Google Distributed Cloud 實體隔離方案 1.15.1 版本資訊

2025 年 12 月 5 日

---

---

叢集管理：

• 新增標準叢集設定。標準叢集會限定在單一專案中，因此應用程式開發人員可直接控管專案內的運作方式。詳情請參閱「Kubernetes 叢集設定」。

gdcloud CLI：

• 新增支援從 macOS 和 Windows 作業系統執行 gdcloud CLI。詳情請參閱「可用的 gcloud CLI 套件」。

• 新增 Linux 適用的 gdcloud CLI 組合「精簡」版本，提供較小的二進位檔，內含部分 gdcloud CLI 指令。詳情請參閱「可用的 gcloud CLI 套件」。

網路

• 我們新增了 Cloud NAT 這項輸出 NAT 功能，提供更多選項，可設定工作負載連出機構外部的方式。詳情請參閱「Cloud NAT」。先前提供的 NAT 機制 (稱為專案預設輸出 NAT) 已淘汰，建議使用者migrate至 Cloud NAT。

  在 1.15.1 版中，Cloud NAT 角色 cloud-nat-manager 已淘汰，請改用 cloud-nat-developer。

• 新增子網路群組，簡化 IP 位址分配作業。有了這項新機制，您就能以群組形式管理相同實體或用途的子網路，簡化從大量代管子網路分配 IP 位址的作業。詳情請參閱子網路群組。

• 互連訂閱 SKU 為公開測試版。這項功能可讓機構在互連上預留實體容量，並將預留項目與帳單專案建立關聯。目前預訂僅以誠實為原則，系統不會嚴格執行。如要進一步瞭解互連網路，請參閱「透過互連網路建立連線」。

• 現在可以使用 HTTP/HTTPS 通訊協定進行健康狀態檢查。健康狀態檢查會判斷端點是否可接收新的要求或連線。健康狀態檢查工具會找出健康狀態不良的端點，負載平衡器不會將流量傳送至這類端點。詳情請參閱「設定健康狀態檢查」。

• 新增 IP 資源統計資料監控功能 (預先發布版功能)。基礎架構操作人員 (IO) 和平台管理員 (PA) 可以查看子網路的總計、已分配、可用和百分比指標，範圍從根層級到葉層級，以及子網路群組。如要瞭解如何存取資訊主頁，請參閱「查詢及查看指標」。

• 根據預設，新建立的機構現在會略過入侵偵測與防範系統 (IDPS) 服務，處理客戶流量。現有機構不會受到這項異動影響，仍可繼續根據現有設定使用 IDPS。

平台驗證：

• 憑證授權單位服務 (CAS) 支援預先定義的憑證範本，提供現成範本，可針對常見用途核發憑證。
• CAS 支援憑證撤銷，方法是發布憑證撤銷清單 (CRL)，供用戶端應用程式檢查。

Resource Manager：

• 新增專案標記 (預先發布版功能)。標籤可讓你根據業務屬性整理專案。詳情請參閱「標記總覽」。

安全服務：

• 新建立機構的客戶流量預設會略過 IDPS 檢查。

系統：

• 適用於 GDC 元件的已發布系統限制。系統限制是固定值，無法變更。詳情請參閱「系統限制」。

虛擬機器：

• 新增 VM 執行個體的 NVIDIA GPU 支援，可讓您執行各種 GPU 加速工作負載，例如人工智慧 (AI)。詳情請參閱「建立及啟動搭載 NVIDIA GPU 的 VM 執行個體」。
• 新增支援 a3-ultragpu 虛擬機器系列的 H200 GPU。
• 新增 為 VM 設定 Tier 1 網路。如果工作負載需要大量節點間通訊，例如高效能運算 (HPC)、機器學習 (ML) 和深度學習 (DL)，就適合使用第 1 層網路設定的 VM。
• 新增建立高效能 VM 的功能。
• 新增VM 可用性檢查，可深入瞭解 VM 狀態。

