16 de fevereiro de 2024 [GDC 1.12.0]
- O Google Distributed Cloud com isolamento físico 1.12.0 já está disponível.
Consulte a visão geral do produto para saber mais sobre os recursos do Google Distributed Cloud com isolamento físico. - O Google Distributed Cloud com isolamento físico 1.12.0 é compatível com dois sistemas operacionais:
- Ubuntu 20231205
- Rocky Linux 20231208
Atualizamos a versão da imagem do SO Canonical Ubuntu para 20231208 para aplicar os patches de segurança e atualizações importantes mais recentes. Para aproveitar as correções de bugs e vulnerabilidades de segurança, é necessário fazer upgrade de todos os nós a cada lançamento. As seguintes vulnerabilidades de segurança foram corrigidas:
As seguintes vulnerabilidades de segurança de imagens de contêiner foram corrigidas:
- CVE-2020-24736
- CVE-2020-29509
- CVE-2020-29511
- CVE-2020-29652
- CVE-2021-29923
- CVE-2021-31525
- CVE-2021-33195
- CVE-2021-33196
- CVE-2021-33197
- CVE-2021-33198
- CVE-2021-34558
- CVE-2021-36221
- CVE-2021-38297
- CVE-2021-38561
- CVE-2021-39293
- CVE-2021-41771
- CVE-2021-41772
- CVE-2021-43565
- CVE-2021-44716
- CVE-2022-1705
- CVE-2022-1962
- CVE-2022-2879
- CVE-2022-2880
- CVE-2022-3063
- CVE-2022-21235
- CVE-2022-21698
- CVE-2022-23471
- CVE-2022-23524
- CVE-2022-23525
- CVE-2022-23526
- CVE-2022-23648
- CVE-2022-23772
- CVE-2022-23773
- CVE-2022-23806
- CVE-2022-24675
- CVE-2022-24921
- CVE-2022-27191
- CVE-2022-27664
- CVE-2022-28131
- CVE-2022-28327
- CVE-2022-29526
- CVE-2022-30580
- CVE-2022-30630
- CVE-2022-30631
- CVE-2022-30632
- CVE-2022-30633
- CVE-2022-30635
- CVE-2022-31030
- CVE-2022-32148
- CVE-2022-32149
- CVE-2022-32189
- CVE-2022-41715
- CVE-2022-41717
- CVE-2022-41721
- CVE-2022-41723
- CVE-2022-41724
- CVE-2022-41725
- CVE-2022-41912
- CVE-2022-48174
- CVE-2023-1667
- CVE-2023-2253
- CVE-2023-2283
- CVE-2023-2603
- CVE-2023-2975
- CVE-2023-3446
- CVE-2023-3817
- CVE-2023-3978
- CVE-2023-22036
- CVE-2023-22041
- CVE-2023-22049
- CVE-2023-24532
- CVE-2023-24534
- CVE-2023-24536
- CVE-2023-24537
- CVE-2023-24538
- CVE-2023-24539
- CVE-2023-24540
- CVE-2023-25153
- CVE-2023-25165
- CVE-2023-25173
- CVE-2023-25193
- CVE-2023-26604
- CVE-2023-27533
- CVE-2023-27535
- CVE-2023-27536
- CVE-2023-27538
- CVE-2023-28321
- CVE-2023-28484
- CVE-2023-28840
- CVE-2023-28841
- CVE-2023-28842
- CVE-2023-29400
- CVE-2023-29402
- CVE-2023-29403
- CVE-2023-29404
- CVE-2023-29405
- CVE-2023-29406
- CVE-2023-29409
- CVE-2023-29469
- CVE-2023-29491
- CVE-2023-36054
- CVE-2023-39318
- CVE-2023-39319
- CVE-2023-39323
- CVE-2023-39325
- CVE-2023-39326
- CVE-2023-39417
- CVE-2023-39533
- CVE-2023-45142
- CVE-2023-45285
- CVE-2023-45287
- CVE-2023-48795
- CVE-2023-49568
- CVE-2023-49569
- CVE-2023-51385
Atualizamos a imagem de base gcr.io/distroless/base para o resumo sha256:eda29d6da91216123f1c1841b7c7a7abe1eece155cfe8d20d2a29e5daf9ad497 e aplicamos os patches de segurança e atualizações importantes mais recentes.
