에어 갭이 적용된 Google Distributed Cloud 1.13.1 출시 노트

2024년 6월 28일

에어 갭이 적용된 Google Distributed Cloud (GDC) 1.13.1을 사용할 수 있습니다.
Distributed Cloud의 기능에 대해 알아보려면 제품 개요를 참고하세요.

최신 보안 패치와 중요한 업데이트를 적용하기 위해 Canonical Ubuntu OS 이미지 버전을 20240515로 업데이트했습니다. 버그 및 보안 취약점 수정을 활용하려면 각 출시마다 모든 노드를 업그레이드해야 합니다. 다음 보안 취약점이 수정되었습니다.

최신 보안 패치와 중요 업데이트를 적용하기 위해 Rocky OS 이미지 버전을 20240506으로 업데이트했습니다. 다음 보안 취약점이 수정되었습니다.

다음 컨테이너 이미지 보안 취약점이 수정되었습니다.

시스템 클러스터에서 컨테이너로 실행되는 데이터베이스의 취약점이 수정되었습니다.

결제:

  • 조직을 만들 때 파트너 결제를 사용 설정하여 Google에서 파트너에게 직접 청구할 수 있는 기능이 추가되었습니다.

클러스터 관리:

맞춤 IP 주소 지정:

  • Direct Connect (DX) Interconnect 기능을 사용 설정하기 위해 조직에 할당된 IP 주소를 재정의하는 기능을 추가했습니다.

데이터베이스 서비스:

  • 보안 및 안정성을 개선하기 위해 주요 업그레이드가 추가되었습니다. 이제 모든 데이터베이스 워크로드가 서비스 클러스터에서 실행됩니다. 이 업그레이드를 위해서는 기존 데이터베이스를 삭제해야 합니다. 데이터를 보호하려면 업그레이드 전에 기존 데이터베이스 클러스터를 모두 내보내고 삭제해야 합니다. 데이터를 내보내고 가져오는 방법은 데이터베이스 서비스 문서를 참고하세요.
  • AlloyDB가 동일 영역 고가용성 (HA)을 지원하는 기능을 추가했습니다.
  • AlloyDB에서 백업, 복원, PITR(point-in-time recovery) 기능을 지원하는 기능을 추가했습니다.
  • AlloyDB에서 데이터 가져오기, 내보내기, 고급 마이그레이션 기능을 지원하는 기능이 추가되었습니다.

동적 확장:

  • 재배포를 완료하지 않고도 동적 확장을 통해 추가 컴퓨팅 및 스토리지 리소스를 추가할 수 있습니다. 1.13.1 이전 GDC 버전에서는 재배포 시에만 하드웨어 추가가 허용되었습니다. 이러한 유형의 확장을 정적 확장이라고 합니다.

Harbor-as-a-Service:

  • Harbor를 사용하여 컨테이너 이미지를 저장하고 관리하는 완전 관리형 서비스인 Harbor-as-a-Service (HaaS)가 추가되었습니다.

머신 유형:

마켓플레이스:

  • 마켓 서비스의 맞춤설정 가능한 구성이 도입되었습니다.
  • Starburst Enterprise (BYOL)는 오프라인 마켓플레이스에서 사용할 수 있습니다. Starburst Enterprise는 여러 다른 데이터 소스에 대한 쿼리 페더레이션을 통해 데이터 레이크하우스를 위한 빠르고 확장 가능한 분산 MPP SQL 엔진을 제공합니다.

  • Palo Alto Networks의 Prisma Cloud Compute Edition (BYOL)은 에어 갭 마켓플레이스에서 사용할 수 있습니다. Palo Alto Networks의 Prisma Cloud Compute Edition은 분산 애플리케이션을 위한 최신 보호 기능을 제공합니다.

멀티 영역 배포:

  • GDC 영역 전반에서 리소스 관리를 간소화하기 위해 서비스로서의 클라우드와 유사한 고가용성 및 재해 복구 기능을 제공하는 다중 영역 기능이 추가되었습니다. 멀티 영역 배포 기능은 미리보기로 제공됩니다.

공개 키 인프라:

  • 웹 인증서를 발급할 때 조직을 만든 후 다양한 PKI 모드를 구성할 수 있습니다. 구성 가능한 모드에는 인프라 PKI 완전 관리형, BYO-SubCA, ACME를 사용한 BYO-Cert, BYO-Cert가 포함됩니다.

