2024 年 2 月 16 日 [GDC 1.12.0]
- Google Distributed Cloud 實體隔離方案 1.12.0 版現已推出。
請參閱產品總覽,瞭解 Google Distributed Cloud 氣隙隔離的功能。 - Google Distributed Cloud air-gapped 1.12.0 支援兩種作業系統:
- Ubuntu 20231205
- Rocky Linux 20231208
將 Canonical Ubuntu OS 映像檔版本更新至 20231208,以套用最新的安全修補程式和重要更新。如要充分發揮錯誤和安全漏洞修正的效益,您必須在每個版本發布時升級所有節點。修正下列安全性漏洞:
修正下列容器映像檔安全漏洞:
- CVE-2020-24736
- CVE-2020-29509
- CVE-2020-29511
- CVE-2020-29652
- CVE-2021-29923
- CVE-2021-31525
- CVE-2021-33195
- CVE-2021-33196
- CVE-2021-33197
- CVE-2021-33198
- CVE-2021-34558
- CVE-2021-36221
- CVE-2021-38297
- CVE-2021-38561
- CVE-2021-39293
- CVE-2021-41771
- CVE-2021-41772
- CVE-2021-43565
- CVE-2021-44716
- CVE-2022-1705
- CVE-2022-1962
- CVE-2022-2879
- CVE-2022-2880
- CVE-2022-3063
- CVE-2022-21235
- CVE-2022-21698
- CVE-2022-23471
- CVE-2022-23524
- CVE-2022-23525
- CVE-2022-23526
- CVE-2022-23648
- CVE-2022-23772
- CVE-2022-23773
- CVE-2022-23806
- CVE-2022-24675
- CVE-2022-24921
- CVE-2022-27191
- CVE-2022-27664
- CVE-2022-28131
- CVE-2022-28327
- CVE-2022-29526
- CVE-2022-30580
- CVE-2022-30630
- CVE-2022-30631
- CVE-2022-30632
- CVE-2022-30633
- CVE-2022-30635
- CVE-2022-31030
- CVE-2022-32148
- CVE-2022-32149
- CVE-2022-32189
- CVE-2022-41715
- CVE-2022-41717
- CVE-2022-41721
- CVE-2022-41723
- CVE-2022-41724
- CVE-2022-41725
- CVE-2022-41912
- CVE-2022-48174
- CVE-2023-1667
- CVE-2023-2253
- CVE-2023-2283
- CVE-2023-2603
- CVE-2023-2975
- CVE-2023-3446
- CVE-2023-3817
- CVE-2023-3978
- CVE-2023-22036
- CVE-2023-22041
- CVE-2023-22049
- CVE-2023-24532
- CVE-2023-24534
- CVE-2023-24536
- CVE-2023-24537
- CVE-2023-24538
- CVE-2023-24539
- CVE-2023-24540
- CVE-2023-25153
- CVE-2023-25165
- CVE-2023-25173
- CVE-2023-25193
- CVE-2023-26604
- CVE-2023-27533
- CVE-2023-27535
- CVE-2023-27536
- CVE-2023-27538
- CVE-2023-28321
- CVE-2023-28484
- CVE-2023-28840
- CVE-2023-28841
- CVE-2023-28842
- CVE-2023-29400
- CVE-2023-29402
- CVE-2023-29403
- CVE-2023-29404
- CVE-2023-29405
- CVE-2023-29406
- CVE-2023-29409
- CVE-2023-29469
- CVE-2023-29491
- CVE-2023-36054
- CVE-2023-39318
- CVE-2023-39319
- CVE-2023-39323
- CVE-2023-39325
- CVE-2023-39326
- CVE-2023-39417
- CVE-2023-39533
- CVE-2023-45142
- CVE-2023-45285
- CVE-2023-45287
- CVE-2023-48795
- CVE-2023-49568
- CVE-2023-49569
- CVE-2023-51385
更新 gcr.io/distroless/base 基本映像檔,以摘要 sha256:eda29d6da91216123f1c1841b7c7a7abe1eece155cfe8d20d2a29e5daf9ad497 套用最新的安全修補程式和重要更新。