• 新增管理套件存放區的功能。

---

修正下列安全漏洞：

• CVE-2021-47013
• CVE-2021-47670
• CVE-2022-1048
• CVE-2022-1679
• CVE-2022-2938
• CVE-2022-3239
• CVE-2022-3545
• CVE-2022-3625
• CVE-2022-4139
• CVE-2022-4378
• CVE-2022-20141
• CVE-2022-20368
• CVE-2022-28390
• CVE-2022-29581
• CVE-2022-39189
• CVE-2022-41674
• CVE-2022-41858
• CVE-2022-45886
• CVE-2022-45919
• CVE-2022-48637
• CVE-2022-48839
• CVE-2022-48919
• CVE-2022-49011
• CVE-2022-49058
• CVE-2022-49111
• CVE-2022-49136
• CVE-2022-49291
• CVE-2022-49788
• CVE-2022-49977
• CVE-2022-49985
• CVE-2022-50020
• CVE-2022-50022
• CVE-2023-0266
• CVE-2023-0386
• CVE-2023-1281
• CVE-2023-1829
• CVE-2023-1838
• CVE-2023-2124
• CVE-2023-2163
• CVE-2023-2235
• CVE-2023-2513
• CVE-2023-3090
• CVE-2023-3390
• CVE-2023-3567
• CVE-2023-3609
• CVE-2023-3611
• CVE-2023-3776
• CVE-2023-3812
• CVE-2023-4004
• CVE-2023-4128
• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-5178
• CVE-2023-6040
• CVE-2023-6546
• CVE-2023-6817
• CVE-2023-6931
• CVE-2023-6932
• CVE-2023-28466
• CVE-2023-31436
• CVE-2023-32233
• CVE-2023-35001
• CVE-2023-35788
• CVE-2023-40283
• CVE-2023-42753
• CVE-2023-44466
• CVE-2023-45871
• CVE-2023-51042
• CVE-2023-51779
• CVE-2023-52439
• CVE-2024-1086
• CVE-2024-25742
• CVE-2024-26665
• CVE-2024-26669
• CVE-2024-36883
• CVE-2024-36960
• CVE-2024-38581
• CVE-2024-41013
• CVE-2024-42094
• CVE-2024-42284
• CVE-2024-43842
• CVE-2024-44970
• CVE-2024-46858
• CVE-2024-50301
• CVE-2025-22004
• CVE-2025-23150
• CVE-2025-37738
• CVE-2025-37890
• CVE-2025-38001
• CVE-2025-38079
• CVE-2025-38086
• CVE-2025-38352
• CVE-2025-38380

---

Anthos 服務網格

• 由於節點狀況不佳，導致 CNI 無法安裝，因此 ASM 網格安裝作業遭到封鎖。

備份與還原

• 升級後，back-lancer-agent-user-cp 子元件處於 ReconciliationError 狀態，導致備份和還原作業失敗。

• 由於資料傳輸速率緩慢，涉及磁碟區的還原作業可能需要較長時間才能完成。

• 由於永久磁碟區待辦事項，資料庫複製或使用者工作負載還原等資源的還原程序會停滯，最終逾時。

• 使用者無法透過 GDC 控制台建立 VM 備份方案，也無法執行端對端備份和還原工作。

• 叢集備份的還原作業失敗。

區塊儲存空間

• 使用者 Pod 在卸載磁碟區要求期間凍結。

• Trident API 不會處理 CloneVolume 期間的 Volume already exists 錯誤。

• 由於存在閒置 LUN，磁碟區無法附加。

• 升級時發生 FailedMount 錯誤，原因是系統找不到 csi.trident.netapp.io 驅動程式。

• 發生儲存空間升級或儲存空間控制器中斷等事件後，檔案/區塊儲存空間工作階段不會自動復原。

• 由於無法完成還原作業，ONTAP 叢集升級作業永遠不會完成。

叢集管理

• 叢集卡在刪除狀態。

資料庫服務

• gdcloud stop database 指令需要很長時間才能完成。

• 如果啟用高可用性 (HA) 時停止 PostgreSQL 或 AlloyDB Omni 資料庫叢集，可能無法順利重新啟動。

Deployment

GDC air-gapped 1.15.1 GA 版本檔案隨附的離線說明文件需要更新。如果您是按照離線說明文件部署版本，請務必為您的環境另外下載並更新最新的 1.15.1 說明文件，然後按照更新後的說明文件操作，確保部署作業順利完成。如果您已更新說明文件，則不必執行這個步驟。

