16 février 2024 [GDC 1.12.0]
- Google Distributed Cloud sous air gap 1.12.0 est désormais disponible.
Consultez la présentation du produit pour en savoir plus sur les fonctionnalités de Google Distributed Cloud sous air gap. - Google Distributed Cloud sous air gap 1.12.0 est compatible avec deux systèmes d'exploitation :
- Ubuntu 20231205
- Rocky Linux 20231208
Mise à jour de la version de l'image de l'OS Canonical Ubuntu vers la version 20231208 pour appliquer les derniers correctifs de sécurité et les mises à jour importantes. Pour bénéficier des corrections de bugs et de failles de sécurité, vous devez mettre à niveau tous les nœuds à chaque version. Les failles de sécurité suivantes ont été corrigées :
Les failles de sécurité suivantes concernant les images de conteneurs ont été corrigées :
- CVE-2020-24736
- CVE-2020-29509
- CVE-2020-29511
- CVE-2020-29652
- CVE-2021-29923
- CVE-2021-31525
- CVE-2021-33195
- CVE-2021-33196
- CVE-2021-33197
- CVE-2021-33198
- CVE-2021-34558
- CVE-2021-36221
- CVE-2021-38297
- CVE-2021-38561
- CVE-2021-39293
- CVE-2021-41771
- CVE-2021-41772
- CVE-2021-43565
- CVE-2021-44716
- CVE-2022-1705
- CVE-2022-1962
- CVE-2022-2879
- CVE-2022-2880
- CVE-2022-3063
- CVE-2022-21235
- CVE-2022-21698
- CVE-2022-23471
- CVE-2022-23524
- CVE-2022-23525
- CVE-2022-23526
- CVE-2022-23648
- CVE-2022-23772
- CVE-2022-23773
- CVE-2022-23806
- CVE-2022-24675
- CVE-2022-24921
- CVE-2022-27191
- CVE-2022-27664
- CVE-2022-28131
- CVE-2022-28327
- CVE-2022-29526
- CVE-2022-30580
- CVE-2022-30630
- CVE-2022-30631
- CVE-2022-30632
- CVE-2022-30633
- CVE-2022-30635
- CVE-2022-31030
- CVE-2022-32148
- CVE-2022-32149
- CVE-2022-32189
- CVE-2022-41715
- CVE-2022-41717
- CVE-2022-41721
- CVE-2022-41723
- CVE-2022-41724
- CVE-2022-41725
- CVE-2022-41912
- CVE-2022-48174
- CVE-2023-1667
- CVE-2023-2253
- CVE-2023-2283
- CVE-2023-2603
- CVE-2023-2975
- CVE-2023-3446
- CVE-2023-3817
- CVE-2023-3978
- CVE-2023-22036
- CVE-2023-22041
- CVE-2023-22049
- CVE-2023-24532
- CVE-2023-24534
- CVE-2023-24536
- CVE-2023-24537
- CVE-2023-24538
- CVE-2023-24539
- CVE-2023-24540
- CVE-2023-25153
- CVE-2023-25165
- CVE-2023-25173
- CVE-2023-25193
- CVE-2023-26604
- CVE-2023-27533
- CVE-2023-27535
- CVE-2023-27536
- CVE-2023-27538
- CVE-2023-28321
- CVE-2023-28484
- CVE-2023-28840
- CVE-2023-28841
- CVE-2023-28842
- CVE-2023-29400
- CVE-2023-29402
- CVE-2023-29403
- CVE-2023-29404
- CVE-2023-29405
- CVE-2023-29406
- CVE-2023-29409
- CVE-2023-29469
- CVE-2023-29491
- CVE-2023-36054
- CVE-2023-39318
- CVE-2023-39319
- CVE-2023-39323
- CVE-2023-39325
- CVE-2023-39326
- CVE-2023-39417
- CVE-2023-39533
- CVE-2023-45142
- CVE-2023-45285
- CVE-2023-45287
- CVE-2023-48795
- CVE-2023-49568
- CVE-2023-49569
- CVE-2023-51385
Mise à jour de l'image de base gcr.io/distroless/base vers le condensé sha256:eda29d6da91216123f1c1841b7c7a7abe1eece155cfe8d20d2a29e5daf9ad497 pour appliquer les derniers correctifs de sécurité et les mises à jour importantes.
