2024 年 2 月 16 日 [GDC 1.12.0]
- Google Distributed Cloud エアギャップ 1.12.0 がリリースされました。
Google Distributed Cloud エアギャップの機能については、プロダクトの概要をご覧ください。 - Google Distributed Cloud エアギャップ 1.12.0 は、次の 2 つのオペレーティング システムをサポートしています。
- Ubuntu 20231205
- Rocky Linux 20231208
最新のセキュリティ パッチと重要なアップデートを適用するため、Canonical Ubuntu OS イメージのバージョンを 20231208 に更新しました。バグとセキュリティの脆弱性の修正を利用するには、各リリースで全ノードをアップグレードする必要があります。以下のセキュリティの脆弱性が修正されました。
次のコンテナ イメージのセキュリティの脆弱性が修正されました。
- CVE-2020-24736
- CVE-2020-29509
- CVE-2020-29511
- CVE-2020-29652
- CVE-2021-29923
- CVE-2021-31525
- CVE-2021-33195
- CVE-2021-33196
- CVE-2021-33197
- CVE-2021-33198
- CVE-2021-34558
- CVE-2021-36221
- CVE-2021-38297
- CVE-2021-38561
- CVE-2021-39293
- CVE-2021-41771
- CVE-2021-41772
- CVE-2021-43565
- CVE-2021-44716
- CVE-2022-1705
- CVE-2022-1962
- CVE-2022-2879
- CVE-2022-2880
- CVE-2022-3063
- CVE-2022-21235
- CVE-2022-21698
- CVE-2022-23471
- CVE-2022-23524
- CVE-2022-23525
- CVE-2022-23526
- CVE-2022-23648
- CVE-2022-23772
- CVE-2022-23773
- CVE-2022-23806
- CVE-2022-24675
- CVE-2022-24921
- CVE-2022-27191
- CVE-2022-27664
- CVE-2022-28131
- CVE-2022-28327
- CVE-2022-29526
- CVE-2022-30580
- CVE-2022-30630
- CVE-2022-30631
- CVE-2022-30632
- CVE-2022-30633
- CVE-2022-30635
- CVE-2022-31030
- CVE-2022-32148
- CVE-2022-32149
- CVE-2022-32189
- CVE-2022-41715
- CVE-2022-41717
- CVE-2022-41721
- CVE-2022-41723
- CVE-2022-41724
- CVE-2022-41725
- CVE-2022-41912
- CVE-2022-48174
- CVE-2023-1667
- CVE-2023-2253
- CVE-2023-2283
- CVE-2023-2603
- CVE-2023-2975
- CVE-2023-3446
- CVE-2023-3817
- CVE-2023-3978
- CVE-2023-22036
- CVE-2023-22041
- CVE-2023-22049
- CVE-2023-24532
- CVE-2023-24534
- CVE-2023-24536
- CVE-2023-24537
- CVE-2023-24538
- CVE-2023-24539
- CVE-2023-24540
- CVE-2023-25153
- CVE-2023-25165
- CVE-2023-25173
- CVE-2023-25193
- CVE-2023-26604
- CVE-2023-27533
- CVE-2023-27535
- CVE-2023-27536
- CVE-2023-27538
- CVE-2023-28321
- CVE-2023-28484
- CVE-2023-28840
- CVE-2023-28841
- CVE-2023-28842
- CVE-2023-29400
- CVE-2023-29402
- CVE-2023-29403
- CVE-2023-29404
- CVE-2023-29405
- CVE-2023-29406
- CVE-2023-29409
- CVE-2023-29469
- CVE-2023-29491
- CVE-2023-36054
- CVE-2023-39318
- CVE-2023-39319
- CVE-2023-39323
- CVE-2023-39325
- CVE-2023-39326
- CVE-2023-39417
- CVE-2023-39533
- CVE-2023-45142
- CVE-2023-45285
- CVE-2023-45287
