Notas da versão 1.14.3 do Google Distributed Cloud com isolamento físico

28 de fevereiro de 2025

O Google Distributed Cloud (GDC) com isolamento físico 1.14.3 está disponível.
Consulte a visão geral do produto para saber mais sobre os recursos do Distributed Cloud.
Os seguintes recursos estão disponíveis:

Backup e restauração:

  • Adicionada a capacidade de criar backups e restaurações de VMs com escopo para direcionar cargas de trabalho específicas de VMs. Crie esses backups de VM manualmente ou crie planos de backup que realizam backups automaticamente em uma programação definida por você. Para mais informações, consulte Visão geral.
  • Adicionamos restaurações detalhadas de VM que permitem restaurar recursos específicos de VM e disco de VM. Para mais informações, consulte Criar uma restauração granular.
  • Adicionamos restaurações detalhadas de cluster, que permitem restaurar um subconjunto de recursos de um backup de cluster. Esse recurso oferece a flexibilidade de refinar o escopo de restauração definido no plano de restauração. Para mais informações, consulte Criar uma restauração refinada.

Faturamento:

  • Adicionada a capacidade de fazer upload dos custos de faturamento mensal para o console do Argentum.

DNS:

  • Agora você pode criar e gerenciar suas próprias zonas de DNS públicas e particulares para atender às necessidades dos seus aplicativos e serviços. Em uma zona DNS, é possível criar registros DNS. Diferentes tipos de registros DNS têm finalidades distintas, como direcionar o tráfego, definir servidores de e-mail e verificar a propriedade. Para mais informações, consulte Sobre zonas e registros de DNS.

Firewall:

  • Adicionada a capacidade de configurar a autenticação NTP PANW em firewalls do GDC usando chaves simétricas.

IAM:

  • As APIs do IAM que controlam provedores de identidade, contas de serviço e vinculações de função são globais por padrão, abrangendo todas as zonas em um universo do GDC. Para mais informações, consulte Controle de permissões para um universo multizona.

Marketplace:

  • O Neo4j está disponível no marketplace do GDC com isolamento físico. O Neo4j é um banco de dados de gráficos NoSQL de código aberto e integrado que oferece um back-end transacional compatível com ACID para seus aplicativos.
  • O operador do MariaDB está disponível no marketplace do GDC com isolamento físico. O operador do MariaDB usa imagens do Docker compatíveis para fornecer uma solução de gerenciamento de frota e HA/DR para o MariaDB Enterprise Server e o MaxScale.
  • O HashiCorp Vault (BYOL) está disponível no marketplace do Google Distributed Cloud com isolamento físico. O HashiCorp Vault é um sistema de gerenciamento de secrets e criptografia baseado em identidade.
  • O Apache Kafka na plataforma Confluent (BYOL) está disponível no marketplace isolado por air gap do GDC. O Confluent Platform é uma solução que permite acesso, armazenamento e gerenciamento em tempo real de fluxos de dados contínuos.
  • O software Redis para Kubernetes (BYOL) está disponível no marketplace isolado do GDC. O Redis é o banco de dados na memória mais rápido do mundo para criar e escalonar aplicativos rápidos.

MHS:

  • O Managed Harbor Service (MHS) agora inclui backup e restauração do Harbor. Configure backups e crie restaurações para instâncias do Harbor. Para mais informações, consulte Visão geral.
  • Adicionamos o auxiliar de credencial do MHS, que permite usar sua identidade do GDC para fazer login na CLI do Docker ou do Helm. Para mais informações, consulte Fazer login no Docker e no Helm.
  • Foi adicionada a capacidade de verificar todos os artefatos em uma instância do Harbor. Para mais informações, consulte Verificar vulnerabilidades.

Geração de registros:

  • O pod do Loki falha ou é OOMKilled durante a repetição do WAL.

Monitoramento:

Rede:

  • Use balanceadores de carga internos e externos multizona para distribuir o tráfego para cargas de trabalho de VM e pod. Para mais informações, consulte Visão geral.

  • Configure recursos de interconexão para estabelecer conectividade fisicamente dedicada a redes particulares externas. Para mais informações, consulte a visão geral da interconexão.

  • Configure um balanceador de carga interno ou externo para cargas de trabalho de pod e VM usando a API KRM de rede ou a CLI gdcloud. Para mais informações, consulte Gerenciar balanceadores de carga.

  • Use políticas de rede de projeto zonais e globais para estabelecer conectividade entre projetos e organizações.

  • Crie políticas de rede no nível da carga de trabalho para definir regras de acesso específicas para VMs e pods individuais em um projeto.