Gestionnaire de modules complémentaires :
La version de Google Distributed Cloud est mise à jour vers la version 1.28.0-gke.435 pour appliquer les derniers correctifs de sécurité et les mises à jour importantes.
Pour en savoir plus, consultez les notes de version de Google Distributed Cloud 1.28.0-gke.435.
Compiler et empaqueter :
La version de Golang est mise à niveau vers la version 1.20.
Google Distributed Cloud air-gapped 1.12.0 ajoute des Software Bills Of Materials (SBOM) à la sortie et met à jour la logique pour s'assurer que ces SBOM seront publiés à l'avenir.
Google Distributed Cloud air-gapped 1.12.0 ajoute des fichiers tar
gdch_notice_license_filespour importer des manifestes.
Gestion de l'inventaire :
- Google Distributed Cloud air-gapped 1.12.0 ajoute des validations pour les fiches de connexion de la version 3.0 du matériel.
- Google Distributed Cloud air-gapped 1.12.0 met à jour le modèle de port de gestion du serveur de la console pour autoriser LAN1A et LAN2A.
- Google Distributed Cloud air-gapped 1.12.0 ajoute un message pour éviter toute confusion entre les modes actif et passif de PA850.
- Google Distributed Cloud sous air gap 1.12.0 est compatible avec un cassette de sortie lors de la validation.
- Google Distributed Cloud air-gapped 1.12.0 ajoute la validation de la connexion permanente entre le pare-feu et le pare-feu de gestion.
- Google Distributed Cloud air-gapped 1.12.0 ajoute une invite CIDR (Classless Inter-Domain Routing) OI au générateur de questionnaire d'intégration des clients.
- Google Distributed Cloud air-gapped 1.12.0 améliore un message d'erreur en cas d'échec de l'adresse MAC manquante afin d'atténuer l'instabilité de la vérification préliminaire lors de la validation de la connexion HSM et mgmtsw.
Organisation informatique du centre des opérations :
L'organisation informatique du centre d'opérations a été renommée :
Le centre d'opérations (OC) a été renommé "Operations Suite Facility" (OIF).
OC Core a été renommé Operations Suite Infrastructure Core Rack (OIR).
Le nom "Operations Center IT" (OCIT) a été remplacé par "Operations Suite Infrastructure" (OI).
OCIT a été renommé OI.
Pour en savoir plus, consultez la section Terminologie.
Google Distributed Cloud air-gapped 1.12.0 met à jour le script de configuration Userlock pour permettre l'utilisation d'un serveur de basculement.
Google Distributed Cloud air-gapped 1.12.0 précrée des groupes de sécurité supplémentaires pour l'infrastructure Operations Suite (OI) afin de permettre un accès précis aux systèmes OI.
Registre d'artefacts système :
- Google Distributed Cloud sous air gap 1.12.0 supprime l'option courte
-f(--force) des composants CLI.
Mise à jour de la version :
La version de l'image basée sur Debian est mise à jour vers bookworm-v1.0.0-gke.3.
Gestionnaire de certificats :
- Configuration de la taille de la clé dans un certificat web-tls pour les organisations.
Service de base de données :
- La récupération à un moment précis pour les bases de données Oracle.
- Prise en charge de la migration avancée de Postgres pour migrer les bases de données sur site vers des bases de données gérées par le service de base de données GDC.
Journalisation :
- Ajout de l'API gRPC Log Query pour interroger par programmation les journaux opérationnels et d'audit à partir des points de terminaison de l'API.
- Ajout de la possibilité d'exporter les journaux PA vers un système SIEM externe.
Marketplace :
- MongoDB Enterprise Advanced (BYOL) est désormais disponible sur Google Distributed Cloud air-gapped Marketplace 1.12.0.
Il s'agit d'une collection de produits et services qui améliorent la sécurité et l'efficacité, et vous permettent de contrôler vos bases de données MongoDB.
Stockage d'objets :
- Ajout d'une nouvelle image requise pour héberger les fichiers de mise à niveau dans le logiciel de stockage d'objets.
- Ajout d'un libellé de version de chiffrement aux webhooks de bucket.
- Ajout d'un reconciler pour la rotation des identifiants d'objet.
Services principaux de l'infrastructure Operations Suite (OIC)
- Google Distributed Cloud sous air gap 1.12.0 collecte les journaux OIC dans Grafana.
