Google Distributed Cloud エアギャップ リリースノート

• Google Distributed Cloud エアギャップ 1.12.0 が利用可能になりました。
  Google Distributed Cloud エアギャップの機能については、プロダクトの概要をご覧ください。
• Google Distributed Cloud エアギャップ 1.12.0 は、次の 2 つのオペレーティング システムをサポートしています。
  • Ubuntu 20231205
  • Rocky Linux 20231208

最新のセキュリティ パッチと重要なアップデートを適用するため、Canonical Ubuntu OS イメージのバージョンを 20231208 に更新しました。バグとセキュリティの脆弱性の修正プログラムを利用するには、各リリースですべてのノードをアップグレードする必要があります。以下のセキュリティの脆弱性が修正されました。

• CVE-2022-40090
• CVE-2023-23583
• CVE-2023-31085
• CVE-2023-3576
• CVE-2023-37920
• CVE-2023-38469
• CVE-2023-38470
• CVE-2023-38471
• CVE-2023-38472
• CVE-2023-38473
• CVE-2023-40217
• CVE-2023-44487
• CVE-2023-45871
• CVE-2023-47038
• CVE-2023-5981

次のコンテナ イメージのセキュリティの脆弱性が修正されました。

• CVE-2020-24736
• CVE-2020-29509
• CVE-2020-29511
• CVE-2020-29652
• CVE-2021-29923
• CVE-2021-31525
• CVE-2021-33195
• CVE-2021-33196
• CVE-2021-33197
• CVE-2021-33198
• CVE-2021-34558
• CVE-2021-36221
• CVE-2021-38297
• CVE-2021-38561
• CVE-2021-39293
• CVE-2021-41771
• CVE-2021-41772
• CVE-2021-43565
• CVE-2021-44716
• CVE-2022-1705
• CVE-2022-1962
• CVE-2022-2879
• CVE-2022-2880
• CVE-2022-3063
• CVE-2022-21235
• CVE-2022-21698
• CVE-2022-23471
• CVE-2022-23524
• CVE-2022-23525
• CVE-2022-23526
• CVE-2022-23648
• CVE-2022-23772
• CVE-2022-23773
• CVE-2022-23806
• CVE-2022-24675
• CVE-2022-24921
• CVE-2022-27191
• CVE-2022-27664
• CVE-2022-28131
• CVE-2022-28327
• CVE-2022-29526
• CVE-2022-30580
• CVE-2022-30630
• CVE-2022-30631
• CVE-2022-30632
• CVE-2022-30633
• CVE-2022-30635
• CVE-2022-31030
• CVE-2022-32148
• CVE-2022-32149
• CVE-2022-32189
• CVE-2022-41715
• CVE-2022-41717
• CVE-2022-41721
• CVE-2022-41723
• CVE-2022-41724
• CVE-2022-41725
• CVE-2022-41912
• CVE-2022-48174
• CVE-2023-1667
• CVE-2023-2253
• CVE-2023-2283
• CVE-2023-2603
• CVE-2023-2975
• CVE-2023-3446
• CVE-2023-3817
• CVE-2023-3978
• CVE-2023-22036
• CVE-2023-22041
• CVE-2023-22049
• CVE-2023-24532
• CVE-2023-24534
• CVE-2023-24536
• CVE-2023-24537
• CVE-2023-24538
• CVE-2023-24539
• CVE-2023-24540
• CVE-2023-25153
• CVE-2023-25165
• CVE-2023-25173
• CVE-2023-25193
• CVE-2023-26604
• CVE-2023-27533
• CVE-2023-27535
• CVE-2023-27536
• CVE-2023-27538
• CVE-2023-28321
• CVE-2023-28484
• CVE-2023-28840
• CVE-2023-28841
• CVE-2023-28842
• CVE-2023-29400
• CVE-2023-29402
• CVE-2023-29403
• CVE-2023-29404
• CVE-2023-29405
• CVE-2023-29406
• CVE-2023-29409
• CVE-2023-29469
• CVE-2023-29491
• CVE-2023-36054
• CVE-2023-39318
• CVE-2023-39319
• CVE-2023-39323
• CVE-2023-39325
• CVE-2023-39326
• CVE-2023-39417
• CVE-2023-39533
• CVE-2023-45142
• CVE-2023-45285
• CVE-2023-45287
• CVE-2023-48795
• CVE-2023-49568
• CVE-2023-49569
• CVE-2023-51385

