Notes de version de Google Distributed Cloud sous air gap 1.13.1

28 juin 2024

Google Distributed Cloud (GDC) sous air gap 1.13.1 est disponible.
Consultez la présentation du produit pour en savoir plus sur les fonctionnalités de Distributed Cloud.

La version de l'image de l'OS Canonical Ubuntu a été mise à jour vers la version 20240515 pour appliquer les derniers correctifs de sécurité et les mises à jour importantes. Pour bénéficier des corrections de bugs et des failles de sécurité, vous devez mettre à niveau tous les nœuds à chaque version. Les failles de sécurité suivantes ont été corrigées :

La version de l'image Rocky OS est passée à 20240506 pour appliquer les derniers correctifs de sécurité et les mises à jour importantes. Les failles de sécurité suivantes ont été corrigées :

Les failles de sécurité suivantes concernant les images de conteneurs ont été corrigées :

Correction d'une faille de sécurité liée aux bases de données exécutées en tant que conteneurs dans le cluster système.

Facturation :

  • Ajout de la possibilité d'activer la facturation partenaire lors de la création d'une organisation pour permettre à Google de facturer directement le partenaire.

Gestion des clusters :

Adressage IP personnalisé :

  • Ajout de la possibilité de remplacer l'adresse IP attribuée aux organisations pour activer les fonctionnalités d'interconnexion Direct Connect (DX).

Service de base de données :

  • Mise à niveau majeure ajoutée pour améliorer la sécurité et la fiabilité. Toutes les charges de travail de base de données s'exécutent désormais sur le cluster de services. Cette mise à niveau nécessite la suppression des bases de données existantes. Pour protéger vos données, veillez à exporter et à supprimer tous les clusters de bases de données existants avant la mise à niveau. Consultez la documentation du service de base de données pour savoir comment exporter et importer des données.
  • Ajout d'une fonctionnalité pour AlloyDB permettant la haute disponibilité (HA) dans la même zone.
  • Ajout de la compatibilité d'AlloyDB avec les fonctionnalités de sauvegarde, de restauration et de récupération à un moment précis.
  • Ajout de la possibilité pour AlloyDB de prendre en charge l'importation et l'exportation de données, ainsi que les fonctionnalités de migration avancées.

Expansion dynamique :

  • Ajoutez des ressources de calcul et de stockage supplémentaires grâce à l'expansion dynamique, sans avoir à effectuer un nouveau déploiement. Les versions de GDC antérieures à la version 1.13.1 n'autorisaient l'ajout de matériel qu'au moment du redéploiement. Ce type d'expansion est appelé expansion statique.

Harbor-as-a-Service:

  • Ajout de Harbor-as-a-Service (HaaS), un service entièrement géré qui stocke et gère les images de conteneurs à l'aide de Harbor.

Types de machines :

Marketplace :

  • Introduction de la configuration personnalisable des services Marketplace.
  • Starburst Enterprise (BYOL) est disponible sur la place de marché isolée. Starburst Enterprise fournit un moteur SQL MPP distribué, rapide et évolutif pour votre lakehouse de données, avec fédération des requêtes vers de nombreuses autres sources de données.

  • Prisma Cloud Compute Edition de Palo Alto Networks (BYOL) est disponible sur le marketplace air-gapped. Prisma Cloud Compute Edition de Palo Alto Networks offre des protections modernes pour les applications distribuées.

Déploiements multizones :

  • Ajout de la fonctionnalité multizone, qui fournit des capacités de haute disponibilité et de reprise après sinistre de type cloud en tant que service pour simplifier la gestion des ressources dans les zones GDC. Les fonctionnalités de déploiement multizone sont disponibles en version Preview.

Infrastructure à clé publique :

  • Lorsque vous émettez des certificats Web, vous pouvez configurer différents modes PKI après la création de l'organisation. Les modes configurables incluent Infra PKI entièrement géré, BYO-SubCA, BYO-Cert avec ACME et BYO-Cert.

Stockage d'objets :

  • Ajout d'un champ Spec.location de bucket pour spécifier la zone où se trouvent ses objets. Lors de la création d'un bucket, si aucune valeur n'est fournie, le champ est automatiquement renseigné avec le nom de la zone dans laquelle le bucket est créé. Le champ des buckets existants est automatiquement renseigné avec le nom de la zone dans laquelle ils se trouvent.

