Correctifs Google Distributed Cloud sous air gap 1.14.3

Correctif 25

---

---

DNS :

• Le déploiement des sondes dns-mesh échoue lorsque les zones ont des noms en double.
• La résolution DNS prend quelques minutes.
• Un problème se produit lorsque la suppression d'un ManagedDNSZone avant la suppression de son ResourceRecordSets associé entraîne la création d'enregistrements orphelins qui persistent dans le système.

Journalisation :

• L'alerte SyslogCollectorDroppedLogs inclut une empreinte digitale, ce qui entraîne la création d'un nouvel incident chaque fois que l'alerte est déclenchée.
• Les journaux de pod de l'espace de noms unet-system sont manquants.

Service Kubernetes géré :

• Les instances de base de données sont bloquées dans un état de suppression en raison d'une condition de concurrence dans laquelle les machines virtuelles ont été supprimées avant leurs ressources InventoryMachine correspondantes.
• La suppression du cluster d'utilisateurs est bloquée en raison d'une condition de concurrence lors de la suppression des ressources.
• Un problème de scaling de cluster peut entraîner des échecs d'attribution d'adresses IP, comme unable to assign IP, lorsque vous réduisez l'échelle d'un pool de nœuds, puis que vous l'augmentez immédiatement.

Machines virtuelles :

• Le démarrage des VM est retardé jusqu'à la création d'un certificat.
• Des erreurs et des retards aléatoires se produisent lors de la création de VM en parallèle. Ces problèmes se manifestent sous la forme d'erreurs CPI, de délais d'inactivité de l'agent et de problèmes de connectivité réseau.
• Les importations d'images Windows BYO échouent en raison de la mise à jour de la version de kubevirt.

Correctif 24

---

---

Resource Manager :

• Les performances du projet et du compte de service du projet se dégradent au fil du temps.

Correctif 23

---

---

Gestion de l'authentification et des accès :

• Les liaisons de rôle sont fréquemment mises en file d'attente dans les contrôleurs IAM globaux, ce qui entraîne un délai de propagation lors de l'attribution d'autorisations.

Mise en réseau :

• La communication des pods StatefulSet échoue.
• Il manque une métrique node_cpu_seconds_total.
• Les contrôleurs Mise en réseau sont bloqués, ce qui empêche la réconciliation des API d'équilibreur de charge et de règles réseau du projet.

OCLCM :

• Le configrunner oclcm cesse de fonctionner en raison d'un échec du renouvellement du certificat.

Correctif 22

---

---

Gestion de l'authentification et des accès :

• Le traitement des demandes de configuration de connexion peut prendre plusieurs minutes.
• Les opérateurs d'application ne peuvent pas s'accorder l'accès aux rôles dans le cluster d'infrastructure.
• Les jetons des comptes de service existants ne sont plus valides.
• Le rôle de projet namespace-admin est manquant dans un projet.

Service Kubernetes géré :

• Un délai d'attente est prévu pour la préparation d'un cluster de services partagés.

Surveillance :

• La suppression du projet est bloquée en raison de finaliseurs en attente pour le tableau de bord et la source de données.
• L'utilisation récurrente n'émet pas de métriques.
• Les métriques du KSM ne sont pas visibles par les AP.
• Les pods Prometheus sont planifiés sur les nœuds du plan de contrôle, ce qui entraîne une instabilité et une épuisement des ressources.
• Les tableaux de bord KUB affichent des valeurs de données incorrectes.

Correctif 21

---

---

CLI :

• La commande gdcloud compute images import échoue avec les images QCOW en raison d'une incompatibilité de version de la commande file.
• La commande gdcloud resource-support get-report génère une erreur failed to get support information from cluster.
• La commande gdcloud auth activate-service-account réinitialise la configuration gdcloud.
• Ajout de la compatibilité avec gdcloud get-credentials pour les clusters standards.
• Les liaisons de rôle créées avec gdcloud sont liées à l'espace de noms de la plate-forme par défaut.
• La commande gdcloud resource-support get-report échoue et renvoie une erreur indiquant qu'un schéma est manquant.
• Ajout de SKU pour prendre en charge des tarifs plus spécifiques à chaque pays.
• La gdcloud CLI n'utilise pas la bonne zone lors de la liste des clusters. Par conséquent, le résultat de gdcloud clusters list n'affiche qu'une seule zone.

