Google Cloud Updates 2021/12/01-12/15

Transcript

1. Google Cloud アップデート 2021 12/01 - 12/15 グーグル・クラウド・ジャパン合同会社 2021 年

   12 月 28 日

2. Proprietary + Confidential はじめに 本資料は以下 URL から公開情報をもとにアップデートを一部紹介しています https://cloud.google.com/release-notes

3. Google Cloud アップデートサマリー 2021-12-01 ~ 2021-12-15 3

4. [12/9] レンダリング、同期、ソース、準備などの、さまざまな段階からエラーが発生した場合にキャプチャする ための、新しいメトリック pipeline_error_observed を追加しました [12/9] nomos migrate を使用してクラスタで RootSync

   および RepoSync API を簡単に有効にします。これ らの API は追加機能を提供し、単一のリポジトリまたは複数のリポジトリへ同期する柔軟性を提供します [12/9] nomos status は、管理対象リソースが正常でない場合に、リソース条件からのメッセージを表示しま す Anthos Config Management

5. Anthos Config Management [12/9] Config Sync アドミッション Webhook はデフォルトで無効になっています。 Config

   Sync アドミッション Webhook を有効または無効にするように設定できます。アドミッション Webhook が有効になっている場 合、Config Sync ブロックはクラスタ内でドリフトします。詳細については、 構成ファイルのドリフト防止 を参 照してください • Google Cloud Console または gcloud を使用して Config Sync をインストールする場合は、 apply-spec.yaml 構成ファイルに次の設定を追加することで Webhook を有効にできます spec.configSync.preventDrift：true（ Cloud SDK 367.0.0以降が必要） • kubectl を使用して Config Sync を手動でインストールする場合は、 config-management-operator.yaml 構成ファイルに次の設定を追加することで Webhook を有効に できます spec.preventDrift：true [12/9] Policy Controller は、K8sPSPSELinux（ v1 ）ConstraintTemplate を非推奨にしました。 K8sPSPSELinuxV2 テンプレートは、Anthos Config Management 1.5.2 以降で使用できます。 K8sPSPSELinux（ v1 ）に対して作成された制約は、 K8sPSPSELinuxV2 テンプレートと互換性がありません。 K8sPSPSELinux（v1）テンプレートに基づく制約を使用しているお客様は、 K8sPSPSELinuxV2 に対してそれら の制約を再作成する必要があります

6. Anthos Config Management [12/9] git-sync コンテナのメモリ要求が 200 Mi に増加しました [12/9]

   ポリシー コントローラが更新され、 OPA ゲートキーパーの最新ビルド（ハッシュ： c36e3d8 ）が含まれ るようになりました [12/9] Kustomize 構成と Helm チャートをレンダリングするための Config Sync 機能が GA となりました。詳 細については、Kustomize 構成と Helm チャートでリポジトリを使用する を参照してください [12/9] ミューテーションをサポートするポリシー コントローラー機能が GA となりました。詳細については、 MutateResources を参照してください

7. Anthos clusters on AWS [12/2] クラスタは、デフォルトで Workload Identity を使用するようになりました [12/2]

   Cloud Logging と Cloud Monitoring による自動コンテナモニタリングとシステムロギングが利用でき ます [12/2] gcloud ツールを使用して、AWS でクラスタを作成、更新、削除できるようになりました。 マルチクラウ ド API の詳細をご覧ください [12/2] クラスタは、デフォルトで Dataplane V2 を使用するようになりました [12/2] 組み込みの Connect Gateway サポートされるようになりました [12/2] Google Cloud Identity を使用してクラスタ管理機能を認証できるようになりました

8. Anthos clusters on AWS (previous generation) [12/2] クラスタがプロキシ認証と OIDC 認証の両方を使用している場合は、バージョン

   1.21.4 または 1.21.5 にアップグレードしないでください。アップグレード中に問題が発生した場合は、サポートに連絡して支援を 求めてください

9. Anthos clusters on Azure [12/2] 組み込みの Connect Gateway サポートされるようになりました [12/2]

   Cloud Logging と Cloud Monitoring による自動コンテナモニタリングとシステムロギング [12/2] gcloud ツールを使用して Azure でクラスタを作成、更新、および削除できます。 Multi Cloud API の 詳細をご覧ください [12/2] Azure Key Vault ハードウェア セキュリティ モジュールを使用して、 独自のキーを持参 できます

