Google Distributed Cloud 實體隔離方案版本資訊

• Google Distributed Cloud 實體隔離方案 1.12.0 版現已推出。
  請參閱產品總覽，瞭解 Google Distributed Cloud 實體隔離方案的功能。
• Google Distributed Cloud 實體隔離方案 1.12.0 支援兩種作業系統：
  • Ubuntu 20231205
  • Rocky Linux 20231208

將 Canonical Ubuntu OS 映像檔版本更新至 20231208，以套用最新的安全修補程式和重要更新。如要使用錯誤和安全漏洞修正功能，您必須在每個版本發布時升級所有節點。修正下列安全性漏洞：

• CVE-2022-40090
• CVE-2023-23583
• CVE-2023-31085
• CVE-2023-3576
• CVE-2023-37920
• CVE-2023-38469
• CVE-2023-38470
• CVE-2023-38471
• CVE-2023-38472
• CVE-2023-38473
• CVE-2023-40217
• CVE-2023-44487
• CVE-2023-45871
• CVE-2023-47038
• CVE-2023-5981

修正下列容器映像檔安全漏洞：

• CVE-2020-24736
• CVE-2020-29509
• CVE-2020-29511
• CVE-2020-29652
• CVE-2021-29923
• CVE-2021-31525
• CVE-2021-33195
• CVE-2021-33196
• CVE-2021-33197
• CVE-2021-33198
• CVE-2021-34558
• CVE-2021-36221
• CVE-2021-38297
• CVE-2021-38561
• CVE-2021-39293
• CVE-2021-41771
• CVE-2021-41772
• CVE-2021-43565
• CVE-2021-44716
• CVE-2022-1705
• CVE-2022-1962
• CVE-2022-2879
• CVE-2022-2880
• CVE-2022-3063
• CVE-2022-21235
• CVE-2022-21698
• CVE-2022-23471
• CVE-2022-23524
• CVE-2022-23525
• CVE-2022-23526
• CVE-2022-23648
• CVE-2022-23772
• CVE-2022-23773
• CVE-2022-23806
• CVE-2022-24675
• CVE-2022-24921
• CVE-2022-27191
• CVE-2022-27664
• CVE-2022-28131
• CVE-2022-28327
• CVE-2022-29526
• CVE-2022-30580
• CVE-2022-30630
• CVE-2022-30631
• CVE-2022-30632
• CVE-2022-30633
• CVE-2022-30635
• CVE-2022-31030
• CVE-2022-32148
• CVE-2022-32149
• CVE-2022-32189
• CVE-2022-41715
• CVE-2022-41717
• CVE-2022-41721
• CVE-2022-41723
• CVE-2022-41724
• CVE-2022-41725
• CVE-2022-41912
• CVE-2022-48174
• CVE-2023-1667
• CVE-2023-2253
• CVE-2023-2283
• CVE-2023-2603
• CVE-2023-2975
• CVE-2023-3446
• CVE-2023-3817
• CVE-2023-3978
• CVE-2023-22036
• CVE-2023-22041
• CVE-2023-22049
• CVE-2023-24532
• CVE-2023-24534
• CVE-2023-24536
• CVE-2023-24537
• CVE-2023-24538
• CVE-2023-24539
• CVE-2023-24540
• CVE-2023-25153
• CVE-2023-25165
• CVE-2023-25173
• CVE-2023-25193
• CVE-2023-26604
• CVE-2023-27533
• CVE-2023-27535
• CVE-2023-27536
• CVE-2023-27538
• CVE-2023-28321
• CVE-2023-28484
• CVE-2023-28840
• CVE-2023-28841
• CVE-2023-28842
• CVE-2023-29400
• CVE-2023-29402
• CVE-2023-29403
• CVE-2023-29404
• CVE-2023-29405
• CVE-2023-29406
• CVE-2023-29409
• CVE-2023-29469
• CVE-2023-29491
• CVE-2023-36054
• CVE-2023-39318
• CVE-2023-39319
• CVE-2023-39323
• CVE-2023-39325
• CVE-2023-39326
• CVE-2023-39417
• CVE-2023-39533
• CVE-2023-45142
• CVE-2023-45285
• CVE-2023-45287
• CVE-2023-48795
• CVE-2023-49568
• CVE-2023-49569
• CVE-2023-51385

更新 gcr.io/distroless/base 基本映像檔，以摘要 sha256:eda29d6da91216123f1c1841b7c7a7abe1eece155cfe8d20d2a29e5daf9ad497 套用最新的安全修補程式和重要更新。

外掛程式管理員：

• Google Distributed Cloud 版本已更新至 1.28.0-gke.435，可套用最新的安全性修補程式和重要更新。

  詳情請參閱 Google Distributed Cloud 1.28.0-gke.435 版本資訊。

建構及封裝：

• Golang 版本升級至 1.20。

• Google Distributed Cloud 實體隔離方案 1.12.0 會在輸出內容中新增軟體物料清單 (SBOM)，並更新邏輯，確保日後發布這類 SBOM。

