28 ביוני 2024
בסקירה הכללית על המוצר אפשר לקרוא על התכונות של Distributed Cloud.
עדכנו את גרסת תמונת מערכת ההפעלה Canonical Ubuntu ל-20240515 כדי להחיל את תיקוני האבטחה האחרונים ועדכונים חשובים. כדי ליהנות מתיקוני הבאגים ונקודות החולשה באבטחה, צריך לשדרג את כל הצמתים בכל גרסה. בעיות האבטחה הבאות תוקנו:
- CVE-2015-1197
- CVE-2016-9840
- CVE-2016-9841
- CVE-2018-25032
- CVE-2022-37434
- CVE-2023-4421
- CVE-2023-5388
- CVE-2023-6135
- CVE-2023-7207
- CVE-2023-24023
- CVE-2023-46838
- CVE-2023-47233
- CVE-2023-52530
- CVE-2023-52600
- CVE-2023-52603
- CVE-2024-0607
- CVE-2024-1086
- CVE-2024-1441
- CVE-2024-2494
- CVE-2024-2496
- CVE-2024-2961
- CVE-2024-3094
- CVE-2024-23851
- CVE-2024-24806
- CVE-2024-26581
- CVE-2024-26589
- CVE-2024-26614
- CVE-2024-26622
- CVE-2024-28182
- CVE-2024-28834
- CVE-2024-34397
עדכנו את גרסת תמונת מערכת ההפעלה Rocky ל-20240506 כדי להחיל את תיקוני האבטחה האחרונים ועדכונים חשובים. תוקנו נקודות החולשה הבאות באבטחה:
- CVE-2019-13224
- CVE-2019-16163
- CVE-2019-19012
- CVE-2019-19203
- CVE-2019-19204
- CVE-2020-25659
- CVE-2021-25220
- CVE-2021-33631
- CVE-2022-1117
- CVE-2022-2601
- CVE-2022-2795
- CVE-2022-3094
- CVE-2022-3736
- CVE-2022-3775
- CVE-2022-3924
- CVE-2023-2828
- CVE-2023-3341
- CVE-2023-5981
- CVE-2023-6546
- CVE-2023-6931
- CVE-2023-51042
- CVE-2024-0565
- CVE-2024-1086
- CVE-2024-28834
תוקנו נקודות החולשה הבאות באבטחת קובץ האימג' של הקונטיינר:
תוקנה נקודת חולשה במסדי נתונים שפועלים כקונטיינרים באשכול המערכת.
חיוב:
- הוספנו את האפשרות ליצור חשבונות לחיוב ולקשר אותם לארגון או לפרויקט ממסוף GDC.
- הוספנו את האפשרות להפעיל חיוב שותפים כשיוצרים ארגון, כדי ש-Google תחייב את השותף ישירות.
ניהול אשכולות:
- נוספה האפשרות לצפות בעומסי עבודה של קונטיינרים ממסוף GDC.
הקצאת כתובות IP בהתאמה אישית:
- הוספנו אפשרות לעקוף את כתובת ה-IP שמוקצית לארגונים כדי להפעיל תכונות של Direct Connect (DX) Interconnect.
Database Service:
- הוספנו שדרוג משמעותי כדי לשפר את האבטחה והאמינות. כל עומסי העבודה של מסד הנתונים פועלים עכשיו באשכול השירות. השדרוג הזה מחייב הסרה של מסדי נתונים קיימים. כדי להגן על הנתונים, חשוב לייצא ולמחוק את כל אשכולות מסדי הנתונים הקיימים לפני השדרוג. במאמרים בנושא שירות מסד הנתונים מוסבר איך לייצא ולייבא נתונים.
- נוספה תכונה ל-AlloyDB לתמיכה בזמינות גבוהה (HA) באותו אזור.
- הוספנו ל-AlloyDB תמיכה בתכונות של גיבוי, שחזור ושחזור מערכת מנקודה מסוימת בזמן (PITR).
- נוספה לאפשרות של AlloyDB תמיכה בייבוא נתונים, בייצוא נתונים ובתכונות מתקדמות של העברה.
