Notas da versão do Google Distributed Cloud com isolamento físico

5 de março de 2024 [GDC 1.12.1]


  • O Google Distributed Cloud com isolamento físico 1.12.1 já está disponível.
    Consulte a visão geral do produto para saber mais sobre os recursos do Google Distributed Cloud com isolamento físico.

Atualizamos a versão da imagem do SO Ubuntu da Canonical para 20240214 para aplicar os patches de segurança e atualizações importantes mais recentes. Para aproveitar as correções de bugs e vulnerabilidades de segurança, é necessário fazer upgrade de todos os nós a cada lançamento. As seguintes vulnerabilidades de segurança foram corrigidas:


Atualizamos a versão da imagem do Rocky Linux para 20240131 para aplicar os patches de segurança mais recentes e atualizações importantes. Para aproveitar as correções de bugs e vulnerabilidades de segurança, é necessário fazer upgrade de todos os nós a cada lançamento. As seguintes vulnerabilidades de segurança foram corrigidas:


As seguintes vulnerabilidades de segurança de imagens de contêiner foram corrigidas:


Backup e restauração:

  • Um problema impede backups de volume em buckets da organização.
  • A rota de backup para organizações falha.

Gerenciamento de clusters:

  • Os clusters de usuário com a versão 1.27.x do Kubernetes podem ter pools de nós que não são inicializados.

Istio:

  • Pods no estado ImagePullBackOff com o evento Back-off pulling image "auto".

Armazenamento de arquivos e blocos:

  • Ao fazer upgrade da versão 1.11.1 para a 1.12.1, o lançamento do subcomponente file-netapp-trident pode falhar.

Módulo de segurança de hardware:

  • Um secret rotativo para módulos de segurança de hardware está em um estado desconhecido.

Geração de registros:

  • Ao fazer upgrade da versão 1.11.1 para a 1.12.1, os ValidatingWebhookConfigurations, MutatingWebhookConfigurations e MonitoringRules implantados pelo componente de registro em log podem não ser atualizados.
  • O pod cortex-ingester mostra um status OOMKilled.
  • Depois de ativar a exportação de registros para um destino SIEM externo, os registros encaminhados não contêm registros do servidor da API Kubernetes.

Monitoramento:

  • Configurar o webhook do ServiceNow faz com que o gerenciamento do ciclo de vida (LCM) faça uma nova reconciliação e reverta as mudanças feitas no objeto ConfigMap mon-alertmanager-servicenow-webhook-backend e no objeto Secret mon-alertmanager-servicenow-webhook-backend no namespace mon-system.
  • Ao fazer upgrade da versão 1.11.x para a 1.12.1, a exclusão do bucket do Cortex pode falhar.
  • Os registros de auditoria e operacionais não são coletados.
  • A classe de armazenamento de métricas está definida incorretamente na configuração.
  • O ConfigMap mon-prober-backend-prometheus-config é redefinido para não incluir jobs de sondagem, e o alerta MON-A0001 é acionado.

Rede:

  • O GDC tem problemas com atualizações, encerramento e programação de VMs e contêineres.
  • O script de pré-instalação falha em várias chaves.
  • O upgrade da versão 1.11 para a 1.12.1 falha devido a uma geração sem êxito do recurso personalizado hairpinlink.

Plataforma do nó:

  • Ao fazer upgrade da versão 1.11.x para a 1.12.1, um pod de download de imagem de troca pode ficar preso no estado ErrImagePull.
  • Ao fazer upgrade da versão 1.11.x para a 1.12.1, o firewall do host bloqueia o download da imagem de troca.

Servidor NTP:

  • O pod do servidor de retransmissão NTP falha após a reinicialização.
  • O pod de job de retransmissão NTP falha após a reinicialização.

Servidores físicos:

  • Ao fazer upgrade da versão 1.11.x para a 1.12.1, NodeUpgrade contém várias versões para o mesmo modelo de hardware, bloqueando a verificação do upgrade de firmware.
  • Ao instalar um servidor manualmente, a instalação pode ficar travada.
  • Os servidores estão presos no estado de provisionamento.
  • Um NodePool tem um servidor em estado desconhecido durante a criação.

Registro de artefatos do sistema:

  • O Harbor entra em loop de falhas após um upgrade do ABM.

Fazer upgrade:

  • Ao fazer upgrade da versão 1.11.x para a 1.12.1, o upgrade do nó fica parado com o erro MaintenanceModeHealthCheckReady undrain.
  • Ao fazer upgrade da versão 1.11.x para a 1.12.1, um nó do cluster pode não sair do modo de manutenção devido a uma falha na verificação de integridade de registy_mirror.
  • O upgrade no local do nó do SO pode parar de responder.
  • Ao fazer upgrade do HW2.0 e do Ubuntu, o upgrade do nó mostra incorretamente o RockyLinux.

Vertex AI:

  • O MonitoringTarget mostra um status Not Ready quando os clusters de usuários estão sendo criados, fazendo com que as APIs pré-treinadas mostrem continuamente um estado Enabling na interface do usuário.

VM Manager:

  • Ao fazer upgrade da versão 1.11.x para a 1.12.x, uma VM pode não ficar pronta devido ao excesso de pods.
  • O VMRuntime pode não estar pronto devido a uma falha na instalação do network-controller-manager.


Faturamento:

  • Correção do problema que fazia o upgrade do patch falhar com a verificação de upgrade.
  • Correção do problema que causava a criação de vários objetos billing-storage-init-job.

Firewall:

  • Correção do problema com o tráfego bloqueado para o armazenamento de objetos do bootstrap, causado por uma política deny configurada na porta 8082.

Monitoramento:

  • Correção do problema de não coleta de métricas dos clusters de usuário, afetando os clusters de VM do usuário, mas não o cluster do sistema.
  • Foi corrigido o problema de o Prometheus principal enviar métricas para o locatário do Cortex em limites de cluster.

Serviços principais de infraestrutura do pacote de operações (OIC):

  • Foi corrigido o problema com a configuração de estado desejado (DSC, na sigla em inglês), que retornava resultados incorretos e não atualizava os recursos.
  • Correção do problema em que a implantação do Microsoft System Center Configuration Manager (SCCM) não é concluída e exige intervenção manual para ser corrigida.

Backup e restauração de VM:

  • Corrigimos um problema em que o controle de acesso baseado em função (RBAC) e as configurações de esquema no gerenciador de VMs impediam os usuários de iniciar processos de backup e restauração de VMs.

Gerenciador de complementos:

  • A versão do Google Distributed Cloud foi atualizada para 1.28.100-gke.150 para aplicar os patches de segurança e atualizações importantes mais recentes.

Serviços principais de infraestrutura do pacote de operações (OIC):

  • O Google Distributed Cloud com isolamento físico 1.12.1 adicionou instruções para que os parceiros preparem artefatos do OIC excluídos do lançamento.

Gerenciamento de eventos e informações de segurança (SIEM):

  • O Splunk Enterprise e o Splunk Universal Forwarder são atualizados para a versão 9.1.3.

Atualização da versão:

  • A versão da imagem baseada no Debian é atualizada para bookworm-v1.0.1-gke.1.