Google Distributed Cloud mit Air Gap 1.15.1 – Versionshinweise

5. Dezember 2025

---

---

Clusterverwaltung:

• Die neue Standardclusterkonfiguration wurde hinzugefügt. Standardcluster sind auf ein einzelnes Projekt beschränkt. Anwendungsentwickler, die auf ein Projekt beschränkt sind, haben so die direkte Kontrolle über die Funktionsweise. Weitere Informationen finden Sie unter Kubernetes-Clusterkonfigurationen.

gcloud-CLI:

• Die gdcloud CLI kann jetzt auch unter macOS- und Windows-Betriebssystemen ausgeführt werden. Weitere Informationen finden Sie unter Verfügbare gdcloud CLI-Bundles.

• Es wurde eine Lite-Version des gdcloud CLI-Bundles für Linux hinzugefügt, die eine kleinere Binärdatei mit einer Teilmenge von gdcloud CLI-Befehlen bietet. Weitere Informationen finden Sie unter Verfügbare gdcloud CLI-Bundles.

Netzwerk

• Es wurde eine neue NAT-Funktion für ausgehenden Traffic hinzugefügt: Cloud NAT. Sie bietet viel mehr Optionen zum Konfigurieren, wie Arbeitslasten außerhalb der Organisation erreicht werden. Weitere Informationen finden Sie unter Cloud NAT. Der zuvor verfügbare NAT-Mechanismus, der als Standard-NAT für ausgehenden Traffic für Projekte bezeichnet wird, wurde eingestellt. Nutzer werden aufgefordert, zu Cloud NAT zu migrate.

  In Version 1.15.1 wurde die Cloud NAT-Rolle cloud-nat-manager eingestellt. Verwenden Sie stattdessen cloud-nat-developer.

• Subnetzgruppen wurden hinzugefügt, um die Zuweisung von IP-Adressen zu vereinfachen. Mit diesem neuen Mechanismus können Sie Subnetze derselben Entität oder desselben Zwecks als Gruppe verwalten. So wird die Zuweisung von IP-Adressen aus großen Mengen verwalteter Subnetze vereinfacht. Weitere Informationen finden Sie unter Subnetzgruppen.

• Interconnect-Abo-SKUs sind als öffentliche Vorschau verfügbar. Mit dieser Funktion können Organisationen physische Kapazität für Interconnects reservieren und die Reservierung einem Abrechnungsprojekt zuordnen. Die Reservierung basiert derzeit nur auf Vertrauen und wird vom System nicht streng durchgesetzt. Weitere Informationen zu Interconnects finden Sie unter Verbindung über Interconnects herstellen.

• Systemdiagnosen mit HTTP/HTTPS-Protokollen sind jetzt verfügbar. Eine Systemdiagnose bestimmt, ob ein Endpunkt berechtigt ist, neue Anfragen oder Verbindungen zu empfangen. Ein fehlerhafter Endpunkt, der durch die Systemdiagnose erkannt wird, empfängt keinen Traffic über den Load-Balancer. Weitere Informationen finden Sie unter Systemdiagnosen konfigurieren.

• Unterstützung für die Überwachung von Statistiken zu IP-Ressourcen als Vorschaufunktion hinzugefügt. Infrastrukturbetreiber und Plattformadministratoren können sich Messwerte für Subnetze von der Stamm- bis zur Blattebene sowie für Subnetzgruppen ansehen, z. B. für insgesamt, zugewiesen, verfügbar und prozentual. Eine Anleitung zum Aufrufen von Dashboards finden Sie unter Messwerte abfragen und ansehen.

• Bei neu erstellten Organisationen wird der IDPS-Dienst (Intrusion Detection and Prevention System) für Kundentraffic jetzt standardmäßig umgangen. Bestehende Organisationen sind von dieser Änderung nicht betroffen und verwenden IDPS weiterhin basierend auf ihrer bestehenden Konfiguration.

Plattformauthentifizierung:

• Der Certificate Authority Service (CAS) unterstützt vordefinierte Zertifikatvorlagen, die vorgefertigte Vorlagen zum Ausstellen von Zertifikaten für gängige Anwendungsfälle bieten.
• CAS unterstützt die Zertifikatsperrung, indem Zertifikatssperrlisten (Certificate Revocation Lists, CRLs) veröffentlicht werden, die von Clientanwendungen geprüft werden können.

