5 de março de 2024 [GDC 1.12.1]
- O Google Distributed Cloud com isolamento físico 1.12.1 já está disponível.
Consulte a visão geral do produto para saber mais sobre os recursos do Google Distributed Cloud com isolamento físico.
Atualizamos a versão da imagem do SO Ubuntu da Canonical para 20240214 para aplicar os patches de segurança e atualizações importantes mais recentes. Para aproveitar as correções de bugs e vulnerabilidades de segurança, é necessário fazer upgrade de todos os nós a cada lançamento. As seguintes vulnerabilidades de segurança foram corrigidas:
- CVE-2017-16516
- CVE-2020-14394
- CVE-2020-19726
- CVE-2020-24165
- CVE-2020-28493
- CVE-2021-3638
- CVE-2021-46174
- CVE-2022-1725
- CVE-2022-1771
- CVE-2022-1897
- CVE-2022-2000
- CVE-2022-24795
- CVE-2022-35205
- CVE-2022-44840
- CVE-2022-45703
- CVE-2022-47007
- CVE-2022-47008
- CVE-2022-47010
- CVE-2022-47011
- CVE-2023-0340
- CVE-2023-1544
- CVE-2023-23931
- CVE-2023-2861
- CVE-2023-2953
- CVE-2023-31085
- CVE-2023-3180
- CVE-2023-33460
- CVE-2023-3354
- CVE-2023-4408
- CVE-2023-4641
- CVE-2023-5517
- CVE-2023-6228
- CVE-2023-6277
- CVE-2023-6516
- CVE-2023-6915
- CVE-2023-22995
- CVE-2023-37453
- CVE-2023-39189
- CVE-2023-39192
- CVE-2023-39193
- CVE-2023-39804
- CVE-2023-42754
- CVE-2023-43040
- CVE-2023-45871
- CVE-2023-46218
- CVE-2023-46246
- CVE-2023-50387
- CVE-2023-4806
- CVE-2023-4813
- CVE-2023-48231
- CVE-2023-48233
- CVE-2023-48234
- CVE-2023-48235
- CVE-2023-48236
- CVE-2023-48237
- CVE-2023-48733
- CVE-2023-48795
- CVE-2023-50782
- CVE-2023-50868
- CVE-2023-51779
- CVE-2023-51781
- CVE-2023-51782
- CVE-2023-52356
- CVE-2023-5088
- CVE-2023-51764
- CVE-2023-5178
- CVE-2023-5717
- CVE-2023-6004
- CVE-2023-6040
- CVE-2023-6606
- CVE-2023-6918
- CVE-2023-6931
- CVE-2023-6932
- CVE-2023-7104
- CVE-2024-0553
- CVE-2024-0565
- CVE-2024-22195
- CVE-2024-22365
- CVE-2024-24806
Atualizamos a versão da imagem do Rocky Linux para 20240131 para aplicar os patches de segurança mais recentes e atualizações importantes. Para aproveitar as correções de bugs e vulnerabilidades de segurança, é necessário fazer upgrade de todos os nós a cada lançamento. As seguintes vulnerabilidades de segurança foram corrigidas:
As seguintes vulnerabilidades de segurança de imagens de contêiner foram corrigidas:
- CVE-2022-2586
- CVE-2023-1829
- CVE-2023-1380
- CVE-2023-0286
- CVE-2023-0461
- CVE-2023-32233
- CVE-2022-0492
- CVE-2022-24407
- CVE-2023-1281
- CVE-2022-42703
- CVE-2022-34918
- CVE-2022-29581
- CVE-2022-21499
- CVE-2023-31436
- CVE-2022-3515
- CVE-2023-30456
- CVE-2022-32250
- CVE-2022-0001
- CVE-2022-0002
- CVE-2022-43945
- CVE-2022-2588
- CVE-2022-0778
- CVE-2022-23960
- CVE-2022-42896
- CVE-2022-2509
- CVE-2022-1016
- CVE-2021-3999
