Notes de version de Google Distributed Cloud sous air gap 1.14.3

28 février 2025

Google Distributed Cloud (GDC) sous air gap 1.14.3 est disponible.
Consultez la présentation du produit pour en savoir plus sur les fonctionnalités de Distributed Cloud.
Voici les nouvelles fonctionnalités disponibles :

Sauvegarder et restaurer :

  • Ajout de la possibilité de créer des sauvegardes et des restaurations de VM à portée limitée pour cibler des charges de travail de VM spécifiques. Créez ces sauvegardes de VM manuellement ou créez des plans de sauvegarde qui effectuent automatiquement des sauvegardes selon une planification que vous définissez. Pour en savoir plus, consultez Présentation.
  • Ajout de restaurations précises de VM qui vous permettent de restaurer des ressources de VM et de disque de VM spécifiques. Pour en savoir plus, consultez Créer une restauration précise.
  • Ajout de restaurations précises de clusters qui vous permettent de restaurer un sous-ensemble de ressources à partir d'une sauvegarde de cluster. Cette fonctionnalité vous permet d'affiner le champ d'application de la restauration défini dans le plan de restauration. Pour en savoir plus, consultez Créer une restauration précise.

Facturation :

  • Ajout de la possibilité d'importer les coûts de facturation mensuels dans la console Argentum.

DNS :

  • Vous pouvez désormais créer et gérer vos propres zones DNS publiques et privées pour répondre aux besoins de vos applications et services. Dans une zone DNS, vous pouvez créer des enregistrements DNS. Les différents types d'enregistrements DNS ont des objectifs différents, comme diriger le trafic, définir les serveurs de messagerie et valider la propriété. Pour en savoir plus, consultez À propos des zones et des enregistrements DNS.

Pare-feu :

  • Ajout de la possibilité de configurer l'authentification NTP PANW sur les pare-feu GDC à l'aide de clés symétriques.

IAM :

  • Les API IAM qui contrôlent les fournisseurs d'identité, les comptes de service et les liaisons de rôle sont globales par défaut et couvrent toutes les zones d'un univers GDC. Pour en savoir plus, consultez Contrôle des autorisations pour un univers multizone.

Marketplace :

  • Neo4j est disponible sur la marketplace GDC sous air gap. Neo4j est une base de données de graphes NoSQL Open Source intégrée qui fournit un backend transactionnel conforme à la norme ACID pour vos applications.
  • L'opérateur MariaDB est disponible sur le marketplace GDC air-gapped. L'opérateur MariaDB utilise des images Docker compatibles pour fournir une solution de gestion de parc et de haute disponibilité/reprise après sinistre pour MariaDB Enterprise Server et MaxScale.
  • HashiCorp Vault (BYOL) est disponible sur le marketplace Google Distributed Cloud air-gapped. HashiCorp Vault est un système de gestion du chiffrement et des secrets basé sur l'identité.
  • Apache Kafka sur la plate-forme Confluent (BYOL) est disponible sur le marketplace GDC air-gapped. Confluent Platform est une solution qui permet d'accéder, de stocker et de gérer en temps réel des flux de données continus.
  • Le logiciel Redis pour Kubernetes (BYOL) est disponible sur le marketplace GDC air-gapped. Redis est la base de données en mémoire la plus rapide au monde pour créer et faire évoluer des applications rapides.

MHS :

  • Le service Managed Harbor (MHS) inclut désormais la sauvegarde et la restauration de Harbor. Configurer des sauvegardes et créer des restaurations pour les instances Harbor Pour en savoir plus, consultez Présentation.
  • Ajout de l'assistant d'identification MHS qui vous permet d'utiliser votre identité GDC pour vous connecter à Docker ou à Helm CLI. Pour en savoir plus, consultez Se connecter à Docker et Helm.
  • Ajout de la possibilité d'analyser tous les artefacts d'une instance Harbor. Pour en savoir plus, consultez Analyser les failles.

Journalisation :

  • Le pod Loki plante ou est OOMKilled lors de la relecture du WAL.

Surveillance :

Mise en réseau :

  • Utilisez des équilibreurs de charge internes et externes multizones pour répartir le trafic des charges de travail de VM et de pods. Pour en savoir plus, consultez Présentation.

  • Configurez des ressources d'interconnexion pour établir une connectivité physiquement dédiée aux réseaux privés externes. Pour en savoir plus, consultez la présentation de l'interconnexion.

  • Configurez un équilibreur de charge interne ou externe pour les charges de travail de pods et de VM à l'aide de l'API Networking KRM ou de la gcloud CLI. Pour en savoir plus, consultez Gérer les équilibreurs de charge.

  • Utilisez des règles de réseau de projet zonales et globales pour établir la connectivité entre les projets et les organisations.

  • Créez des règles de réseau au niveau de la charge de travail pour définir des règles d'accès spécifiques pour les VM et les pods individuels d'un projet.

Resource Manager :

  • Par défaut, les projets sont des ressources globales qui couvrent toutes les zones d'un univers GDC. Pour en savoir plus, consultez la présentation des zones multiples.

