16 febbraio 2024 [GDC 1.12.0]
- Google Distributed Cloud con air gap 1.12.0 è ora disponibile.
Consulta la panoramica del prodotto per scoprire le funzionalità di Google Distributed Cloud con air gap. - Google Distributed Cloud con air gap 1.12.0 supporta due sistemi operativi:
- Ubuntu 20231205
- Rocky Linux 20231208
È stata aggiornata la versione dell'immagine del sistema operativo Canonical Ubuntu alla versione 20231208 per applicare le patch di sicurezza più recenti e gli aggiornamenti importanti. Per usufruire delle correzioni di bug e vulnerabilità della sicurezza, devi eseguire l'upgrade di tutti i nodi a ogni release. Sono state corrette le seguenti vulnerabilità di sicurezza:
Sono state corrette le seguenti vulnerabilità di sicurezza delle immagini container:
- CVE-2020-24736
- CVE-2020-29509
- CVE-2020-29511
- CVE-2020-29652
- CVE-2021-29923
- CVE-2021-31525
- CVE-2021-33195
- CVE-2021-33196
- CVE-2021-33197
- CVE-2021-33198
- CVE-2021-34558
- CVE-2021-36221
- CVE-2021-38297
- CVE-2021-38561
- CVE-2021-39293
- CVE-2021-41771
- CVE-2021-41772
- CVE-2021-43565
- CVE-2021-44716
- CVE-2022-1705
- CVE-2022-1962
- CVE-2022-2879
- CVE-2022-2880
- CVE-2022-3063
- CVE-2022-21235
- CVE-2022-21698
- CVE-2022-23471
- CVE-2022-23524
- CVE-2022-23525
- CVE-2022-23526
- CVE-2022-23648
- CVE-2022-23772
- CVE-2022-23773
- CVE-2022-23806
- CVE-2022-24675
- CVE-2022-24921
- CVE-2022-27191
- CVE-2022-27664
- CVE-2022-28131
- CVE-2022-28327
- CVE-2022-29526
- CVE-2022-30580
- CVE-2022-30630
- CVE-2022-30631
- CVE-2022-30632
- CVE-2022-30633
- CVE-2022-30635
- CVE-2022-31030
- CVE-2022-32148
- CVE-2022-32149
- CVE-2022-32189
- CVE-2022-41715
- CVE-2022-41717
- CVE-2022-41721
- CVE-2022-41723
- CVE-2022-41724
- CVE-2022-41725
- CVE-2022-41912
- CVE-2022-48174
- CVE-2023-1667
- CVE-2023-2253
- CVE-2023-2283
- CVE-2023-2603
- CVE-2023-2975
- CVE-2023-3446
- CVE-2023-3817
- CVE-2023-3978
- CVE-2023-22036
- CVE-2023-22041
- CVE-2023-22049
- CVE-2023-24532
- CVE-2023-24534
- CVE-2023-24536
- CVE-2023-24537
- CVE-2023-24538
- CVE-2023-24539
- CVE-2023-24540
- CVE-2023-25153
- CVE-2023-25165
- CVE-2023-25173
- CVE-2023-25193
- CVE-2023-26604
- CVE-2023-27533
- CVE-2023-27535
- CVE-2023-27536
- CVE-2023-27538
- CVE-2023-28321
- CVE-2023-28484
- CVE-2023-28840
- CVE-2023-28841
- CVE-2023-28842
- CVE-2023-29400
- CVE-2023-29402
- CVE-2023-29403
- CVE-2023-29404
- CVE-2023-29405
- CVE-2023-29406
- CVE-2023-29409
- CVE-2023-29469
- CVE-2023-29491
- CVE-2023-36054
- CVE-2023-39318
- CVE-2023-39319
- CVE-2023-39323
- CVE-2023-39325
- CVE-2023-39326
- CVE-2023-39417
- CVE-2023-39533
- CVE-2023-45142
- CVE-2023-45285
- CVE-2023-45287
- CVE-2023-48795
- CVE-2023-49568
- CVE-2023-49569
- CVE-2023-51385
È stata aggiornata l'immagine di base gcr.io/distroless/base al digest sha256:eda29d6da91216123f1c1841b7c7a7abe1eece155cfe8d20d2a29e5daf9ad497 per applicare le patch di sicurezza più recenti e gli aggiornamenti importanti.