- Google Distributed Cloud sous air gap 1.12.0 déplace le script
Copy-BareMetalFiles.ps1de la documentation d'installation vers les scripts dansprivate-cloud/operations/dsc/.
- Un certificat TLS Web pour un cluster d'administrateur racine est émis par l'infrastructure à clé publique interne Google Distributed Cloud air-gapped.
Conformité en matière de sécurité :
- Google Distributed Cloud air-gapped 1.12.0 introduit la sécurité des ports requise pour réussir une évaluation de sécurité.
Système de gestion des demandes
- Mise à jour des tâches planifiées dans ServiceNow pour échelonner leur exécution et éviter les pics de base de données.
- L'opérateur d'infrastructure reçoit une alerte lorsqu'un incident de métasurveillance dans ServiceNow est obsolète.
Changer de formule
- Ajout du tableau de bord État de la mise à niveau pour les opérateurs d'infrastructure et les administrateurs de plate-forme.
- Ajout d'une commande pour déclencher la mise à niveau du cluster d'utilisateur.
Vertex AI :
- Ajout d'un aperçu des prédictions en ligne pour répondre aux requêtes à l'aide de vos propres modèles de prédiction sur un ensemble de conteneurs compatibles.
- Ajout de l'aperçu Document Translate pour traduire directement des documents PDF mis en forme et conserver la mise en forme et la mise en page d'origine dans les traductions.
- Prise en charge incluse de la sauvegarde et de la restauration des données de notebook dans le répertoire personnel des instances JupyterLab Vertex AI Workbench.
Gestion des machines virtuelles
- Ajout de la compatibilité avec l'OS Windows pour les machines virtuelles afin de créer, d'importer et de se connecter à une VM Windows.
Facturation :
- Correction du problème lié à l'échec systématique de la tâche
onetimeusagelors de la mise à jour des libellés sur l'objetonetimeusage, ce qui entraînait des alertes d'échec.
- Correction du problème qui entraînait la duplication du coût agrégé d'une ressource personnalisée (CR) lorsque le job redémarrait après l'écriture du coût de la CR dans la base de données, avant que l'état de l'étiquette ne passe à "Traité".
Module de sécurité matériel :
- Correction du problème qui entraînait le basculement fréquent du module de sécurité matériel entre les états
ServicesNotStartedetready.
Identité hybride :
- Correction du problème de configuration réseau dans les pods d'identité.
Gestion de l'inventaire :
- Correction du problème lié à l'analyseur de licence qui n'analysait pas les fichiers de stockage d'objets dont le texte JSON de la licence s'étendait sur plusieurs lignes.
- Correction du problème lié à l'expression régulière de validation de CellCfg CableType pour le matériel 3.0.
- Correction du problème lié à l'inclusion du nœud de programme d'amorçage dans la validation du matériel.
- Correction du problème lié au nœud du cluster d'administrateur racine dont
SecureBootEnableétait désactivé après l'amorçage du serveur.
Services principaux de l'infrastructure Operations Suite (OIC)
- Correction du problème qui empêchait
Initialize-BareMetalHost.ps1de détecter qu'un redémarrage était nécessaire. - Correction du problème lié à une autorité de certification racine d'entreprise et à l'absence d'émission d'un fichier de demande à envoyer pour une autorité de certification racine hors connexion.
- Correction du problème qui laissait la synchronisation de l'heure Hyper-V activée lors du processus de création de la VM OIC.
Système de gestion des demandes
- Correction d'un problème lié à MariaDB Audit.
Changer de formule
- Correction du problème lié aux alertes Identity and Access Management (IAM) en ajoutant des vérifications post-migration IAM.
Gestion des machines virtuelles
-
Correction du problème lié à l'état de la VM qui affichait auparavant
PendingIPAllocationsi la VM ne pouvait pas être planifiée. Une fois le problème résolu, l'état de la VM afficheErrorUnscheduable. - Correction du problème lié à l'utilisation d'un code secret de stockage d'objets incorrect dans les opérations d'importation d'images de VM.
Sauvegarde et restauration :
- Des alertes peuvent se déclencher pour un dépôt de sauvegarde même s'il est en bon état.
Gestion des clusters :
- Le job
machine-initéchoue lors du provisionnement du cluster.
