Correctifs Google Distributed Cloud sous air gap 1.15.1

Correctif 19

Machines virtuelles

• Ajout de la prise en charge du renouvellement des certificats de démarrage sécurisé pour les VM dont les certificats expirent.

Correctif 18

Mise en réseau :

• Amélioration des performances de la traduction d'adresse réseau (NAT).

Correctif 17

Sécurité :

• Ajout de la possibilité de configurer les paramètres de la liste de révocation de certificats (CRL) directement dans la spécification de l'autorité de certification, y compris les durées de validité et renewBefore personnalisables, pour mieux contrôler la génération et les cycles de vie des CRL.

• Résolution des problèmes de contrôle des accès basé sur les rôles (RBAC) où les autorisations n'étaient pas accordées au cluster d'infrastructure de l'organisation et au serveur de l'API de gestion.

Correctif 16

Stockage d'objets :

• Résolution d'un problème d'indisponibilité des données dans les buckets de stockage d'objets à double zone en raison d'une clé Key Management Service (KMS) non concordante.

Correctif 14

Sauvegarde :

• Correction d'un problème qui empêchait la suppression d'une sauvegarde importée sans le champ createTime.

Gestion du cycle de vie :

• Correction d'un problème qui pouvait empêcher la mise à niveau ou la réconciliation des sous-composants.

• Ajoute une métrique pour suivre les sous-composants dans un état sans erreur.

• Mise à jour des SLO pour la gestion du cycle de vie.

• Réécrit les runbooks d'erreurs OCLCM et les manuels de service correspondants pour une documentation précise.

• Correction de l'alerte OCLCM-A0101 qui se déclenchait de manière incorrecte lors de la configuration de la surveillance.

Correctif 12

Cloud DNS :

• Correction du problème qui empêchait la création d'enregistrements DNS génériques au niveau de l'apex de la zone.

• Correction du problème qui entraînait un délai de plus de 25 minutes pour créer une zone DNS gérée.

Correctif 11

Correctif 10

Mise en réseau :

• Le réconciliateur Cloud NAT est corrigé pour être plus résilient aux fluctuations de l'état des nœuds.

• Correction du problème qui empêchait la suppression de l'annotation networking.gdc.goog/egress-nat-ip d'un projet, même lorsque la traduction d&#39NAT sortante était désactivée.

Correctif 9

Mise en réseau :

• Correction du rôle managed-dns-project-admin pour exclure les autorisations qui ne sont pas requises pour gérer les ressources personnalisées DNS.

Correctif 8

Mise en réseau :

• Correction d'un problème d'autorisation lors de la requête d'amorçage.

Correctif 7

Mise en réseau :

• Correction d'un problème lié à l'annotation enable-idps sur les organisations lors des mises à niveau de version entre les versions 1.14.x et 1.15.x.

• Corrige les agrégateurs de gestion non opérationnels en raison de configurations de port incorrectes.

Correctif 6

Mise en réseau :

• La fin de l'espace de noms empêche la préparation des règles de réseau du projet Managed Harbor Service, ce qui bloque les nouvelles instances Harbor.

• Une configuration incorrecte du modèle de commutateur entraîne des commutateurs d'agrégation de gestion non opérationnels.

Correctif 5

Service de base de données :

• Impossible de mettre à jour ou de supprimer un cluster de bases de données dont l'état est FailoverInProgress.

Surveillance :

• Le chargement de la cible de surveillance Managed Harbor Service prend beaucoup de temps.

Correctif 4

Console GDC :

• Amélioration des performances de la console GDC.

Stockage d'objets :

• Nous avons résolu le problème de la limite de cardinalité de 50 000 métriques pour que les métriques continuent d'être collectées en supprimant les événements autres que le total.

• La latence de lecture de plage a été réduite en supprimant les appels inutiles à StorageGRID et KMS.

Correctif 3

Cloud DNS :

• Résolution des problèmes DNS liés aux divisions DNS gérées, à la gestion incorrecte des certificats PKI et à l'impossibilité de supprimer les anciens enregistrements Cloud DNS.

• Mise à jour des SLO DNS pour qu'ils s'appuient sur des données réelles dans l'infrastructure de l'organisation et les clusters d'administrateur racine.

• Nous avons augmenté le délai de déclenchement des anciennes alertes DNS pour réduire leur fréquence.

• Des problèmes de récupération TLS sont détectés pour les métriques DNS.

• Ajout du service Istio et de l'observateur FRE pour la ressource DNSRegistration globale.

• Résolution des problèmes d'ajout de ressources pour les rôles IAM liés au groupe d'opérateurs d'infrastructure.

IAM :

• Augmentation de la mémoire et des répliques pour AIS, et ajout de paramètres opérationnels plus précis pour les ajuster par conteneur.

• Lors des requêtes de l'API Grafana, une redirection d'erreur 302 se produit, ce qui entraîne des problèmes d'usabilité.