最新のセキュリティ パッチと重要なアップデートを適用するために、gcr.io/distroless/base ベースイメージをダイジェスト sha256:eda29d6da91216123f1c1841b7c7a7abe1eece155cfe8d20d2a29e5daf9ad497 に更新しました。

アドオン マネージャー:

• Google Distributed Cloud のバージョンが 1.28.0-gke.435 に更新され、最新のセキュリティ パッチと重要なアップデートが適用されます。

  詳細については、Google Distributed Cloud 1.28.0-gke.435 のリリースノートをご覧ください。

ビルドとパッケージ:

• Golang のバージョンが 1.20 にアップグレードされました。

• Google Distributed Cloud エアギャップ 1.12.0 では、出力にソフトウェア部品構成表（SBOM）が追加され、今後の SBOM の公開を保証するロジックが更新されています。

• Google Distributed Cloud エアギャップ 1.12.0 では、アップロード マニフェストに gdch_notice_license_files tar ファイルが追加されます。

在庫管理:

• Google Distributed Cloud エアギャップ 1.12.0 では、ハードウェア バージョン 3.0 の接続リストの検証が追加されています。
• Google Distributed Cloud エアギャップ 1.12.0 では、コンソール サーバーの管理ポート パターンが更新され、LAN1A と LAN2A が許可されるようになりました。
• Google Distributed Cloud エアギャップ 1.12.0 では、PA850 のアクティブ モードとパッシブ モードの混乱を軽減するためのメッセージが追加されています。
• Google Distributed Cloud エアギャップ 1.12.0 は、検証でブレイクアウト カセットをサポートしています。
• Google Distributed Cloud エアギャップ 1.12.0 では、管理ファイアウォール接続への永続ファイアウォールの検証が追加されています。
• Google Distributed Cloud エアギャップ 1.12.0 では、顧客インテーク アンケート ジェネレータに OI クラスレス ドメイン間ルーティング（CIDR）プロンプトが追加されています。
• Google Distributed Cloud エアギャップ 1.12.0 では、hsm と mgmtsw の接続を検証する際のプリフライト チェックの不安定さを軽減するため、MAC アドレスが見つからないエラーに関するエラー メッセージが改善されています。

オペレーション センターの IT 組織:

• Operations Center の IT 組織の名前が次のように更新されました。

  • Operations Center（OC）は、Operations Suite Facility（OIF）に名称が変更されました。

  • OC Core は、Operations Suite Infrastructure Core Rack（OIR）に名称が変更されました。

  • Operations Center IT（OCIT）は、Operations Suite Infrastructure（OI）に名称が変更されました。

  • OCIT の名前が OI に変更されました。

  詳細については、用語をご覧ください。

• Google Distributed Cloud エアギャップ 1.12.0 では、フェイルオーバー サーバーの使用を許可するように Userlock 構成スクリプトが更新されています。

• Google Distributed Cloud エアギャップ 1.12.0 では、追加の オペレーション スイート Infrastructure（OI）セキュリティ グループが事前に作成され、OI システム全体できめ細かいアクセスが可能になります。

システム アーティファクト レジストリ:

• Google Distributed Cloud エアギャップ 1.12.0 では、CLI アセットから -f（--force）ショート フラグが削除されます。

バージョンを更新:

• Debian ベースのイメージ バージョンが bookworm-v1.0.0-gke.3 に更新されます。

Certificate manager:

• 組織のウェブ TLS 証明書の鍵サイズの構成を導入しました。

データベース サービス:

• Oracle データベースのポイントインタイム リカバリ（PITR）のサポート。
• Postgres の高度な移行をサポートし、オンプレミス データベースを GDC データベース サービスで管理されるデータベースに移行します。

ロギング:

• ログクエリ gRPC API を追加して、API エンドポイントからオペレーション ログと監査ログをプログラムでクエリできるようにしました。
• PA ログを外部 SIEM システムにエクスポートする機能を追加しました。

Marketplace:

• MongoDB Enterprise Advanced（BYOL）が Google Distributed Cloud エアギャップ 1.12.0 Marketplace で利用可能になりました。
  セキュリティと効率性を高め、MongoDB データベースを制御できるようにするプロダクトとサービスのコレクションです。

オブジェクト ストレージ:

• オブジェクト ストレージ ソフトウェアでアップグレード ファイルをホストするために必要な新しいイメージを追加しました。
• バケットの Webhook に暗号化バージョンのラベルを追加しました。
• オブジェクト認証情報のローテーション用の Reconciler を追加しました。

Operations Suite Infrastructure Core Services（OIC）

• Google Distributed Cloud エアギャップ 1.12.0 は、Grafana で OIC ログを収集します。
• Google Distributed Cloud エアギャップ 1.12.0 では、Copy-BareMetalFiles.ps1 スクリプトがインストール ドキュメントから private-cloud/operations/dsc/ のスクリプトに移動します。

• ルート管理クラスタのウェブ TLS 証明書は、Google Distributed Cloud エアギャップ内部公開鍵基盤によって発行されます。

セキュリティ コンプライアンス:

• Google Distributed Cloud エアギャップ 1.12.0 では、セキュリティ評価に合格するために必要なポート セキュリティが導入されています。

チケット発行システム

• ServiceNow のスケジュールされたジョブを更新し、実行時間をずらしてデータベースのスパイクを防ぎました。
• ServiceNow のメタ モニタリング インシデントが古くなると、インフラストラクチャ オペレーターにアラートが送信されます。

アップグレード

• インフラストラクチャ オペレーターとプラットフォーム管理者向けに、アップグレード ステータス ダッシュボードを追加しました。
• ユーザー クラスタのアップグレードをトリガーするコマンドを追加しました。

Vertex AI:

• サポートされているコンテナのセットで独自の予測モデルを使用してリクエストを処理するオンライン予測プレビューを追加しました。
• 書式設定された PDF ドキュメントを直接翻訳し、翻訳で元の書式とレイアウトを保持する Document Translate のプレビューを追加しました。
• Vertex AI Workbench JupyterLab インスタンスのホーム ディレクトリでのノートブック データのバックアップと復元のサポートが含まれています。

仮想マシン管理

• 仮想マシンに Windows OS のサポートを追加しました。これにより、Windows VM の作成、インポート、接続が可能になります。

請求:

• onetimeusage オブジェクトのラベルの更新で onetimeusage ジョブが常に失敗し、障害アラートが発生する問題を修正しました。

• ラベルが処理済みに更新される前に、CR の費用がデータベースに書き込まれた後でジョブが再起動すると、カスタム リソース（CR）の合計費用が重複する問題を修正しました。

ハードウェア セキュリティ モジュール:

• ハードウェア セキュリティ モジュールが ServicesNotStarted 状態と ready 状態の間で頻繁に切り替わる問題を修正しました。

ハイブリッド ID:

• ID Pod のネットワーク構成に関する問題を修正しました。

在庫管理:

• ライセンス JSON テキストが複数行にわたるオブジェクト ストレージ ファイルをライセンス パーサーが解析しない問題を修正しました。
• ハードウェア 3.0 CellCfg CableType 検証の正規表現に関する問題を修正しました。
• ハードウェア検証にブートストラップ ノードが含まれる問題を修正しました。
• サーバーのブートストラップ後にルート管理クラスタ ノードの SecureBootEnable がオフになる問題を修正しました。

Operations Suite Infrastructure Core Services（OIC）

• Initialize-BareMetalHost.ps1 が再起動が必要であることを検出しない問題を修正しました。
• エンタープライズ CA ルートで、オフライン CA ルート用に送信する req ファイルが発行されない問題を修正しました。
• OIC VM の作成プロセスで Hyper-V の時刻同期が有効のままになる問題を修正しました。

チケット発行システム

• MariaDB Audit の問題を修正しました。

アップグレード

• IAM のアップグレード後のチェックを追加して、Identity and Access Management（IAM）アラートに関する問題を修正しました。

仮想マシン管理

• VM をスケジュールできない場合に、VM のステータスが以前は PendingIPAllocation と表示されていた問題を修正しました。修正後、VM のステータスは ErrorUnscheduable と表示されます。
• VM イメージのインポート オペレーションで誤ったオブジェクト ストレージ シークレットが使用される問題を修正しました。