Resource Manager:

  • Por padrão, os projetos são recursos globais que abrangem todas as zonas em um universo do GDC. Para mais informações, consulte a Visão geral de várias zonas.

Máquinas virtuais:

Atualizamos a versão da imagem do Rocky OS para 20250124 para aplicar os patches de segurança e as atualizações importantes mais recentes.

As seguintes vulnerabilidades de segurança foram corrigidas:

Os seguintes problemas foram identificados:

Backup e restauração

  • A edição de um RestorePlan no console do GDC está com falhas.

  • Os pods do agente e do plano de controle podem ser reiniciados se ficarem sem memória, afetando a estabilidade do sistema.

  • As métricas e os alertas de objetivo de nível de serviço (SLO) do GDC para backup e restauração não são ativados por padrão devido à falta de definições de recursos personalizados.

  • As políticas de retenção não são aplicadas aos backups importados.

  • Os backups parciais de VM falham.

  • Limpe os recursos de backup órfãos após a exclusão do cluster de usuário ou de serviço.

  • Não é possível excluir VirtualMachineRestore pela CLI ou pela UI.

Gerenciamento de clusters

  • O subcomponente kub-gpu-controller não faz reconciliação para a organização gdchservices.

  • A remoção de pools de nós obsoletos de clusters padrão falha. Os clusters padrão estão em visualização particular e podem não estar disponíveis para todos os clientes.

Firewall

  • Não é possível acessar a organização pelo DNS do console da UI global.

  • Depois que o recurso personalizado OCITTopology é implantado, a conectividade entre o OIR e o plano de gerenciamento e o plano de dados do GDC é interrompida.

  • O tráfego entre zonas e organizações é bloqueado por padrão pelos firewalls do GDC.

Inventário

  • A auditoria de inventário não é reconciliada.

Módulo de segurança de hardware:

  • As licenças de teste desativadas ainda são detectáveis no CipherTrust Manager, acionando avisos de expiração falsos.

  • Ocorre um problema em que os HSMs falham com um erro ValidateNetworkConfig após a inicialização. Esse erro impede que os recursos personalizados do HSM entrem em um estado Ready.

  • Um vazamento de descritor de arquivo causa um erro ServicesNotStarted.

Saúde:

  • O sistema pode acionar mais de 30 alarmes falsos sobre alertas de SLO em vários componentes devido a um problema com a rotulagem da API SLO.

Gerenciamento de identidade e acesso:

  • As vinculações de função falham se os nomes gerados excederem 63 caracteres.

  • As contas de serviço do projeto (PSA, na sigla em inglês) não podem atribuir vinculações de papéis do IAM a si mesmas ou a outras PSAs com o papel organization-iam-admin.

  • Novos projetos têm atrasos na criação de papéis predefinidos.

  • Os operadores de aplicativos não podem conceder a si mesmos acesso a funções no cluster de infraestrutura.

  • Os tokens das contas de serviço atuais vão ficar inválidos.

Infraestrutura como código (IAC)

  • Um subcomponente não consegue reconciliar devido a um namespace ausente.
  • A coleta de métricas do IAC ConfigSync falha.
  • A sincronização raiz da IAC falha.

Sistema de gerenciamento de chaves:

  • O KMS configurado para usar uma chave raiz do CTM não faz failover quando um HSM está indisponível.

Balanceadores de carga:

  • A criação do balanceador de carga global falha devido a endereços IP insuficientes em sub-redes globais.
  • Os objetos do balanceador de carga não estão entrando em um estado Ready.

  • Ainda não é possível modificar os balanceadores de carga depois de configurados.

  • O recurso global BackendService não rejeita nomes de zona incorretos.

  • Um erro de webhook pode ocorrer em balanceadores de carga zonais e globais.

MHS:

  • Após uma operação de backup e restauração do Managed Harbor Service (MHS), os segredos da CLI ficam inválidos para a instância restaurada do Harbor e precisam ser criados novamente.
  • Quando há várias instâncias do Harbor em projetos de usuários diferentes, as operações de backup e restauração competem por controles de acesso baseados em papéis e têm uma alta taxa de falha.
  • O tamanho do backup não é implementado para backup e restauração do Harbor. No console do GDC, o campo SizeBytes mostra um valor de 0, e a coluna Tamanho mostra um valor de 0 MB.
  • Ao acessar a página Harbor Container Registry no console do GDC, os usuários sem a permissão necessária de administrador da instância do Harbor recebem uma mensagem de erro ao recuperar recursos de backup.

