4. 서드 파티 소프트웨어 로드

예상 소요 시간: 60분

작동 가능 구성요소 소유자: OELCM/노드

기술 프로필: 배포 엔지니어

이 페이지에서는 파트너가 제공하는 서드 파티 소프트웨어 패키지를 해당 Google Distributed Cloud (GDC) 에어 갭 출시 tar 파일과 함께 로드하는 방법을 설명합니다. 이 페이지의 안내는 다른 페이지에서 참조하도록 되어 있습니다.

용어

• 파트너 소프트웨어 패키지: Distributed Cloud 배포에 필요하지만 파트너 운영 배포용 출시 tar 파일에 포함되지 않으며 파트너가 제공해야 하는 서드 파티 소프트웨어 패키지입니다.
• 파트너 소프트웨어 패키지 로드: Distributed Cloud 출시 tar 파일에서 파트너 제공 소프트웨어 패키지로 아티팩트를 채우는 프로세스입니다.
• 파트너 소프트웨어 매니페스트: 파트너 소프트웨어 패키지 목록의 메타데이터를 설명하는 JSON 파일입니다. 이러한 패키지는 해당 Distributed Cloud 출시 tar 파일을 채우기 위해 로드됩니다.
• 파트너 소프트웨어 아티팩트 디렉터리: 인프라 운영자 (IO)가 파트너 소프트웨어 패키지를 수집하는 소스 디렉터리입니다.
• 아티팩트 루트 디렉터리: Distributed Cloud 출시 타르 파일의 아티팩트가 추출되는 최상위 디렉터리입니다.
• 작업 노드: Distributed Cloud tar 파일을 추출하고 파트너 소프트웨어 패키지를 로드하는 명령어를 실행하는 고급 머신입니다. 배포 컨텍스트에 따라 시스템 컨트롤러, 부트스트래퍼 또는 Operations Suite 인프라 (OI) 워크스테이션일 수 있습니다.

개요

파트너 소프트웨어 패키지로 Distributed Cloud 출시 tar 파일을 채우는 단계는 두 가지입니다.

1. 준비: 파트너는 공급업체에서 필수 소프트웨어 패키지를 가져와 안내에 따라 사전 처리 단계를 실행해야 합니다. 준비 단계가 완료되면 모든 파트너 소프트웨어 패키지 파일을 단일 디렉터리에 넣어야 합니다.

2. 로드: IO는 명령어를 실행하여 출시 tar 파일에서 파트너가 제공한 소프트웨어 패키지로 아티팩트를 채웁니다.

다음 표에서는 배포 시나리오와 관련된 Distributed Cloud 출시 타르 파일을 매핑합니다.

Preparation 단계를 실행하기 위한 기본 요건

준비 단계를 실행할 머신에는 Linux 머신이나 Linux용 Windows 하위 시스템 (WSL) 환경과 같은 bash 환경이 있어야 합니다. 다음과 같은 필수 명령줄 도구를 실행할 수 있어야 합니다.

• gdcloud
• docker
• sha256sum
• jq

일반적으로 Distributed Cloud 출시 tar 파일을 다운로드하는 데 사용되는 머신입니다.

필요한 모든 소프트웨어 패키지 파일은 ${PARTNER_SOFTWARE_DIR}라고 하는 단일 최상위 디렉터리에 준비됩니다.

파트너가 제공할 각 소프트웨어의 준비 단계에는 다음이 포함됩니다.

1. 안내에 따라 해당 공급업체에서 예상되는 버전의 소프트웨어 패키지 파일을 가져옵니다.
2. 준비된 소프트웨어 패키지 파일을 안내에 나온 예상 이름으로 ${PARTNER_SOFTWARE_DIR}에 저장합니다.
3. 준비된 소프트웨어 패키지 파일을 안내에 나온 예상 이름으로 ${PARTNER_SOFTWARE_DIR}에 저장하거나 내보냅니다.

필요한 모든 소프트웨어 패키지 파일을 준비한 후 이러한 파일을 로드하는 안내를 실행하기 전에 각 파일에 예상 이름, 버전, SHA256 체크섬(지정된 경우)이 있는지 확인해야 합니다.

