Notas da versão do Google Distributed Cloud com isolamento físico

16 de fevereiro de 2024 [GDC 1.12.0]


  • O Google Distributed Cloud com isolamento físico 1.12.0 já está disponível.
    Consulte a visão geral do produto para saber mais sobre os recursos do Google Distributed Cloud com isolamento físico.
  • O Google Distributed Cloud com isolamento físico 1.12.0 é compatível com dois sistemas operacionais:
    • Ubuntu 20231205
    • Rocky Linux 20231208

Atualizamos a versão da imagem do SO Ubuntu da Canonical para 20231208 para aplicar os patches de segurança e atualizações importantes mais recentes. Para aproveitar as correções de bugs e vulnerabilidades de segurança, é necessário fazer upgrade de todos os nós a cada lançamento. As seguintes vulnerabilidades de segurança foram corrigidas:


As seguintes vulnerabilidades de segurança de imagens de contêiner foram corrigidas:


Atualizamos a imagem de base gcr.io/distroless/base para o resumo sha256:eda29d6da91216123f1c1841b7c7a7abe1eece155cfe8d20d2a29e5daf9ad497 e aplicamos os patches de segurança e atualizações importantes mais recentes.


Gerenciador de complementos:

Criar e empacotar:

  • A versão do Golang foi atualizada para 1.20.

  • O Google Distributed Cloud air-gapped 1.12.0 adiciona mais listas de materiais de software (SBOMs, na sigla em inglês) à saída e atualiza a lógica para garantir que essas SBOMs sejam publicadas no futuro.

  • O Google Distributed Cloud com isolamento físico 1.12.0 adiciona arquivos tar gdch_notice_license_files para fazer upload de manifestos.

Gerenciamento de inventário:

  • O Google Distributed Cloud isolado por ar 1.12.0 adiciona validações para listas de conexão de hardware versão 3.0.
  • O Google Distributed Cloud air-gapped 1.12.0 atualiza o padrão de porta de gerenciamento do servidor do console para permitir LAN1A e LAN2A.
  • O Google Distributed Cloud air-gapped 1.12.0 adiciona uma mensagem para reduzir a confusão dos modos ativo e passivo do PA850.
  • O Google Distributed Cloud com isolamento físico 1.12.0 oferece suporte a um cassete de interrupção na validação.
  • O Google Distributed Cloud air-gapped 1.12.0 adiciona a validação do firewall permanente à conexão do firewall de gerenciamento.
  • O Google Distributed Cloud air-gapped 1.12.0 adiciona um prompt de roteamento entre domínios sem classe (CIDR) da OI ao gerador de questionário de entrada do cliente.
  • O Google Distributed Cloud air-gapped 1.12.0 melhora uma mensagem de erro em caso de falha na falta de endereço MAC para reduzir a instabilidade da verificação de simulação ao validar a conexão hsm e mgmtsw.

Organização de TI da central de operações:

  • A organização de TI do Operations Center tem as seguintes atualizações de nome:

    • A Central de operações (OC) foi renomeada como Instalação do pacote de operações (OIF).

    • O OC Core foi renomeado como Operations Suite Infrastructure Core Rack (OIR).

    • A TI da Central de operações (OCIT) foi renomeada como Infraestrutura da Operations Suite (OI).

    • O OCIT foi renomeado como OI.

    Para mais informações, consulte Terminologia.

  • O Google Distributed Cloud air-gapped 1.12.0 atualiza o script de configuração do Userlock para permitir o uso de um servidor de failover.

  • O Google Distributed Cloud isolado por ar 1.12.0 pré-cria outros grupos de segurança da infraestrutura do pacote de operações (OI, na sigla em inglês) para permitir acesso refinado aos sistemas de OI.

Registro de artefatos do sistema:

  • O Google Distributed Cloud com isolamento físico 1.12.0 remove a flag abreviada -f (--force) dos recursos da CLI.

Atualização da versão:

  • A versão da imagem baseada no Debian é atualizada para bookworm-v1.0.0-gke.3.


Gerenciador de certificados:

  • Introduzimos a configuração do tamanho da chave em um certificado TLS da Web para organizações.

Serviço de banco de dados:

  • Suporte à recuperação pontual (PITR) para bancos de dados Oracle.
  • Suporte para migração avançada do Postgres para migrar bancos de dados locais para bancos de dados gerenciados pelo serviço de banco de dados do GDC.

