4. サードパーティ ソフトウェアを読み込む

推定所要時間: 60 分

操作可能なコンポーネントのオーナー: OELCM/Node

スキル プロファイル: デプロイ エンジニア

このページでは、パートナーが提供するサードパーティ ソフトウェア パッケージを、対応する Google Distributed Cloud（GDC）エアギャップ リリース tar ファイルとともに読み込む手順について説明します。このページの手順は、他のページから参照されることを想定しています。

用語

• パートナー ソフトウェア パッケージ: Distributed Cloud のデプロイに必要なサードパーティ ソフトウェア パッケージ。パートナー運営のデプロイ用のリリース tar ファイルには含まれていないため、パートナーが提供する必要があります。
• パートナー ソフトウェア パッケージを読み込む: Distributed Cloud リリース tar ファイルからアーティファクトに、パートナー提供のソフトウェア パッケージを移入するプロセス。
• パートナー ソフトウェア マニフェスト: パートナー ソフトウェア パッケージのリストのメタデータを記述する JSON ファイル。これらのパッケージは、対応する Distributed Cloud リリース tar ファイルに読み込まれます。
• パートナー ソフトウェア アーティファクト ディレクトリ: インフラストラクチャ オペレーター（IO）がパートナー ソフトウェア パッケージを収集するソース ディレクトリ。
• アーティファクトのルート ディレクトリ: Distributed Cloud リリース tar ファイルのアーティファクトが抽出される最上位ディレクトリ。
• ワーキング ノード: Distributed Cloud の tar ファイルを抽出してパートナー ソフトウェア パッケージを読み込むコマンドを実行する、ハイサイドのマシン。デプロイのコンテキストに応じて、システム コントローラ、ブートストラッパー、Operations Suite Infrastructure（OI）ワークステーションのいずれかになります。

概要

Distributed Cloud リリース tar ファイルにパートナー ソフトウェア パッケージを設定する手順は次の 2 つです。

1. 準備: パートナーは、ベンダーから必要なソフトウェア パッケージを取得し、手順に沿って前処理を実行する必要があります。準備手順が完了したら、すべてのパートナー ソフトウェア パッケージ ファイルを 1 つのディレクトリに配置する必要があります。

2. 読み込み: IO は、パートナーが提供するソフトウェア パッケージを使用して、リリース tar ファイルからアーティファクトを入力するコマンドを実行します。

次の表に、デプロイ シナリオと関連する Distributed Cloud リリース tar ファイルを示します。

Preparation ステップを実行するための前提条件

準備手順を実行するマシンには、Linux マシンや Linux 用 Windows サブシステム（WSL）環境などの bash 環境が必要です。また、次のコマンドライン ツールを含む、必要なコマンドライン ツールを実行できる必要があります。

• gdcloud
• docker
• sha256sum
• jq

通常、Distributed Cloud リリース tar ファイルのダウンロードに使用されるマシンです。

必要なソフトウェア パッケージ ファイルはすべて、${PARTNER_SOFTWARE_DIR} という単一の最上位ディレクトリに用意されています。

パートナーが提供する各ソフトウェアについて、準備手順には次のものが含まれます。

1. 手順に沿って、対応するベンダーからソフトウェア パッケージ ファイルの想定されるバージョンを取得します。
2. 準備したソフトウェア パッケージ ファイルを、手順で指定された名前で ${PARTNER_SOFTWARE_DIR} に保存します。
3. 準備したソフトウェア パッケージ ファイルを、手順に記載されている名前で ${PARTNER_SOFTWARE_DIR} に保存またはエクスポートします。

必要なソフトウェア パッケージ ファイルをすべて準備したら、これらのファイルを読み込む手順を実行する前に、各ファイルが想定どおりの名前、バージョン、SHA256 チェックサム（指定されている場合）になっていることを検証する必要があります。

検証後、パートナーが準備したソフトウェア パッケージ ファイルはすべて、パートナー ソフトウェア ファイルが Distributed Cloud リリース tar ファイルとともに読み込まれるマシンに安全に転送されます。通常、転送は USB サムドライブで行われます。低から高へのファイル転送手順については、OOPS-P0001 プロセスを参照してください。

