Notas de la versión 1.14.3 de Google Distributed Cloud con air gap

28 de febrero del 2025

Google Distributed Cloud (GDC) con air gap 1.14.3 está disponible.
Consulta la descripción general del producto para obtener información sobre las funciones de Distributed Cloud.
Estas son las nuevas funciones disponibles:

Copia de seguridad y restauración:

  • Se ha añadido la posibilidad de crear copias de seguridad y restauraciones de VMs con ámbito para orientarlas a cargas de trabajo de VMs específicas. Puedes crear estas copias de seguridad de VMs manualmente o crear planes de copias de seguridad que las realicen automáticamente según la programación que definas. Para obtener más información, consulta la descripción general.
  • Se han añadido restauraciones precisas de máquinas virtuales que te permiten restaurar recursos específicos de máquinas virtuales y discos de máquinas virtuales. Para obtener más información, consulta el artículo Crear una restauración granular.
  • Se han añadido restauraciones precisas de clústeres que te permiten restaurar un subconjunto de recursos de una copia de seguridad de un clúster. Esta función te permite refinar el ámbito de restauración definido en el plan de restauración. Para obtener más información, consulta Crear una restauración granular.

Facturación:

  • Se ha añadido la opción de subir los costes de facturación mensual a la consola de Argentum.

DNS:

  • Ahora puedes crear y gestionar tus propias zonas de DNS públicas y privadas para adaptarlas a las necesidades de tus aplicaciones y servicios. En una zona DNS, puedes crear registros DNS. Los distintos tipos de registros DNS tienen finalidades diferentes, como dirigir el tráfico, definir servidores de correo y verificar la propiedad. Para obtener más información, consulta el artículo Acerca de las zonas y los registros DNS.

Cortafuegos:

  • Se ha añadido la posibilidad de configurar la autenticación NTP PANW en cortafuegos de GDC mediante claves simétricas.

YO SOY:

  • Las APIs de IAM que controlan los proveedores de identidades, las cuentas de servicio y las vinculaciones de roles son globales de forma predeterminada y abarcan todas las zonas de un universo de GDC. Para obtener más información, consulta Control de permisos de un universo multizona.

Marketplace

  • Neo4j está disponible en el mercado de GDC con air gap. Neo4j es una base de datos de grafos integrada, NoSQL y de código abierto que proporciona un backend transaccional compatible con ACID para tus aplicaciones.
  • MariaDB Operator está disponible en el mercado de GDC con air gap. MariaDB Operator usa imágenes Docker compatibles para proporcionar una solución de gestión de flotas y de alta disponibilidad o recuperación ante desastres para MariaDB Enterprise Server y MaxScale.
  • HashiCorp Vault (BYOL) está disponible en el mercado de Google Distributed Cloud con air gap. HashiCorp Vault es un sistema de gestión de secretos y cifrado basado en identidades.
  • Apache Kafka en Confluent Platform (BYOL) está disponible en el mercado aislado de GDC. Confluent Platform es una solución que permite acceder, almacenar y gestionar en tiempo real flujos de datos continuos.
  • El software de Redis para Kubernetes (BYOL) está disponible en el marketplace aislado de GDC. Redis es la base de datos en memoria más rápida del mundo para crear y escalar aplicaciones rápidas.

MHS

  • Managed Harbor Service (MHS) ahora incluye la copia de seguridad y la restauración de Harbor. Configura copias de seguridad y crea restauraciones para instancias de Harbor. Para obtener más información, consulta la descripción general.
  • Se ha añadido el asistente de credenciales de MHS, que te permite usar tu identidad de GDC para iniciar sesión en la CLI de Docker o Helm. Para obtener más información, consulta Iniciar sesión en Docker y Helm.
  • Se ha añadido la posibilidad de analizar todos los artefactos de una instancia de Harbor. Para obtener más información, consulta Buscar vulnerabilidades.