- CVE-2022-26373
- CVE-2022-3116
- CVE-2022-47673
- CVE-2022-20421
- CVE-2022-1516
- CVE-2022-3028
- CVE-2022-20423
- CVE-2022-1664
- CVE-2022-2318
- CVE-2022-1204
- CVE-2022-21123
- CVE-2021-4159
- CVE-2022-1353
- CVE-2022-47929
- CVE-2022-3586
- CVE-2022-2964
- CVE-2022-36946
- CVE-2022-32296
- CVE-2022-22942
- CVE-2022-0812
- CVE-2022-3643
- CVE-2022-3239
- CVE-2023-1095
- CVE-2022-3521
- CVE-2022-3564
- CVE-2022-1679
- CVE-2021-4083
- CVE-2022-43750
- CVE-2022-0435
- CVE-2022-24958
- CVE-2022-23039
- CVE-2022-2526
- CVE-2023-2162
- CVE-2022-3567
- CVE-2023-0266
- CVE-2021-28715
- CVE-2023-0215
- CVE-2021-4149
- CVE-2022-3111
- CVE-2021-45469
- CVE-2021-3923
- CVE-2022-3424
- CVE-2022-1304
- CVE-2023-31484
- CVE-2022-4304
- CVE-2022-3821
- CVE-2022-20369
- CVE-2022-25258
- CVE-2022-23040
- CVE-2022-1734
- CVE-2022-20566
- CVE-2022-3524
- CVE-2022-3640
- CVE-2022-2068
- CVE-2021-39685
- CVE-2022-25375
- CVE-2022-1462
- CVE-2023-25585
- CVE-2021-33655
- CVE-2022-2978
- CVE-2022-1199
- CVE-2022-2977
- CVE-2021-39698
- CVE-2022-41916
- CVE-2022-29900
- CVE-2021-4197
- CVE-2022-3646
- CVE-2022-2097
- CVE-2020-36516
- CVE-2022-1012
- CVE-2022-3628
- CVE-2022-2991
- CVE-2022-3061
- CVE-2021-3506
- CVE-2021-39711
- CVE-2022-20154
- CVE-2022-40768
- CVE-2022-21125
- CVE-2022-26966
- CVE-2022-29155
- CVE-2022-1419
- CVE-2022-23038
- CVE-2022-0487
- CVE-2018-16860
- CVE-2022-26365
- CVE-2022-33741
- CVE-2023-2513
- CVE-2023-1073
- CVE-2022-26490
- CVE-2018-25032
- CVE-2022-20572
- CVE-2021-45095
- CVE-2022-1205
- CVE-2021-4202
- CVE-2023-26545
- CVE-2022-40307
- CVE-2022-3545
- CVE-2022-47696
- CVE-2022-45934
- CVE-2022-42898
- CVE-2021-33656
- CVE-2022-48303
- CVE-2023-25588
- CVE-2022-4450
- CVE-2021-22600
- CVE-2022-42329
- CVE-2021-28714
- CVE-2023-2650
- CVE-2022-42895
- CVE-2020-35525
- CVE-2022-28389
- CVE-2023-0394
- CVE-2023-0458
- CVE-2022-20009
- CVE-2021-4155
- CVE-2023-0459
- CVE-2022-2663
- CVE-2022-41858
- CVE-2022-45142
- CVE-2022-3437
- CVE-2022-1011
- CVE-2022-37434
- CVE-2022-47629
- CVE-2022-3566
- CVE-2022-3649
- CVE-2022-2639
- CVE-2022-23036
- CVE-2022-20422
- CVE-2022-2153
- CVE-2022-20368
- CVE-2022-33742
- CVE-2023-1074
- CVE-2022-0330
- CVE-2022-29901
- CVE-2020-16156
- CVE-2021-43975
- CVE-2022-42328
- CVE-2022-35737
- CVE-2022-2503
- CVE-2022-33740
- CVE-2023-23559
- CVE-2022-23491
- CVE-2022-24448
- CVE-2022-30594
- CVE-2022-39188
- CVE-2021-44733
- CVE-2022-36879
- CVE-2023-25584
- CVE-2021-26401
- CVE-2022-4095
- CVE-2022-21166
- CVE-2023-29491
- CVE-2022-38533
- CVE-2022-1652
- CVE-2022-27666
- CVE-2022-28390
- CVE-2023-28328
- CVE-2022-3629
- CVE-2023-23455
- CVE-2022-44640
- CVE-2022-1271
- CVE-2022-33981
- CVE-2022-1292
- CVE-2022-28388
- CVE-2022-1048
- CVE-2022-33744
