Google Distributed Cloud 氣隙隔離 1.14.3 版本資訊

2025 年 2 月 28 日

---

---

備份與還原：

• 新增建立範圍 VM 備份和還原的功能，可針對特定 VM 工作負載。您可以手動建立這些 VM 備份，也可以建立備份方案，自動依您定義的排程執行備份。詳情請參閱總覽。
• 新增 VM 細部還原功能，可還原特定 VM 和 VM 磁碟資源。詳情請參閱建立細部還原作業。
• 新增叢集細部還原功能，可從叢集備份還原部分資源。這項功能可彈性調整還原方案中定義的還原範圍。詳情請參閱「建立細部還原作業」。

帳單：

• 新增將每月帳單費用上傳至 Argentum 控制台的功能。

DNS：

• 您現在可以建立及管理自己的公開和私有 DNS 區域，滿足應用程式和服務的需求。您可以在 DNS 區域中建立 DNS 記錄。不同類型的 DNS 記錄有不同用途，例如導向流量、定義郵件伺服器，以及驗證擁有權。詳情請參閱「關於 DNS 區域和記錄」。

防火牆：

• 新增使用對稱金鑰在 GDC 防火牆上設定 NTP PANW 驗證的功能。

IAM：

• 根據預設，控制身分提供者、服務帳戶和角色繫結的 IAM API 是全域 API，涵蓋 GDC 世界中的所有區域。詳情請參閱「多區域環境的權限控管」。

Marketplace：

• Neo4j 可在 GDC 實體隔離 Marketplace 中取得。 Neo4j 是開放原始碼的 NoSQL 內建圖形資料庫，可為應用程式提供符合 ACID 標準的交易後端。
• MariaDB 運算子可在 GDC 氣隙隔離 Marketplace 中取得。MariaDB Operator 會使用支援的 Docker 映像檔，為 MariaDB Enterprise Server 和 MaxScale 提供機群管理和 HA/DR 解決方案。
• HashiCorp Vault (自備授權) 可在 Google Distributed Cloud 氣隙隔離 Marketplace 中取得。 HashiCorp Vault 是以身分為基礎的密鑰和加密管理系統。
• Confluent Platform 上的 Apache Kafka (自備授權) 可在 GDC 氣隙式 Marketplace 中使用。Confluent Platform 解決方案可即時存取、儲存及管理連續資料串流。
• Redis Software for Kubernetes (BYOL) 可在 GDC 氣隙式 Marketplace 中取得。Redis 是全球最快的記憶體內資料庫，可供您建構及擴充快速應用程式。

MHS：

• Managed Harbor Service (MHS) 現在提供 Harbor 備份和還原功能。設定備份並建立 Harbor 執行個體的還原作業。詳情請參閱總覽。
• 新增 MHS 憑證輔助程式，讓您使用 GDC 身分登入 Docker 或 Helm CLI。詳情請參閱「登入 Docker 和 Helm」。
• 新增掃描 Harbor 執行個體中所有構件的功能。詳情請參閱「掃描是否有安全性漏洞」。

記錄：

• Loki Pod 在 WAL 重播期間當機或遭到 OOMKilled。

監控：

• 新增支援功能，可在資料視覺化資訊主頁中查詢及監控跨區域資料。詳情請參閱「查詢及查看指標」和「查詢及查看記錄」。

• 您可以忽略 OCLCM 雜訊警報。

• 系統指標管道已停止運作。

網路：

• 使用多區域內部和外部負載平衡器，分配 VM 和 Pod 工作負載的流量。詳情請參閱總覽。

• 設定互連資源，與外部私人網路建立實體專屬連線。詳情請參閱互連網路總覽。

• 使用 Networking KRM API 或 gdcloud CLI，為 Pod 和 VM 工作負載設定內部或外部負載平衡器。詳情請參閱「管理負載平衡器」。

• 使用區域和全域專案網路政策，在專案和機構之間建立連線。

• 建立工作負載層級的網路政策，為專案中的個別 VM 和 Pod 定義特定存取規則。

Resource Manager：

• 根據預設，專案是涵蓋 GDC 宇宙中所有區域的全域資源。詳情請參閱多區域總覽。

虛擬機器：

• 新增啟用虛擬信任平台模組 (vTPM) 的功能，可在安全啟動 VM 時使用。

• 已將下列映像檔新增至 GDC 提供的 VM 映像檔清單：

  • Ubuntu 24.04 黃金映像檔
  • SUSE CHost 15.5 自備 (BYO) 映像檔
  • Windows 10 自備 (BYO) 映像檔

