2024년 2월 16일 [GDC 1.12.0]
- 이제 에어 갭이 적용된 Google Distributed Cloud 1.12.0을 사용할 수 있습니다.
Google Distributed Cloud(에어 갭 적용형)의 기능에 대해 알아보려면 제품 개요를 참고하세요. - 에어 갭이 적용된 Google Distributed Cloud 1.12.0은 다음 두 가지 운영체제를 지원합니다.
- Ubuntu 20231205
- Rocky Linux 20231208
최신 보안 패치와 중요한 업데이트를 적용하기 위해 Canonical Ubuntu OS 이미지 버전을 20231208로 업데이트했습니다. 버그 및 보안 취약점 수정을 활용하려면 각 출시마다 모든 노드를 업그레이드해야 합니다. 다음 보안 취약점이 수정되었습니다.
다음 컨테이너 이미지 보안 취약점이 수정되었습니다.
- CVE-2020-24736
- CVE-2020-29509
- CVE-2020-29511
- CVE-2020-29652
- CVE-2021-29923
- CVE-2021-31525
- CVE-2021-33195
- CVE-2021-33196
- CVE-2021-33197
- CVE-2021-33198
- CVE-2021-34558
- CVE-2021-36221
- CVE-2021-38297
- CVE-2021-38561
- CVE-2021-39293
- CVE-2021-41771
- CVE-2021-41772
- CVE-2021-43565
- CVE-2021-44716
- CVE-2022-1705
- CVE-2022-1962
- CVE-2022-2879
- CVE-2022-2880
- CVE-2022-3063
- CVE-2022-21235
- CVE-2022-21698
- CVE-2022-23471
- CVE-2022-23524
- CVE-2022-23525
- CVE-2022-23526
- CVE-2022-23648
- CVE-2022-23772
- CVE-2022-23773
- CVE-2022-23806
- CVE-2022-24675
- CVE-2022-24921
- CVE-2022-27191
- CVE-2022-27664
- CVE-2022-28131
- CVE-2022-28327
- CVE-2022-29526
- CVE-2022-30580
- CVE-2022-30630
- CVE-2022-30631
- CVE-2022-30632
- CVE-2022-30633
- CVE-2022-30635
- CVE-2022-31030
- CVE-2022-32148
- CVE-2022-32149
- CVE-2022-32189
- CVE-2022-41715
- CVE-2022-41717
- CVE-2022-41721
- CVE-2022-41723
- CVE-2022-41724
- CVE-2022-41725
- CVE-2022-41912
- CVE-2022-48174
- CVE-2023-1667
- CVE-2023-2253
- CVE-2023-2283
- CVE-2023-2603
- CVE-2023-2975
- CVE-2023-3446
- CVE-2023-3817
- CVE-2023-3978
- CVE-2023-22036
- CVE-2023-22041
- CVE-2023-22049
- CVE-2023-24532
- CVE-2023-24534
- CVE-2023-24536
- CVE-2023-24537
- CVE-2023-24538
- CVE-2023-24539
- CVE-2023-24540
- CVE-2023-25153
- CVE-2023-25165
- CVE-2023-25173
- CVE-2023-25193
- CVE-2023-26604
- CVE-2023-27533
- CVE-2023-27535
- CVE-2023-27536
- CVE-2023-27538
- CVE-2023-28321
- CVE-2023-28484
- CVE-2023-28840
- CVE-2023-28841
- CVE-2023-28842
- CVE-2023-29400
- CVE-2023-29402
- CVE-2023-29403
- CVE-2023-29404
- CVE-2023-29405
- CVE-2023-29406
- CVE-2023-29409
- CVE-2023-29469
- CVE-2023-29491
- CVE-2023-36054
- CVE-2023-39318
- CVE-2023-39319
- CVE-2023-39323
- CVE-2023-39325
- CVE-2023-39326
- CVE-2023-39417
- CVE-2023-39533
- CVE-2023-45142
- CVE-2023-45285
- CVE-2023-45287
- CVE-2023-48795
- CVE-2023-49568
- CVE-2023-49569
- CVE-2023-51385
최신 보안 패치와 중요한 업데이트를 적용하기 위해 sha256:eda29d6da91216123f1c1841b7c7a7abe1eece155cfe8d20d2a29e5daf9ad497을 처리하도록 gcr.io/distroless/base 기본 이미지를 업데이트했습니다.
부가기능 관리자:
최신 보안 패치와 중요 업데이트를 적용하기 위해 Google Distributed Cloud 버전이 1.28.0-gke.435로 업데이트됩니다.
