Notas de lançamento do Google Distributed Cloud air-gapped 1.14.3

28 de fevereiro de 2025

O Google Distributed Cloud (GDC) air-gapped 1.14.3 está disponível.
Consulte a descrição geral do produto para saber mais sobre as funcionalidades do Distributed Cloud.
Estão disponíveis as seguintes novas funcionalidades:

Cópia de segurança e restauro:

  • Foi adicionada a capacidade de criar cópias de segurança e restaurar VMs com âmbito para segmentar cargas de trabalho de VMs específicas. Crie estas cópias de segurança de VMs manualmente ou crie planos de cópias de segurança que realizam automaticamente cópias de segurança num agendamento que definir. Para mais informações, consulte a Vista geral.
  • Foram adicionados restauros detalhados de VMs que lhe permitem restaurar recursos específicos de VMs e discos de VMs. Para mais informações, consulte Crie um restauro detalhado.
  • Foram adicionados restauros detalhados de clusters que lhe permitem restaurar um subconjunto de recursos a partir de uma cópia de segurança de um cluster. Esta funcionalidade oferece a flexibilidade de refinar o âmbito do restauro definido no plano de restauro. Para mais informações, consulte o artigo Crie um restauro detalhado.

Faturação:

  • Foi adicionada a capacidade de carregar custos de faturação mensal para a consola do Argentum.

DNS:

  • Agora, pode criar e gerir as suas próprias zonas DNS públicas e privadas de acordo com as necessidades das suas aplicações e serviços. Numa zona DNS, pode criar registos de DNS. Os diferentes tipos de registos DNS servem para diferentes fins, como direcionar tráfego, definir servidores de correio e validar a propriedade. Para mais informações, consulte o artigo Acerca das zonas e dos registos de DNS.

Firewall:

  • Foi adicionada a capacidade de configurar a autenticação NTP PANW em firewalls GDC usando chaves simétricas.

IAM:

  • As APIs IAM que controlam os fornecedores de identidade, as contas de serviço e as associações de funções são globais por predefinição, abrangendo todas as zonas num universo do GDC. Para mais informações, consulte o artigo Controlo de autorizações para um universo multizona.

Marketplace:

  • O Neo4j está disponível no mercado isolado do GDC. O Neo4j é uma base de dados de grafos NoSQL de código aberto incorporada que fornece um back-end transacional compatível com ACID para as suas aplicações.
  • O operador MariaDB está disponível no mercado isolado da GDC. O operador do MariaDB usa imagens do Docker suportadas para fornecer uma solução de gestão de frotas e HA/DR para o MariaDB Enterprise Server e o MaxScale.
  • O HashiCorp Vault (BYOL) está disponível no mercado isolado do Google Distributed Cloud. O HashiCorp Vault é um sistema de gestão de encriptação e segredos baseado em identidades.
  • O Apache Kafka na Confluent Platform (BYOL) está disponível no mercado isolado do GDC. A Confluent Platform é uma solução que permite o acesso, o armazenamento e a gestão em tempo real de streams de dados contínuas.
  • O software Redis para Kubernetes (BYOL) está disponível no mercado isolado do GDC. O Redis é a base de dados na memória mais rápida do mundo para criar e dimensionar aplicações rápidas.

MHS:

  • O Managed Harbor Service (MHS) inclui agora a cópia de segurança e o restauro do Harbor. Configure cópias de segurança e crie restauros para instâncias do Harbor. Para mais informações, consulte a secção Vista geral.
  • Foi adicionado o auxiliar de credenciais do MHS que lhe permite usar a sua identidade do GDC para iniciar sessão na CLI do Docker ou do Helm. Para mais informações, consulte o artigo Inicie sessão no Docker e no Helm.
  • Foi adicionada a capacidade de analisar todos os artefactos numa instância do Harbor. Para mais informações, consulte o artigo Procure vulnerabilidades.

Registo:

  • O pod Loki falha ou é OOMKilled durante a repetição de WAL.