10. Anthos on bare metal [12/10] 最新の既知の問題については、トラブルシューティングの セクションのベアメタルの既知の問題 に 関する Anthosを参照してください

    [12/10] ベアメタル 1.10.0 上の Anthos クラスタが ダウンロード できるようになりました。アップグレードする には ベアメタルでの Anthos のアップグレード を参照してください。ベアメタル 1.10.0 上のAnthos クラスタは Kubernetes 1 .21 で実行されます [12/10]このリリースでは、出力 NAT ゲートウェイで使用されるゲートウェイ機能と BGP Preview 機能を備え たバンドルロード バランシングが変更されました。 Network Gateway Group カスタムリソースは Anthos Network Gateway に置き換わるものであり、この機能は、アノテーションではなく、クラスタ構成ファイルの 新しい advanced networking フィールドで有効になります。これらの変更は、以前のバージョンの機能を使 用するクラスタをアップグレードする機能に影響します

11. Anthos Service Mesh [12/9] Anthos Service Mesh は、オンプレミス プラットフォーム（Anthos on

    VMware / on Baremetal の両 方）での 認証局サービス の統合をサポートするようになりました。デフォルト機能と CA サービスを使用した インストール と アップグレード を参照してください [12/9] Anthos Service Mesh は、ディストロレス ベースイメージ上に構築されたプロキシのデプロイをサ ポー トするようになりました。ディストロレス ベースイメージは、プロキシ イメージにプロキシの実行に必要な最小 限の数のパッケージが含まれていることを保証します。これにより、イメージの全体的な攻撃対象領域が減 少し、CVE スキャナーでよりクリーンな結果が得られるため、セキュリティ体制が改善されます。詳細につい ては、Distroless プロキシ イメージ を参照してください [12/9] Anthos Service Mesh は、Microsoft Azure Kubernetes Service（ AKS ）クラスタへの インストール と アップグレード をサポートするようになりました。 [12/9] アンマネージドな Anthos Service Mesh のインストールの場合、インストーラーはデフォルトのタグ（ istio-revision-tag-default および istio-default-validator Webhook ）を自動的に設定します。デフォルト の タグが存在する場合、 istio-injection = enabled 名前空間ラベルと sidecar.istio.io/inject ワークロード ラベ ルを使用して、そのリビジョンのサイドカー インジェクションを有効にすることができます

12. Anthos Service Mesh [12/9] 現時点では、マネージド Anthos ServiceMesh は Rapid リリース

    チャンネルに展開されていません リリースノート ページ を定期的にチェックすることでマネージド Anthos ServiceMesh の Rapid チャンネルへの ロールアウトのアナウンスを確認できます。詳細については マネージド Anthos Service Meshリリース チャン ネルを選択する を参照してください [12/9] 1.12.0-asm.3 が利用可能になりました Anthos Service Mesh 1.12 には、Anthos ServiceMesh で サポートされている機能 のリストに従って Istio1.12 の機能が含まれています [12/13] 1.11.5-asm.3 が利用可能になりました Anthos Service Mesh 1.11 には、Anthos ServiceMesh で サポートされている機能 のリストに従って Istio1.11 の機能が含まれています

13. BigQuery Data Transfer Service [12/1] BigQuery Data Transfer Service は、監査ログ、Cloud

    Logging 、Cloud Monitoring をサポートする ようになりました。これらの機能は Preview です

14. BigQuery ML [12/6] BigQuery ML での 異常検出 が GA となりました。

    ML.DETECT_ANOMALIES 関数を ARIMA_PLUS モデルで使用して、時系列データの異常を検出できます。この関数を K-means 、 オート エンコーダー 、ま たは PCA モデルで使用して、独立同分布（ IID）データの異常を検出することもできます [12/3] 主成分分析（PCA）モデル と オート エンコーダー モデル が GA となりました。これらのモデルは、次 元削減、特徴の埋め込み、教師なし異常検出などの一般的な機械学習タスクに使用できます 詳細については、エンドツーエンドのユーザー ジャーニー ページ の PCA とオート エンコーダのセクションを 参照してください

15. Cloud Bigtable [12/13] Cloud Bigtable インスタンスは、最大 8 つのリージョンにクラスタを持つことができるようになりました。 これにより、選択した Bigtable

    リージョン のゾーンと同じ数のクラスターを持つインスタンスを作成できます。 以前は、インスタンスは 4 つのクラスターに制限されていました [12/9] 複数のリージョンに複製される Cloud Bigtable インスタンスで顧客管理の暗号化キー（ CMEK ）を使用 できるようになりました。以前は CMEK は単一のリージョンにクラスタを持つインスタンスに制限されていまし た。この機能は GA です [12/9] Cloud Bigtable の 自動スケーリング が GA となりました。自動スケーリングは、使用状況が変更された ときに Cloud Bigtable がクラスタにノードを自動的に追加または削除できるようにすることで、オーバー プロビ ジョニングまたはアンダー プロビジョニングを防ぐのに役立ちます。さらに自動スケーリングがどのように機能 しているかを理解するのに役立つ 新しいメトリック が利用可能です

