הערות מוצר לגרסה 1.15.1 של Google Distributed Cloud במודל Air-gapped

‫5 בדצמבר 2025


הודעה לכיתה
‫Google Distributed Cloud‏ (GDC) במודל Air-gapped 1.15.1 זמין.
בסקירה הכללית על המוצר אפשר לקרוא על התכונות של Distributed Cloud.

התכונה
התכונות החדשות הבאות זמינות:

ניהול אשכולות:

  • נוספה הגדרה חדשה של אשכול סטנדרטי. ההיקף של אשכולות רגילים הוא פרויקט יחיד, ולכן מפתחי אפליקציות שמוגבלים לפרויקט יכולים לשלוט ישירות באופן הפעולה שלו. מידע נוסף זמין במאמר הגדרות של אשכול Kubernetes.

gdcloud CLI:

  • הוספנו תמיכה בהרצת ה-CLI של gdcloud ממערכות ההפעלה macOS ו-Windows. מידע נוסף זמין במאמר חבילות זמינות של gdcloud CLI.

  • נוספה גרסת לייט של חבילת gdcloud CLI ל-Linux, שמספקת קובץ בינארי קטן יותר עם קבוצת משנה של פקודות gdcloud CLI. מידע נוסף זמין במאמר חבילות זמינות של gdcloud CLI.

Networking

  • הוספנו פונקציונליות חדשה של NAT ליציאה, Cloud NAT, שמספקת הרבה יותר אפשרויות להגדרת האופן שבו עומסי עבודה מגיעים אל מחוץ לארגון. מידע נוסף זמין במאמר בנושא Cloud NAT. מנגנון ה-NAT שהיה זמין בעבר, שנקרא project default egress NAT, הוצא משימוש. מומלץ migrate ל-Cloud NAT.

    בגרסה 1.15.1, התפקיד Cloud NAT‏ cloud-nat-manager הוצא משימוש. במקומו צריך להשתמש בתפקיד cloud-nat-developer.

  • הוספנו קבוצות של רשתות משנה כדי לפשט את הקצאת כתובות ה-IP. המנגנון החדש הזה מאפשר לכם לנהל רשתות משנה של אותו ישות או של אותה מטרה כקבוצה, וכך לפשט את ההקצאה של כתובות IP ממערכים גדולים של רשתות משנה מנוהלות. מידע נוסף זמין במאמר בנושא קבוצות של רשתות משנה.

  • מק"טים של מינויים ל-Interconnect זמינים בתוכנית Public Preview. התכונה הזו מאפשרת לארגונים לשריין קיבולת פיזית בחיבורי Interconnect ולשייך את השריין לפרויקט לחיוב. בשלב הזה, ההזמנה מבוססת על אמון בלבד, והמערכת לא אוכפת אותה באופן מחמיר. מידע נוסף על חיבורים הדדיים זמין במאמר יצירת קישוריות באמצעות חיבורים הדדיים.

  • מעכשיו אפשר לבצע בדיקות תקינות באמצעות פרוטוקולי HTTP/HTTPS. בדיקת תקינות קובעת אם נקודת קצה (endpoint) עומדת בדרישות לקבלת בקשות או חיבורים חדשים. נקודת קצה לא תקינה, כפי שזוהתה על ידי בדיקת התקינות, לא תקבל תעבורה דרך מאזן העומסים. מידע נוסף מופיע במאמר בנושא הגדרת בדיקות תקינות.

  • הוספנו תמיכה במעקב אחר נתונים סטטיסטיים של משאבי IP כתכונת Preview. אופרטורים של תשתיות (IO) ואדמינים של פלטפורמות (PA) יכולים לראות את המדדים הכוללים, המוקצים, הזמינים והאחוזים של רשתות משנה מרמת הבסיס ועד לרמת העלה, וגם של קבוצות רשתות משנה. הוראות לגישה ללוחות בקרה מופיעות במאמר שאילתות והצגת מדדים.

  • ארגונים חדשים שנוצרו עוקפים עכשיו כברירת מחדל את שירות המערכת לאיתור ומניעה של פריצות (IDPS) בתעבורת הנתונים של הלקוחות. השינוי הזה לא משפיע על ארגונים קיימים, והם ימשיכו להשתמש ב-IDPS על סמך ההגדרה הקיימת שלהם.