Resource Manager:

• Projekt-Tags wurden als Vorschaufunktion hinzugefügt. Mit Tags können Sie Projekte nach Geschäftsattributen organisieren. Weitere Informationen finden Sie unter Tags – Übersicht.

Sicherheitsdienst:

• Der Kunden-Traffic zu und von neu erstellten Organisationen umgeht jetzt standardmäßig die IDPS-Prüfung.

System:

• Veröffentlichte Systemlimits für GDC-Komponenten. Systemlimits sind feste Werte, die nicht geändert werden können. Weitere Informationen finden Sie unter Systemlimits.

Virtuelle Maschinen:

• Unterstützung von NVIDIA-GPUs für VM-Instanzen hinzugefügt, sodass Sie verschiedene GPU-beschleunigte Arbeitslasten ausführen können, z. B. für künstliche Intelligenz (KI). Weitere Informationen finden Sie unter VM-Instanz mit NVIDIA-GPUs erstellen und starten.
• Unterstützung für H200-GPUs mit der a3-ultragpu-VM-Familie hinzugefügt.
• Tier 1-Netzwerk für VMs konfigurieren wurde hinzugefügt. VMs mit Tier 1-Netzwerkkonfigurationen sind nützlich für große, verteilte Computing-Arbeitslasten mit einer massiven Kommunikation zwischen Knoten, wie Hochleistungs-Computing (HPC), maschinelles Lernen (ML) und Deep Learning (DL).
• Es wurde die Möglichkeit hinzugefügt, leistungsstarke VMs zu erstellen.
• Es wurden VM-Verfügbarkeitsprüfungen hinzugefügt, die Informationen zum VM-Status liefern.
• Es wurde die Möglichkeit hinzugefügt, Paket-Repositories zu verwalten.

---

Die folgenden Sicherheitslücken wurden behoben:

• CVE-2021-47013
• CVE-2021-47670
• CVE-2022-1048
• CVE-2022-1679
• CVE-2022-2938
• CVE-2022-3239
• CVE-2022-3545
• CVE-2022-3625
• CVE-2022-4139
• CVE-2022-4378
• CVE-2022-20141
• CVE-2022-20368
• CVE-2022-28390
• CVE-2022-29581
• CVE-2022-39189
• CVE-2022-41674
• CVE-2022-41858
• CVE-2022-45886
• CVE-2022-45919
• CVE-2022-48637
• CVE-2022-48839
• CVE-2022-48919
• CVE-2022-49011
• CVE-2022-49058
• CVE-2022-49111
• CVE-2022-49136
• CVE-2022-49291
• CVE-2022-49788
• CVE-2022-49977
• CVE-2022-49985
• CVE-2022-50020
• CVE-2022-50022
• CVE-2023-0266
• CVE-2023-0386
• CVE-2023-1281
• CVE-2023-1829
• CVE-2023-1838
• CVE-2023-2124
• CVE-2023-2163
• CVE-2023-2235
• CVE-2023-2513
• CVE-2023-3090
• CVE-2023-3390
• CVE-2023-3567
• CVE-2023-3609
• CVE-2023-3611
• CVE-2023-3776
• CVE-2023-3812
• CVE-2023-4004
• CVE-2023-4128
• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-5178
• CVE-2023-6040
• CVE-2023-6546
• CVE-2023-6817
• CVE-2023-6931
• CVE-2023-6932
• CVE-2023-28466
• CVE-2023-31436
• CVE-2023-32233
• CVE-2023-35001
• CVE-2023-35788
• CVE-2023-40283
• CVE-2023-42753
• CVE-2023-44466
• CVE-2023-45871
• CVE-2023-51042
• CVE-2023-51779
• CVE-2023-52439
• CVE-2024-1086
• CVE-2024-25742
• CVE-2024-26665
• CVE-2024-26669
• CVE-2024-36883
• CVE-2024-36960
• CVE-2024-38581
• CVE-2024-41013
• CVE-2024-42094
• CVE-2024-42284
• CVE-2024-43842
• CVE-2024-44970
• CVE-2024-46858
• CVE-2024-50301
• CVE-2025-22004
• CVE-2025-23150
• CVE-2025-37738
• CVE-2025-37890
• CVE-2025-38001
• CVE-2025-38079
• CVE-2025-38086
• CVE-2025-38352
• CVE-2025-38380

---

Anthos Service Mesh

• Die Installation des ASM-Mesh wird blockiert, da ein fehlerhafter Knoten die CNI-Installation verhindert.

