本页面介绍如何升级现有管理员工作站以获取安全补丁程序。要确定升级是否包含安全补丁程序,请参阅版本说明。如需了解可用的版本,请参阅版本。
另请参阅:
概览
GKE On-Prem 各版本可能包含管理员工作站虚拟机的安全补丁程序。当有安全补丁程序可用时,您应该将管理员工作站升级到最新版本。只有在 GKE On-Prem 有安全补丁程序可用时,您才需要升级管理员工作站。否则,您应只下载新版本的 gkectl。
要将现有工作站虚拟机升级到最新版本,请修改用于安装管理员工作站的 Terraform 文件(TF 和 TFVARS)。然后运行 terraform init 和 terraform apply。
准备工作
- 下载最新的管理员工作站 OVA 文件。
- 请务必按照说明,从您的本地工作站或笔记本电脑(而非管理员工作站)执行操作。
为本地 Docker 镜像仓库设置变量
如果您的管理员工作站虚拟机运行提供的 Docker 镜像仓库,请执行本部分中的步骤。如果您的管理员工作站未运行提供的 Docker 镜像仓库,请跳过此部分。
在 TF 文件中,找到
vars块并对如下所示的FOR UPGRADING部分中的变量取消备注:######################## #### FOR UPGRADING ##### # reg_htpasswd = "${file(var.registry_htpasswd)}" # reg_cert = "${file(var.registry_cert)}" # reg_private_key = "${file(var.registry_private_key)}" # reg_ca = "${file(var.registry_ca)}" ########################将这些文件从旧的管理员工作站虚拟机复制到正在执行升级的机器,例如您的笔记本电脑:
/var/lib/gke/registry/auth/htpasswd/var/lib/gke/registry/gke.pem/var/lib/gke/registry/gke-key.pem/var/lib/gke/registry/ca.pem
在 Terraform 变量 (TFVARS) 文件中,取消备注并设置以下变量:
- 将
reg_htpasswd设置为htpasswd文件的路径。 - 将
reg_cert设置为gke.pem文件的路径。 - 将
reg_private_key设置为gke-key文件的路径。 - 将
reg_ca设置为ca.pem文件的路径。
- 将
设置新管理员工作站虚拟机的模板
在 Terraform 变量部分的文件顶部,将 vm_template 设置为最新版本。vm_template 的值如下所示:
gke-on-prem-admin-appliance-vsphere-[VERSION]
升级管理员工作站虚拟机
要删除旧的管理员工作站虚拟机并将其替换为已升级的虚拟机,请运行以下命令:
terraform init && terraform apply -auto-approve -input=false
管理员工作站的 IP 地址或 DNS 名称
如果您的 GKE On-Prem 集群使用为管理员工作站提供的 Docker 镜像仓库,则必须满足以下条件之一:
升级后的管理员工作站虚拟机必须与旧管理员工作站虚拟机具有相同的 IP 地址。如果您使用的是静态 IP 地址,则可以确保这一点。
管理员工作站虚拟机必须有 DNS 主机名。如果您使用的是 DHCP,则管理员工作站的 IP 地址可能会在升级期间发生变化,但 GKE On-Prem 可以使用 DNS 名称查找镜像仓库。
升级集群
现在您已拥有最新版本的管理员工作站虚拟机。您应该还记得,您是由于安全更新而将管理员工作站升级到最新版本。下一步是确定是否需要升级集群。
查看版本说明,了解是否有节点操作系统映像的安全更新。如果节点操作系统映像有安全更新,则需要升级集群。首先将管理员集群升级到最新版本,然后将用户集群升级到最新版本。
如需了解如何升级集群,请参阅升级集群。
问题排查
请参阅问题排查。