Machines virtuelles (VM) :

Vertex AI :

VPN :

Artifact Registry :

  • Lors de la création du cluster d'administrateur racine, l'opération peut échouer si la liste des serveurs est longue lors de l'amorçage.

Sauvegarde et restauration :

  • Toute tentative de restauration d'une sauvegarde dans un cluster d'utilisateur soumis à un quota échoue.

Facturation :

  • Les métriques de facturation ne sont pas émises correctement vers le cortex en raison de l'absence de MetricsProxySidecar.

Stockage de blocs :

  • Les pods du lanceur de machine virtuelle ne parviennent pas à mapper les volumes.
  • Les défaillances liées au stockage peuvent rendre le système inutilisable.
  • Les volumes persistants sont créés avec une taille incorrecte.
  • Lorsqu'une organisation est désactivée, il peut être difficile de supprimer un StorageVirtualMachine.
  • Les secrets et les certificats ne sont pas nettoyés après la désactivation d'une organisation.
  • Un échec de rapprochement de la suppression peut se produire dans StorageVirtualMachine.
  • Les jobs Ansible se bloquent lors de la mise à niveau du serveur physique.

Gestion des clusters :

  • Le job machine-init échoue lors du provisionnement du cluster.
  • La connexion d'un pod de base de données s'exécutant dans le cluster de service à un bucket de stockage d'objets dans le cluster d'administrateur de l'organisation échoue.
  • La vérification préliminaire échoue.
  • Les clusters d'utilisateur recréés peuvent rester bloqués en cours de rapprochement.

Service de base de données :

  • Pour les bases de données destinées aux utilisateurs, le provisionnement initial, le redimensionnement ou l'activation de la haute disponibilité sur un cluster de bases de données existant prennent jusqu'à 40 minutes de plus qu'auparavant, et les performances sont deux à trois fois plus lentes.
  • Le clonage du service de base de données ne fonctionne pas pour un cluster dont le quota de stockage est limité en raison d'un problème de sauvegarde et de restauration.
  • L'application des IOPS peut avoir un impact sur les performances de stockage.

DNS :

  • DNSSEC doit être désactivé explicitement dans resolved.conf.

Harbor :

  • La suppression d'instances Harbor n'entraîne pas celle des miroirs de registre associés. Il est possible que le pool de nœuds soit bloqué dans l'état Provisioning.

Module de sécurité matériel :

  • Les licences d'essai désactivées sont toujours détectables dans CipherTrust Manager, ce qui déclenche de faux avertissements d'expiration.
  • Une fuite de descripteur de fichier entraîne une erreur ServicesNotStarted.

Infrastructure as Code (IAC) :

  • La création excessive de jetons GitLab risque de remplir les bases de données GitLab.

Key Management Service (KMS) :

  • Lorsque l'utilisation de la mémoire kms-rootkey-controller dépasse la limite 600Mi, le contrôleur passe à l'état CrashLoopBackOff en raison d'un état OOMKilled.

Journalisation :

  • L'enregistreur d'audit du stockage d'objets ne parvient pas à résoudre l'hôte DNS.

Surveillance :

  • Les tableaux de bord n'affichent pas les métriques Vertex AI.
  • Le pod mon-cortex présente une erreur de rapprochement.
  • Le pod metrics-server-exporter du cluster système est en boucle de plantage.
  • Le ConfigMap mon-prober-backend-prometheus-config est réinitialisé pour n'inclure aucune tâche de sonde, et l'alerte MON-A0001 est déclenchée.
  • Après avoir configuré le service Monitoring pour envoyer des alertes, plusieurs alertes en double sont automatiquement créées.
  • L'objet ObservabilityPipeline affiche les journaux Reconciler error que vous devez ignorer.

Bootstrap multizone :

  • Il n'existe pas de rôles spécifiques pour l'amorçage des déploiements multizones.
  • La ressource Bootstrap créée est incompatible avec la logique qui la traite.
  • Une ressource requise n'est pas créée lors de l'amorçage, ce qui empêche les composants qui dépendent de cette ressource de fonctionner correctement.