Sichern und wiederherstellen

• Sicherungs- und Wiederherstellungsvorgänge schlagen fehl, weil sich die Unterkomponente back-lancer-agent-user-cp nach einem Upgrade im Status ReconciliationError befindet.

• Die Wiederherstellung von Volumes kann aufgrund langsamer Datenübertragungsraten länger dauern.

• Der Wiederherstellungsvorgang für eine Ressource, z. B. das Klonen einer Datenbank oder die Wiederherstellung einer Nutzerarbeitslast, bleibt aufgrund eines ausstehenden Anspruchs auf ein nichtflüchtiges Volume hängen und läuft schließlich ab.

• Nutzer können mit der GDC-Konsole keine VM-Sicherungspläne erstellen oder End-to-End-Sicherungs- und ‑Wiederherstellungsaufgaben ausführen.

• Der Wiederherstellungsvorgang für Clustersicherungen schlägt fehl.

Blockspeicher

• Der Nutzer-Pod friert während einer Anfrage zum Aushängen des Volumes ein.

• Ein Volume already exists-Fehler während „CloneVolume“ wird von der Trident API nicht behoben.

• Volumes können aufgrund inaktiver LUNs nicht angehängt werden.

• Bei Upgrades tritt ein FailedMount-Fehler auf, weil der csi.trident.netapp.io-Treiber nicht gefunden werden kann.

• Datei-/Blockspeichersitzungen werden nach Ereignissen wie einem Speicherupgrade oder einem Ausfall des Speichercontrollers nicht automatisch wiederhergestellt.

• Das ONTAP-Cluster-Upgrade wird nie abgeschlossen, da die Rückgabe nicht abgeschlossen wird.

Clusterverwaltung

• Der Cluster hängt im Status „Wird gelöscht“ fest.

Datenbankdienst

• Die Ausführung des Befehls gdcloud stop database kann lange dauern.

• Wenn ein PostgreSQL- oder AlloyDB Omni-Datenbankcluster beendet wird, während die Hochverfügbarkeit (High Availability, HA) aktiviert ist, kann es sein, dass er nicht erfolgreich neu gestartet wird.

Firewall

• Wenn nach der Bereitstellung eines AttachmentGroup das Feld identifier in diesem AttachmentGroup-Objekt mit orgName übereinstimmt, kann die Firewall dieses Objekt nicht parsen und das Update der Firewallkonfiguration bleibt hängen.

• Die IDPS-Firewall generiert aufgrund eines Race-Conditions eine ungültige Konfiguration, wenn mehrere Organisationen gleichzeitig erstellt werden.

Hafen:

• Die Rotation des Datenbankpassworts ist nicht möglich.

Hardware-Sicherheitsmodul:

• Deaktivierte Testlizenzen sind in CipherTrust Manager weiterhin erkennbar, was zu falschen Ablaufwarnungen führt.

• Ein Leck bei einem Dateideskriptor führt zu einem ServicesNotStarted-Fehler.

Infrastruktur als Code

• Anmeldeversuche bei GitLab mit Firefox schlagen mit dem Fehler 422 fehl.

Schlüsselverwaltungssystem:

• Für KMS, das für die Verwendung eines CTM-Stammschlüssels konfiguriert ist, wird kein Failover ausgeführt, wenn ein HSM nicht verfügbar ist.

Monitoring

• Wenn neue KubeStateMetric-benutzerdefinierte Ressourcen erstellt werden, werden ihre Messwerte möglicherweise nicht angezeigt.

• Cortex-Kompaktierungsfehler können durch beschädigte Blöcke verursacht werden, was zu verschiedenen Problemen führen kann, darunter Fehler in Grafana-Messwertabfragen, Lücken in Aufzeichnungsregeln und Fehlerlogs in Cortex-Pods.

• Pods bleiben aufgrund eines Konflikts mit der Knotenaffinität des Volumes im Status „Ausstehend“.

• Beim Aufrufen von Dashboards in Grafana wird die Fehlermeldung „Zu viele ausstehende Anfragen“ angezeigt.

• Messwertzeitreihen, die den Kardinalitätsschwellenwert überschreiten, werden verworfen. Dies führt zu unvollständigen Daten für einige Messwerte.

Objektspeicher

• Die ObjectStorageSite ist nach dem Upgrade auf Version 1.15.x nicht bereit.

