16 de fevereiro de 2024 [GDC 1.12.0]
- O Google Distributed Cloud com isolamento físico 1.12.0 já está disponível.
Consulte a visão geral do produto para saber mais sobre os recursos do Google Distributed Cloud com isolamento físico. - O Google Distributed Cloud com isolamento físico 1.12.0 é compatível com dois sistemas operacionais:
- Ubuntu 20231205
- Rocky Linux 20231208
Atualizamos a versão da imagem do SO Ubuntu da Canonical para 20231208 para aplicar os patches de segurança e atualizações importantes mais recentes. Para aproveitar as correções de bugs e vulnerabilidades de segurança, é necessário fazer upgrade de todos os nós a cada lançamento. As seguintes vulnerabilidades de segurança foram corrigidas:
As seguintes vulnerabilidades de segurança de imagens de contêiner foram corrigidas:
- CVE-2020-24736
- CVE-2020-29509
- CVE-2020-29511
- CVE-2020-29652
- CVE-2021-29923
- CVE-2021-31525
- CVE-2021-33195
- CVE-2021-33196
- CVE-2021-33197
- CVE-2021-33198
- CVE-2021-34558
- CVE-2021-36221
- CVE-2021-38297
- CVE-2021-38561
- CVE-2021-39293
- CVE-2021-41771
- CVE-2021-41772
- CVE-2021-43565
- CVE-2021-44716
- CVE-2022-1705
- CVE-2022-1962
- CVE-2022-2879
- CVE-2022-2880
- CVE-2022-3063
- CVE-2022-21235
- CVE-2022-21698
- CVE-2022-23471
- CVE-2022-23524
- CVE-2022-23525
- CVE-2022-23526
- CVE-2022-23648
- CVE-2022-23772
- CVE-2022-23773
- CVE-2022-23806
- CVE-2022-24675
- CVE-2022-24921
- CVE-2022-27191
- CVE-2022-27664
- CVE-2022-28131
- CVE-2022-28327
- CVE-2022-29526
- CVE-2022-30580
- CVE-2022-30630
- CVE-2022-30631
- CVE-2022-30632
- CVE-2022-30633
- CVE-2022-30635
- CVE-2022-31030
- CVE-2022-32148
- CVE-2022-32149
- CVE-2022-32189
- CVE-2022-41715
- CVE-2022-41717
- CVE-2022-41721
- CVE-2022-41723
- CVE-2022-41724
- CVE-2022-41725
- CVE-2022-41912
- CVE-2022-48174
- CVE-2023-1667
- CVE-2023-2253
- CVE-2023-2283
- CVE-2023-2603
- CVE-2023-2975
- CVE-2023-3446
- CVE-2023-3817
- CVE-2023-3978
- CVE-2023-22036
- CVE-2023-22041
- CVE-2023-22049
- CVE-2023-24532
- CVE-2023-24534
- CVE-2023-24536
- CVE-2023-24537
- CVE-2023-24538
- CVE-2023-24539
- CVE-2023-24540
- CVE-2023-25153
- CVE-2023-25165
- CVE-2023-25173
- CVE-2023-25193
- CVE-2023-26604
- CVE-2023-27533
- CVE-2023-27535
- CVE-2023-27536
- CVE-2023-27538
- CVE-2023-28321
- CVE-2023-28484
- CVE-2023-28840
- CVE-2023-28841
- CVE-2023-28842
- CVE-2023-29400
- CVE-2023-29402
- CVE-2023-29403
- CVE-2023-29404
- CVE-2023-29405
- CVE-2023-29406
- CVE-2023-29409
- CVE-2023-29469
- CVE-2023-29491
- CVE-2023-36054
- CVE-2023-39318
- CVE-2023-39319
- CVE-2023-39323
- CVE-2023-39325
- CVE-2023-39326
- CVE-2023-39417
- CVE-2023-39533
- CVE-2023-45142
- CVE-2023-45285
- CVE-2023-45287
- CVE-2023-48795
- CVE-2023-49568
- CVE-2023-49569
- CVE-2023-51385
Atualizamos a imagem de base gcr.io/distroless/base
para o resumo sha256:eda29d6da91216123f1c1841b7c7a7abe1eece155cfe8d20d2a29e5daf9ad497
e aplicamos os patches de segurança e atualizações importantes mais recentes.