外掛程式管理員:
Google Distributed Cloud 版本已更新至 1.28.0-gke.435,以套用最新的安全性修補程式和重要更新。
建構及封裝:
Golang 版本升級至 1.20。
Google Distributed Cloud air-gapped 1.12.0 會在輸出內容中新增軟體物料清單 (SBOM),並更新邏輯,確保日後發布這類 SBOM。
Google Distributed Cloud 氣隙隔離 1.12.0 版新增
gdch_notice_license_filestar 檔案,可上傳資訊清單。
廣告空間管理:
- Google Distributed Cloud air-gapped 1.12.0 新增硬體版本 3.0 連線清單的驗證。
- Google Distributed Cloud 實體隔離方案 1.12.0 更新了主控台伺服器管理連接埠模式,允許使用 LAN1A 和 LAN2A。
- Google Distributed Cloud air-gapped 1.12.0 新增訊息,可避免 PA850 主動和被動模式造成混淆。
- Google Distributed Cloud 實體隔離方案 1.12.0 支援驗證中的分線盒。
- Google Distributed Cloud air-gapped 1.12.0 會驗證永久防火牆與管理防火牆的連線。
- Google Distributed Cloud air-gapped 1.12.0 在 Customer Intake Questionnaire 生成器中新增 OI 無類別跨網域路由 (CIDR) 提示。
- Google Distributed Cloud air-gapped 1.12.0 改善了 MAC 位址遺失失敗時的錯誤訊息,可減少驗證 HSM 和 mgmtsw 連線時的飛行前檢查不穩定問題。
營運中心 IT 機構:
Operations Center IT 機構的名稱已更新如下:
營運中心 (OC) 已重新命名為營運套件設施 (OIF)。
OC Core 已重新命名為 Operations Suite Infrastructure Core Rack (OIR)。
營運中心 IT (OCIT) 已重新命名為營運套件基礎架構 (OI)。
OCIT 已重新命名為 OI。
詳情請參閱「術語」一節。
Google Distributed Cloud air-gapped 1.12.0 會更新 Userlock 設定指令碼,允許使用容錯移轉伺服器。
Google Distributed Cloud 實體隔離環境 1.12.0 版會預先建立額外的 Operations Suite Infrastructure (OI) 安全性群組,以便在 OI 系統中提供精細的存取權。
系統構件登錄檔:
- Google Distributed Cloud air-gapped 1.12.0 會從 CLI 資產中移除
-f(--force) 短旗標。
版本更新:
Debian 型映像檔版本已更新為 bookworm-v1.0.0-gke.3。
憑證管理員:
- 為機構導入網頁 TLS 憑證的金鑰大小設定。
資料庫服務:
- 支援 Oracle 資料庫的時間點復原 (PITR) 功能。
- 支援 Postgres 進階遷移作業,可將地端資料庫遷移至 GDC 資料庫服務管理的資料庫。
記錄:
- 新增 Log Query gRPC API,可透過 API 端點以程式輔助方式查詢作業和稽核記錄。
- 新增將 PA 記錄匯出至外部 SIEM 系統的功能。
市集:
- Google Distributed Cloud 實體隔離方案 1.12.0 Marketplace 現已提供 MongoDB Enterprise Advanced (自備授權)。
這是一系列產品和服務,可提升安全性、效率,並讓您控管 MongoDB 資料庫。
物件儲存空間:
- 新增了必要映像檔,可在物件儲存軟體中存放升級檔案。
- 在值區 Webhook 中新增加密版本標籤。
- 新增物件憑證輪替的協調器。
作業套件基礎架構核心服務 (OIC)
- Google Distributed Cloud 氣隙隔離 1.12.0 會在 Grafana 中收集 OIC 記錄。
- Google Distributed Cloud 實體隔離方案 1.12.0 會將
Copy-BareMetalFiles.ps1指令碼從安裝說明文件移至private-cloud/operations/dsc/中的指令碼。
- 根管理員叢集的網頁 TLS 憑證是由 Google Distributed Cloud 無氣隙內部公開金鑰基礎架構核發。
安全法規遵循:
- Google Distributed Cloud 實體隔離方案 1.12.0 導入了通過安全評估所需的連接埠安全防護。
票證系統
- 更新 ServiceNow 中的排定工作,錯開執行時間,避免資料庫尖峰流量。
- 當 ServiceNow 中的中繼監控事件過時時,基礎架構營運人員會收到快訊。
升級
- 為基礎架構營運人員和平台管理員新增「升級狀態」資訊主頁。
- 新增觸發使用者叢集升級的指令。
Vertex AI:
- 新增線上預測預覽功能,可在支援的容器上使用自己的預測模型處理要求。
- 新增文件翻譯預覽功能,可直接翻譯格式化 PDF 文件,並保留翻譯文件的原始格式和版面配置。
