Note di rilascio di Google Distributed Cloud con air gap 1.14.3

28 febbraio 2025

---

---

Backup e ripristino:

• È stata aggiunta la possibilità di creare backup e ripristini delle VM con ambito per indirizzare carichi di lavoro VM specifici. Crea questi backup delle VM manualmente oppure crea piani di backup che eseguono automaticamente i backup in base a una pianificazione che definisci. Per ulteriori informazioni, consulta la panoramica.
• Sono stati aggiunti ripristini granulari delle VM che consentono di ripristinare risorse specifiche di VM e dischi VM. Per ulteriori informazioni, vedi Creare un ripristino granulare.
• Sono stati aggiunti ripristini granulari del cluster che consentono di ripristinare un sottoinsieme di risorse da un backup del cluster. Questa funzionalità offre la flessibilità di perfezionare l'ambito di ripristino definito nel piano di ripristino. Per saperne di più, vedi Creare un ripristino granulare.

Fatturazione:

• È stata aggiunta la possibilità di caricare i costi di fatturazione mensili nella console Argentum.

DNS:

• Ora puoi creare e gestire le tue zone DNS pubbliche e private in base alle esigenze delle tue applicazioni e dei tuoi servizi. All'interno di una zona DNS, puoi creare record DNS. I diversi tipi di record DNS hanno scopi diversi, ad esempio indirizzare il traffico, definire i server di posta e verificare la proprietà. Per ulteriori informazioni, vedi Informazioni su zone e record DNS.

Firewall:

• È stata aggiunta la possibilità di configurare l'autenticazione NTP PANW sui firewall GDC utilizzando chiavi simmetriche.

IAM:

• Le API IAM che controllano i provider di identità, i service account e le associazioni di ruoli sono globali per impostazione predefinita e coprono tutte le zone di un universo GDC. Per ulteriori informazioni, consulta Controllo delle autorizzazioni per un universo multizona.

Marketplace:

• Neo4j è disponibile nel marketplace GDC con air gap. Neo4j è un database grafico NoSQL open source integrato che fornisce un backend transazionale conforme ad ACID per le tue applicazioni.
• L'operatore MariaDB è disponibile nel marketplace air-gap di GDC. MariaDB Operator utilizza immagini Docker supportate per fornire una soluzione di gestione della flotta e HA/RE per MariaDB Enterprise Server e MaxScale.
• HashiCorp Vault (BYOL) è disponibile nel marketplace Google Distributed Cloud con air gap. HashiCorp Vault è un sistema di gestione della crittografia e dei secret basato sull'identità.
• Apache Kafka su Confluent Platform (BYOL) è disponibile nel marketplace air-gap di GDC. Confluent Platform è una soluzione che consente l'accesso, l'archiviazione e la gestione in tempo reale di flussi di dati continui.
• Il software Redis per Kubernetes (BYOL) è disponibile nel marketplace air-gap di GDC. Redis è il database in memoria più veloce al mondo per creare e scalare applicazioni veloci.

MHS:

• Il servizio Managed Harbor (MHS) ora include il backup e il ripristino di Harbor. Configura i backup e crea i ripristini per le istanze Harbor. Per ulteriori informazioni, consulta la sezione Panoramica.
• È stato aggiunto l'helper delle credenziali MHS che consente di utilizzare la tua identità GDC per accedere alla CLI Docker o Helm. Per ulteriori informazioni, consulta Accedere a Docker e Helm.
• È stata aggiunta la possibilità di eseguire la scansione di tutti gli artefatti in un'istanza Harbor. Per maggiori informazioni, consulta Eseguire la scansione per rilevare vulnerabilità.

Logging:

• Il pod Loki si arresta in modo anomalo o viene terminato per esaurimento della memoria durante la riproduzione del WAL.

Monitoraggio:

• È stato aggiunto il supporto per le query e il monitoraggio tra zone nelle dashboard di visualizzazione. Per ulteriori informazioni, consulta Eseguire query e visualizzare le metriche e Eseguire query e visualizzare i log.

• Un avviso OCLCM rumoroso può essere ignorato.