אימות פלטפורמה:

  • ‫Certificate Authority Service‏ (CAS) תומך בתבניות אישורים מוגדרות מראש, ומציע תבניות מוכנות להנפקת אישורים למקרים נפוצים.
  • ב-CAS יש תמיכה בביטול אישורים באמצעות פרסום של רשימות אישורים שבוטלו (CRL) שאפליקציות לקוח יכולות לבדוק.

מנהל המשאבים:

  • הוספנו תגי פרויקט כתכונה בגרסת טרום-השקה (Preview). תגים מאפשרים לארגן פרויקטים על סמך מאפיינים עסקיים. מידע נוסף מופיע במאמר סקירה כללית על תגים.

שירות אבטחה:

  • תנועת לקוחות אל ארגונים שנוצרו לאחרונה ומארגונים שנוצרו לאחרונה, עוקפת עכשיו כברירת מחדל את הבדיקה של IDPS.

מערכת:

  • מגבלות מערכת שפורסמו ורלוונטיות לרכיבי GDC. מגבלות המערכת הן ערכים קבועים שאי אפשר לשנות. מידע נוסף זמין במאמר בנושא מגבלות המערכת.

מכונות וירטואליות:


אבטחה
עדכנו את גרסת תמונת Rocky OS ל-20250924 כדי להחיל את תיקוני האבטחה האחרונים ואת העדכונים החשובים.

תוקנו נקודות החולשה הבאות באבטחה:


בעיה
הבעיות הבאות זוהו:

מנהל המשאבים:

  • הארגון במצב לא ידוע בגלל חוסר בהפצות של מרשם הגיבוי.

Anthos Service Mesh

  • ההתקנה של רשת ASM נחסמת בגלל צומת לא תקין שמונע את ההתקנה של CNI.

גיבוי ושחזור

  • פעולות הגיבוי והשחזור נכשלות בגלל שרכיב המשנה back-lancer-agent-user-cp נמצא במצב ReconciliationError אחרי שדרוג.

  • שחזורים שכוללים נפחים עשויים להימשך זמן רב יותר בגלל קצב העברת נתונים איטי.

  • תהליך השחזור של משאב, כמו שיבוט של מסד נתונים או שחזור של עומס עבודה של משתמש, נתקע ובסופו של דבר מגיע לזמן קצוב לתפוגה בגלל בקשה ממתינה של נפח אחסון קבוע.

  • המשתמשים לא יכולים ליצור תוכניות לגיבוי מכונות וירטואליות או לבצע משימות גיבוי ושחזור מקצה לקצה באמצעות מסוף GDC.

  • פעולת השחזור נכשלת בגיבויים של אשכולות.

אחסון בלוקים

  • הפוד של המשתמש קופא במהלך בקשה לביטול הטמעה של נפח.

  • שגיאת Volume already exists במהלך CloneVolume לא מטופלת על ידי Trident API.

  • החיבור של אמצעי האחסון נכשל בגלל נוכחות של יחידות LUN לא פעילות.

  • שגיאה FailedMount מתרחשת במהלך שדרוגים בגלל חוסר אפשרות למצוא את מנהל ההתקן csi.trident.netapp.io.

  • אחרי אירועים כמו שדרוג אחסון או הפסקת פעולה של בקר אחסון, סשנים של אחסון קבצים או בלוקים לא משוחזרים אוטומטית.

  • השדרוג של אשכול ONTAP לא מסתיים כי ההחזרה לא הושלמה.

ניהול אשכולות

  • האשכול נתקע במצב של מחיקה.

  • אחרי המחיקה, אשכול Kubernetes לא מוסר.

שירות מסד נתונים

  • הפקודה gdcloud stop database נמשכת זמן רב מדי.

  • אם אשכול מסד נתונים של PostgreSQL או AlloyDB Omni מופסק בזמן שהזמינות הגבוהה (HA) מופעלת, יכול להיות שהוא לא יופעל מחדש בהצלחה.

חומת אש

  • יכול להיות שכללים קודמים של חומת אש יחסמו תעבורת נתונים מהארגון לאדמין הראשי אחרי השדרוג.

  • אחרי פריסת AttachmentGroup, אם השדה identifier באובייקט AttachmentGroup זה זהה ל-orgName, חומת האש לא מצליחה לנתח את האובייקט הזה והעדכון של הגדרות חומת האש נתקע.