- CVE-2022-23042
- CVE-2022-36280
- CVE-2022-23037
- CVE-2021-44758
- CVE-2023-32269
- CVE-2022-34903
- CVE-2023-24540
- CVE-2023-24538
- CVE-2023-29405
- CVE-2023-29404
- CVE-2023-29402
- CVE-2023-29403
- CVE-2023-45287
- CVE-2023-29400
- CVE-2023-39323
- CVE-2023-45285
- CVE-2023-24537
- CVE-2022-41724
- CVE-2023-2253
- CVE-2023-44487
- CVE-2023-28840
- CVE-2023-24536
- CVE-2022-41725
- CVE-2023-24539
- CVE-2023-24534
- CVE-2023-39325
- CVE-2022-41723
- CVE-2023-29409
- CVE-2023-48795
- CVE-2023-24532
- CVE-2023-29406
- CVE-2023-39326
- CVE-2023-28842
- CVE-2023-39318
- CVE-2023-3978
- CVE-2023-39319
- CVE-2023-28841
- CVE-2024-20952
- CVE-2024-20918
- CVE-2024-20932
- GHSA-m425-mq94-257g
- GHSA-jq35-85cj-fj4p
Backup e restauração:
- Um problema impede backups de volume em buckets da organização.
- A rota de backup para organizações falha.
Gerenciamento de clusters:
- Os clusters de usuário com a versão 1.27.x do Kubernetes podem ter pools de nós que não são inicializados.
Istio:
-
Pods no estado
ImagePullBackOff
com o eventoBack-off pulling image "auto"
.
Armazenamento de arquivos e blocos:
-
Ao fazer upgrade da versão 1.11.1 para a 1.12.1, o lançamento do subcomponente
file-netapp-trident
pode falhar.
Módulo de segurança de hardware:
- Um secret rotativo para módulos de segurança de hardware está em um estado desconhecido.
Geração de registros:
-
Ao fazer upgrade da versão 1.11.1 para a 1.12.1, os
ValidatingWebhookConfigurations
,MutatingWebhookConfigurations
eMonitoringRules
implantados pelo componente de registro em log podem não ser atualizados. -
O pod
cortex-ingester
mostra um statusOOMKilled
. - Depois de ativar a exportação de registros para um destino SIEM externo, os registros encaminhados não contêm registros do servidor da API Kubernetes.
Monitoramento:
-
Configurar o webhook do ServiceNow faz com que o gerenciamento do ciclo de vida (LCM) faça uma nova reconciliação e reverta as mudanças feitas no objeto
ConfigMap
mon-alertmanager-servicenow-webhook-backend
e no objetoSecret
mon-alertmanager-servicenow-webhook-backend
no namespacemon-system
. - Ao fazer upgrade da versão 1.11.x para a 1.12.1, a exclusão do bucket do Cortex pode falhar.
- Os registros de auditoria e operacionais não são coletados.
- A classe de armazenamento de métricas está definida incorretamente na configuração.
-
O ConfigMap
mon-prober-backend-prometheus-config
é redefinido para não incluir jobs de sondagem, e o alertaMON-A0001
é acionado.
Rede:
- O GDC tem problemas com atualizações, encerramento e programação de VMs e contêineres.
- O script de pré-instalação falha em várias chaves.
- O upgrade da versão 1.11 para a 1.12.1 falha devido a uma geração sem êxito do recurso personalizado
hairpinlink
.