OI リリース ファイルの手順

このセクションでは、OI デプロイ用にパートナー ソフトウェア パッケージを準備して読み込む手順について説明します。

P1: OI セットアップ用のソフトウェア パッケージを準備する

準備手順の概要については、前提条件のセクションをご覧ください。

この手順は、対応する Distributed Cloud リリース tar ファイルが同じマシンにダウンロードされた後に実行されます。

準備したソフトウェア パッケージを格納するディレクトリを設定します。ソフトウェア パッケージを準備するディレクトリ構造の例は次のとおりです。

$(pwd)
└── extract  # $EXTRACT_DIR
└── gdch  # $DOWNLOAD_DIR
    └── $GDCH_VERSION  # $GDCH_TAR_DIR
        ├── ...  # Downloaded GDCH release files
    └── partner-software-${GDCH_VERSION?}
        ├── oic  # $PARTNER_SOFTWARE_DIR
        ├── gdch # $PARTNER_SOFTWARE_DIR for P2 step

実際には、次のエクスポートされた変数を調整して、実際のディレクトリ構造を参照する必要があります。

GDCH_VERSION=VERSION
DOWNLOAD_DIR=<the parent directory holding the downloaded files, including GDCH release tar files, e.g. $(pwd)/gdch>

# GDCH_TAR_DIR contains the downloaded GDCH release tar files.
export GDCH_TAR_DIR=${DOWNLOAD_DIR?}/${GDCH_VERSION?}

# PARTNER_SOFTWARE_DIR holds the prepared partner software package files.
export PARTNER_SOFTWARE_DIR=${DOWNLOAD_DIR?}/partner-software-${GDCH_VERSION?}/oic
mkdir -p ${PARTNER_SOFTWARE_DIR}

P1.1 ソフトウェア パッケージの仕様と表の手順に沿って、ソフトウェア パッケージを準備する

OI のデプロイに必要なソフトウェア パッケージ ファイルを準備するには、次の表の各ソフトウェア パッケージ ファイルに対して次の操作を行います。

お客様は、Microsoft パートナーからすべての Microsoft インストール メディアを取得します。config_mgr_prereqs.zip ファイルの場合は、IT Toil Process IT-T0023 を使用してこのファイルを準備する必要があります。

最初の表には、パッケージごとに次のデータが含まれています。

1. [Expected version] 列には、取得するソフトウェア パッケージのターゲット バージョンを指定します。
2. [Expected filename] 列には、ソフトウェア パッケージを ${PARTNER_SOFTWARE_DIR} に保存するファイル名が指定されています。
3. [Expected SHA256] 列には、準備したパッケージ ファイルの想定される SHA256 チェックサムが指定されています。準備したファイルに指定された SHA256 チェックサムがあることを検証する必要があります。
4. [プロジェクト URL] 列には、ソフトウェア パッケージに関する情報を含む URL が指定されています。
5. [説明] 列には、ソフトウェア パッケージの簡単な説明が表示されます。

ドキュメント レンダリングの制限により、別の Expected SHA256 テーブルで、準備されたパッケージ ファイルの想定される SHA256 チェックサムを指定します。

P1.2: 準備したソフトウェア パッケージを検証する

ソフトウェア パッケージを検証するには、ダウンロードした Distributed Cloud リリース tar ファイルからスクリプトとメタデータ ファイルを抽出する必要があります。

EXTRACT_DIR=$(pwd)/extract/${GDCH_VERSION?}
mkdir -p ${EXTRACT_DIR?}

RELEASE_PREFIX="prod_partner_"
# The command is going to take long time.
tar -I pigz -xvf ${GDCH_TAR_DIR?}/${RELEASE_PREFIX}OIC_component_bundle.tar.gz -C ${EXTRACT_DIR?} ./release/scripts ./release/partner_software_metadata --strip-components 2

