Google Distributed Cloud mit Air Gap 1.14.3 – Versionshinweise

28. Februar 2025

Google Distributed Cloud (GDC) mit Air Gap 1.14.3 ist verfügbar.
Informationen zu den Funktionen von Distributed Cloud finden Sie in der Produktübersicht.
Folgende neue Funktionen sind verfügbar:

Sichern und wiederherstellen:

  • Es wurde die Möglichkeit hinzugefügt, VM-Sicherungen und ‑Wiederherstellungen mit eingeschränktem Umfang zu erstellen, um bestimmte VM-Arbeitslasten zu berücksichtigen. Sie können diese VM-Sicherungen manuell erstellen oder Sicherungspläne erstellen, mit denen Sicherungen automatisch nach einem von Ihnen definierten Zeitplan ausgeführt werden. Weitere Informationen finden Sie in der Übersicht.
  • Es wurden detaillierte VM-Wiederherstellungen hinzugefügt, mit denen Sie bestimmte VM- und VM-Laufwerkressourcen wiederherstellen können. Weitere Informationen finden Sie unter Granulare Wiederherstellung erstellen.
  • Es wurden detaillierte Clusterwiederherstellungen hinzugefügt, mit denen Sie eine Teilmenge von Ressourcen aus einer Clustersicherung wiederherstellen können. Mit dieser Funktion können Sie den im Wiederherstellungsplan definierten Wiederherstellungsbereich flexibel anpassen. Weitere Informationen finden Sie unter Granulare Wiederherstellung erstellen.

Abrechnung:

  • Es wurde die Möglichkeit hinzugefügt, monatliche Abrechnungskosten in die Argentum-Konsole hochzuladen.

DNS:

  • Sie können jetzt Ihre eigenen öffentlichen und privaten DNS-Zonen erstellen und verwalten, um den Anforderungen Ihrer Anwendungen und Dienste gerecht zu werden. In einer DNS-Zone können Sie DNS-Einträge erstellen. Verschiedene Arten von DNS-Einträgen dienen unterschiedlichen Zwecken, z. B. dem Weiterleiten von Traffic, dem Definieren von Mailservern und dem Bestätigen des Eigentums. Weitere Informationen finden Sie unter DNS-Zonen und ‑Einträge.

Firewall:

  • Es wurde die Möglichkeit hinzugefügt, die NTP-PANW-Authentifizierung auf GDC-Firewalls mit symmetrischen Schlüsseln zu konfigurieren.

IAM:

Marketplace:

  • Neo4j ist im GDC-Marketplace mit Air Gap verfügbar. Neo4j ist eine Open-Source-NoSQL-Datenbank mit integrierter Grafikdatenbank, die ein ACID-konformes Transaktions-Backend für Ihre Anwendungen bietet.
  • Der MariaDB-Operator ist im GDC-Marketplace für Air-Gap-Umgebungen verfügbar. Der MariaDB-Operator verwendet unterstützte Docker-Images, um eine Flottenverwaltungs- und HA/DR-Lösung für MariaDB Enterprise Server und MaxScale bereitzustellen.
  • HashiCorp Vault (BYOL) ist im Google Distributed Cloud mit Air Gap Marketplace verfügbar. HashiCorp Vault ist ein identitätsbasiertes Secret- und Verschlüsselungsverwaltungssystem.
  • Apache Kafka auf der Confluent Platform (BYOL) ist im GDC-Marketplace ohne Internetverbindung verfügbar. Die Confluent-Plattform ist eine Lösung, die den Echtzeitzugriff auf kontinuierliche Datenstreams sowie deren Speicherung und Verwaltung ermöglicht.
  • Redis-Software für Kubernetes (BYOL) ist im GDC-Air-Gap-Marketplace verfügbar. Redis ist die weltweit schnellste In-Memory-Datenbank zum Erstellen und Skalieren schneller Anwendungen.

MHS:

  • Der Managed Harbor Service (MHS) umfasst jetzt die Sicherung und Wiederherstellung von Harbor. Sicherungen konfigurieren und Wiederherstellungen für Harbor-Instanzen erstellen. Weitere Informationen finden Sie unter Übersicht.
  • Der MHS-Credential Helper wurde hinzugefügt, mit dem Sie sich mit Ihrer GDC-Identität in der Docker- oder Helm-CLI anmelden können. Weitere Informationen finden Sie unter Bei Docker und Helm anmelden.
  • Es wurde die Möglichkeit hinzugefügt, alle Artefakte in einer Harbor-Instanz zu scannen. Weitere Informationen finden Sie unter Auf Sicherheitslücken prüfen.

