Notas de lançamento do Google Distributed Cloud air-gapped 1.13.1

28 de junho de 2024

O Google Distributed Cloud (GDC) air-gapped 1.13.1 está disponível.
Consulte a descrição geral do produto para saber mais sobre as funcionalidades do Distributed Cloud.

Atualizámos a versão da imagem do SO Ubuntu canónico para 20240515 para aplicar os patches de segurança mais recentes e atualizações importantes. Para tirar partido das correções de erros e vulnerabilidades de segurança, tem de atualizar todos os nós com cada lançamento. As seguintes vulnerabilidades de segurança foram corrigidas:

Atualizou a versão da imagem do SO Rocky para 20240506 para aplicar os patches de segurança e as atualizações importantes mais recentes. As seguintes vulnerabilidades de segurança foram corrigidas:

As seguintes vulnerabilidades de segurança de imagens de contentores foram corrigidas:

Foi corrigida uma vulnerabilidade com bases de dados executadas como contentores no cluster do sistema.

Faturação:

  • Foi adicionada a capacidade de ativar a faturação de parceiros quando cria uma organização para permitir que a Google cobre diretamente ao parceiro.

Gestão de clusters:

Endereçamento IP personalizado:

  • Foi adicionada a capacidade de substituir o endereço IP atribuído a organizações para ativar as funcionalidades de interconexão do Direct Connect (DX).

Serviço de base de dados:

  • Foi adicionada uma atualização importante para oferecer uma segurança e uma fiabilidade melhoradas. Todas as cargas de trabalho da base de dados são agora executadas no cluster de serviços. Esta atualização requer a remoção das bases de dados existentes. Para salvaguardar os seus dados, certifique-se de que exporta e elimina todos os clusters de bases de dados existentes antes da atualização. Consulte a documentação do serviço de base de dados sobre como exportar e importar dados.
  • Foi adicionada uma funcionalidade para o AlloyDB suportar a alta disponibilidade (HA) na mesma zona.
  • Foi adicionada a capacidade de o AlloyDB suportar funcionalidades de cópia de segurança, restauro e recuperação num determinado momento.
  • Foi adicionada a capacidade de o AlloyDB suportar a importação de dados, a exportação e as funcionalidades de migração avançadas.

Expansão dinâmica:

  • Adicione recursos de computação e armazenamento adicionais com a expansão dinâmica sem ter de concluir uma nova implementação. As versões do GDC anteriores à 1.13.1 só permitiam a adição de hardware numa nova implementação. Este tipo de expansão é conhecido como expansão estática.

Harbor-as-a-Service:

  • Foi adicionado o Harbor-as-a-Service (HaaS), que é um serviço totalmente gerido que armazena e gere imagens de contentores através do Harbor.

Tipos de máquinas:

Marketplace:

  • Introdução da configuração personalizável dos serviços do mercado.
  • O Starburst Enterprise (BYOL) está disponível no mercado com isolamento de ar. O Starburst Enterprise oferece um motor SQL MPP distribuído, rápido e escalável para o seu data lakehouse com federação de consultas a muitas outras origens de dados.

  • A Prisma Cloud Compute Edition da Palo Alto Networks (BYOL) está disponível no mercado com isolamento de ar. A Prisma Cloud Compute Edition da Palo Alto Networks oferece proteções modernas para aplicações distribuídas.

Implementações em várias zonas:

  • Foi adicionada a funcionalidade Multizona, que oferece capacidades de alta disponibilidade e recuperação de desastres semelhantes às da nuvem como serviço para simplificar a gestão de recursos em zonas do GDC. As capacidades de implementação em várias zonas estão em pré-visualização.

Infraestrutura de chave pública:

  • Ao emitir certificados Web, pode configurar diferentes modos de ICP após a criação da organização. Os modos configuráveis incluem Infra PKI totalmente gerida, BYO-SubCA, BYO-Cert com ACME e BYO-Cert.