16. Cloud Asset Inventory [12/3] 次のリソース タイプは、エクスポート API （ExportAssets および BatchGetAssetsHistory）および

    Feed API を介して公開されています • データ損失 ◦ dlp.googleapis.com/DlpJob ◦ dlp.googleapis.com/DeidentifyTemplate ◦ dlp.googleapis.com/InspectTemplate ◦ dlp.googleapis.com/JobTrigger ◦ dlp.googleapis.com/StoredInfoType

17. Cloud Bigtable [12/3] オープンソースのベンチマーク ツールを使用して Cloud Bigtable のパフォーマンスを評価する新しい チュートリアルが利用可能です。詳細については、 PerfKit

    ベンチマークを使用した Bigtable のベンチマー ク – GitHubでのバッチテスト を参照してください

18. Cloud Composer [12/9] apache-airflow-providers-hashicorp パッケージが、Airflow 2.1.4 のイメージに追加されました [12/9] Cloud Composer

    1.17.7 および 2.0.0-preview.7 イメージ が利用可能です • composer-1.17.7-airflow-1.10.15（デフォルト） • composer-1.17.7-airflow-2.0.2 • composer-1.17.7-airflow-2.1.4 • composer-2.0.0-preview.7-airflow-2.0.2 • composer-2.0.0-preview.7-airflow-2.1.4 [12/9] Airflow 1.10.15 を使用する CloudComposer イメージで Python 3.6 から Python 3.8 への切り替えが 延期となります。この変更は 2022 年 2 月に行われる予定です。既存の環境では、アップグレード プロセス 中に Python 3.6 から 3.8 への移行が行われます。新しい環境では Python3.8 を使用します

19. Cloud Composer [12/1] （アップグレードせずに利用可能） Web サーバーのネットワーク アクセス制御設定を Cloud Composer 2

    環境で構成できるようになりました [12/1] （Cloud Composer 2）スケジューラーおよびワーカーへのファイルの同期のパフォーマンスが改善さ れました [12/1] Cloud Composer イメージの 新しいバージョン • composer-1.17.6-airflow-1.10.15（デフォルト） • composer-1.17.6-airflow-2.0.2 • composer-1.17.6-airflow-2.1.4 • composer-2.0.0-preview.6-airflow-2.0.2 • composer-2.0.0-preview.6-airflow-2.1.4 [12/1] （Cloud Composer 2）環境のバケットの /dags ディレクトリが Web サーバーに同期されなくなりまし た。この変更により Web サーバーの起動時間が改善されます

20. Cloud Functions [12/7] 最小インスタンスの使用設定が GA となりました

21. Cloud SQL for MySQL / PostgreSQL [12/9] Cloud SQLは、データディスクでのバックアップおよび復元操作の速度を制限するようになりました。 詳細については、

    バックアップ速度の制限 と 復元速度の制限 を参照してください

22. Cloud SQL for SQL Server [12/13] 新しい機能により、Cloud SQL for SQL

    Server を Managed Service for Microsoft Active Directory と統合するための柔軟性が向上します。 SQL Server インスタンスを 別のプロジェクトにある管理 対象 AD ドメインと統合 できます

23. Cloud Tasks [12/13] 世界中の複数の GCP リージョンで Cloud Tasks キューを作成できるようになりました。 HTTP

    ター ゲットを使用している場合は、 App Engine アプリケーションをデプロイする必要はありません

24. Cloud TPU [12/2] Cloud TPU チームは、Cloud TPU で TF-2.4.4、TF-2.5.2、および TF-2.6.2

    をリリースしました。詳細は 以下を参照してください • TF 2.4.4 • TF 2.5.2 • TF 2.6.2

25. Compute Engine [12/10] n2-node-128-864 単一テナント ノードタイプ が Preview 利用できるようになりました [12/13]

    Compute Engine の VM インスタンスの詳細ページのオブザーバビリティ タブからカスタム ダッシュ ボードの 1 つにすべてのグラフのコピーを保存できるようになりました。グラフのコピーを保存するには、グラ フをダッシュボードに追加をクリックします。次に、宛先として新規または既存のカスタムダッシュボードを選 択します [12/3] OS 構成管理を使用して、 Google Cloud コンソール、gcloud コマンドライン、OS Config API を使用 して仮想マシン（VM）インスタンスにソフトウェア構成をデプロイおよび自動化します。この機能は GA です OS 構成管理 GA を使用すると、クラウドコンソールから割り当てを編集し、 OS ポリシー割り当てレポートを 表示できるようになりました。詳細については、 OS 構成管理を参照してください