자세한 내용은 Google Distributed Cloud 1.28.0-gke.435 출시 노트를 참고하세요.
빌드 및 패키징:
Golang 버전이 1.20으로 업그레이드됩니다.
Google Distributed Cloud 에어 갭 1.12.0에서는 출력에 소프트웨어 재료명세서 (SBOM)를 추가하고 향후 이러한 SBOM이 게시되도록 로직을 업데이트합니다.
Google Distributed Cloud 에어 갭 1.12.0에서는 매니페스트를 업로드하기 위한
gdch_notice_license_filestar 파일을 추가합니다.
인벤토리 관리:
- Google Distributed Cloud 에어 갭 1.12.0에서는 하드웨어 버전 3.0 연결 목록에 대한 유효성 검사를 추가합니다.
- Google Distributed Cloud(에어 갭 적용형) 1.12.0에서는 LAN1A 및 LAN2A를 허용하도록 콘솔 서버 관리 포트 패턴을 업데이트합니다.
- Google Distributed Cloud 에어 갭 1.12.0에서는 PA850 활성 및 수동 모드의 혼동을 완화하기 위한 메시지를 추가합니다.
- Google Distributed Cloud 에어 갭 1.12.0은 검증 시 브레이크아웃 카세트를 지원합니다.
- Google Distributed Cloud 오프라인 1.12.0에서는 관리 방화벽 연결에 대한 영구 방화벽의 유효성 검사를 추가합니다.
- Google Distributed Cloud 에어 갭 1.12.0에는 고객 수집 설문지 생성기에 OI 클래스 없는 도메인 간 라우팅 (CIDR) 프롬프트가 추가되었습니다.
- Google Distributed Cloud 에어 갭 1.12.0에서는 hsm 및 mgmtsw 연결을 검증할 때 프리플라이트 검사 불안정성을 완화하기 위해 mac 주소 누락 실패에 관한 오류 메시지를 개선합니다.
운영 센터 IT 조직:
Operations Center IT 조직의 이름이 다음과 같이 업데이트되었습니다.
Operations Center (OC)의 이름이 Operations Suite Facility (OIF)로 변경되었습니다.
OC Core의 이름이 Operations Suite Infrastructure Core Rack (OIR)으로 변경되었습니다.
Operations Center IT (OCIT)의 이름이 Operations Suite Infrastructure (OI)로 변경되었습니다.
OCIT의 이름이 OI로 변경되었습니다.
자세한 내용은 용어를 참고하세요.
Google Distributed Cloud 에어 갭 1.12.0에서는 장애 조치 서버를 사용할 수 있도록 Userlock 구성 스크립트를 업데이트합니다.
Google Distributed Cloud(에어 갭 적용형) 1.12.0에서는 OI 시스템 전반에서 세부적인 액세스를 허용하기 위해 추가 작업 제품군 인프라(OI) 보안 그룹을 사전 생성합니다.
시스템 아티팩트 레지스트리:
- Google Distributed Cloud 에어 갭 1.12.0에서 CLI 애셋에서
-f(--force) 짧은 플래그가 삭제됩니다.
버전 업데이트:
Debian 기반 이미지 버전이 bookworm-v1.0.0-gke.3으로 업데이트됩니다.
인증서 관리자:
- 조직의 웹 TLS 인증서에서 키 크기 구성이 도입되었습니다.
데이터베이스 서비스:
- Oracle 데이터베이스의 특정 시점 복구 (PITR) 지원
- 온프레미스 데이터베이스를 GDC 데이터베이스 서비스에서 관리하는 데이터베이스로 마이그레이션하기 위한 Postgres 고급 마이그레이션 지원
로깅:
- API 엔드포인트에서 운영 및 감사 로그를 프로그래매틱 방식으로 쿼리할 수 있도록 로그 쿼리 gRPC API를 추가했습니다.
- 외부 SIEM 시스템으로 PA 로그를 내보내는 기능이 포함되었습니다.
마켓플레이스:
- 이제 Google Distributed Cloud(에어 갭 적용형) 1.12.0 Marketplace에서 MongoDB Enterprise Advanced(BYOL)를 사용할 수 있습니다.
보안과 효율성을 높이고 MongoDB 데이터베이스를 제어할 수 있도록 지원하는 제품 및 서비스 모음입니다.
객체 스토리지:
- 객체 스토리지 소프트웨어에서 업그레이드 파일을 호스팅하는 데 필요한 새 이미지가 추가되었습니다.
- 버킷 웹훅에 암호화 버전 라벨이 추가되었습니다.