Monitorização:

  • Foi adicionado suporte para consultas e monitorização entre zonas em painéis de controlo de visualização. Para mais informações, consulte os artigos Consultar e ver métricas e Consultar e ver registos.

  • Pode ignorar um alerta ruidoso do OCLCM.

  • O pipeline de métricas do sistema está inativo.

Redes:

  • Use balanceadores de carga internos e externos de várias zonas para distribuir o tráfego para cargas de trabalho de VMs e pods. Para mais informações, consulte a Vista geral.

  • Configure recursos de interligação para estabelecer uma conetividade fisicamente dedicada a redes privadas externas. Para mais informações, consulte a vista geral da interligação.

  • Configure um equilibrador de carga interno ou externo para cargas de trabalho de VMs e pods através da API KRM de rede ou da CLI gdcloud. Para mais informações, consulte o artigo Faça a gestão dos balanceadores de carga.

  • Use políticas de rede de projetos zonais e globais para estabelecer a conetividade entre projetos e organizações.

  • Crie políticas de rede ao nível da carga de trabalho para definir regras de acesso específicas para VMs e pods individuais num projeto.

Resource Manager:

  • Por predefinição, os projetos são recursos globais que abrangem todas as zonas num universo do GDC. Para mais informações, consulte o artigo Vista geral de várias zonas.

Máquinas virtuais:

Atualizou a versão da imagem do Rocky OS para 20250124 para aplicar os patches de segurança e as atualizações importantes mais recentes.

As seguintes vulnerabilidades de segurança foram corrigidas:

Foram identificados os seguintes problemas:

Cópia de segurança e restauro

  • A edição de um RestorePlan a partir da consola do GDC está inoperacional.

  • Os pods do agente e do plano de controlo podem ser reiniciados se ficarem sem memória, o que afeta a estabilidade do sistema.

  • As métricas e os alertas do objetivo de nível de serviço (SLO) do GDC para a cópia de segurança e o restauro não estão ativados por predefinição devido a definições de recursos personalizados em falta.

  • As políticas de retenção não são aplicadas a cópias de segurança importadas.

  • As cópias de segurança parciais de VMs falham.

  • Limpe os recursos de cópia de segurança órfãos após a eliminação do cluster de utilizadores ou serviços.

  • A eliminação de VirtualMachineRestore não é suportada através da CLI nem da IU.

  • O processo de restauro de um recurso, como um clone de base de dados ou um restauro da carga de trabalho do utilizador, fica bloqueado e, eventualmente, atinge o limite de tempo devido a uma reivindicação de volume persistente pendente.

Gestão de clusters

  • O subcomponente kub-gpu-controller não é reconciliado para a organização gdchservices.

  • A remoção de node pools obsoletos de clusters padrão falha. Os clusters padrão estão em pré-visualização privada e podem não estar disponíveis para todos os clientes.

DNS

  • É acionado um alerta de DNS falso que sugere GlobalCustomerRootDNSServerNotReachable.

Firewall

  • A organização não está acessível através do DNS da consola da IU global.

  • Após a implementação do recurso personalizado OCITTopology, a conetividade entre o OIR e o plano de gestão e o plano de dados do GDC fica interrompida.

  • Por predefinição, o tráfego entre zonas e entre organizações é bloqueado pelas firewalls do GDC.

  • Após a implementação de um AttachmentGroup, se o campo identifier nesse objeto AttachmentGroup for igual a orgName, a firewall não consegue analisar este objeto e a atualização da configuração da firewall fica bloqueada.

Inventário

  • A auditoria de inventário não é reconciliada.

Módulo de segurança de hardware:

  • As licenças de avaliação desativadas continuam detetáveis no CipherTrust Manager, o que aciona avisos de expiração falsos.

  • Ocorre um problema em que os HSMs falham com um erro ValidateNetworkConfig após o arranque. Este erro impede que os recursos personalizados do HSM entrem num estado Ready.

  • Uma fuga de descritores de ficheiros causa um erro ServicesNotStarted.