次に、コマンドを実行して検証します。

${EXTRACT_DIR?}/scripts/verify_package_files.sh ${EXTRACT_DIR}/partner_software_metadata/OIC_component_partner_software_info.json

次の手順に進む前に、ソフトウェア パッケージの想定されるバージョンを準備して、検証エラーを確認して修正する必要があります。想定されるバージョンから逸脱していることがわかっているソフトウェア パッケージについては、対応するチェックサム検証エラーを無視できますが、準備したファイルが動作することを確認する必要があります。

P1.3: 準備したソフトウェア パッケージを転送する

検証後、${PARTNER_SOFTWARE_DIR} のパートナー ソフトウェア パッケージを、${GDCH_TAR_DIR} の OI リリース tar ファイル prod_partner_OIC_component_bundle.tar.gz とともに、読み込みステップが実行される Google Distributed Cloud（GDC）エアギャップ環境のターゲット マシンに転送する必要があります。

パートナー ソフトウェア パッケージとリリース tar ファイルは共通の親ディレクトリ ${DOWNLOAD_DIR} にあり、同じプロセスで転送できます。

P2: Distributed Cloud 用のソフトウェア パッケージを準備する

準備手順の概要については、前提条件セクションをご覧ください。

準備したソフトウェア パッケージを格納するディレクトリを設定します。実際には、次のエクスポートされた変数を調整して、実際のディレクトリ構造を参照する必要があります。

  GDCH_VERSION=VERSION
  DOWNLOAD_DIR=<the parent directory holding the downloaded files, including GDCH release tar files, e.g. $(pwd)/gdch>

  # GDCH_TAR_DIR contains the downloaded GDCH release tar files.
  export GDCH_TAR_DIR=${DOWNLOAD_DIR?}/${GDCH_VERSION?}

  # PARTNER_SOFTWARE_DIR contains the prepared partner software package files.
  export PARTNER_SOFTWARE_DIR=${DOWNLOAD_DIR?}/partner-software-${GDCH_VERSION?}/gdch
  mkdir -p ${PARTNER_SOFTWARE_DIR}

次のコマンドを実行して、必要な Docker イメージを pull し、対応する tar ファイルにエクスポートします。

  EXTRACT_DIR=$(pwd)/extract/${GDCH_VERSION?}
  mkdir -p ${EXTRACT_DIR?}

  RELEASE_PREFIX="prod_partner_"
  # The command is going to take long time.
  tar -I pigz -xvf ${GDCH_TAR_DIR?}/${RELEASE_PREFIX}gdch.tar.gz -C ${EXTRACT_DIR?} ./release/scripts ./release/partner_software_metadata --strip-components 2

  ${EXTRACT_DIR?}/scripts/save_container_images.sh ${EXTRACT_DIR}/partner_software_metadata/gdch_partner_container_info.json

P3: Distributed Cloud 用の追加のソフトウェア パッケージを準備する

この手順は通常、OI の設定に使用されるシステム コントローラで実行されます。次の前提条件を満たす必要があります。

• リリース tar ファイルがシステム コントローラに転送され、ローカル ディレクトリに抽出されています。
• パートナー ソフトウェア パッケージ ファイルが同じマシンのローカル ディレクトリに転送されている。
• 続行する前に、Splunk からすべてのファイルがダウンロードされていることを確認します。
• 以前の読み込みステップがすべて完了している

前の手順と同様に、実際にはディレクトリ構造を参照するように、次のエクスポートされた変数を調整する必要があります。

GDCH_VERSION=VERSION
EXTRACT_DIR=<the parent directory containing the directories for extracted GDCH release files and partner software files, e.g. $(pwd)/gdch>

# ARTIFACTS_ROOT is the directory containing the extracted GDCH release files.
export ARTIFACTS_ROOT=${EXTRACT_DIR?}/full-release-${GDCH_VERSION?}

# PARTNER_SOFTWARE_DIR contains the partner software package files.
export PARTNER_SOFTWARE_DIR=${EXTRACT_DIR?}/partner-software-${GDCH_VERSION?}/oic

${ARTIFACTS_ROOT}/operations_center に mandiantsecops_heavyfwd.tgz が含まれていることを確認します。

[[ -f "${ARTIFACTS_ROOT}/operations_center/mandiantsecops_heavyfwd.tgz" ]] && echo "File exists." || echo "File does not exist."

