16 de febrero de 2024 [GDC 1.12.0]
- Ya está disponible la versión 1.12.0 de Google Distributed Cloud aislado.
Consulta la descripción general del producto para obtener información sobre las funciones de Google Distributed Cloud aislado. - Google Distributed Cloud aislado 1.12.0 admite dos sistemas operativos:
- Ubuntu 20231205
- Rocky Linux 20231208
Se actualizó la versión de la imagen de SO Ubuntu de Canonical a 20231208 para aplicar los parches de seguridad y las actualizaciones importantes más recientes. Para aprovechar las correcciones de errores y vulnerabilidades de seguridad, debes actualizar todos los nodos con cada versión. Se corrigieron las siguientes vulnerabilidades de seguridad:
Se corrigieron las siguientes vulnerabilidades de seguridad de la imagen del contenedor:
- CVE-2020-24736
- CVE-2020-29509
- CVE-2020-29511
- CVE-2020-29652
- CVE-2021-29923
- CVE-2021-31525
- CVE-2021-33195
- CVE-2021-33196
- CVE-2021-33197
- CVE-2021-33198
- CVE-2021-34558
- CVE-2021-36221
- CVE-2021-38297
- CVE-2021-38561
- CVE-2021-39293
- CVE-2021-41771
- CVE-2021-41772
- CVE-2021-43565
- CVE-2021-44716
- CVE-2022-1705
- CVE-2022-1962
- CVE-2022-2879
- CVE-2022-2880
- CVE-2022-3063
- CVE-2022-21235
- CVE-2022-21698
- CVE-2022-23471
- CVE-2022-23524
- CVE-2022-23525
- CVE-2022-23526
- CVE-2022-23648
- CVE-2022-23772
- CVE-2022-23773
- CVE-2022-23806
- CVE-2022-24675
- CVE-2022-24921
- CVE-2022-27191
- CVE-2022-27664
- CVE-2022-28131
- CVE-2022-28327
- CVE-2022-29526
- CVE-2022-30580
- CVE-2022-30630
- CVE-2022-30631
- CVE-2022-30632
- CVE-2022-30633
- CVE-2022-30635
- CVE-2022-31030
- CVE-2022-32148
- CVE-2022-32149
- CVE-2022-32189
- CVE-2022-41715
- CVE-2022-41717
- CVE-2022-41721
- CVE-2022-41723
- CVE-2022-41724
- CVE-2022-41725
- CVE-2022-41912
- CVE-2022-48174
- CVE-2023-1667
- CVE-2023-2253
- CVE-2023-2283
- CVE-2023-2603
- CVE-2023-2975
- CVE-2023-3446
- CVE-2023-3817
- CVE-2023-3978
- CVE-2023-22036
- CVE-2023-22041
- CVE-2023-22049
- CVE-2023-24532
- CVE-2023-24534
- CVE-2023-24536
- CVE-2023-24537
- CVE-2023-24538
- CVE-2023-24539
- CVE-2023-24540
- CVE-2023-25153
- CVE-2023-25165
- CVE-2023-25173
- CVE-2023-25193
- CVE-2023-26604
- CVE-2023-27533
- CVE-2023-27535
- CVE-2023-27536
- CVE-2023-27538
- CVE-2023-28321
- CVE-2023-28484
- CVE-2023-28840
- CVE-2023-28841
- CVE-2023-28842
- CVE-2023-29400
- CVE-2023-29402
- CVE-2023-29403
- CVE-2023-29404
- CVE-2023-29405
- CVE-2023-29406
- CVE-2023-29409
- CVE-2023-29469
- CVE-2023-29491
- CVE-2023-36054
- CVE-2023-39318
- CVE-2023-39319
- CVE-2023-39323
- CVE-2023-39325
- CVE-2023-39326
- CVE-2023-39417
- CVE-2023-39533
- CVE-2023-45142
- CVE-2023-45285
- CVE-2023-45287
- CVE-2023-48795
- CVE-2023-49568
- CVE-2023-49569
- CVE-2023-51385
Se actualizó la imagen base de gcr.io/distroless/base al resumen sha256:eda29d6da91216123f1c1841b7c7a7abe1eece155cfe8d20d2a29e5daf9ad497 para aplicar los parches de seguridad y las actualizaciones importantes más recientes.