객체 스토리지:

  • 객체가 있는 영역을 지정하는 버킷 Spec.location 필드가 추가되었습니다. 버킷 생성 중에 값을 제공하지 않으면 버킷이 생성된 영역의 이름이 필드에 자동으로 채워집니다. 기존 버킷의 필드는 버킷이 있는 영역의 이름으로 자동으로 채워집니다.

가상 머신 (VM):

Vertex AI:

VPN:

Artifact Registry:

  • 루트 관리자 클러스터를 만들 때 부트스트랩 시 서버 목록이 길면 작업이 실패할 수 있습니다.

백업 및 복원:

  • 할당량 제한이 있는 사용자 클러스터에 백업을 복원하려고 하면 실패합니다.

결제:

  • MetricsProxySidecar가 누락되어 결제 측정항목이 cortex에 올바르게 전송되지 않습니다.

블록 스토리지:

  • 가상 머신 런처 포드가 볼륨을 매핑하지 못함
  • 스토리지 관련 오류로 인해 시스템을 사용할 수 없게 될 수 있습니다.
  • 영구 볼륨이 잘못된 크기로 생성됩니다.
  • 조직이 비활성화되면 StorageVirtualMachine를 삭제하는 데 문제가 있을 수 있습니다.
  • 조직을 비활성화한 후에도 보안 비밀과 인증서가 정리되지 않습니다.
  • 삭제 조정 실패는 StorageVirtualMachine에서 발생할 수 있습니다.
  • 베어 메탈 업그레이드 중에 Ansible 작업이 멈춥니다.

클러스터 관리:

  • 클러스터 프로비저닝 중에 machine-init 작업이 실패합니다.
  • 서비스 클러스터에서 실행되는 데이터베이스 포드가 조직 관리자 클러스터의 객체 스토리지 버킷에 연결되지 않습니다.
  • 실행 전 검사에 실패합니다.
  • 사용자 클러스터가 다시 생성되면 조정이 중단될 수 있습니다.

데이터베이스 서비스:

  • 사용자 대상 데이터베이스의 경우 초기 프로비저닝, 크기 조절 또는 기존 데이터베이스 클러스터에서 HA를 사용 설정하는 데 이전보다 최대 40분 더 걸리며 성능이 이전보다 2~3배 느립니다.
  • 백업 및 복원 문제로 인해 데이터베이스 서비스 클론이 스토리지 할당량 제한 클러스터에서 작동하지 않습니다.
  • IOPS 시행은 스토리지 성능에 영향을 미칠 수 있습니다.

DNS:

  • DNSSEC는 resolved.conf에서 명시적으로 사용 중지해야 합니다.

항구:

  • Harbor 인스턴스를 삭제해도 연결된 레지스트리 미러는 삭제되지 않습니다. 노드 풀이 Provisioning 상태로 멈춰 있을 수 있습니다.

하드웨어 보안 모듈:

  • 비활성화된 평가판 라이선스는 CipherTrust Manager에서 계속 감지되어 잘못된 만료 경고가 트리거됩니다.
  • 파일 설명자 누수로 인해 ServicesNotStarted 오류가 발생합니다.

코드형 인프라 (IAC):

  • GitLab 토큰을 과도하게 생성하면 GitLab 데이터베이스가 채워질 위험이 있습니다.

Key Management Service (KMS):

  • kms-rootkey-controller 메모리 사용량이 600Mi 한도를 초과하면 컨트롤러가 OOMKilled 상태로 인해 CrashLoopBackOff 상태가 됩니다.

로깅:

  • 객체 스토리지 감사 로거가 DNS 호스트를 확인할 수 없습니다.

모니터링:

  • 대시보드에 Vertex AI 측정항목이 표시되지 않습니다.
  • mon-cortex 포드에 조정 오류가 있습니다.
  • 시스템 클러스터의 metrics-server-exporter 포드가 비정상 종료 루프를 실행합니다.
  • mon-prober-backend-prometheus-config ConfigMap이 프로브 작업을 포함하지 않도록 재설정되고 MON-A0001 알림이 트리거됩니다.
  • 알림을 전송하도록 모니터링 서비스를 구성하면 중복된 알림이 여러 개 자동으로 생성됩니다.
  • ObservabilityPipeline 객체에는 무시해야 하는 Reconciler error 로그가 표시됩니다.

멀티 영역 부트스트랩:

  • 다중 영역 배포를 부트스트랩하기 위한 특정 역할은 없습니다.
  • 생성된 Bootstrap 리소스가 이를 처리하는 로직과 호환되지 않습니다.
  • 필수 리소스가 부트스트랩 중에 생성되지 않아 이 리소스에 의존하는 구성요소가 올바르게 작동하지 않습니다.

