Correcciones de errores de Google Distributed Cloud air-gapped 1.14.3

Paquete de revisiones 25

---

---

DNS:

• Se producen errores al implementar sondas de dns-mesh cuando las zonas tienen nombres duplicados.
• La resolución de DNS tarda unos minutos.
• Hay un problema que provoca que, al eliminar un ManagedDNSZone antes de quitar su ResourceRecordSets asociado, se creen registros huérfanos que permanecen en el sistema.

Registro:

• La alerta SyslogCollectorDroppedLogs incluye una huella digital, lo que provoca que se cree un nuevo incidente cada vez que se activa la alerta.
• Faltan los registros de pods en el espacio de nombres unet-system.

Servicio de Kubernetes gestionado:

• Las instancias de base de datos se quedan bloqueadas en un estado de eliminación debido a una condición de carrera en la que las máquinas virtuales se eliminaron antes que sus recursos de InventoryMachine correspondientes.
• La eliminación del clúster de usuarios se ha bloqueado debido a una condición de carrera durante la eliminación de recursos.
• Hay un problema con el escalado de clústeres que provoca que, si se reduce el tamaño de un grupo de nodos y, a continuación, se aumenta de forma inmediata, se produzcan errores de asignación de direcciones IP, como unable to assign IP.

Máquinas virtuales:

• El inicio de las VMs se retrasa hasta que se crea un certificado.
• Se producen errores y retrasos aleatorios al crear VMs en paralelo. Estos problemas se manifiestan como errores de CPI, tiempos de espera de agentes y problemas de conectividad de red.
• Las importaciones de imágenes BYO de Windows fallan debido a un aumento de la versión de KubeVirt.

Paquete de revisiones 24

---

---

Gestor de recursos:

• El rendimiento del proyecto y de la cuenta de servicio del proyecto se deteriora con el tiempo.

Paquete de revisiones 23

---

---

Gestión de identidades y accesos:

• Las vinculaciones de roles se ponen en cola con frecuencia en los controladores de gestión de identidades y accesos globales, lo que provoca un retraso en la propagación al asignar permisos.

Redes:

• Falla la comunicación del pod de StatefulSet.
• Falta una métrica node_cpu_seconds_total.
• Los controladores de red están bloqueados, lo que provoca que las APIs de balanceador de carga y de política de red del proyecto no se reconcilien.

OCLCM

• El configrunner de oclcm deja de funcionar debido a un error de renovación del certificado.

Paquete de revisiones 22

---

---

Gestión de identidades y accesos:

• Las solicitudes de configuración de inicio de sesión pueden tardar varios minutos en completarse.
• Los operadores de aplicaciones no pueden concederse acceso a roles en el clúster de infraestructura.
• Los tokens de las cuentas de servicio dejan de ser válidos.
• Falta el rol de proyecto namespace-admin en un proyecto.

Servicio de Kubernetes gestionado:

• Hay un tiempo de espera para que un clúster de servicios compartidos esté listo.

Monitorización:

• La eliminación del proyecto se ha bloqueado porque hay finalizadores pendientes de un panel de control y una fuente de datos.
• El uso periódico no emite métricas.
• Los PAs no pueden ver las métricas de KSM.
• Los pods de Prometheus se programan en los nodos del plano de control, lo que provoca un agotamiento de los recursos e inestabilidad.
• Los paneles de control de KUB muestran valores de datos incorrectos.

Paquete de revisiones 21

---

---

CLI

• El comando gdcloud compute images import falla con imágenes QCOW debido a una incompatibilidad de la versión del comando de archivo.
• El comando gdcloud resource-support get-report genera un error de failed to get support information from cluster.
• El comando gdcloud auth activate-service-account restablece la configuración de gdcloud.
• Se ha añadido compatibilidad con gdcloud get-credentials para clústeres estándar.
• Los enlaces de rol creados con gdcloud se vinculan al espacio de nombres de la plataforma de forma predeterminada.
• El comando gdcloud resource-support get-report falla y se muestra un error que indica que falta un esquema.
• Se han añadido SKUs para admitir precios más específicos de cada país.
• La CLI de gdcloud no usa la zona correcta al enumerar los clústeres, por lo que el resultado de gdcloud clusters list muestra una zona.

Paquete de revisiones 20

---

---

Consola:

• Las vinculaciones de roles creadas para las cuentas de servicio no están configuradas correctamente.
• Los administradores de IAM de proyectos no pueden asignar roles desde la interfaz de usuario.
• Al crear un rol personalizado, el rol de origen de un permiso cambia cuando lo consulta.
• En las páginas Resumen de roles y Detalles del rol se muestra un error sobre la falta de permisos.
• La página Acceso está bloqueada aunque los usuarios tengan algunos de los permisos necesarios.

Máquinas virtuales:

• El subcomponente vmm-vm-controller no se puede reconciliar debido a que un archivo de configuración grande supera el límite de tamaño (1 MB).

Paquete de revisiones 19

---

---

Copia de seguridad y restauración:

• Cuando se elimina una instantánea de un clúster de usuarios, no se elimina la instantánea correspondiente del clúster de infraestructura.
• La implementación del subcomponente de copia de seguridad usa una variable que añade caracteres al nombre del clúster al crear una etiqueta de Kubernetes, lo que a veces puede infringir el límite de 63 caracteres de Kubernetes.

Facturación:

• Se han añadido SKUs de precios duraderos.
• La calculadora de compra anticipada no funciona.
• No se emiten métricas de uso periódicas.
• La facturación de partners no está habilitada.
• La calculadora de compra anticipada no puede acceder a una red comunitaria.

