16 de febrero del 2024 [GDC 1.12.0]
- Ya está disponible la versión 1.12.0 de Google Distributed Cloud con air gap.
Consulta la descripción general del producto para obtener información sobre las funciones de Google Distributed Cloud con air gap. - Google Distributed Cloud air-gapped 1.12.0 es compatible con dos sistemas operativos:
- Ubuntu 20231205
- Rocky Linux 20231208
Se ha actualizado la versión de la imagen del SO Canonical Ubuntu a 20231208 para aplicar los parches de seguridad y las actualizaciones importantes más recientes. Para aprovechar las correcciones de errores y vulnerabilidades de seguridad, debes actualizar todos los nodos con cada lanzamiento. Se han corregido las siguientes vulnerabilidades de seguridad:
Se han corregido las siguientes vulnerabilidades de seguridad de imágenes de contenedor:
- CVE-2020-24736
- CVE-2020-29509
- CVE-2020-29511
- CVE-2020-29652
- CVE-2021-29923
- CVE-2021-31525
- CVE-2021-33195
- CVE-2021-33196
- CVE-2021-33197
- CVE-2021-33198
- CVE-2021-34558
- CVE-2021-36221
- CVE-2021-38297
- CVE-2021-38561
- CVE-2021-39293
- CVE-2021-41771
- CVE-2021-41772
- CVE-2021-43565
- CVE-2021-44716
- CVE-2022-1705
- CVE-2022-1962
- CVE-2022-2879
- CVE-2022-2880
- CVE-2022-3063
- CVE-2022-21235
- CVE-2022-21698
- CVE-2022-23471
- CVE-2022-23524
- CVE-2022-23525
- CVE-2022-23526
- CVE-2022-23648
- CVE-2022-23772
- CVE-2022-23773
- CVE-2022-23806
- CVE-2022-24675
- CVE-2022-24921
- CVE-2022-27191
- CVE-2022-27664
- CVE-2022-28131
- CVE-2022-28327
- CVE-2022-29526
- CVE-2022-30580
- CVE-2022-30630
- CVE-2022-30631
- CVE-2022-30632
- CVE-2022-30633
- CVE-2022-30635
- CVE-2022-31030
- CVE-2022-32148
- CVE-2022-32149
- CVE-2022-32189
- CVE-2022-41715
- CVE-2022-41717
- CVE-2022-41721
- CVE-2022-41723
- CVE-2022-41724
- CVE-2022-41725
- CVE-2022-41912
- CVE-2022-48174
- CVE-2023-1667
- CVE-2023-2253
- CVE-2023-2283
- CVE-2023-2603
- CVE-2023-2975
- CVE-2023-3446
- CVE-2023-3817
- CVE-2023-3978
- CVE-2023-22036
- CVE-2023-22041
- CVE-2023-22049
- CVE-2023-24532
- CVE-2023-24534
- CVE-2023-24536
- CVE-2023-24537
- CVE-2023-24538
- CVE-2023-24539
- CVE-2023-24540
- CVE-2023-25153
- CVE-2023-25165
- CVE-2023-25173
- CVE-2023-25193
- CVE-2023-26604
- CVE-2023-27533
- CVE-2023-27535
- CVE-2023-27536
- CVE-2023-27538
- CVE-2023-28321
- CVE-2023-28484
- CVE-2023-28840
- CVE-2023-28841
- CVE-2023-28842
- CVE-2023-29400
- CVE-2023-29402
- CVE-2023-29403
- CVE-2023-29404
- CVE-2023-29405
- CVE-2023-29406
- CVE-2023-29409
- CVE-2023-29469
- CVE-2023-29491
- CVE-2023-36054
- CVE-2023-39318
- CVE-2023-39319
- CVE-2023-39323
- CVE-2023-39325
- CVE-2023-39326
- CVE-2023-39417
- CVE-2023-39533
- CVE-2023-45142
- CVE-2023-45285
- CVE-2023-45287
- CVE-2023-48795
- CVE-2023-49568
- CVE-2023-49569
- CVE-2023-51385
Se ha actualizado la imagen base de gcr.io/distroless/base al digest sha256:eda29d6da91216123f1c1841b7c7a7abe1eece155cfe8d20d2a29e5daf9ad497 para aplicar los últimos parches de seguridad y actualizaciones importantes.