Gestione componenti aggiuntivi:
La versione di Google Distributed Cloud viene aggiornata alla versione 1.28.0-gke.435 per applicare le patch di sicurezza più recenti e gli aggiornamenti importanti.
Per maggiori dettagli, consulta le note di rilascio di Google Distributed Cloud 1.28.0-gke.435.
Crea e pacchettizza:
È stato eseguito l'upgrade della versione di Golang alla 1.20.
Google Distributed Cloud air-gapped 1.12.0 aggiunge ulteriori elenchi dei materiali software (SBOM) all'output e aggiorna la logica per garantire che questi SBOM vengano pubblicati in futuro.
Google Distributed Cloud con air gap 1.12.0 aggiunge file tar
gdch_notice_license_filesper caricare i manifest.
Gestione dell'inventario:
- Google Distributed Cloud air-gapped 1.12.0 aggiunge le convalide per gli elenchi di connessioni della versione hardware 3.0.
- Google Distributed Cloud air-gapped 1.12.0 aggiorna il pattern della porta di gestione del server della console per consentire LAN1A e LAN2A.
- Google Distributed Cloud air-gapped 1.12.0 aggiunge un messaggio per mitigare la confusione tra le modalità attiva e passiva di PA850.
- Google Distributed Cloud con air gap 1.12.0 supporta una cassetta di breakout nella convalida.
- Google Distributed Cloud air-gapped 1.12.0 aggiunge la convalida del firewall permanente alla connessione del firewall di gestione.
- Google Distributed Cloud air-gapped 1.12.0 aggiunge un prompt CIDR (Classless Inter-Domain Routing) OI al generatore del questionario di acquisizione dei clienti.
- Google Distributed Cloud air-gapped 1.12.0 migliora un messaggio di errore relativo all'assenza dell'indirizzo MAC per mitigare l'instabilità del controllo preliminare durante la convalida della connessione hsm e mgmtsw.
Organizzazione IT del centro operativo:
L'organizzazione IT del Centro operazioni ha i seguenti aggiornamenti del nome:
Operations Center (OC) è stato rinominato Operations Suite Facility (OIF).
OC Core è stato rinominato Operations Suite Infrastructure Core Rack (OIR).
Operations Center IT (OCIT) è stato rinominato Operations Suite Infrastructure (OI).
OCIT è stato rinominato in OI.
Per saperne di più, consulta la sezione Terminologia.
Google Distributed Cloud air-gapped 1.12.0 aggiorna lo script di configurazione Userlock per consentire l'utilizzo di un server di failover.
Google Distributed Cloud air-gapped 1.12.0 pre-crea gruppi di sicurezza dell'infrastruttura della suite operativa (OI) aggiuntivi per consentire l'accesso granulare ai sistemi OI.
Registro degli artefatti di sistema:
- Google Distributed Cloud con air gap 1.12.0 rimuove il flag breve
-f(--force) dagli asset CLI.
Aggiornamento della versione:
La versione dell'immagine basata su Debian è aggiornata a bookworm-v1.0.0-gke.3.
Gestore certificati:
- È stata introdotta la configurazione delle dimensioni della chiave in un certificato web-tls per le organizzazioni.
Database Service:
- Supporto per il recupero point-in-time (PITR) per i suoi database Oracle.
- Supporto della migrazione avanzata di Postgres per eseguire la migrazione dei database on-premise ai database gestiti dal servizio di database GDC.
Logging:
- È stata aggiunta l'API gRPC per le query sui log per eseguire query a livello di programmazione sui log operativi e di controllo dagli endpoint API.
- È stata inclusa la possibilità di esportare i log PA in un sistema SIEM esterno.
Marketplace:
- MongoDB Enterprise Advanced (BYOL) è ora disponibile su Google Distributed Cloud con air gap Marketplace 1.12.0.
Si tratta di una raccolta di prodotti e servizi che migliorano la sicurezza e l'efficienza e ti consentono di controllare i tuoi database MongoDB.
Archiviazione di oggetti:
- È stata aggiunta una nuova immagine necessaria per ospitare i file di upgrade nel software di archiviazione degli oggetti.
- È stata aggiunta un'etichetta della versione di crittografia ai webhook del bucket.
- È stato aggiunto un riconciliatore per la rotazione delle credenziali degli oggetti.
