2024 年 2 月 16 日 [GDC 1.12.0]
- 经过网闸隔离的 Google Distributed Cloud 1.12.0 现已发布。
请参阅产品概览,了解 Google Distributed Cloud 网闸隔离配置的功能。 - 经过网闸隔离的 Google Distributed Cloud 1.12.0 支持两种操作系统:
- Ubuntu 20231205
- Rocky Linux 20231208
将 Canonical Ubuntu 操作系统映像版本更新为 20231208,以应用最新的安全补丁和重要更新。如需利用 bug 和安全漏洞修复,您必须在每个版本发布后升级所有节点。修复了以下安全漏洞:
以下容器映像安全漏洞已修复:
- CVE-2020-24736
- CVE-2020-29509
- CVE-2020-29511
- CVE-2020-29652
- CVE-2021-29923
- CVE-2021-31525
- CVE-2021-33195
- CVE-2021-33196
- CVE-2021-33197
- CVE-2021-33198
- CVE-2021-34558
- CVE-2021-36221
- CVE-2021-38297
- CVE-2021-38561
- CVE-2021-39293
- CVE-2021-41771
- CVE-2021-41772
- CVE-2021-43565
- CVE-2021-44716
- CVE-2022-1705
- CVE-2022-1962
- CVE-2022-2879
- CVE-2022-2880
- CVE-2022-3063
- CVE-2022-21235
- CVE-2022-21698
- CVE-2022-23471
- CVE-2022-23524
- CVE-2022-23525
- CVE-2022-23526
- CVE-2022-23648
- CVE-2022-23772
- CVE-2022-23773
- CVE-2022-23806
- CVE-2022-24675
- CVE-2022-24921
- CVE-2022-27191
- CVE-2022-27664
- CVE-2022-28131
- CVE-2022-28327
- CVE-2022-29526
- CVE-2022-30580
- CVE-2022-30630
- CVE-2022-30631
- CVE-2022-30632
- CVE-2022-30633
- CVE-2022-30635
- CVE-2022-31030
- CVE-2022-32148
- CVE-2022-32149
- CVE-2022-32189
- CVE-2022-41715
- CVE-2022-41717
- CVE-2022-41721
- CVE-2022-41723
- CVE-2022-41724
- CVE-2022-41725
- CVE-2022-41912
- CVE-2022-48174
- CVE-2023-1667
- CVE-2023-2253
- CVE-2023-2283
- CVE-2023-2603
- CVE-2023-2975
- CVE-2023-3446
- CVE-2023-3817
- CVE-2023-3978
- CVE-2023-22036
- CVE-2023-22041
- CVE-2023-22049
- CVE-2023-24532
- CVE-2023-24534
- CVE-2023-24536
- CVE-2023-24537
- CVE-2023-24538
- CVE-2023-24539
- CVE-2023-24540
- CVE-2023-25153
- CVE-2023-25165
- CVE-2023-25173
- CVE-2023-25193
- CVE-2023-26604
- CVE-2023-27533
- CVE-2023-27535
- CVE-2023-27536
- CVE-2023-27538
- CVE-2023-28321
- CVE-2023-28484
- CVE-2023-28840
- CVE-2023-28841
- CVE-2023-28842
- CVE-2023-29400
- CVE-2023-29402
- CVE-2023-29403
- CVE-2023-29404
- CVE-2023-29405
- CVE-2023-29406
- CVE-2023-29409
- CVE-2023-29469
- CVE-2023-29491
- CVE-2023-36054
- CVE-2023-39318
- CVE-2023-39319
- CVE-2023-39323
- CVE-2023-39325
- CVE-2023-39326
- CVE-2023-39417
- CVE-2023-39533
- CVE-2023-45142
- CVE-2023-45285
- CVE-2023-45287
- CVE-2023-48795
- CVE-2023-49568
- CVE-2023-49569
- CVE-2023-51385
将 gcr.io/distroless/base 基本映像更新为摘要 sha256:eda29d6da91216123f1c1841b7c7a7abe1eece155cfe8d20d2a29e5daf9ad497,以应用最新的安全补丁和重要更新。
