16 בפברואר 2024 [GDC 1.12.0]
- Google Distributed Cloud במודל Air-gapped 1.12.0 זמין עכשיו.
בסקירה הכללית על המוצר מוסבר על התכונות של Google Distributed Cloud במודל Air-gapped. - Google Distributed Cloud במודל Air-gapped 1.12.0 תומך בשתי מערכות הפעלה:
- Ubuntu 20231205
- Rocky Linux 20231208
גרסת תמונת מערכת ההפעלה Canonical Ubuntu עודכנה ל-20231208 כדי להחיל את תיקוני האבטחה העדכניים והעדכונים החשובים. כדי ליהנות מתיקוני הבאגים ונקודות החולשה באבטחה, צריך לשדרג את כל הצמתים בכל גרסה. תוקנו נקודות החולשה הבאות באבטחה:
תוקנו נקודות החולשה הבאות באבטחת קובץ האימג' של הקונטיינר:
- CVE-2020-24736
- CVE-2020-29509
- CVE-2020-29511
- CVE-2020-29652
- CVE-2021-29923
- CVE-2021-31525
- CVE-2021-33195
- CVE-2021-33196
- CVE-2021-33197
- CVE-2021-33198
- CVE-2021-34558
- CVE-2021-36221
- CVE-2021-38297
- CVE-2021-38561
- CVE-2021-39293
- CVE-2021-41771
- CVE-2021-41772
- CVE-2021-43565
- CVE-2021-44716
- CVE-2022-1705
- CVE-2022-1962
- CVE-2022-2879
- CVE-2022-2880
- CVE-2022-3063
- CVE-2022-21235
- CVE-2022-21698
- CVE-2022-23471
- CVE-2022-23524
- CVE-2022-23525
- CVE-2022-23526
- CVE-2022-23648
- CVE-2022-23772
- CVE-2022-23773
- CVE-2022-23806
- CVE-2022-24675
- CVE-2022-24921
- CVE-2022-27191
- CVE-2022-27664
- CVE-2022-28131
- CVE-2022-28327
- CVE-2022-29526
- CVE-2022-30580
- CVE-2022-30630
- CVE-2022-30631
- CVE-2022-30632
- CVE-2022-30633
- CVE-2022-30635
- CVE-2022-31030
- CVE-2022-32148
- CVE-2022-32149
- CVE-2022-32189
- CVE-2022-41715
- CVE-2022-41717
- CVE-2022-41721
- CVE-2022-41723
- CVE-2022-41724
- CVE-2022-41725
- CVE-2022-41912
- CVE-2022-48174
- CVE-2023-1667
- CVE-2023-2253
- CVE-2023-2283
- CVE-2023-2603
- CVE-2023-2975
- CVE-2023-3446
- CVE-2023-3817
- CVE-2023-3978
- CVE-2023-22036
- CVE-2023-22041
- CVE-2023-22049
- CVE-2023-24532
- CVE-2023-24534
- CVE-2023-24536
- CVE-2023-24537
- CVE-2023-24538
- CVE-2023-24539
- CVE-2023-24540
- CVE-2023-25153
- CVE-2023-25165
- CVE-2023-25173
- CVE-2023-25193
- CVE-2023-26604
- CVE-2023-27533
- CVE-2023-27535
- CVE-2023-27536
- CVE-2023-27538
- CVE-2023-28321
- CVE-2023-28484
- CVE-2023-28840
- CVE-2023-28841
- CVE-2023-28842
- CVE-2023-29400
- CVE-2023-29402
- CVE-2023-29403
- CVE-2023-29404
- CVE-2023-29405
- CVE-2023-29406
- CVE-2023-29409
- CVE-2023-29469
- CVE-2023-29491
- CVE-2023-36054
- CVE-2023-39318
- CVE-2023-39319
- CVE-2023-39323
- CVE-2023-39325
- CVE-2023-39326
- CVE-2023-39417
- CVE-2023-39533
- CVE-2023-45142
- CVE-2023-45285
- CVE-2023-45287
- CVE-2023-48795
- CVE-2023-49568
- CVE-2023-49569
- CVE-2023-51385
עדכנו את תמונת הבסיס של gcr.io/distroless/base ל-digest sha256:eda29d6da91216123f1c1841b7c7a7abe1eece155cfe8d20d2a29e5daf9ad497 כדי להחיל את תיקוני האבטחה האחרונים ועדכונים חשובים.
