Notas de la versión 1.14.3 de Google Distributed Cloud aislado

28 de febrero de 2025

Google Distributed Cloud (GDC) aislado 1.14.3 ya está disponible.
Consulta la descripción general del producto para obtener información sobre las funciones de Distributed Cloud.
Las siguientes funciones nuevas están disponibles:

Copia de seguridad y restablecimiento:

  • Se agregó la capacidad de crear copias de seguridad y restablecimientos de VM con alcance para segmentar cargas de trabajo de VM específicas. Crea estas copias de seguridad de la VM de forma manual o crea planes de copia de seguridad que realicen copias de seguridad automáticamente según un programa que definas. Para obtener más información, consulta la Descripción general.
  • Se agregaron restablecimientos detallados de VMs que te permiten restablecer recursos específicos de VM y discos de VM. Para obtener más información, consulta Cómo crear una restauración detallada.
  • Se agregaron restablecimientos detallados del clúster que te permiten restablecer un subconjunto de recursos desde una copia de seguridad del clúster. Esta función proporciona la flexibilidad necesaria para definir mejor el alcance del restablecimiento definido en el plan de restablecimiento. Para obtener más información, consulta Cómo crear una restauración detallada.

Facturación:

  • Se agregó la capacidad de subir los costos de facturación mensuales a la consola de Argentum.

DNS:

  • Ahora puedes crear y administrar tus propias zonas de DNS públicas y privadas para satisfacer las necesidades de tus aplicaciones y servicios. Dentro de una zona DNS, puedes crear registros DNS. Los diferentes tipos de registros DNS cumplen diferentes propósitos, como dirigir el tráfico, definir servidores de correo y verificar la propiedad. Para obtener más información, consulta Acerca de las zonas y los registros de DNS.

Firewall:

  • Se agregó la capacidad de configurar la autenticación de NTP de PANW en firewalls de GDC con claves simétricas.

IAM:

  • Las APIs de IAM que controlan los proveedores de identidad, las cuentas de servicio y las vinculaciones de roles son globales de forma predeterminada y abarcan todas las zonas de un universo de GDC. Para obtener más información, consulta Control de permisos para un universo multizona.

Marketplace:

  • Neo4j está disponible en el mercado aislado de GDC. Neo4j es una base de datos de gráficos integrada, de código abierto y NoSQL que proporciona un backend transaccional compatible con ACID para tus aplicaciones.
  • El operador de MariaDB está disponible en el mercado aislado de GDC. El operador de MariaDB usa imágenes de Docker compatibles para proporcionar una solución de administración de flotas y de HA/DR para MariaDB Enterprise Server y MaxScale.
  • HashiCorp Vault (BYOL) está disponible en el mercado de Google Distributed Cloud aislado. HashiCorp Vault es un sistema de administración de encriptación y secretos basado en la identidad.
  • Apache Kafka en Confluent Platform (BYOL) está disponible en el mercado aislado de GDC. Confluent Platform es una solución que permite el acceso, el almacenamiento y la administración en tiempo real de flujos de datos continuos.
  • El software de Redis para Kubernetes (BYOL) está disponible en el mercado aislado de GDC. Redis es la base de datos en la memoria más rápida del mundo para crear y escalar aplicaciones con rapidez.

MHS:

  • El servicio de Harbor administrado (MHS) ahora incluye la copia de seguridad y el restablecimiento de Harbor. Configurar copias de seguridad y crear restablecimientos para instancias de Harbor Para obtener más información, consulta la Descripción general.
  • Se agregó el auxiliar de credenciales de MHS que te permite usar tu identidad de GDC para acceder a la CLI de Docker o Helm. Para obtener más información, consulta Cómo acceder a Docker y Helm.
  • Se agregó la capacidad de analizar todos los artefactos en una instancia de Harbor. Para obtener más información, consulta Cómo analizar en busca de vulnerabilidades.

Registro:

  • El Pod de Loki falla o se cierra por falta de memoria durante la reproducción del WAL.

Supervisión:

  • Se agregó compatibilidad para consultar y supervisar varias zonas en los paneles de visualización. Para obtener más información, consulta Cómo consultar y ver métricas y Cómo consultar y ver registros.

  • Se puede ignorar una alerta ruidosa del OCLCM.

  • La canalización de métricas del sistema no funciona.

Herramientas de redes:

  • Usa balanceadores de cargas internos y externos multizona para distribuir el tráfico de las cargas de trabajo de VM y pods. Para obtener más información, consulta la Descripción general.

  • Configurar recursos de interconexión para establecer conectividad física dedicada a redes privadas externas Para obtener más información, consulta la Descripción general de la interconexión.

  • Configura un balanceador de cargas interno o externo para las cargas de trabajo de Pod y VM con la API de KRM de redes o la CLI de gdcloud. Para obtener más información, consulta Administra balanceadores de cargas.

  • Usa políticas de red de proyectos zonales y globales para establecer la conectividad entre proyectos y organizaciones.