유효성 검사가 끝나면 파트너가 준비한 모든 소프트웨어 패키지 파일이 Distributed Cloud 출시 tar 파일과 함께 파트너 소프트웨어 파일이 로드되는 머신으로 안전하게 전송됩니다. 일반적으로 USB 엄지 드라이브를 통해 전송됩니다. '낮음'에서 '높음'으로 파일 전송 절차는 OOPS-P0001 절차를 참고하세요.

OI 출시 파일 안내

이 섹션에서는 OI 배포를 위해 파트너 소프트웨어 패키지를 준비하고 로드하는 단계를 설명합니다.

P1: OI 설정을 위한 소프트웨어 패키지 준비

준비 단계의 개요는 기본 요건 섹션을 참고하세요.

이 단계는 해당 Distributed Cloud 출시 tar 파일이 동일한 머신에 다운로드된 후에 실행됩니다.

준비된 소프트웨어 패키지를 보관할 디렉터리를 설정합니다. 소프트웨어 패키지를 준비하기 위한 디렉터리 구조의 예는 다음과 같습니다.

$(pwd)
└── extract  # $EXTRACT_DIR
└── gdch  # $DOWNLOAD_DIR
    └── $GDCH_VERSION  # $GDCH_TAR_DIR
        ├── ...  # Downloaded GDCH release files
    └── partner-software-${GDCH_VERSION?}
        ├── oic  # $PARTNER_SOFTWARE_DIR
        ├── gdch # $PARTNER_SOFTWARE_DIR for P2 step

실제 디렉터리 구조를 참조하도록 내보낸 다음 변수를 조정해야 합니다.

GDCH_VERSION=VERSION
DOWNLOAD_DIR=<the parent directory holding the downloaded files, including GDCH release tar files, e.g. $(pwd)/gdch>

# GDCH_TAR_DIR contains the downloaded GDCH release tar files.
export GDCH_TAR_DIR=${DOWNLOAD_DIR?}/${GDCH_VERSION?}

# PARTNER_SOFTWARE_DIR holds the prepared partner software package files.
export PARTNER_SOFTWARE_DIR=${DOWNLOAD_DIR?}/partner-software-${GDCH_VERSION?}/oic
mkdir -p ${PARTNER_SOFTWARE_DIR}

P1.1 표의 소프트웨어 패키지 사양과 안내에 따라 소프트웨어 패키지를 준비합니다.

OI 배포에 필요한 소프트웨어 패키지 파일을 준비하려면 다음 표의 각 소프트웨어 패키지 파일에 대해 다음 단계를 따르세요.

고객은 Microsoft 파트너로부터 모든 Microsoft 설치 미디어를 획득합니다. config_mgr_prereqs.zip 파일의 경우 IT Toil Process IT-T0023을 사용하여 이 파일을 준비해야 합니다.

첫 번째 표에는 각 패키지에 관한 다음 데이터가 포함됩니다.

1. 예상 버전 열은 가져올 소프트웨어 패키지의 타겟 버전을 지정합니다.
2. 예상 파일 이름 열은 소프트웨어 패키지를 ${PARTNER_SOFTWARE_DIR}에 저장할 파일 이름을 지정합니다.
3. 예상 SHA256 열은 준비된 패키지 파일의 예상 SHA256 체크섬을 지정합니다. 준비된 파일에 지정된 SHA256 체크섬이 있는지 확인해야 합니다.
4. 프로젝트 URL 열은 소프트웨어 패키지에 관한 정보가 포함된 URL을 지정합니다.
5. 설명 열에는 소프트웨어 패키지가 간략하게 설명되어 있습니다.

문서 렌더링의 제한으로 인해 별도의 예상 SHA256 표에는 준비된 패키지 파일의 예상 SHA256 체크섬이 지정되어 있습니다.

P1.2: 준비된 소프트웨어 패키지 검증

소프트웨어 패키지의 유효성을 검사하려면 시스템이 다운로드된 Distributed Cloud 출시 tar 파일에서 스크립트와 메타데이터 파일을 추출해야 합니다.

EXTRACT_DIR=$(pwd)/extract/${GDCH_VERSION?}
mkdir -p ${EXTRACT_DIR?}

RELEASE_PREFIX="prod_partner_"
# The command is going to take long time.
tar -I pigz -xvf ${GDCH_TAR_DIR?}/${RELEASE_PREFIX}OIC_component_bundle.tar.gz -C ${EXTRACT_DIR?} ./release/scripts ./release/partner_software_metadata --strip-components 2

그런 다음 명령어를 실행하여 유효성을 검사합니다.