• Google Distributed Cloud 實體隔離方案 1.12.0 新增 gdch_notice_license_files tar 檔案，可上傳資訊清單。

商品目錄管理：

• Google Distributed Cloud 實體隔離方案 1.12.0 新增硬體版本 3.0 連線清單的驗證。
• Google Distributed Cloud 實體隔離方案 1.12.0 更新了控制台伺服器管理連接埠模式，允許使用 LAN1A 和 LAN2A。
• Google Distributed Cloud 實體隔離方案 1.12.0 新增訊息，可避免 PA850 主動和被動模式造成混淆。
• Google Distributed Cloud 實體隔離方案 1.12.0 支援驗證中的分線盒。
• Google Distributed Cloud 實體隔離方案 1.12.0 會驗證永久防火牆與管理防火牆的連線。
• Google Distributed Cloud 實體隔離方案 1.12.0 在客戶問卷調查產生器中新增 OI 無類別跨網域路由 (CIDR) 提示。
• Google Distributed Cloud 實體隔離方案 1.12.0 改善了 MAC 位址遺失失敗時的錯誤訊息，可緩解驗證 HSM 和 mgmtsw 連線時的飛行前檢查不穩定問題。

營運中心 IT 機構：

• Operations Center IT 機構的名稱已更新如下：

  • 營運中心 (OC) 已重新命名為營運套件設施 (OIF)。

  • OC Core 已重新命名為 Operations Suite Infrastructure Core Rack (OIR)。

  • 營運中心 IT (OCIT) 已重新命名為營運套件基礎架構 (OI)。

  • OCIT 已重新命名為 OI。

  詳情請參閱「術語」一節。

• Google Distributed Cloud 實體隔離方案 1.12.0 會更新 Userlock 設定指令碼，允許使用容錯移轉伺服器。

• Google Distributed Cloud 實體隔離方案 1.12.0 版會預先建立額外的 Operations Suite Infrastructure (OI) 安全性群組，以便在 OI 系統中提供精細的存取權。

系統構件登錄檔：

• Google Distributed Cloud 實體隔離方案 1.12.0 版會從 CLI 資產中移除 -f (--force) 短標記。

版本更新：

• Debian 架構的映像檔版本已更新為 bookworm-v1.0.0-gke.3。

憑證管理員：

• 為機構導入網頁 TLS 憑證的金鑰大小設定。

資料庫服務：

• 支援 Oracle 資料庫的時間點復原 (PITR) 功能。
• 支援 Postgres 進階遷移作業，可將地端部署的資料庫遷移至 GDC 資料庫服務管理的資料庫。

記錄：

• 新增 Log Query gRPC API，可透過 API 端點以程式輔助方式查詢作業和稽核記錄。
• 新增將 PA 記錄匯出至外部 SIEM 系統的功能。

Marketplace：

• Google Distributed Cloud 實體隔離方案 1.12.0 Marketplace 現已提供 MongoDB Enterprise Advanced (自備授權)。
  這是一系列產品和服務，可提升安全性、效率，並讓您控管 MongoDB 資料庫。

物件儲存空間：

• 新增必要映像檔，以便在物件儲存軟體中代管升級檔案。
• 在 bucket webhook 中新增加密版本標籤。
• 新增物件憑證輪替的協調器。

作業套件基礎架構核心服務 (OIC)

• Google Distributed Cloud 實體隔離方案 1.12.0 會在 Grafana 中收集 OIC 記錄。
• Google Distributed Cloud 實體隔離方案 1.12.0 會將 Copy-BareMetalFiles.ps1 指令碼從安裝說明文件移至 private-cloud/operations/dsc/ 中的指令碼。

• 根管理員叢集的網頁 TLS 憑證是由 Google Distributed Cloud 實體隔離方案 內部公用金鑰基礎架構核發。

安全法規遵循：

• Google Distributed Cloud 實體隔離方案 1.12.0 導入了通過安全評估所需的連接埠安全防護。

支援單處理系統

• 更新 ServiceNow 中的排定工作，錯開執行時間，避免資料庫尖峰流量。
• 當 ServiceNow 中的中繼監控事件過時時，基礎架構營運人員會收到快訊。

升級

• 為基礎架構營運人員和平台管理員新增「升級狀態」資訊主頁。
• 新增觸發使用者叢集升級的指令。

Vertex AI：

• 新增線上預測預覽功能，可使用一組支援的容器，透過您自己的預測模型處理要求。
• 新增「文件翻譯」預覽功能，可直接翻譯格式化 PDF 文件，並保留翻譯內容的原始格式和版面配置。
• 支援備份及還原筆記本資料，這些資料位於 Vertex AI Workbench JupyterLab 執行個體的主目錄中。