  • Crea políticas de red a nivel de la carga de trabajo para definir reglas de acceso específicas para VMs y Pods individuales dentro de un proyecto.

Resource Manager:

  • De forma predeterminada, los proyectos son recursos globales que abarcan todas las zonas de un universo de GDC. Para obtener más información, consulta la descripción general de varias zonas.

Máquinas virtuales:

Se actualizó la versión de la imagen de SO Rocky a 20250124 para aplicar los parches de seguridad y las actualizaciones importantes más recientes.

Se corrigieron las siguientes vulnerabilidades de seguridad:

Se identificaron los siguientes problemas:

Copia de seguridad y restablecimiento

  • No se puede editar un RestorePlan desde la consola de GDC.

  • Es posible que se reinicien los Pods del agente y del plano de control si se quedan sin memoria, lo que afectará la estabilidad del sistema.

  • Las métricas y alertas del objetivo de nivel de servicio (SLO) de GDC para la copia de seguridad y el restablecimiento no están habilitadas de forma predeterminada debido a que faltan definiciones de recursos personalizados.

  • Las políticas de retención no se aplican a las copias de seguridad importadas.

  • Las copias de seguridad parciales de la VM fallan.

  • Limpiar los recursos de copias de seguridad huérfanos después de la eliminación de un clúster de usuario o de servicio

  • La eliminación de VirtualMachineRestore no se admite a través de la CLI ni la IU.

Administración de clústeres

  • El subcomponente kub-gpu-controller no se reconcilia para la organización gdchservices.

  • No se pueden quitar los grupos de nodos obsoletos de los clústeres estándar. Los clústeres estándar se encuentran en versión preliminar privada y es posible que no estén disponibles para todos los clientes.

Firewall

  • No se puede acceder a la organización a través del DNS de la consola de la IU global.

  • Después de que se implementa el recurso personalizado OCITTopology, se interrumpe la conectividad entre el plano de administración y el plano de datos de OIR y GDC.

  • Los firewalls de GDC bloquean de forma predeterminada el tráfico entre organizaciones y zonas.

Inventario

  • No se puede conciliar la auditoría de inventario.

Módulo de seguridad de hardware:

  • Las licencias de prueba desactivadas aún se pueden detectar en CipherTrust Manager, lo que activa advertencias de vencimiento falsas.

  • Se produce un problema en el que los HSM fallan con un error ValidateNetworkConfig después del inicio. Este error impide que los recursos personalizados del HSM entren en un estado Ready.

  • Una pérdida de descriptor de archivos provoca un error ServicesNotStarted.

Salud:

  • Debido a un problema con el etiquetado de la API de SLO, es posible que el sistema active más de 30 falsas alarmas sobre alertas de SLO en varios componentes.

Administración de identidades y accesos:

  • Las vinculaciones de roles fallan si los nombres de vinculación de roles de IAM generados superan los 63 caracteres.

  • Las cuentas de servicio del proyecto (PSA) no pueden asignarse vinculaciones de roles de IAM a sí mismas ni a otras PSA con el rol de organization-iam-admin.

  • Los proyectos nuevos experimentan demoras en la creación de roles predefinidos.

  • Los operadores de aplicaciones no pueden otorgarse acceso a roles en el clúster de infraestructura.

  • Los tokens de las cuentas de servicio existentes dejan de ser válidos.

Infraestructura como código (IaC)

  • Un subcomponente no se puede conciliar debido a la falta de un espacio de nombres.
  • Falla la recopilación de métricas de ConfigSync de IaC.
  • Falla la sincronización raíz de la IAC.

Sistema de administración de claves:

  • El KMS configurado para usar una clave raíz de CTM no realiza una conmutación por error cuando un HSM no está disponible.

Balanceadores de cargas:

  • La creación del balanceador de cargas global falla debido a que no hay suficientes direcciones IP en las subredes globales.
  • Los objetos del balanceador de cargas no ingresan en el estado Ready.

  • Aún no se admite la modificación de los balanceadores de cargas una vez que se hayan configurado.

  • El recurso BackendService global no rechaza los nombres de zonas incorrectos.

  • Puede ocurrir un error de webhook tanto para los balanceadores de cargas zonales como para los globales.

MHS:

  • Después de una operación de copia de seguridad y restablecimiento del servicio de Harbor administrado (MHS), los secretos de la CLI dejan de ser válidos para la instancia de Harbor restablecida y deben volver a crearse.
  • Cuando existen varias instancias de Harbor en diferentes proyectos de usuarios, las operaciones de copia de seguridad y restablecimiento compiten por los controles de acceso basados en roles y experimentan una alta tasa de errores.
  • El tamaño de la copia de seguridad no se implementó para la copia de seguridad y el restablecimiento de Harbor. En la consola de GDC, el campo SizeBytes muestra un valor de 0, y la columna Size muestra un valor de 0 MB.
  • Cuando ven la página de Harbor Container Registry en la consola de GDC, los usuarios sin el permiso necesario de administrador de instancias de Harbor ven un mensaje de error cuando recuperan recursos de copia de seguridad.