插件管理器:
Google Distributed Cloud 版本已更新为 1.28.0-gke.435,以应用最新的安全补丁和重要更新。
如需了解详情,请参阅 Google Distributed Cloud 1.28.0-gke.435 版本说明。
构建和打包:
Golang 版本已升级到 1.20。
Google Distributed Cloud air-gapped 1.12.0 向输出添加了额外的软件物料清单 (SBOM),并更新了逻辑以确保将来发布此类 SBOM。
Google Distributed Cloud 网闸隔离配置 1.12.0 添加了
gdch_notice_license_filestar 文件,用于上传清单。
广告资源管理:
- Google Distributed Cloud air-gapped 1.12.0 为硬件版本 3.0 连接列表添加了验证。
- Google Distributed Cloud 网闸隔离配置 1.12.0 更新了控制台服务器管理端口模式,以允许 LAN1A 和 LAN2A。
- Google Distributed Cloud air-gapped 1.12.0 添加了一条消息,以缓解 PA850 主动模式和被动模式造成的混淆。
- Google Distributed Cloud air-gapped 1.12.0 支持在验证中使用分线盒。
- Google Distributed Cloud air-gapped 1.12.0 添加了对永久防火墙到管理防火墙连接的验证。
- Google Distributed Cloud 空气隔离版 1.12.0 向客户信息收集问卷生成器添加了 OI 无类别域间路由 (CIDR) 提示。
- Google Distributed Cloud air-gapped 1.12.0 改进了 MAC 地址缺失失败时的错误消息,以缓解在验证 HSM 和 mgmtsw 连接时预检检查不稳定性的问题。
运营中心 IT 组织:
运营中心 IT 组织进行了以下名称更新:
运营中心 (OC) 已重命名为运营套件设施 (OIF)。
OC Core 已重命名为 Operations Suite Infrastructure Core Rack (OIR)。
Operations Center IT (OCIT) 已重命名为 Operations Suite Infrastructure (OI)。
OCIT 已重命名为 OI。
如需了解详情,请参阅术语。
Google Distributed Cloud air-gapped 1.12.0 更新了 Userlock 配置脚本,以允许使用故障切换服务器。
Google Distributed Cloud 网闸隔离配置 1.12.0 会预先创建额外的运维套件基础架构 (OI) 安全组,以允许在 OI 系统之间进行精细的访问。
系统制品注册表:
- Google Distributed Cloud air-gapped 1.12.0 从 CLI 资产中移除了
-f(--force) 短标志。
版本更新:
基于 Debian 的映像版本已更新为 bookworm-v1.0.0-gke.3。
Certificate manager:
- 为组织引入了 Web-TLS 证书中的密钥大小配置。
数据库服务:
- 支持对其 Oracle 数据库进行时间点恢复 (PITR)。
- 支持 Postgres 高级迁移,以便将本地数据库迁移到由 GDC 数据库服务管理的数据库。
日志记录:
- 添加了 Log Query gRPC API,以便通过 API 端点以编程方式查询运营日志和审核日志。
- 包含将 PA 日志导出到外部 SIEM 系统的功能。
Marketplace:
- MongoDB Enterprise Advanced (BYOL) 现已在 Google Distributed Cloud 网闸隔离配置 1.12.0 Marketplace 中提供。
它是一系列产品和服务,可提高安全性和效率,并让您掌控 MongoDB 数据库。
对象存储:
- 添加了在对象存储软件中托管升级文件所需的新映像。
- 为存储桶 webhook 添加了加密版本标签。
- 为对象凭据轮换添加了协调器。
运维套件基础架构核心服务 (OIC)
- Google Distributed Cloud 网闸隔离配置 1.12.0 会在 Grafana 中收集 OIC 日志。
- Google Distributed Cloud 网闸隔离配置 1.12.0 将
Copy-BareMetalFiles.ps1脚本从安装文档移至private-cloud/operations/dsc/中的脚本。
- 根管理员集群的网络 TLS 证书由 Google Distributed Cloud 气隙内部公钥基础架构颁发。
安全合规性:
- Google Distributed Cloud 网闸隔离配置 1.12.0 引入了通过安全评估所需的端口安全功能。
工单系统
- 更新了 ServiceNow 中的已安排作业,以错开其运行时间,防止数据库出现峰值。
- 当 ServiceNow 中的元监控突发事件过时时,基础架构运维人员会收到提醒。
升级
- 为基础架构运维者和平台管理员添加了升级状态信息中心。
- 添加了用于触发用户集群升级的命令。
Vertex AI:
- 添加了在线预测预览版,以便在支持的容器上使用您自己的预测模型来处理请求。