Administrador de complementos:
La versión de Google Distributed Cloud se actualizó a la 1.28.0-gke.435 para aplicar los parches de seguridad más recientes y las actualizaciones importantes.
Consulta las notas de la versión 1.28.0-gke.435 de Google Distributed Cloud para obtener más detalles.
Compila y empaqueta:
Se actualizó la versión de Golang a 1.20.
Google Distributed Cloud air-gapped 1.12.0 agrega más facturas de materiales de software (SBOM) al resultado y actualiza la lógica para garantizar que esas SBOM se publiquen en el futuro.
Google Distributed Cloud aislado 1.12.0 agrega archivos .tar de
gdch_notice_license_filespara subir manifiestos.
Administración del inventario:
- Google Distributed Cloud con aislamiento de aire 1.12.0 agrega validaciones para las listas de conexión de la versión de hardware 3.0.
- Google Distributed Cloud air-gapped 1.12.0 actualiza el patrón de puertos de administración del servidor de la consola para permitir LAN1A y LAN2A.
- Google Distributed Cloud con aislamiento de aire 1.12.0 agrega un mensaje para mitigar la confusión de los modos activo y pasivo de PA850.
- Google Distributed Cloud aislado 1.12.0 admite un cassette de salida en la validación.
- Google Distributed Cloud air-gapped 1.12.0 agrega la validación del firewall permanente a la conexión del firewall de administración.
- Google Distributed Cloud air-gapped 1.12.0 agrega una instrucción de enrutamiento entre dominios sin clases (CIDR) de OI al generador del cuestionario de admisión del cliente.
- Google Distributed Cloud air-gapped 1.12.0 mejora un mensaje de error sobre la falta de dirección MAC para mitigar la inestabilidad de la verificación previa al validar la conexión de HSM y mgmtsw.
Organización de TI del Centro de Operaciones:
La organización de TI del Centro de Operaciones tiene las siguientes actualizaciones de nombre:
Se cambió el nombre de Operations Center (OC) a Operations Suite Facility (OIF).
OC Core cambió de nombre a Operations Suite Infrastructure Core Rack (OIR).
Se cambió el nombre de Operaciones de TI del Centro de Operaciones (OCIT) a Infraestructura de Operations Suite (OI).
Se cambió el nombre de OCIT a OI.
Para obtener más información, consulta Terminología.
Google Distributed Cloud con aislamiento de aire 1.12.0 actualiza la secuencia de comandos de configuración de Userlock para permitir el uso de un servidor de conmutación por error.
Google Distributed Cloud con aislamiento de aire 1.12.0 crea previamente grupos de seguridad adicionales de la infraestructura del conjunto de operaciones (OI) para permitir un acceso detallado en todos los sistemas de OI.
Registro de artefactos del sistema:
- Google Distributed Cloud aislado 1.12.0 quita la marca abreviada
-f(--force) de los recursos de la CLI.
Actualización de versión:
La versión de imagen basada en Debian se actualizó a bookworm-v1.0.0-gke.3.
Administrador de certificados:
- Se introdujo la configuración del tamaño de la clave en un certificado web-tls para organizaciones.
Servicio de base de datos:
- Compatibilidad con la recuperación a un momento determinado (PITR) para sus bases de datos de Oracle
- Se agregó compatibilidad con la migración avanzada de Postgres para migrar bases de datos locales a bases de datos administradas por el servicio de bases de datos de GDC.
Registro:
- Se agregó la API de gRPC de Log Query para consultar de forma programática los registros operativos y de auditoría desde los extremos de la API.
- Se incluyó la capacidad de exportar registros de PA a un sistema SIEM externo.
Marketplace:
- MongoDB Enterprise Advanced (BYOL) ya está disponible en la versión 1.12.0 del Marketplace de Google Distributed Cloud aislado.
Es una colección de productos y servicios que impulsan la seguridad y la eficiencia, y te permiten controlar tus bases de datos de MongoDB.
Almacenamiento de objetos:
- Se agregó una nueva imagen necesaria para alojar archivos de actualización en el software de almacenamiento de objetos.
- Se agregó una etiqueta de versión de encriptación a los webhooks de bucket.
