosv2r9.x86_64 v1.29 √ √ √ 4.18.0-147.5.1.6.h1447.eulerosv2r9.x86_64 v1.28 √ √ √ 4.18.0-147.5.1.6.h1447.eulerosv2r9.x86_64 v1.27 √ √ √ 4.18.0-147.5.1.6.h1447.eulerosv2r9.x86_64 v1.25 √ √ √ 4.18.0-147.5.1.6.h1447.eulerosv2r9.x86_64 v1.23（停止维护） √ √ √ v1.23.5-r0及以上集群版本： 4.18.0-147.5.1.6.h1447.eulerosv2r9.x86_64 v1.23.5-r0以下集群版本： 4.18.0-147.5.1.6.h1017.eulerosv2r9.x86_64 v1.21（停止维护） √ √ √ v1.21.7-r0及以上集群版本： 4.18.0-147.5.1.6.h1447.eulerosv2r9.x86_64 v1.21.7-r0以下集群版本： 4.18.0-147.5.1.6.h1017.eulerosv2r9.x86_64 v1.19（停止维护） √ √ √ 4.18.0-147.5.1.6.h1152.eulerosv2r9.x86_64 EulerOS release 2.9 (ARM) v1.31 √ √ √ 4.19.90-vhulk2103.1.0.h1380.eulerosv2r9.aarch64 v1.30 √ √ √ 4.19.90-vhulk2103.1.0.h1380.eulerosv2r9.aarch64 v1.29 √ √ √ 4.19.90-vhulk2103.1.0.h1380.eulerosv2r9.aarch64 v1.28 √ √ √ 4.19.90-vhulk2103.1.0.h1380.eulerosv2r9.aarch64 v1.27 √ √ √ 4.19.90-vhulk2103.1.0.h1380.eulerosv2r9.aarch64 v1.25 √ √ √ 4.19.90-vhulk2103.1.0.h1380.eulerosv2r9.aarch64 v1.23（停止维护） √ √ √ v1.23.5-r0及以上集群版本： 4.19.90-vhulk2103.1.0.h1380.eulerosv2r9.aarch64 v1.23.5-r0以下集群版本： 4.19.90-vhulk2103.1.0.h990.eulerosv2r9.aarch64 v1.21（停止维护） √ √ √ v1.21.7-r0及以上集群版本： 4.19.90-vhulk2103.1.0.h1380.eulerosv2r9.aarch64 v1.21.7-r0以下集群版本： 4.19.90-vhulk2103.1.0.h990.eulerosv2r9.aarch64 v1.19（停止维护） √ √ √ 4.19.90-vhulk2103.1.0.h1144.eulerosv2r9.aarch64 EulerOS release 2.8（ARM）（停止维护） v1.27及以上 × × × - v1.25（停止维护） √ √ √ 4.19.36-vhulk1907.1.0.h1350.eulerosv2r8.aarch64 v1.23（停止维护） √ √ √ 4.19.36-vhulk1907.1.0.h1350.eulerosv2r8.aarch64 v1.21（停止维护） √ √ √ 4.19.36-vhulk1907.1.0.h1350.eulerosv2r8.aarch64 v1.19.16（停止维护） √ √ √ 4.19.36-vhulk1907.1.0.h1350.eulerosv2r8.aarch64 v1.19.10（停止维护） √ √ √ 4.19.36-vhulk1907.1.0.h962.eulerosv2r8.aarch64 v1.17.17（停止维护） √ √ √ 4.19.36-vhulk1907.1.0.h962.eulerosv2r8.aarch64 v1.15.11（停止维护） √ √ √ 4.19.36-vhulk1907.1.0.h702.eulerosv2r8.aarch64 EulerOS release 2.5（停止维护） v1.27及以上 × × × - v1.25（停止维护） √ √ √ 3.10.0-862.14.1.5.h687.eulerosv2r7.x86_64 v1.23（停止维护） √ √ √ 3.10.0-862.14.1.5.h687.eulerosv2r7.x86_64 v1.21（停止维护） √ √ √ 3.10.0-862.14.1.5.h687.eulerosv2r7.x86_64 