16 de fevereiro de 2024 [GDC 1.12.0]
- O Google Distributed Cloud air-gapped 1.12.0 já está disponível.
Consulte a vista geral do produto para saber mais sobre as funcionalidades do Google Distributed Cloud air-gapped. - O Google Distributed Cloud air-gapped 1.12.0 suporta dois sistemas operativos:
- Ubuntu 20231205
- Rocky Linux 20231208
Atualizou a versão da imagem do SO Ubuntu canónico para 20231208 para aplicar os patches de segurança mais recentes e atualizações importantes. Para tirar partido das correções de erros e vulnerabilidades de segurança, tem de atualizar todos os nós com cada lançamento. As seguintes vulnerabilidades de segurança foram corrigidas:
As seguintes vulnerabilidades de segurança de imagens de contentores foram corrigidas:
- CVE-2020-24736
- CVE-2020-29509
- CVE-2020-29511
- CVE-2020-29652
- CVE-2021-29923
- CVE-2021-31525
- CVE-2021-33195
- CVE-2021-33196
- CVE-2021-33197
- CVE-2021-33198
- CVE-2021-34558
- CVE-2021-36221
- CVE-2021-38297
- CVE-2021-38561
- CVE-2021-39293
- CVE-2021-41771
- CVE-2021-41772
- CVE-2021-43565
- CVE-2021-44716
- CVE-2022-1705
- CVE-2022-1962
- CVE-2022-2879
- CVE-2022-2880
- CVE-2022-3063
- CVE-2022-21235
- CVE-2022-21698
- CVE-2022-23471
- CVE-2022-23524
- CVE-2022-23525
- CVE-2022-23526
- CVE-2022-23648
- CVE-2022-23772
- CVE-2022-23773
- CVE-2022-23806
- CVE-2022-24675
- CVE-2022-24921
- CVE-2022-27191
- CVE-2022-27664
- CVE-2022-28131
- CVE-2022-28327
- CVE-2022-29526
- CVE-2022-30580
- CVE-2022-30630
- CVE-2022-30631
- CVE-2022-30632
- CVE-2022-30633
- CVE-2022-30635
- CVE-2022-31030
- CVE-2022-32148
- CVE-2022-32149
- CVE-2022-32189
- CVE-2022-41715
- CVE-2022-41717
- CVE-2022-41721
- CVE-2022-41723
- CVE-2022-41724
- CVE-2022-41725
- CVE-2022-41912
- CVE-2022-48174
- CVE-2023-1667
- CVE-2023-2253
- CVE-2023-2283
- CVE-2023-2603
- CVE-2023-2975
- CVE-2023-3446
- CVE-2023-3817
- CVE-2023-3978
- CVE-2023-22036
- CVE-2023-22041
- CVE-2023-22049
- CVE-2023-24532
- CVE-2023-24534
- CVE-2023-24536
- CVE-2023-24537
- CVE-2023-24538
- CVE-2023-24539
- CVE-2023-24540
- CVE-2023-25153
- CVE-2023-25165
- CVE-2023-25173
- CVE-2023-25193
- CVE-2023-26604
- CVE-2023-27533
- CVE-2023-27535
- CVE-2023-27536
- CVE-2023-27538
- CVE-2023-28321
- CVE-2023-28484
- CVE-2023-28840
- CVE-2023-28841
- CVE-2023-28842
- CVE-2023-29400
- CVE-2023-29402
- CVE-2023-29403
- CVE-2023-29404
- CVE-2023-29405
- CVE-2023-29406
- CVE-2023-29409
- CVE-2023-29469
- CVE-2023-29491
- CVE-2023-36054
- CVE-2023-39318
- CVE-2023-39319
- CVE-2023-39323
- CVE-2023-39325
- CVE-2023-39326
- CVE-2023-39417
- CVE-2023-39533
- CVE-2023-45142
- CVE-2023-45285
- CVE-2023-45287
- CVE-2023-48795
- CVE-2023-49568
- CVE-2023-49569
- CVE-2023-51385
A imagem base do gcr.io/distroless/base foi atualizada para o resumo sha256:eda29d6da91216123f1c1841b7c7a7abe1eece155cfe8d20d2a29e5daf9ad497, de modo a aplicar os patches de segurança mais recentes e atualizações importantes.