- 객체 사용자 인증 정보 순환을 위한 리컨사일러가 추가되었습니다.
Operations Suite Infrastructure Core Services (OIC)
- 에어 갭이 적용된 Google Distributed Cloud 1.12.0은 Grafana에서 OIC 로그를 수집합니다.
- Google Distributed Cloud 에어 갭 1.12.0에서는
Copy-BareMetalFiles.ps1스크립트가 설치 문서에서private-cloud/operations/dsc/의 스크립트로 이동합니다.
- 루트 관리자 클러스터의 웹 TLS 인증서는 Google Distributed Cloud 에어 갭 내부 공개 키 인프라에서 발급합니다.
보안 규정 준수:
- Google Distributed Cloud(에어 갭 적용형) 1.12.0에는 보안 평가를 통과하는 데 필요한 포트 보안이 도입되었습니다.
티켓 시스템
- 데이터베이스 스파이크를 방지하기 위해 실행 시기를 분산하도록 ServiceNow의 예약 작업을 업데이트했습니다.
- ServiceNow의 메타 모니터링 인시던트가 오래되면 인프라 운영자에게 알림이 전송됩니다.
업그레이드
- 인프라 운영자 및 플랫폼 관리자를 위한 업그레이드 상태 대시보드가 추가되었습니다.
- 사용자 클러스터 업그레이드를 트리거하는 명령어가 추가되었습니다.
Vertex AI:
- 지원되는 컨테이너 집합에서 자체 예측 모델을 사용하여 요청을 처리하는 온라인 예측 미리보기가 추가되었습니다.
- 형식이 지정된 PDF 문서를 직접 번역하고 번역에서 원본 형식과 레이아웃을 유지할 수 있는 문서 번역 미리보기가 추가되었습니다.
- Vertex AI Workbench JupyterLab 인스턴스의 홈 디렉터리에서 노트북 데이터 백업 및 복원 지원이 포함되었습니다.
가상 머신 관리
- Windows VM을 만들고, 가져오고, 연결하기 위한 가상 머신의 Windows OS 지원이 추가되었습니다.
결제:
-
onetimeusage객체의 라벨을 업데이트할 때onetimeusage작업이 항상 실패하여 실패 알림이 발생하는 문제가 수정되었습니다.
- 라벨이 처리됨으로 업데이트되기 전에 CR 비용이 데이터베이스에 기록된 후 작업이 다시 시작될 때 맞춤 리소스 (CR)의 집계 비용이 중복되는 문제가 해결되었습니다.
하드웨어 보안 모듈:
- 하드웨어 보안 모듈이
ServicesNotStarted상태와ready상태 간에 자주 전환되는 문제를 수정했습니다.
하이브리드 ID:
- ID 포드의 네트워크 구성 문제가 수정되었습니다.
인벤토리 관리:
- 라이선스 JSON 텍스트가 여러 줄에 걸쳐 있는 객체 스토리지 파일을 라이선스 파서가 파싱하지 못하는 문제가 수정되었습니다.
- 하드웨어 3.0 CellCfg CableType 유효성 검사 정규 표현식 문제가 수정되었습니다.
- 하드웨어 검사에 부트스트래퍼 노드를 포함하는 문제 수정
- 서버 부트스트랩 후
SecureBootEnable가 사용 중지된 루트 관리자 클러스터 노드 문제가 수정되었습니다.
Operations Suite Infrastructure Core Services (OIC)
Initialize-BareMetalHost.ps1에서 재부팅이 필요한지 감지하지 못하는 문제를 수정했습니다.- 엔터프라이즈 CA 루트와 오프라인 CA 루트 제출을 위한 req 파일 발급 관련 문제가 수정되었습니다.
- OIC VM 생성 프로세스에서 Hyper-V 시간 동기화가 사용 설정된 상태로 유지되는 문제가 수정되었습니다.
티켓 시스템
- MariaDB 감사 문제가 수정되었습니다.
업그레이드
- IAM 사후 업그레이드 검사를 추가하여 Identity and Access Management (IAM) 알림 문제를 수정했습니다.
가상 머신 관리
-
VM을 예약할 수 없는 경우 이전에 VM 상태가
PendingIPAllocation로 표시되는 문제를 수정했습니다. 수정 후 VM 상태가ErrorUnscheduable로 표시됩니다. - VM 이미지 가져오기 작업에서 잘못된 객체 스토리지 비밀이 사용되는 문제가 수정되었습니다.
백업 및 복원:
- 저장소가 정상인 경우에도 백업 저장소에 대한 알림이 발생할 수 있습니다.