v1.19.16（停止维护） √ √ √ 3.10.0-862.14.1.5.h687.eulerosv2r7.x86_64 v1.19.10（停止维护） √ √ √ 3.10.0-862.14.1.5.h520.eulerosv2r7.x86_64 v1.19.8（停止维护） √ √ √ 3.10.0-862.14.1.5.h520.eulerosv2r7.x86_64 v1.17.17（停止维护） √ √ √ 3.10.0-862.14.1.5.h470.eulerosv2r7.x86_64 v1.17.9（停止维护） √ √ √ 3.10.0-862.14.1.5.h428.eulerosv2r7.x86_64 v1.15.11（停止维护） √ √ √ 3.10.0-862.14.1.5.h428.eulerosv2r7.x86_64 v1.15.6-r1（停止维护） √ √ √ 3.10.0-862.14.1.5.h328.eulerosv2r7.x86_64 v1.13.10-r1（停止维护） √ √ √ 3.10.0-862.14.1.2.h249.eulerosv2r7.x86_64 v1.13.7-r0（停止维护） √ √ √ 3.10.0-862.14.1.0.h197.eulerosv2r7.x86_64 Ubuntu 18.04 server 64bit（停止维护） v1.27及以上 × × × - v1.25（停止维护） √ × √ 4.15.0-171-generic v1.23（停止维护） √ × √ 4.15.0-171-generic v1.21（停止维护） √ × √ 4.15.0-171-generic v1.19.16（停止维护） √ × √ 4.15.0-171-generic v1.19.8（停止维护） √ × √ 4.15.0-136-generic v1.17.17（停止维护） √ × √ 4.15.0-136-generic 表2 弹性云服务器-物理机节点操作系统 操作系统 集群版本 CCE Standard集群 CCE Turbo集群 最新内核信息 VPC网络模型 容器隧道网络模型 云原生网络2.0 EulerOS release 2.10 v1.31 √ √ √ 4.18.0-147.5.2.15.h1109.eulerosv2r10.x86_64 v1.30 √ √ √ 4.18.0-147.5.2.15.h1109.eulerosv2r10.x86_64 v1.29 √ √ √ 4.18.0-147.5.2.15.h1109.eulerosv2r10.x86_64 v1.28 √ √ √ 4.18.0-147.5.2.15.h1109.eulerosv2r10.x86_64 v1.27 √ √ √ 4.18.0-147.5.2.15.h1109.eulerosv2r10.x86_64 v1.25 √ √ √ 4.18.0-147.5.2.15.h1109.eulerosv2r10.x86_64 v1.23 √ √ √ 4.18.0-147.5.2.15.h1109.eulerosv2r10.x86_64 v1.21（停止维护） √ √ √ 4.18.0-147.5.2.15.h1109.eulerosv2r10.x86_64 v1.19.16（停止维护） √ √ √ 4.18.0-147.5.2.15.h1109.eulerosv2r10.x86_64 表3 裸金属服务器节点操作系统 操作系统 集群版本 CCE Standard集群 CCE Turbo集群 最新内核信息 VPC网络模型 容器隧道网络模型 云原生网络2.0 Huawei Cloud EulerOS 2.0（部分局点及机型支持，请以控制台呈现为准） v1.31 √ √ × 5.10.0-60.18.0.50.r1083_58.hce2.x86_64 v1.30 √ √ × 5.10.0-60.18.0.50.r1083_58.hce2.x86_64 v1.29 √ √ × 5.10.0-60.18.0.50.r1083_58.hce2.x86_64 v1.28 √ √ × 5.10.0-60.18.0.50.r1083_58.hce2.x86_64 v1.27 √ √ × 5.10.0-60.18.0.50.r1083_58.hce2.x86_64 v1.25 √ √ × 5.10.0-60.18.0.50.r1083_58.hce2.x86_64 v1.23 √ √ × 5.10.0-60.18.0.50.r1083_58.hce2.x86_64 EulerOS release 2.9（受限使用，请提交工单确认） v1.31 √ √ × 4.18.0-147.5.1.6.h841.eulerosv2r9.x86_64 