Gestor de suplementos:
A versão do Google Distributed Cloud é atualizada para 1.28.0-gke.435 para aplicar os patches de segurança mais recentes e atualizações importantes.
Consulte as notas de lançamento do Google Distributed Cloud 1.28.0-gke.435 para ver detalhes.
Crie e embale:
A versão do Golang é atualizada para 1.20.
O Google Distributed Cloud air-gapped 1.12.0 adiciona listas de materiais de software (SBOMs) adicionais ao resultado e atualiza a lógica para garantir que essas SBOMs são publicadas no futuro.
O Google Distributed Cloud air-gapped 1.12.0 adiciona ficheiros
gdch_notice_license_filestar para carregar manifestos.
Gestão de inventários:
- O Google Distributed Cloud air-gapped 1.12.0 adiciona validações para fichas de ligação da versão de hardware 3.0.
- O Google Distributed Cloud air-gapped 1.12.0 atualiza o padrão da porta de gestão do servidor da consola para permitir LAN1A e LAN2A.
- O Google Distributed Cloud air-gapped 1.12.0 adiciona uma mensagem para mitigar a confusão dos modos ativo e passivo do PA850.
- O Google Distributed Cloud air-gapped 1.12.0 suporta uma cassete de separação na validação.
- O Google Distributed Cloud air-gapped 1.12.0 adiciona a validação da firewall permanente à ligação da firewall de gestão.
- O Google Distributed Cloud air-gapped 1.12.0 adiciona um comando CIDR (Classless Inter-Domain Routing) de OI ao gerador do questionário de admissão de clientes.
- O Google Distributed Cloud air-gapped 1.12.0 melhora uma mensagem de erro na falha de falta de endereço MAC para mitigar a instabilidade da verificação prévia ao validar a ligação hsm e mgmtsw.
Organização de TI do centro de operações:
A organização de TI do centro de operações tem as seguintes atualizações de nomes:
O nome do centro de operações (OC) foi alterado para instalações da Operations Suite (OIF).
O OC Core mudou de nome para Operations Suite Infrastructure Core Rack (OIR).
O centro de operações de TI (OCIT) mudou de nome para infraestrutura da Operations Suite (OI).
O OCIT mudou de nome para OI.
Para mais informações, consulte o artigo Terminologia.
O Google Distributed Cloud air-gapped 1.12.0 atualiza o script de configuração do Userlock para permitir a utilização de um servidor de alternativa.
O Google Distributed Cloud air-gapped 1.12.0 pré-cria grupos de segurança da infraestrutura do Operations Suite (OI) adicionais para permitir o acesso detalhado nos sistemas do OI.
Registo de artefactos do sistema:
- O Google Distributed Cloud air-gapped 1.12.0 remove o sinalizador curto
-f(--force) dos recursos da CLI.
Atualização da versão:
A versão da imagem baseada no Debian é atualizada para bookworm-v1.0.0-gke.3.
Gestor de certificados:
- Foi introduzida a configuração do tamanho da chave num certificado web-tls para organizações.
Serviço de base de dados:
- Suporte para recuperação num determinado momento (PITR) para as respetivas bases de dados Oracle.
- Suporte para a migração avançada do Postgres para migrar bases de dados nas instalações para bases de dados geridas pelo serviço de base de dados do GDC.
Registo:
- Foi adicionada a API gRPC Log Query para consultar programaticamente registos operacionais e de auditoria a partir dos pontos finais da API.
- Incluída a capacidade de exportar registos de PA para um sistema SIEM externo.
Marketplace:
- O MongoDB Enterprise Advanced (BYOL) já está disponível no Google Distributed Cloud air-gapped 1.12.0 Marketplace.
É uma coleção de produtos e serviços que promovem a segurança e a eficiência, e permitem-lhe controlar as suas bases de dados MongoDB.
Armazenamento de objetos:
- Foi adicionada uma nova imagem necessária para alojar ficheiros de atualização no software de armazenamento de objetos.
- Foi adicionada uma etiqueta de versão de encriptação aos webhooks de contentores.
