Google Cloud release notes キャッチアップ 2024-12-14 - 2024-12-20

cloud.google.com

Identity and Access Management(IAM)

[CHANGED] Principal access boundary policies are generally available.

IAM には Principal access boundary policies (PAB policies, プリンシパルアクセス境界ポリシー)という機能がある。これはIAMポリシーが提供する3種類のポリシーの1つで、許可ポリシー、拒否ポリシーと並んでPABポリシーが提供されている。 PAB policyは外部リソース(境界)に対する操作の拒否を定義できる。拒否ポリシーでは対象リソースの所有者でなければポリシーを定義することができない。PABポリシーであれば自分たちがリソース所有者ではない場合でも自分たちの組織のプリンシパルが操作することを拒否できる。

この機能は2024年6月にプレビューリリースされていたが、今回GAリリースされた。

cloud.google.com

Compute Engine

[DEPRECATED] The A3 Edge accelerator-optimized machine type is no longer available in Turin, Italy: europe-west12-b.

エッジロケーションにて推論を実行するためのマシンタイプとして A3 Edgeがある。 このマシンタイプは一部のリージョンでのみ利用可能だが、今回 トリノ・イタリアリージョン europe-west12-b での利用が非推奨化された。 これにより、今後A3 Edgeが利用可能なのは東京リージョン asia-northeast1-c を含む9リージョンのみとなっている。

cloud.google.com

cloud.google.com

Kubernetes Engine

[FEATURE] Cloud DNS additive VPC scope is now generally available

Kubernetesではクラスタ内リソースの名前解決のための仕組みが存在する。この仕組みによりサービスディスカバリが可能になる。デフォルトではkube-dns。 GKEにおいてもデフォルトでkube-dnsがデプロイされるが、その他の選択肢として、カスタムDNSのDeploymentを実行する方法や、Cloud DNSを利用する方法もある。 Cloud DNSを利用する場合、デフォルトでは名前解決が利用可能なスコープはGKEクラスタ内部のみで、これはkube-dnsと同様。これ以外にもVPC全体でDNSレコードを共有して名前解決できるVPCスコープや、一部のVPCリソースから名前解決できるCloud DNSの追加のVPCスコープ(Cloud DNS additive VPC scope)も選択できる。

このCloud DNSの追加のVPCスコープは2024年4月にプレビューリリースされていたが、今回GAリリースされた。 この機能は version 1.28.3-gke.1430000 およびそれ以降のバージョンのGKEクラスタで利用可能。

cloud.google.com

[FEATURE] Trillium, our sixth-generation TPU, is now generally available.

Cloud TPUにて新しいバージョンである Trillium (v6e)がGAリリースされ、これがGKEから利用できるようになった。 利用できるのはGKE Standard Clusterの 1.31.1-gke.1846000 およびそれ以降、およびand Autopilot Clustersの 1.31.2-gke.1384000 およびそれ以降のバージョン。 また、TPU Trilliumは東京リージョンのbゾーンである asia-northeast1-bを含む一部のゾーン・リージョンでのみ利用可能。

[CHANGED] 1.32 is now available in the Rapid channel

2024年12月12日にリリースされたKubernetes 1.32がGKEのrapidチャンネルにてリリースされた。

[DEPRECATED] Deprecated in Kubernetes 1.32

Kubernetes 1.29 にて flowcontrol.apiserver.k8s.io/v1 がstableリリースされ、flowcontrol.apiserver.k8s.io/v1beta3 が非推奨化された。 これに伴い、Kubernetes 1.32 にて flowcontrol.apiserver.k8s.io/v1beta3 は削除される。

kubernetes.io

また、KEP-4004に従い、v1.NodeAPIにおいて status.nodeInfo.kubeProxyVersion のフィールドが非推奨化される。

[FEATURE] New features

Kubernetes 1.32に伴う新機能が利用可能。

• Dynamic Resource Allocation (デフォルト無効)
• Efficiency with API Streaming
• Recovering from Failure when Expanding Volumes
• Delegation of managing a Job object to external controller (デフォルト無効)

Cloud Service Mesh

[FEATURE] Single Cluster Gateway for Mesh is now generally available.

KubernetesにはL4ネットワーク向けのトラフィックルーティングを実現する Gateway APIがある。 これを用いることでgRPCのサポートなどが可能となる。

このGateway APIをService Meshと組合せて用いるKubernetes Gateway APIs for MeshがGAリリースされた。 Gateway APIsなどには複数クラスタをまたいだ multi-cluster Gatewaysもあるが、Service Meshと組合せる場合は単一クラスタでの利用のみがサートされている。

[FEATURE] Routing traffic between Cloud Service Mesh workloads and Cloud Run Services is now available in preview

Cloud Service MeshとCloud Runでトラフィックルーティングを制御できる機能がプレビューリリースされた。

cloud.google.com

[SECURITY] patch release is now available for in-cluster Cloud Service Mesh.

脆弱性修正パッチがリリースされた。 Envoy v1.31.5ベースの v1.23.4-asm.1、Envoy v1.30.9ベースの v1.22.7-asm.1、Envoy v1.29.12ベースの v1.21.5-asm.17。 対象の脆弱性はいずれも GCP-2024-065。

[ANNOUNCEMENT] Upgrading the gRPC client may cause excessive streams to Traffic Director.