- 支援備份及還原筆記本資料,這些資料位於 Vertex AI Workbench JupyterLab 執行個體的主目錄中。
虛擬機器管理
- 新增虛擬機器的 Windows OS 支援,可建立、匯入及連線至 Windows VM。
帳單:
- 修正
onetimeusage工作一律無法更新onetimeusage物件標籤的問題,避免系統發出失敗快訊。
- 修正問題:自訂資源 (CR) 的成本寫入資料庫後,標籤更新為已處理前,如果作業重新啟動,自訂資源的匯總成本會重複計算。
硬體安全模組:
- 修正硬體安全模組頻繁在
ServicesNotStarted和ready狀態之間切換的問題。
混合式身分:
- 修正身分 Pod 中的網路設定問題。
廣告空間管理:
- 修正授權剖析器無法剖析授權 JSON 文字跨越多行的物件儲存空間檔案的問題。
- 修正硬體 3.0 CellCfg CableType 驗證規則運算式問題。
- 修正了在硬體驗證中加入啟動程序節點的問題。
- 修正伺服器啟動後,根管理員叢集節點的
SecureBootEnable會關閉的問題。
作業套件基礎架構核心服務 (OIC)
- 修正
Initialize-BareMetalHost.ps1無法偵測是否需要重新啟動的問題。 - 修正企業 CA 根目錄的問題,並未核發要提交的 req 檔案以供離線 CA 根目錄使用。
- 修正問題:OIC VM 建立程序會啟用 Hyper-V 時間同步功能。
票證系統
- 修正 MariaDB Audit 問題。
升級
- 新增 IAM 升級後檢查,修正 Identity and Access Management (IAM) 快訊問題。
虛擬機器管理
-
修正 VM 無法排程時,VM 狀態先前會顯示
PendingIPAllocation的問題。修正後,虛擬機器的狀態會顯示ErrorUnscheduable。 - 修正 VM 映像檔匯入作業使用錯誤物件儲存空間密鑰的問題。
備份與還原:
- 即使備份存放區狀態良好,也可能會觸發快訊。
叢集管理:
- 叢集佈建期間,
machine-init工作會失敗。
實體伺服器:
- 根管理員叢集更新進度停滯在節點升級階段,具體來說是
NodeBIOSFirmwareUpgradeCompleted。
資料庫服務:
- 資料庫服務工作負載會在系統叢集中運作,因此資料庫工作負載可能會與其他資料庫執行個體和各種控制平面系統共用運算基礎架構。
Harbor 即服務 (HAAS):
- HaaS 是 Google Distributed Cloud 實體隔離方案 1.12.0 的預先發布功能,因此不適合在實際工作環境中運作。
預先安裝作業會刻意失敗,防止子元件正確調解,進而避免使用者使用 HaaS。
預期會發現 HaaS 子元件處於協調狀態,這不會影響其他元件的功能。
防火牆:
- 在客戶部署期間,
secret.yaml檔案管理員使用者名稱必須為admin,且在首次建立後會改為TO-BE-FILLED。您必須使用admin使用者名稱,在防火牆上初始化第一個設定。
硬體安全模組:
- CipherTrust Manager 仍可偵測到已停用的試用授權, 因此會觸發錯誤的到期警告。
-
刪除 KMS
CTMKey時,PA 可能會遇到非預期的行為,包括無法為機構啟動 KMS 服務。 - 硬體安全模組的可輪替密鑰處於不明狀態。
- HSM 內部憑證授權單位輪替作業停滯不前,無法完成。
記錄:
- 啟用記錄匯出至外部 SIEM 目的地後,轉送的記錄不含任何 Kubernetes API 伺服器記錄。
監控:
- 建立機構時,Node Exporter 憑證可能無法就緒。
- 系統不會收集部分使用者群組的指標。這個問題會影響使用者 VM 叢集,但不會影響系統叢集。
- 設定中定義的指標儲存空間類別有誤。
-
mon-prober-backend-prometheus-configConfigMap 會重設為不含任何探查工作,並觸發警報MON-A0001。
節點平台:
- 節點升級失敗,因為
lvm.conf檔案已過時。
實體伺服器:
- 根管理員叢集更新進度停滯在節點升級階段,具體來說是
NodeBIOSFirmwareUpgradeCompleted。
- 手動安裝伺服器時,伺服器安裝作業可能會停滯。
升級:
- 節點「
NodeOSInPlaceUpgradeCompleted」升級失敗。 - 切換升級作業無法執行指令
install add bootflash://.. - 系統叢集中的多個 Pod 可能會停滯在
TaintToleration狀態。
上層聯播網:
- 使用者 VM 叢集停滯在
ContainerCreating狀態,並顯示FailedCreatePodSandBox警告。
Vertex AI:
-
建立使用者叢集時,
MonitoringTarget會顯示Not Ready狀態,導致預先訓練的 API 持續在使用者介面中顯示Enabling狀態。
VM 備份與還原:
- VM 管理工具中的角色型存取權控管 (RBAC) 和結構定義設定,會阻止使用者啟動 VM 備份和還原程序。
- 由於磁碟大小不足,且物件儲存空間 Proxy 回應逾時,因此 VM 映像檔匯入作業在映像檔轉換步驟失敗。
SIEM:
- OCLCM 預先安裝工作在特徵閘檢查時反覆失敗。
效能:
Google Distributed Cloud 氣隙隔離 1.12.0 版已淘汰執行
provision key基準的功能。