- Foi adicionado um reconciliador para a rotação de credenciais de objetos.
Serviços principais de infraestrutura da Operations Suite (OIC)
- O Google Distributed Cloud air-gapped 1.12.0 recolhe registos OIC no Grafana.
- O Google Distributed Cloud air-gapped 1.12.0 move o script
Copy-BareMetalFiles.ps1da documentação de instalação para scripts emprivate-cloud/operations/dsc/.
- Um certificado TLS Web para um cluster de administrador principal é emitido pela infraestrutura de chave pública interna isolada do Google Distributed Cloud.
Conformidade com a segurança:
- O Google Distributed Cloud air-gapped 1.12.0 introduz a segurança de portas necessária para passar numa avaliação de segurança.
Sistema de emissão de bilhetes
- Atualizou as tarefas agendadas no ServiceNow para escalonar a respetiva execução e evitar picos na base de dados.
- O operador de infraestrutura recebe um alerta quando um incidente de metamonitorização no ServiceNow está desatualizado.
Atualize
- Foi adicionado o painel de controlo Estado da atualização para operadores de infraestrutura e administradores da plataforma.
- Foi adicionado um comando para acionar a atualização do cluster de utilizadores.
Vertex AI:
- Foi adicionada a pré-visualização de previsões online para publicar pedidos através dos seus próprios modelos de previsão num conjunto de contentores suportados.
- Foi adicionada a pré-visualização da tradução de documentos para traduzir documentos PDF formatados diretamente e preservar a formatação e o esquema originais nas traduções.
- Foi incluída compatibilidade para fazer cópias de segurança e restaurar dados de blocos de notas no diretório inicial das instâncias do JupyterLab do Vertex AI Workbench.
Gestão de máquinas virtuais
- Foi adicionado o suporte do SO Windows para máquinas virtuais, para criar, importar e estabelecer ligação a uma VM do Windows.
Faturação:
- Foi corrigido o problema em que a tarefa
onetimeusagefalhava sempre ao atualizar as etiquetas no objetoonetimeusage, o que provocava alertas de falha.
- Foi corrigido o problema que fazia com que o custo agregado de um recurso personalizado (CR) fosse duplicado quando a tarefa era reiniciada após a gravação do custo do CR na base de dados, antes da atualização da etiqueta para processado.
Módulo de segurança de hardware:
- Foi corrigido o problema que fazia com que o módulo de segurança de hardware alternasse frequentemente entre os estados
ServicesNotStartedeready.
Identidade híbrida:
- Corrigimos o problema com a configuração de rede nos pods de identidade.
Gestão de inventários:
- Foi corrigido o problema com o analisador de licenças que não analisava ficheiros de armazenamento de objetos cujo texto JSON de licença se estendia por várias linhas.
- Foi corrigido o problema com a expressão regular de validação de CellCfg CableType do hardware 3.0.
- Foi corrigido o problema com a inclusão do nó do programa de arranque na validação de hardware.
- Foi corrigido o problema em que o nó do cluster de administrador principal tinha o
SecureBootEnabledesativado após o arranque do servidor.
Serviços principais de infraestrutura da Operations Suite (OIC)
- Corrigido o problema em que o
Initialize-BareMetalHost.ps1não detetava que era necessário reiniciar. - Foi corrigido o problema com uma raiz de AC empresarial que não emitia um ficheiro req para envio para uma raiz de AC offline.
- Foi corrigido o problema em que o processo de criação da VM do OIC deixava a sincronização de tempo do Hyper-V ativada.
Sistema de emissão de bilhetes
- Foi corrigido um problema de auditoria do MariaDB.
Atualize
- Corrigimos o problema com os alertas da gestão de identidade e de acesso (IAM) adicionando verificações de pós-atualização da IAM.
Gestão de máquinas virtuais
-
Corrigido o problema com o estado da VM que era apresentado como
PendingIPAllocationse não fosse possível agendar a VM. Após a correção, o estado da VM é apresentado comoErrorUnscheduable. - Foi corrigido o problema com o segredo de armazenamento de objetos incorreto que estava a ser usado nas operações de importação de imagens de VMs.
Cópia de segurança e restauro:
- Os alertas para um repositório de cópias de segurança podem ser acionados mesmo quando o repositório está em bom estado.
