4. Memuat software pihak ketiga

Estimasi waktu penyelesaian: 60 menit

Pemilik komponen yang dapat dioperasikan: OELCM/Node

Profil keterampilan: engineer deployment

Halaman ini memberikan petunjuk untuk memuat paket software pihak ketiga yang disediakan oleh partner dengan file tar rilis air-gapped Google Distributed Cloud (GDC) yang sesuai. Petunjuk di halaman ini dimaksudkan untuk dirujuk dari halaman lain.

Terminologi

• Paket software partner: paket software pihak ketiga yang diperlukan untuk deployment Distributed Cloud, tetapi tidak disertakan dalam file tar rilis untuk deployment yang dioperasikan partner dan harus disediakan oleh partner.
• Memuat paket software partner: proses untuk mengisi artefak dari file tar rilis Distributed Cloud dengan paket software yang disediakan partner.
• Manifes software partner: file JSON yang mendeskripsikan metadata untuk daftar paket software partner. Paket ini dimuat untuk mengisi file tar rilis Distributed Cloud yang sesuai.
• Direktori artefak software partner: direktori sumber tempat Operator Infrastruktur (IO) mengumpulkan paket software partner.
• Direktori root artefak: direktori level teratas tempat artefak dari file tar rilis Distributed Cloud diekstrak.
• Node pekerja: mesin di sisi tinggi yang menjalankan perintah untuk mengekstrak file tar Distributed Cloud, dan memuat paket software partner. Dapat berupa pengontrol sistem, bootstrapper, atau workstation Operations Suite Infrastructure (OI), bergantung pada konteks deployment.

Ringkasan

Ada dua langkah untuk mengisi file tar rilis Distributed Cloud dengan paket software partner:

1. Persiapan: partner perlu mengambil paket software yang diperlukan dari vendor dan menjalankan langkah-langkah pra-pemrosesan sesuai dengan petunjuk. Setelah langkah persiapan selesai, semua file paket software partner harus dimasukkan ke dalam satu direktori.

2. Load: IO menjalankan perintah untuk mengisi artefak dari file tar rilis dengan paket software yang disediakan oleh partner.

Tabel berikut memetakan skenario deployment ke file tar rilis Distributed Cloud yang terlibat.

Prasyarat untuk menjalankan langkah Preparation

Mesin untuk menjalankan langkah persiapan harus memiliki lingkungan bash seperti mesin Linux atau lingkungan Windows Subsystem for Linux (WSL). Selain itu, VM harus dapat menjalankan alat command line yang diperlukan, termasuk:

• gdcloud
• docker
• sha256sum
• jq

Biasanya, mesin ini digunakan untuk mendownload file tar rilis Distributed Cloud.

Semua file paket software yang diperlukan disiapkan ke satu direktori tingkat teratas, yang disebut sebagai ${PARTNER_SOFTWARE_DIR}.

Untuk setiap software yang akan disediakan oleh partner, langkah persiapannya meliputi:

1. Ambil file paket software versi yang diharapkan dari vendor terkait sesuai dengan petunjuk.
2. Simpan file paket software yang telah disiapkan ke ${PARTNER_SOFTWARE_DIR} dengan nama yang diharapkan dalam petunjuk.
3. Simpan atau ekspor file paket software yang telah disiapkan ke ${PARTNER_SOFTWARE_DIR} dengan nama yang diharapkan dalam petunjuk.

Setelah semua file paket software yang diperlukan disiapkan, Anda harus memvalidasi setiap file agar memiliki nama, versi, dan checksum SHA256 yang diharapkan jika ditentukan, sebelum menjalankan petunjuk untuk memuat file ini.

Setelah validasi, semua file paket software yang disiapkan partner akan ditransfer dengan aman ke mesin tempat file software partner dimuat bersama dengan file tar rilis Distributed Cloud. Transfer biasanya dilakukan melalui perangkat USB. Lihat proses OOPS-P0001 untuk Prosedur Transfer File Rendah ke Tinggi.