Serveurs physiques :
- La progression de la mise à jour du cluster d'administrateur racine est bloquée au niveau de la mise à niveau des nœuds, plus précisément
NodeBIOSFirmwareUpgradeCompleted.
Service de base de données :
- Les charges de travail du service de base de données s'exécutent dans le cluster système, ce qui peut entraîner le partage de l'infrastructure de calcul par les charges de travail de base de données avec d'autres instances de base de données et divers systèmes de plan de contrôle.
Harbor as a service (HAAS) :
- HaaS étant une fonctionnalité en preview de Google Distributed Cloud sous air gap 1.12.0, elle n'est pas censée fonctionner dans les environnements de production.
Le job de préinstallation échoue intentionnellement pour empêcher la réconciliation correcte des sous-composants, ce qui empêche les utilisateurs d'utiliser HaaS.
Il est normal de trouver des sous-composants HaaS à l'état "Réconciliation", ce qui n'a pas d'incidence sur la fonctionnalité des autres composants.
Pare-feu :
- Lors du déploiement client, le nom d'utilisateur de l'administrateur du fichier
secret.yamldoit êtreadmin. Or, il contientTO-BE-FILLEDaprès la première création. Le nom d'utilisateuradmindoit être utilisé pour initialiser la première configuration sur le pare-feu.
Module de sécurité matériel :
- Les licences d'essai désactivées sont toujours détectables dans CipherTrust Manager, ce qui déclenche de faux avertissements d'expiration.
-
Lors de la suppression d'un
CTMKeyKMS, l'administrateur principal peut rencontrer des comportements inattendus, y compris le non-démarrage du service KMS pour l'organisation. - Un secret rotatif pour les modules de sécurité matériels est dans un état inconnu.
- Les rotations de l'autorité de certification interne du HSM sont bloquées et ne se terminent pas.
Journalisation :
- Après avoir activé l'exportation des journaux vers une destination SIEM externe, les journaux transférés ne contiennent aucun journal du serveur d'API Kubernetes.
Surveillance :
- Il est possible que les certificats Node Exporter ne soient pas prêts lors de la création d'une organisation.
- Certaines métriques des clusters d'utilisateurs ne sont pas collectées. Ce problème affecte les clusters de VM utilisateur, mais pas le cluster système.
- La classe de stockage des métriques est définie de manière incorrecte dans la configuration.
-
Le ConfigMap
mon-prober-backend-prometheus-configest réinitialisé pour n'inclure aucune tâche de sonde, et l'alerteMON-A0001est déclenchée.
Plate-forme du nœud :
- La mise à niveau du nœud échoue en raison d'un fichier
lvm.confobsolète.
Serveurs physiques :
- La progression de la mise à jour du cluster d'administrateur racine est bloquée au niveau de la mise à niveau des nœuds, plus précisément
NodeBIOSFirmwareUpgradeCompleted.
- Lors de l'installation manuelle d'un serveur, il est possible que l'installation reste bloquée.
Mettre à niveau :
- Échec de la mise à niveau du nœud pour
NodeOSInPlaceUpgradeCompleted. - Échec de l'exécution de la commande
install add bootflash://..lors du changement de mise à niveau - Plusieurs pods d'un cluster système peuvent rester bloqués dans l'état
TaintToleration.
Mise en réseau supérieure :
- Un cluster de VM utilisateur est bloqué à l'état
ContainerCreatingavec l'avertissementFailedCreatePodSandBox.
Vertex AI :
-
L'
MonitoringTargetaffiche l'étatNot Readylorsque des clusters d'utilisateur sont en cours de création, ce qui entraîne l'affichage continu de l'étatEnablingdans l'interface utilisateur pour les API pré-entraînées.
Sauvegarde et restauration de VM :
- Contrôle des accès basé sur les rôles (RBAC) et les paramètres de schéma dans le gestionnaire de VM empêchent les utilisateurs de démarrer les processus de sauvegarde et de restauration des VM.
- L'importation d'image de VM échoue lors de l'étape de traduction de l'image en raison d'une taille de disque insuffisante et d'un délai d'attente dépassé pour la réponse du proxy de stockage d'objets.
SIEM :
- Les tâches de préinstallation OCLCM échouent à plusieurs reprises lors de la vérification de la fonctionnalité.
Performances :
Google Distributed Cloud sous air gap 1.12.0 supprime la possibilité d'exécuter des benchmarks
provision key.