${EXTRACT_DIR?}/scripts/verify_package_files.sh ${EXTRACT_DIR}/partner_software_metadata/OIC_component_partner_software_info.json

다음 단계로 진행하기 전에 예상되는 버전의 소프트웨어 패키지를 준비하여 유효성 검사 오류를 확인하고 수정해야 합니다. 예상 버전에서 벗어난 것으로 알려진 소프트웨어 패키지의 경우 해당 체크섬 유효성 검사 오류가 무시될 수 있지만 준비된 파일이 작동하는지 확인해야 합니다.

P1.3: 준비된 소프트웨어 패키지 전송

유효성 검사 후 ${PARTNER_SOFTWARE_DIR}의 파트너 소프트웨어 패키지를 로드 단계가 실행되는 Google Distributed Cloud(GDC) 에어갭 환경의 타겟 머신으로 OI 출시 타르 파일 prod_partner_OIC_component_bundle.tar.gz(${GDCH_TAR_DIR}에 있음)과 함께 전송해야 합니다.

파트너 소프트웨어 패키지와 출시 tar 파일은 공통 상위 디렉터리 ${DOWNLOAD_DIR}에 있으며 동일한 프로세스로 전송할 수 있습니다.

P2: Distributed Cloud용 소프트웨어 패키지 준비

준비 단계의 개요는 기본 요건 섹션을 참고하세요.

준비된 소프트웨어 패키지를 보관할 디렉터리를 설정합니다. 실제 디렉터리 구조를 참조하도록 내보낸 다음 변수를 조정해야 합니다.

  GDCH_VERSION=VERSION
  DOWNLOAD_DIR=<the parent directory holding the downloaded files, including GDCH release tar files, e.g. $(pwd)/gdch>

  # GDCH_TAR_DIR contains the downloaded GDCH release tar files.
  export GDCH_TAR_DIR=${DOWNLOAD_DIR?}/${GDCH_VERSION?}

  # PARTNER_SOFTWARE_DIR contains the prepared partner software package files.
  export PARTNER_SOFTWARE_DIR=${DOWNLOAD_DIR?}/partner-software-${GDCH_VERSION?}/gdch
  mkdir -p ${PARTNER_SOFTWARE_DIR}

다음 명령어를 실행하여 필요한 Docker 이미지를 가져오고 해당 tar 파일로 내보냅니다.

  EXTRACT_DIR=$(pwd)/extract/${GDCH_VERSION?}
  mkdir -p ${EXTRACT_DIR?}

  RELEASE_PREFIX="prod_partner_"
  # The command is going to take long time.
  tar -I pigz -xvf ${GDCH_TAR_DIR?}/${RELEASE_PREFIX}gdch.tar.gz -C ${EXTRACT_DIR?} ./release/scripts ./release/partner_software_metadata --strip-components 2

  ${EXTRACT_DIR?}/scripts/save_container_images.sh ${EXTRACT_DIR}/partner_software_metadata/gdch_partner_container_info.json

P3: Distributed Cloud용 추가 소프트웨어 패키지 준비

이 단계는 일반적으로 OI를 설정하는 데 사용되는 시스템 컨트롤러에서 실행됩니다. 다음 기본 요건이 필요합니다.

• 출시 tar 파일이 시스템 컨트롤러로 전송되었고 로컬 디렉터리로 추출되었습니다.
• 파트너 소프트웨어 패키지 파일이 동일한 머신의 로컬 디렉터리로 전송되었습니다.
• 계속하기 전에 Splunk에서 모든 파일을 다운로드했는지 확인하세요.
• 이전 로드 단계가 모두 완료됨

이전 단계와 마찬가지로 실제 디렉터리 구조를 참조하도록 내보낸 다음 변수를 조정해야 합니다.

GDCH_VERSION=VERSION
EXTRACT_DIR=<the parent directory containing the directories for extracted GDCH release files and partner software files, e.g. $(pwd)/gdch>

# ARTIFACTS_ROOT is the directory containing the extracted GDCH release files.
export ARTIFACTS_ROOT=${EXTRACT_DIR?}/full-release-${GDCH_VERSION?}

# PARTNER_SOFTWARE_DIR contains the partner software package files.
export PARTNER_SOFTWARE_DIR=${EXTRACT_DIR?}/partner-software-${GDCH_VERSION?}/oic

${ARTIFACTS_ROOT}/operations_center에 mandiantsecops_heavyfwd.tgz이 포함되어 있는지 확인합니다.