Servizi principali dell'infrastruttura di Operations Suite (OIC)
- Google Distributed Cloud con air gap 1.12.0 raccoglie i log OIC in Grafana.
- Google Distributed Cloud air-gapped 1.12.0 sposta lo script
Copy-BareMetalFiles.ps1dalla documentazione di installazione agli script inprivate-cloud/operations/dsc/.
- Un certificato TLS web per un cluster di amministrazione radice viene emesso dall'infrastruttura a chiave pubblica interna isolata da internet di Google Distributed Cloud.
Conformità alla sicurezza:
- Google Distributed Cloud air-gapped 1.12.0 introduce la sicurezza delle porte necessaria per superare una valutazione di sicurezza.
Sistema di gestione dei ticket
- Sono stati aggiornati i job pianificati in ServiceNow per scaglionare la loro esecuzione ed evitare picchi nel database.
- L'operatore dell'infrastruttura riceve un avviso quando un incidente di meta-monitoraggio in ServiceNow è obsoleto.
Esegui l'upgrade
- È stata aggiunta la dashboard Stato upgrade per gli operatori dell'infrastruttura e gli amministratori della piattaforma.
- È stato aggiunto un comando per attivare l'upgrade del cluster utente.
Vertex AI:
- È stata aggiunta l'anteprima delle previsioni online per gestire le richieste utilizzando i tuoi modelli di previsione su un insieme di container supportati.
- È stata aggiunta l'anteprima di Documenti Translate per tradurre direttamente i documenti PDF formattati e conservare la formattazione e il layout originali nelle traduzioni.
- Supporto incluso per il backup e il ripristino dei dati dei blocchi note nella home directory delle istanze JupyterLab di Vertex AI Workbench.
Gestione delle macchine virtuali
- Aggiunto supporto del sistema operativo Windows per le macchine virtuali per creare, importare e connettersi a una VM Windows.
Fatturazione:
- Risolto il problema per cui il job
onetimeusagenon riusciva sempre ad aggiornare le etichette dell'oggettoonetimeusage, causando avvisi di errore.
- È stato risolto il problema a causa del quale il costo aggregato di una risorsa personalizzata (CR) veniva duplicato quando il job veniva riavviato dopo la scrittura del costo della CR nel database, prima che l'etichetta venisse aggiornata a elaborata.
Modulo di sicurezza hardware:
- È stato risolto il problema che causava il passaggio frequente del modulo di sicurezza hardware tra gli stati
ServicesNotStartedeready.
Identità ibrida:
- È stato risolto il problema relativo alla configurazione di rete nei pod di identità.
Gestione dell'inventario:
- È stato risolto il problema relativo all'analisi delle licenze che non analizzava i file di archiviazione degli oggetti il cui testo JSON della licenza si estendeva su più righe.
- Risolto il problema con l'espressione regolare di convalida di CellCfg CableType dell'hardware 3.0.
- È stato risolto il problema relativo all'inclusione del nodo bootstrapper nella convalida hardware.
- È stato risolto il problema relativo al nodo del cluster di amministrazione principale con
SecureBootEnabledisattivato dopo il bootstrap del server.
Servizi principali dell'infrastruttura di Operations Suite (OIC)
- È stato risolto il problema per cui
Initialize-BareMetalHost.ps1non rileva che è necessario un riavvio. - È stato risolto il problema relativo a una CA radice aziendale che non emette un file di richiesta da inviare per una CA radice offline.
- È stato risolto il problema per cui il processo di creazione della VM OIC lasciava abilitata la sincronizzazione dell'ora di Hyper-V.
Sistema di gestione dei ticket
- È stato risolto il problema di controllo di MariaDB.
Esegui l'upgrade
- È stato risolto il problema relativo agli avvisi di Identity and Access Management (IAM) aggiungendo i controlli di upgrade post-volo di IAM.
Gestione delle macchine virtuali
-
È stato risolto il problema relativo allo stato della VM che in precedenza mostrava
PendingIPAllocationse la VM non poteva essere pianificata. Dopo la correzione, lo stato della VM mostraErrorUnscheduable. - È stato risolto il problema relativo all'utilizzo del secret di archiviazione oggetti errato nelle operazioni di importazione delle immagini VM.