Logging:

  • Der Loki-Pod stürzt ab oder wird während der WAL-Wiedergabe (Write-Ahead Log) durch OOMKilled beendet.

Monitoring:

  • Unterstützung für zonenübergreifende Abfragen und Monitoring in Visualisierungs-Dashboards hinzugefügt. Weitere Informationen finden Sie unter Messwerte abfragen und ansehen und Logs abfragen und ansehen.

  • Eine OCLCM-Warnung mit Rauschen kann ignoriert werden.

  • Die Pipeline für Systemmesswerte ist ausgefallen.

Netzwerk:

  • Verwenden Sie interne und externe Load-Balancer für mehrere Zonen, um Traffic für VM- und Pod-Arbeitslasten zu verteilen. Weitere Informationen finden Sie unter Übersicht.

  • Konfigurieren Sie Interconnect-Ressourcen, um eine physisch dedizierte Verbindung zu externen privaten Netzwerken herzustellen. Weitere Informationen finden Sie in der Übersicht zu Interconnect.

  • Konfigurieren Sie einen internen oder externen Load-Balancer für Pod- und VM-Arbeitslasten mit der Networking KRM API oder der gcloud CLI. Weitere Informationen finden Sie unter Load Balancer verwalten.

  • Verwenden Sie zonale und globale Projektnetzwerkrichtlinien, um eine Verbindung zwischen Projekten und Organisationen herzustellen.

  • Erstellen Sie Netzwerkrichtlinien auf Arbeitslastebene, um bestimmte Zugriffsregeln für einzelne VMs und Pods in einem Projekt zu definieren.

Resource Manager:

  • Projekte sind standardmäßig globale Ressourcen, die alle Zonen in einem GDC-Universum umfassen. Weitere Informationen finden Sie in der Übersicht über mehrere Zonen.

Virtuelle Maschinen:

Die Rocky OS-Imageversion wurde auf 20250124 aktualisiert, um die neuesten Sicherheitspatches und wichtigen Updates anzuwenden.

Die folgenden Sicherheitslücken wurden behoben:

Die folgenden Probleme wurden erkannt:

Sichern und wiederherstellen

  • Das Bearbeiten eines RestorePlan über die GDC-Konsole funktioniert nicht.

  • Agent- und Steuerungsebenen-Pods werden möglicherweise neu gestartet, wenn der Arbeitsspeicher nicht mehr ausreicht. Dies kann sich auf die Systemstabilität auswirken.

  • GDC-SLO-Messwerte (Service Level Objective) und ‑Benachrichtigungen für Sicherung und Wiederherstellung sind aufgrund fehlender benutzerdefinierter Ressourcendefinitionen nicht standardmäßig aktiviert.

  • Aufbewahrungsrichtlinien werden nicht auf importierte Sicherungen angewendet.

  • Teilweise VM-Sicherungen schlagen fehl.

  • Verwaiste Sicherungsressourcen nach dem Löschen von Nutzer- oder Dienstclustern bereinigen.

  • Das Löschen von VirtualMachineRestore wird über die Befehlszeile oder die Benutzeroberfläche nicht unterstützt.

Clusterverwaltung

  • Die Unterkomponente kub-gpu-controller wird für die Organisation gdchservices nicht abgeglichen.

  • Das Entfernen veralteter Knotenpools aus Standardclustern schlägt fehl. Standardcluster befinden sich in der privaten Vorschau und sind möglicherweise nicht für alle Kunden verfügbar.

Firewall

  • Die Organisation ist nicht über das globale DNS der UI-Konsole erreichbar.

  • Nachdem die benutzerdefinierte OCITTopology-Ressource bereitgestellt wurde, wird die Verbindung zwischen OIR und der GDC-Verwaltungs- und Datenebene unterbrochen.

  • Zonen- und organisationsübergreifender Traffic wird standardmäßig durch GDC-Firewalls blockiert.

Inventar

  • Der Inventarabgleich schlägt fehl.

Hardware-Sicherheitsmodul:

  • Deaktivierte Testlizenzen sind in CipherTrust Manager weiterhin erkennbar, was zu falschen Ablaufwarnungen führt.

  • Es tritt ein Problem auf, bei dem HSMs nach dem Hochfahren mit dem Fehler ValidateNetworkConfig fehlschlagen. Dieser Fehler verhindert, dass die benutzerdefinierten HSM-Ressourcen in den Status Ready wechseln.

