Hotfixes für Google Distributed Cloud mit Air Gap 1.14.3

Hotfix 25

---

---

DNS:

• Bei der Bereitstellung von dns-mesh-Tests treten Fehler auf, wenn Zonen doppelte Namen haben.
• Die DNS-Auflösung dauert einige Minuten.
• Wenn Sie ein ManagedDNSZone löschen, bevor Sie das zugehörige ResourceRecordSets entfernen, bleiben verwaiste Datensätze im System erhalten.

Logging:

• Die SyslogCollectorDroppedLogs-Benachrichtigung enthält einen Fingerabdruck, sodass jedes Mal, wenn die Benachrichtigung ausgelöst wird, ein neuer Vorfall erstellt wird.
• Die Pod-Logs im Namespace unet-system fehlen.

Verwalteter Kubernetes-Dienst:

• Datenbankinstanzen bleiben aufgrund eines Race-Conditions im Löschstatus hängen. Dabei wurden virtuelle Maschinen vor den entsprechenden InventoryMachine-Ressourcen gelöscht.
• Das Löschen des Nutzerclusters hängt aufgrund eines Race-Conditions beim Löschen von Ressourcen.
• Es gibt ein Problem mit der Clusterskalierung, bei dem das Herunterskalieren eines Knotenpools gefolgt von einer sofortigen Aufskalierung zu Fehlern bei der IP-Adressenzuweisung führen kann, z. B. unable to assign IP.

Virtuelle Maschinen:

• VM-Starts werden verzögert, bis ein Zertifikat erstellt wurde.
• Beim parallelen Erstellen von VMs treten zufällige Fehler und Verzögerungen auf. Diese Probleme äußern sich in CPI-Fehlern, Zeitüberschreitungen des Agents und Problemen mit der Netzwerkverbindung.
• Windows-BYO-Image-Importe schlagen aufgrund der aktualisierten kubevirt-Version fehl.

Hotfix 24

---

---

Resource Manager:

• Die Leistung des Projekts und des Projekt-Dienstkontos nimmt im Laufe der Zeit ab.

Hotfix 23

---

---

Identitäts- und Zugriffsverwaltung:

• Rollenbindungen werden häufig in die globalen IAM-Controller eingereiht, was zu einer Verzögerung bei der Zuweisung von Berechtigungen führt.

Netzwerk:

• Die Kommunikation mit dem StatefulSet-Pod schlägt fehl.
• Der Messwert node_cpu_seconds_total fehlt.
• Die Netzwerkcontroller sind blockiert, sodass die APIs für Load-Balancer und Projektnetzwerkrichtlinien nicht abgeglichen werden.

OCLCM:

• Der oclcm-configrunner funktioniert aufgrund eines Fehlers bei der Zertifikatverlängerung nicht mehr.

Hotfix 22

---

---

Identitäts- und Zugriffsverwaltung:

• Die Bearbeitung von Anfragen zur Anmeldekonfiguration kann mehrere Minuten dauern.
• Anwendungsoperatoren können sich selbst keinen Zugriff auf Rollen im Infrastrukturcluster gewähren.
• Vorhandene Dienstkontotokens werden ungültig.
• Die Projektrolle namespace-admin fehlt in einem Projekt.

Verwalteter Kubernetes-Dienst:

• Es gibt ein Zeitlimit für das Warten auf die Bereitschaft eines freigegebenen Dienstclusters.

Monitoring:

• Das Löschen des Projekts hängt, weil für das Dashboard und die Datenquelle Finalizer ausstehen.
• Bei wiederkehrender Nutzung werden keine Messwerte ausgegeben.
• Messwerte aus KSM sind für PAs nicht sichtbar.
• Prometheus-Pods werden auf Knoten der Steuerungsebene geplant, was zu Ressourcenmangel und Instabilität führt.
• In KUB-Dashboards werden falsche Datenwerte angezeigt.

Hotfix 21

---

---

CLI:

• Der Befehl gdcloud compute images import schlägt bei QCOW-Images aufgrund einer Versionsabweichung des Befehls „file“ fehl.
• Der Befehl gdcloud resource-support get-report erzeugt einen failed to get support information from cluster-Fehler.
• Der Befehl gdcloud auth activate-service-account setzt die gcloud-Konfiguration zurück.
• gdcloud get-credentials-Unterstützung für Vanilla-Cluster hinzugefügt.
• Mit gdcloud erstellte Rollenbindungen werden standardmäßig an den Plattform-Namespace gebunden.
• Der Befehl gdcloud resource-support get-report schlägt mit einem Fehler fehl, der auf ein fehlendes Schema hinweist.
• Es wurden neue Artikelnummern hinzugefügt, um länderspezifische Preise zu unterstützen.
• In der gcloud CLI wird beim Auflisten von Clustern nicht die richtige Zone verwendet. Das Ergebnis von gdcloud clusters list zeigt also nur eine Zone an.