[[ -f "${ARTIFACTS_ROOT}/operations_center/mandiantsecops_heavyfwd.tgz" ]] && echo "File exists." || echo "File does not exist."

L1: OI 설정을 위한 소프트웨어 패키지 로드

이 단계는 일반적으로 OI를 설정하는 데 사용되는 시스템 컨트롤러에서 실행됩니다. 이를 작업 머신이라고 합니다. 다음 필수 구성요소가 필요합니다.

• 출시 tar 파일이 작업 머신으로 전송되었고 추출 프로세스에 따라 로컬 디렉터리 ${ARTIFACTS_ROOT}에 추출되었습니다.
• 파트너 소프트웨어 패키지 파일이 동일한 머신의 로컬 디렉터리 ${PARTNER_SOFTWARE_DIR}로 전송되었습니다.

파트너 소프트웨어 패키지를 로드하는 디렉터리 구조의 예는 다음과 같습니다.

$(pwd)
└── gdch  # $EXTRACT_DIR
    └── full-release-$GDCH_VERSION  # $ARTIFACTS_ROOT
        ├── ...  # Extracted GDCH release files
    └── partner-software-${GDCH_VERSION?}
        ├── oic  # $
        ├── gdch # $PARTNER_SOFTWARE_DIR for L2/L3 step

실제 디렉터리 구조를 참조하도록 내보낸 다음 변수를 조정해야 합니다.

GDCH_VERSION=VERSION
EXTRACT_DIR=<the parent directory containing the directories for extracted GDCH release files and partner software files, e.g. $(pwd)/gdch>

# ARTIFACTS_ROOT is the directory containing the extracted GDCH release files.
export ARTIFACTS_ROOT=${EXTRACT_DIR?}/full-release-${GDCH_VERSION?}

# PARTNER_SOFTWARE_DIR contains the partner software package files.
export PARTNER_SOFTWARE_DIR=${EXTRACT_DIR?}/partner-software-${GDCH_VERSION?}/oic

작업 머신에서 다음 명령어를 실행하여 OI 배포에 필요한 파트너 소프트웨어를 로드합니다.

${ARTIFACTS_ROOT}/gdcloud system partner-software load --manifest=${ARTIFACTS_ROOT}/partner_software_metadata/OIC_component_partner_software_info.json "${PARTNER_SOFTWARE_DIR}" "${ARTIFACTS_ROOT}"

명령어를 성공적으로 실행하면 ${ARTIFACTS_ROOT}/operations_center에 OI용 파트너 소프트웨어 패키지가 채워집니다.

명령어가 유효성 검사 오류로 인해 실패한 경우 오류를 확인해야 합니다. 일반적으로 오류는 다음으로 인해 발생합니다.

• 일부 소프트웨어 패키지 파일이 누락되었습니다.
• 소프트웨어 패키지 파일의 버전이 예상되지 않습니다.

예상되는 버전의 소프트웨어 패키지를 준비하여 오류를 수정해야 합니다.

  # This is a fallback approach to load the partner software packages to deploy OI
  ${ARTIFACTS_ROOT}/scripts/load_raw_packages.sh ${ARTIFACTS_ROOT}/partner_software_metadata/OIC_component_partner_software_info.json

GDC 출시 파일 안내

이 섹션에서는 GDC 배포를 위해 파트너 소프트웨어 패키지를 로드하는 단계를 설명합니다.

L2: GDC 배포용 소프트웨어 패키지 로드

부트스트랩 배포의 부트스트래퍼 머신 또는 업그레이드의 OI 워크스테이션인 작업 노드에서 이 단계를 실행합니다.

기본 요건:

• 출시 tar 파일이 작업 노드로 전송되고 로컬 디렉터리로 추출되었습니다.
• 파트너 소프트웨어 패키지 파일이 작업 노드의 로컬 디렉터리로 전송되었습니다.
• jq 및 docker 명령은 작업 노드에서 사용할 수 있습니다.

실제 디렉터리 구조를 참조하도록 내보낸 다음 변수를 조정해야 합니다.