  • Ein Leck bei einem Dateideskriptor führt zu einem ServicesNotStarted-Fehler.

Gesundheit:

  • Das System löst aufgrund eines Problems mit der SLO-API-Kennzeichnung möglicherweise mehr als 30 Fehlalarme für SLO-Benachrichtigungen in mehreren Komponenten aus.

Identitäts- und Zugriffsverwaltung:

  • Rollenbindungen schlagen fehl, wenn generierte IAM-Rollenbindungsnamen länger als 63 Zeichen sind.

  • Projekt-Dienstkonten (Project Service Accounts, PSA) können sich selbst oder anderen PSAs mit der Rolle organization-iam-admin keine IAM-Rollenbindungen zuweisen.

  • Bei neuen Projekten kann es zu Verzögerungen bei der Erstellung vordefinierter Rollen kommen.

  • Anwendungsoperatoren können sich selbst keinen Zugriff auf Rollen im Infrastrukturcluster gewähren.

  • Vorhandene Dienstkontotokens werden ungültig.

Infrastructure as Code (IaC)

  • Die Abstimmung einer untergeordneten Komponente schlägt aufgrund eines fehlenden Namespace fehl.
  • Die Erfassung von IAC ConfigSync-Messwerten schlägt fehl.
  • Die IAC-Root-Synchronisierung schlägt fehl.

Schlüsselverwaltungssystem:

  • Für KMS, das für die Verwendung eines CTM-Stammschlüssels konfiguriert ist, wird kein Failover ausgeführt, wenn ein HSM nicht verfügbar ist.

Load-Balancer:

  • Die Erstellung globaler Load-Balancer schlägt fehl, weil in globalen Subnetzen nicht genügend IP-Adressen vorhanden sind.
  • Die Load-Balancer-Objekte gehen nicht in den Status Ready über.

  • Das Ändern von Load-Balancern nach der Konfiguration wird noch nicht unterstützt.

  • Die globale BackendService-Ressource lehnt falsche Zonenamen nicht ab.

  • Ein Webhook-Fehler kann sowohl bei zonenbasierten als auch bei globalen Load-Balancern auftreten.

MHS:

  • Nach einer Sicherung und Wiederherstellung des Managed Harbor Service (MHS) sind die CLI-Secrets für die wiederhergestellte Harbor-Instanz ungültig und müssen neu erstellt werden.
  • Wenn mehrere Harbor-Instanzen in verschiedenen Nutzerprojekten vorhanden sind, konkurrieren die Sicherungs- und Wiederherstellungsvorgänge um rollenbasierte Zugriffssteuerungen und weisen eine hohe Fehlerrate auf.
  • Die Sicherungsgröße ist für die Sicherung und Wiederherstellung von Harbor nicht implementiert. In der GDC-Konsole wird im Feld SizeBytes der Wert 0 und in der Spalte Size der Wert 0 MB angezeigt.
  • Wenn Nutzer ohne die erforderliche Berechtigung „Harbor Instance Admin“ die Seite Harbor Container Registry in der GDC-Konsole aufrufen, wird beim Abrufen von Sicherungsressourcen eine Fehlermeldung angezeigt.

Monitoring:

  • Der AlertManager-Webhook kann für einige Cluster keine Benachrichtigungen zu Benachrichtigungen und Vorfällen senden.
  • Vorfälle werden bei der Erstellung gelegentlich dupliziert.
  • Im Root-Administratorcluster sind zwei falsche Monitoring-Benachrichtigungen offen.
  • Eine Benachrichtigung über einen Abstimmungsfehler kann ignoriert werden.
  • Der Root-Administrator-Controller-Manager weist eine hohe Fehlerrate auf.
  • In den KUB-Monitoring-Dashboards werden keine Daten angezeigt.
  • Die Berechtigungen sind für eine Rolle für den Observability-Debugger falsch konfiguriert.
  • Eine Grafana-Debugger-Rolle fehlt.
  • Das Löschen des Projekts hängt, weil für das Dashboard und die Datenquelle Finalizer ausstehen.
  • Messwerte aus KSM sind für PAs nicht sichtbar.

Mehrere Zonen:

  • Wenn eine Zone nicht zugänglich ist, wird in der GDC-Konsole ein Authentifizierungsfehler angezeigt.

  • Das Auflisten von Zonen mit der gcloud CLI ist nicht standardmäßig verfügbar.

  • Beim Zugriff auf die globale GDC Console-URL können zeitweise Anmeldefehler auftreten.