• La pipeline delle metriche di sistema non è attiva.

Networking:

• Utilizza bilanciatori del carico interni ed esterni multizona per distribuire il traffico per i carichi di lavoro di VM e pod. Per ulteriori informazioni, consulta la sezione Panoramica.

• Configura le risorse di interconnessione per stabilire una connettività fisicamente dedicata a reti private esterne. Per ulteriori informazioni, consulta la panoramica dell'interconnessione.

• Configura un bilanciatore del carico interno o esterno per i carichi di lavoro di pod e VM utilizzando l'API Networking KRM o gcloud CLI. Per saperne di più, consulta Gestire i bilanciatori del carico.

• Utilizza i criteri di rete del progetto globali e di zona per stabilire la connettività tra progetti e organizzazioni.

• Crea criteri di rete a livello di workload per definire regole di accesso specifiche per singole VM e pod all'interno di un progetto.

Resource Manager:

• Per impostazione predefinita, i progetti sono risorse globali che coprono tutte le zone di un universo GDC. Per maggiori informazioni, consulta la panoramica multizona.

Macchine virtuali:

• È stata aggiunta la possibilità di attivare il Trusted Platform Module virtuale (vTPM) durante l'avvio protetto di una VM.

• Sono state aggiunte le seguenti immagini all'elenco di immagini VM fornite da GDC:

  • Immagine golden Ubuntu 24.04
  • SUSE CHost 15.5 bring your own (BYO) image
  • Immagine BYO (Bring Your Own) di Windows 10

• È stata aggiunta la possibilità di eseguire l'espansione del disco VM sulle partizioni VirtualMachineDisk.

• È stata aggiunta la possibilità di creare un'istanza VM con una subnet e un indirizzo IP specificati.

• È stata aggiunta la possibilità di visualizzare e gestire i metadati delle VM.

• È stato aggiunto il supporto per la nuova famiglia di macchine virtuali N4-highmem.

---

Sono state corrette le seguenti vulnerabilità di sicurezza:

• CVE-2022-3787
• CVE-2022-27635
• CVE-2022-40964
• CVE-2022-46329
• CVE-2023-20569
• CVE-2023-20584
• CVE-2023-20592
• CVE-2023-20593
• CVE-2023-27536
• CVE-2023-28321
• CVE-2023-28322
• CVE-2023-31315
• CVE-2023-31346
• CVE-2023-31356
• CVE-2023-37920
• CVE-2023-38546
• CVE-2023-46218
• CVE-2024-10041
• CVE-2024-10963
• CVE-2024-22365
• CVE-2024-2398
• CVE-2024-5535
• CVE-2024-52530
• CVE-2024-52532

---

Backup e ripristino

• La modifica di un RestorePlan dalla console GDC non funziona.

• I pod dell'agente e del control plane potrebbero riavviarsi se esauriscono la memoria, influendo sulla stabilità del sistema.

• Le metriche e gli avvisi dell'obiettivo del livello di servizio (SLO) di GDC per il backup e il ripristino non sono abilitati per impostazione predefinita a causa della mancanza di definizioni di risorse personalizzate.

• I criteri di conservazione non vengono applicati ai backup importati.

• I backup parziali delle VM non riescono.

• Esegui la pulizia delle risorse di backup orfane dopo l'eliminazione del cluster utente o di servizio.

• L'eliminazione di VirtualMachineRestore non è supportata tramite CLI o UI.

Gestione dei cluster

• Il sottocomponente kub-gpu-controller non viene riconciliato per l'organizzazione gdchservices.

• La rimozione dei node pool obsoleti dai cluster standard non riesce. I cluster standard sono in anteprima privata e potrebbero non essere disponibili per tutti i clienti.

Firewall

• L'organizzazione non è raggiungibile tramite il DNS della console UI globale.

• Dopo il deployment della risorsa personalizzata OCITTopology, la connettività tra OIR e il management plane e il data plane di GDC viene interrotta.

• Il traffico tra zone e organizzazioni è bloccato per impostazione predefinita dai firewall GDC.

Inventario

• La verifica dell'inventario non riesce a essere riconciliata.