Gestor de complementos:
La versión de Google Distributed Cloud se ha actualizado a la 1.28.0-gke.435 para aplicar los últimos parches de seguridad y actualizaciones importantes.
Para obtener más información, consulta las notas de la versión 1.28.0-gke.435 de Google Distributed Cloud.
Compilación y empaquetado:
La versión de Golang se ha actualizado a la 1.20.
Google Distributed Cloud air-gapped 1.12.0 añade más listas de materiales de software (SBOMs) a la salida y actualiza la lógica para asegurarse de que dichas SBOMs se publiquen en el futuro.
Google Distributed Cloud con air gap 1.12.0 añade archivos
gdch_notice_license_filestar para subir manifiestos.
Gestión de inventario:
- Google Distributed Cloud air-gapped 1.12.0 añade validaciones para las listas de conexiones de la versión 3.0 del hardware.
- Google Distributed Cloud air-gapped 1.12.0 actualiza el patrón del puerto de gestión del servidor de la consola para permitir LAN1A y LAN2A.
- Google Distributed Cloud air-gapped 1.12.0 añade un mensaje para aclarar la confusión entre los modos activo y pasivo de PA850.
- Google Distributed Cloud aislado 1.12.0 admite una cassette de salida en la validación.
- Google Distributed Cloud air-gapped 1.12.0 añade la validación del cortafuegos permanente a la conexión del cortafuegos de gestión.
- Google Distributed Cloud air-gapped 1.12.0 añade una petición de enrutamiento de interdominios sin clases (CIDR) de OI al generador del cuestionario de información del cliente.
- Google Distributed Cloud air-gapped 1.12.0 mejora un mensaje de error sobre el fallo de falta de dirección MAC para mitigar la inestabilidad de la comprobación previa al vuelo al validar la conexión hsm y mgmtsw.
Organización de TI del centro de operaciones:
La organización de TI del centro de operaciones ha cambiado de nombre:
El Centro de Operaciones (OC) ha cambiado de nombre y ahora se llama Instalación de Operaciones (OIF).
Se ha cambiado el nombre de OC Core a Operations Suite Infrastructure Core Rack (OIR).
El departamento de TI del centro de operaciones (OCIT) ha cambiado de nombre y ahora se llama Infraestructura de Operations Suite (OI).
Se ha cambiado el nombre de OCIT a OI.
Para obtener más información, consulta Terminología.
Google Distributed Cloud air-gapped 1.12.0 actualiza la secuencia de comandos de configuración de Userlock para permitir el uso de un servidor de failover.
Google Distributed Cloud air-gapped 1.12.0 crea previamente grupos de seguridad de infraestructura de Operations Suite (OI) adicionales para permitir un acceso detallado a los sistemas de OI.
Registro de artefactos del sistema:
- Google Distributed Cloud con air gap 1.12.0 elimina la marca abreviada
-f(--force) de los recursos de la CLI.
Actualización de la versión:
La versión de la imagen basada en Debian se ha actualizado a bookworm-v1.0.0-gke.3.
Gestor de certificados:
- Se ha introducido la configuración del tamaño de la clave en un certificado web-tls para organizaciones.
Database Service:
- Compatibilidad con la recuperación a un momento dado (PITR) de sus bases de datos de Oracle.
- Compatibilidad con la migración avanzada de Postgres para migrar bases de datos locales a bases de datos gestionadas por el servicio de bases de datos de GDC.
Registro:
- Se ha añadido la API gRPC LogQuery para consultar de forma programática los registros operativos y de auditoría de los endpoints de la API.
- Se ha incluido la función para exportar registros de PA a un sistema SIEM externo.
Marketplace
- MongoDB Enterprise Advanced (BYOL) ya está disponible en el Marketplace de Google Distributed Cloud con air gap 1.12.0.
Es una colección de productos y servicios que impulsan la seguridad y la eficiencia, y te permiten controlar tus bases de datos de MongoDB.
Almacenamiento de objetos:
- Se ha añadido una nueva imagen necesaria para alojar los archivos de actualización en el software de almacenamiento de objetos.
- Se ha añadido una etiqueta de versión de cifrado a los webhooks de los segmentos.
- Se ha añadido un reconciliador para la rotación de credenciales de objeto.