Machines virtuelles :

Mise à jour de la version de l'image Rocky OS vers la version 20250124 pour appliquer les derniers correctifs de sécurité et les mises à jour importantes.

Les failles de sécurité suivantes ont été corrigées :

Les problèmes suivants ont été identifiés :

Sauvegarder et restaurer

  • La modification d'un RestorePlan depuis la console GDC ne fonctionne pas.

  • Les pods d'agent et de plan de contrôle peuvent redémarrer s'ils manquent de mémoire, ce qui affecte la stabilité du système.

  • Les métriques et les alertes d'objectif de niveau de service (SLO) GDC pour la sauvegarde et la restauration ne sont pas activées par défaut en raison de définitions de ressources personnalisées manquantes.

  • Les règles de conservation ne s'appliquent pas aux sauvegardes importées.

  • Les sauvegardes partielles de VM échouent.

  • Nettoyez les ressources de sauvegarde orphelines après la suppression d'un cluster d'utilisateur ou de service.

  • La suppression de VirtualMachineRestore n'est pas possible via la CLI ni l'UI.

Gestion des clusters

  • Le sous-composant kub-gpu-controller ne se réconcilie pas pour l'organisation gdchservices.

  • La suppression des pools de nœuds obsolètes des clusters standards échoue. Les clusters standards sont en aperçu privé et peuvent ne pas être disponibles pour tous les clients.

Pare-feu

  • L'organisation n'est pas accessible via le DNS de la console d'interface utilisateur globale.

  • Une fois la ressource personnalisée OCITTopology déployée, la connectivité entre le plan de gestion et le plan de données OIR et GDC est interrompue.

  • Le trafic multizone et multiorganisation est bloqué par défaut par les pare-feu GDC.

Inventaire

  • L'audit de l'inventaire ne parvient pas à être réconcilié.

Module de sécurité matériel :

  • Les licences d'essai désactivées sont toujours détectables dans CipherTrust Manager, ce qui déclenche de faux avertissements d'expiration.

  • Un problème se produit lorsque les HSM échouent avec une erreur ValidateNetworkConfig après le démarrage. Cette erreur empêche les ressources personnalisées HSM de passer à l'état Ready.

  • Une fuite de descripteur de fichier entraîne une erreur ServicesNotStarted.

Santé :

  • En raison d'un problème lié au libellé de l'API SLO, le système déclenche potentiellement plus de 30 fausses alarmes concernant les alertes SLO dans plusieurs composants.

Gestion de l'authentification et des accès :

  • Les liaisons de rôle échouent si les noms de liaison de rôle IAM générés dépassent 63 caractères.

  • Les comptes de service de projet (CSP) ne peuvent pas s'attribuer d'associations de rôles IAM à eux-mêmes ni à d'autres CSP disposant du rôle organization-iam-admin.

  • Les nouveaux projets rencontrent des retards dans la création de rôles prédéfinis.

  • Les opérateurs d'application ne peuvent pas s'accorder l'accès aux rôles dans l'infra-cluster.

  • Les jetons des comptes de service existants ne sont plus valides.

Infrastructure as Code (IAC)

  • Un sous-composant ne parvient pas à effectuer la réconciliation en raison d'un espace de noms manquant.
  • La collecte des métriques IAC Config Sync échoue.
  • La synchronisation racine IAC échoue.

Système de gestion des clés :

  • KMS configuré pour utiliser une clé racine CTM n'effectue pas de basculement lorsqu'un HSM n'est pas disponible.

Équilibreurs de charge :

  • La création d'un équilibreur de charge mondial échoue en raison d'un nombre insuffisant d'adresses IP dans les sous-réseaux mondiaux.
  • Les objets de l'équilibreur de charge ne passent pas à l'état Ready.

  • Il n'est pas encore possible de modifier les équilibreurs de charge une fois qu'ils ont été configurés.

  • La ressource BackendService globale n'accepte pas les noms de zones incorrects.

  • Une erreur de webhook peut se produire pour les équilibreurs de charge zonaux et globaux.

MHS :

  • Après une opération de sauvegarde et de restauration de Managed Harbor Service (MHS), les secrets de la CLI ne sont plus valides pour l'instance Harbor restaurée et doivent être recréés.
  • Lorsque plusieurs instances Harbor existent dans différents projets utilisateur, les opérations de sauvegarde et de restauration sont en concurrence pour les contrôles d'accès basés sur les rôles et présentent un taux d'échec élevé.
  • La taille de la sauvegarde n'est pas implémentée pour la sauvegarde et la restauration Harbor. Dans la console GDC, le champ SizeBytes affiche la valeur 0 et la colonne Taille affiche la valeur 0 Mo.
  • Lorsqu'ils consultent la page Harbor Container Registry dans la console GDC, les utilisateurs qui ne disposent pas de l'autorisation requise d'administrateur d'instance Harbor voient un message d'erreur s'afficher lorsqu'ils récupèrent des ressources de sauvegarde.