Plataforma do nó:
- Ao fazer upgrade da versão 1.11.x para a 1.12.1, um pod de download de imagem de troca pode ficar preso no estado
ErrImagePull
. - Ao fazer upgrade da versão 1.11.x para a 1.12.1, o firewall do host bloqueia o download da imagem de troca.
Servidor NTP:
- O pod do servidor de retransmissão NTP falha após a reinicialização.
- O pod de job de retransmissão NTP falha após a reinicialização.
Servidores físicos:
- Ao fazer upgrade da versão 1.11.x para a 1.12.1,
NodeUpgrade
contém várias versões para o mesmo modelo de hardware, bloqueando a verificação do upgrade de firmware. - Ao instalar um servidor manualmente, a instalação pode ficar travada.
- Os servidores estão presos no estado de provisionamento.
- Um
NodePool
tem um servidor em estado desconhecido durante a criação.
Registro de artefatos do sistema:
- O Harbor entra em loop de falhas após um upgrade do ABM.
Fazer upgrade:
- Ao fazer upgrade da versão 1.11.x para a 1.12.1, o upgrade do nó fica parado com o erro
MaintenanceModeHealthCheckReady
undrain. - Ao fazer upgrade da versão 1.11.x para a 1.12.1, um nó do cluster pode não sair do modo de manutenção devido a uma falha na verificação de integridade de
registy_mirror
. - O upgrade no local do nó do SO pode parar de responder.
- Ao fazer upgrade do HW2.0 e do Ubuntu, o upgrade do nó mostra incorretamente o RockyLinux.
Vertex AI:
-
O
MonitoringTarget
mostra um statusNot Ready
quando os clusters de usuários estão sendo criados, fazendo com que as APIs pré-treinadas mostrem continuamente um estadoEnabling
na interface do usuário.
VM Manager:
- Ao fazer upgrade da versão 1.11.x para a 1.12.x, uma VM pode não ficar pronta devido ao excesso de pods.
- O VMRuntime pode não estar pronto devido a uma falha na instalação do network-controller-manager.
Faturamento:
- Correção do problema que fazia o upgrade do patch falhar com a verificação de upgrade.
- Correção do problema que causava a criação de vários objetos
billing-storage-init-job
.
Firewall:
- Correção do problema com o tráfego bloqueado para o armazenamento de objetos do bootstrap, causado por uma política
deny
configurada na porta8082
.
Monitoramento:
- Correção do problema de não coleta de métricas dos clusters de usuário, afetando os clusters de VM do usuário, mas não o cluster do sistema.
- Foi corrigido o problema de o Prometheus principal enviar métricas para o locatário do Cortex em limites de cluster.
Serviços principais de infraestrutura do pacote de operações (OIC):
- Foi corrigido o problema com a configuração de estado desejado (DSC, na sigla em inglês), que retornava resultados incorretos e não atualizava os recursos.
- Correção do problema em que a implantação do Microsoft System Center Configuration Manager (SCCM) não é concluída e exige intervenção manual para ser corrigida.
Backup e restauração de VM:
- Corrigimos um problema em que o controle de acesso baseado em função (RBAC) e as configurações de esquema no gerenciador de VMs impediam os usuários de iniciar processos de backup e restauração de VMs.
Gerenciador de complementos:
- A versão do Google Distributed Cloud foi atualizada para 1.28.100-gke.150 para aplicar os patches de segurança e atualizações importantes mais recentes.
Serviços principais de infraestrutura do pacote de operações (OIC):
O Google Distributed Cloud com isolamento físico 1.12.1 adicionou instruções para que os parceiros preparem artefatos do OIC excluídos do lançamento.
Gerenciamento de eventos e informações de segurança (SIEM):
O Splunk Enterprise e o Splunk Universal Forwarder são atualizados para a versão 9.1.3.
Atualização da versão:
A versão da imagem baseada no Debian é atualizada para bookworm-v1.0.1-gke.1.