המרכז לניהול תוספים:
הגרסה של Google Distributed Cloud עודכנה ל-1.28.0-gke.435 כדי להחיל את תיקוני האבטחה האחרונים ועדכונים חשובים.
פרטים נוספים זמינים בהערות הגרסה של Google Distributed Cloud 1.28.0-gke.435.
Build and package:
גרסת Golang משודרגת ל-1.20.
Google Distributed Cloud במודל Air-gapped 1.12.0 מוסיף לרכיבי הפלט רשימות חומרים (SBOM) נוספות של תוכנה, ומעדכן את הלוגיקה כדי להבטיח שרשימות חומרים כאלה יפורסמו בעתיד.
Google Distributed Cloud במודל Air-gapped 1.12.0 מוסיף קובצי
gdch_notice_license_filestar להעלאת מניפסטים.
ניהול מלאי שטחי פרסום:
- Google Distributed Cloud במודל Air-gapped 1.12.0 מוסיף אימותים לרשימות של חיבורים לגרסת חומרה 3.0.
- Google Distributed Cloud במודל Air-gapped 1.12.0 updates console server management port pattern to allow LAN1A and LAN2A.
- ב-Google Distributed Cloud במודל Air-gapped 1.12.0 נוסף מסר שמטרתו להבהיר את ההבדל בין המצבים הפעיל והסביל של PA850.
- Google Distributed Cloud במודל Air-gapped בגרסה 1.12.0 תומך בקלטת breakout באימות.
- Google Distributed Cloud במודל Air-gapped 1.12.0 מוסיף אימות של חומת האש הקבועה לחיבור של חומת האש לניהול.
- ב-Google Distributed Cloud במודל Air-gapped 1.12.0 נוספה הנחיה ל-OI Classless Inter-Domain Routing (CIDR) לגנרטור של שאלון קליטת לקוחות.
- Google Distributed Cloud air-gapped 1.12.0 משפר את הודעת השגיאה על כשל בהיעדר כתובת MAC, כדי לצמצם את חוסר היציבות של בדיקת הטרום-טיסה במהלך אימות החיבור של hsm ו-mgmtsw.
ארגון IT במרכז התפעול:
הארגון של מחלקת ה-IT במרכז התפעול כולל את עדכוני השמות הבאים:
השם של Operations Center (OC) שונה ל-Operations Suite Facility (OIF).
השם של OC Core שונה ל-Operations Suite Infrastructure Core Rack (OIR).
השם של Operations Center IT (OCIT) שונה ל-Operations Suite Infrastructure (OI).
השם של OCIT השתנה ל-OI.
מידע נוסף זמין במאמר בנושא טרמינולוגיה.
Google Distributed Cloud במודל Air-gapped 1.12.0 מעדכן את סקריפט ההגדרה של Userlock כדי לאפשר שימוש בשרת יתירות כשל.
Google Distributed Cloud במודל Air-gapped 1.12.0 יוצר מראש קבוצות אבטחה נוספות של Operations Suite Infrastructure (OI) כדי לאפשר גישה מפורטת למערכות OI.
מאגר חפצים של המערכת:
- ב-Google Distributed Cloud במודל Air-gapped 1.12.0, הדגל הקצר
-f(--force) הוסר מנכסי ה-CLI.
עדכון גרסה:
גרסת התמונה שמבוססת על Debian מעודכנת ל-bookworm-v1.0.0-gke.3.