• 新增在 VirtualMachineDisk 分區上執行 VM 磁碟擴充作業的功能。

• 新增建立具有指定 IP 位址和子網路的 VM 執行個體功能。

• 新增查看及維護 VM 中繼資料的功能。

• 新增支援 N4-highmem VM 機器系列。

---

修正下列安全漏洞：

• CVE-2022-3787
• CVE-2022-27635
• CVE-2022-40964
• CVE-2022-46329
• CVE-2023-20569
• CVE-2023-20584
• CVE-2023-20592
• CVE-2023-20593
• CVE-2023-27536
• CVE-2023-28321
• CVE-2023-28322
• CVE-2023-31315
• CVE-2023-31346
• CVE-2023-31356
• CVE-2023-37920
• CVE-2023-38546
• CVE-2023-46218
• CVE-2024-10041
• CVE-2024-10963
• CVE-2024-22365
• CVE-2024-2398
• CVE-2024-5535
• CVE-2024-52530
• CVE-2024-52532

---

備份與還原

• 從 GDC 控制台編輯 RestorePlan 時會發生錯誤。

• 如果記憶體不足，代理程式和控制層 Pod 可能會重新啟動，進而影響系統穩定性。

• 由於缺少自訂資源定義，系統預設不會啟用備份與還原的 GDC 服務等級目標 (SLO) 指標和快訊。

• 資料保留政策不會套用至匯入的備份資料。

• 部分 VM 備份作業失敗。

• 刪除使用者或服務叢集後，清除孤立的備份資源。

• CLI 或 UI 不支援 VirtualMachineRestore 刪除作業。

叢集管理

• kub-gpu-controller 子元件未針對gdchservices機構進行對帳。

• 無法從標準叢集中移除過時的節點集區。標準叢集為不公開預先發布版，可能不適用於所有客戶。

防火牆

• 無法透過全域 UI 控制台 DNS 連線至機構。

• 部署 OCITTopology 自訂資源後，OIR 與 GDC 管理平面和資料平面之間的連線就會中斷。

• GDC 防火牆預設會封鎖跨區域和跨機構的流量。

庫存清單

• 廣告空間稽核無法完成對帳。

硬體安全模組：

• CipherTrust Manager 仍可偵測到已停用的試用授權， 因此會觸發錯誤的到期警告。

• 啟動後，HSM 會發生 ValidateNetworkConfig 錯誤。這項錯誤會導致 HSM 自訂資源無法進入 Ready 狀態。

• 檔案描述元洩漏會導致 ServicesNotStarted 錯誤。

健康：

• 由於 SLO API 標籤發生問題，系統可能會針對多個元件的 SLO 警示觸發超過 30 個誤報。

身分與存取權管理：

• 如果產生的 IAM 角色繫結名稱超過 63 個字元，角色繫結就會失敗。

• 專案服務帳戶 (PSA) 無法將 IAM 角色繫結指派給自己或其他具有 organization-iam-admin 角色的 PSA。

• 新專案的預先定義角色建立作業會延遲。

• 應用程式運算子無法自行授予基礎架構叢集中的角色存取權。

• 現有的服務帳戶權杖會失效。

基礎架構即程式碼 (IAC)

• 由於缺少命名空間，子元件無法調解。
• IAC ConfigSync 指標收集作業失敗。
• IAC 根目錄同步失敗。

金鑰管理系統：

• 如果 KMS 設定為使用 CTM 根金鑰，當 HSM 無法使用時，系統不會進行容錯移轉。

負載平衡器：

• 全域子網路中的 IP 位址不足，因此無法建立全域負載平衡器。
• 負載平衡器物件未進入 Ready 狀態。

• 目前不支援修改已設定的負載平衡器。

• 全域 BackendService 資源不會拒絕不正確的區域名稱。

• 區域和全域負載平衡器都可能發生 Webhook 錯誤。

MHS：

• 完成 Managed Harbor Service (MHS) 備份及還原作業後，CLI 密鑰會對還原的 Harbor 執行個體失效，因此需要重新建立。
• 如果不同使用者專案中有多個 Harbor 執行個體，備份和還原作業會爭奪角色式存取控制項，導致失敗率偏高。
• 系統尚未為 Harbor 備份和還原功能導入備份大小。在 GDC 控制台中，「SizeBytes」欄位會顯示 0 值，「Size」欄位則會顯示 0 MB。
• 在 GDC 控制台中查看 Harbor Container Registry 頁面時，如果使用者沒有必要的 Harbor 執行個體管理員權限，系統會在擷取備份資源時顯示錯誤訊息。