Armazenamento de objetos:

  • Foi adicionado um campo Spec.location de contentor para especificar a zona onde os respetivos objetos estão localizados. Durante a criação do contentor, se não for fornecido nenhum valor, o campo é preenchido automaticamente com o nome da zona onde o contentor é criado. Os contentores existentes têm automaticamente o respetivo campo preenchido com o nome da zona onde residem.

Máquinas virtuais (VM):

Vertex AI:

VPN:

Artifact Registry:

  • Ao criar o cluster de administrador raiz, a operação pode falhar se existir uma longa lista de servidores durante o arranque.

Cópia de segurança e restauro:

  • A tentativa de restaurar uma cópia de segurança num cluster de utilizadores com restrições de quota falha.

Faturação:

  • As métricas de faturação não são emitidas corretamente para o Cortex devido à falta de MetricsProxySidecar.

Armazenamento de blocos:

  • Os pods do Launcher de máquinas virtuais não conseguem mapear volumes.
  • As falhas relacionadas com o armazenamento podem tornar o sistema inutilizável.
  • Os volumes persistentes são criados com um tamanho incorreto.
  • Quando uma organização é desativada, pode haver um problema ao eliminar um StorageVirtualMachine.
  • Os segredos e os certificados não são limpos após a desativação de uma organização.
  • Pode ocorrer uma falha de conciliação de eliminação no StorageVirtualMachine.
  • As tarefas do Ansible ficam bloqueadas durante a atualização de hardware.

Gestão de clusters:

  • A tarefa machine-init falha durante o aprovisionamento do cluster.
  • A ligação de um pod de base de dados em execução no cluster de serviço a um segmento de armazenamento de objetos no cluster de administração da organização falha.
  • A verificação prévia falha.
  • Os clusters de utilizadores, quando recriados, podem ficar bloqueados na reconciliação.

Serviço de base de dados:

  • Para bases de dados viradas para o utilizador, o aprovisionamento inicial, a alteração do tamanho ou a ativação da HA num cluster de base de dados existente demora até 40 minutos mais do que antes, e o desempenho é duas a três vezes mais lento do que antes.
  • O clone do serviço de base de dados não funciona para um cluster com restrições de quota de armazenamento devido a um problema com a cópia de segurança e o restauro.
  • A aplicação de Iops pode afetar o desempenho do armazenamento.

DNS:

  • As DNSSEC têm de ser desativadas explicitamente em resolved.conf.

Harbor:

  • A eliminação de instâncias do Harbor não elimina os espelhos do registo associados. O conjunto de nós pode estar bloqueado num estado de Provisioning.

Módulo de segurança de hardware:

  • As licenças de avaliação desativadas continuam detetáveis no CipherTrust Manager, o que aciona avisos de expiração falsos.
  • Uma fuga de descritores de ficheiros causa um erro ServicesNotStarted.

Infraestrutura como código (IAC):

  • A criação excessiva de tokens do GitLab corre o risco de preencher as bases de dados do GitLab.

Key Management Service (KMS):

  • Quando a utilização de memória de kms-rootkey-controller excede o limite de 600Mi, o controlador entra num estado de CrashLoopBackOff devido a um estado de OOMKilled.

Registo:

  • O registador de auditoria do armazenamento de objetos não consegue resolver o anfitrião DNS.

Monitorização:

  • Os painéis de controlo não apresentam métricas do Vertex AI.
  • O pod mon-cortex tem um erro de conciliação.
  • O metrics-server-exporterpod no cluster do sistema está em ciclo de falhas.
  • O ConfigMap mon-prober-backend-prometheus-config é reposto para não incluir tarefas de sondagem e o alerta MON-A0001 é acionado.
  • Depois de configurar o serviço de monitorização para enviar alertas, são criados automaticamente vários alertas duplicados.
  • O objeto ObservabilityPipeline mostra registos Reconciler error que tem de ignorar.

Arranque com várias zonas:

  • Não existem funções específicas para o arranque de implementações em várias zonas.
  • O recurso Bootstrap criado é incompatível com a lógica que o processa.
  • Um recurso necessário não é criado durante o arranque, o que faz com que os componentes que dependem deste recurso não funcionem corretamente.