Java, Go, C++向けのgRPCクライアントバージョンをアップデートするとGKE向けのトラフィック管理を行うTraffic Directorに対して異常なストリームが発生する可能性があるという告知。詳細不明。

BigQuery

[FEATURE] You can now use the Google Cloud Code extension for VS Code to work with BigQuery datasets and notebooks in your VS Code environment.

VS Codeの拡張としてGoogle Cloud Codeがある。 このVSCode拡張においてBigQueryに関する機能として、Colab Enterpriseを利用するBigQuery Notebook、datasetsを閲覧できるBigQuery Datasetsが利用可能になった。

cloud.google.com

Pub/Sub

[ANNOUNCEMENT] Documentation is now available to help you choose between Pub/Sub and Google Cloud Managed Service for Apache Kafka.

Pub/SubとCloud Managed Service for Apache Kafkaの選択を支援するドキュメントが公開された。

cloud.google.com

[ANNOUNCEMENT] ocumentation is now available to help you troubleshoot Pub/Sub issues by using audit logs.

監査ログを用いてPub/Subリソースの作成・変更・削除についてトラブルシュートするための手順がドキュメントとして公開された。

cloud.google.com

Virtual Private Cloud (VPC)

[FEATURE] IPv6-only subnets and instances are available in Preview.

VPCにてIPv6を利用する場合、IPv4と併用するデュアルスタックが必須だった。

今回のリリースによりIPv6-onlyのサブネットが構築できる機能がプレビューリリースされた。

cloud.google.com

Cloud Run

[CHANGED] Service-level minimum instances are now set using the --min command line flag, --service-min-instances remains available as an alias to --min.

Cloud Runでは最小のインスタンス数が指定可能。デフォルトでは0で min-instancesは無効になっている。 この最小のインスタンス数を指定するgcloudコマンドにおけるオプション名が --service-min-instances から --minへと変更になった。 既存のオプションもエイリアスとしては残る。

cloud.google.com

[FEATURE] New finer-grained predefined IAM roles are available for Cloud Run

Cloud Run向けの新しいIAMロールが利用可能になった。 Cloud Run Service Invoker (roles/run.servicesInvoker)、Cloud Run Jobs Executor(roles/run.jobsExecutor)、Cloud Run Jobs Executor With Overrides(roles/run.jobsExecutorWithOverrides)。

cloud.google.com

Cloud SQL

[FEATURE] You can now enable query insights for Cloud SQL Enterprise Plus edition.

Cloud SQLのEnterprise PlusエディションにおいてQuery Insightsを有効にできるようになった。 EnterpriseエディションにおけるQuery Insightsではメトリクスは7日間しか保存されないなどの制約があったが、Enterprise Plusエディションでは30日間のメトリクスル保存やクエリを100KBまで保存可能、毎分200のサンプルクエリプランを取得可能など、制限が緩和されている。

cloud.google.com

Cloud Logging

[ANNOUNCEMENT] Cloud Logging adds support for the northamerica-south1 region.

Cloud Loggingがメキシコリージョン(northamerica-south1)で新しくサポートされる。

[FEATURE] You can now create custom roles that let you create and manage Log Scopes.

Cloud Loggingにはログの検索スコープを制御したり、ログビューを制御できるログスコープ(Log Scope)という機能がある。 ログスコープを操作するためにIAMロールとしては Logs Configuration Writer (roles/logging.configWriter) や Observability Editor (roles/observability.editor) が提供されている。

これに加えてカスタムロールを作成するために observability.scopes.{get, update} や logging.logScopes.{create, delete, get, list, update} などのパーミッションが利用可能になった。

cloud.google.com

Resource Manager

[FEATURE] Cloud Load Balancing resources now let you use custom constraints to define your own restrictions on Google Cloud services.

組織ポリシーにて Cloud Load Balancingリソースに対するCustom Constraintsが定義できる機能がGAリリースとなる。

cloud.google.com

[FEATURE] You can use Organization Policy Service custom constraints to manage specific operations on Bigtable resources.

組織ポリシーにて Bigtableリソースに対するCustom Constraintsが定義できる機能がGAリリースとなる。

cloud.google.com

[FEATURE] You can use custom constraints with Organization Policy to provide more granular control over specific fields for some Secure Source Manager resources.

Secure Source Manager向けのOrganization Policyについて、Custom Constraintにてより柔軟なポリシーを構築できるようになった。

cloud.google.com

[FEATURE] The Organization Policy recommender generates insights and organization policy recommendations to restrict the creation and upload of service account keys

Organization Policyの分析や推奨事項の提案を行う Organization Policy recommender がレプレビューリリースされた。 この推奨事項ではService Accountキーの作成やアップロードについての制限が提示されるようになる。

cloud.google.com

[FEATURE] You can use the iam.managed.allowedPolicyMembers managed organization policy constraint to implement domain restricted sharing.

Organization Policyにおいて、マネージド制約として iam.managed.allowedPolicyMembers が提供されるようになった。これは指定のプリンシパルにのみロールの付与が可能となる。

cloud.google.com

cloud.google.com