- 添加了文档翻译预览版,可直接翻译 PDF 格式的文档,并在翻译中保留原始格式和布局。
- 支持备份和恢复 Vertex AI Workbench JupyterLab 实例主目录中的笔记本数据。
虚拟机管理
- 为虚拟机添加了 Windows 操作系统支持,以便创建、导入和连接到 Windows 虚拟机。
结算:
- 修复了
onetimeusage作业在更新onetimeusage对象上的标签时总是失败并导致失败提醒的问题。
- 修复了以下问题:在自定义资源 (CR) 的费用写入数据库后,如果作业在标签更新为“已处理”之前重新启动,会导致自定义资源的汇总费用重复计算。
硬件安全模块:
- 修复了导致硬件安全模块在
ServicesNotStarted和ready状态之间频繁切换的问题。
混合身份:
- 修复了身份 Pod 中的网络配置问题。
广告资源管理:
- 修复了许可解析器无法解析许可 JSON 文本跨越多行的对象存储文件的问题。
- 修复了硬件 3.0 CellCfg CableType 验证正则表达式存在的问题。
- 修复了在硬件验证中包含引导加载程序节点的问题。
- 修复了在服务器引导后根管理员集群节点上的
SecureBootEnable处于关闭状态的问题。
运维套件基础架构核心服务 (OIC)
- 修复了
Initialize-BareMetalHost.ps1未检测到需要重启的问题。 - 修复了以下问题:企业 CA 根未签发要提交的请求文件,以用于离线 CA 根。
- 修复了 OIC 虚拟机创建过程使 Hyper-V 时间同步保持启用状态的问题。
工单系统
- 修复了 MariaDB 审核问题。
升级
- 通过添加 IAM 升级后检查,修复了 Identity and Access Management (IAM) 提醒方面的问题。
虚拟机管理
-
修复了以下问题:如果虚拟机无法进行调度,则虚拟机状态之前会显示
PendingIPAllocation。修复后,虚拟机状态显示为ErrorUnscheduable。 - 修复了在虚拟机映像导入操作中使用错误的对象存储密钥的问题。
备份和恢复:
- 即使备份代码库运行状况良好,也可能会触发相关提醒。
集群管理:
- 在集群配置期间,
machine-init作业失败。
物理服务器:
- 根管理员集群更新进度卡在节点升级阶段,具体为
NodeBIOSFirmwareUpgradeCompleted。
数据库服务:
- 数据库服务工作负载在系统集群内运行,这可能会导致数据库工作负载与其他数据库实例和各种控制平面系统共享计算基础设施。
Harbor 即服务 (HAAS):
- HaaS 是 Google Distributed Cloud 网闸隔离配置 1.12.0 的预览版功能,不应在生产环境中运行。
预安装作业按设计会失败,以防止子组件正确协调,从而阻止用户使用 HaaS。
预计会发现处于协调状态的 HaaS 子组件,这不会影响其他组件的功能。
防火墙:
- 在客户部署期间,
secret.yaml文件管理员用户名必须为admin,但在首次创建后会包含TO-BE-FILLED。必须使用admin用户名在防火墙上初始化第一个配置。
硬件安全模块:
- 在 CipherTrust Manager 中仍可检测到已停用的试用版许可,从而触发错误的过期警告。
-
删除 KMS
CTMKey时,PA 可能会遇到意外行为,包括 KMS 服务未针对组织启动。 - 硬件安全模块的可轮替 Secret 处于未知状态。
- HSM 内部证书授权机构轮替卡住,无法完成。
日志记录:
- 启用日志导出到外部 SIEM 目标位置后,转发的日志不包含任何 Kubernetes API 服务器日志。
监控:
- 创建组织时,Node Exporter 证书可能无法就绪。
- 未收集用户集群中的某些指标。此问题会影响用户虚拟机集群,但不会影响系统集群。
- 配置中定义的指标存储类不正确。
-
mon-prober-backend-prometheus-configConfigMap 会重置为不包含任何探测作业,并触发提醒MON-A0001。
节点平台:
- 节点升级因
lvm.conf文件过时而失败。
物理服务器:
- 根管理员集群更新进度卡在节点升级阶段,具体为
NodeBIOSFirmwareUpgradeCompleted。
- 手动安装服务器时,服务器安装可能会卡住。
升级:
- 节点升级失败,原因如下:
NodeOSInPlaceUpgradeCompleted。 - 交换机升级无法运行命令
install add bootflash://.. - 系统集群中的多个 pod 可能会卡在
TaintToleration状态。
上层联网:
- 用户虚拟机集群卡在
ContainerCreating状态,并显示FailedCreatePodSandBox警告。
Vertex AI:
-
在创建用户集群时,
MonitoringTarget会显示Not Ready状态,导致预训练的 API 在界面中持续显示Enabling状态。
虚拟机备份和恢复:
- 虚拟机管理器中的基于角色的访问权限控制 (RBAC) 和架构设置会阻止用户启动虚拟机备份和恢复进程。
- 由于磁盘大小不足和对象存储代理响应超时,虚拟机映像导入在映像转换步骤中失败。
SIEM:
- OCLCM 预安装作业在功能门检查时反复失败。
效果:
Google Distributed Cloud 经过网闸隔离的 1.12.0 版弃用了执行
provision key基准测试的功能。