Hotfix 20

---

---

Console:

• Für Dienstkonten erstellte Rollenbindungen sind nicht richtig konfiguriert.
• Administratoren für Projekt-IAM können Rollen nicht über die Benutzeroberfläche zuweisen.
• Wenn Sie eine benutzerdefinierte Rolle erstellen, ändert sich die Quellrolle einer Berechtigung, wenn Sie sie aufrufen.
• Auf den Seiten „Rollenübersicht“ und „Roldendetails“ wird ein Fehler angezeigt, dass Sie keine Berechtigungen haben.
• Die Seite „Zugriff“ ist blockiert, obwohl Nutzer einige der erforderlichen Berechtigungen haben.

Virtuelle Maschinen:

• Die Unterkomponente vmm-vm-controller kann aufgrund einer großen Konfigurationsdatei, die das Größenlimit (1 MB) überschreitet, nicht abgeglichen werden.

Hotfix 19

---

---

Sichern und wiederherstellen:

• Wenn Sie einen Snapshot in einem Nutzercluster löschen, wird der entsprechende Snapshot im Infrastrukturcluster nicht gelöscht.
• Beim Bereitstellen der Backup-Unterkomponente wird eine Variable verwendet, die dem Clusternamen beim Erstellen eines Kubernetes-Labels Zeichen voranstellt. Dadurch wird manchmal das Kubernetes-Limit von 63 Zeichen überschritten.

Abrechnung:

• Es wurden SKUs mit dauerhaften Preisen hinzugefügt.
• Der Rechner für den Vorabkauf funktioniert nicht.
• Es werden keine wiederkehrenden Nutzungsmesswerte ausgegeben.
• Die Partnerabrechnung ist nicht aktiviert.
• Der Vorabkaufrechner kann nicht auf ein Community-Netzwerk zugreifen.

Identitäts- und Zugriffsverwaltung:

• Die Erstellung des Dienstkontos schlägt fehl, weil ein Projekt im Löschstatus Fehler bei der Abgleichung der Rollenvorlage verursacht.
• Unterstützung für P4SA für Vanilla-Cluster hinzugefügt.
• Das Erstellen einer Dienstidentität über die GDC-Konsole schlägt fehl.

Hotfix 18

---

---

Objektspeicher:

• Unterstützung für S3 GetBucketVersioning hinzugefügt.
• Das Hochladen zum Synchronisieren von Dual-Zone-Buckets mit signierten URLs ist nicht möglich.
• DeleteObject gibt 500 für Löschvorgänge mit Versionierung zurück, die nicht die aktuelle Version betreffen.
• Bei Buckets mit zwei Zonen werden keine S3-Secrets generiert, nachdem die Rolle project-bucket-object-admin an ein Dienstkonto gebunden wurde.

Hotfix 17

---

---

Dateispeicher:

• Der Trident-CSI-Treiber löscht NetApp ONTAP-Volumes, wenn sie offline sind, was möglicherweise zu Datenverlust führt.
• Fehler beim Multi-Attach treten bei Volumes nach einem Kaltstart oder bei der Bereitstellung von Knoten auf.
• Für die Rolle project-fileshare-admin fehlt der Zugriff auf Patches und Updates.
• Snapshots werden in Infrastrukturclustern nicht gelöscht, wenn sie in einem Nutzercluster gelöscht werden.

Verwalteter Kubernetes-Dienst:

• Das Verschieben von VMs von Vanilla-Clustern in Nutzerprojekte rückgängig machen

Netzwerk:

• Ein ungültiger Fehlercode wirkt sich auf die Netzwerkrichtlinien des Projekts aus.
• Eine große CT-eBPF-Map führt zu Fehlern beim Erstellen und Löschen von Endpunkten.
• Durch geleakte Dienste kann es zu einer Duplizierung von Dienst-IPs kommen.

Hotfix 16

---

---

Identitäts- und Zugriffsverwaltung:

• Beim Zugriff auf Vanilla-Kubernetes-Cluster mit der kubeconfig-Datei von gdcloud treten Fehler vom Typ „Forbidden“ auf.

Endpoint Detection and Response:

• Die Unterkomponente für die Endpunkterkennung und ‑reaktion bleibt in einem Abgleichsfehlerstatus hängen.