Petunjuk untuk file rilis OI

Bagian ini menjelaskan langkah-langkah untuk menyiapkan dan memuat paket software partner untuk deployment OI.

P1: Menyiapkan paket software untuk penyiapan OI

Lihat bagian prasyarat untuk mengetahui ringkasan langkah persiapan.

Langkah ini dijalankan setelah file tar rilis Distributed Cloud yang sesuai didownload di mesin yang sama.

Siapkan direktori untuk menyimpan paket software yang telah disiapkan. Contoh struktur direktori untuk menyiapkan paket software adalah sebagai berikut:

$(pwd)
└── extract  # $EXTRACT_DIR
└── gdch  # $DOWNLOAD_DIR
    └── $GDCH_VERSION  # $GDCH_TAR_DIR
        ├── ...  # Downloaded GDCH release files
    └── partner-software-${GDCH_VERSION?}
        ├── oic  # $PARTNER_SOFTWARE_DIR
        ├── gdch # $PARTNER_SOFTWARE_DIR for P2 step

Anda harus menyesuaikan variabel yang diekspor berikut untuk merujuk ke struktur direktori yang sebenarnya.

GDCH_VERSION=VERSION
DOWNLOAD_DIR=<the parent directory holding the downloaded files, including GDCH release tar files, e.g. $(pwd)/gdch>

# GDCH_TAR_DIR contains the downloaded GDCH release tar files.
export GDCH_TAR_DIR=${DOWNLOAD_DIR?}/${GDCH_VERSION?}

# PARTNER_SOFTWARE_DIR holds the prepared partner software package files.
export PARTNER_SOFTWARE_DIR=${DOWNLOAD_DIR?}/partner-software-${GDCH_VERSION?}/oic
mkdir -p ${PARTNER_SOFTWARE_DIR}

P1.1 Ikuti spesifikasi dan petunjuk paket software dalam tabel untuk menyiapkan paket software

Untuk menyiapkan file paket software yang diperlukan untuk men-deploy OI, untuk setiap file paket software dalam tabel berikut:

Pelanggan mendapatkan semua media penginstalan Microsoft dari partner Microsoft mereka. Dalam kasus file config_mgr_prereqs.zip, file ini harus disiapkan menggunakan IT Toil Process IT-T0023.

Tabel pertama berisi data berikut untuk setiap paket:

1. Kolom Versi yang diharapkan menentukan versi target paket software yang akan diambil.
2. Kolom Nama file yang diharapkan menentukan nama file untuk menyimpan paket software ke ${PARTNER_SOFTWARE_DIR}.
3. Kolom SHA256 yang diharapkan menentukan checksum SHA256 yang diharapkan untuk file paket yang disiapkan. Anda harus memvalidasi bahwa file yang disiapkan memiliki checksum SHA256 yang ditentukan.
4. Kolom URL Project menentukan URL dengan informasi tentang paket software.
5. Kolom Deskripsi menjelaskan paket software secara singkat.

Karena batasan dalam rendering dokumen, tabel SHA256 yang Diharapkan terpisah menentukan checksum SHA256 yang diharapkan untuk file paket yang disiapkan.

P1.2: Validasi paket software yang disiapkan

Untuk memvalidasi paket software, sistem harus mengekstrak skrip dan file metadata dari file tar rilis Distributed Cloud yang didownload.

EXTRACT_DIR=$(pwd)/extract/${GDCH_VERSION?}
mkdir -p ${EXTRACT_DIR?}

RELEASE_PREFIX="prod_partner_"
# The command is going to take long time.
tar -I pigz -xvf ${GDCH_TAR_DIR?}/${RELEASE_PREFIX}OIC_component_bundle.tar.gz -C ${EXTRACT_DIR?} ./release/scripts ./release/partner_software_metadata --strip-components 2

Kemudian, jalankan perintah untuk memvalidasi:

${EXTRACT_DIR?}/scripts/verify_package_files.sh ${EXTRACT_DIR}/partner_software_metadata/OIC_component_partner_software_info.json

Sebelum melanjutkan ke langkah berikutnya, Anda harus mengonfirmasi dan memperbaiki semua error validasi dengan menyiapkan paket software versi yang diharapkan. Untuk paket software yang diketahui menyimpang dari versi yang diharapkan, kesalahan validasi checksum yang sesuai dapat diabaikan, tetapi Anda harus memastikan file yang disiapkan berfungsi.