Registro:

  • El pod de Loki falla o se cierra por falta de memoria durante la reproducción de WAL.

Monitorización:

  • Se ha añadido compatibilidad con las consultas y la monitorización entre zonas en los paneles de control de visualización. Para obtener más información, consulta los artículos Consultar y ver métricas y Consultar y ver registros.

  • Una alerta ruidosa de OCLCM se puede ignorar.

  • La canalización de métricas del sistema no funciona.

Redes:

  • Usa balanceadores de carga internos y externos multizona para distribuir el tráfico de cargas de trabajo de máquinas virtuales y pods. Para obtener más información, consulta la descripción general.

  • Configura recursos de interconexión para establecer una conectividad física dedicada a redes privadas externas. Para obtener más información, consulta la información general sobre Interconnect.

  • Configura un balanceador de carga interno o externo para cargas de trabajo de pods y máquinas virtuales mediante la API KRM de redes o la CLI de gdcloud. Para obtener más información, consulta el artículo sobre cómo gestionar balanceadores de carga.

  • Usa políticas de red de proyectos zonales y globales para establecer la conectividad entre proyectos y organizaciones.

  • Crea políticas de red a nivel de carga de trabajo para definir reglas de acceso específicas para máquinas virtuales y pods concretos de un proyecto.

Resource Manager:

Máquinas virtuales:

Se ha actualizado la versión de la imagen de Rocky OS a 20250124 para aplicar los últimos parches de seguridad y actualizaciones importantes.

Se han corregido las siguientes vulnerabilidades de seguridad:

Se han detectado los siguientes problemas:

Copia de seguridad y restauración

  • No se puede editar un RestorePlan desde la consola de GDC.

  • Es posible que los pods del agente y del plano de control se reinicien si se quedan sin memoria, lo que afectará a la estabilidad del sistema.

  • Las métricas y alertas de objetivos de nivel de servicio de GDC para copias de seguridad y restauraciones no están habilitadas de forma predeterminada debido a que faltan definiciones de recursos personalizados.

  • Las políticas de retención no se aplican a las copias de seguridad importadas.

  • Las copias de seguridad parciales de las VMs fallan.

  • Limpiar los recursos de copia de seguridad huérfanos después de eliminar un clúster de usuarios o de servicios.

  • No se puede eliminar VirtualMachineRestore mediante la CLI ni la interfaz de usuario.

Gestión de clústeres

  • El subcomponente kub-gpu-controller no se reconcilia con la organización gdchservices.

  • No se pueden eliminar grupos de nodos obsoletos de clústeres estándar. Los clústeres estándar están en versión preliminar privada y puede que no estén disponibles para todos los clientes.

DNS

  • Se activa una alerta de DNS falsa que sugiere GlobalCustomerRootDNSServerNotReachable.

Cortafuegos

  • No se puede acceder a la organización a través del DNS de la consola de la interfaz de usuario global.

  • Una vez que se haya desplegado el recurso personalizado OCITTopology, se interrumpirá la conectividad entre OIR y el plano de gestión y el plano de datos de GDC.

  • Los cortafuegos de GDC bloquean de forma predeterminada el tráfico entre zonas y organizaciones.

  • Después de implementar un AttachmentGroup, si el campo identifier de ese objeto AttachmentGroup es el mismo que orgName, el cortafuegos no podrá analizar este objeto y la actualización de la configuración del cortafuegos se quedará bloqueada.

Inventario

  • La auditoría de inventario no se concilia.

Módulo de seguridad de hardware:

  • Las licencias de prueba desactivadas se pueden detectar en CipherTrust Manager, lo que provoca advertencias de vencimiento falsas.

  • Se produce un problema en el que los HSMs fallan con un error ValidateNetworkConfig después del arranque. Este error impide que los recursos personalizados del HSM entren en el estado Ready.

  • Una fuga de descriptores de archivo provoca un error ServicesNotStarted.