L1: OI 設定用のソフトウェア パッケージを読み込む

このステップは通常、OI の設定に使用されるシステム コントローラ（ワーキング マシン）で実行されます。次の前提条件を満たす必要があります。

• リリース tar ファイルが作業マシンに転送され、抽出プロセスに従ってローカル ディレクトリ ${ARTIFACTS_ROOT} に抽出されている。
• パートナー ソフトウェア パッケージ ファイルが、同じマシン内のローカル ディレクトリ ${PARTNER_SOFTWARE_DIR} に転送されている。

パートナー ソフトウェア パッケージを読み込むディレクトリ構造の例は次のとおりです。

$(pwd)
└── gdch  # $EXTRACT_DIR
    └── full-release-$GDCH_VERSION  # $ARTIFACTS_ROOT
        ├── ...  # Extracted GDCH release files
    └── partner-software-${GDCH_VERSION?}
        ├── oic  # $
        ├── gdch # $PARTNER_SOFTWARE_DIR for L2/L3 step

実際には、エクスポートされた次の変数を調整して、実際のディレクトリ構造を参照する必要があります。

GDCH_VERSION=VERSION
EXTRACT_DIR=<the parent directory containing the directories for extracted GDCH release files and partner software files, e.g. $(pwd)/gdch>

# ARTIFACTS_ROOT is the directory containing the extracted GDCH release files.
export ARTIFACTS_ROOT=${EXTRACT_DIR?}/full-release-${GDCH_VERSION?}

# PARTNER_SOFTWARE_DIR contains the partner software package files.
export PARTNER_SOFTWARE_DIR=${EXTRACT_DIR?}/partner-software-${GDCH_VERSION?}/oic

作業マシンで次のコマンドを実行して、OI のデプロイに必要なパートナー ソフトウェアを読み込みます。

${ARTIFACTS_ROOT}/gdcloud system partner-software load --manifest=${ARTIFACTS_ROOT}/partner_software_metadata/OIC_component_partner_software_info.json "${PARTNER_SOFTWARE_DIR}" "${ARTIFACTS_ROOT}"

コマンドが正常に実行されると、${ARTIFACTS_ROOT}/operations_center に OI のパートナー ソフトウェア パッケージが入力されます。

検証エラーでコマンドが失敗した場合は、エラーを確認する必要があります。通常、エラーの原因は次のとおりです。

• 一部のソフトウェア パッケージ ファイルがありません。
• ソフトウェア パッケージ ファイルのバージョンが想定されていません。

ソフトウェア パッケージの想定されるバージョンを準備して、エラーを修正する必要があります。

  # This is a fallback approach to load the partner software packages to deploy OI
  ${ARTIFACTS_ROOT}/scripts/load_raw_packages.sh ${ARTIFACTS_ROOT}/partner_software_metadata/OIC_component_partner_software_info.json

GDC リリース ファイルの手順

このセクションでは、GDC デプロイ用にパートナー ソフトウェア パッケージを読み込む手順について説明します。

L2: GDC デプロイ用のソフトウェア パッケージを読み込む

この手順は、ブートストラップ デプロイのブートストラップ マシンであるワーキング ノード、またはアップグレード用の OI ワークステーションで実行します。

前提条件:

• リリース tar ファイルが作業ノードに転送され、ローカル ディレクトリに抽出されています。
• パートナー ソフトウェア パッケージ ファイルが、ワーキング ノードのローカル ディレクトリに転送されました。
• jq コマンドと docker コマンドは、ワーキング ノードで使用できます。

実際には、エクスポートされた次の変数を調整して、実際のディレクトリ構造を参照する必要があります。

GDCH_VERSION=VERSION
EXTRACT_DIR=<the parent directory containing the directories for extracted GDCH release files and partner software files, e.g. $(pwd)/gdch>