  • חומת האש של IDPS יוצרת הגדרה לא תקינה בגלל מרוץ תהליכים כשיוצרים כמה ארגונים בו-זמנית.

Harbor:

  • החלפת הסיסמה של מסד הנתונים נתקעה.

  • דיסק מלא של מסד הנתונים של Harbor מוביל לחוסר זמינות של השירות.

מודול אבטחה בחומרה:

  • רישיונות ניסיון שהושבתו עדיין ניתנים לזיהוי ב-CipherTrust Manager, מה שגורם להפעלת אזהרות שגויות על תפוגה.

  • דליפת מתאר קובץ גורמת לשגיאה ServicesNotStarted.

ניהול זהויות והרשאות גישה

  • יכול להיות שמשאב CustomRole שכולל קטע zonalRules לא ייתן הרשאות באופן מהימן.

  • בעיה ב-OPA Gatekeeper שקשורה למהימנות אחרי רוטציה של רשות אישורים (CA) בסיסית מונעת יצירה של תפקיד IAM בפרויקטים חדשים.

תשתית כקוד

  • ניסיונות להיכנס ל-GitLab באמצעות Firefox נכשלים ומוצגת שגיאה 422.

מלאי

  • system assets create לא מקבל יציאות נכונות למכשירי חומת אש.

מערכת לניהול מפתחות:

  • יכול להיות שיהיו בעיות בביצועים של שרתי KMS ושהם יחוו OOMKilling בעומסי עבודה כבדים.

  • מערכת KMS שמגדירים בה שימוש במפתח Root של CTM לא עוברת לגיבוי אם HSM לא זמין.

מעקב

  • אם נוצרים KubeStateMetric משאבים מותאמים אישית חדשים, יכול להיות שהמדדים שלהם לא יוצגו.

  • כשלים בדחיסה של Cortex יכולים להיגרם מבלוקים פגומים, מה שמוביל לבעיות שונות, כולל שגיאות בשאילתות של מדדים ב-Grafana, פערים בכללי תיעוד ויומני שגיאות שמופיעים בתרמילי Cortex.

  • תאי Pod תקועים במצב Pending (בהמתנה) בגלל סתירה בין צומת נפח לבין צומת זיקה.

  • הודעת השגיאה 'יותר מדי בקשות בהמתנה' מוצגת כשצופים בדאשבורדים ב-Grafana.

  • סדרות זמן של מדדים שחורגות מסף העוצמה מושמטות, ולכן הנתונים של חלק מהמדדים לא מלאים.

Networking

  • הפעלת הצפנה של כתובות IP (IPsec) בזמן הריצה של צומת לצומת בארגון קיים עלולה לגרום להפסקות של חבילות ברשת ולפסק זמן בחיבור.

  • מחיקה של משאב ForwardingRule נתקעת במצב Deleting כשהמשאב נמצא במצב NotReady.

Object Storage

  • הנתונים לא זמינים באזורים שונים בקטגוריות עם שני אזורים.

  • ObjectStorageSite לא מוכן אחרי שדרוג לגרסה 1.15.x.

  • יצירת קטגוריית Object Storage נכשלה בארגון חדש אם הגרסה של StorageGrid היא 11.9 או גרסה מתקדמת יותר.

  • אישורים של שרתים בנקודת הקצה של מאזן העומסים ב-StorageGRID לא מתחלפים באופן אוטומטי.

  • ה-CLI של gdcloud לא מצליח ליצור או למחוק מאגרי מידע דו-אזוריים למשתמשים ברמת הפרויקט.

  • ההתראה OBJ-A0003 (כשל ברישום ביומן ביקורת) מופעלת לעיתים קרובות ונפתרת מעצמה תוך שעה מההפעלה. כדי להפחית את הרעש שנגרם מההתראה הזו, משתיקים אותה.

  • החבילה מכילה גרסת התקנה שגויה של StorageGRID, ‏ 11.8.0 במקום 11.9.0. אחרי הפעלה ראשונית של StorageGRID עם גרסה 11.8.0, צריך לשדרג ידנית לגרסה 11.9.0.6.

מערכת הפעלה:

  • יכול להיות שייקח זמן רב ליישם את משאבי מדיניות מערכת ההפעלה אם יש מספר גדול של שרתים שהוקצו.