- CVE-2023-48795
- CVE-2023-49568
- CVE-2023-49569
- CVE-2023-51385
gcr.io/distroless/base ベースイメージをダイジェスト sha256:eda29d6da91216123f1c1841b7c7a7abe1eece155cfe8d20d2a29e5daf9ad497 に更新し、最新のセキュリティ パッチと重要な更新を適用しました。
アドオン マネージャー:
Google Distributed Cloud のバージョンが 1.28.0-gke.435 に更新され、最新のセキュリティ パッチと重要なアップデートが適用されます。
詳細については、Google Distributed Cloud 1.28.0-gke.435 リリースノートをご覧ください。
ビルドとパッケージ:
Golang のバージョンが 1.20 にアップグレードされました。
Google Distributed Cloud air-gapped 1.12.0 では、出力にソフトウェア部品構成表(SBOM)が追加され、そのような SBOM が今後公開されるようにロジックが更新されています。
Google Distributed Cloud air-gapped 1.12.0 では、マニフェストをアップロードするために
gdch_notice_license_filestar ファイルが追加されています。
広告枠管理:
- Google Distributed Cloud air-gapped 1.12.0 では、ハードウェア バージョン 3.0 の接続リストの検証が追加されています。
- Google Distributed Cloud エアギャップ 1.12.0 では、コンソール サーバーの管理ポート パターンが更新され、LAN1A と LAN2A が許可されるようになりました。
- Google Distributed Cloud air-gapped 1.12.0 では、PA850 のアクティブ モードとパッシブ モードの混乱を軽減するためのメッセージが追加されています。
- Google Distributed Cloud air-gapped 1.12.0 は、検証でブレイクアウト カセットをサポートしています。
- Google Distributed Cloud air-gapped 1.12.0 では、管理ファイアウォール接続への永続ファイアウォールの検証が追加されています。
- Google Distributed Cloud air-gapped 1.12.0 では、顧客インテーク アンケート ジェネレータに OI クラスレス ドメイン間ルーティング(CIDR)プロンプトが追加されています。
- Google Distributed Cloud air-gapped 1.12.0 では、hsm と mgmtsw の接続を検証する際のプリフライト チェックの不安定さを軽減するため、MAC アドレスが見つからないエラーに関するエラー メッセージが改善されました。
オペレーション センターの IT 組織:
Operations Center IT 組織の名前が次のように更新されました。
Operations Center(OC)は、Operations Suite Facility(OIF)に名称が変更されました。
OC Core は、Operations Suite Infrastructure Core Rack(OIR)に名称が変更されました。
Operations Center IT(OCIT)は、Operations Suite Infrastructure(OI)に名称が変更されました。
OCIT の名前が OI に変更されました。
詳細については、用語をご覧ください。
Google Distributed Cloud air-gapped 1.12.0 では、フェイルオーバー サーバーの使用を許可するように Userlock 構成スクリプトが更新されています。
Google Distributed Cloud air-gapped 1.12.0 では、追加の Operations Suite Infrastructure(OI)セキュリティ グループが事前に作成され、OI システム全体できめ細かいアクセスが可能になります。
システム アーティファクト レジストリ:
- Google Distributed Cloud エアギャップ 1.12.0 では、CLI アセットから
-f(--force)ショート フラグが削除されます。
バージョンを更新:
Debian ベースのイメージ バージョンが bookworm-v1.0.0-gke.3 に更新されます。
Certificate Manager:
- 組織のウェブ TLS 証明書の鍵サイズの構成を導入しました。
Database Service:
- Oracle データベースのポイントインタイム リカバリ(PITR)をサポートします。
- Postgres の高度な移行をサポートし、オンプレミス データベースを GDC データベース サービスで管理されるデータベースに移行します。
ロギング:
- ログクエリ gRPC API を追加して、API エンドポイントからオペレーション ログと監査ログをプログラムでクエリできるようにしました。