Netzwerk:

  • Die Konfiguration des Border Gateway Protocol (BGP) mit einer 4‑Byte-ASN (Autonomous System Number) auf Netzwerk-Switches führt zu Konfigurationsfehlern.

  • Der Knoten ist im Datennetzwerk nicht erreichbar.

  • Der zonenübergreifende Traffic zwischen Knoten sinkt im Netzwerk um etwa 50 %.

  • StatefulSet-Pod-Rollouts können Verbindungsprobleme verursachen.

  • Globaler Anycast-Traffic wird durch zu restriktive Access Control Lists (ACLs) blockiert.

  • Die allow-all-egress-Projektnetzwerkrichtlinie (Project Network Policy, PNP) lässt keinen Traffic zu Systemendpunkten zu.

  • Im pnet-cross-zone-availability-SLO-Dashboard werden in Grafana keine Messwerte angezeigt.

  • Die Ingress-Gateways für die Daten- und Verwaltungsebene können nicht abgeglichen werden.

  • Auf der Seite für Projektnetzwerkrichtlinien in der GDC-Konsole wird das Feld projectSelector in der ProjectNetworkPolicy API nicht unterstützt.

  • Änderungen an der Konfiguration des Netzwerk-Switches werden nicht übernommen.

Operations Suite Infrastructure Core Services (OIC):

  • Der Jumphost hat eine schlechte Leistung.

Betriebssystem:

  • Das OS-NodeUpgrade bleibt möglicherweise im Schritt NodeOSInPlaceUpgradePostProcessingCompleted hängen.
  • Das OS NodeUpgrade bleibt möglicherweise bei der Erstellung des Paketservers hängen.

Resource Manager:

  • Projekte können nicht über die GDC Console gelöscht werden.

  • Beim Erstellen einer Kundenorganisation schlägt der Job create-ansible-playbooks fehl, der die erforderlichen Ansible-Playbooks erstellt.

Speicher:

  • Die Bereitstellung von Pods schlägt aufgrund eines Trident-Fehlers mkfs.ext4 fehl.

  • Das Knotenupgrade ist blockiert.

System Artifact Registry:

  • Harbor-Artefakt-Replikationsjobs bleiben hängen.

  • Bei der Abstimmung der HarborRobotAccount-Ressource kann es aufgrund vorübergehender Fehler zu einem Fehlalarm kommen.

Upgrade:

  • Der Supportbericht schlägt fehl.

Vertex AI:

  • Vortrainierte Modelle und Arbeitsmappen von Vertex AI sind in Version 1.14.3 nicht aktiviert, aber in Version 1.14.4 verfügbar.
Die folgenden Probleme wurden behoben:

Hafen:

  • Das Problem, bei dem der Knotenpool im Status Provisioning hängen blieb, wurde behoben. Weitere Informationen finden Sie unter Bekannte Probleme.
Die folgenden Änderungen wurden festgestellt:

Core:

  • Die Anforderungen für die Interaktion mit dem Organisationsadministratorcluster und dem Systemcluster in mehreren Dienstworkflows wurden entfernt. Der Management API-Server, der für die Verwaltung aller Nicht-Container-Arbeitslasten und ‑Dienste verfügbar ist, ersetzt alle betroffenen Dienstworkflows.

  • Der globale API-Server wird standardmäßig für von Kunden verwaltete Ressourcen bereitgestellt, die für die globale Bereitstellung in einem GDC-Universum konzipiert sind. Weitere Informationen finden Sie unter Globale und zonale API-Server.

Marketplace:

  • Die Berechtigungen der Rolle Marketplace Viewer sind auf das Anzeigen der verfügbaren Dienste beschränkt. Es besteht kein Zugriff auf die installierten Instanzen oder deren Konfigurationen. Um die Konfiguration von aktiven Instanzen aufzurufen, benötigen Nutzer die Rolle „Marketplace-Bearbeiter“ (marketplace-editor).

  • Eine Liste der Marketplace-Dienstbilder ist verfügbar.

Resource Manager:

  • Die Möglichkeit, beim Erstellen eines Projekts in der GDC-Konsole einen Kubernetes-Cluster anzuhängen, wurde entfernt. Sie müssen Kubernetes-Cluster über die Seite Kubernetes Engine > Cluster an ein Projekt anhängen. Weitere Informationen finden Sie unter Projekt erstellen.

Versionsupdates:

Virtuelle Maschinen:

  • Die Dokumentation zu Performance Test as a Service (PTaaS) wurde aktualisiert und enthält jetzt neue Namen und Beschreibungen für die verfügbaren Benchmarks in PTaaS.