26. Config Connector [12/1] NetworkConnectivityHub リソースのサポートが追加されました [12/1] MonitoringService リソースのサポートが追加されました [12/1] SecretManagerSecretVersion

    リソースの resourceID フィールドのサポートが追加されました [12/1] MonitoringServiceLevelObjective リソースのサポートが追加されました [12/1] 地域の ComputeSSLCertificate リソースのサポートが追加されました [12/1] RecaptchaEnterpriseKey リソースのサポートが追加されました [12/1] OSConfigOSPolicyAssignment リソースのサポートが追加されました [12/1] Config Connector 1.68.0 が利用可能になりました

27. Eventarc [12/13] 専用のユーザー インターフェイス が Preview で利用できるようになりました

28. Google Kubernetes Engine [12/9] GKE バージョン 1.22.3-gke.1500 以降は、すべてのユーザー定義ユーザーおよびグループの ユー ザー偽装

    をサポートします。システム ユーザーおよび kube-apiserver ユーザーや system:masters グ ループなどのグループを偽装することはできません [12/6] 次の GKE バージョンは、Calico ネットワーク ポリシーが有効になっている GKE クラスタで、ポッドの グレースフル ターミネーションに関連する Calico 問題 # 4710 および Calico 問題 # 4518 を修正します • 1.19.16-gke.100 以降 • 1.20.11-gke.1300 以降 • 1.21.4-gke.1500 以降 解決された問題の詳細については、 既知の問題のページ を参照してください [12/6] PodSecurityPolicy（ベータ版）は Kubernetes 1.21 で非推奨 になり、1.25 でシャットダウンする予定で す。代替手段については、 PodSecurityPolicy の非推奨 を参照してください

29. Google Kubernetes Engine [12/6] ( 2021-R34 ) バージョンアップデート 次のコントロール プレーン

    バージョンは使用できなくなりました • 1.19.13-gke.1900、1.19.14-gke.301、1.19.14-gke.1900、1.19.14-gke.2300、1.19.15-gke.500 • 1.21.3-gke.2003、1.21.4-gke.2300、1.21.4-gke.2302、1.21.5-gke.1300 自動アップグレードが有効になっている次のコントロール プレーンおよびノードは、このリリースでアップグレードさ れます : • バージョン 1.18 から 1.19.15-gke.1300 • バージョン 1.19 から 1.19.15-gke.1300 • バージョン 1.20 から 1.19.15-gke.1300 • バージョン 1.21 から 1.21.5-gke.1302 [12/3] 2021 年 10 月 29 日の 2021-R32 リリースノートは、2021 年 12 月 3 日にアップデートされ、Rapid、 Regular、Stable、および No Channel のコントロール プレーンおよびノードのアップグレード バージョンが改訂さ れました 詳細については、リビジョンノート を参照してください

30. Google Kubernetes Engine [12/6] ( 2021-R34 ) バージョンアップデート • 現在、バージョン

    1.20.11-gke.1300 が Stable チャンネルのデフォルト バージョンになっています • Stable チャンネルでは、次のコントロール プレーンおよびノード バージョンを使用できるようになりました : ◦ 1.19.15-gke.1801 ◦ 1.19.16-gke.1500 ◦ 1.20.11-gke.1801 ◦ 1.20.12-gke.1500 • 次のバージョンは、Stable チャンネルでは使用できなくなりました ◦ 1.19.15-gke.500、1.19.15-gke.1300、1.20.10-gke.1600 • Stable チャンネルで自動アップグレードが有効になっている次のコントロール プレーンおよびノードは、この リリースでアップグレードされます : ◦ バージョン 1.18 から 1.19.15-gke.1801 ◦ バージョン 1.19 から 1.20.11-gke.1300 ◦ バージョン 1.20 から 1.20.11-gke.1300

31. Identity and Access Management [12/3] 最も適切な事前定義されたロールを選択する方法 に関する記載を IAM ドキュメントに追加しました

32. Managed Anthos Service Mesh [12/13] Managed Anthos Service Mesh は、Rapid

    チャンネルの Preview 機能として VPC Service Controls を サポートするようになりました。 詳細については、Configure VPC Service Control for Managed Anthos Service Mesh を参照してください