v1.30 √ √ × 4.18.0-147.5.1.6.h841.eulerosv2r9.x86_64 v1.29 √ √ × 4.18.0-147.5.1.6.h841.eulerosv2r9.x86_64 v1.28 √ √ × 4.18.0-147.5.1.6.h841.eulerosv2r9.x86_64 v1.27 √ √ × 4.18.0-147.5.1.6.h841.eulerosv2r9.x86_64 v1.25 √ √ × 4.18.0-147.5.1.6.h841.eulerosv2r9.x86_64 v1.23 √ √ × 4.18.0-147.5.1.6.h841.eulerosv2r9.x86_64 v1.21（停止维护） √ √ × 4.18.0-147.5.1.6.h841.eulerosv2r9.x86_64 v1.19（停止维护） √ √ × 4.18.0-147.5.1.6.h841.eulerosv2r9.x86_64 EulerOS release 2.3（停止维护） v1.27及以上 × × × - v1.25（停止维护） √ √ × 3.10.0-514.41.4.28.h62.x86_64 v1.23（停止维护） √ √ × 3.10.0-514.41.4.28.h62.x86_64 v1.21（停止维护） √ √ × 3.10.0-514.41.4.28.h62.x86_64 v1.19（停止维护） √ √ × 3.10.0-514.41.4.28.h62.x86_64 v1.17（停止维护） √ √ × 3.10.0-514.41.4.28.h62.x86_64 v1.15.11（停止维护） √ √ × 3.10.0-514.41.4.28.h62.x86_64

漏洞详情 Kubernetes社区发现Kubernetes Dashboard安全漏洞CVE-2018-18264：使用Kubernetes Dashboard v1.10及以前的版本有跳过用户身份认证，及使用Dashboard登录账号读取集群密钥信息的风险 。 华为云CCE提供的Dashboard插件已将对应镜像升级到v1.10.1版本，不受Kubernetes Dashboard漏洞CVE-2018-18264影响。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 华为云修复时间 Access Validation Error CVE-2018-18264 高 2019-01-03 2019-01-05 安全漏洞CVE-2018-18264的详细信息，请参考： https://github.com/kubernetes/dashboard/pull/3289 https://github.com/kubernetes/dashboard/pull/3400 https://github.com/kubernetes/dashboard/releases/tag/v1.10.1

漏洞详情 近日，Kubernetes社区发现安全漏洞CVE-2018-1002105。通过伪造请求，Kubernetes用户可以在已建立的API Server连接上提权访问后端服务，华为云容器服务已在第一时间完成全面修复。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 华为云修复时间 权限提升 CVE-2018-1002105 严重 2018-12-05 2018-12-05 漏洞详细介绍：https://github.com/kubernetes/kubernetes/issues/71411。

漏洞影响 集群使用了聚合API，只要kube-apiserver与聚合API server的网络直接连通，攻击者就可以利用这个漏洞向聚合API服务器发送任何API请求； 如果集群开启了匿名用户访问的权限，则匿名用户也利用这个漏洞。不幸的是Kubernetes默认允许匿名访问，即kube-apiserver的启动参数”-- anonymous-auth=true”；给予用户Pod的exec/attach/portforward的权限，用户也可以利用这个漏洞升级为集群管理员，可以对任意Pod做破坏操作。 该漏洞的更详细讨论，可见社区Issue：https://github.com/kubernetes/kubernetes/issues/71411 该漏洞的影响范围如下： 集群启用了扩展API server，并且kube-apiserver与扩展API server的网络直接连通。 集群对攻击者可见，即攻击者可以访问到kube-apiserver的接口，如果您的集群是部署在安全的私网内，那么不会有影响。 集群开放了pod exec/attach/portforward接口，则攻击者可以利用该漏洞获得所有的kubelet API访问权限。 具体影响的集群版本如下： Kubernetes v1.0.x-1.9.x Kubernetes v1.10.0-1.10.10 (fixed in v1.10.11) Kubernetes v1.11.0-1.11.4 (fixed in v1.11.5) Kubernetes v1.12.0-1.12.2 (fixed in v1.12.3)