Servicios Principales de Infraestructura de Operations Suite (OIC)
- Google Distributed Cloud con air gap 1.12.0 recoge los registros de OIC en Grafana.
- Google Distributed Cloud aislado 1.12.0 mueve la secuencia de comandos
Copy-BareMetalFiles.ps1de la documentación de instalación a las secuencias de comandos deprivate-cloud/operations/dsc/.
- Google Distributed Cloud emite un certificado TLS web para un clúster de administrador raíz con aislamiento físico mediante la infraestructura de clave pública interna.
Cumplimiento de seguridad:
- Google Distributed Cloud aislado 1.12.0 introduce la seguridad de puertos necesaria para superar una evaluación de seguridad.
Sistema de incidencias
- Se han actualizado las tareas programadas en ServiceNow para escalonar su ejecución y evitar picos en la base de datos.
- El operador de infraestructura recibe una alerta cuando un incidente de metamonitorización en ServiceNow está obsoleto.
Cambiar a edición superior
- Se ha añadido el panel de control Estado de la actualización para operadores de infraestructura y administradores de plataforma.
- Se ha añadido un comando para activar la actualización del clúster de usuarios.
Vertex AI:
- Se ha añadido la vista previa de predicciones online para atender solicitudes con tus propios modelos de predicción en un conjunto de contenedores compatibles.
- Se ha añadido la vista previa de DocumentTranslate para traducir directamente documentos PDF con formato y conservar el formato y el diseño originales en las traducciones.
- Se ha incluido la compatibilidad con la creación de copias de seguridad y la restauración de datos de cuadernos en el directorio principal de las instancias de JupyterLab de Vertex AI Workbench.
Gestión de máquinas virtuales
- Se ha añadido compatibilidad con el SO Windows para máquinas virtuales, de modo que se puedan crear, importar y conectar VMs de Windows.
Facturación:
- Se ha corregido el problema que provocaba que el trabajo de
onetimeusagesiempre fallara al actualizar las etiquetas del objetoonetimeusage, lo que generaba alertas de error.
- Se ha corregido el problema que provocaba que el coste agregado de un recurso personalizado (CR) se duplicara cuando el trabajo se reiniciaba después de que el coste del CR se escribiera en la base de datos, antes de que la etiqueta se actualizara a procesado.
Módulo de seguridad de hardware:
- Se ha corregido el problema que provocaba que el módulo de seguridad de hardware alternara con frecuencia entre los estados
ServicesNotStartedyready.
Identidad híbrida:
- Se ha corregido el problema con la configuración de red en los pods de identidad.
Gestión de inventario:
- Se ha corregido el problema que provocaba que el analizador de licencias no analizara los archivos de almacenamiento de objetos cuyo texto JSON de licencia se extendía a varias líneas.
- Se ha solucionado el problema con la expresión regular de validación de CellCfg CableType de hardware 3.0.
- Se ha corregido el problema que se producía al incluir el nodo de arranque en la validación de hardware.
- Se ha corregido el problema que provocaba que el nodo del clúster de administrador raíz tuviera
SecureBootEnabledesactivado después del arranque del servidor.
Servicios Principales de Infraestructura de Operations Suite (OIC)
- Se ha corregido el problema que impedía que
Initialize-BareMetalHost.ps1detectara que era necesario reiniciar. - Se ha corregido el problema que impedía emitir un archivo de solicitud para enviar una raíz de CA sin conexión cuando se usaba una raíz de CA de empresa.
- Se ha corregido el problema que provocaba que el proceso de creación de la máquina virtual de OIC dejara habilitada la sincronización de hora de Hyper-V.
Sistema de incidencias
- Se ha corregido un problema de auditoría de MariaDB.
Cambiar a edición superior
- Se ha corregido el problema con las alertas de Gestión de Identidades y Accesos (IAM) añadiendo comprobaciones posteriores a la actualización de IAM.
Gestión de máquinas virtuales
-
Se ha corregido el problema que provocaba que el estado de la máquina virtual se mostrara como
PendingIPAllocationsi no se podía programar. Después de la corrección, el estado de la VM seráErrorUnscheduable. - Se ha corregido el problema que provocaba que se usara un secreto de almacenamiento de objetos incorrecto en las operaciones de importación de imágenes de VM.