Geração de registros:

Marketplace:

  • O MongoDB Enterprise Advanced (BYOL) já está disponível no Marketplace do Google Distributed Cloud air-gapped 1.12.0.
    É uma coleção de produtos e serviços que impulsionam a segurança e a eficiência, além de colocar você no controle dos seus bancos de dados do MongoDB.

Armazenamento de objetos:

  • Adicionada uma nova imagem necessária para hospedar arquivos de upgrade no software de armazenamento de objetos.
  • Adicionamos um rótulo de versão de criptografia aos webhooks de bucket.
  • Adição de um reconciliador para a rotação de credenciais de objeto.

Serviços principais de infraestrutura do pacote de operações (OIC)

  • O Google Distributed Cloud com isolamento físico 1.12.0 coleta registros do OIC no Grafana.
  • O Google Distributed Cloud com isolamento físico 1.12.0 move o script Copy-BareMetalFiles.ps1 da documentação de instalação para scripts em private-cloud/operations/dsc/.
Segurança da plataforma

  • Um certificado TLS da Web para um cluster de administrador raiz é emitido pela infraestrutura de chave pública interna isolada do Google Distributed Cloud.

Conformidade com a segurança:

  • O Google Distributed Cloud air-gapped 1.12.0 apresenta a segurança de porta necessária para passar em uma avaliação de segurança.

Sistema de emissão de tíquetes

  • Atualizamos os jobs programados no ServiceNow para escalonar quando eles são executados e evitar picos no banco de dados.
  • O operador de infraestrutura recebe um alerta quando um incidente de metamonitoramento no ServiceNow está desatualizado.

Fazer upgrade

  • Adição do painel Status do upgrade para operadores de infraestrutura e administradores de plataforma.
  • Adição de um comando para acionar o upgrade do cluster de usuário.

Vertex AI:

  • Adicionamos a prévia das previsões on-line para atender a solicitações usando seus próprios modelos de previsão em um conjunto de contêineres compatíveis.
  • Adicionamos a prévia da Tradução de documentos para traduzir documentos PDF formatados diretamente e preservar a formatação e o layout originais nas traduções.
  • Incluímos suporte para fazer backup e restaurar dados de notebook no diretório inicial das instâncias do JupyterLab do Vertex AI Workbench.

Gerenciamento de máquinas virtuais

  • Adicionamos suporte ao SO Windows para máquinas virtuais, permitindo criar, importar e se conectar a uma VM do Windows.

Faturamento:

  • Corrigimos o problema em que o job onetimeusage sempre falhava ao atualizar os rótulos no objeto onetimeusage, causando alertas de falha.
  • Corrigimos o problema que fazia com que o custo agregado de um recurso personalizado (CR, na sigla em inglês) fosse duplicado quando o job era reiniciado após o custo do CR ser gravado no banco de dados, antes da atualização do rótulo para "processado".

Módulo de segurança de hardware:

  • Correção do problema que fazia o módulo de segurança de hardware alternar com frequência entre os estados ServicesNotStarted e ready.

Identidade híbrida:

  • Corrigimos o problema com a configuração de rede em pods de identidade.

Gerenciamento de inventário:

  • Corrigimos o problema com o analisador de licenças que não analisava arquivos de armazenamento de objetos cujo texto JSON de licença se espalhava por várias linhas.
  • Correção do problema com a expressão regular de validação de CellCfg CableType do hardware 3.0.
  • Correção do problema com a inclusão do nó bootstrap na validação de hardware.
  • Correção do problema com o nó do cluster de administrador raiz com SecureBootEnable desativado após a inicialização do servidor.

Serviços principais de infraestrutura do pacote de operações (OIC)

  • Correção do problema em que o Initialize-BareMetalHost.ps1 não detectava que era necessário reiniciar.
  • Correção do problema com uma raiz de CA empresarial e não emissão de um arquivo de solicitação para envio a uma raiz de CA off-line.
  • Corrigimos o problema em que o processo de criação da VM do OIC deixava a sincronização de horário do Hyper-V ativada.

Sistema de emissão de tíquetes

  • Correção de um problema de auditoria do MariaDB.

Fazer upgrade

  • Corrigimos o problema com os alertas do Identity and Access Management (IAM) adicionando verificações de upgrade pós-voo do IAM.