Machines virtuelles :

• Les ressources de GPU sur un nœud ne peuvent pas être réapprovisionnées après un redémarrage de kubelet, ce qui entraîne le blocage des VM avec GPU à l'état Scheduling.

Correctif 2

Cluster :

• Problème de mise à l'échelle des PNJ dans un cluster lors de l'utilisation d'une annotation de version OS. Cela s'applique aux nœuds Bare Metal et de VM.

Service de base de données :

• Des conflits surviennent lors des mises à jour des spécifications liées au processus de vérification de l'état;état des bases de données PostgreSQL à disponibilité élevée.

Google Distributed Cloud pour Bare Metal :

• Des problèmes de sécurité liés à containerd ont été identifiés (CVE-2025-31133, CVE-2025-52565 et CVE-2025-52881).
• Un cluster peut cesser de répondre lors de la suppression, qui est déclenchée par un périmètre occupé lorsque le cluster est en cours de réconciliation.
• Un problème de récupération a été détecté avec la montre du cluster distant.
• Un client de cache de cluster peut ne plus répondre aux opérations GET et LIST.
• La suppression de nœuds entraîne une fuite de données lors du déprovisionnement du cluster.
• Une condition de concurrence se produit avec une config map et des secrets référencés dans les arguments du serveur d'API.

Surveillance :

• Des problèmes se posent pour exposer les paramètres opérationnels de la pile de réglage.

• Les limites de processeur et de mémoire liées à la pile de requêtes et au cache Cortex ne sont pas optimales.

• Ajout de protections pour la cardinalité et le nombre de libellés.

• Ajout de tableaux de bord de diagnostic de surveillance.

• Ajout de SLO de surveillance supplémentaires.

• La ressource AuditLogInventory présente des problèmes.

Stockage d'objets :

• Il manque un runbook pour un problème d'autorisation BucketLocationConfig.

• La valeur de réplique par défaut pour le syslog-server est trop faible.

• Ajout d'autorisations S3 pour récupérer divers attributs de métadonnées de bucket.

• Ajout d'une annotation de revendication forcée à la ressource NetworkPolicy obj-system/allow-obs-system-ingress-traffic.

Infrastructure de la suite Operations (OI) :

• Ajout de la logique de simultanéité et de réessai à la synchronisation de la base de connaissances.

Système d'exploitation :

• Des suppressions de jobs de prévol inattendues se produisent lors du redémarrage du contrôleur OS.

• La suppression des ressources OSPolicy et des machines d'inventaire obsolètes n'est pas gérée correctement.

• Ajout de métriques, d'un tableau de bord et d'événements pour les contrôleurs de règles d'OS.

• L'événement OSPolicyReconciler peut se dégrader au fil du temps.

• Le délai et les nouvelles tentatives de la tâche de prévol ne sont pas configurables et ne sont pas conservés.

• Une condition de concurrence de la règle cible de nœud se produit, ce qui réduit la charge de l'API.

• Ajout d'un motif pour les événements de création de tâches OSPolicy.

• Modification des rôles prédéfinis pour la surveillance et le débogage de l'OS.

Resource Manager :

• Impossible de créer une organisation lorsque vous utilisez une version de correctif logiciel.

Système de gestion des demandes :

• Étapes de mise à jour de la signature du pare-feu inexactes dans le runbook SECOps-P0024.

Mettre à niveau :

• Impossible de terminer une mise à niveau de Google Distributed Cloud pour bare metal basée sur une règle lorsque vous utilisez une version de correctif à chaud.

Vertex AI :

• La traduction de n'importe quelle langue vers n'importe quelle autre langue est désormais disponible. Auparavant, les langues ne pouvaient être traduites qu'en anglais ou en allemand.

Machines virtuelles :

• Le certificat du serveur de métadonnées de la VM n'est pas supprimé lors de la suppression de la VM.

• Un problème est survenu lors du clonage d'un disque de VM.

• Ajout d'une validation supplémentaire lors de l'importation d'une image de VM pour vérifier si le processus d'importation a réussi.

• L'accès externe aux VM affichait l'adresse IP de sortie pour les projets compatibles avec Cloud NAT.

Correctif 1

Sauvegarder et restaurer :

• Lorsqu'un job de sauvegarde échoue en raison d'un problème de mise en cache NetApp ONTAP, tous les jobs de sauvegarde suivants échouent.

Service de base de données :

• Une instance d'un cluster de base de données PostgreSQL à disponibilité élevée peut être supprimée par erreur.

• Les mises à jour des spécifications pour les bases de données PostgreSQL à disponibilité élevée entraînent des conflits.

Gestion de l'authentification et des accès :

• Les noms de rôles IAM et DNS sont en conflit.

Vertex AI :

• Les API d'opération Vertex AI Translation de longue durée renvoient une erreur 404.

• Lors du déploiement d'un modèle de prédiction en ligne, le rôle de développeur Vertex AI Prediction est manquant.