• Das Erstellen eines Object Storage-Buckets in einer neuen Organisation ist fehlgeschlagen, wenn die StorageGrid-Version 11.9 oder höher ist.

• Serverzertifikate für StorageGRID-Load-Balancer-Endpunkte werden nicht automatisch rotiert.

• Mit der gcloud CLI können keine Dual-Zone-Buckets für Nutzer auf Projektebene erstellt oder gelöscht werden.

• Die Benachrichtigung OBJ-A0003 (Fehler bei der Audit-Protokollierung) wird häufig ausgelöst und das Problem wird innerhalb einer Stunde nach dem Auslösen automatisch behoben. Um die durch diese Benachrichtigung verursachten Störungen zu verringern, können Sie sie stummschalten.

• Das Bundle enthält eine falsche Installationsversion von StorageGRID, nämlich 11.8.0 anstelle von 11.9.0. Nach dem Bootstrapping von StorageGRID mit Version 11.8.0 müssen Sie manuell auf Version 11.9.0.6 aktualisieren.

Betriebssystem:

• Der Abgleich von Betriebssystemrichtlinienressourcen kann langsam sein, wenn eine große Anzahl von Servern bereitgestellt wird.

• Während eines gdcloud storage cp- oder gdcloud system container-registry load-oci-Vorgangs von einer OIC-Arbeitsstation besteht eine geringe Wahrscheinlichkeit, dass der Zugriff auf org-infra verloren geht, gefolgt von einem Ausfall von kube-api von org-mgmt.

• Eine PLATAUTH-Benachrichtigung kann aufgrund eines Fehlers bei der Rotation eines rotierbaren OS-Secrets ausgelöst werden.

Plattformauthentifizierung:

• Das Erstellen einer übermäßigen Anzahl von Zertifikatsanfragen kann sich auf die Stabilität des API-Servers auswirken.

Ticketsystem:

• Ein RBAC-Fehler in Kundennetzwerken kann den Zugriff auf ServiceNow verhindern.

Upgrades:

• Wenn Sie von Version 1.14.7 oder einer früheren Version auf Version 1.15.x aktualisieren, empfehlen wir für optimale Ergebnisse die folgenden Schritte:

  • Aktualisieren Sie auf Version 1.14.7.
  • Wenden Sie hotfix2 an.
  • Fahren Sie mit dem Upgrade auf Version 1.15.1 fort.

• Das Cluster-Upgrade wird blockiert, da ein Knoten nicht in den Wartungsmodus wechseln kann.

Vertex AI:

• Das Deaktivieren der Translation API schlägt möglicherweise mit dem folgenden Fehler fehl: Failed to disable translation API: VAI3002: Failed to patch subresource: failed to patch ODSPostgresDBCluster resource.

• Es konnte keine Verbindung zum Jupyter-Server hergestellt werden.

• Beim Löschen des Endpunkt-CR wird der Endpunkt „Online Prediction“ nicht entfernt.

Virtuelle Maschinen:

Die Bereitstellung des VM-Laufwerks bleibt hängen, weil der VMM-Controller die vorhandenen Secrets nicht finden kann. VirtualMachineDisk bleibt im Status pending.

---

Anthos Service Mesh:

• In großen Mesh-Netzwerken werden möglicherweise irreführende Benachrichtigungen mit dem Schweregrad „Kritisch“ und „Fehler“ ausgelöst, da controlplane_latency_slo die Mesh-Größe nicht berücksichtigt.

Sichern und wiederherstellen:

• Der Sicherungs-Pod der Steuerungsebene stürzt aufgrund von unzureichendem Arbeitsspeicher ab.

Speicher:

• Der Name der HA-Gruppe ist zu lang.

• Ein Problem wurde behoben, bei dem die Flags --location und --location-type für gdcloud storage-Befehle fälschlicherweise auf zonale Buckets angewendet wurden. Diese Flags sind jetzt korrekt auf Dual-Zone-Buckets beschränkt.

Schlüsselverwaltungssystem:

• KMS-Pods in der Stammorganisation stürzen möglicherweise ab, weil der temporäre Speicher durch Audit-Logs gefüllt wird.

---

Versionsupdates:

• Die Google Distributed Cloud for Bare Metal-Version wurde auf 1.30.1000-gke.85 aktualisiert, um die neuesten Sicherheitspatches und wichtigen Updates anzuwenden.
  
  Weitere Informationen finden Sie in den Versionshinweisen zu Google Distributed Cloud for Bare Metal 1.30.1000.