הרחבה דינמית:
- אפשר להוסיף משאבי מחשוב ואחסון נוספים באמצעות הרחבה דינמית בלי להשלים פריסה מחדש. בגרסאות של GDC לפני 1.13.1, אפשר היה להוסיף חומרה רק במהלך פריסה מחדש. סוג ההרחבה הזה נקרא הרחבה סטטית.
Harbor-as-a-Service:
- נוסף Harbor-as-a-Service (HaaS), שירות שמנוהל במלואו ומאחסן ומנהל קובצי אימג' בקונטיינר באמצעות Harbor.
סוגי מכונות:
- הוספנו סוגי מכונות חדשים לצמתים של עובדים ולעומסי עבודה של מכונות וירטואליות.
Marketplace:
- הוספנו אפשרות להתאמה אישית של הגדרות שירותים ב-Marketplace.
- Starburst Enterprise (BYOL) זמין ב-Marketplace עם פער אבטחה. Starburst Enterprise מספק מנוע SQL מהיר, ניתן להרחבה ומבוזר של MPP עבור אגם הנתונים (data lakehouse) שלכם, עם איחוד שאילתות למקורות נתונים רבים אחרים.
מהדורת Prisma Cloud Compute של Palo Alto Networks (BYOL) זמינה ב-Marketplace עם פער אוויר. מהדורת Prisma Cloud Compute של Palo Alto Networks מציעה אמצעי הגנה מודרניים לאפליקציות מבוזרות.
פריסות בכמה אזורים:
- נוספה פונקציונליות של Multi-zone, שמספקת זמינות גבוהה ויכולות התאוששות מאסון כמו בענן, כשירות לניהול פשוט של משאבים באזורי GDC. היכולות של פריסה בכמה אזורים זמינות בגרסת טרום-השקה (Preview).
תשתית של מפתח ציבורי:
- כשמנפיקים אישורי אינטרנט, אפשר להגדיר מצבי PKI שונים אחרי יצירת הארגון. המצבים שניתנים להגדרה כוללים Infra PKI Fully Managed, BYO-SubCA, BYO-Cert with ACME ו-BYO-Cert.
אחסון אובייקטים:
- נוסף שדה
Spec.locationbucket כדי לציין את האזור שבו נמצאים האובייקטים שלו. במהלך יצירת הקטגוריה, אם לא מציינים ערך, השדה מאוכלס אוטומטית בשם האזור שבו נוצרה הקטגוריה. השדה של קטגוריות קיימות מאוכלס אוטומטית בשם האזור שבו הן נמצאות.
מכונות וירטואליות (VM):
- הוספנו תמיכה בייבוא תמונה משלכם של מערכת ההפעלה Ubuntu 22.04 לדיסקים וירטואליים.
Vertex AI:
- הוספנו שפות נתמכות ב-Vertex AI Translation לתרגום מאנגלית.
- הוספנו את PyTorch כמסגרת נתמכת לחיזוי אונליין ב-Vertex AI.
VPN:
- הוספנו את היכולת להרחיב רשת עמיתים למכונה וירטואלית של משתמש בארגון באזור GDC.
Artifact Registry:
- כשיוצרים את אשכול האדמין הבסיסי, יכול להיות שהפעולה תיכשל אם יש רשימה ארוכה של שרתים במהלך האתחול.
גיבוי ושחזור:
- ניסיון לשחזר גיבוי לאשכול משתמשים עם מכסת נפח מוגבלת נכשל.
חיוב:
- מדדי החיוב לא מועברים אל Cortex בצורה תקינה בגלל חוסר ב-
MetricsProxySidecar.
אחסון בלוקים:
- המיפוי של אמצעי האחסון נכשל בתרמילים של מכונת וירטואלית.
- כשלים שקשורים לאחסון עלולים להפוך את המערכת ללא שמישה.
- נפחים קבועים נוצרים עם גודל שגוי.
- כשארגון מושבת, יכול להיות שתהיה בעיה במחיקה של
StorageVirtualMachine. - סודות ואישורים לא מנוקים אחרי השבתה של ארגון.
