16. Februar 2024 [GDC 1.12.0]
- Google Distributed Cloud mit Air Gap 1.12.0 ist jetzt verfügbar.
Weitere Informationen zu den Funktionen von Google Distributed Cloud mit Air Gap finden Sie in der Produktübersicht. - Google Distributed Cloud mit Air Gap 1.12.0 unterstützt zwei Betriebssysteme:
- Ubuntu 20231205
- Rocky Linux 20231208
Die Version des Canonical Ubuntu-Betriebssystem-Images wurde auf 20231208 aktualisiert, um die neuesten Sicherheitspatches und wichtigen Updates anzuwenden. Damit Sie von den Fehler- und Sicherheitslückenkorrekturen profitieren können, müssen Sie alle Knoten mit jedem Release aktualisieren. Die folgenden Sicherheitslücken wurden behoben:
Die folgenden Sicherheitslücken in Container-Images wurden behoben:
- CVE-2020-24736
- CVE-2020-29509
- CVE-2020-29511
- CVE-2020-29652
- CVE-2021-29923
- CVE-2021-31525
- CVE-2021-33195
- CVE-2021-33196
- CVE-2021-33197
- CVE-2021-33198
- CVE-2021-34558
- CVE-2021-36221
- CVE-2021-38297
- CVE-2021-38561
- CVE-2021-39293
- CVE-2021-41771
- CVE-2021-41772
- CVE-2021-43565
- CVE-2021-44716
- CVE-2022-1705
- CVE-2022-1962
- CVE-2022-2879
- CVE-2022-2880
- CVE-2022-3063
- CVE-2022-21235
- CVE-2022-21698
- CVE-2022-23471
- CVE-2022-23524
- CVE-2022-23525
- CVE-2022-23526
- CVE-2022-23648
- CVE-2022-23772
- CVE-2022-23773
- CVE-2022-23806
- CVE-2022-24675
- CVE-2022-24921
- CVE-2022-27191
- CVE-2022-27664
- CVE-2022-28131
- CVE-2022-28327
- CVE-2022-29526
- CVE-2022-30580
- CVE-2022-30630
- CVE-2022-30631
- CVE-2022-30632
- CVE-2022-30633
- CVE-2022-30635
- CVE-2022-31030
- CVE-2022-32148
- CVE-2022-32149
- CVE-2022-32189
- CVE-2022-41715
- CVE-2022-41717
- CVE-2022-41721
- CVE-2022-41723
- CVE-2022-41724
- CVE-2022-41725
- CVE-2022-41912
- CVE-2022-48174
- CVE-2023-1667
- CVE-2023-2253
- CVE-2023-2283
- CVE-2023-2603
- CVE-2023-2975
- CVE-2023-3446
- CVE-2023-3817
- CVE-2023-3978
- CVE-2023-22036
- CVE-2023-22041
- CVE-2023-22049
- CVE-2023-24532
- CVE-2023-24534
- CVE-2023-24536
- CVE-2023-24537
- CVE-2023-24538
- CVE-2023-24539
- CVE-2023-24540
- CVE-2023-25153
- CVE-2023-25165
- CVE-2023-25173
- CVE-2023-25193
- CVE-2023-26604
- CVE-2023-27533
- CVE-2023-27535
- CVE-2023-27536
- CVE-2023-27538
- CVE-2023-28321
- CVE-2023-28484
- CVE-2023-28840
- CVE-2023-28841
- CVE-2023-28842
- CVE-2023-29400
- CVE-2023-29402
- CVE-2023-29403
- CVE-2023-29404
- CVE-2023-29405
- CVE-2023-29406
- CVE-2023-29409
- CVE-2023-29469
- CVE-2023-29491
- CVE-2023-36054
- CVE-2023-39318
- CVE-2023-39319
- CVE-2023-39323
- CVE-2023-39325
- CVE-2023-39326
- CVE-2023-39417
- CVE-2023-39533
- CVE-2023-45142
- CVE-2023-45285
- CVE-2023-45287
- CVE-2023-48795
- CVE-2023-49568
- CVE-2023-49569
- CVE-2023-51385
Das gcr.io/distroless/base-Basis-Image wurde auf den Digest sha256:eda29d6da91216123f1c1841b7c7a7abe1eece155cfe8d20d2a29e5daf9ad497 aktualisiert, um die neuesten Sicherheitspatches und wichtigen Updates anzuwenden.