Mise en réseau :

  • Le nœud n'est pas accessible.
  • Des problèmes de connectivité avec les instances Database Service ont été détectés.
  • Aucun PodCIDR n'est attribué aux nœuds, même si un ClusterCIDRConfig est créé.
  • Un nœud de VM a dérivé ou l'heure est inexacte.
  • Les adresses IP de peering de session d'interconnexion EVPN multizone générées sont incorrectes.
  • Le nœud n'est pas accessible sur le réseau de données.

Stockage d'objets :

  • Il est possible que vous ne puissiez pas supprimer une organisation.

Système d'exploitation :

  • Dans de rares cas, les pods sont bloqués à l'état init sur un nœud spécifique.
  • Le job Ansible bm-system-machine-preflight-check pour un nœud Bare Metal ou de VM échoue avec Either ip_tables or nf_tables kernel module must be loaded.

Infrastructure Operations Suite (OI) :

  • Pour le matériel 3.0, le lancement de l'administration Smart Storage (SSA) n'est plus nécessaire.

Sécurité du périmètre :

  • Le cluster système de l'organisation est bloqué lors de l'amorçage de l'organisation.
  • Le pare-feu PANW AddressGroups ne se met pas à jour avec les modifications OCIT cidr-claim, ce qui entraîne des domaines iac.gdch.domain.example non résolus.

Sécurité de la plate-forme :

  • Lorsque le mode PKI BYO SubCA génère une demande de signature de certificat (CSR) alors qu'un certificat signé précédemment est importé dans la SubCA, le reconciler ne vérifie pas si la nouvelle CSR correspond à l'ancien certificat signé et marque la ressource personnalisée (CR) cert-manager CertificateRequest comme Ready. Cela se produit lors du renouvellement ou de la rotation manuelle du certificat de l'autorité de certification intermédiaire.
  • Un problème connu dans cert-manager empêche l'émission de certificats PKI BYO (Bring Your Own) avec ACME (Automated Certificate Management Environment).

Serveurs physiques :

  • Le serveur est bloqué à l'état provisioning.
  • L'amorçage du serveur échoue en raison de problèmes POST sur le serveur HPE.
  • Le serveur est bloqué dans l'état de provisionnement.

Resource Manager :

  • L'état d'un projet n'est pas affiché dans la console GDC.

Mettre à niveau :

  • bm-system et d'autres jobs exécutant le playbook Ansible sont bloqués sur gathering facts.
  • L'adresse IP de gestion d'un serveur est inaccessible pendant la mise à niveau.
  • La mise à niveau échoue dans le sous-composant iac-zoneselection-global.

Vertex AI :

  • L'MonitoringTarget affiche l'état Not Ready lorsque des clusters d'utilisateur sont en cours de création, ce qui entraîne l'affichage continu de l'état Enabling dans l'interface utilisateur pour les API pré-entraînées.
  • Le pod et le service de l'interface utilisateur de traduction ne parviennent pas à s'initialiser, car le secret du cluster système ODS est obsolète.

Machines virtuelles :

  • L'importation d'images BYO échoue pour les images qcow2 et brutes.
  • L'approvisionnement d'un disque à partir d'une image personnalisée échoue.
  • La mise à niveau du stockage d'objets affiche une erreur lors de la vérification post-vol ou pré-vol.

Facturation :

  • Correction d'un problème lié à l'échec de la tâche du générateur de factures lors de la création d'une ressource personnalisée de facture en raison du nom non valide GDCH_INTERNAL.

Mise en réseau :

  • Correction d'un problème d'échec de la mise à niveau en raison d'une génération infructueuse de la ressource personnalisée hairpinlink.
  • Des erreurs de diversion "Erreur lors de l'obtention de la vitesse du port" s'affichent lors de l'installation du réseau.

Gestionnaire de modules complémentaires :

Mise à jour de la version :

  • La version de l'image basée sur Debian est mise à jour vers bookworm-v1.0.1-gke.1.

Infrastructure Operations Suite (OI) :

  • Le compte OI Marvin, utilisé pour la gestion de la configuration dans l'environnement d'infrastructure OI, a une période d'expiration de 60 jours.