Correctif 20

---

---

Console :

• Les liaisons de rôle créées pour les comptes de service ne sont pas configurées correctement.
• Les administrateurs IAM de projet ne peuvent pas attribuer de rôles depuis l'UI.
• Lorsque vous créez un rôle personnalisé, le rôle source d'une autorisation change lorsque vous l'affichez.
• Les pages "Présentation des rôles" et "Détails du rôle" affichent une erreur indiquant que vous ne disposez pas des autorisations requises.
• La page "Accès" est bloquée, même si les utilisateurs disposent de certaines des autorisations requises.

Machines virtuelles :

• La réconciliation du sous-composant vmm-vm-controller a échoué en raison d'un fichier de configuration volumineux qui dépasse la limite de taille (1 Mo).

Correctif 19

---

---

Sauvegarde et restauration :

• Lorsque vous supprimez un instantané dans un cluster d'utilisateur, l'instantané correspondant dans le cluster d'infrastructure n'est pas supprimé.
• Le déploiement du sous-composant de sauvegarde utilise une variable qui ajoute des caractères au nom du cluster lors de la création d'un libellé Kubernetes, ce qui peut parfois enfreindre la limite de 63 caractères de Kubernetes.

Facturation :

• Ajout de SKU de tarification durable.
• Le calculateur de prépaiement ne fonctionne pas.
• Les métriques d'utilisation récurrente ne sont pas émises.
• La facturation partenaire n'est pas activée.
• Le calculateur de préachat ne peut pas accéder à un réseau de communautés.

Gestion de l'authentification et des accès :

• Échec de la création du compte de service en raison d'un projet en cours de suppression entraînant des échecs de réconciliation du modèle de rôle.
• Ajout de la compatibilité avec P4SA pour les clusters standards.
• La création d'une identité de service à partir de la console GDC échoue.

Correctif 18

---

---

Stockage d'objets :

• Ajout de la compatibilité avec S3 GetBucketVersioning.
• Vous ne pouvez pas importer de données pour synchroniser des buckets à double zone à l'aide d'URL signées.
• DeleteObject renvoie 500 pour les suppressions avec gestion des versions non actuelles.
• Avec les buckets à double zone, les secrets S3 ne sont pas générés après l'association du rôle project-bucket-object-admin à un compte de service.

Correctif 17

---

---

Stockage de fichiers :

• Le pilote CSI Trident supprime les volumes NetApp ONTAP lorsqu'ils sont hors connexion, ce qui peut entraîner une perte de données.
• Des erreurs d'attachement multiple se produisent pour les volumes après un redémarrage à froid ou des scénarios de déprovisionnement de nœuds.
• Le rôle project-fileshare-admin ne dispose pas de l'accès aux correctifs et aux mises à jour.
• Les instantanés ne sont pas supprimés dans les clusters d'infrastructure lorsqu'ils sont supprimés dans un cluster d'utilisateur.

Service Kubernetes géré :

• Rétablir le déplacement des VM de cluster vanilla vers des projets utilisateur

Mise en réseau :

• Un code d'erreur non valide affecte les règles de réseau du projet.
• Une grande carte ebpf CT entraîne des échecs de création et de suppression de points de terminaison.
• Les services divulgués peuvent entraîner une duplication des adresses IP de service.

Correctif 16

---

---

Gestion de l'authentification et des accès :

• Des erreurs d'accès refusé se produisent lorsque vous accédez à des clusters Kubernetes standards à l'aide de kubeconfig depuis gdcloud.

Détection et réponse des points de terminaison :

• Le sous-composant de détection et de réponse des points de terminaison est bloqué dans un état d'erreur de réconciliation.

Service Kubernetes géré :

• La validation du cluster doit utiliser la densité de pods du cluster lors de la validation des nœuds.