네트워킹:

  • 노드에 연결할 수 없습니다.
  • 데이터베이스 서비스 인스턴스에 연결 문제가 있습니다.
  • ClusterCIDRConfig이 생성되더라도 노드에 PodCIDR이 할당되지 않습니다.
  • VM 노드의 시간이 드리프트되었거나 부정확합니다.
  • 생성되는 다중 영역 EVPN 상호 연결 세션 피어링 IP 주소가 잘못되었습니다.
  • 노드에 데이터 네트워크에서 연결할 수 없습니다.

객체 스토리지:

  • 조직 삭제가 실패할 수 있습니다.

운영체제:

  • 드물지만 특정 노드에서 포드가 init 상태로 멈추는 경우가 있습니다.
  • 베어메탈 또는 VM 노드의 bm-system-machine-preflight-check Ansible 작업이 Either ip_tables or nf_tables kernel module must be loaded로 실패합니다.

Operations Suite 인프라 (OI):

  • 하드웨어 3.0의 경우 스마트 스토리지 관리 (SSA)를 실행할 필요가 없습니다.

경계 보안:

  • 조직 부트스트랩 중에 조직 시스템 클러스터가 멈춥니다.
  • PANW 방화벽이 OCITcidr-claim 변경사항으로 업데이트되지 않아 iac.gdch.domain.example 도메인을 해결할 수 없습니다.AddressGroups

플랫폼 보안:

  • 이전에 서명된 인증서가 SubCA에 업로드된 동안 PKI BYO SubCA 모드에서 새 인증서 서명 요청 (CSR)을 생성하면 조정자가 새 CSR이 이전 서명된 인증서와 일치하는지 확인하지 않고 cert-manager CertificateRequest 커스텀 리소스 (CR)를 Ready로 표시합니다. 이는 SubCA 인증서 갱신 또는 수동 순환 중에 발생합니다.
  • cert-manager의 알려진 문제로 인해 자동 인증서 관리 환경 (ACME)을 사용하여 PKI 자체 보유 (BYO) 인증서를 발급할 수 없습니다.

물리적 서버:

  • 서버가 provisioning 상태에서 멈춰 있습니다.
  • HPE 서버의 POST 문제로 인해 서버 부트스트랩이 실패합니다.
  • 서버가 프로비저닝 상태에서 멈춰 있습니다.

Resource Manager:

  • 프로젝트 상태가 GDC 콘솔에 표시되지 않습니다.

업그레이드:

  • bm-system 및 ansible playbook을 실행하는 다른 작업이 gathering facts에서 멈춥니다.
  • 업그레이드 중에는 서버의 관리 IP에 연결할 수 없습니다.
  • iac-zoneselection-global 하위 구성요소에서 업그레이드가 실패합니다.

Vertex AI:

  • 사용자 클러스터가 생성될 때 MonitoringTargetNot Ready 상태가 표시되어 사전 학습된 API가 사용자 인터페이스에 Enabling 상태를 계속 표시합니다.
  • ODS 시스템 클러스터 보안 비밀이 오래되어 번역 프런트엔드 포드와 서비스가 초기화되지 않습니다.

가상 머신:

  • qcow2 및 원시 이미지의 BYO 이미지 가져오기가 실패합니다.
  • 커스텀 이미지에서 디스크 프로비저닝이 실패합니다.
  • 객체 스토리지 업그레이드에서 비행 후 또는 비행 전 검사 중에 오류가 표시됩니다.

결제:

  • 인보이스 생성기 작업이 잘못된 이름 GDCH_INTERNAL로 인해 인보이스 맞춤 리소스를 만들지 못하는 문제가 수정되었습니다.

네트워킹:

  • hairpinlink 맞춤 리소스 생성 실패로 인해 업그레이드가 실패하는 문제를 수정했습니다.
  • 네트워크 설치에 `포트 속도를 가져오는 중 오류가 발생했습니다` 라는 잘못된 오류가 표시됩니다.

부가기능 관리자:

버전 업데이트:

  • Debian 기반 이미지 버전이 bookworm-v1.0.1-gke.1로 업데이트됩니다.

Operations Suite 인프라 (OI):

  • OI 인프라 환경에서 구성 관리에 사용되는 OI Marvin 계정의 만료 기간은 60일입니다.