- Se agregó un reconciliador para la rotación de credenciales de objetos.
Servicios Principales de Infraestructura de Operations Suite (OIC)
- Google Distributed Cloud aislado 1.12.0 recopila registros de OIC en Grafana.
- Google Distributed Cloud aislado 1.12.0 mueve la secuencia de comandos
Copy-BareMetalFiles.ps1de la documentación de instalación a las secuencias de comandos enprivate-cloud/operations/dsc/.
- La infraestructura de clave pública interna aislada de Google Distributed Cloud emite un certificado TLS web para un clúster de administrador raíz.
Cumplimiento de seguridad:
- Google Distributed Cloud air-gapped 1.12.0 introduce la seguridad de puertos necesaria para aprobar una evaluación de seguridad.
Sistema de tickets
- Se actualizaron los trabajos programados en ServiceNow para que se ejecuten de forma escalonada y evitar picos en la base de datos.
- El operador de infraestructura recibe una alerta cuando un incidente de supervisión de metadatos en ServiceNow está inactivo.
Actualización
- Se agregó el panel Estado de actualización para los operadores de infraestructura y los administradores de plataformas.
- Se agregó un comando para activar la actualización del clúster de usuario.
Vertex AI:
- Se agregó la vista previa de predicciones en línea para atender solicitudes con tus propios modelos de predicción en un conjunto de contenedores compatibles.
- Se agregó la vista previa de Traducción de documentos para traducir documentos PDF con formato directamente y conservar el formato y el diseño originales en las traducciones.
- Se incluye compatibilidad para crear copias de seguridad y restablecer datos de notebooks en el directorio principal de las instancias de JupyterLab de Vertex AI Workbench.
Administración de máquinas virtuales
- Se agregó compatibilidad con el SO Windows para que las máquinas virtuales creen, importen y se conecten a una VM de Windows.
Facturación:
- Se corrigió el problema por el que el trabajo de
onetimeusagesiempre fallaba al actualizar las etiquetas en el objeto deonetimeusage, lo que provocaba alertas de falla.
- Se corrigió el problema que provocaba que se duplicara el costo agregado de un recurso personalizado (CR) cuando se reiniciaba el trabajo después de que se escribía el costo del CR en la base de datos, antes de que la etiqueta se actualizara a procesada.
Módulo de seguridad de hardware:
- Se solucionó el problema que provocaba que el módulo de seguridad de hardware alternara con frecuencia entre los estados
ServicesNotStartedyready.
Identidad híbrida:
- Se corrigió el problema con la configuración de red en los pods de identidad.
Administración del inventario:
- Se corrigió el problema con el analizador de licencias que no analizaba los archivos de almacenamiento de objetos cuyo texto JSON de licencia se extendía a varias líneas.
- Se corrigió el problema con la expresión regular de validación de CellCfg CableType del hardware 3.0.
- Se corrigió el problema relacionado con la inclusión del nodo de programa de arranque en la validación de hardware.
- Se corrigió el problema por el que el nodo del clúster de administrador raíz tenía
SecureBootEnabledesactivado después del arranque del servidor.
Servicios Principales de Infraestructura de Operations Suite (OIC)
- Se corrigió el problema por el que
Initialize-BareMetalHost.ps1no detectaba que se requería un reinicio. - Se corrigió el problema con una raíz de CA empresarial que no emitía un archivo req para enviarlo a una raíz de CA sin conexión.
- Se corrigió el problema por el que el proceso de creación de la VM de OIC dejaba habilitada la sincronización de hora de Hyper-V.
Sistema de tickets
- Se corrigió el problema de auditoría de MariaDB.
Actualización
- Se corrigió el problema con las alertas de Identity and Access Management (IAM) agregando verificaciones posteriores a la actualización de IAM.
Administración de máquinas virtuales
-
Se corrigió el problema por el que el estado de la VM mostraba
PendingIPAllocationsi no se podía programar la VM. Después de la corrección, el estado de la VM muestraErrorUnscheduable. - Se corrigió el problema por el que se usaba un secreto de almacenamiento de objetos incorrecto en las operaciones de importación de imágenes de VM.
Copia de seguridad y restablecimiento:
- Es posible que se activen alertas para un repositorio de copias de seguridad incluso cuando el repositorio esté en buen estado.