Modulo di sicurezza hardware:

• Le licenze di prova disattivate sono ancora rilevabili in CipherTrust Manager, attivando avvisi di scadenza errati.

• Si verifica un problema per cui gli HSM non funzionano e viene visualizzato l'errore ValidateNetworkConfig dopo l'avvio. Questo errore impedisce alle risorse personalizzate HSM di entrare in uno stato Ready.

• Una perdita di descrittori di file causa un errore ServicesNotStarted.

Salute:

• Il sistema attiva potenzialmente più di 30 falsi allarmi sugli avvisi SLO in più componenti a causa di un problema con l'etichettatura dell'API SLO.

Gestione di identità e accessi:

• I binding dei ruoli non vanno a buon fine se i nomi dei binding dei ruoli IAM generati superano i 63 caratteri.

• I service account di progetto (PSA) non possono assegnare binding dei ruoli IAM a se stessi o ad altri PSA con il ruolo organization-iam-admin.

• I nuovi progetti subiscono ritardi nella creazione dei ruoli predefiniti.

• Gli operatori delle applicazioni non possono concedersi l'accesso ai ruoli nel cluster di infrastruttura.

• I token dei service account esistenti diventano non validi.

Infrastructure as Code (IaC)

• Un sottocomponente non viene riconciliato a causa di uno spazio dei nomi mancante.
• La raccolta delle metriche di IAC ConfigSync non va a buon fine.
• La sincronizzazione della radice IAC non riesce.

Sistema di gestione delle chiavi:

• Il KMS configurato per utilizzare una chiave radice CTM non esegue il failover quando un HSM non è disponibile.

Bilanciatori del carico:

• La creazione del bilanciatore del carico globale non riesce a causa di indirizzi IP insufficienti nelle subnet globali.
• Gli oggetti del bilanciatore del carico non entrano nello stato Ready.

• La modifica dei bilanciatori del carico una volta configurati non è ancora supportata.

• La risorsa globale BackendService non rifiuta i nomi di zona errati.

• Un errore webhook può verificarsi sia per i bilanciatori del carico zonali sia per quelli globali.

MHS:

• Dopo un'operazione di backup e ripristino di Managed Harbor Service (MHS), i secret della CLI diventano non validi per l'istanza di Harbor ripristinata e devono essere creati di nuovo.
• Quando esistono più istanze Harbor in progetti utente diversi, le operazioni di backup e ripristino competono per i controlli dell'accesso basato sui ruoli e registrano un tasso di errore elevato.
• La dimensione del backup non è implementata per il backup e il ripristino di Harbor. Nella console GDC, il campo SizeBytes mostra un valore di 0 e la colonna Dimensioni mostra un valore di 0 MB.
• Quando visualizzano la pagina Harbor Container Registry nella console GDC, gli utenti senza l'autorizzazione di amministratore dell'istanza Harbor necessaria visualizzano un messaggio di errore durante il recupero delle risorse di backup.

Monitoraggio:

• Il webhook AlertManager non riesce a inviare avvisi e notifiche di incidenti per alcuni cluster.
• A volte gli incidenti vengono duplicati al momento della creazione.
• Nel cluster di amministrazione principale sono aperti due falsi avvisi di monitoraggio.
• Un avviso di errore di riconciliazione può essere ignorato.
• Il gestore del controller dell'amministratore principale mostra un tasso di errore elevato.
• Le dashboard di monitoraggio KUB non mostrano dati.
• Le autorizzazioni sono configurate in modo errato per un ruolo di debugger di osservabilità.
• Manca un ruolo di debugger di Grafana.
• L'eliminazione del progetto è bloccata a causa dei finalizzatori in attesa di dashboard e origine dati.
• Le metriche di KSM non sono visibili agli amministratori dell'account.

Multizona:

• Quando una zona non è accessibile, la console GDC mostra un errore di autenticazione.

• L'elenco delle zone utilizzando gcloud CLI non è disponibile per impostazione predefinita.

• Possono verificarsi errori di accesso intermittenti quando si accede all'URL della console GDC globale.