防火牆

• 部署 AttachmentGroup 後，如果該 AttachmentGroup 物件中的 identifier 欄位與 orgName 相同，防火牆就無法剖析這個物件，且防火牆設定更新會停滯。

• 同時建立多個機構時，IDPS 防火牆會因競爭情況產生無效的設定。

Harbor：

• 資料庫密碼輪換作業停滯不前。

硬體安全性模組：

• CipherTrust Manager 仍可偵測到已停用的試用授權， 因此會觸發錯誤的到期警告。

• 檔案描述元洩漏會導致 ServicesNotStarted 錯誤。

基礎架構即程式碼

• 使用 Firefox 嘗試登入 GitLab 時，會失敗並顯示錯誤 422。

Monitoring

• 如果建立新的KubeStateMetric自訂資源，系統可能不會顯示相關指標。

• Cortex 壓縮失敗可能是因為區塊損毀，導致各種問題，包括 Grafana 指標查詢發生錯誤、記錄規則出現間隙，以及 Cortex Pod 中顯示錯誤記錄。

• 由於磁碟區節點親和性衝突，Pod 卡在「待處理」狀態。

• 在 Grafana 中查看資訊主頁時，系統會顯示「Too many outstanding requests」(待處理要求過多) 錯誤訊息。

作業系統：

• 如果佈建的伺服器數量龐大，OS 政策資源可能需要較長時間才能完成調解。

• 從 OIC 工作站進行 gdcloud storage cp 或 gdcloud system container-registry load-oci 作業時，org-infra 存取權可能會遺失，接著 org-mgmt 的 kube-api 會停止運作。

• 如果 OS 可輪替的密鑰輪替失敗，可能會觸發 PLATAUTH 警報。

儲存空間：

• OBJ-A0003 警報 (稽核記錄失敗) 會頻繁觸發，並在觸發後一小時內自行解決。如要減少這類警報造成的干擾，請將警報設為靜音。

票證系統：

• 客戶網路的 RBAC 錯誤可能會拒絕存取 ServiceNow。

升級：

從 1.14.7 或更早版本升級至 1.15.x 時，建議採取下列步驟，以獲得最佳結果：

• 升級至 1.14.7 版。
• 套用 hotfix2。
• 繼續升級至 1.15.1。

GDC air-gapped 1.15.1 GA 版本檔案隨附的離線文件需要更新。如果您是按照離線說明文件升級，請務必為您的環境另外下載並更新最新的 1.15.1 說明文件，然後按照更新後的說明文件操作，確保升級順利完成。如果您已更新說明文件，則不必執行這個步驟。

Vertex AI：

• 停用 Translation API 時可能會失敗，並顯示以下錯誤訊息：Failed to disable translation API: VAI3002: Failed to patch subresource: failed to patch ODSPostgresDBCluster resource。

• 無法與 Jupyter 伺服器建立連線。

---

Anthos 服務網格：

• 在大型網格中，controlplane_latency_slo 不會將網格大小納入考量，因此可能會觸發嚴重性和錯誤嚴重性誤導警報。

備份與還原：

• 備份控制層 Pod 因記憶體不足而當機。

儲存空間：

• 高可用性群組名稱過長。

---

版本更新：

• Google Distributed Cloud for Bare Metal 版本已更新至 1.30.1000-gke.85，以套用最新的安全性修補程式和重要更新。
  
  詳情請參閱 Google Distributed Cloud for Bare Metal 1.30.1000 版本資訊。