Supervisión:

  • El webhook de AlertManager no puede enviar alertas ni notificaciones de incidentes para algunos clústeres.
  • En ocasiones, los incidentes se duplican al crearse.
  • Hay dos alertas falsas de supervisión abiertas en el clúster de administrador raíz.
  • Se puede ignorar una alerta de error de conciliación.
  • El administrador de controladores raíz muestra una tasa de errores alta.
  • Los paneles de supervisión de KUB no muestran datos.
  • Los permisos están mal configurados para un rol de depurador de observabilidad.
  • Falta un rol de depurador de Grafana.
  • La eliminación del proyecto está atascada debido a finalizadores pendientes del panel y la fuente de datos.
  • Los AP no pueden ver las métricas de KSM.

Varias zonas:

  • Cuando no se puede acceder a una zona, la consola de GDC muestra un error de autenticación.

  • La enumeración de zonas con la CLI de gcloud no está disponible de forma predeterminada.

  • Pueden producirse errores intermitentes de acceso cuando se accede a la URL global de la consola de GDC.

Herramientas de redes:

  • La configuración del Protocolo de puerta de enlace fronteriza (BGP) con un número de sistema autónomo (ASN) de 4 bytes en los conmutadores de red genera errores de configuración.

  • No se puede acceder al nodo en la red de datos.

  • La red experimenta una caída de alrededor del 50% en el tráfico entre zonas entre los nodos.

  • Es posible que las implementaciones de Pods StatefulSet causen problemas de conectividad.

  • El tráfico de difusión global se bloquea debido a listas de control de acceso (LCA) demasiado restrictivas.

  • La política de red del proyecto (PNP) allow-all-egress no permite el tráfico a los extremos del sistema.

  • El panel de SLO de pnet-cross-zone-availability no muestra ninguna métrica en Grafana.

  • Las puertas de enlace de entrada de administración y del plano de datos no se pueden conciliar.

  • La página de política de red del proyecto en la consola de GDC no admite el campo projectSelector en la API de ProjectNetworkPolicy.

  • No se confirman los cambios en la configuración del conmutador de red.

Servicios principales de infraestructura de Operations Suite (OIC):

  • El host de salto tiene un rendimiento deficiente.

Sistema operativo:

  • Es posible que el OS NodeUpgrade se bloquee en el paso NodeOSInPlaceUpgradePostProcessingCompleted.
  • Es posible que la actualización de OS NodeUpgrade se detenga en la creación del servidor de paquetes.

Resource Manager:

  • No se pueden borrar proyectos desde la consola de GDC.

  • Cuando se crea una organización del cliente, falla el trabajo create-ansible-playbooks que crea los libros de reproducción de Ansible requeridos.

Almacenamiento:

  • Los Pods no se pueden activar debido a un error de Trident mkfs.ext4.

  • La actualización del nodo está bloqueada.

System Artifact Registry:

  • Los trabajos de replicación de artefactos de Harbor se detienen.

  • Se puede activar una falsa alarma en respuesta a errores transitorios cuando se concilia el recurso HarborRobotAccount.

Actualizar:

  • Falla el informe de asistencia.

Vertex AI:

  • Los modelos previamente entrenados y los libros de trabajo de Vertex AI no están habilitados en la versión 1.14.3, pero estarán disponibles en la 1.14.4.
Se corrigieron los siguientes problemas:

Puerto:

  • Se corrigió el problema por el que el grupo de nodos quedaba atascado en el estado Provisioning. Para obtener más información, consulta Problemas conocidos.
Se identificaron los siguientes cambios:

Core:

  • Se quitaron los requisitos para interactuar con el clúster de administrador de la organización y el clúster del sistema en varios flujos de trabajo de servicios. El servidor de la API de Management, que está disponible para administrar todas las cargas de trabajo y los servicios que no son de contenedor, reemplaza todos los flujos de trabajo de servicio afectados.

  • El servidor de API global se proporciona de forma predeterminada para los recursos administrados por el cliente que están diseñados para la implementación global en un universo de GDC. Para obtener más información, consulta Servidores de API globales y zonales.

Marketplace:

  • Los permisos del rol de Visualizador de Marketplace se restringen solo a la visualización de los servicios disponibles, sin acceso a las instancias instaladas ni a sus configuraciones. Para ver la configuración de las instancias en ejecución, los usuarios necesitan el rol de editor de Marketplace (marketplace-editor).

  • Hay disponible una lista de imágenes de servicios de Marketplace.

Resource Manager:

  • Se quitó la capacidad de adjuntar un clúster de Kubernetes cuando se crea un proyecto en la consola de GDC. Debes adjuntar clústeres de Kubernetes a un proyecto desde la página Kubernetes Engine > Clústeres. Para obtener más información, consulta Cómo crear un proyecto.

Actualizaciones de versiones:

Máquinas virtuales:

  • Se actualizó la documentación de Performance Test as a Service (PTaaS) para incluir nuevos nombres y descripciones de las comparativas disponibles en PTaaS.