Backup e ripristino:
- Gli avvisi per un repository di backup potrebbero essere attivati anche quando il repository è integro.
Gestione dei cluster:
- Il job
machine-initnon riesce durante il provisioning del cluster.
Server fisici:
- L'avanzamento dell'aggiornamento del cluster di amministrazione principale è bloccato all'upgrade dei nodi, in particolare
NodeBIOSFirmwareUpgradeCompleted.
Database Service:
- I carichi di lavoro del servizio di database operano all'interno del cluster di sistema, il che potrebbe comportare la condivisione dell'infrastruttura di calcolo con altre istanze di database e vari sistemi del control plane.
Harbor as a service (HAAS):
- Essendo una funzionalità di anteprima di Google Distributed Cloud con air gap 1.12.0, HaaS non dovrebbe funzionare negli ambienti di produzione.
Il job di preinstallazione non va a buon fine per impedire la riconciliazione corretta dei sottocomponenti, il che impedisce agli utenti di utilizzare HaaS.
È previsto che i sottocomponenti HaaS si trovino nello stato di riconciliazione, il che non influisce sulla funzionalità degli altri componenti.
Firewall:
- Durante l'implementazione del cliente, il nome utente dell'amministratore del file
secret.yamldeve essereadmin, mentre dopo la prima creazione contieneTO-BE-FILLED. Il nome utenteadmindeve essere utilizzato per inizializzare la prima configurazione sul firewall.
Modulo di sicurezza hardware:
- Le licenze di prova disattivate sono ancora rilevabili in CipherTrust Manager, attivando avvisi di scadenza errati.
-
Quando elimina un KMS
CTMKey, il PA potrebbe riscontrare comportamenti imprevisti, incluso il mancato avvio del servizio KMS per l'organizzazione. - Un segreto ruotabile per i moduli di sicurezza hardware si trova in uno stato sconosciuto.
- Le rotazioni dell'autorità di certificazione interna HSM si bloccano e non vengono completate.
Logging:
- Dopo aver attivato l'esportazione dei log in una destinazione SIEM esterna, i log inoltrati non contengono log del server API Kubernetes.
Monitoraggio:
- I certificati Node Exporter potrebbero non essere pronti durante la creazione di un'organizzazione.
- Alcune metriche dei cluster di utenti non vengono raccolte. Questo problema riguarda i cluster VM utente, ma non il cluster di sistema.
- La classe di archiviazione delle metriche è definita in modo errato nella configurazione.
-
L'oggetto ConfigMap
mon-prober-backend-prometheus-configviene reimpostato in modo da non includere job di probe e viene attivato l'avvisoMON-A0001.
Piattaforma del nodo:
- L'upgrade del nodo non riesce a causa di un file
lvm.confobsoleto.
Server fisici:
- L'avanzamento dell'aggiornamento del cluster di amministrazione principale è bloccato all'upgrade dei nodi, in particolare
NodeBIOSFirmwareUpgradeCompleted.
- Quando installi un server manualmente, l'installazione potrebbe bloccarsi.
Esegui l'upgrade:
- L'upgrade del nodo non riesce per
NodeOSInPlaceUpgradeCompleted. - L'upgrade dello switch non riesce a eseguire il comando
install add bootflash://.. - Diversi pod in un cluster di sistema potrebbero bloccarsi nello stato
TaintToleration.
Networking superiore:
- Un cluster di VM utente si blocca nello stato
ContainerCreatingcon l'avvisoFailedCreatePodSandBox.
Vertex AI:
-
MonitoringTargetmostra lo statoNot Readydurante la creazione dei cluster di utenti, il che fa sì che le API preaddestrate mostrino continuamente lo statoEnablingnell'interfaccia utente.
Backup e ripristino delle VM:
- Controllo dell'accesso basato sui ruoli (RBAC) e le impostazioni dello schema in VM Manager impediscono agli utenti di avviare i processi di backup e ripristino delle VM.
- L'importazione dell'immagine VM non riesce nella fase di conversione dell'immagine a causa di dimensioni del disco insufficienti e timeout nella risposta del proxy di archiviazione degli oggetti.
SIEM:
- I job di preinstallazione OCLCM non riescono ripetutamente a superare il controllo del feature gate.
Prestazioni:
Google Distributed Cloud con air gap 1.12.0 ritira la possibilità di eseguire benchmark
provision key.