Gerenciador de complementos:
A versão do Google Distributed Cloud foi atualizada para 1.28.0-gke.435 para aplicar os patches de segurança e atualizações importantes mais recentes.
Consulte as notas da versão 1.28.0-gke.435 do Google Distributed Cloud para mais detalhes.
Criar e empacotar:
A versão do Golang foi atualizada para 1.20.
O Google Distributed Cloud air-gapped 1.12.0 adiciona mais listas de materiais de software (SBOMs, na sigla em inglês) à saída e atualiza a lógica para garantir que essas SBOMs sejam publicadas no futuro.
O Google Distributed Cloud com isolamento físico 1.12.0 adiciona arquivos tar
gdch_notice_license_files
para fazer upload de manifestos.
Gerenciamento de inventário:
- O Google Distributed Cloud isolado por ar 1.12.0 adiciona validações para listas de conexão de hardware versão 3.0.
- O Google Distributed Cloud air-gapped 1.12.0 atualiza o padrão de porta de gerenciamento do servidor do console para permitir LAN1A e LAN2A.
- O Google Distributed Cloud air-gapped 1.12.0 adiciona uma mensagem para reduzir a confusão dos modos ativo e passivo do PA850.
- O Google Distributed Cloud com isolamento físico 1.12.0 oferece suporte a um cassete de interrupção na validação.
- O Google Distributed Cloud air-gapped 1.12.0 adiciona a validação do firewall permanente à conexão do firewall de gerenciamento.
- O Google Distributed Cloud air-gapped 1.12.0 adiciona um prompt de roteamento entre domínios sem classe (CIDR) da OI ao gerador de questionário de entrada do cliente.
- O Google Distributed Cloud air-gapped 1.12.0 melhora uma mensagem de erro em caso de falha na falta de endereço MAC para reduzir a instabilidade da verificação de simulação ao validar a conexão hsm e mgmtsw.
Organização de TI da central de operações:
A organização de TI do Operations Center tem as seguintes atualizações de nome:
A Central de operações (OC) foi renomeada como Instalação do pacote de operações (OIF).
O OC Core foi renomeado como Operations Suite Infrastructure Core Rack (OIR).
A TI da Central de operações (OCIT) foi renomeada como Infraestrutura da Operations Suite (OI).
O OCIT foi renomeado como OI.
Para mais informações, consulte Terminologia.
O Google Distributed Cloud air-gapped 1.12.0 atualiza o script de configuração do Userlock para permitir o uso de um servidor de failover.
O Google Distributed Cloud isolado por ar 1.12.0 pré-cria outros grupos de segurança da infraestrutura do pacote de operações (OI, na sigla em inglês) para permitir acesso refinado aos sistemas de OI.
Registro de artefatos do sistema:
- O Google Distributed Cloud com isolamento físico 1.12.0 remove a flag abreviada
-f
(--force
) dos recursos da CLI.
Atualização da versão:
A versão da imagem baseada no Debian é atualizada para bookworm-v1.0.0-gke.3.
Gerenciador de certificados:
- Introduzimos a configuração do tamanho da chave em um certificado TLS da Web para organizações.
Serviço de banco de dados:
- Suporte à recuperação pontual (PITR) para bancos de dados Oracle.
- Suporte para migração avançada do Postgres para migrar bancos de dados locais para bancos de dados gerenciados pelo serviço de banco de dados do GDC.
Geração de registros:
- Adicionamos a API gRPC de consulta de registros para consultar de forma programática registros operacionais e de auditoria dos endpoints de API.
- Incluímos a capacidade de exportar registros da PA para um sistema SIEM externo.
Marketplace:
- O MongoDB Enterprise Advanced (BYOL) já está disponível no Marketplace do Google Distributed Cloud air-gapped 1.12.0.
É uma coleção de produtos e serviços que impulsionam a segurança e a eficiência, além de colocar você no controle dos seus bancos de dados do MongoDB.