Gerenciador de complementos:
A versão do Google Distributed Cloud é atualizada para 1.28.0-gke.435 para aplicar os patches de segurança e atualizações importantes mais recentes.
Consulte as notas da versão 1.28.0-gke.435 do Google Distributed Cloud para mais detalhes.
Criar e empacotar:
A versão do Golang foi atualizada para 1.20.
O Google Distributed Cloud air-gapped 1.12.0 adiciona mais listas de materiais de software (SBOMs, na sigla em inglês) à saída e atualiza a lógica para garantir que essas SBOMs sejam publicadas no futuro.
O Google Distributed Cloud com isolamento físico 1.12.0 adiciona arquivos tar
gdch_notice_license_filespara fazer upload de manifestos.
Gerenciamento de inventário:
- O Google Distributed Cloud isolado por ar 1.12.0 adiciona validações para listas de conexão de hardware versão 3.0.
- O Google Distributed Cloud air-gapped 1.12.0 atualiza o padrão de porta de gerenciamento do servidor do console para permitir LAN1A e LAN2A.
- O Google Distributed Cloud air-gapped 1.12.0 adiciona uma mensagem para reduzir a confusão dos modos ativo e passivo do PA850.
- O Google Distributed Cloud com isolamento físico 1.12.0 oferece suporte a um cassete de interrupção na validação.
- O Google Distributed Cloud air-gapped 1.12.0 adiciona a validação do firewall permanente à conexão do firewall de gerenciamento.
- O Google Distributed Cloud air-gapped 1.12.0 adiciona um prompt de roteamento entre domínios sem classe (CIDR) de OI ao gerador de questionário de entrada do cliente.
- O Google Distributed Cloud air-gapped 1.12.0 melhora uma mensagem de erro em caso de falha na falta de endereço MAC para reduzir a instabilidade da verificação de simulação ao validar a conexão hsm e mgmtsw.
Organização de TI da central de operações:
A organização de TI do Operations Center tem as seguintes atualizações de nome:
A Central de operações (OC) foi renomeada como Instalação do pacote de operações (OIF).
O OC Core foi renomeado como Operations Suite Infrastructure Core Rack (OIR).
A TI da central de operações (OCIT) foi renomeada como infraestrutura do pacote de operações (OI).
O OCIT foi renomeado como OI.
Para mais informações, consulte Terminologia.
O Google Distributed Cloud air-gapped 1.12.0 atualiza o script de configuração do Userlock para permitir o uso de um servidor de failover.
O Google Distributed Cloud isolado por ar 1.12.0 pré-cria outros grupos de segurança da infraestrutura do pacote de operações (OI, na sigla em inglês) para permitir acesso refinado em todos os sistemas de OI.
Registro de artefatos do sistema:
- O Google Distributed Cloud com isolamento físico 1.12.0 remove a flag abreviada
-f(--force) dos recursos da CLI.
Atualização da versão:
A versão da imagem baseada no Debian é atualizada para bookworm-v1.0.0-gke.3.
Gerenciador de certificados:
- Introduzimos a configuração do tamanho da chave em um certificado web-tls para organizações.
Serviço de banco de dados:
- Suporte à recuperação pontual (PITR) para bancos de dados Oracle.
- Suporte para migração avançada do Postgres para migrar bancos de dados locais para bancos de dados gerenciados pelo serviço de banco de dados do GDC.
Geração de registros:
- Adicionamos a API gRPC de consulta de registros para consultar de forma programática registros operacionais e de auditoria dos endpoints da API.
- Incluímos a capacidade de exportar registros da PA para um sistema SIEM externo.
Marketplace:
- O MongoDB Enterprise Advanced (BYOL) já está disponível no Google Distributed Cloud air-gapped 1.12.0 Marketplace.
É uma coleção de produtos e serviços que impulsionam a segurança e a eficiência, além de colocar você no controle dos seus bancos de dados do MongoDB.