Surveillance :

  • Le webhook AlertManager ne parvient pas à envoyer d'alertes ni de notifications d'incidents pour certains clusters.
  • Il arrive que des incidents soient dupliqués lors de leur création.
  • Deux fausses alertes de surveillance sont ouvertes dans le cluster d'administrateur racine.
  • Vous pouvez ignorer une alerte d'erreur de rapprochement.
  • Le gestionnaire de contrôleurs d'administrateur racine affiche un taux d'erreur élevé.
  • Les tableaux de bord de surveillance KUB n'affichent aucune donnée.
  • Les autorisations sont mal configurées pour un rôle de débogueur d'observabilité.
  • Il manque un rôle de débogueur Grafana.
  • La suppression du projet est bloquée en raison de finaliseurs en attente pour le tableau de bord et la source de données.
  • Les métriques du KSM ne sont pas visibles par les PA.

Multizone :

  • Lorsqu'une zone est inaccessible, la console GDC affiche une erreur d'authentification.

  • La liste des zones à l'aide de la CLI gdcloud n'est pas disponible par défaut.

  • Des erreurs de connexion intermittentes peuvent se produire lorsque vous accédez à l'URL de la console GDC mondiale.

Mise en réseau :

  • La configuration du protocole BGP (Border Gateway Protocol) avec un numéro de système autonome (ASN) de quatre octets sur les commutateurs réseau entraîne des échecs de configuration.

  • Le nœud n'est pas accessible sur le réseau de données.

  • Le trafic interzones entre les nœuds du réseau diminue d'environ 50 %.

  • Les déploiements de pods StatefulSet peuvent entraîner des problèmes de connectivité.

  • Le trafic anycast mondial est bloqué par des listes de contrôle d'accès (LCA) trop restrictives.

  • La règle de réseau du projet allow-all-egress n'autorise pas le trafic vers les points de terminaison du système.

  • Le tableau de bord des SLO pnet-cross-zone-availability n'affiche aucune métrique dans Grafana.

  • Échec de la réconciliation des passerelles d'entrée du plan de données et de gestion.

  • La page des règles réseau du projet dans la console GDC n'est pas compatible avec le champ projectSelector de l'API ProjectNetworkPolicy.

  • Les modifications apportées à la configuration du commutateur réseau ne sont pas appliquées.

Services principaux de l'infrastructure Operations Suite (OIC) :

  • Le jumphost est peu performant.

Système d'exploitation :

  • La mise à niveau OSNode peut rester bloquée à l'étape NodeOSInPlaceUpgradePostProcessingCompleted.
  • La mise à niveau du nœud OS peut rester bloquée lors de la création du serveur de packages.

Resource Manager :

  • Il est impossible de supprimer des projets depuis la console GDC.

  • Lors de la création d'une organisation cliente, le job create-ansible-playbooks qui crée les playbooks Ansible requis échoue.

Stockage :

  • Les pods ne parviennent pas à être montés en raison d'une erreur mkfs.ext4 de Trident.

  • La mise à niveau du nœud est bloquée.

System Artifact Registry :

  • Les tâches de réplication des artefacts Harbor sont bloquées.

  • Une fausse alerte peut se déclencher en réponse à des erreurs temporaires lors de la réconciliation de la ressource HarborRobotAccount.

Mettre à niveau :

  • Le rapport d'assistance échoue.

Vertex AI :

  • Les modèles et les classeurs pré-entraînés Vertex AI ne sont pas activés dans la version 1.14.3, mais le seront dans la version 1.14.4.
Les problèmes suivants ont été résolus :

Harbor :

  • Correction du problème qui bloquait le pool de nœuds dans l'état Provisioning. Pour en savoir plus, consultez la section Problèmes connus.
Les modifications suivantes ont été identifiées :

Core :

  • Les exigences pour interagir avec le cluster d'administrateur de l'organisation et le cluster système dans plusieurs workflows de service ont été supprimées. Le serveur de l'API Management, qui permet de gérer toutes les charges de travail et tous les services non conteneurisés, remplace tous les workflows de service concernés.

  • Le serveur d'API global est fourni par défaut pour les ressources gérées par le client qui sont conçues pour un déploiement mondial dans un univers GDC. Pour en savoir plus, consultez Serveurs d'API globaux et zonaux.

Marketplace :

  • Les autorisations du rôle Lecteur Marketplace sont limitées à l'affichage des services disponibles. Les utilisateurs ne peuvent pas accéder aux instances installées ni à leurs configurations. Pour afficher la configuration des instances en cours d'exécution, les utilisateurs doivent disposer du rôle Éditeur Marketplace (marketplace-editor).

  • Une liste des images de service Marketplace est disponible.

Resource Manager :

  • Suppression de la possibilité d'associer un cluster Kubernetes lors de la création d'un projet dans la console GDC. Vous devez associer des clusters Kubernetes à un projet depuis la page Kubernetes Engine > Clusters. Pour en savoir plus, consultez Créer un projet.

Mises à jour des versions :

Machines virtuelles :

  • Mise à jour de la documentation sur Performance Test as a Service (PTaaS) pour inclure de nouveaux noms et de nouvelles descriptions pour les benchmarks disponibles dans PTaaS.