- יכול להיות שתיכשל התאמה של מחיקה ב-
StorageVirtualMachine. - משימות של Ansible נתקעות במהלך שדרוג של שרתים פיזיים.
ניהול אשכולות:
- המשימה
machine-initנכשלת במהלך הקצאת המשאבים של האשכול. - החיבור של פוד מסד נתונים שפועל באשכול השירות לקטגוריית אחסון אובייקטים באשכול מנהל חשבון ארגוני נכשל.
- בדיקת ההתאמה נכשלת.
- יכול להיות שקבוצות משתמשים שנוצרו מחדש ייתקעו בתהליך של התאמה.
Database Service:
- במסדי נתונים שפונים למשתמשים, ההקצאה הראשונית, שינוי הגודל או הפעלת הזמינות הגבוהה (HA) באשכול מסד נתונים קיים אורכים עד 40 דקות יותר מאשר בעבר, והביצועים איטיים פי שניים עד שלוש מאשר בעבר.
- שיבוט של שירות מסד נתונים לא פועל עבור אשכול עם מכסת אחסון מוגבלת בגלל בעיה בגיבוי ובשחזור.
- אכיפת ה-IOPS עשויה להשפיע על ביצועי האחסון.
- הפקודה
gdcloud stop databaseנמשכת זמן רב מדי.
DNS:
- צריך להשבית את DNSSEC באופן מפורש ב-
resolved.conf.
Harbor:
- מחיקה של מופעי Harbor לא מוחקת את שיקופי הרישום המשויכים. יכול להיות שמאגר הצמתים תקוע במצב
Provisioning.
מודול אבטחה בחומרה:
- רישיונות ניסיון שהושבתו עדיין ניתנים לזיהוי ב-CipherTrust Manager, מה שגורם להפעלת אזהרות שגויות על תפוגה.
-
דליפת מתאר קובץ גורמת לשגיאה
ServicesNotStarted.
תשתית כקוד (IAC):
- יצירה מוגזמת של טוקנים ב-GitLab עלולה לגרום למילוי של מסדי הנתונים של GitLab.
Key Management Service (KMS):
- כשהשימוש בזיכרון
kms-rootkey-controllerחורג מהמגבלה1100Mi, הבקר עובר למצבCrashLoopBackOffבגלל סטטוסOOMKilled.
רישום ביומן:
- יומן הביקורת של אחסון האובייקטים לא יכול לפתור את מארח ה-DNS.
מעקב:
- לוחות הבקרה לא מציגים מדדים של Vertex AI.
- יש שגיאת התאמה ב-pod
mon-cortex. -
metrics-server-exporterpod באשכול המערכת נמצא בלולאת קריסה. -
ה-ConfigMap
mon-prober-backend-prometheus-configמאופס כך שלא יכלול משימות בדיקה, וההתראהMON-A0001מופעלת. - אחרי שמגדירים את שירות המעקב לשליחת התראות, נוצרות אוטומטית כמה התראות כפולות.
-
אובייקט
ObservabilityPipelineמציג יומנים שלReconciler errorשצריך להתעלם מהם.
אתחול של כמה אזורים:
- אין תפקידים ספציפיים להפעלת פריסות מרובות אזורים.
- המשאב
Bootstrapשנוצר לא תואם ללוגיקה שמעבדת אותו. - משאב נדרש לא נוצר במהלך האתחול, ולכן רכיבים שמסתמכים על המשאב הזה לא פועלים בצורה תקינה.
רשת:
- אי אפשר להגיע לצומת.
- יש בעיות בקישוריות למופעים של שירות מסד הנתונים.
- תפקיד
PodCIDRלא מוקצה לצמתים, גם אם נוצרClusterCIDRConfig. - השעה בצומת של מכונה וירטואלית לא מדויקת או שהיא לא מסונכרנת עם השעה בצומת אחר.
- כתובות ה-IP של ה-peering בסשן של קישוריות EVPN בין אזורים שנוצרות שגויות.
- אין אפשרות להגיע לצומת ברשת הנתונים.
אחסון אובייקטים:
- יכול להיות שמחיקת הארגון לא תצליח.