Salud:

  • El sistema puede activar más de 30 falsas alarmas sobre alertas de SLO en varios componentes debido a un problema con el etiquetado de la API SLO.

Gestión de identidades y accesos:

  • Los enlaces de roles fallan si los nombres de los enlaces de roles de gestión de identidades y accesos generados superan los 63 caracteres.

  • Las cuentas de servicio de proyecto (PSA) no pueden asignar enlaces de roles de gestión de identidades y accesos a sí mismas ni a otras PSA con el rol organization-iam-admin.

  • Los proyectos nuevos experimentan retrasos en la creación de roles predefinidos.

  • Los operadores de aplicaciones no pueden concederse acceso a roles en el clúster de infraestructura.

  • Los tokens de las cuentas de servicio dejan de ser válidos.

Infraestructura como código (IaC)

  • No se puede reconciliar un subcomponente porque falta un espacio de nombres.
  • La recogida de métricas de IAC ConfigSync falla.
  • La sincronización raíz de IAC falla.

Sistema de gestión de claves:

  • KMS configurado para usar una clave raíz de CTM no conmutará por error cuando un HSM no esté disponible.

Balanceadores de carga:

  • No se puede crear un balanceador de carga global porque no hay suficientes direcciones IP en las subredes globales.
  • Los objetos del balanceador de carga no entran en el estado Ready.

  • Aún no se pueden modificar los balanceadores de carga una vez configurados.

  • El recurso global BackendService no rechaza los nombres de zona incorrectos.

  • Se puede producir un error de webhook tanto en los balanceadores de carga zonales como en los globales.

MHS

  • Después de una operación de copia de seguridad y restauración de Managed Harbor Service (MHS), los secretos de la CLI dejan de ser válidos para la instancia de Harbor restaurada y deben crearse de nuevo.
  • Cuando hay varias instancias de Harbor en diferentes proyectos de usuario, las operaciones de copia de seguridad y restauración compiten por los controles de acceso basados en roles y experimentan una alta tasa de errores.
  • El tamaño de la copia de seguridad no se ha implementado en la función de copia de seguridad y restauración de Harbor. En la consola de GDC, el campo SizeBytes muestra el valor 0 y la columna Size muestra el valor 0 MB.
  • Cuando los usuarios que no tienen el permiso de administrador de instancias de Harbor necesario consultan la página Registro de contenedores de Harbor en la consola de GDC, ven un mensaje de error al recuperar recursos de copia de seguridad.
  • La rotación de la contraseña de la base de datos se ha bloqueado.

Monitorización:

  • El webhook de AlertManager no envía alertas ni notificaciones de incidentes de algunos clústeres.
  • En ocasiones, los incidentes se duplican al crearse.
  • Hay dos alertas falsas de monitorización abiertas en el clúster de administrador raíz.
  • Se puede ignorar una alerta de error de conciliación.
  • El gestor de controladores de administrador raíz muestra una tasa de errores alta.
  • Los paneles de control de monitorización de KUB no muestran datos.
  • Los permisos están mal configurados para un rol de depurador de observabilidad.
  • Falta un rol de depurador de Grafana.
  • La eliminación del proyecto se ha bloqueado porque hay finalizadores pendientes de un panel de control y una fuente de datos.
  • Los PAs no pueden ver las métricas de KSM.

Multizona:

  • Cuando no se puede acceder a una zona, la consola de GDC muestra un error de autenticación.

  • La opción para mostrar las zonas con la CLI de gdcloud no está disponible de forma predeterminada.

  • Puede haber errores intermitentes al iniciar sesión cuando se accede a la URL de la consola global de GDC.

Redes:

  • Configurar el protocolo de pasarela fronteriza (BGP) con un número de sistema autónomo (ASN) de 4 bytes en los conmutadores de red provoca errores de configuración.

  • No se puede acceder al nodo en la red de datos.

  • La red experimenta una caída de aproximadamente el 50% en el tráfico entre zonas entre nodos.