Add-on Manager:
Die Google Distributed Cloud-Version wird auf 1.28.0-gke.435 aktualisiert, um die neuesten Sicherheitspatches und wichtigen Updates anzuwenden.
Weitere Informationen finden Sie in den Versionshinweisen zu Google Distributed Cloud 1.28.0-gke.435.
Build and package (Erstellen und verpacken):
Die Golang-Version wurde auf 1.20 aktualisiert.
In Google Distributed Cloud Air-Gapped 1.12.0 werden der Ausgabe zusätzliche Software Bills Of Materials (SBOMs) hinzugefügt und die Logik wird aktualisiert, um sicherzustellen, dass solche SBOMs in Zukunft veröffentlicht werden.
In Google Distributed Cloud mit Air Gap 1.12.0 werden
gdch_notice_license_files-Tar-Dateien zum Hochladen von Manifesten hinzugefügt.
Inventarverwaltung:
- In Google Distributed Cloud Air-Gapped 1.12.0 wurden Validierungen für Verbindungslisten für Hardwareversion 3.0 hinzugefügt.
- In Google Distributed Cloud Air-Gapped 1.12.0 wird das Muster für den Konsolenserver-Verwaltungsport aktualisiert, um LAN1A und LAN2A zu ermöglichen.
- In Google Distributed Cloud Air-Gapped 1.12.0 wurde eine Meldung hinzugefügt, um die Verwirrung zwischen den aktiven und passiven Modi von PA850 zu verringern.
- Google Distributed Cloud Air-gapped 1.12.0 unterstützt eine Breakout-Kassette in der Validierung.
- In Google Distributed Cloud Air-Gapped 1.12.0 wird die Verbindung zwischen der permanenten Firewall und der Verwaltungsfirewall validiert.
- In Google Distributed Cloud Air-Gapped 1.12.0 wird dem Generator für den Fragebogen zur Kundenaufnahme ein OI-CIDR-Prompt (Classless Inter-Domain Routing) hinzugefügt.
- In Google Distributed Cloud Air-Gapped 1.12.0 wurde eine Fehlermeldung zu fehlenden MAC-Adressen verbessert, um die Instabilität der Preflight-Prüfung bei der Validierung der HSM- und MGMT-SW-Verbindung zu verringern.
IT-Organisation des Operations Center:
Die IT-Organisation des Operations Center hat die folgenden Namensänderungen erfahren:
Das Operations Center (OC) wurde in Operations Suite Facility (OIF) umbenannt.
OC Core wurde in Operations Suite Infrastructure Core Rack (OIR) umbenannt.
OCIT (Operations Center IT) wurde in OI (Operations Suite Infrastructure) umbenannt.
OCIT wurde in OI umbenannt.
Weitere Informationen finden Sie unter Terminologie.
Mit Google Distributed Cloud Air-Gapped 1.12.0 wird das Userlock-Konfigurationsskript aktualisiert, um die Verwendung eines Failover-Servers zu ermöglichen.
In Google Distributed Cloud Air-Gapped 1.12.0 werden zusätzliche Sicherheitsgruppen für die Operations Suite-Infrastruktur (OI) vorab erstellt, um einen detaillierten Zugriff auf OI-Systeme zu ermöglichen.
System-Artifact-Registry:
- In Google Distributed Cloud mit Air Gap 1.12.0 wird das Kurzflag
-f(--force) aus CLI-Assets entfernt.