Saúde:

  • O sistema aciona potencialmente mais de 30 falsos alarmes sobre alertas de SLO em vários componentes devido a um problema com a etiquetagem da API SLO.

Gestão de identidade e de acesso:

  • As associações de funções falham se os nomes de associações de funções do IAM gerados excederem 63 carateres.

  • As contas de serviço do projeto (PSA) não podem atribuir associações de funções da IAM a si próprias nem a outras PSAs com a função organization-iam-admin.

  • Os novos projetos sofrem atrasos na criação de funções predefinidas.

  • Os operadores de aplicações não podem conceder a si próprios acesso a funções no infraestrutura de cluster.

  • Os tokens de contas de serviço existentes tornam-se inválidos.

Infraestrutura como código (IAC)

  • Um subcomponente não é reconciliado devido a um espaço de nomes em falta.
  • A recolha de métricas do IAC ConfigSync falha.
  • A sincronização de raiz da IAC falha.

Sistema de gestão de chaves:

  • O KMS configurado para usar uma chave raiz da CTM não faz failover quando um HSM está indisponível.

Balanceadores de carga:

  • A criação do equilibrador de carga global falha devido a endereços IP insuficientes nas sub-redes globais.
  • Os objetos do equilibrador de carga não estão a entrar num estado Ready.

  • A modificação dos balanceadores de carga depois de configurados ainda não é suportada.

  • O recurso BackendService global não rejeita nomes de zonas incorretos.

  • Pode ocorrer um erro de webhook para balanceadores de carga zonais e globais.

MHS:

  • Após uma operação de cópia de segurança e restauro do Managed Harbor Service (MHS), os segredos da CLI tornam-se inválidos para a instância do Harbor restaurada e têm de ser criados novamente.
  • Quando existem várias instâncias do Harbor em diferentes projetos de utilizadores, as operações de cópia de segurança e restauro competem pelos controlos de acesso baseados em funções e têm uma elevada taxa de falhas.
  • O tamanho da cópia de segurança não está implementado para a cópia de segurança e o restauro do Harbor. Na consola do GDC, o campo SizeBytes mostra um valor de 0 e a coluna Size mostra um valor de 0 MB.
  • Quando visualizam a página Harbor Container Registry na consola do GDC, os utilizadores sem a autorização de administrador da instância do Harbor necessária veem uma mensagem de erro ao obter recursos de cópia de segurança.
  • A rotação da palavra-passe da base de dados está bloqueada.

Monitorização:

  • O webhook do AlertManager não envia alertas nem notificações de incidentes para alguns clusters.
  • Ocasionalmente, os incidentes são duplicados na criação.
  • Dois alertas falsos de monitorização estão abertos no cluster de administrador raiz.
  • Pode ignorar um alerta de erro de conciliação.
  • O gestor do controlador de administrador principal mostra uma taxa de erros elevada.
  • Os painéis de controlo de monitorização de KUB não mostram dados.
  • As autorizações estão configuradas incorretamente para uma função de depurador de observabilidade.
  • Está em falta uma função do depurador do Grafana.
  • A eliminação do projeto está bloqueada devido a finalizadores pendentes do painel de controlo e da origem de dados.
  • As métricas do KSM não são visíveis para os PAs.

Várias zonas:

  • Quando uma zona está inacessível, a consola do GDC apresenta um erro de autenticação.

  • A listagem de zonas através da CLI gcloud não está disponível por predefinição.

  • Podem ocorrer erros de início de sessão intermitentes ao aceder ao URL da consola GDC global.

Redes:

  • A configuração do Border Gateway Protocol (BGP) com um número de sistema autónomo (ASN) de 4 bytes em comutadores de rede leva a falhas de configuração.

  • O nó não está acessível na rede de dados.

  • A rede regista uma diminuição de cerca de 50% no tráfego entre zonas entre os nós.

  • As implementações de pods StatefulSet podem causar problemas de conetividade.

