Notas da versão 1.15.1 do Google Distributed Cloud com isolamento físico

5 de dezembro de 2025

Anúncio
O Google Distributed Cloud (GDC) com isolamento físico 1.15.1 está disponível.
Consulte a visão geral do produto para saber mais sobre os recursos do Distributed Cloud.
Recurso
Os seguintes recursos estão disponíveis:

Gerenciamento de clusters:

  • Adicionamos a nova configuração de cluster padrão. Os clusters padrão são limitados a um único projeto, o que dá aos desenvolvedores de aplicativos que estão confinados em um projeto controle direto sobre como ele funciona. Para mais informações, consulte Configurações de cluster do Kubernetes.

CLI gdcloud:

  • Adicionamos suporte para executar a CLI gdcloud em sistemas operacionais macOS e Windows. Para mais informações, consulte Pacotes disponíveis da CLI gdcloud.

  • Adicionamos uma versão lite do pacote da CLI gdcloud para Linux, que fornece um binário menor com um subconjunto de comandos da CLI gdcloud. Para mais informações, consulte Pacotes disponíveis da CLI gdcloud.

Rede

  • Uma nova funcionalidade de NAT de saída, o Cloud NAT, foi adicionada, oferecendo muito mais opções para configurar como as cargas de trabalho alcançam fora da organização. Para mais informações, consulte Cloud NAT. O mecanismo de NAT disponível anteriormente, conhecido como NAT de saída padrão do projeto, foi descontinuado. Recomendamos que os usuários migrate para o Cloud NAT.

    Na versão 1.15.1, o papel do Cloud NAT cloud-nat-manager foi descontinuado. Use cloud-nat-developer.

  • Adicionamos grupos de sub-rede para simplificar a alocação de endereços IP. Esse novo mecanismo permite gerenciar sub-redes da mesma entidade ou com a mesma finalidade como um grupo, simplificando a alocação de endereços IP de grandes conjuntos de sub-redes gerenciadas. Para mais informações, consulte Grupos de sub-rede.

  • Os SKUs de assinatura da Interconexão estão disponíveis como um Acesso antecipado público. Com esse recurso, as organizações podem reservar capacidade física em interconexões e associar a reserva a um projeto de faturamento. No momento, a reserva é baseada apenas na confiança e não é estritamente aplicada pelo sistema. Para mais informações sobre interconexões, consulte Estabelecer conectividade com interconexões.

  • As verificações de integridade usando protocolos HTTP/HTTPS já estão disponíveis. Uma verificação de integridade determina se um endpoint está qualificado para receber novas solicitações ou conexões. Um endpoint não íntegro, conforme identificado pela verificação de integridade, não vai receber tráfego pelo balanceador de carga. Para mais informações, consulte Configurar verificações de integridade.

  • Adição de suporte para monitoramento de estatísticas de recursos de IP como um recurso de prévia. Os operadores de infraestrutura (IO) e os administradores de plataforma (PA) podem conferir métricas totais, alocadas, disponíveis e de porcentagem para sub-redes do nível raiz ao folha, bem como para grupos de sub-redes. Consulte Consultar e visualizar métricas para saber como acessar painéis.

  • As organizações recém-criadas agora ignoram o serviço de sistema de detecção e prevenção de intrusões (IDPS) para o tráfego de clientes por padrão. As organizações atuais não são afetadas por essa mudança e continuam usando o IDPS com base na configuração atual.

Autenticação da plataforma:

  • O Certificate Authority Service (CAS) oferece suporte a modelos de certificado predefinidos, com modelos prontos para emitir certificados para casos de uso comuns.
  • O CAS oferece suporte à revogação de certificados publicando listas de revogação de certificados (CRLs) que os aplicativos cliente podem verificar.

Resource Manager:

  • Adicionamos tags de projeto como um recurso de prévia. Com as tags, você organiza projetos com base em atributos comerciais. Para mais informações, consulte Visão geral das tags.

Serviço de segurança:

  • O tráfego de clientes para e de organizações recém-criadas agora ignora a inspeção do IDPS por padrão.

Sistema:

  • Limites de sistema publicados que se aplicam aos componentes do GDC. Os limites do sistema são valores fixos que não podem ser alterados. Para mais informações, consulte Limites do sistema.