Certificate Manager:
- הוספנו אפשרות להגדיר את גודל המפתח באישור TLS לארגונים.
Database Service:
- תמיכה בשחזור לנקודת זמן מסוימת (PITR) למסדי הנתונים של אורקל.
- תמיכה בהעברה מתקדמת של Postgres להעברת מסדי נתונים מקומיים למסדי נתונים שמנוהלים על ידי שירות מסד הנתונים של GDC.
רישום ביומן:
- הוספנו את Log Query gRPC API כדי לאפשר שאילתות פרוגרמטיות של יומני ביקורת ויומנים תפעוליים מנקודות הקצה של ה-API.
- נוספה היכולת לייצא יומני PA למערכת SIEM חיצונית.
Marketplace:
- MongoDB Enterprise Advanced (BYOL) זמין עכשיו ב-Google Distributed Cloud במודל Air-gapped בגרסה 1.12.0 Marketplace.
זוהי קבוצה של מוצרים ושירותים שמקדמים אבטחה ויעילות, ומאפשרים לכם לשלוט במסדי הנתונים של MongoDB.
אחסון אובייקטים:
- נוספה תמונה חדשה שנדרשת לאירוח קבצי שדרוג בתוכנת האחסון של אובייקטים.
- נוספה תווית של גרסת הצפנה ל-webhook של קטגוריות.
- נוסף כלי לתיאום לסיבוב של פרטי כניסה לאובייקט.
שירותי ליבה של תשתית Operations Suite (OIC)
- Google Distributed Cloud במודל Air-gapped 1.12.0 אוסף יומנים של OIC ב-Grafana.
- ב-Google Distributed Cloud במודל Air-gapped 1.12.0, הסקריפט
Copy-BareMetalFiles.ps1הועבר ממסמכי ההתקנה לסקריפטים ב-private-cloud/operations/dsc/.
- אישור TLS לאינטרנט עבור אשכול אדמין בסיסי מונפק על ידי תשתית של מפתח ציבורי פנימית של Google Distributed Cloud במודל Air-gapped.
תאימות לאבטחה:
- Google Distributed Cloud במודל Air-gapped 1.12.0 כולל אבטחת יציאות שנדרשת כדי לעבור הערכת אבטחה.
מערכת כרטוס
- עדכנו את העבודות המתוזמנות ב-ServiceNow כדי להריץ אותן לסירוגין, וכך למנוע עליות חדות בשימוש במסד הנתונים.
- מפעיל התשתית מקבל התראה כשאירוע של מטא-מעקב ב-ServiceNow לא עדכני.
שדרוג
- הוספנו את לוח הבקרה סטטוס השדרוג למפעילים של תשתית ולאדמינים של פלטפורמות.
- נוספה פקודה להפעלת שדרוג של אשכול משתמשים.
Vertex AI:
- הוספנו תצוגה מקדימה של חיזוי מיידי כדי להכניס לשימוש בסביבת הייצור בקשות באמצעות מודלים משלכם של חיזוי במערך של קונטיינרים נתמכים.
- הוספנו תצוגה מקדימה של תרגום מסמכים כדי לתרגם ישירות מסמכי PDF מעוצבים ולשמור את הפורמט והפריסה המקוריים בתרגומים.
- נוספה תמיכה בגיבוי ושחזור של נתוני notebook בספריית הבית של מכונות JupyterLab של Vertex AI Workbench.
ניהול מכונות וירטואליות
- נוסף תמיכה במערכת הפעלה Windows למכונות וירטואליות כדי ליצור, לייבא ולהתחבר ל-VM של Windows.
חיוב:
- תוקנה הבעיה שגרמה לכך שהעדכון של התוויות באובייקט
onetimeusageבמשימהonetimeusageתמיד נכשל, וכתוצאה מכך נשלחו התראות על כשלים.