# ARTIFACTS_ROOT is the directory containing the extracted GDCH release files.
export ARTIFACTS_ROOT=${EXTRACT_DIR?}/full-release-${GDCH_VERSION?}

# PARTNER_SOFTWARE_DIR contains the partner software package files.
export PARTNER_SOFTWARE_DIR=${EXTRACT_DIR?}/partner-software-${GDCH_VERSION?}/gdch

L2.1: Distributed Cloud のデプロイに必要なパートナー コンテナ イメージを読み込む

L2.1.1 Docker 構成を設定する

• ブートストラップ プロセスでは、ロードステップはブートストラップ マシンで実行され、コンテナ イメージはブートストラップ ハーバー レジストリにロードされます。これは、後続のデプロイ ステップでルート管理者ハーバー レジストリに配布されます。

  export REGISTRY_ADDR=$(cat /root/.docker/config.json | jq -r '.auths | keys[]' | head -1)
  

  REGISTRY_ADDR がブートストラップ マシンの IP アドレスと一致していることを再確認する必要があります。

  ip -4 -br a s | grep "$REGISTRY_ADDR"
  

• アップグレード プロセスでは、ロードステップは OI ワークステーションで実行され、コンテナ イメージはルート管理ハーバー レジストリに読み込まれます。

  rac_kubeconfig=<KUBECONFIG_PATH to the root admin cluster>
  alias kr="kubectl --kubeconfig=${rac_kubeconfig?}"
  
  export REGISTRY_ADDR=$(echo \
    $(kr get harborcluster harbor -n harbor-system -o jsonpath='{.spec.externalURL}') \
    | sed s#https://##)
  echo "Using harbor registry in ${REGISTRY_ADDR}"
  

  export KUBECONFIG=${rac_kubeconfig?}
  cp ${ARTIFACTS_ROOT}/docker-credential-gdcloud /usr/bin
  export API_GROUP=public
  ${ARTIFACTS_ROOT}/gdcloud auth configure-docker
  unset API_GROUP
  

L2.1.2 パートナーから提供されたコンテナ イメージを Harbor レジストリに読み込みます。

  export PROJECT=library
  export PARTNER_CONTAINER_IMAGES_FILE=${ARTIFACTS_ROOT}/partner_software_metadata/gdch_partner_container_info.json

  ${ARTIFACTS_ROOT}/scripts/load_container_images.sh ${PARTNER_CONTAINER_IMAGES_FILE}

L2.2: パートナー コンテナ イメージが正常に読み込まれたことを確認する

読み込まれたパートナー コンテナ イメージをルート管理者ベアメタル ノードから正常に pull できることを確認する必要があります。

pull するコンテナ イメージのリストを特定するには、次のコマンドを使用します。

  jq -r  '.[]? | [.image] | join(",")' "$PARTNER_CONTAINER_IMAGES_FILE"

確認するには、ルート管理者ベアメタル ノードに SSH 接続し、読み込まれたコンテナ イメージごとに次のコマンドが正常に返されることを確認します。

  crictl pull ${container_image_path}

L3: Distributed Cloud 用の追加のソフトウェア パッケージを読み込む

• ${ARTIFACTS_ROOT}/scripts/ に移動します。
• 構成に正しいファイル名（OC_LINUX_AUDITD_NAME=<file name on machine> など）が入力されていることを確認します。
• デフォルト値（PARTNER_SOFTWARE_DIR など）が入力されていることを確認します。
• 最後に、-c 引数の構成スクリプトを使用して rehydrate_siem_apps.sh スクリプトを実行します。

cd ${ARTIFACTS_ROOT}/scripts
chmod +x rehydrate_siem_apps.sh
./rehydrate_siem_apps.sh -c rehydrate_siem_apps.conf

出力ファイルには、Docker イメージのアップロード場所が表示されます。このイメージは、docker pull で pull することを想定しておらず、自動的に使用される特殊な OCI Tarball イメージです。