Máquinas virtuais:

  • Adicionamos suporte a GPUs NVIDIA para instâncias de VM, o que permite executar várias cargas de trabalho aceleradas por GPU, por exemplo, inteligência artificial (IA). Para mais informações, consulte Criar e iniciar uma instância de VM com GPUs NVIDIA.
  • Adicionamos suporte a GPUs H200 com a família máquina virtual a3-ultragpu.
  • Adicionamos configurar rede Tier 1 para VMs. As VMs com configurações de rede de nível 1 são úteis para cargas de trabalho de computação grandes e distribuídas com comunicações pesadas entre nós, como computação de alto desempenho (HPC), machine learning (ML) e aprendizado profundo (DL).
  • Adicionada a capacidade de criar VMs de alto desempenho.
  • Adicionamos verificações de disponibilidade de VM que oferecem insights sobre o status da VM.
  • Adicionada a capacidade de gerenciar repositórios de pacotes.
Segurança
Atualizamos a versão da imagem do Rocky OS para 20250924 para aplicar os patches de segurança e atualizações importantes mais recentes.

As seguintes vulnerabilidades de segurança foram corrigidas:

Problema
Os seguintes problemas foram identificados:

Resource Manager:

  • Organização em estado desconhecido devido à falta de distribuições de registro de failover.

Anthos Service Mesh

  • A instalação da malha do ASM está bloqueada porque um nó não íntegro impede a instalação do CNI.

Backup e restauração

  • As operações de backup e restauração falham porque o subcomponente back-lancer-agent-user-cp está no status ReconciliationError após um upgrade.

  • As restaurações que envolvem volumes podem levar mais tempo para serem concluídas devido às taxas de transferência de dados lentas.

  • O processo de restauração de um recurso, como um clone de banco de dados ou uma restauração de carga de trabalho do usuário, fica travado e eventualmente atinge o tempo limite devido a uma reivindicação de volume permanente pendente.

  • Os usuários não podem criar planos de backup de VM nem realizar tarefas de backup e restauração de ponta a ponta com o console do GDC.

  • A operação de restauração falha para backups de cluster.

Armazenamento em blocos

  • O pod do usuário congela durante uma solicitação de desmontagem de volume.

  • Um erro Volume already exists durante o CloneVolume não é abordado pela API Trident.

  • Os volumes não são anexados devido à presença de LUNs inativos.

  • Um erro FailedMount ocorre durante os upgrades devido à incapacidade de encontrar o driver csi.trident.netapp.io.

  • As sessões de armazenamento de arquivos/blocos não são recuperadas automaticamente após eventos como um upgrade ou uma interrupção do controlador de armazenamento.

  • O upgrade do cluster ONTAP nunca é concluído porque o giveback não é concluído.

Gerenciamento de clusters

  • O cluster fica preso em um estado de exclusão.

  • O cluster do Kubernetes não é removido após a exclusão.

Serviço de banco de dados

  • O comando gdcloud stop database leva muito tempo para ser concluído.

  • Se um cluster de banco de dados do PostgreSQL ou do AlloyDB Omni for interrompido enquanto a alta disponibilidade (HA) estiver ativada, ele poderá não ser reiniciado.

Firewall

  • As regras de firewall legadas podem bloquear o tráfego da organização para o administrador raiz após o upgrade.

  • Depois que um AttachmentGroup é implantado, se o campo identifier nesse objeto AttachmentGroup for igual a orgName, o firewall não vai analisar esse objeto, e a atualização da configuração do firewall vai ficar travada.

  • O firewall IDPS gera uma configuração inválida devido a uma condição de disputa ao criar várias organizações ao mesmo tempo.

Harbor:

  • A rotação de senha do banco de dados está travada.

  • Um disco de banco de dados do Harbor cheio causa indisponibilidade do serviço.

Módulo de segurança de hardware:

  • As licenças de teste desativadas ainda são detectáveis no CipherTrust Manager, acionando avisos de expiração falsos.

  • Um vazamento de descritor do arquivo causa um erro ServicesNotStarted.

Gerenciamento de identidade e acesso

  • Um recurso CustomRole que inclui uma seção zonalRules pode não conceder permissões de maneira confiável.

  • Um problema de confiança do OPA Gatekeeper após uma rotação da CA raiz impede a criação de papéis do IAM em novos projetos.

Infraestrutura como código

  • As tentativas de fazer login no GitLab usando o Firefox falham com um erro 422.

Inventário

  • O system assets create não aceita portas corretas para dispositivos de firewall.

Sistema de gerenciamento de chaves:

  • Os servidores do KMS podem ter problemas de desempenho e OOMKilling em cargas de trabalho pesadas.

  • O KMS configurado para usar uma chave raiz do CTM não faz failover quando um HSM não está disponível.

Monitoring

  • Se novos recursos personalizados KubeStateMetric forem criados, as métricas deles poderão não aparecer.

  • As falhas de compactação do Cortex podem ser causadas por blocos corrompidos, levando a vários problemas, incluindo erros em consultas de métricas do Grafana, lacunas em regras de gravação e registros de erros aparecendo em pods do Cortex.

  • Pods travados no estado pendente devido a um conflito de afinidade de nó de volume.

  • A mensagem de erro "Há muitas solicitações pendentes" é mostrada ao visualizar painéis no Grafana.