Versionsupdate:
Die Debian-basierte Image-Version wurde auf „bookworm-v1.0.0-gke.3“ aktualisiert.
Zertifikatmanager:
- Die Konfiguration der Schlüsselgröße in einem Web-TLS-Zertifikat für Organisationen wurde eingeführt.
Database Service (Datenbankdienst):
- Unterstützung für die Wiederherstellung zu einem bestimmten Zeitpunkt für Oracle-Datenbanken.
- Unterstützung für die erweiterte Postgres-Migration zum Migrieren lokaler Datenbanken zu Datenbanken, die vom GDC-Datenbankdienst verwaltet werden.
Logging:
- Die Log Query gRPC API wurde hinzugefügt, um Betriebs- und Audit-Logs programmatisch über die API-Endpunkte abzufragen.
- Die Möglichkeit, PA-Logs in ein externes SIEM-System zu exportieren, wurde hinzugefügt.
Marketplace:
- MongoDB Enterprise Advanced (BYOL) ist jetzt im Google Distributed Cloud Air-Gapped Marketplace 1.12.0 verfügbar.
Es handelt sich um eine Sammlung von Produkten und Diensten, die für Sicherheit und Effizienz sorgen und Ihnen die Kontrolle über Ihre MongoDB-Datenbanken geben.
Objektspeicher:
- Es wurde ein neues Bild hinzugefügt, das zum Hosten von Upgrade-Dateien in der Objektspeicher-Software erforderlich ist.
- Bucket-Webhooks wurde ein Label für die Verschlüsselungsversion hinzugefügt.
- Es wurde ein Abgleich für die Rotation von Objektanmeldedaten hinzugefügt.
Operations Suite Infrastructure Core Services (OIC)
- In Google Distributed Cloud mit Air Gap 1.12.0 werden OIC-Logs in Grafana erfasst.
- In Google Distributed Cloud Air-Gapped 1.12.0 wird das
Copy-BareMetalFiles.ps1-Skript aus der Installationsdokumentation in die Skripts inprivate-cloud/operations/dsc/verschoben.
- Ein Web-TLS-Zertifikat für einen Stammadministratorcluster wird von der internen Public-Key-Infrastruktur von Google Distributed Cloud ausgestellt, die nicht mit dem Internet verbunden ist.
Sicherheits-Compliance:
- In Google Distributed Cloud Air-Gapped 1.12.0 wird die Portsicherheit eingeführt, die für eine Sicherheitsprüfung erforderlich ist.
Ticketsystem
- Die geplanten Jobs in ServiceNow wurden aktualisiert, um die Ausführung zu staffeln und so Datenbankspitzen zu vermeiden.
- Der Infrastrukturbetreiber erhält eine Benachrichtigung, wenn ein Meta-Monitoring-Vorfall in ServiceNow veraltet ist.
Upgrade
- Das Dashboard Upgrade Status (Upgradestatus) wurde für Infrastrukturbetreiber und Plattformadministratoren hinzugefügt.
- Es wurde ein Befehl zum Auslösen des Nutzercluster-Upgrades hinzugefügt.
Vertex AI:
- Onlinevorhersagen in der Vorschau hinzugefügt, um Anfragen mit Ihren eigenen Vorhersagemodellen in einer Reihe unterstützter Container zu bearbeiten.
- Die Dokumentübersetzung ist jetzt als Vorschau verfügbar. Damit können Sie formatierte PDF-Dokumente direkt übersetzen und die ursprüngliche Formatierung und das Layout in den Übersetzungen beibehalten.
- Unterstützung für Sichern und Wiederherstellen von Notebook-Daten im Home-Verzeichnis von Vertex AI Workbench-JupyterLab-Instanzen.
Verwaltung virtueller Maschinen
- Unterstützung von Windows-Betriebssystemen für virtuelle Maschinen hinzugefügt, um Windows-VMs zu erstellen, zu importieren und eine Verbindung zu ihnen herzustellen.