Armazenamento de objetos:
- Adicionada uma nova imagem necessária para hospedar arquivos de upgrade no software de armazenamento de objetos.
- Adicionamos um rótulo de versão de criptografia aos webhooks de bucket.
- Adição de um reconciliador para a rotação de credenciais de objeto.
Serviços principais de infraestrutura do pacote de operações (OIC)
- O Google Distributed Cloud com isolamento físico 1.12.0 coleta registros do OIC no Grafana.
- O Google Distributed Cloud com isolamento físico 1.12.0 move o script
Copy-BareMetalFiles.ps1
da documentação de instalação para scripts emprivate-cloud/operations/dsc/
.
- Um certificado TLS da Web para um cluster de administrador raiz é emitido pela infraestrutura de chave pública interna isolada do Google Distributed Cloud.
Conformidade com a segurança:
- O Google Distributed Cloud air-gapped 1.12.0 apresenta a segurança de porta necessária para passar em uma avaliação de segurança.
Sistema de emissão de tíquetes
- Atualizamos os jobs programados no ServiceNow para escalonar quando eles são executados e evitar picos no banco de dados.
- O operador de infraestrutura recebe um alerta quando um incidente de metamonitoramento no ServiceNow está desatualizado.
Fazer upgrade
- Adição do painel Status do upgrade para operadores de infraestrutura e administradores de plataforma.
- Adição de um comando para acionar o upgrade do cluster de usuário.
Vertex AI:
- Adicionamos a prévia das previsões on-line para atender a solicitações usando seus próprios modelos de previsão em um conjunto de contêineres compatíveis.
- Adicionamos a prévia da Tradução de documentos para traduzir documentos PDF formatados diretamente e preservar a formatação e o layout originais nas traduções.
- Incluímos suporte para fazer backup e restaurar dados de notebook no diretório inicial das instâncias do JupyterLab do Vertex AI Workbench.
Gerenciamento de máquinas virtuais
- Adicionamos suporte ao SO Windows para máquinas virtuais, permitindo criar, importar e se conectar a uma VM do Windows.
Faturamento:
- Corrigimos o problema em que o job
onetimeusage
sempre falhava ao atualizar os rótulos no objetoonetimeusage
, causando alertas de falha.
- Corrigimos o problema que fazia com que o custo agregado de um recurso personalizado (CR, na sigla em inglês) fosse duplicado quando o job era reiniciado após o custo do CR ser gravado no banco de dados, antes da atualização do rótulo para "processado".
Módulo de segurança de hardware:
- Correção do problema que fazia o módulo de segurança de hardware alternar com frequência entre os estados
ServicesNotStarted
eready
.
Identidade híbrida:
- Corrigimos o problema com a configuração de rede em pods de identidade.
Gerenciamento de inventário:
- Corrigimos o problema com o analisador de licenças que não analisava arquivos de armazenamento de objetos cujo texto JSON de licença se espalhava por várias linhas.
- Correção do problema com a expressão regular de validação de CellCfg CableType do hardware 3.0.
- Correção do problema com a inclusão do nó bootstrap na validação de hardware.
- Correção do problema com o nó do cluster de administrador raiz com
SecureBootEnable
desativado após a inicialização do servidor.
Serviços principais de infraestrutura do pacote de operações (OIC)
- Correção do problema em que o
Initialize-BareMetalHost.ps1
não detectava que era necessário reiniciar. - Correção do problema com uma raiz de CA empresarial e não emissão de um arquivo de solicitação para envio a uma raiz de CA off-line.
- Corrigimos o problema em que o processo de criação da VM do OIC deixava a sincronização de horário do Hyper-V ativada.
Sistema de emissão de tíquetes
- Correção de um problema de auditoria do MariaDB.
Fazer upgrade
- Corrigimos o problema com os alertas do Identity and Access Management (IAM) adicionando verificações de upgrade pós-voo do IAM.
Gerenciamento de máquinas virtuais
-
Correção do problema em que o status da VM mostrava
PendingIPAllocation
se ela não podia ser programada. Depois da correção, o status da VM vai mostrarErrorUnscheduable
. - Foi corrigido o problema com o uso de um segredo de armazenamento de objetos incorreto em operações de importação de imagens de VM.