  • במהלך פעולה של gdcloud storage cp או gdcloud system container-registry load-oci מתחנת עבודה של OIC, יש סיכוי קל שהגישה אל org-infra תאבד ואחריה kube-api של org-mgmt יושבת.

  • התראה מסוג PLATAUTH עשויה להיות מופעלת בגלל כשל ברוטציה של סוד שניתן לסיבוב במערכת ההפעלה.

אימות פלטפורמה:

  • יכולות להתרחש שגיאות כשמשתמשים בתעודת wildcard עבור ה-PKI של האינטרנט בתשתית, בזמן שמצב BYO Cert מופעל.

  • יצירת בקשות מוגזמות לאישורים עלולה להשפיע על יציבות שרת ה-API.

מנהל המשאבים:

  • הבדיקה אחרי ההמראה נכשלת.
  • הארגון במצב לא ידוע בגלל חוסר בהפצות של רשומות גיבוי.

מערכת כרטיסים:

  • שגיאת RBAC מרשתות של לקוחות עלולה למנוע גישה ל-ServiceNow.

  • מערכת ServiceNow לא יכולה להתחבר לספק הזהויות של הלקוח ב-OIDC.

  • אירועים שנפתרו בעבר נפתחים מחדש ב-ServiceNow.

  • הפוד ts-app-server-1 מופעל מחדש באופן תקופתי.

שדרוגים:

  • כשמשדרגים מגרסה 1.14.7 או מגרסה קודמת לגרסה 1.15.x, מומלץ לבצע את השלבים הבאים כדי לקבל את התוצאות הטובות ביותר:

    • שדרוג לגרסה 1.14.7.
    • מחילים את התיקון המהיר2.
    • להמשיך בשדרוג לגרסה 1.15.1.
  • השדרוג של האשכול נחסם כי צומת לא הצליח להיכנס למצב תחזוקה.

  • רכיב המשנה siem-cluster לא מגיב.

Vertex AI:

  • יכול להיות שהשבתה של Translation API תיכשל עם השגיאה הבאה: Failed to disable translation API: VAI3002: Failed to patch subresource: failed to patch ODSPostgresDBCluster resource.

  • לא ניתן ליצור חיבור לשרת Jupyter.

  • מחיקת נקודת קצה של CR נכשלת בהסרת נקודת הקצה 'חיזוי אונליין'.

מכונות וירטואליות:

  • הקצאת דיסק למכונה וירטואלית נתקעת כי בקר ה-VMM לא מצליח למצוא את הסודות הקיימים. ‫VirtualMachineDisk נשארת במצב pending.


  • תוקן
    הבעיות הבאות תוקנו:

    Anthos Service Mesh:

    • יכול להיות שיוצגו התראות מטעות עם חומרת שגיאה קריטית, ברשתות גדולות, כי controlplane_latency_slo לא לוקח בחשבון את גודל הרשת.

    גיבוי ושחזור:

    • ה-pod של מישור הבקרה של הגיבוי קורס בגלל חוסר בזיכרון.

    אחסון:

    • השם של קבוצת ה-HA ארוך מדי.

    • תוקנה בעיה שבה הדגלים --location ו---location-type של פקודות gdcloud storage הוחלו באופן שגוי על מאגרי מידע אזוריים. עכשיו הדגלים האלה מוגבלים למאגרי מידע דו-אזוריים.

    מערכת לניהול מפתחות:

    • כשהשימוש בזיכרון kms-rootkey-controller חורג מהמגבלה 1100Mi, הבקר עובר למצב CrashLoopBackOff בגלל סטטוס OOMKilled.

    • יכול להיות שפודים של KMS בארגון הבסיס יקרסו בגלל שיומני הביקורת ממלאים את האחסון הזמני.


    שינוי
    השינויים הבאים זוהו:

    עדכוני גרסה:


    הוצא משימוש
    התכונות הבאות יוצאות משימוש:

    מכונות וירטואליות:

    • היכולת ליצור מופע של מכונה וירטואלית בלי לציין סוג מכונה הוצאה משימוש. כשיוצרים מופע, צריך לציין את סוג המכונה. מידע נוסף זמין במאמר יצירה והפעלה של מכונה וירטואלית.