33. Network Intelligence Center [12/6] ファイアウォール インサイトのデータを CSV 形式でエクスポートできるようになりました。詳細につい ては、インサイトのエクスポート を参照してください

34. Security Command Center [12/10] Security Command Center の組み込みサービスである Event Threat

    Detection において、 Evasion: Access from Anonymizing Proxy ルールが GA となりました。このルールは、 Tor IP アドレスな どの匿名プロキシ IP アドレスから発生した Google Cloud サービスの変更を検出します。詳細について は、 イベント脅威検出ルール を参照してください [12/13] Security Command Center の組み込みサービスである Event Threat Detection において、 Persistence: New API Method ルールが Preview となりました。このルールは、プリンシパルがこれまで に確認したことのない Google Cloud サービスへのリクエストについて、 Cloud Audit Logs を調べることに より、異常なAPIの動作を検出します。詳細については、 イベント脅威検出ルール を参照してください [12/7] Security Command Center の組み込みサービスである Event Threat Detection は、外部フィルタリング である BigQuery データ抽出ルールをリリースしました。 このルールは Preview で使用できます 組織の BigQuery データが外部から見えるクラウド ストレージ バケットにエクスポートされるイベントを検出しま す。 詳細については、イベント脅威検出規則 を参照してください

35. Storage Transfer Service [12/13] Storage Transfer Service において、 AWS Security

    Token Service が GA となりました セキュリティに敏感なお客様は、 Storage Transfer Service を使用して、AWS S3 クレデンシャルを長期間 渡 すことなく、AWS S3 からの転送を実行できます。このクレデンシャルは、不要になったときにローテーション または明示的に取り消す必要があります。 データソースへのアクセスを設定 するときは、Amazon S3 > Federated Identity タブを参照してください [12/13] gcloud command-line tool を使用したデータ転送の作成と管理が Preview で利用できるようにな り ました。gcloud コマンドを使用して、エージェントのインストール、エージェントプールのライフサイクルの管 理、転送ジョブの調整を行うことができます。この起動により、転送ワークフローを自動化するためのスクリ プトの記述が簡素化されます

36. Storage Transfer Service [12/6] Storage Transfer Service は、AWS S3、Azure Blob、ADLS

    Gen 2、および Cloud Storage 間でコ ピーされたオブジェクトの詳細なロギングのサポートを提供するようになりました。この機能は Preview です Cloud Logging で利用可能な個々のオブジェクトの詳細なログを使用して、転送されたものを確認し、追加 のデータ整合性チェックを実行できます。このリリースにより、監視、レポート、およびトラブルシューティング が簡素化されます。詳細については、 転送ログの構成 を参照してください [12/2] Storage Transfer Service は、マニフェスト のサポートを提供するようになりました。この機能は Preview です。マニフェストを使用して、オブジェクト、オブジェクト バージョン、およびファイルの特定のリス ト をクラウドおよびオンプレミスのソースから転送できます [12/2] オンプレミス転送を管理するための StorageTransfer Service API が GA となりました。お客様は、 RESTful API を使用して、オンプレミスからクラウドへの転送ワークフローを自動化できます 詳細については、オンプレミス用 Transfer ジョブの管理 を参照してください [12/3] Azure ADLS Gen2から Storage Transfer Service を使用した Cloud Storage へのデータ転送 のサ ポートが GA となりました

37. Virtual Private Cloud [12/13] オンプレミス ホストから、マネージド サービスへのアクセスに使用される Private Service Connect

    エンドポイントへの接続 が、すべてのサービス接続構成に対して正しく確立されるようになりました [12/13] Cloud VPN を使用して VPC ネットワークに接続されている オンプレミス ホスト からPrivate Service Connect エンドポイントを使用して 公開されたサービスにアクセス できるようになりました。この機能は GA です

38. VPC Service Controls [12/6] Firebase のセキュリティルール との統合が Beta stage としてサポートされました

39. Vertex AI [12/1] Vertex AI TensorBoard が GA となりました [12/2]

    ビルド済みのコンテナを使用して、 TensorFlow 2.7 でカスタムトレーニングを実行できるようになりまし た

40. Workflows [12/10] Dynamic keys がサポートされるようになりました [12/7] 可変メモリと引数サイズの リソース制限 が 256KB

    に増加しました [12/6] ワークフロー サービスレベル アグリーメント（SLA） 適用開始となりました

41. Thank you