Backup e restauração:
- Os alertas de um repositório de backup podem ser acionados mesmo quando ele está íntegro.
Gerenciamento de clusters:
- O job
machine-init
falha durante o provisionamento do cluster.
Servidores físicos:
- O progresso da atualização do cluster de administrador raiz está travado no upgrade do nó, especificamente
NodeBIOSFirmwareUpgradeCompleted
.
Serviço de banco de dados:
- As cargas de trabalho do serviço de banco de dados operam no cluster do sistema, o que pode resultar no compartilhamento da infraestrutura de computação com outras instâncias de banco de dados e vários sistemas de plano de controle.
Harbor como serviço (HAAS):
- Como é um recurso de visualização do Google Distributed Cloud com isolamento físico 1.12.0, não se espera que o HaaS opere em ambientes de produção.
O trabalho de pré-instalação falha por design para impedir que os subcomponentes sejam reconciliados corretamente, o que impede que os usuários usem o HaaS.
É esperado encontrar subcomponentes do HaaS no estado de reconciliação, o que não afeta a funcionalidade de outros componentes.
Firewall:
- Durante a implantação do cliente, o nome de usuário do administrador do arquivo
secret.yaml
precisa seradmin
, mas contémTO-BE-FILLED
após a primeira criação. O nome de usuárioadmin
precisa ser usado para inicializar a primeira configuração no firewall.
Módulo de segurança de hardware:
- As licenças de teste desativadas ainda são detectáveis no CipherTrust Manager, acionando avisos de expiração falsos.
-
Ao excluir um
CTMKey
do KMS, o PA pode encontrar comportamentos inesperados, incluindo a não inicialização do serviço do KMS para a organização. - Um secret rotativo para módulos de segurança de hardware está em um estado desconhecido.
- As rotações da autoridade de certificação interna do HSM ficam travadas e não são concluídas.
Geração de registros:
- Depois de ativar a exportação de registros para um destino SIEM externo, os registros encaminhados não contêm registros do servidor da API Kubernetes.
Monitoramento:
- Os certificados do Node Exporter podem não ficar prontos ao criar uma organização.
- Algumas métricas dos clusters de usuários não são coletadas. Esse problema afeta os clusters de VM do usuário, mas não o cluster do sistema.
- A classe de armazenamento de métricas está definida incorretamente na configuração.
-
O ConfigMap
mon-prober-backend-prometheus-config
é redefinido para não incluir jobs de sondagem, e o alertaMON-A0001
é acionado.
Plataforma do nó:
- O upgrade do nó falha devido a um arquivo
lvm.conf
desatualizado.
Servidores físicos:
- O progresso da atualização do cluster de administrador raiz está travado no upgrade do nó, especificamente
NodeBIOSFirmwareUpgradeCompleted
.
- Ao instalar um servidor manualmente, a instalação pode ficar travada.
Fazer upgrade:
- Falha no upgrade do nó para
NodeOSInPlaceUpgradeCompleted
. - A troca de upgrade não executa o comando
install add bootflash://..
- Vários pods em um cluster do sistema podem ficar presos no estado
TaintToleration
.
Rede superior:
- Um cluster de VM de usuário fica preso no estado
ContainerCreating
com o avisoFailedCreatePodSandBox
.
Vertex AI:
-
O
MonitoringTarget
mostra um statusNot Ready
quando os clusters de usuários estão sendo criados, fazendo com que as APIs pré-treinadas mostrem continuamente um estadoEnabling
na interface do usuário.
Backup e restauração de VM:
- O controle de acesso baseado em função (RBAC) e as configurações de esquema no gerenciador de VMs estão impedindo que os usuários iniciem processos de backup e restauração de VMs.
- A importação da imagem de VM falha na etapa de tradução devido ao tamanho insuficiente do disco e ao tempo limite na resposta do proxy de armazenamento de objetos.
SIEM:
- Os jobs de pré-instalação do OCLCM falham repetidamente na verificação do recurso.
Performance:
O Google Distributed Cloud com isolamento físico 1.12.0 descontinua a capacidade de executar comparativos de mercado
provision key
.