Gerenciamento de máquinas virtuais

  • Correção do problema em que o status da VM mostrava PendingIPAllocation se ela não podia ser programada. Depois da correção, o status da VM vai mostrar ErrorUnscheduable.
  • Foi corrigido o problema com o uso de um segredo de armazenamento de objetos incorreto em operações de importação de imagens de VM.

Backup e restauração:

  • Os alertas de um repositório de backup podem ser acionados mesmo quando ele está íntegro.

Gerenciamento de clusters:

  • O job machine-init falha durante o provisionamento do cluster.

Servidores físicos:

  • O progresso da atualização do cluster de administrador raiz está travado no upgrade do nó, especificamente NodeBIOSFirmwareUpgradeCompleted.

Serviço de banco de dados:

  • As cargas de trabalho do serviço de banco de dados operam no cluster do sistema, o que pode resultar no compartilhamento da infraestrutura de computação com outras instâncias de banco de dados e vários sistemas de plano de controle.

Harbor como serviço (HAAS):

  • Como é um recurso de visualização do Google Distributed Cloud com isolamento físico 1.12.0, não se espera que o HaaS opere em ambientes de produção.
    O trabalho de pré-instalação falha por design para impedir que os subcomponentes sejam reconciliados corretamente, o que impede que os usuários usem o HaaS.
    É esperado encontrar subcomponentes do HaaS no estado de reconciliação, o que não afeta a funcionalidade de outros componentes.

Firewall:

  • Durante a implantação do cliente, o nome de usuário do administrador do arquivo secret.yaml precisa ser admin, mas contém TO-BE-FILLED após a primeira criação. O nome de usuário admin precisa ser usado para inicializar a primeira configuração no firewall.

Módulo de segurança de hardware:

  • As licenças de teste desativadas ainda são detectáveis no CipherTrust Manager, acionando avisos de expiração falsos.
  • Ao excluir um CTMKey do KMS, o PA pode encontrar comportamentos inesperados, incluindo a não inicialização do serviço do KMS para a organização.
  • Um secret rotativo para módulos de segurança de hardware está em um estado desconhecido.
  • As rotações da autoridade de certificação interna do HSM ficam travadas e não são concluídas.

Geração de registros:

Monitoramento:

  • Os certificados do Node Exporter podem não ficar prontos ao criar uma organização.
  • Algumas métricas dos clusters de usuários não são coletadas. Esse problema afeta os clusters de VM do usuário, mas não o cluster do sistema.
  • A classe de armazenamento de métricas está definida incorretamente na configuração.
  • O ConfigMap mon-prober-backend-prometheus-config é redefinido para não incluir jobs de sondagem, e o alerta MON-A0001 é acionado.

Plataforma do nó:

  • O upgrade do nó falha devido a um arquivo lvm.conf desatualizado.

Servidores físicos:

  • O progresso da atualização do cluster de administrador raiz está travado no upgrade do nó, especificamente NodeBIOSFirmwareUpgradeCompleted.
  • Ao instalar um servidor manualmente, a instalação pode ficar travada.

Fazer upgrade:

  • Falha no upgrade do nó para NodeOSInPlaceUpgradeCompleted.
  • A troca de upgrade não executa o comando install add bootflash://..
  • Vários pods em um cluster do sistema podem ficar presos no estado TaintToleration.

Rede superior:

  • Um cluster de VM de usuário fica preso no estado ContainerCreating com o aviso FailedCreatePodSandBox.

Vertex AI:

  • O MonitoringTarget mostra um status Not Ready quando os clusters de usuários estão sendo criados, fazendo com que as APIs pré-treinadas mostrem continuamente um estado Enabling na interface do usuário.

Backup e restauração de VM:

  • O controle de acesso baseado em função (RBAC) e as configurações de esquema no gerenciador de VMs estão impedindo que os usuários iniciem processos de backup e restauração de VMs.
  • A importação da imagem de VM falha na etapa de tradução devido ao tamanho insuficiente do disco e ao tempo limite na resposta do proxy de armazenamento de objetos.

SIEM:

  • Os jobs de pré-instalação do OCLCM falham repetidamente na verificação do recurso.

Performance:

  • O Google Distributed Cloud com isolamento físico 1.12.0 descontinua a capacidade de executar comparativos de mercado provision key.