  • Las implementaciones de StatefulSet pueden provocar problemas de conectividad.

  • El tráfico de Anycast global está bloqueado por listas de control de acceso (LCAs) demasiado restrictivas.

  • La política de red del proyecto allow-all-egress (PNP) no permite el tráfico a los endpoints del sistema.

  • El pnet-cross-zone-availability panel de control de SLO no muestra ninguna métrica en Grafana.

  • No se pueden conciliar las pasarelas de entrada del plano de datos y de gestión.

  • La página de la política de red del proyecto en la consola de GDC no admite el campo projectSelector de la API ProjectNetworkPolicy.

  • No se aplican los cambios en la configuración del conmutador de red.

Servicios Principales de Infraestructura de Operations Suite (OIC):

  • El jumphost no funciona bien.

Sistema operativo:

  • Es posible que OS NodeUpgrade se quede bloqueado en el paso NodeOSInPlaceUpgradePostProcessingCompleted.
  • El proceso de actualización de nodos del SO puede quedarse bloqueado en la creación del servidor de paquetes.

Resource Manager:

  • Los proyectos no se pueden eliminar desde la consola de GDC.

  • Al crear una organización de cliente, falla el trabajo create-ansible-playbooks que crea los libros de jugadas de Ansible necesarios.

Almacenamiento:

  • Los pods no se montan debido a un error de Trident mkfs.ext4.

  • La actualización del nodo está bloqueada.

System Artifact Registry:

  • Las tareas de replicación de artefactos de Harbor se bloquean.

  • Se puede activar una alarma falsa en respuesta a errores transitorios al conciliar el recurso HarborRobotAccount.

Cambio:

  • El informe de asistencia falla.

Vertex AI:

  • Los modelos preentrenados y los cuadernos de trabajo de Vertex AI no están habilitados en la versión 1.14.3, pero sí lo estarán en la 1.14.4.
Se han corregido los siguientes problemas:

Puerto:

  • Se ha corregido el problema que provocaba que el nodepool se quedara bloqueado en el estado Provisioning. Para obtener más información, consulta Problemas conocidos.
Se han identificado los siguientes cambios:

Principal:

  • Se han eliminado los requisitos para interactuar con el clúster de administrador de la organización y el clúster del sistema en varios flujos de trabajo de servicio. El servidor de la API Management, que está disponible para gestionar todas las cargas de trabajo y los servicios que no son contenedores, sustituye a todos los flujos de trabajo de servicios afectados.

  • El servidor de APIs global se proporciona de forma predeterminada para los recursos gestionados por el cliente que están diseñados para el despliegue global en un universo de GDCs. Para obtener más información, consulta Servidores de APIs globales y zonales.

Marketplace

  • Los permisos del rol Visor de Marketplace se limitan a ver los servicios disponibles, sin acceso a las instancias instaladas ni a sus configuraciones. Para ver la configuración de las instancias en ejecución, los usuarios deben tener el rol Editor de Marketplace (marketplace-editor).

  • Hay una lista de imágenes de servicios de Marketplace disponible.

Resource Manager:

  • Se ha eliminado la posibilidad de adjuntar un clúster de Kubernetes al crear un proyecto en la consola de GDC. Debes asociar clústeres de Kubernetes a un proyecto desde la página Kubernetes Engine > Clústeres. Para obtener más información, consulta el artículo Crear un proyecto.

Actualizaciones de versiones:

  • La versión de Google Distributed Cloud para bare metal se ha actualizado a la versión 1.30.400-gke.133 para aplicar los últimos parches de seguridad y actualizaciones importantes.

    Consulta las notas de la versión 1.30.400-gke.133 de Google Distributed Cloud para Bare Metal para obtener más información.

Máquinas virtuales:

  • Se ha actualizado la documentación de la prueba de rendimiento como servicio (PTaaS) para incluir nuevos nombres y descripciones de las comparativas disponibles en PTaaS.