Redes:

  • Não é possível aceder ao nó.
  • Existem problemas de conetividade com instâncias do serviço de base de dados.
  • Não é atribuído um PodCIDR aos nós, apesar de ter sido criado um ClusterCIDRConfig.
  • Um nó de VM tem uma hora imprecisa ou com desvio.
  • Os endereços IP de peering da sessão de interconexão EVPN de várias zonas que estão a ser gerados estão incorretos.
  • O nó não está acessível na rede de dados.

Armazenamento de objetos:

  • A eliminação de uma organização pode não ser bem-sucedida.

Sistema operativo:

  • Em situações raras, os pods ficam presos no estado init num nó específico.
  • A tarefa do bm-system-machine-preflight-check Ansible para um nó de metal ou de VM falha com o erro Either ip_tables or nf_tables kernel module must be loaded.

Infraestrutura do Operations Suite (OI):

  • Para o Hardware 3.0, já não é necessário iniciar a administração do armazenamento inteligente (SSA).

Segurança do perímetro:

  • O cluster do sistema da organização fica bloqueado durante o arranque da organização.
  • A firewall PANW AddressGroups não é atualizada com as alterações do OCITcidr-claim, o que resulta em domínios iac.gdch.domain.example não resolvidos.

Segurança da plataforma:

  • Quando o modo de SubCA BYO de PKI gera um novo pedido de assinatura de certificado (CSR) enquanto um certificado assinado anteriormente é carregado para a SubCA, o reconciliador não verifica se o novo CSR corresponde ao certificado assinado antigo e marca o recurso personalizado (CR) cert-manager CertificateRequest como Ready. Isto ocorre durante a renovação ou a rotação manual do certificado da SubCA.
  • Um problema conhecido no cert-manager resulta na emissão sem êxito de certificados de infraestrutura de chaves públicas (PKI) do tipo "traga o seu próprio" (BYO) com o protocolo Automated Certificate Management Environment (ACME).

Servidores físicos:

  • O servidor está bloqueado no estado provisioning.
  • O arranque do servidor falha devido a problemas de POST no servidor HPE.
  • O servidor está bloqueado no estado de aprovisionamento.

Resource Manager:

  • O estado de um projeto não é apresentado na consola do GDC.

Atualizar:

  • A tarefa bm-system e outras tarefas que executam o playbook do Ansible estão bloqueadas em gathering facts.
  • O IP de gestão de um servidor está inacessível durante a atualização.
  • A atualização falha no subcomponente iac-zoneselection-global.

Vertex AI:

  • O MonitoringTarget mostra um estado Not Ready quando estão a ser criados clusters de utilizadores, o que faz com que as APIs pré-preparadas mostrem continuamente um estado Enabling na interface do utilizador.
  • O pod e o serviço de front-end de tradução não são inicializados porque o segredo do cluster do sistema ODS está desatualizado.

Máquinas virtuais:

  • A importação de imagens BYO falha para imagens qcow2 e raw.
  • O aprovisionamento de um disco a partir de uma imagem personalizada falha.
  • A atualização do armazenamento de objetos mostra um erro durante a verificação pré-lançamento ou pós-lançamento.

Faturação:

  • Foi corrigido um problema com a tarefa do gerador de faturas que não criava um recurso personalizado de fatura devido ao nome inválido GDCH_INTERNAL.

Redes:

  • Foi corrigido um problema de falha na atualização devido a uma geração sem êxito do recurso personalizado hairpinlink.
  • Os erros de distração "Got error on getting port speed" são apresentados na instalação de rede.

Gestor de suplementos:

Atualização da versão:

  • A versão da imagem baseada no Debian é atualizada para bookworm-v1.0.1-gke.1.

Infraestrutura do Operations Suite (OI):

  • A conta do OI Marvin, usada para a gestão da configuração no ambiente da infraestrutura do OI, tem um período de validade de 60 dias.