虛擬機器管理

• 新增虛擬機器的 Windows OS 支援，可建立、匯入及連線至 Windows VM。

帳單：

• 修正 onetimeusage 工作一律無法更新 onetimeusage 物件標籤的問題，避免系統發出失敗快訊。

• 修正問題：自訂資源 (CR) 的總計費用寫入資料庫後，標籤更新為已處理前，如果作業重新啟動，自訂資源的總計費用會重複計算。

硬體安全性模組：

• 修正硬體安全性模組頻繁在 ServicesNotStarted 和 ready 狀態之間切換的問題。

混合式身分：

• 修正身分 Pod 中的網路設定問題。

商品目錄管理：

• 修正授權剖析器無法剖析授權 JSON 文字跨越多行的物件儲存空間檔案的問題。
• 修正硬體 3.0 CellCfg CableType 驗證規則運算式問題。
• 修正了在硬體驗證中納入啟動程序節點的問題。
• 修正伺服器啟動後，根管理員叢集節點的 SecureBootEnable 會關閉的問題。

作業套件基礎架構核心服務 (OIC)

• 修正 Initialize-BareMetalHost.ps1 無法偵測是否需要重新啟動的問題。
• 修正企業 CA 根憑證的問題，並修正未核發要求檔案以提交離線 CA 根憑證的問題。
• 修正了 OIC VM 建立程序會啟用 Hyper-V 時間同步功能的問題。

支援單處理系統

• 修正 MariaDB Audit 問題。

升級

• 新增 IAM 升級後檢查，修正 Identity and Access Management (IAM) 快訊問題。

虛擬機器管理

• 修正 VM 無法排程時，VM 狀態先前會顯示 PendingIPAllocation 的問題。修正後，VM 狀態會顯示 ErrorUnscheduable。
• 修正 VM 映像檔匯入作業使用錯誤物件儲存空間密鑰的問題。

備份與還原：

• 即使備份存放區狀態良好，系統仍可能會觸發快訊。

叢集管理：

• 叢集佈建期間，machine-init 工作失敗。

實體伺服器：

• 根管理員叢集的更新進度停滯在節點升級階段，具體來說是 NodeBIOSFirmwareUpgradeCompleted。

資料庫服務：

• 資料庫服務工作負載會在系統叢集中運作，因此資料庫工作負載可能會與其他資料庫執行個體和各種控制層系統共用運算基礎架構。

Harbor 即服務 (HAAS)：

• HaaS 是 Google Distributed Cloud 實體隔離方案 1.12.0 的預先發布功能，因此不適合在實際工作環境中運作。
  預先安裝作業會刻意失敗，避免子元件無法正確調解，進而防止使用者使用 HaaS。
  預期會發現處於協調狀態的 HaaS 子元件，這不會影響其他元件的功能。

防火牆：

• 在客戶部署期間，secret.yaml 檔案管理員使用者名稱必須為 admin，且在首次建立後會改為 TO-BE-FILLED。您必須使用 admin 使用者名稱，在防火牆上初始化第一個設定。

硬體安全性模組：

• CipherTrust Manager 仍可偵測到已停用的試用授權， 因此會觸發錯誤的到期警告。
• 刪除 KMS CTMKey 時，PA 可能會遇到非預期的行為，包括無法為機構啟動 KMS 服務。
• 硬體安全模組的可輪替密鑰處於不明狀態。
• HSM 內部憑證授權單位輪替作業停滯不前，無法完成。

記錄：

• 啟用記錄匯出至外部 SIEM 目的地後，轉送的記錄不會包含任何 Kubernetes API 伺服器記錄。

監控：

• 建立機構時，Node Exporter 憑證可能無法就緒。
• 系統不會收集部分使用者群組的指標。這個問題會影響使用者 VM 叢集，但不會影響系統叢集。
• 設定中定義的指標儲存空間級別有誤。
• mon-prober-backend-prometheus-config ConfigMap 會重設為不含任何探測工作，並觸發警報 MON-A0001。

節點平台：

• 節點升級失敗，因為 lvm.conf 檔案已過時。

實體伺服器：

• 根管理員叢集的更新進度停滯在節點升級階段，具體來說是 NodeBIOSFirmwareUpgradeCompleted。

• 手動安裝伺服器時，伺服器安裝作業可能會停滯。

升級：

• 節點「NodeOSInPlaceUpgradeCompleted」升級失敗。
• 切換升級作業無法執行指令 install add bootflash://..
• 系統叢集中的幾個 Pod 可能會停滯在 TaintToleration 狀態。

上層網路：

• 使用者 VM 叢集卡在 ContainerCreating 狀態，並顯示 FailedCreatePodSandBox 警告。

Vertex AI：

• 建立使用者叢集時，MonitoringTarget 會顯示 Not Ready 狀態，導致預先訓練的 API 持續在使用者介面中顯示 Enabling 狀態。

VM 備份與還原：

• VM 管理工具中的角色式存取控管 (RBAC) 和結構定義設定，會阻止使用者啟動 VM 備份和還原程序。

• 由於磁碟大小不足，且物件儲存空間 Proxy 回應逾時，因此 VM 映像檔匯入作業在映像檔轉換步驟中失敗。

SIEM：

• OCLCM 預先安裝工作在 feature gate 檢查時反覆失敗。

效能：

• Google Distributed Cloud 實體隔離方案 1.12.0 版已淘汰執行 provision key 基準的功能。