漏洞修复方案 综合以上分析，使用华为云CCE服务时不必过于担心，因为： CCE服务创建的集群默认关闭匿名用户访问权限。 CCE服务创建的集群没有使用聚合API。 华为云容器引擎已完成1.11以上版本Kubernetes集群的在线补丁修复，针对低于v1.10的集群（社区已不对其进行修复），已提供补丁版本进行修复，请关注升级公告，及时修复漏洞。 如果您是自己搭建Kubernetes集群，为提高集群的安全系数，建议如下，一定要关闭匿名用户访问权限。 尽快升级到社区漏洞修复版本。合理配置RBAC，只给可信用户Pod的exec/attach/portforward权限。 如果您当前使用的Kubernetes版本低于v1.10，不在官方补丁支持范围内，建议自行回合补丁代码 ：https://github.com/kubernetes/kubernetes/pull/71412。

CCE容器弹性引擎插件版本发布记录 表1 CCE容器弹性引擎插件版本记录 插件版本 支持的集群版本 更新特性 1.5.21 v1.25 v1.27 v1.28 v1.29 v1.30 v1.31 支持CCE v1.31集群 支持应用趋势预测的智能弹性 1.5.3 v1.21 v1.23 v1.25 v1.27 v1.28 v1.29 v1.30 支持AHPA 1.4.30 v1.21 v1.23 v1.25 v1.27 v1.28 v1.29 v1.30 适配CCE v1.30集群 1.4.3 v1.21 v1.23 v1.25 v1.27 v1.28 v1.29 修复部分问题 1.4.2 v1.21 v1.23 v1.25 v1.27 v1.28 v1.29 适配CCE v1.29集群 1.3.43 v1.21 v1.23 v1.25 v1.27 v1.28 修复部分问题 1.3.42 v1.21 v1.23 v1.25 v1.27 v1.28 适配CCE v1.28集群 1.3.16 v1.19 v1.21 v1.23 v1.25 v1.27 修复部分问题。 1.3.14 v1.19 v1.21 v1.23 v1.25 v1.27 适配CCE v1.27集群 1.3.10 v1.19 v1.21 v1.23 v1.25 周期规则不受冷却时间影响定时触发 1.3.7 v1.19 v1.21 v1.23 v1.25 支持插件实例AZ反亲和配置 1.3.3 v1.19 v1.21 v1.23 v1.25 适配CCE v1.25集群 CronHPA调整Deployment实例数，新增skip场景 1.3.1 v1.19 v1.21 v1.23 适配CCE v1.23集群 1.2.12 v1.15 v1.17 v1.19 v1.21 插件性能优化，降低资源消耗 1.2.11 v1.15 v1.17 v1.19 v1.21 从K8s Metrics API查询资源指标 计算资源利用率时考虑未就绪的Pod 1.2.10 v1.15 v1.17 v1.19 v1.21 适配CCE v1.21集群 1.2.4 v1.15 v1.17 v1.19 插件依赖例行升级 支持配置插件资源规格 1.2.3 v1.15 v1.17 v1.19 适配ARM64节点部署 1.2.2 v1.15 v1.17 v1.19 增强健康检查能力 1.2.1 v1.15 v1.17 v1.19 适配CCE v1.19集群 更新插件为稳定版本 1.1.3 v1.15 v1.17 支持周期扩缩容规则 父主题： 插件版本发布记录

漏洞详情 Kubernetes官方发布安全公告，其核心组件kube-proxy存在主机边界绕过漏洞（CVE-2020-8558）。利用漏洞攻击者可能通过同一局域网下的容器，或在集群节点上访问同一个二层域下的相邻节点上绑定监听了本地127.0.0.1端口的TCP/UDP服务，从而获取接口信息。如果绑定在端口上的服务没有设置身份验证，则会导致该服务容易受到攻击。例如，如果集群管理员运行监听了127.0.0.1:1234的TCP服务，由于这个bug，该服务将有可能被与该节点在同一局域网中的其他主机，或与该服务运行在同一节点上的容器所访问。如果端口1234上的服务不需要额外的认证（因为假设只有其他localhost进程可以），那么很容易受到利用此bug进行攻击。 华为云提醒使用kube-proxy的用户及时安排自检并做好安全加固。 详情请参考链接：https://github.com/kubernetes/kubernetes/issues/92315 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 代码注入 CVE-2020-8558 高 2020-07-08