P1.3: Transfer paket software yang telah disiapkan

Setelah validasi, paket software partner di ${PARTNER_SOFTWARE_DIR} harus ditransfer ke mesin target di lingkungan air gap Google Distributed Cloud (GDC) tempat Langkah pemuatan dijalankan, bersama dengan file tar rilis OI prod_partner_OIC_component_bundle.tar.gz di ${GDCH_TAR_DIR}.

Paket software partner dan file tar rilis berada di direktori induk umum ${DOWNLOAD_DIR}, dan dapat ditransfer dengan proses yang sama.

P2: Menyiapkan paket software untuk Distributed Cloud

Lihat bagian prasyarat untuk mengetahui ringkasan langkah persiapan.

Siapkan direktori untuk menyimpan paket software yang telah disiapkan. Anda harus menyesuaikan variabel yang diekspor berikut untuk merujuk ke struktur direktori yang sebenarnya.

  GDCH_VERSION=VERSION
  DOWNLOAD_DIR=<the parent directory holding the downloaded files, including GDCH release tar files, e.g. $(pwd)/gdch>

  # GDCH_TAR_DIR contains the downloaded GDCH release tar files.
  export GDCH_TAR_DIR=${DOWNLOAD_DIR?}/${GDCH_VERSION?}

  # PARTNER_SOFTWARE_DIR contains the prepared partner software package files.
  export PARTNER_SOFTWARE_DIR=${DOWNLOAD_DIR?}/partner-software-${GDCH_VERSION?}/gdch
  mkdir -p ${PARTNER_SOFTWARE_DIR}

Jalankan perintah berikut untuk menarik image docker yang diperlukan dan mengekspornya ke file tar yang sesuai:

  EXTRACT_DIR=$(pwd)/extract/${GDCH_VERSION?}
  mkdir -p ${EXTRACT_DIR?}

  RELEASE_PREFIX="prod_partner_"
  # The command is going to take long time.
  tar -I pigz -xvf ${GDCH_TAR_DIR?}/${RELEASE_PREFIX}gdch.tar.gz -C ${EXTRACT_DIR?} ./release/scripts ./release/partner_software_metadata --strip-components 2

  ${EXTRACT_DIR?}/scripts/save_container_images.sh ${EXTRACT_DIR}/partner_software_metadata/gdch_partner_container_info.json

P3: Menyiapkan paket software tambahan untuk Distributed Cloud

Langkah ini biasanya dijalankan di pengontrol sistem yang digunakan untuk menyiapkan OI. Prasyarat berikut diperlukan:

• File tar rilis telah ditransfer ke pengontrol sistem, dan diekstrak ke direktori lokal.
• File paket software partner telah ditransfer ke direktori lokal di mesin yang sama.
• Pastikan semua file telah didownload dari Splunk sebelum melanjutkan
• Semua langkah pemuatan sebelumnya telah selesai

Seperti langkah sebelumnya, Anda harus menyesuaikan variabel yang diekspor berikut agar merujuk ke struktur direktori yang sebenarnya.

GDCH_VERSION=VERSION
EXTRACT_DIR=<the parent directory containing the directories for extracted GDCH release files and partner software files, e.g. $(pwd)/gdch>

# ARTIFACTS_ROOT is the directory containing the extracted GDCH release files.
export ARTIFACTS_ROOT=${EXTRACT_DIR?}/full-release-${GDCH_VERSION?}

# PARTNER_SOFTWARE_DIR contains the partner software package files.
export PARTNER_SOFTWARE_DIR=${EXTRACT_DIR?}/partner-software-${GDCH_VERSION?}/oic

Pastikan ${ARTIFACTS_ROOT}/operations_center berisi mandiantsecops_heavyfwd.tgz,

[[ -f "${ARTIFACTS_ROOT}/operations_center/mandiantsecops_heavyfwd.tgz" ]] && echo "File exists." || echo "File does not exist."