Monitoramento:

  • O webhook do AlertManager não envia alertas e notificações de incidentes para alguns clusters.
  • Às vezes, os incidentes são duplicados na criação.
  • Dois alertas falsos de monitoramento estão abertos no cluster de administrador raiz.
  • Um alerta de erro de conciliação pode ser ignorado.
  • O gerenciador de controladores de administrador raiz mostra uma alta taxa de erros.
  • Os painéis de monitoramento do KUB não mostram dados.
  • As permissões estão mal configuradas para uma função de depurador de observabilidade.
  • Uma função de depurador do Grafana está faltando.
  • A exclusão do projeto está travada devido a finalizadores pendentes do painel e da fonte de dados.
  • As métricas do KSM não ficam visíveis para os PAs.

Multizona:

  • Quando uma zona está inacessível, o console do GDC mostra um erro de autenticação.

  • A listagem de zonas usando a CLI gdcloud não está disponível por padrão.

  • Podem ocorrer erros intermitentes de login ao acessar o URL do console global do GDC.

Rede:

  • A configuração do protocolo de gateway de borda (BGP) com um número de sistema autônomo (ASN) de 4 bytes em switches de rede causa falhas de configuração.

  • Não é possível acessar o nó na rede de dados.

  • A rede sofre uma queda de aproximadamente 50% no tráfego entre zonas entre os nós.

  • Os rollouts de pods StatefulSet podem causar problemas de conectividade.

  • O tráfego global de anycast é bloqueado por listas de controle de acesso (ACLs) excessivamente restritivas.

  • A política de rede do projeto (PNP, na sigla em inglês) allow-all-egress não permite o tráfego para endpoints do sistema.

  • O painel de SLO pnet-cross-zone-availability não mostra nenhuma métrica no Grafana.

  • Os gateways de entrada do plano de dados e de gerenciamento não são reconciliados.

  • A página de política de rede do projeto no console do GDC não é compatível com o campo projectSelector na API ProjectNetworkPolicy.

  • As mudanças na configuração do switch de rede não estão sendo confirmadas.

Serviços principais de infraestrutura do pacote de operações (OIC):

  • O jumphost tem desempenho ruim.

Sistema operacional:

  • O OS NodeUpgrade pode ficar travado na etapa NodeOSInPlaceUpgradePostProcessingCompleted.
  • A atualização de nó do SO pode ficar travada na criação do servidor de pacotes.

Resource Manager:

  • Não é possível excluir projetos do console do GDC.

  • Ao criar uma organização do cliente, o job create-ansible-playbooks que cria os playbooks do Ansible necessários falha.

Armazenamento:

  • Os pods não são montados devido a um erro mkfs.ext4 do Trident.

  • O upgrade do nó está bloqueado.

Registro de artefatos do sistema:

  • Os jobs de replicação de artefatos do Harbor ficam travados.

  • Um falso alarme pode ser acionado em resposta a erros temporários ao conciliar o recurso HarborRobotAccount.

Fazer upgrade:

  • O relatório de suporte falha.

Vertex AI:

  • Os modelos pré-treinados e os notebooks da Vertex AI não estão ativados na versão 1.14.3, mas estarão disponíveis na 1.14.4.
Os seguintes problemas foram corrigidos:

Harbor:

  • Correção do problema em que o pool de nós ficava preso em um estado de Provisioning. Saiba mais em Problemas conhecidos.
As seguintes mudanças foram identificadas:

Core:

  • Os requisitos para interagir com o cluster de administrador da organização e o cluster do sistema em vários fluxos de trabalho de serviço foram removidos. O servidor da API Management, disponível para gerenciar todas as cargas de trabalho e serviços não contêinerizados, substitui todos os fluxos de trabalho de serviço afetados.

  • O servidor de API global é fornecido por padrão para recursos gerenciados pelo cliente projetados para implantação global em um universo do GDC. Para mais informações, consulte Servidores de API globais e zonais.

Marketplace:

  • As permissões da função Leitor do Marketplace são restritas à visualização dos serviços disponíveis, sem acesso às instâncias instaladas ou às configurações delas. Para ver a configuração das instâncias em execução, os usuários precisam da função de editor do Marketplace (marketplace-editor).

  • Uma lista de imagens de serviços do Marketplace está disponível.

Resource Manager:

  • Removida a capacidade de anexar um cluster do Kubernetes ao criar um projeto no console do GDC. É necessário anexar clusters do Kubernetes a um projeto na página Kubernetes Engine > Clusters. Para mais informações, consulte Criar um projeto.

Atualizações da versão:

Máquinas virtuais:

  • Atualizamos a documentação do teste de desempenho como serviço (PTaaS, na sigla em inglês) para incluir novos nomes e descrições para os comparativos de mercado disponíveis no PTaaS.