CCE AI套件（NVIDIA GPU）版本发布记录 表1 CCE AI套件（NVIDIA GPU）版本记录 插件版本 支持的集群版本 更新特性 2.7.42 v1.28 v1.29 v1.30 v1.31 新增NVIDIA 535.216.03驱动，支持XGPU特性 2.7.41 v1.28 v1.29 v1.30 v1.31 新增NVIDIA 535.216.03驱动，支持XGPU特性 2.7.40 v1.28 v1.29 v1.30 v1.31 集成DCGM-Exporter，为集群提供Nvidia GPU节点DCGM指标观测能力 2.7.19 v1.28 v1.29 v1.30 修复nvidia-container-toolkit CVE-2024-0132容器逃逸漏洞 2.7.13 v1.28 v1.29 v1.30 支持节点池粒度配置XGPU 支持GPU渲染场景 支持v1.30集群 2.6.4 v1.28 v1.29 更新GPU卡逻辑隔离逻辑 2.6.1 v1.28 v1.29 升级GPU插件基础镜像 2.5.6 v1.28 修复安装驱动的问题 2.5.4 v1.28 支持v1.28集群 2.1.24 v1.21 v1.23 v1.25 v1.27 GPU基础指标中增加XGPU数据 2.1.14 v1.21 v1.23 v1.25 v1.27 修复nvidia-container-toolkit CVE-2024-0132容器逃逸漏洞 2.1.8 v1.21 v1.23 v1.25 v1.27 修复部分问题 2.0.72 v1.21 v1.23 v1.25 v1.27 更新GPU卡逻辑隔离逻辑 2.0.69 v1.21 v1.23 v1.25 v1.27 升级GPU插件基础镜像 2.0.48 v1.21 v1.23 v1.25 v1.27 修复安装驱动的问题 2.0.46 v1.21 v1.23 v1.25 v1.27 支持535版本Nvidia驱动 支持非root用户使用XGPU 优化启动逻辑 2.0.44 v1.21 v1.23 v1.25 v1.27 支持535版本Nvidia驱动 支持非root用户使用XGPU 优化启动逻辑 2.0.18 v1.21 v1.23 v1.25 v1.27 支持HCE 2.0 2.0.17 v1.21 v1.23 v1.25 v1.27 RollingUpdate参数配置优化 2.0.14 v1.19 v1.21 v1.23 v1.25 v1.27 支持xGPU设备监控 支持nvidia.com/gpu与volcano.sh/gpu-* api兼容 2.0.5 v1.19 v1.21 v1.23 v1.25 - 2.0.0 v1.19 v1.21 v1.23 v1.25 支持GPU虚拟化 驱动安装目录更新至节点/usr/local/nvidia 1.2.28 v1.19 v1.21 v1.23 v1.25 适配OS Ubuntu22.04 GPU驱动目录自动挂载优化 1.2.24 v1.19 v1.21 v1.23 v1.25 节点池支持配置GPU驱动版本 支持GPU指标采集 1.2.20 v1.19 v1.21 v1.23 v1.25 设置插件别名为gpu 1.2.17 v1.15 v1.17 v1.19 v1.21 v1.23 增加nvidia-driver-install pod limits 配置 1.2.15 v1.15 v1.17 v1.19 v1.21 v1.23 适配CCE v1.23集群 1.2.11 v1.15 v1.17 v1.19 v1.21 支持EulerOS 2.10系统 1.2.10 v1.15 v1.17 v1.19 v1.21 CentOS系统支持新版本GPU驱动 1.2.9 v1.15 v1.17 v1.19 v1.21 适配CCE v1.21集群 1.2.2 v1.15 v1.17 v1.19 适配EulerOS新内核 1.2.1 v1.15 v1.17 v1.19 适配CCE v1.19集群 插件增加污点容忍 1.1.13 v1.13 v1.15 v1.17 支持Centos7.6 3.10.0-1127.19.1.el7.x86_64内核系统 1.1.11 v1.15 v1.17 支持用户自定义驱动地址下载驱动 支持v1.15、v1.17集群 父主题： 插件版本发布记录