Administración de clústeres:
- El trabajo
machine-initfalla durante el aprovisionamiento del clúster.
Servidores físicos:
- El progreso de la actualización del clúster de administrador raíz se detiene en la actualización del nodo, específicamente en
NodeBIOSFirmwareUpgradeCompleted.
Servicio de base de datos:
- Las cargas de trabajo del servicio de bases de datos operan dentro del clúster del sistema, lo que podría hacer que las cargas de trabajo de bases de datos compartan la infraestructura de procesamiento con otras instancias de bases de datos y varios sistemas del plano de control.
Harbor as a service (HAAS):
- Como HaaS es una función de versión preliminar de Google Distributed Cloud aislado 1.12.0, no se espera que funcione en entornos de producción.
El trabajo de preinstalación falla por diseño para evitar que los subcomponentes se reconcilien correctamente, lo que impide que los usuarios usen HaaS.
Se espera encontrar subcomponentes de HaaS en el estado de conciliación, lo que no afecta la funcionalidad de otros componentes.
Firewall:
- Durante la implementación del cliente, el nombre de usuario del administrador del archivo
secret.yamldebe seradminy, en cambio, contieneTO-BE-FILLEDdespués de la primera creación. Se debe usar el nombre de usuarioadminpara inicializar la primera configuración en el firewall.
Módulo de seguridad de hardware:
- Las licencias de prueba desactivadas aún se pueden detectar en CipherTrust Manager, lo que activa advertencias de vencimiento falsas.
-
Cuando se borra un KMS
CTMKey, es posible que el PA experimente comportamientos inesperados, incluido el hecho de que el servicio de KMS no se inicie para la organización. - Un secreto rotativo para módulos de seguridad de hardware se encuentra en un estado desconocido.
- Las rotaciones de la autoridad certificadora interna del HSM se bloquean y no se completan.
Registro:
- Después de habilitar la exportación de registros a un destino SIEM externo, los registros reenviados no contienen ningún registro del servidor de la API de Kubernetes.
Supervisión:
- Es posible que los certificados de Node Exporter no estén listos cuando se cree una organización.
- No se recopilan algunas métricas de los clústeres de usuarios. Este problema afecta a los clústeres de VM del usuario, pero no al clúster del sistema.
- La clase de almacenamiento de métricas se definió de forma incorrecta en la configuración.
-
El ConfigMap
mon-prober-backend-prometheus-configse restablece para no incluir trabajos de sondeo, y se activa la alertaMON-A0001.
Plataforma del nodo:
- La actualización del nodo falla debido a un archivo
lvm.confdesactualizado.
Servidores físicos:
- El progreso de la actualización del clúster de administrador raíz se detiene en la actualización del nodo, específicamente en
NodeBIOSFirmwareUpgradeCompleted.
- Cuando se instala un servidor de forma manual, es posible que la instalación se detenga.
Actualizar:
- No se pudo actualizar el nodo
NodeOSInPlaceUpgradeCompleted. - No se pudo ejecutar el comando
install add bootflash://..de cambio de actualización - Es posible que varios Pods de un clúster del sistema se queden atascados en el estado
TaintToleration.
Red superior:
- Un clúster de VM de usuario se detiene en el estado
ContainerCreatingcon la advertenciaFailedCreatePodSandBox.
Vertex AI:
-
El
MonitoringTargetmuestra un estadoNot Readycuando se crean clústeres de usuarios, lo que hace que las APIs previamente entrenadas muestren continuamente un estadoEnablingen la interfaz de usuario.
Copia de seguridad y restablecimiento de VMs:
- El control de acceso basado en roles (RBAC) y la configuración del esquema en el administrador de VM impiden que los usuarios inicien procesos de copia de seguridad y restauración de VM.
- La importación de la imagen de VM falla en el paso de traducción de la imagen debido a un tamaño de disco insuficiente y a un tiempo de espera agotado en la respuesta del proxy de almacenamiento de objetos.
SIEM:
- Los trabajos de preinstalación de OCLCM fallan repetidamente en la verificación de la puerta de funciones.
Rendimiento:
La versión 1.12.0 de Google Distributed Cloud aislado dejó de admitir la ejecución de comparativas
provision key.