클러스터 관리:
- 클러스터 프로비저닝 중에
machine-init작업이 실패합니다.
물리적 서버:
- 루트 관리자 클러스터 업데이트 진행 상황이 노드 업그레이드(특히
NodeBIOSFirmwareUpgradeCompleted)에서 멈춥니다.
데이터베이스 서비스:
- 데이터베이스 서비스 워크로드는 시스템 클러스터 내에서 작동하므로 데이터베이스 워크로드가 다른 데이터베이스 인스턴스 및 다양한 제어 영역 시스템과 컴퓨팅 인프라를 공유할 수 있습니다.
Harbor as a service (HAAS):
- HaaS는 Google Distributed Cloud(에어 갭 적용형) 1.12.0의 미리보기 기능이므로 프로덕션 환경에서 작동하지 않을 수 있습니다.
설계상 사전 설치 작업이 실패하여 하위 구성요소가 올바르게 조정되지 않으므로 사용자가 HaaS를 사용할 수 없습니다.
조정 상태의 HaaS 하위 구성요소가 발견될 것으로 예상되며 이는 다른 구성요소의 기능에 영향을 미치지 않습니다.
방화벽:
- 고객 배포 중에
secret.yaml파일 관리자 사용자 이름은admin이어야 하지만 첫 번째 생성 후에는TO-BE-FILLED이 포함됩니다.admin사용자 이름을 사용하여 방화벽에 첫 번째 구성을 초기화해야 합니다.
하드웨어 보안 모듈:
- 비활성화된 평가판 라이선스는 CipherTrust Manager에서 계속 감지되어 잘못된 만료 경고가 트리거됩니다.
-
KMS
CTMKey를 삭제하면 조직에서 KMS 서비스가 시작되지 않는 등 PA에 예기치 않은 동작이 발생할 수 있습니다. - 하드웨어 보안 모듈의 순환 가능한 보안 비밀이 알 수 없는 상태입니다.
- HSM 내부 인증 기관 순환이 멈추고 완료되지 않습니다.
로깅:
- 외부 SIEM 대상으로 로그 내보내기를 사용 설정한 후 전달된 로그에 Kubernetes API 서버 로그가 포함되지 않습니다.
모니터링:
- 조직을 만들 때 노드 내보내기 프로그램 인증서가 준비되지 않을 수 있습니다.
- 사용자 클러스터의 일부 측정항목이 수집되지 않습니다. 이 문제는 사용자 VM 클러스터에 영향을 미치지만 시스템 클러스터에는 영향을 미치지 않습니다.
- 구성에서 측정항목 스토리지 클래스가 잘못 정의되었습니다.
-
mon-prober-backend-prometheus-configConfigMap이 프로브 작업을 포함하지 않도록 재설정되고MON-A0001알림이 트리거됩니다.
노드 플랫폼:
lvm.conf파일이 오래되어 노드 업그레이드가 실패합니다.
물리적 서버:
- 루트 관리자 클러스터 업데이트 진행 상황이 노드 업그레이드(특히
NodeBIOSFirmwareUpgradeCompleted)에서 멈춥니다.
- 서버를 수동으로 설치할 때 서버 설치가 멈출 수 있습니다.
업그레이드:
NodeOSInPlaceUpgradeCompleted의 노드 업그레이드가 실패합니다.- 스위치 업그레이드에서
install add bootflash://..명령어를 실행하지 못함 - 시스템 클러스터의 여러 포드가
TaintToleration상태로 멈춰 있을 수 있습니다.
상위 네트워킹:
- 사용자 VM 클러스터가
FailedCreatePodSandBox경고와 함께ContainerCreating상태로 멈춥니다.
Vertex AI:
-
사용자 클러스터가 생성될 때
MonitoringTarget에Not Ready상태가 표시되어 사전 학습된 API가 사용자 인터페이스에Enabling상태를 계속 표시합니다.
VM 백업 및 복원:
- VM 관리자의 역할 기반 액세스 제어 (RBAC) 및 스키마 설정으로 인해 사용자가 VM 백업 및 복원 프로세스를 시작할 수 없습니다.
- 디스크 크기가 부족하고 obj 스토리지 프록시 응답이 타임아웃되어 이미지 변환 단계에서 VM 이미지 가져오기가 실패합니다.
SIEM:
- OCLCM 사전 설치 작업이 기능 게이트 확인에서 반복적으로 실패합니다.
성능:
Google Distributed Cloud 에어 갭 적용 1.12.0에서는
provision key벤치마크를 실행하는 기능이 지원 중단됩니다.