Armazenamento de objetos:
- Adicionada uma nova imagem necessária para hospedar arquivos de upgrade no software de armazenamento de objetos.
- Adicionamos um rótulo de versão de criptografia aos webhooks de bucket.
- Adição de um reconciliador para a rotação de credenciais de objeto.
Serviços principais de infraestrutura do pacote de operações (OIC)
- O Google Distributed Cloud com isolamento físico 1.12.0 coleta registros da OIC no Grafana.
- O Google Distributed Cloud air-gapped 1.12.0 move o script
Copy-BareMetalFiles.ps1da documentação de instalação para scripts emprivate-cloud/operations/dsc/.
- Um certificado TLS da Web para um cluster de administrador raiz é emitido pela infraestrutura de chave pública interna isolada do Google Distributed Cloud.
Conformidade com a segurança:
- O Google Distributed Cloud com isolamento físico 1.12.0 apresenta a segurança de porta necessária para passar por uma avaliação de segurança.
Sistema de emissão de tíquetes
- Atualizamos os jobs programados no ServiceNow para escalonar quando eles são executados e evitar picos no banco de dados.
- O operador de infraestrutura recebe um alerta quando um incidente de meta monitoramento no ServiceNow está desatualizado.
Fazer upgrade
- Adição do painel Status do upgrade para operadores de infraestrutura e administradores de plataforma.
- Adicionamos um comando para acionar o upgrade do cluster de usuário.
Vertex AI:
- Adicionamos a prévia das previsões on-line para atender a solicitações usando seus próprios modelos de previsão em um conjunto de contêineres compatíveis.
- Adicionamos a prévia da Tradução de documentos para traduzir documentos PDF formatados diretamente e preservar a formatação e o layout originais nas traduções.
- Incluímos suporte para fazer backup e restaurar dados de notebook no diretório inicial das instâncias do JupyterLab do Vertex AI Workbench.
Gerenciamento de máquinas virtuais
- Adicionamos o suporte ao SO Windows para máquinas virtuais, permitindo criar, importar e se conectar a uma VM do Windows.
Faturamento:
- Corrigimos o problema em que o job
onetimeusagesempre falhava ao atualizar os rótulos no objetoonetimeusage, causando alertas de falha.
- Corrigimos o problema que fazia com que o custo agregado de um recurso personalizado (CR) fosse duplicado quando o job era reiniciado após o custo do CR ser gravado no banco de dados, antes da atualização do rótulo para "processado".
Módulo de segurança de hardware:
- Correção do problema que fazia o módulo de segurança de hardware alternar com frequência entre os estados
ServicesNotStartedeready.
Identidade híbrida:
- Corrigimos o problema com a configuração de rede em pods de identidade.
Gerenciamento de inventário:
- Corrigimos o problema com o analisador de licenças que não analisava arquivos de armazenamento de objetos cujo texto JSON de licença se estendia por várias linhas.
- Correção do problema com a expressão regular de validação de CellCfg CableType do hardware 3.0.
- Correção do problema com a inclusão do nó de bootstrap na validação de hardware.
- Correção do problema em que o nó do cluster de administrador raiz tinha o
SecureBootEnabledesativado após a inicialização do servidor.
Serviços principais de infraestrutura do pacote de operações (OIC)
- Correção do problema em que o
Initialize-BareMetalHost.ps1não detectava que era necessário reiniciar. - Correção do problema com uma raiz de CA empresarial e não emissão de um arquivo de solicitação para envio a uma raiz de CA off-line.
- Corrigimos o problema em que o processo de criação da VM do OIC deixava a sincronização de horário do Hyper-V ativada.
Sistema de emissão de tíquetes
- Correção de um problema de auditoria do MariaDB.
Fazer upgrade
- Corrigimos o problema com os alertas do Identity and Access Management (IAM) adicionando verificações de upgrade pós-voo do IAM.
Gerenciamento de máquinas virtuais
-
Correção do problema em que o status da VM mostrava
PendingIPAllocationse ela não podia ser programada. Depois da correção, o status da VM vai mostrarErrorUnscheduable. - Foi corrigido o problema com o uso de um segredo de armazenamento de objetos incorreto em operações de importação de imagens de VM.