GDCH_VERSION=VERSION
EXTRACT_DIR=<the parent directory containing the directories for extracted GDCH release files and partner software files, e.g. $(pwd)/gdch>

# ARTIFACTS_ROOT is the directory containing the extracted GDCH release files.
export ARTIFACTS_ROOT=${EXTRACT_DIR?}/full-release-${GDCH_VERSION?}

# PARTNER_SOFTWARE_DIR contains the partner software package files.
export PARTNER_SOFTWARE_DIR=${EXTRACT_DIR?}/partner-software-${GDCH_VERSION?}/gdch

L2.1: Distributed Cloud 배포에 필요한 파트너 컨테이너 이미지 로드

L2.1.1 Docker 구성 설정

• 부트스트랩 프로세스의 경우 로드 단계는 부트스트래퍼 머신에서 실행되며 컨테이너 이미지는 부트스트래퍼 Harbor 레지스트리에 로드됩니다. 이는 나중에 배포 단계에서 루트 관리자 Harbor 레지스트리에 배포됩니다.

  export REGISTRY_ADDR=$(cat /root/.docker/config.json | jq -r '.auths | keys[]' | head -1)
  

  REGISTRY_ADDR가 부트스트래퍼 머신의 IP 주소와 일치하는지 다시 한번 확인해야 합니다.

  ip -4 -br a s | grep "$REGISTRY_ADDR"
  

• 업그레이드 프로세스의 경우 로드 단계가 OI 워크스테이션에서 실행되며 컨테이너 이미지가 루트 관리자 Harbor 레지스트리에 로드됩니다.

  rac_kubeconfig=<KUBECONFIG_PATH to the root admin cluster>
  alias kr="kubectl --kubeconfig=${rac_kubeconfig?}"
  
  export REGISTRY_ADDR=$(echo \
    $(kr get harborcluster harbor -n harbor-system -o jsonpath='{.spec.externalURL}') \
    | sed s#https://##)
  echo "Using harbor registry in ${REGISTRY_ADDR}"
  

  export KUBECONFIG=${rac_kubeconfig?}
  cp ${ARTIFACTS_ROOT}/docker-credential-gdcloud /usr/bin
  export API_GROUP=public
  ${ARTIFACTS_ROOT}/gdcloud auth configure-docker
  unset API_GROUP
  

L2.1.2 파트너가 제공한 컨테이너 이미지를 Harbor 레지스트리에 로드합니다.

  export PROJECT=library
  export PARTNER_CONTAINER_IMAGES_FILE=${ARTIFACTS_ROOT}/partner_software_metadata/gdch_partner_container_info.json

  ${ARTIFACTS_ROOT}/scripts/load_container_images.sh ${PARTNER_CONTAINER_IMAGES_FILE}

L2.2: 파트너 컨테이너 이미지가 성공적으로 로드되었는지 확인

로드된 파트너 컨테이너 이미지를 루트 관리자 베어 메탈 노드에서 성공적으로 가져올 수 있는지 확인해야 합니다.

가져올 컨테이너 이미지 목록을 확인하려면 다음을 사용하세요.

  jq -r  '.[]? | [.image] | join(",")' "$PARTNER_CONTAINER_IMAGES_FILE"

확인하려면 루트 관리자 베어메탈 노드로 SSH를 실행하고 로드된 각 컨테이너 이미지에 대해 다음 명령어가 성공적으로 반환되는지 확인합니다.

  crictl pull ${container_image_path}

L3: Distributed Cloud용 추가 소프트웨어 패키지 로드

• ${ARTIFACTS_ROOT}/scripts/로 이동합니다.
• 구성 (예: OC_LINUX_AUDITD_NAME=<file name on machine>)에 올바른 파일 이름이 입력되었는지 확인합니다.
• 기본값 (예: PARTNER_SOFTWARE_DIR)이 입력되었는지 확인합니다.
• 마지막으로 -c 인수의 구성 스크립트로 rehydrate_siem_apps.sh 스크립트를 실행합니다.

cd ${ARTIFACTS_ROOT}/scripts
chmod +x rehydrate_siem_apps.sh
./rehydrate_siem_apps.sh -c rehydrate_siem_apps.conf

출력 파일에는 Docker 이미지의 업로드 위치가 표시됩니다. 이 이미지는 docker pull로 풀지 않고 자동으로 사용되는 특수 OCI Tarball 이미지입니다.