- PA ログを外部 SIEM システムにエクスポートする機能を追加しました。
Marketplace:
- MongoDB Enterprise Advanced(BYOL)が Google Distributed Cloud エアギャップ 1.12.0 Marketplace で利用可能になりました。
セキュリティと効率性を高め、MongoDB データベースを制御できるようにするプロダクトとサービスのコレクションです。
オブジェクト ストレージ:
- オブジェクト ストレージ ソフトウェアでアップグレード ファイルをホストするために必要な新しいイメージを追加しました。
- バケットの Webhook に暗号化バージョンのラベルを追加しました。
- オブジェクト認証情報のローテーション用の Reconciler を追加しました。
Operations Suite Infrastructure Core Services(OIC)
- Google Distributed Cloud エアギャップ 1.12.0 は、Grafana で OIC ログを収集します。
- Google Distributed Cloud air-gapped 1.12.0 では、
Copy-BareMetalFiles.ps1スクリプトがインストール ドキュメントからprivate-cloud/operations/dsc/のスクリプトに移動しました。
- ルート管理クラスタのウェブ TLS 証明書は、Google Distributed Cloud のエアギャップ内部公開鍵基盤によって発行されます。
セキュリティ コンプライアンス:
- Google Distributed Cloud エアギャップ 1.12.0 では、セキュリティ評価に合格するために必要なポート セキュリティが導入されています。
チケット発行システム
- ServiceNow でスケジュールされたジョブを更新し、実行時間をずらしてデータベースのスパイクを防ぎました。
- ServiceNow のメタ モニタリング インシデントが古くなると、インフラストラクチャ オペレーターにアラートが送信されます。
アップグレード
- インフラストラクチャ オペレーターとプラットフォーム管理者向けに、アップグレード ステータス ダッシュボードを追加しました。
- ユーザー クラスタのアップグレードをトリガーするコマンドを追加しました。
Vertex AI:
- サポートされているコンテナのセットで独自の予測モデルを使用してリクエストを処理するオンライン予測プレビューを追加しました。
- 書式設定された PDF ドキュメントを直接翻訳し、翻訳で元の書式とレイアウトを保持する Document Translate のプレビューを追加しました。
- Vertex AI Workbench JupyterLab インスタンスのホーム ディレクトリでのノートブック データのバックアップと復元のサポートが含まれています。
仮想マシン管理
- 仮想マシンの Windows OS のサポートを追加しました。これにより、Windows VM の作成、インポート、接続が可能になります。
請求:
-
onetimeusageオブジェクトのラベルを更新する際にonetimeusageジョブが常に失敗し、障害アラートが発生する問題を修正しました。
- ラベルが処理済みに更新される前に、CR の費用がデータベースに書き込まれた後でジョブが再起動すると、カスタム リソース(CR)の合計費用が重複する問題を修正しました。
ハードウェア セキュリティ モジュール:
- ハードウェア セキュリティ モジュールが
ServicesNotStarted状態とready状態の間で頻繁に切り替わる問題を修正しました。
ハイブリッド ID:
- ID Pod のネットワーク構成に関する問題を修正しました。
広告枠管理:
- ライセンス JSON テキストが複数行にわたるオブジェクト ストレージ ファイルをライセンス パーサーが解析しない問題を修正しました。
- ハードウェア 3.0 CellCfg CableType 検証の正規表現に関する問題を修正しました。
- ハードウェア検証にブートストラップ ノードが含まれる問題を修正しました。
- サーバーのブートストラップ後にルート管理クラスタノードの
SecureBootEnableがオフになる問題を修正しました。
Operations Suite Infrastructure Core Services(OIC)
Initialize-BareMetalHost.ps1が再起動が必要であることを検出しない問題を修正しました。- エンタープライズ CA ルートで、オフライン CA ルートの送信用の req ファイルが発行されない問題を修正しました。
- OIC VM の作成プロセスで Hyper-V の時刻同期が有効のままになる問題を修正しました。
チケット発行システム
- MariaDB Audit の問題を修正しました。
アップグレード
- IAM のアップグレード後のチェックを追加して、Identity and Access Management(IAM)アラートに関する問題を修正しました。
仮想マシン管理
-
VM をスケジュールできない場合に、VM のステータスが以前は