מערכת הפעלה:
- במקרים נדירים, פודים נתקעים במצב
initבצומת מסוים. - משימת
bm-system-machine-preflight-checkAnsible עבור צומת bare metal או מכונה וירטואלית נכשלת עםEither ip_tables or nf_tables kernel module must be loaded.
תשתית Operations Suite (OI):
- ב-Hardware 3.0, אין יותר צורך בהפעלת Smart Storage Administration (ניהול אחסון חכם, SSA).
אבטחת היקף:
- האשכול של מערכת הארגון נתקע במהלך האתחול של הארגון.
- חומת האש של PANW
AddressGroupsלא מתעדכנת עם השינויים ב-OCITcidr-claim, ולכן לא ניתן לפתור בעיות בדומיינים שלiac.gdch.domain.example.
אבטחת הפלטפורמה:
- כשמצב PKI BYO SubCA יוצר בקשה חדשה לחתימת אישור (CSR) בזמן שאישור חתום קודם מועלה ל-SubCA, כלי התיאום לא בודק אם ה-CSR החדש תואם לאישור החתום הישן ומסמן את המשאב המותאם אישית (CR)
cert-managerCertificateRequestכ-Ready. השגיאה הזו מתרחשת במהלך חידוש של אישור SubCA או במהלך רוטציה ידנית.
- בעיה מוכרת ב-
cert-managerגורמת לכך שלא ניתן להנפיק אישורי PKI בשיטת BYO (הבאת אישורים משלכם) באמצעות סביבה לניהול אוטומטי של אישורים (ACME).
שרתים פיזיים:
- השרת תקוע במצב
provisioning. - האתחול של השרת נכשל בגלל בעיות ב-POST בשרת HPE.
- השרת נתקע במצב הקצאת הרשאות.
מנהל המשאבים:
- הסטטוס של פרויקט לא מוצג במסוף GDC.
שדרוג:
- העבודה
bm-systemועבודות אחרות שמריצות ansible playbook נתקעות ב-gathering facts. - במהלך השדרוג, אין גישה לכתובת ה-IP לניהול של השרת.
-
השדרוג נכשל ברכיב המשנה
iac-zoneselection-global.
Vertex AI:
-
הסמל
MonitoringTargetמציג סטטוסNot Readyכשנוצרים אשכולות של משתמשים, ולכן ממשק המשתמש מציג באופן רציף את המצבEnablingשל ממשקי ה-API שאומנו מראש. - האתחול של שירות ה-pod והקצה הקדמי של התרגום נכשל כי הסוד של אשכול מערכת ה-ODS לא עדכני.
מכונות וירטואליות:
- ייבוא התמונות בשיטת BYO נכשל עבור תמונות בפורמטים qcow2 ו-raw.
- הקצאת דיסק מקובץ אימג' בהתאמה אישית נכשלת.
- מוצגת שגיאה בשדרוג של אחסון האובייקטים במהלך הבדיקה שלפני ההמראה או אחרי ההמראה.
חיוב:
- תוקנה בעיה בתהליך ליצירת חשבוניות שגרמה לכך שלא נוצר משאב מותאם אישית של חשבונית בגלל השם הלא תקין
GDCH_INTERNAL.
רשת:
- תוקנה בעיה שגרמה לכך שהשדרוג נכשל בגלל יצירה לא מוצלחת של המשאב המותאם אישית
hairpinlink. - שגיאות הסחה אדומות `Got error on getting port speed` מוצגות בהתקנת הרשת
המרכז לניהול תוספים:
הגרסה של Google Distributed Cloud עודכנה ל-1.29.100-gke.251 כדי להחיל את תיקוני האבטחה האחרונים ועדכונים חשובים.
פרטים נוספים זמינים בהערות הגרסה של Google Distributed Cloud 1.29.100-gke.251.
עדכון גרסה:
גרסת התמונה שמבוססת על Debian עודכנה ל-bookworm-v1.0.1-gke.1.
תשתית Operations Suite (OI):
- תוקף החשבון של OI
Marvin, שמשמש לניהול ההגדרות בסביבת התשתית של OI, הוא 60 יום.