Networking:

• La configurazione del Border Gateway Protocol (BGP) con un numero di sistema autonomo (ASN) di 4 byte sugli switch di rete comporta errori di configurazione.

• Il nodo non è raggiungibile sulla rete di dati.

• La rete registra un calo di circa il 50% del traffico tra zone tra i nodi.

• I rollout dei pod StatefulSet potrebbero causare problemi di connettività.

• Il traffico anycast globale è bloccato da elenchi di controllo dell'accesso (ACL) eccessivamente restrittivi.

• La allow-all-egress policy di rete del progetto (PNP) non consente il traffico verso gli endpoint di sistema.

• Il pnet-cross-zone-availability pannello SLO non mostra alcuna metrica in Grafana.

• I gateway di ingresso del piano dati e di gestione non vengono riconciliati.

• La pagina delle norme di rete del progetto nella console GDC non supporta il campo projectSelector nell'API ProjectNetworkPolicy.

• Le modifiche alla configurazione dello switch di rete non vengono eseguite.

Servizi principali dell'infrastruttura di Operations Suite (OIC):

• Il jumphost ha un rendimento scarso.

Sistema operativo:

• L'aggiornamento del nodo del sistema operativo potrebbe bloccarsi al passaggio NodeOSInPlaceUpgradePostProcessingCompleted.
• L'aggiornamento del nodo del sistema operativo potrebbe bloccarsi durante la creazione del server dei pacchetti.

Resource Manager:

• I progetti non possono essere eliminati dalla console GDC.

• Quando crei un'organizzazione cliente, il job create-ansible-playbooks che crea i playbook Ansible richiesti non riesce.

Archiviazione:

• Il montaggio dei pod non riesce a causa di un errore di Trident mkfs.ext4.

• L'upgrade del nodo è bloccato.

System Artifact Registry:

• I job di replica degli artefatti Harbor si bloccano.

• Un falso allarme può essere attivato in risposta a errori temporanei durante la riconciliazione della risorsa HarborRobotAccount.

Esegui l'upgrade:

• La segnalazione all'assistenza non va a buon fine.

Vertex AI:

• I modelli preaddestrati e i workbook di Vertex AI non sono abilitati nella versione 1.14.3, ma saranno disponibili nella versione 1.14.4.

---

Porto:

• È stato risolto il problema per cui il pool di nodi è bloccato nello stato Provisioning. Per saperne di più, vedi Problemi noti.

---

Core:

• I requisiti per interagire con il cluster di amministrazione dell'organizzazione e il cluster di sistema in diversi flussi di lavoro del servizio sono stati rimossi. Il server API Management, disponibile per la gestione di tutti i servizi e i workload non containerizzati, sostituisce tutti i flussi di lavoro dei servizi interessati.

• Il server API globale viene fornito per impostazione predefinita per le risorse gestite dal cliente progettate per il deployment globale in un universo GDC. Per saperne di più, vedi Server API globali e di zona.

Marketplace:

• Le autorizzazioni del ruolo Visualizzatore Marketplace sono limitate alla visualizzazione dei servizi disponibili, senza accesso alle istanze installate o alle loro configurazioni. Per visualizzare la configurazione delle istanze in esecuzione, gli utenti devono disporre del ruolo Editor Marketplace (marketplace-editor).

• È disponibile un elenco di immagini dei servizi Marketplace.

Resource Manager:

• È stata rimossa la possibilità di collegare un cluster Kubernetes durante la creazione di un progetto nella console GDC. Devi collegare i cluster Kubernetes a un progetto dalla pagina Kubernetes Engine > Cluster. Per saperne di più, consulta Creare un progetto.

Aggiornamenti delle versioni:

• La versione di Google Distributed Cloud per bare metal viene aggiornata alla versione 1.30.400-gke.133 per applicare le patch di sicurezza più recenti e gli aggiornamenti importanti.
  
  Per maggiori dettagli, consulta le note di rilascio di Google Distributed Cloud per bare metal 1.30.400-gke.133.

Macchine virtuali:

• La documentazione di Performance Test as a Service (PTaaS) è stata aggiornata per includere nuovi nomi e descrizioni per i benchmark disponibili in PTaaS.