Backup e restauração:
- Os alertas de um repositório de backup podem ser acionados mesmo quando ele está íntegro.
Gerenciamento de clusters:
- O job
machine-initfalha durante o provisionamento do cluster.
Servidores físicos:
- O progresso da atualização do cluster de administrador raiz está travado no upgrade do nó, especificamente
NodeBIOSFirmwareUpgradeCompleted.
Serviço de banco de dados:
- As cargas de trabalho do serviço de banco de dados operam no cluster do sistema, o que pode resultar no compartilhamento da infraestrutura de computação com outras instâncias de banco de dados e vários sistemas de plano de controle.
Harbor como serviço (HAAS):
- Como é um recurso de prévia do Google Distributed Cloud com isolamento físico 1.12.0, não se espera que o HaaS opere em ambientes de produção.
O trabalho de pré-instalação falha por design para impedir que os subcomponentes sejam reconciliados corretamente, o que impede os usuários de usar o HaaS.
É esperado encontrar subcomponentes do HaaS no estado de reconciliação, o que não afeta a funcionalidade de outros componentes.
Firewall:
- Durante a implantação do cliente, o nome de usuário do administrador do arquivo
secret.yamlprecisa seradmin, mas contémTO-BE-FILLEDapós a primeira criação. O nome de usuárioadminprecisa ser usado para inicializar a primeira configuração no firewall.
Módulo de segurança de hardware:
- As licenças de teste desativadas ainda são detectáveis no CipherTrust Manager, acionando avisos de expiração falsos.
-
Ao excluir um
CTMKeydo KMS, o PA pode encontrar comportamentos inesperados, incluindo a não inicialização do serviço do KMS para a organização. - Um secret rotativo para módulos de segurança de hardware está em um estado desconhecido.
- As rotações da autoridade de certificação interna do HSM ficam travadas e não são concluídas.
Geração de registros:
- Depois de ativar a exportação de registros para um destino SIEM externo, os registros encaminhados não contêm registros do servidor da API Kubernetes.
Monitoramento:
- Os certificados do Node Exporter podem não ficar prontos ao criar uma organização.
- Algumas métricas dos clusters de usuários não são coletadas. Esse problema afeta os clusters de VM do usuário, mas não o cluster do sistema.
- A classe de armazenamento de métricas está definida incorretamente na configuração.
-
O ConfigMap
mon-prober-backend-prometheus-configé redefinido para não incluir jobs de sondagem, e o alertaMON-A0001é acionado.
Plataforma do nó:
- O upgrade do nó falha devido a um arquivo
lvm.confdesatualizado.
Servidores físicos:
- O progresso da atualização do cluster de administrador raiz está travado no upgrade do nó, especificamente
NodeBIOSFirmwareUpgradeCompleted.
- Ao instalar um servidor manualmente, a instalação pode ficar travada.
Fazer upgrade:
- Falha no upgrade do nó para
NodeOSInPlaceUpgradeCompleted. - A troca de upgrade não executa o comando
install add bootflash://.. - Vários pods em um cluster do sistema podem ficar presos no estado
TaintToleration.
Rede superior:
- Um cluster de VM de usuário fica preso no estado
ContainerCreatingcom o avisoFailedCreatePodSandBox.
Vertex AI:
-
O
MonitoringTargetmostra um statusNot Readyquando os clusters de usuários estão sendo criados, fazendo com que as APIs pré-treinadas mostrem continuamente um estadoEnablingna interface do usuário.
Backup e restauração de VM:
- O controle de acesso baseado em função (RBAC) e as configurações de esquema no gerenciador de VMs estão impedindo que os usuários iniciem processos de backup e restauração de VMs.
- A importação da imagem da VM falha na etapa de tradução devido ao tamanho insuficiente do disco e ao tempo limite na resposta do proxy de armazenamento de objetos.
SIEM:
- Os jobs de pré-instalação do OCLCM falham repetidamente na verificação do recurso.
Performance:
O Google Distributed Cloud com isolamento físico 1.12.0 descontinua a capacidade de executar comparativos de mercado
provision key.