監控：

• AlertManager 網頁掛鉤無法傳送部分叢集的快訊和事件通知。
• 有時建立事件時會重複。
• 根管理叢集中有兩項監控誤報。
• 您可以忽略對帳錯誤快訊。
• 根管理員控制器管理工具顯示錯誤率偏高。
• KUB 監控資訊主頁未顯示任何資料。
• 觀測偵錯工具角色的權限設定錯誤。
• 缺少 Grafana 偵錯工具角色。
• 由於資訊主頁和資料來源待處理的終結器，專案刪除作業停滯不前。
• PA 無法查看 KSM 的指標。

多可用區：

• 如果無法存取區域，GDC 控制台會顯示驗證錯誤。

• 根據預設，無法使用 gdcloud CLI 列出可用區。

• 存取全域 GDC 控制台網址時，可能會發生間歇性登入錯誤。

網路：

• 在網路交換器上設定邊界閘道通訊協定 (BGP) 時，如果使用 4 位元組的自治系統編號 (ASN)，就會導致設定失敗。

• 節點無法透過資料網路連線。

• 網路中節點間的跨區域流量減少約 50%。

• StatefulSet Pod 推出作業可能會導致連線問題。

• 過於嚴格的存取控制清單 (ACL) 封鎖了全域任播流量。

• allow-all-egress 專案網路政策 (PNP) 不允許流量進入系統端點。

• pnet-cross-zone-availability SLO 資訊主頁不會在 Grafana 中顯示任何指標。

• 資料平面和管理 Ingress 閘道無法完成調解。

• GDC 控制台中的專案網路政策頁面不支援 ProjectNetworkPolicy API 中的 projectSelector 欄位。

• 網路交換器設定變更未提交。

作業套件基礎架構核心服務 (OIC)：

• 跳躍主機效能不佳。

作業系統：

• OS NodeUpgrade 可能會在 NodeOSInPlaceUpgradePostProcessingCompleted 步驟中停滯。
• OS NodeUpgrade 可能會卡在套件伺服器建立程序。

Resource Manager：

• 無法從 GDC 控制台刪除專案。

• 建立客戶機構時，建立必要 Ansible 劇本的工作 create-ansible-playbooks 失敗。

儲存空間：

• Pod 無法掛接，因為發生 Trident mkfs.ext4 錯誤。

• 節點升級作業遭到封鎖。

系統構件登錄檔：

• Harbor 構件複製工作停滯。

• 在調解 HarborRobotAccount 資源時，如果發生暫時性錯誤，可能會觸發誤報。

升級：

• 支援報告失敗。

Vertex AI：

• 1.14.3 版未啟用 Vertex AI 預先訓練模型和工作簿，但 1.14.4 版會提供這些功能。

---

Harbor：

• 修正節點集停滯在 Provisioning 狀態的問題。詳情請參閱「已知問題」。

---

核心：

• 已移除在多個服務工作流程中與機構管理員叢集和系統叢集互動的需求。管理 API 伺服器可用於管理所有非容器工作負載和服務，可取代所有受影響的服務工作流程。

• 根據預設，客戶管理的資源會使用全球 API 伺服器，這些資源專為在 GDC 宇宙中進行全球部署而設計。詳情請參閱「全球和區域 API 伺服器」。

Marketplace：

• 「Marketplace 檢視者」角色權限僅限於查看可用服務，無法存取已安裝的執行個體或其設定。如要查看執行中執行個體的設定，使用者必須具備 Marketplace 編輯者 (marketplace-editor) 角色。

• 您可以使用這份 Marketplace 服務圖片清單。

Resource Manager：

• 在 GDC 控制台中建立專案時，已移除附加 Kubernetes 叢集的功能。您必須從「Kubernetes Engine」>「Clusters」(叢集) 頁面，將 Kubernetes 叢集附加至專案。詳情請參閱「建立專案」一文。

版本更新：

• Google Distributed Cloud for bare metal 版本已更新至 1.30.400-gke.133，可套用最新的安全性修補程式和重要更新。
  
  詳情請參閱「 Google Distributed Cloud for bare metal 1.30.400-gke.133 版本資訊」。

虛擬機器：

• 更新了「服務即效能測試」(PTaaS) 文件，納入 PTaaS 中可用基準的新名稱和說明。