- תוקנה הבעיה שגרמה לשכפול העלות הכוללת של משאב מותאם אישית (CR) כשהעבודה מופעלת מחדש אחרי שהעלות של ה-CR נכתבת למסד הנתונים, לפני שהתווית מתעדכנת למצב 'עובד'.
מודול אבטחה בחומרה:
- תוקנה הבעיה שגרמה למודול אבטחת החומרה לעבור לעיתים קרובות בין המצבים
ServicesNotStartedו-ready.
זהות היברידית:
- נפתרה הבעיה בהגדרת הרשת במאגרי הזהויות.
ניהול מלאי שטחי פרסום:
- תוקנה הבעיה שבה מנתח הרישיון לא ניתח קבצים של אחסון אובייקטים שהטקסט של הרישיון בפורמט JSON שלהם נפרס על פני כמה שורות.
- תוקנה הבעיה בביטוי הרגולרי של אימות CableType בחומרה 3.0 CellCfg.
- תוקנה הבעיה שקשורה להכללת צומת bootstrapper באימות חומרה.
- תוקנה הבעיה שבה
SecureBootEnableמושבת בצומת של אשכול עם הרשאות אדמין ברמת הבסיס אחרי אתחול השרת.
שירותי ליבה של תשתית Operations Suite (OIC)
- תוקנה הבעיה שגרמה לכך ש-
Initialize-BareMetalHost.ps1לא זיהה שנדרשת הפעלה מחדש. - תוקנה הבעיה שקשורה לשורש של רשות אישורים ארגונית, ושלא מאפשרת להנפיק קובץ בקשה לשליחה לשורש של רשות אישורים אופליין.
- תוקנה הבעיה שבה תהליך יצירת מכונת ה-VM של OIC השאיר את סנכרון הזמן של Hyper-V מופעל.
מערכת כרטוס
- תוקנה בעיה ב-MariaDB Audit.
שדרוג
- תוקנה הבעיה בהתראות של ניהול הזהויות והרשאות הגישה (IAM) על ידי הוספה של בדיקות שדרוג לאחר ההפעלה של IAM.
ניהול מכונות וירטואליות
-
תוקנה הבעיה שגרמה לכך שהסטטוס של המכונה הווירטואלית הוצג כ-
PendingIPAllocationאם אי אפשר לתזמן את המכונה הווירטואלית. אחרי התיקון, סטטוס המכונה הווירטואלית יהיהErrorUnscheduable. - תוקנה הבעיה שבה נעשה שימוש בסוד שגוי של אחסון אובייקטים בפעולות של ייבוא תמונות של מכונות וירטואליות.
גיבוי ושחזור:
- יכול להיות שיופעלו התראות לגבי מאגר גיבוי גם אם המאגר תקין.
ניהול אשכולות:
- המשימה
machine-initנכשלת במהלך הקצאת המשאבים של האשכול.
שרתים פיזיים:
- ההתקדמות של עדכון אשכול האדמין הראשי נתקעת בשדרוג הצומת, במיוחד ב-
NodeBIOSFirmwareUpgradeCompleted.
Database Service:
- עומסי עבודה של שירות מסד הנתונים פועלים באשכול המערכת, ולכן יכול להיות שעומסי עבודה של מסד הנתונים ישתפו תשתית מחשוב עם מופעים אחרים של מסד הנתונים ומערכות שונות של מישור הבקרה.
Harbor כשירות (HAAS):
- מכיוון ש-HaaS היא תכונת תצוגה מקדימה של Google Distributed Cloud במודל Air-gapped 1.12.0, היא לא אמורה לפעול בסביבות ייצור.
העבודה של ההתקנה מראש נכשלת בכוונה כדי למנוע את ההתאמה הנכונה של רכיבי המשנה, וכך למנוע מהמשתמשים להשתמש ב-HaaS.