Gestión de identidades y accesos:

• No se puede crear una cuenta de servicio porque un proyecto en estado de eliminación provoca errores de conciliación de plantillas de roles.
• Se ha añadido compatibilidad con P4SA para clústeres estándar.
• No se puede crear una identidad de servicio desde la consola de GDC.

Paquete de revisiones 18

---

---

Almacenamiento de objetos:

• Se ha añadido compatibilidad con S3 GetBucketVersioning.
• No se pueden subir datos a los contenedores de sincronización de doble zona mediante URLs firmadas.
• DeleteObject devuelve el código 500 en las eliminaciones de versiones no actuales.
• Con los segmentos de doble zona, los secretos de S3 no se generan después de vincular el rol project-bucket-object-admin a una cuenta de servicio.

Paquete de revisiones 17

---

---

Almacenamiento de archivos:

• El controlador CSI de Trident elimina los volúmenes de NetApp ONTAP cuando están sin conexión, lo que puede provocar la pérdida de datos.
• Los errores de conexión múltiple se producen en los volúmenes después de un reinicio en frío o en escenarios de desaprovisionamiento de nodos.
• El rol project-fileshare-admin no tiene acceso a las funciones patch y update.
• Las copias de seguridad no se eliminan en los clústeres de infraestructura cuando se eliminan en un clúster de usuario.

Servicio de Kubernetes gestionado:

• Deshacer el movimiento de las VMs de clústeres estándar a proyectos de usuario.

Redes:

• Un código de error no válido afecta a las políticas de red del proyecto.
• Un mapa ebpf de CT grande provoca errores al crear y eliminar endpoints.
• Los servicios filtrados pueden provocar la duplicación de la IP del servicio.

Paquete de revisiones 16

---

---

Gestión de identidades y accesos:

• Se producen errores de acceso prohibido al acceder a clústeres de Kubernetes estándar mediante kubeconfig desde gdcloud.

Detección y respuesta de endpoints:

• El subcomponente de detección y respuesta de endpoints se queda bloqueado en un estado de error de conciliación.

Servicio de Kubernetes gestionado:

• La validación de clústeres debe usar la densidad de pods del clúster al validar nodos.

Redes:

• Faltan verbos en los roles predefinidos de la subred.

Autenticación de la plataforma:

• Las CSRs de las CAs intermedias no tienen la restricción básica de CA.
• Se ha añadido la opción de reutilizar un dominio del sistema en DNS público gestionado.

Sistema de incidencias:

• No se activa ninguna alerta cuando el sistema de asistencia no está disponible.

Paquete de revisiones 15

---

---

Consola:

• Se produce un error al crear una vinculación de rol con un rol que no existe.
• No puedes añadir varias vinculaciones de roles a una cuenta de servicio en la consola.

Gestión de identidades y accesos:

• Se ha añadido compatibilidad con gdcloud get-credentials para clústeres estándar.
• Los roles personalizados deben generar plantillas con el mismo nombre para las APIs globales y zonales.
• Datos de CertificateAuthority expuestos en el servidor well-known.
• La página de gestión de identidades y accesos no funciona.
• Se produce un error al crear una vinculación de rol con un rol personalizado.
• No puedes asignar roles de usuario en la consola.

Servicio de Kubernetes gestionado:

• Mueve las VMs del clúster estándar a un proyecto de usuario.
• Faltan tipos de máquinas para el tipo n3.

Paquete de revisiones 14

---

---

Consola:

• La página de gestión de identidades y accesos no funciona.

Multizona:

• Un pod de un clúster estándar de la zona 1 no puede acceder al servidor de la API Management de la zona 2.

Paquete de revisiones 13

---

---

Consola:

• La creación de roles personalizados no funciona.

• Al crear un rol personalizado desde el ámbito de un proyecto, no se debe mostrar la casilla Limitar a los proyectos seleccionados.

DNS:

• Un pod de un clúster estándar de la zona 1 no puede acceder al servidor de la API Management de la zona 2.

Monitorización:

• Un pod de un clúster estándar de la zona 1 no puede acceder al servidor de la API Management de la zona 2.

Redes:

• Los mandos se quedan atascados durante horas en el pod unet-cm-backend-controller.

• Varios servidores de la API de clustermesh han alcanzado los límites de CPU definidos.

• La protección contra la exfiltración de datos (DEP) no se puede habilitar en un proyecto global que tenga la DEP inhabilitada.

Almacenamiento de objetos:

• No se admite GetBucketVersioning para S3.

• Se ha producido un error al iniciar cp entre diferentes carpetas de un mismo contenedor.

Autenticación de la plataforma:

• Cert Manager no puede emitir certificados.

SIEM

• No puedes conectarte a un host de Splunk desde un clúster de usuarios.

Paquete de revisiones 12

---

---

Consola:

• El DNS global no se resuelve desde una VM de GDC.

Redes:

• Se han actualizado las traducciones de allow-all-ingress y allow-all-egress de PNP.
• Permite automáticamente el tráfico de salida de las cargas de trabajo de los usuarios a las cargas de trabajo del sistema.
• No se puede acceder al servidor DNS global.

Almacenamiento de objetos:

• No se puede descargar contenido de un segmento de S3.

Paquete de revisiones 11

---

---

Detección y respuesta de endpoints:

• Nessus Manager tiene agentes y gestores duplicados.

• Hay lagunas en la cobertura de EDR en los clústeres de perímetro, usuarios y servicios.

Gestión de identidades y accesos:

• El servidor de identidad de servicio no puede autenticarse mediante claves de cuenta de servicio zonales.

Malla de servicios:

• A los pods dataplane-ingress-gateway les falta la etiqueta networking.private.gdc.goog/infra-access: enabled.

Máquinas virtuales:

• Hay un problema de retrocompatibilidad con las subredes.