Halaman ini menjelaskan cara mengubah artefak sistem di perlengkapan air-gapped Google Distributed Cloud (GDC).
Ubah artefak sistem di GDC untuk mengelola dan menyempurnakan deployment Anda,
Sebelum memulai
Untuk mengubah artefak sistem, Anda harus mendapatkan akses diagnostik dan memiliki akses ke peran identitas dan akses yang diperlukan:
- Akses diagnostik adalah mode akses istimewa yang diperlukan untuk mendukung pelanggan secara aman saat mereka mengalami masalah. Anda harus membuat tiket agar akses ini diberikan.
- Debugger Artifact Registry Sistem: memiliki akses baca dan tulis ke semua resource Harbor. Minta Admin Keamanan Anda untuk memberi Anda peran cluster System Artifact Registry Debugger (
sar-debugger). - Debugger rahasia harbor-system Artifact Registry Sistem: memiliki akses debugger di namespace
harbor-system. Minta Admin Keamanan Anda untuk memberi Anda peran System Artifact Registry harbor-system secret Debugger (sar-harbor-system-secret-debugger).
Mengupload image Docker
Untuk mengubah artefak sistem, Anda harus mengupload image Docker baru. Metode upload bergantung pada dua registry berikut yang menjadi tujuan pengiriman image container Anda:
- Upload image container ke Artifact Registry di mesin bootstrap.
- Upload image container ke Artifact Registry di cluster infrastruktur organisasi.
Bagian berikut menunjukkan petunjuk upload untuk kedua jenis registri.
Mengupload image container di mesin bootstrap
Untuk mengupload image container ke Artifact Registry di mesin bootstrap, selesaikan langkah-langkah berikut:
Pastikan Anda memiliki image Docker yang telah dimodifikasi dengan masalah yang menyebabkan gangguan telah diperbaiki.
Transfer image baru ke node bootstrap di lingkungan GDC Anda.
Login ke node bootstrap.
Temukan alamat Artifact Registry di mesin bootstrap pada waktu bootstrap dan tetapkan sebagai variabel lingkungan
REGISTRY_IP:REGISTRY=$(kubectl get harborcluster harbor -n harbor-system -o=jsonpath='{.spec.externalURL}') REGISTRY_IP=${REGISTRY#https://}Ambil kredensial untuk mengakses Artifact Registry. Mendapatkan akun dan sandi administrator:
ADMIN_PASS=$(kubectl -n harbor-system get secret harbor-admin \ -o jsonpath="{.data.secret}" | base64 -d)Login ke Artifact Registry:
docker login $REGISTRY_IP -u admin -p $ADMIN_PASSPesan
Login Succeededakan dicetak untuk memverifikasi login yang berhasil ke Artifact Registry.Beri tag pada gambar baru:
docker image tag CONTAINER_IMAGE_URL \ $REGISTRY_IP/PROJECT_NAME/IMAGE_NAME:TAGGanti kode berikut:
CONTAINER_IMAGE_URL: URL image container lokal, sepertigcr.io/repository/image:tag.PROJECT_NAME: nama project Artifact Registry.IMAGE_NAME: nama image container.TAG: tag image container.
Kirim image baru ke Artifact Registry:
docker image push $REGISTRY_IP/PROJECT_NAME/IMAGE_NAME:TAG
Mengupload image container ke cluster infrastruktur org
Untuk mengupload image container ke Artifact Registry di cluster infrastruktur org, selesaikan langkah-langkah berikut:
Pastikan Anda memiliki image Docker yang telah dimodifikasi dengan masalah yang menyebabkan gangguan telah diperbaiki.
Transfer image baru ke node yang memiliki akses root dengan file
kubeconfigroot ke cluster infrastruktur org di lingkungan air-gapped Anda.Ekspor jalur cluster infrastruktur org
kubeconfigsebagai variabel lingkungan:export ORG_INFRA_KUBECONFIG=KUBECONFIG_FILE_PATHGanti
KUBECONFIG_FILE_PATHdengan jalur ke filekubeconfig.Temukan alamat Artifact Registry dalam cluster dan tetapkan sebagai variabel lingkungan
REGISTRY_IP:REGISTRY=$(kubectl --kubeconfig $ORG_INFRA_KUBECONFIG get harborcluster / harbor -n harbor-system -o=jsonpath='{.spec.externalURL}') REGISTRY_IP=${REGISTRY#https://}Pastikan
REGISTRY_IPberisi URL yang valid, seperti10.200.0.36:10443:echo ${REGISTRY_IP}Periksa apakah sertifikat certificate authority (CA) ada:
ls -al /etc/docker/certs.d/${REGISTRY_IP}/ca.crtJika sertifikat tidak ada, buat dan konfigurasikan:
mkdir -p /etc/docker/certs.d/${REGISTRY_IP}/ chmod 755 /etc/docker/certs.d/${REGISTRY_IP}/ echo $(kubectl get secret harbor-cert-secret -n istio-system -o jsonpath='{.data.ca\.crt}' --kubeconfig $ORG_INFRA_KUBECONFIG) | openssl base64 -A -d > /etc/docker/certs.d/${REGISTRY_IP}/ca.crt chmod 755 /etc/docker/certs.d/${REGISTRY_IP}/ca.crtAmbil kredensial untuk mengakses Artifact Registry. Gunakan perintah berikut untuk mengambil akun dan sandi administrator:
ADMIN_PASS=$(kubectl --kubeconfig $ORG_INFRA_KUBECONFIG \ -n harbor-system get secret harbor-admin \ -o jsonpath="{.data.secret}" | base64 -d)Login ke Artifact Registry:
docker login $REGISTRY_IP -u admin -p $ADMIN_PASSPesan
Login Succeededakan dicetak untuk memverifikasi login yang berhasil ke Artifact Registry.Beri tag pada gambar baru:
docker image tag CONTAINER_IMAGE_URL \ $REGISTRY_IP/PROJECT_NAME/IMAGE_NAME:TAGGanti kode berikut:
CONTAINER_IMAGE_URL: URL image container lokal, sepertigcr.io/repository/image:tag.PROJECT_NAME: nama project Artifact Registry.IMAGE_NAME: nama image container.TAG: tag image container.
Kirim image baru ke Artifact Registry:
docker image push $REGISTRY_IP/PROJECT_NAME/IMAGE_NAME:TAG
Mengubah artefak sistem
Gunakan perintah gdcloud artifacts untuk mengubah artefak sistem di GDC. Perbarui, sesuaikan, dan amankan deployment Anda dengan melakukan tindakan seperti mengganti paket software, menyesuaikan konfigurasi, dan menerapkan patch.
Melakukan tindakan berikut:
- Mengelola paket
apt. - Bangun dan ekstrak image dari paket OCI.
- Mencantumkan versi image OCI root yang tersedia.
- Membuat patch paket yang ada.
- Tarik dan kirim paket OCI ke dan dari registry.
- Menampilkan struktur paket OCI.
- Ekstrak paket OCI.
Untuk informasi selengkapnya, lihat gdcloud artifacts.