  • As série temporal de métricas que excedem o limite de cardinalidade são descartadas, o que leva a dados incompletos para algumas métricas.

Rede

  • A exclusão do recurso ForwardingRule fica travada no estado Deleting quando o recurso está no estado NotReady.

Object Storage

  • Indisponibilidade de dados em zonas nos buckets birregionais.

  • O ObjectStorageSite não está pronto após o upgrade para a versão 1.15.x.

  • Falha ao criar o bucket do Object Storage na nova organização se a versão do StorageGrid for 11.9 ou mais recente.

  • Os certificados do servidor de endpoint do balanceador de carga do StorageGRID não são alternados automaticamente.

  • A CLI gdcloud não consegue criar ou excluir buckets de duas zonas para envolvidos no projeto.

  • O alerta OBJ-A0003 (falha no registro de auditoria) é acionado com frequência e se resolve sozinho em uma hora. Para reduzir o ruído causado por esse alerta, silencie-o.

  • O pacote contém uma versão de instalação incorreta do StorageGRID, 11.8.0 em vez de 11.9.0. Depois de fazer o bootstrap do StorageGRID com a versão 11.8.0, faça o upgrade manual para a versão 11.9.0.6.

SO:

  • Os recursos de política do SO podem demorar para serem reconciliados quando há um grande número de servidores provisionados.

  • Durante uma operação de gdcloud storage cp ou gdcloud system container-registry load-oci em uma estação de trabalho do OIC, há uma pequena chance de que o acesso ao org-infra seja perdido, seguido pela queda do kube-api do org-mgmt.

  • Um alerta PLATAUTH pode ser acionado devido a uma falha na rotação de um segredo rotativo do SO.

Autenticação da plataforma:

  • Erros podem ocorrer ao usar um certificado curinga para a PKI da Web de infraestrutura no modo BYO Cert.

  • Criar solicitações de certificado em excesso pode afetar a estabilidade do servidor de API.

Resource Manager:

  • A verificação pós-voo falha.
  • Organização em estado desconhecido devido à falta de distribuições de registro de failover.

Sistema de emissão de tíquetes:

  • Um erro de RBAC das redes dos clientes pode negar o acesso ao ServiceNow.

  • O ServiceNow não consegue acessar o IdP OIDC do cliente.

  • Os incidentes resolvidos anteriormente são reabertos no ServiceNow.

Upgrades:

  • Ao fazer upgrade da versão 1.14.7 ou de uma versão anterior para a 1.15.x, recomendamos as seguintes etapas para ter os melhores resultados:

    • Faça upgrade para a versão 1.14.7.
    • Aplique o hotfix2.
    • Continue com o upgrade para a versão 1.15.1.

  • O upgrade do cluster está bloqueado porque um nó não entrou no modo de manutenção.

  • O subcomponente siem-cluster não está respondendo.

Vertex AI:

  • A desativação da API Translation pode falhar com o seguinte erro: Failed to disable translation API: VAI3002: Failed to patch subresource: failed to patch ODSPostgresDBCluster resource.

  • Não foi possível estabelecer conexão com o servidor Jupyter.

  • A exclusão do CR do endpoint não remove o endpoint "Previsão on-line".

Máquinas virtuais:

  • O provisionamento de disco da VM fica travado porque o controlador do VMM não consegue encontrar os segredos existentes. O VirtualMachineDisk permanece no estado pending.

    • Corrigido
    Os seguintes problemas foram corrigidos:

    Anthos Service Mesh:

    • Alertas enganosos com gravidade crítica e de erro podem ser acionados em malhas grandes porque o controlplane_latency_slo não considera o tamanho da malha.

    Backup e restauração:

    • O pod do plano de controle de backup falha devido à falta de memória.

    Armazenamento:

    • O nome do grupo de alta disponibilidade é muito longo.

    • Foi corrigido um problema em que as flags --location e --location-type para comandos gdcloud storage eram aplicadas incorretamente a buckets zonais. Agora, elas estão restritas corretamente a buckets de duas zonas.

    Sistema de gerenciamento de chaves:

    • Quando o uso da memória kms-rootkey-controller excede o limite 1100Mi, o controlador entra em um estado CrashLoopBackOff devido a um status OOMKilled.

    • Os pods do KMS na organização raiz podem falhar porque os registros de auditoria preenchem o armazenamento efêmero.

    Alterar
    As seguintes mudanças são identificadas:

    Atualizações de versão:

    Descontinuado
    Os seguintes recursos foram descontinuados:

    Máquinas virtuais:

    • A capacidade de criar uma instância de VM sem especificar um tipo de máquina foi descontinuada. É necessário especificar um tipo de máquina ao criar uma instância. Para mais informações, consulte Criar e iniciar uma instância de VM.