Copia de seguridad y restauración:
- Las alertas de un repositorio de copias de seguridad pueden activarse aunque el repositorio esté en buen estado.
Gestión de clústeres:
- El trabajo
machine-initfalla durante el aprovisionamiento del clúster.
Servidores físicos:
- El progreso de la actualización del clúster de administrador raíz se ha bloqueado en la actualización de nodos, concretamente en
NodeBIOSFirmwareUpgradeCompleted.
Database Service:
- Las cargas de trabajo de Database Service operan en el clúster del sistema, lo que podría provocar que las cargas de trabajo de la base de datos compartan la infraestructura de computación con otras instancias de la base de datos y con varios sistemas del plano de control.
Harbor como servicio (HAAS):
- Como se trata de una función de vista previa de Google Distributed Cloud aislado 1.12.0, no se espera que HaaS funcione en entornos de producción.
El trabajo de preinstalación falla por diseño para evitar que los subcomponentes se reconcilien correctamente, lo que impide que los usuarios utilicen HaaS.
Es normal que los subcomponentes de HaaS estén en estado de conciliación, lo que no afecta al funcionamiento de otros componentes.
Cortafuegos:
- Durante la implementación del cliente, el nombre de usuario del administrador del archivo
secret.yamldebe seradmin, pero contieneTO-BE-FILLEDdespués de la primera creación. El nombre de usuarioadmindebe usarse para inicializar la primera configuración en el cortafuegos.
Módulo de seguridad de hardware:
- Las licencias de prueba desactivadas se pueden detectar en CipherTrust Manager, lo que provoca advertencias de vencimiento falsas.
-
Al eliminar un KMS
CTMKey, el administrador principal puede experimentar comportamientos inesperados, como que el servicio KMS no se inicie en la organización. - El estado de un secreto rotable de módulos de seguridad de hardware es desconocido.
- Las rotaciones de la autoridad de certificación interna del HSM se bloquean y no se completan.
Registro:
- Después de habilitar la exportación de registros a un destino SIEM externo, los registros reenviados no contienen ningún registro del servidor de la API de Kubernetes.
Monitorización:
- Es posible que los certificados de Node Exporter no estén listos al crear una organización.
- No se recogen algunas métricas de los clústeres de usuarios. Este problema afecta a los clústeres de VMs de usuario, pero no al clúster del sistema.
- La clase de almacenamiento de métricas no está definida correctamente en la configuración.
-
El ConfigMap
mon-prober-backend-prometheus-configse restablece para que no incluya ningún trabajo de comprobación y se activa la alertaMON-A0001.
Plataforma de nodo:
- La actualización del nodo falla debido a un archivo
lvm.confobsoleto.
Servidores físicos:
- El progreso de la actualización del clúster de administrador raíz se ha bloqueado en la actualización de nodos, concretamente en
NodeBIOSFirmwareUpgradeCompleted.
- Al instalar un servidor manualmente, es posible que la instalación se quede bloqueada.
Cambio:
- No se puede actualizar el nodo
NodeOSInPlaceUpgradeCompleted. - No se puede ejecutar el comando
install add bootflash://..al cambiar de versión - Es posible que varios pods de un clúster de sistema se queden atascados en el estado
TaintToleration.
Redes superiores:
- Un clúster de VMs de usuario se queda en el estado
ContainerCreatingcon la advertenciaFailedCreatePodSandBox.
Vertex AI:
-
El
MonitoringTargetmuestra el estadoNot Readycuando se están creando clústeres de usuarios, lo que provoca que las APIs preentrenadas muestren continuamente el estadoEnablingen la interfaz de usuario.
Copia de seguridad y restauración de máquinas virtuales:
- El control de acceso basado en roles (RBAC) y la configuración del esquema en el gestor de VMs impiden que los usuarios inicien procesos de copia de seguridad y restauración de VMs.
- La importación de la imagen de la VM falla en el paso de traducción de la imagen debido a que el tamaño del disco es insuficiente y a que se ha agotado el tiempo de espera de la respuesta del proxy de almacenamiento de objetos.
SIEM
- Los trabajos de preinstalación de OCLCM fallan repetidamente en la comprobación de la función.
Rendimiento:
En Google Distributed Cloud con air gap 1.12.0, se ha retirado la función para ejecutar las comparativas
provision key.