Verwalteter Kubernetes-Dienst:

• Bei der Clustervalidierung sollte die Pod-Dichte des Clusters verwendet werden, wenn Knoten validiert werden.

Netzwerk:

• In den vordefinierten Rollen für das Subnetz fehlen Verben.

Plattformauthentifizierung:

• In CSRs für Zwischen-CAs fehlt die grundlegende Einschränkung für CAs.
• Es wurde Unterstützung für die Wiederverwendung einer Systemdomain in verwalteten öffentlichen DNS-Zonen hinzugefügt.

Ticketsystem:

• Wenn das Ticketsystem nicht verfügbar ist, wird keine Benachrichtigung ausgelöst.

Hotfix 15

---

---

Console:

• Beim Erstellen einer Rollenbindung mit einer nicht vorhandenen Rolle tritt ein Fehler auf.
• Sie können einem Dienstkonto in der Console nicht mehrere Rollenbindungen hinzufügen.

Identitäts- und Zugriffsverwaltung:

• gdcloud get-credentials-Unterstützung für Vanilla-Cluster hinzugefügt.
• Für benutzerdefinierte Rollen sollten Vorlagen mit demselben Namen für globale und zonale APIs generiert werden.
• CertificateAuthority-Daten auf dem bekannten Server verfügbar gemacht.
• Die Seite zur Identitäts- und Zugriffsverwaltung ist defekt.
• Beim Erstellen einer Rollenbindung für eine benutzerdefinierte Rolle ist ein Fehler aufgetreten.
• In der Console können Sie keine Nutzerrollen zuweisen.

Verwalteter Kubernetes-Dienst:

• Verschieben Sie die VMs des Vanilla-Clusters in ein Nutzerprojekt.
• Für den Typ „n3“ fehlen Maschinentypen.

Hotfix 14

---

---

Console:

• Die Seite zur Identitäts- und Zugriffsverwaltung ist defekt.

Mehrere Zonen:

• Ein Pod in einem Vanilla-Cluster in Zone 1 kann nicht auf den Management API-Server in Zone 2 zugreifen.

Hotfix 13

---

---

Console:

• Das Erstellen benutzerdefinierter Rollen funktioniert nicht.

• Beim Erstellen einer benutzerdefinierten Rolle über den Projektbereich sollte das Kästchen Auf ausgewählte Projekte beschränken nicht angezeigt werden.

DNS:

• Ein Pod in einem Vanilla-Cluster in Zone 1 kann nicht auf den Management API-Server in Zone 2 zugreifen.

Monitoring:

• Ein Pod in einem Vanilla-Cluster in Zone 1 kann nicht auf den Management API-Server in Zone 2 zugreifen.

Netzwerk:

• Controller bleiben stundenlang im unet-cm-backend-controller-Pod.

• Mehrere Clustermesh API-Server haben ihre definierten CPU-Grenzwerte erreicht.

• Der Schutz vor Daten-Exfiltration (Data Exfiltration Protection, DEP) kann nicht für ein globales Projekt aktiviert werden, für das DEP deaktiviert ist.

Objektspeicher:

• GetBucketVersioning für S3 wird nicht unterstützt.

• Beim Initiieren von cp zwischen verschiedenen Ordnern in einem Bucket ist ein Fehler aufgetreten.

Plattformauthentifizierung:

• Cert Manager kann keine Zertifikate ausstellen.

SIEM:

• Sie können keine Verbindung zu einem Splunk-Host über einen Nutzercluster herstellen.

Hotfix 12

---

---

Console:

• Das globale DNS wird nicht von einer GDC-VM aufgelöst.

Netzwerk:

• Die PNP-Übersetzung für allow-all-ingress und allow-all-egress wurde aktualisiert.
• Ausgehenden Traffic von Nutzerarbeitslasten zu Systemarbeitslasten automatisch zulassen.
• Der globale DNS-Server ist nicht erreichbar.

Objektspeicher:

• Der Download aus einem S3-Bucket schlägt fehl.

Hotfix 11

---

---

Endpoint Detection and Response:

• In Nessus Manager sind doppelte Agents und Manager vorhanden.

• Es gibt Lücken bei der EDR-Abdeckung in den Perimeter-, Nutzer- und Dienstclustern.

Identitäts- und Zugriffsverwaltung:

• Der Server für Dienstidentitäten kann die Authentifizierung mit zonalen Dienstkontoschlüsseln nicht durchführen.

Service Mesh:

• Den dataplane-ingress-gateway-Pods fehlt das Label networking.private.gdc.goog/infra-access: enabled.

Virtuelle Maschinen:

• Es gibt ein Problem mit der Abwärtskompatibilität für Subnetze.