Abrechnung:
- Das Problem, dass der
onetimeusage-Job beim Aktualisieren von Labels für dasonetimeusage-Objekt immer fehlgeschlagen ist und dadurch Fehlermeldungen ausgelöst wurden, wurde behoben.
- Das Problem wurde behoben, durch das die Gesamtkosten für eine benutzerdefinierte Ressource (Custom Resource, CR) dupliziert wurden, wenn der Job neu gestartet wurde, nachdem die Kosten der CR in die Datenbank geschrieben wurden, bevor das Label auf „Verarbeitet“ aktualisiert wurde.
Hardware-Sicherheitsmodul:
- Das Problem wurde behoben, durch das der Hardware-Sicherheitschip häufig zwischen den Status
ServicesNotStartedundreadygewechselt hat.
Hybride Identität:
- Das Problem mit der Netzwerkkonfiguration in Identitätspods wurde behoben.
Inventarverwaltung:
- Das Problem, dass der Lizenzparser keine Object Storage-Dateien parste, deren Lizenz-JSON-Text sich über mehrere Zeilen erstreckte, wurde behoben.
- Das Problem mit dem regulären Ausdruck für die Validierung von „CableType“ in der Hardwareversion 3.0 wurde behoben.
- Das Problem mit dem Einbeziehen des Bootstrapper-Knotens in die Hardwarevalidierung wurde behoben.
- Das Problem, dass
SecureBootEnablefür den Root-Administratorclusternknoten nach dem Server-Bootstrapping deaktiviert war, wurde behoben.
Operations Suite Infrastructure Core Services (OIC)
- Das Problem wurde behoben, durch das
Initialize-BareMetalHost.ps1nicht erkannt hat, dass ein Neustart erforderlich ist. - Das Problem mit einer Enterprise-CA-Root wurde behoben, bei dem keine Anforderungsdatei für die Einreichung einer Offline-CA-Root ausgestellt wurde.
- Das Problem wurde behoben, bei dem die Hyper-V-Zeitsynchronisierung nach dem Erstellen der OIC-VM aktiviert blieb.
Ticketsystem
- Problem mit MariaDB Audit behoben.
Upgrade
- Das Problem mit IAM-Benachrichtigungen (Identity and Access Management) wurde behoben, indem IAM-Postflight-Upgrade-Prüfungen hinzugefügt wurden.
Verwaltung virtueller Maschinen
-
Das Problem wurde behoben, dass der VM-Status zuvor
PendingIPAllocationangezeigt wurde, wenn die VM nicht geplant werden konnte. Nach der Korrektur wird der VM-StatusErrorUnscheduableangezeigt. - Das Problem wurde behoben, dass bei Importvorgängen für VM-Images das falsche Secret für den Objektspeicher verwendet wurde.
Sichern und wiederherstellen:
- Benachrichtigungen für ein Sicherungs-Repository können auch dann ausgelöst werden, wenn das Repository fehlerfrei ist.
Clusterverwaltung:
- Der Job
machine-initschlägt während der Clusterbereitstellung fehl.
Physische Server:
- Der Fortschritt des Updates des Administratorclusters auf Stammebene bleibt beim Knotenupgrade hängen, insbesondere bei
NodeBIOSFirmwareUpgradeCompleted.
Database Service (Datenbankdienst):
- Datenbankdienst-Arbeitslasten werden im Systemcluster ausgeführt. Das kann dazu führen, dass Datenbankarbeitslasten die Recheninfrastruktur mit anderen Datenbankinstanzen und verschiedenen Steuerungsebenensystemen gemeinsam nutzen.
Harbor as a Service (HAAS):
- Da es sich bei HaaS um eine Vorschaufunktion von Google Distributed Cloud mit Air Gap 1.12.0 handelt, ist nicht zu erwarten, dass es in Produktionsumgebungen funktioniert.
Der Vorinstallationsjob schlägt erwartungsgemäß fehl, um zu verhindern, dass die Unterkomponenten richtig abgeglichen werden. Dadurch können Nutzer HaaS nicht verwenden.