L1: Memuat paket software untuk penyiapan OI

Langkah ini biasanya dijalankan di pengontrol sistem yang digunakan untuk menyiapkan OI, yang disebut sebagai mesin kerja. Prasyarat berikut diperlukan:

• File tar rilis telah ditransfer ke mesin kerja, dan diekstrak ke direktori lokal ${ARTIFACTS_ROOT} sesuai dengan proses ekstraksi.
• File paket software partner telah ditransfer ke direktori lokal ${PARTNER_SOFTWARE_DIR} di mesin yang sama.

Contoh struktur direktori untuk memuat paket software partner adalah:

$(pwd)
└── gdch  # $EXTRACT_DIR
    └── full-release-$GDCH_VERSION  # $ARTIFACTS_ROOT
        ├── ...  # Extracted GDCH release files
    └── partner-software-${GDCH_VERSION?}
        ├── oic  # $
        ├── gdch # $PARTNER_SOFTWARE_DIR for L2/L3 step

Anda harus menyesuaikan variabel yang diekspor berikut agar merujuk ke struktur direktori yang sebenarnya.

GDCH_VERSION=VERSION
EXTRACT_DIR=<the parent directory containing the directories for extracted GDCH release files and partner software files, e.g. $(pwd)/gdch>

# ARTIFACTS_ROOT is the directory containing the extracted GDCH release files.
export ARTIFACTS_ROOT=${EXTRACT_DIR?}/full-release-${GDCH_VERSION?}

# PARTNER_SOFTWARE_DIR contains the partner software package files.
export PARTNER_SOFTWARE_DIR=${EXTRACT_DIR?}/partner-software-${GDCH_VERSION?}/oic

Di mesin kerja, jalankan perintah berikut untuk memuat software partner yang diperlukan untuk men-deploy OI:

${ARTIFACTS_ROOT}/gdcloud system partner-software load --manifest=${ARTIFACTS_ROOT}/partner_software_metadata/OIC_component_partner_software_info.json "${PARTNER_SOFTWARE_DIR}" "${ARTIFACTS_ROOT}"

Setelah Anda berhasil menjalankan perintah, ${ARTIFACTS_ROOT}/operations_center akan diisi dengan paket software partner untuk OI.

Jika perintah gagal karena error validasi, Anda harus memeriksa error tersebut. Biasanya, error terjadi karena:

• Beberapa file paket software tidak ada.
• Versi file paket software tidak sesuai dengan yang diharapkan.

Anda harus memperbaiki error dengan menyiapkan paket software versi yang diharapkan.

  # This is a fallback approach to load the partner software packages to deploy OI
  ${ARTIFACTS_ROOT}/scripts/load_raw_packages.sh ${ARTIFACTS_ROOT}/partner_software_metadata/OIC_component_partner_software_info.json

Petunjuk untuk file rilis GDC

Bagian ini menjelaskan langkah-langkah untuk memuat paket software partner untuk deployment GDC.

L2: Memuat paket software untuk deployment GDC

Jalankan langkah ini di node yang berfungsi, yang merupakan mesin bootstrapper untuk deployment bootstrapping, atau workstation OI untuk upgrade.

Prasyarat:

• File tar rilis telah ditransfer ke node kerja, dan diekstrak ke direktori lokal.
• Paket file software partner telah ditransfer ke direktori lokal di node kerja.
• Perintah jq dan docker tersedia di node yang berfungsi.

Anda harus menyesuaikan variabel yang diekspor berikut agar merujuk ke struktur direktori yang sebenarnya.

