Google Distributed Cloud エアギャップ 1.14.3 リリースノート

2025 年 2 月 28 日

Google Distributed Cloud(GDC)エアギャップ 1.14.3 が利用可能になりました。
Distributed Cloud の機能については、プロダクトの概要をご覧ください。
次の新機能をご利用いただけるようになります。

バックアップと復元:

  • 特定の VM ワークロードを対象とするスコープ付き VM バックアップと復元を作成する機能を追加しました。これらの VM バックアップを手動で作成するか、定義したスケジュールでバックアップを自動的に実行するバックアップ プランを作成します。詳細については、概要をご覧ください。
  • 特定の VM と VM ディスク リソースを復元できる VM のきめ細かい復元を追加しました。詳細については、きめ細かい復元を作成するをご覧ください。
  • クラスタのきめ細かい復元が追加されました。これにより、クラスタ バックアップからリソースのサブセットを復元できます。この機能を使用すると、復元プランで定義された復元スコープを調整できます。詳細については、きめ細かい復元を作成するをご覧ください。

請求:

  • 月額請求額を Argentum コンソールにアップロードする機能を追加しました。

DNS:

  • アプリケーションとサービスのニーズに合わせて、独自の一般公開 DNS ゾーンと限定公開 DNS ゾーンを作成して管理できるようになりました。DNS ゾーン内で DNS レコードを作成できます。DNS レコードにはさまざまな種類があり、トラフィックの転送、メールサーバーの定義、所有権の確認など、それぞれ異なる目的で使用されます。詳細については、DNS ゾーンとレコードについてをご覧ください。

ファイアウォール:

  • 対称鍵を使用して GDC ファイアウォールで NTP PANW 認証を構成する機能を追加しました。

IAM:

  • ID プロバイダ、サービス アカウント、ロール バインディングを制御する IAM API は、デフォルトでグローバルであり、GDC ユニバースのすべてのゾーンに及びます。詳細については、マルチゾーン ユニバースの権限制御をご覧ください。

Marketplace:

  • Neo4j は GDC エアギャップ マーケットプレイスで入手できます。Neo4j は、アプリケーションに ACID 準拠のトランザクション バックエンドを提供するオープンソースの NoSQL 組み込みグラフ データベースです。
  • MariaDB Operator は、GDC エアギャップ マーケットプレイスで利用できます。MariaDB Operator は、サポートされている Docker イメージを使用して、MariaDB Enterprise Server と MaxScale のフリート管理と HA/DR ソリューションを提供します。
  • HashiCorp Vault(BYOL)は、Google Distributed Cloud エアギャップ Marketplace で利用できます。HashiCorp Vault は、ID ベースの Secret と暗号化の管理システムです。
  • Apache Kafka on Confluent Platform(BYOL)は、GDC のエアギャップ マーケットプレイスで利用できます。Confluent Platform は、継続的なデータ ストリームへのリアルタイム アクセス、保存、管理を可能にするソリューションです。
  • Redis Software for Kubernetes(BYOL)は、GDC のエアギャップ Marketplace で利用できます。Redis は、高速アプリケーションの構築とスケーリングのための世界最速のインメモリ データベースです。

MHS:

  • Managed Harbor Service(MHS)に Harbor のバックアップと復元が含まれるようになりました。Harbor インスタンスのバックアップを構成し、復元を作成します。詳細については、概要をご覧ください。
  • GDC ID を使用して Docker または Helm CLI にログインできる MHS 認証ヘルパーを追加しました。詳細については、Docker と Helm にログインするをご覧ください。
  • Harbor インスタンス内のすべてのアーティファクトをスキャンする機能を追加しました。詳細については、脆弱性のスキャンをご覧ください。

ロギング:

  • WAL 再生中に Loki Pod がクラッシュするか、OOMKilled が発生します。

モニタリング:

  • ビジュアリゼーション ダッシュボードでのクロスゾーンのクエリとモニタリングのサポートを追加しました。詳細については、指標のクエリと表示ログのクエリと表示をご覧ください。

  • OCLCM のノイズの多いアラートは無視してかまいません。

  • システム指標パイプラインがダウンしています。

ネットワーキング:

Resource Manager:

  • プロジェクトは、デフォルトで GDC ユニバース内のすべてのゾーンにまたがるグローバル リソースです。詳細については、マルチゾーンの概要をご覧ください。

仮想マシン:

最新のセキュリティ パッチと重要なアップデートを適用するため、Rocky OS イメージのバージョンを 20250124 に更新しました。

以下のセキュリティの脆弱性が修正されました。

次の問題が特定されています。

バックアップと復元

  • GDC コンソールから RestorePlan を編集すると、エラーが発生します。

  • メモリ不足になると、エージェントとコントロール プレーンの Pod が再起動し、システムの安定性に影響する可能性があります。

  • カスタム リソース定義がないため、バックアップと復元の GDC サービスレベル目標(SLO)の指標とアラートはデフォルトで有効になっていません。

  • 保持ポリシーは、インポートされたバックアップには適用されません。

  • 部分的な VM バックアップが失敗します。

  • ユーザー クラスタまたはサービス クラスタの削除後に、孤立したバックアップ リソースをクリーンアップします。

  • CLI または UI では VirtualMachineRestore の削除はサポートされていません。

  • データベースのクローンやユーザー ワークロードの復元などのリソースの復元プロセスが、保留中の永続ボリューム クレームのために停止し、最終的にタイムアウトします。

クラスタ管理

  • kub-gpu-controller サブコンポーネントは、gdchservices 組織に対して調整されません。

  • Standard クラスタから廃止されたノードプールを削除できません。Standard クラスタは非公開プレビュー版であり、一部のユーザーはご利用いただけない場合があります。

DNS

  • 誤った DNS アラートがトリガーされ、GlobalCustomerRootDNSServerNotReachable が示されます。

ファイアウォール

  • 組織にグローバル UI コンソール DNS を介してアクセスできません。

  • OCITTopology カスタム リソースをデプロイすると、OIR と GDC 管理プレーンおよびデータプレーン間の接続が切断されます。

  • ゾーン間および組織間のトラフィックは、デフォルトで GDC ファイアウォールによってブロックされます。

  • AttachmentGroup のデプロイ後、その AttachmentGroup オブジェクトの identifier フィールドが orgName と同じ場合、ファイアウォールはこのオブジェクトの解析に失敗し、ファイアウォール構成の更新が停止します。

在庫

  • インベントリ監査の調整に失敗します。

ハードウェア セキュリティ モジュール:

  • 無効になったトライアル ライセンスは CipherTrust Manager で検出可能であり、誤った有効期限切れの警告がトリガーされます。

  • 起動後に HSM が ValidateNetworkConfig エラーで失敗する問題が発生します。このエラーにより、HSM カスタム リソースが Ready 状態になるのを防ぎます。

  • ファイル記述子のリークにより、ServicesNotStarted エラーが発生します。

健康:

  • SLO API のラベル付けの問題により、システムが複数のコンポーネントで SLO アラートに関する 30 件以上の誤ったアラートをトリガーする可能性があります。

ID とアクセスの管理:

  • 生成された IAM ロール バインディング名が 63 文字を超えると、ロール バインディングは失敗します。

  • プロジェクト サービス アカウント(PSA)は、organization-iam-admin ロールを持つ自身または他の PSA に IAM ロール バインディングを割り当てることができません。

  • 新しいプロジェクトで、事前定義ロールの作成が遅延する。

  • アプリケーション オペレーターは、インフラストラクチャ クラスタ内のロールへのアクセス権を自分自身に付与できません。

  • 既存のサービス アカウント トークンが無効になります。

Infrastructure as Code(IAC)

  • Namespace がないため、サブコンポーネントの調整が失敗します。
  • IAC ConfigSync 指標の収集が失敗します。
  • IAC ルート同期が失敗します。

鍵管理システム:

  • CTM ルート鍵を使用するように構成された KMS は、HSM が使用できない場合、フェイルオーバーしません。

ロードバランサ:

  • グローバル サブネットの IP アドレスが不足しているため、グローバル ロードバランサの作成に失敗します。
  • ロードバランサ オブジェクトが Ready 状態になりません。

  • 構成済みのロードバランサの変更は、まだサポートされていません。

  • グローバル BackendService リソースが、正しくないゾーン名を拒否しません。

  • Webhook エラーは、ゾーン ロードバランサとグローバル ロードバランサの両方で発生する可能性があります。

MHS:

  • Managed Harbor Service(MHS)のバックアップと復元オペレーションの後、復元された Harbor インスタンスの CLI シークレットが無効になるため、再度作成する必要があります。
  • 複数の Harbor インスタンスが異なるユーザー プロジェクトに存在する場合、バックアップと復元のオペレーションでロールベースのアクセス制御が競合し、失敗率が高くなります。
  • Harbor のバックアップと復元では、バックアップ サイズは実装されていません。GDC コンソールで、SizeBytes フィールドには 0 の値が表示され、[サイズ] 列には 0 MB の値が表示されます。
  • GDC コンソールで Harbor Container Registry ページを表示すると、必要な Harbor インスタンス管理者権限のないユーザーがバックアップ リソースを取得するときにエラー メッセージが表示されます。
  • データベースのパスワードのローテーションが停止しています。

モニタリング:

  • 一部のクラスタで、AlertManager Webhook がアラートとインシデントの通知を送信できません。
  • インシデントが作成時に重複することがあります。
  • ルート管理クラスタで 2 つのモニタリングの誤検知アラートが開いています。
  • 調整エラーのアラートは無視してかまいません。
  • ルート管理コントローラ マネージャーでエラー率が高い。
  • KUB モニタリング ダッシュボードにデータが表示されません。
  • オブザーバビリティ デバッガ ロールの権限が正しく構成されていません。
  • Grafana デバッガ ロールがありません。
  • ダッシュボードとデータソースのファイナライザーが保留中のため、プロジェクトの削除が停止します。
  • KSM の指標は PA に表示されません。