Es ist normal, dass sich HaaS-Unterkomponenten im Abgleichsstatus befinden. Dies hat keine Auswirkungen auf die Funktionalität anderer Komponenten.
Firewall:
- Bei der Bereitstellung für Kunden muss der Administratornutzername der Datei
secret.yamladminsein. Nach der ersten Erstellung enthält er stattdessenTO-BE-FILLED. Deradmin-Nutzername muss verwendet werden, um die erste Konfiguration auf der Firewall zu initialisieren.
Hardware-Sicherheitsmodul:
- Deaktivierte Testlizenzen sind in CipherTrust Manager weiterhin erkennbar, was zu falschen Ablaufwarnungen führt.
-
Wenn ein KMS-
CTMKeygelöscht wird, kann es zu unerwartetem Verhalten kommen, z. B. dass der KMS-Dienst für die Organisation nicht gestartet wird. - Ein rotierendes Secret für Hardwaresicherheitsmodule befindet sich in einem unbekannten Zustand.
- Rotationen der internen Zertifizierungsstelle des HSM bleiben hängen und werden nicht abgeschlossen.
Logging:
- Nachdem Sie den Export von Logs zu einem externen SIEM-Ziel aktiviert haben, enthalten die weitergeleiteten Logs keine Kubernetes API-Server-Logs.
Monitoring:
- Node Exporter-Zertifikate sind beim Erstellen einer Organisation möglicherweise nicht sofort verfügbar.
- Einige Messwerte aus den Nutzerclustern werden nicht erhoben. Dieses Problem betrifft die Nutzer-VM-Cluster, nicht den Systemcluster.
- Die Speicherklasse für Messwerte ist in der Konfiguration falsch definiert.
-
Die
mon-prober-backend-prometheus-config-ConfigMap wird zurückgesetzt und enthält keine Probe-Jobs mehr. Die BenachrichtigungMON-A0001wird ausgelöst.
Knotenplattform:
- Das Knotenupgrade schlägt aufgrund einer veralteten
lvm.conf-Datei fehl.
Physische Server:
- Der Fortschritt des Updates des Administratorclusters auf Stammebene bleibt beim Knotenupgrade hängen, insbesondere bei
NodeBIOSFirmwareUpgradeCompleted.
- Bei der manuellen Installation eines Servers kann es vorkommen, dass die Serverinstallation hängen bleibt.
Upgrade:
- Das Knotenupgrade für
NodeOSInPlaceUpgradeCompletedschlägt fehl. - Switch-Upgrade kann den Befehl
install add bootflash://..nicht ausführen - Mehrere Pods in einem Systemcluster bleiben möglicherweise im Status
TaintTolerationhängen.
Oberes Netzwerk:
- Ein Nutzer-VM-Cluster bleibt mit der Warnung
FailedCreatePodSandBoxim StatusContainerCreatinghängen.
Vertex AI:
-
Die
MonitoringTargetzeigt den StatusNot Readyan, wenn Nutzercluster erstellt werden. Dadurch wird in der Benutzeroberfläche für vortrainierte APIs fortlaufend der StatusEnablingangezeigt.
VM-Sicherung und ‑Wiederherstellung:
- Die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) und die Schemaeinstellungen im VM-Manager verhindern, dass Nutzer VM-Sicherungs- und ‑Wiederherstellungsprozesse starten können.
- Der Import des VM-Images schlägt beim Übersetzen des Images fehl, da die Festplattengröße nicht ausreicht und die Antwort des Objekt-Storage-Proxys ein Zeitlimit überschreitet.
SIEM:
- OCLCM-Vorinstallationsjobs schlagen wiederholt bei der Feature-Gate-Prüfung fehl.
Leistung:
In Google Distributed Cloud mit Air Gap 1.12.0 wird die Möglichkeit zum Ausführen von
provision key-Benchmarks eingestellt.