PendingIPAllocationと表示されていた問題を修正しました。修正後、VM のステータスはErrorUnscheduableと表示されます。 - VM イメージのインポート オペレーションで誤ったオブジェクト ストレージ シークレットが使用される問題を修正しました。
バックアップと復元:
- リポジトリが正常な状態でも、バックアップ リポジトリのアラートがトリガーされることがあります。
クラスタ管理:
- クラスタのプロビジョニング中に
machine-initジョブが失敗します。
物理サーバー:
- ルート管理クラスタの更新の進行状況がノードのアップグレード(特に
NodeBIOSFirmwareUpgradeCompleted)で止まっている。
Database Service:
- Database Service ワークロードはシステム クラスタ内で動作します。これにより、データベース ワークロードが他のデータベース インスタンスやさまざまなコントロール プレーン システムとコンピューティング インフラストラクチャを共有する可能性があります。
Harbor as a Service(HAAS):
- HaaS は Google Distributed Cloud エアギャップ 1.12.0 のプレビュー機能であるため、本番環境での動作は想定されていません。
設計上、プリインストール ジョブは失敗し、サブコンポーネントが適切に調整されないため、ユーザーは HaaS を使用できません。
HaaS サブコンポーネントが調整状態になっていることが想定されます。これは、他のコンポーネントの機能には影響しません。
ファイアウォール:
- お客様のデプロイでは、
secret.yamlファイルの管理者ユーザー名はadminである必要がありますが、初回作成後にTO-BE-FILLEDが含まれています。adminユーザー名を使用して、ファイアウォールに最初の構成を初期化する必要があります。
ハードウェア セキュリティ モジュール:
- 無効になったトライアル ライセンスは CipherTrust Manager で検出可能であり、誤った有効期限切れの警告がトリガーされます。
-
KMS
CTMKeyを削除すると、PA で予期しない動作が発生する可能性があります。たとえば、組織で KMS サービスが起動しないなどです。 - ハードウェア セキュリティ モジュールのローテーション可能なシークレットが不明な状態です。
- HSM 内部認証局のローテーションが停止し、完了しない。
ロギング:
- 外部 SIEM の宛先にログのエクスポートを有効にすると、転送されたログに Kubernetes API サーバーログが含まれません。
モニタリング:
- 組織の作成時に Node Exporter 証明書が準備できないことがあります。
- ユーザー クラスタの一部の指標が収集されません。この問題は、ユーザー VM クラスタに影響しますが、システム クラスタには影響しません。
- 構成で指標ストレージ クラスが正しく定義されていません。
-
mon-prober-backend-prometheus-configConfigMap がリセットされ、プローブジョブが含まれなくなり、アラートMON-A0001がトリガーされます。
ノード プラットフォーム:
lvm.confファイルが古いため、ノードのアップグレードが失敗します。
物理サーバー:
- ルート管理クラスタの更新の進行状況がノードのアップグレード(特に
NodeBIOSFirmwareUpgradeCompleted)で止まっている。
- サーバーを手動でインストールすると、サーバーのインストールが停止することがあります。
アップグレード:
NodeOSInPlaceUpgradeCompletedのノードのアップグレードが失敗します。- スイッチのアップグレードでコマンド
install add bootflash://..の実行に失敗する - システム クラスタ内の複数の Pod が
TaintToleration状態のままになることがあります。
上位ネットワーキング:
- ユーザー VM クラスタが
FailedCreatePodSandBox警告とともにContainerCreating状態のまま停止します。
Vertex AI:
-
MonitoringTargetは、ユーザー クラスタの作成時にNot Readyステータスを表示するため、事前トレーニング済みの API はユーザー インターフェースでEnabling状態を継続的に表示します。
VM バックアップと復元:
- VM マネージャーのロールベース アクセス制御(RBAC)とスキーマ設定により、ユーザーが VM のバックアップと復元プロセスを開始できません。
- ディスク容量の不足と obj ストレージ プロキシ レスポンスのタイムアウトにより、VM イメージのインポートがイメージ変換ステップで失敗します。
SIEM:
- OCLCM の事前インストール ジョブが、フィーチャー ゲートのチェックで繰り返し失敗します。
パフォーマンス:
Google Distributed Cloud エアギャップ 1.12.0 では、
provision keyベンチマークを実行する機能が非推奨になりました。