Mise en réseau :

• Les rôles prédéfinis de sous-réseau ne comportent pas de verbes.

Authentification de la plate-forme :

• Les CSR pour les autorités de certification intermédiaires ne contiennent pas la contrainte de base pour les autorités de certification.
• Ajout de la prise en charge de la réutilisation d'un domaine système dans le DNS public géré.

Système de gestion des demandes :

• Aucune alerte n'est déclenchée lorsque le système de billetterie n'est pas disponible.

Correctif 15

---

---

Console :

• Une erreur se produit lors de la création d'une liaison de rôle avec un rôle inexistant.
• Vous ne pouvez pas ajouter plusieurs liaisons de rôle à un compte de service dans la console.

Gestion de l'authentification et des accès :

• Ajout de la compatibilité avec gdcloud get-credentials pour les clusters standards.
• Les rôles personnalisés doivent générer des modèles portant le même nom pour les API globales et zonales.
• Données CertificateAuthority exposées sur le serveur connu.
• La page de gestion de l'authentification et des accès ne fonctionne pas.
• Une erreur s'est produite lors de la création d'une liaison de rôle à un rôle personnalisé.
• Vous ne pouvez pas attribuer de rôles utilisateur dans la console.

Service Kubernetes géré :

• Déplacez les VM du cluster brut vers un projet utilisateur.
• Il manque des types de machines pour le type n3.

Correctif 14

---

---

Console :

• La page de gestion de l'authentification et des accès ne fonctionne pas.

Multizone :

• Un pod d'un cluster brut dans la zone 1 ne peut pas accéder au serveur de l'API Management dans la zone 2.

Correctif 13

---

---

Console :

• La création de rôles personnalisés ne fonctionne pas.

• La case à cocher Limiter aux projets sélectionnés ne doit pas s'afficher lorsque vous créez un rôle personnalisé à partir du champ d'application du projet.

DNS :

• Un pod d'un cluster brut dans la zone 1 ne peut pas accéder au serveur de l'API Management dans la zone 2.

Surveillance :

• Un pod d'un cluster brut dans la zone 1 ne peut pas accéder au serveur de l'API Management dans la zone 2.

Mise en réseau :

• Les contrôleurs sont bloqués pendant des heures dans le pod unet-cm-backend-controller.

• Plusieurs serveurs d'API clustermesh ont atteint les limites de processeur définies.

• La protection contre l'exfiltration de données (DEP) ne peut pas être activée sur un projet global pour lequel elle est désactivée.

Stockage d'objets :

• GetBucketVersioning pour S3 n'est pas compatible.

• Une erreur s'est produite lors de l'initialisation de cp entre différents dossiers d'un bucket.

Authentification de la plate-forme :

• Cert Manager ne parvient pas à émettre de certificats.

SIEM :

• Vous ne pouvez pas vous connecter à un hôte Splunk depuis un cluster utilisateur.

Correctif 12

---

---

Console :

• Le DNS global ne se résout pas à partir d'une VM GDC.

Mise en réseau :

• Mise à jour de la traduction de allow-all-ingress et allow-all-egress.
• Autorisez automatiquement le trafic de sortie des charges de travail utilisateur vers les charges de travail système.
• Impossible d'accéder au serveur DNS mondial.

Stockage d'objets :

• Le téléchargement depuis un bucket S3 échoue.

Correctif 11

---

---

Détection et réponse des points de terminaison :

• Le gestionnaire Nessus comporte des agents et des gestionnaires en double.

• La couverture EDR présente des lacunes au niveau des clusters de périmètre, d'utilisateur et de service.

Gestion de l'authentification et des accès :

• Le serveur d'identité de service ne parvient pas à s'authentifier à l'aide des clés de compte de service zonal.

Maillage de services :

• Il manque le libellé networking.private.gdc.goog/infra-access: enabled dans les pods dataplane-ingress-gateway.

Machines virtuelles :

• Il existe un problème de rétrocompatibilité pour les sous-réseaux.