バックアップと復元:

• リポジトリが正常な状態でも、バックアップ リポジトリのアラートがトリガーされることがあります。

クラスタ管理:

• クラスタのプロビジョニング中に machine-init ジョブが失敗します。

物理サーバー:

• ルート管理クラスタの更新の進行状況がノードのアップグレード（特に NodeBIOSFirmwareUpgradeCompleted）で止まっている。

データベース サービス:

• Database Service ワークロードはシステム クラスタ内で動作します。これにより、データベース ワークロードが他のデータベース インスタンスやさまざまなコントロール プレーン システムとコンピューティング インフラストラクチャを共有する可能性があります。

Harbor as a Service（HAAS）:

• HaaS は Google Distributed Cloud エアギャップ 1.12.0 のプレビュー機能であるため、本番環境での動作は想定されていません。
  設計上、プリインストール ジョブが失敗し、サブコンポーネントが適切に調整されず、ユーザーが HaaS を使用できなくなります。
  HaaS サブコンポーネントが調整状態になっていることが想定されます。これは、他のコンポーネントの機能に影響しません。

ファイアウォール:

• お客様のデプロイ時に、secret.yaml ファイルの管理者ユーザー名は admin にする必要がありますが、初回作成後に TO-BE-FILLED が含まれています。admin ユーザー名を使用して、ファイアウォールに最初の構成を初期化する必要があります。

ハードウェア セキュリティ モジュール:

• 無効になったトライアル ライセンスは CipherTrust Manager で検出可能であり、誤った有効期限切れの警告がトリガーされます。
• KMS CTMKey を削除すると、PA で予期しない動作が発生する可能性があります。たとえば、組織で KMS サービスが起動しないなどです。
• ハードウェア セキュリティ モジュールのローテーション可能なシークレットが不明な状態です。
• HSM 内部認証局のローテーションが停止し、完了しない。

ロギング:

• 外部 SIEM の宛先にログのエクスポートを有効にすると、転送されたログに Kubernetes API サーバーログが含まれません。

モニタリング:

• 組織の作成時に Node Exporter 証明書が準備できない場合があります。
• ユーザー クラスタの一部の指標が収集されません。この問題は、ユーザー VM クラスタに影響しますが、システム クラスタには影響しません。
• 構成で指標ストレージ クラスが正しく定義されていません。
• mon-prober-backend-prometheus-config ConfigMap がリセットされ、プローブジョブが含まれなくなり、アラート MON-A0001 がトリガーされます。

ノード プラットフォーム:

• lvm.conf ファイルが古いため、ノードのアップグレードが失敗します。

物理サーバー:

• ルート管理クラスタの更新の進行状況がノードのアップグレード（特に NodeBIOSFirmwareUpgradeCompleted）で止まっている。

• サーバーを手動でインストールすると、サーバーのインストールが停止することがあります。

アップグレード:

• NodeOSInPlaceUpgradeCompleted のノードのアップグレードが失敗します。
• スイッチのアップグレードでコマンド install add bootflash://.. の実行に失敗する
• システム クラスタ内の複数の Pod が TaintToleration 状態のままになることがあります。

上位ネットワーキング:

• ユーザー VM クラスタが ContainerCreating 状態になり、FailedCreatePodSandBox 警告が表示されます。

Vertex AI:

• MonitoringTarget は、ユーザー クラスタの作成時に Not Ready ステータスを示し、事前トレーニング済みの API がユーザー インターフェースで Enabling 状態を継続的に表示します。

VM バックアップと復元:

• VM マネージャーのロールベース アクセス制御（RBAC）とスキーマ設定により、ユーザーが VM のバックアップと復元のプロセスを開始できません。

• ディスク容量の不足とオブジェクト ストレージ プロキシ レスポンスのタイムアウトにより、VM イメージのインポートがイメージ変換ステップで失敗します。

SIEM:

• OCLCM の事前インストール ジョブが、フィーチャー ゲートのチェックで繰り返し失敗します。

パフォーマンス:

• Google Distributed Cloud エアギャップ 1.12.0 では、provision key ベンチマークを実行する機能が非推奨になりました。