Gestão de clusters:
- A tarefa
machine-initfalha durante o aprovisionamento do cluster.
Servidores físicos:
- O progresso da atualização do cluster de administrador principal está bloqueado na atualização do nó, especificamente em
NodeBIOSFirmwareUpgradeCompleted.
Serviço de base de dados:
- As cargas de trabalho do serviço de base de dados operam no cluster do sistema, o que pode resultar na partilha da infraestrutura de computação das cargas de trabalho da base de dados com outras instâncias da base de dados e vários sistemas do plano de controlo.
Harbor as a service (HAAS):
- Como é uma funcionalidade de pré-visualização do Google Distributed Cloud air-gapped 1.12.0, não se espera que o HaaS funcione em ambientes de produção.
A tarefa de pré-instalação falha intencionalmente para impedir a conciliação adequada dos subcomponentes, o que impede os utilizadores de usarem o HaaS.
É esperado encontrar subcomponentes de HaaS no estado de conciliação, o que não afeta a funcionalidade de outros componentes.
Firewall:
- Durante a implementação do cliente, o nome de utilizador do administrador do ficheiro
secret.yamltem de seradmine, em vez disso, contémTO-BE-FILLEDapós a primeira criação. O nome de utilizadoradmintem de ser usado para inicializar a primeira configuração na firewall.
Módulo de segurança de hardware:
- As licenças de avaliação desativadas continuam detetáveis no CipherTrust Manager, o que aciona avisos de expiração falsos.
-
Quando elimina um KMS
CTMKey, o PA pode deparar-se com comportamentos inesperados, incluindo o serviço KMS não ser iniciado para a organização. - Um segredo rotativo para módulos de segurança de hardware está num estado desconhecido.
- As rotações da autoridade de certificação interna do HSM ficam bloqueadas e não são concluídas.
Registo:
- Depois de ativar a exportação de registos para um destino SIEM externo, os registos encaminhados não contêm registos do servidor da API Kubernetes.
Monitorização:
- Os certificados do Node Exporter podem não ficar prontos quando cria uma organização.
- Algumas métricas dos clusters de utilizadores não são recolhidas. Este problema afeta os clusters de VMs de utilizador, mas não o cluster do sistema.
- A classe de armazenamento de métricas está definida incorretamente na configuração.
-
O ConfigMap
mon-prober-backend-prometheus-configé reposto para não incluir tarefas de sondagem e o alertaMON-A0001é acionado.
Plataforma de nós:
- A atualização do nó falha devido a um ficheiro
lvm.confdesatualizado.
Servidores físicos:
- O progresso da atualização do cluster de administrador principal está bloqueado na atualização do nó, especificamente em
NodeBIOSFirmwareUpgradeCompleted.
- Quando instala um servidor manualmente, a instalação do servidor pode ficar bloqueada.
Atualizar:
- A atualização do nó falha para
NodeOSInPlaceUpgradeCompleted. - A mudança de atualização não consegue executar o comando
install add bootflash://.. - Vários pods num cluster do sistema podem ficar bloqueados no estado
TaintToleration.
Redes superiores:
- Um cluster de VMs de utilizador fica bloqueado no estado
ContainerCreatingcom o avisoFailedCreatePodSandBox.
Vertex AI:
-
O
MonitoringTargetmostra um estadoNot Readyquando estão a ser criados clusters de utilizadores, o que faz com que as APIs pré-preparadas mostrem continuamente um estadoEnablingna interface do utilizador.
Cópia de segurança e restauro de VMs:
- O controlo de acesso baseado em funções (RBAC) e as definições de esquema no gestor de VMs impedem que os utilizadores iniciem processos de cópia de segurança e restauro de VMs.
- A importação da imagem da VM falha no passo de tradução da imagem devido ao tamanho do disco insuficiente e ao limite de tempo na resposta do proxy de armazenamento de objetos.
SIEM:
- As tarefas de pré-instalação do OCLCM falham repetidamente na verificação do Feature Gate.
Desempenho:
O Google Distributed Cloud air-gapped 1.12.0 descontinua a capacidade de executar testes de referência
provision key.