  • O tráfego de anycast global é bloqueado por listas de controlo de acesso (ACLs) excessivamente restritivas.

  • A política de rede do projeto (PNP) allow-all-egress não permite tráfego para os pontos finais do sistema.

  • O painel de controlo de pnet-cross-zone-availability SLO não mostra nenhuma métrica no Grafana.

  • Os gateways de entrada do plano de dados e de gestão não são reconciliados.

  • A página da política de rede do projeto na consola do GDC não suporta o campo projectSelector na API ProjectNetworkPolicy.

  • As alterações à configuração do comutador de rede não estão a ser confirmadas.

Serviços Principais da infraestrutura da Operations Suite (OIC):

  • O jumphost tem um desempenho fraco.

Sistema operativo:

  • A atualização do nó do SO pode ficar bloqueada no passo NodeOSInPlaceUpgradePostProcessingCompleted.

  • A atualização do SO NodeUpgrade pode ficar bloqueada na criação do servidor de pacotes.

  • Durante uma operação de gdcloud storage cp ou gdcloud system container-registry load-oci a partir de uma estação de trabalho do OIC, existe uma pequena probabilidade de perder o acesso ao org-infra, seguido da indisponibilidade do kube-api do org-mgmt.

Resource Manager:

  • Não é possível eliminar projetos da consola do GDC.

  • Ao criar uma organização de clientes, a tarefa create-ansible-playbooks que cria os playbooks do Ansible necessários falha.

Armazenamento:

  • Os pods não são montados devido a um erro do Trident mkfs.ext4.

  • A atualização do nó está bloqueada.

  • O alerta file_block_zombie_luns_present é acionado constantemente.

System Artifact Registry:

  • Os trabalhos de replicação de artefactos do Harbor ficam bloqueados.

  • Um falso alarme pode ser acionado em resposta a erros transitórios ao reconciliar o recurso HarborRobotAccount.

  • Existe um alarme falso para o alerta SAR-R0003.

Sistema de emissão de bilhetes:

  • O servidor MID do ServiceNow não é iniciado corretamente.

Atualizar:

  • O relatório de apoio técnico falha.

  • O carregador permanece em mau estado e não é automaticamente esquecido após a atualização

Vertex AI:

  • Os modelos pré-treinados e os livros de exercícios do Vertex AI não estão ativados na versão 1.14.3, mas vão estar disponíveis na versão 1.14.4.
Os seguintes problemas foram corrigidos:

Harbor:

  • Foi corrigido o problema em que o nodepool ficava bloqueado num estado de Provisioning. Para mais informações, consulte Problemas conhecidos.
As seguintes alterações são identificadas:

Core:

  • Os requisitos para interagir com o cluster de administrador da organização e o cluster do sistema em vários fluxos de trabalho de serviço foram removidos. O servidor da API Management, que está disponível para gerir todas as cargas de trabalho e serviços que não são contentores, serve como substituição de todos os fluxos de trabalho de serviços afetados.

  • O servidor de API global é fornecido por predefinição para recursos geridos pelo cliente concebidos para implementação global num universo do GDC. Para mais informações, consulte o artigo Servidores de API globais e zonais.

Marketplace:

  • As autorizações da função Visualizador do Marketplace estão restritas à visualização apenas dos serviços disponíveis, sem acesso às instâncias instaladas nem às respetivas configurações. Para ver a configuração das instâncias em execução, os utilizadores precisam da função de editor do Marketplace (marketplace-editor).

  • Está disponível uma lista de imagens de serviços do Marketplace.

Resource Manager:

  • Foi removida a capacidade de anexar um cluster do Kubernetes ao criar um projeto na consola do GDC. Tem de anexar clusters do Kubernetes a um projeto na página Kubernetes Engine > Clusters. Para mais informações, consulte Crie um projeto.

Atualizações de versões:

Máquinas virtuais:

  • Atualizámos a documentação do teste de desempenho como serviço (PTaaS) para incluir novos nomes e descrições para os testes de referência disponíveis no PTaaS.