GDCH_VERSION=VERSION
EXTRACT_DIR=<the parent directory containing the directories for extracted GDCH release files and partner software files, e.g. $(pwd)/gdch>

# ARTIFACTS_ROOT is the directory containing the extracted GDCH release files.
export ARTIFACTS_ROOT=${EXTRACT_DIR?}/full-release-${GDCH_VERSION?}

# PARTNER_SOFTWARE_DIR contains the partner software package files.
export PARTNER_SOFTWARE_DIR=${EXTRACT_DIR?}/partner-software-${GDCH_VERSION?}/gdch

L2.1: Memuat image container partner yang diperlukan untuk deployment Distributed Cloud

L2.1.1 Menyiapkan konfigurasi Docker

• Untuk proses bootstrap, langkah pemuatan dijalankan di mesin bootstrapper, dan image container dimuat ke bootstrapper harbor registry, yang akan didistribusikan ke root admin harbor registry pada langkah deployment berikutnya.

  export REGISTRY_ADDR=$(cat /root/.docker/config.json | jq -r '.auths | keys[]' | head -1)
  

  Anda harus memeriksa kembali apakah REGISTRY_ADDR cocok dengan alamat IP mesin bootstrapper:

  ip -4 -br a s | grep "$REGISTRY_ADDR"
  

• Untuk proses upgrade, langkah pemuatan dijalankan di workstation OI, dan image container akan dimuat ke registry harbor admin root.

  rac_kubeconfig=<KUBECONFIG_PATH to the root admin cluster>
  alias kr="kubectl --kubeconfig=${rac_kubeconfig?}"
  
  export REGISTRY_ADDR=$(echo \
    $(kr get harborcluster harbor -n harbor-system -o jsonpath='{.spec.externalURL}') \
    | sed s#https://##)
  echo "Using harbor registry in ${REGISTRY_ADDR}"
  

  export KUBECONFIG=${rac_kubeconfig?}
  cp ${ARTIFACTS_ROOT}/docker-credential-gdcloud /usr/bin
  export API_GROUP=public
  ${ARTIFACTS_ROOT}/gdcloud auth configure-docker
  unset API_GROUP
  

L2.1.2 Muat image container yang disediakan oleh partner ke registry harbor.

  export PROJECT=library
  export PARTNER_CONTAINER_IMAGES_FILE=${ARTIFACTS_ROOT}/partner_software_metadata/gdch_partner_container_info.json

  ${ARTIFACTS_ROOT}/scripts/load_container_images.sh ${PARTNER_CONTAINER_IMAGES_FILE}

L2.2: Verifikasi bahwa image container partner berhasil dimuat

Anda harus memverifikasi bahwa image container partner yang dimuat dapat ditarik dari node bare metal admin root dengan berhasil.

Untuk menentukan daftar image container yang akan ditarik, gunakan:

  jq -r  '.[]? | [.image] | join(",")' "$PARTNER_CONTAINER_IMAGES_FILE"

Untuk memverifikasi, lakukan SSH ke node bare metal admin root, dan untuk setiap image container yang dimuat, pastikan perintah berikut berhasil ditampilkan:

  crictl pull ${container_image_path}

L3: Memuat paket software tambahan untuk Distributed Cloud

• Buka ${ARTIFACTS_ROOT}/scripts/.
• Pastikan nama file yang tepat telah dimasukkan untuk konfigurasi (misalnya, OC_LINUX_AUDITD_NAME=<file name on machine>).
• Pastikan nilai default (seperti PARTNER_SOFTWARE_DIR) telah diisi.
• Terakhir, jalankan skrip rehydrate_siem_apps.sh dengan skrip konfigurasi untuk argumen -c.

cd ${ARTIFACTS_ROOT}/scripts
chmod +x rehydrate_siem_apps.sh
./rehydrate_siem_apps.sh -c rehydrate_siem_apps.conf

Dalam file output, lokasi upload image Docker akan diberikan. Image ini adalah image Tarball OCI khusus yang tidak dimaksudkan untuk ditarik dengan docker pull, tetapi akan digunakan secara otomatis.