マルチゾーン:

  • ゾーンにアクセスできない場合、GDC コンソールに認証エラーが表示されます。

  • デフォルトでは、gdcloud CLI を使用してゾーンを一覧表示することはできません。

  • グローバル GDC コンソール URL にアクセスすると、断続的にログイン エラーが発生することがあります。

ネットワーキング:

  • ネットワーク スイッチで 4 バイトの自律システム番号(ASN)を使用して Border Gateway Protocol(BGP)を構成すると、構成が失敗します。

  • ノードがデータ ネットワークに到達できません。

  • ネットワークで、ノード間のクロスゾーン トラフィックが約 50% 減少します。

  • StatefulSet Pod のロールアウトにより、接続の問題が発生する可能性があります。

  • グローバル エニーキャスト トラフィックが、制限の厳しいアクセス制御リスト(ACL)によってブロックされる。

  • allow-all-egress プロジェクト ネットワーク ポリシー(PNP)で、システム エンドポイントへのトラフィックが許可されていません。

  • pnet-cross-zone-availability SLO ダッシュボードに Grafana の指標が表示されない。

  • データプレーンと管理上り(内向き)ゲートウェイの調整に失敗します。

  • GDC コンソールのプロジェクト ネットワーク ポリシー ページでは、ProjectNetworkPolicy API の projectSelector フィールドはサポートされていません。

  • ネットワーク スイッチの構成変更がコミットされていません。

Operations Suite Infrastructure Core Services(OIC):

  • ジャンプホストのパフォーマンスが低下する。

オペレーティング システム:

  • OS NodeUpgrade が NodeOSInPlaceUpgradePostProcessingCompleted ステップで停止することがあります。

  • OS NodeUpgrade がパッケージ サーバーの作成で停止することがあります。

  • OIC ワークステーションからの gdcloud storage cp または gdcloud system container-registry load-oci オペレーション中に、org-infra へのアクセスが失われ、org-mgmtkube-api がダウンする可能性があります。

Resource Manager:

  • プロジェクトは GDC コンソールから削除できません。

  • 顧客組織の作成時に、必要な Ansible プレイブックを作成するジョブ create-ansible-playbooks が失敗します。

ストレージ:

  • Trident mkfs.ext4 エラーが原因で、Pod のマウントに失敗します。

  • ノードのアップグレードがブロックされます。

  • file_block_zombie_luns_present アラートが常に発生します。

システム Artifact Registry:

  • Harbor アーティファクト レプリケーション ジョブが停止します。

  • HarborRobotAccount リソースを調整するときに、一時的なエラーに応じて誤報がトリガーされることがあります。

  • SAR-R0003 アラートの誤報があります。

チケット発行システム:

  • ServiceNow MID サーバーが正しく起動しない。

アップグレード:

  • サポート レポートが失敗します。

  • アップグレード後に Ingester が異常状態のままで、自動的に忘れられない

Vertex AI:

  • Vertex AI の事前トレーニング済みモデルとワークブックはバージョン 1.14.3 では有効になっていませんが、1.14.4 で使用できるようになります。
以下の問題が修正されました。

Harbor:

  • ノードプールが Provisioning の状態のままになる問題を修正しました。詳細については、既知の問題をご覧ください。
次の変更が特定されます。

コア:

  • 複数のサービス ワークフローで組織管理クラスタとシステム クラスタを操作するための要件が削除されました。すべての非コンテナ ワークロードとサービスの管理に使用できる Management API サーバーは、影響を受けるすべてのサービス ワークフローの代替として機能します。

  • グローバル API サーバーは、GDC ユニバース全体にグローバルにデプロイするように設計されたお客様管理のリソースにデフォルトで提供されます。詳細については、グローバル API サーバーとゾーン API サーバーをご覧ください。

Marketplace:

  • Marketplace 閲覧者ロールの権限は、利用可能なサービスを表示することのみに制限されており、インストールされたインスタンスやその構成にはアクセスできません。実行中のインスタンスの構成を表示するには、Marketplace 編集者(marketplace-editor)ロールが必要です。

  • Marketplace サービス イメージのリストが利用可能です。

Resource Manager:

  • GDC コンソールでプロジェクトを作成するときに Kubernetes クラスタを接続する機能が削除されました。Kubernetes クラスタは、[Kubernetes Engine > クラスタ] ページからプロジェクトに接続する必要があります。詳細については、プロジェクトを作成するをご覧ください。

バージョンの更新:

仮想マシン:

  • Performance Test as a Service(PTaaS)のドキュメントを更新し、PTaaS で利用可能なベンチマークの新しい名前と説明を追加しました。