צפוי למצוא רכיבי משנה של HaaS במצב של התאמה, שלא משפיע על הפונקציונליות של רכיבים אחרים.
Firewall:
- במהלך פריסת הלקוח, שם המשתמש של האדמין של קובץ
secret.yamlחייב להיותadmin, ובמקום זאת הוא מכילTO-BE-FILLEDאחרי היצירה הראשונה. צריך להשתמש בשם המשתמשadminכדי לאתחל את ההגדרה הראשונה בחומת האש.
מודול אבטחה בחומרה:
- רישיונות ניסיון שהושבתו עדיין ניתנים לזיהוי ב-CipherTrust Manager, מה שגורם להפעלת אזהרות שגויות על תפוגה.
-
כשמוחקים KMS
CTMKey, יכול להיות שסוכן הגישה ייתקל בהתנהגויות לא צפויות, כולל מצב שבו שירות ה-KMS לא מופעל בארגון. - סוד שניתן להחלפה עבור מודולים של אבטחת חומרה נמצא במצב לא ידוע.
- הרוטציות של רשות האישורים הפנימית של HSM נתקעות ולא מסתיימות.
רישום ביומן:
- אחרי שמפעילים ייצוא של יומנים ליעד SIEM חיצוני, היומנים שמועברים לא מכילים יומנים של שרת Kubernetes API.
מעקב:
- יכול להיות שהאישורים של Node Exporter לא יהיו מוכנים כשיוצרים ארגון.
- לא נאספים חלק מהמדדים של אשכולות המשתמשים. הבעיה הזו משפיעה על אשכולות של מכונות וירטואליות של משתמשים, אבל לא על אשכול המערכת.
- סוג האחסון של המדדים מוגדר בצורה שגויה בהגדרות.
-
ה-ConfigMap
mon-prober-backend-prometheus-configמאופס כך שלא יכלול משימות בדיקה, וההתראהMON-A0001מופעלת.
פלטפורמת הצומת:
- שדרוג הצומת נכשל בגלל קובץ
lvm.confלא עדכני.
שרתים פיזיים:
- ההתקדמות של עדכון אשכול האדמין הראשי נתקעת בשדרוג הצומת, במיוחד ב-
NodeBIOSFirmwareUpgradeCompleted.
- כשמתקינים שרת באופן ידני, יכול להיות שההתקנה של השרת תיתקע.
שדרוג:
- שדרוג הצומת נכשל עבור
NodeOSInPlaceUpgradeCompleted. - השדרוג נכשל בהרצת הפקודה
install add bootflash://.. - יכול להיות שכמה פודים באשכול מערכת יישארו במצב
TaintToleration.
רשת עליונה:
- אשכול של מכונות וירטואליות של משתמש נתקע במצב
ContainerCreatingעם האזהרהFailedCreatePodSandBox.
Vertex AI:
-
הסמל
MonitoringTargetמציג את הסטטוסNot Readyכשמערכת יוצרת אשכולות של משתמשים, ולכן ממשקי API שאומנו מראש מציגים באופן רציף את הסטטוסEnablingבממשק המשתמש.
גיבוי ושחזור של מכונות וירטואליות:
- בקרת גישה מבוססת-תפקידים (RBAC) והגדרות סכימה במנהל המכונות הווירטואליות מונעות מהמשתמשים להתחיל תהליכי גיבוי ושחזור של מכונות וירטואליות.
- הייבוא של תמונת ה-VM נכשל בשלב התרגום של התמונה בגלל גודל דיסק לא מספיק וזמן קצוב לתפוגה בתגובת ה-proxy של אחסון האובייקטים.
SIEM:
- עבודות של OCLCM לפני ההתקנה נכשלות שוב ושוב בבדיקת Feature Gate.
ביצועים:
ב-Google Distributed Cloud במודל Air-gapped בגרסה 1.12.0, הוצאנו משימוש את האפשרות להריץ מדדי ביצועים של
provision key.