4. Carregar software de terceiros

Tempo estimado para a conclusão: 60 minutos

Proprietário do componente operacional: OELCM/nó

Perfil de habilidade: engenheiro de implantação

Esta página fornece instruções para carregar pacotes de software de terceiros fornecidos pelo parceiro com os arquivos tar de lançamento isolados do Google Distributed Cloud (GDC) correspondentes. As instruções nesta página devem ser referenciadas em outras páginas.

Terminologia

• Pacote de software do parceiro: um pacote de software de terceiros necessário para a implantação do Distributed Cloud, mas não incluído nos arquivos tar de lançamento para implantações operadas por parceiros e que precisa ser fornecido pelo parceiro.
• Carregar pacotes de software de parceiros: um processo para preencher artefatos de arquivos tar de lançamento do Distributed Cloud com pacotes de software fornecidos por parceiros.
• Manifesto de software do parceiro: um arquivo JSON que descreve os metadados de uma lista de pacotes de software de parceiros. Esses pacotes são carregados para preencher um arquivo tar de lançamento do Distributed Cloud correspondente.
• Diretório de artefatos de software do parceiro: um diretório de origem em que o operador de infraestrutura (IO, na sigla em inglês) coleta pacotes de software de parceiros.
• Diretório raiz do artefato: um diretório de nível superior em que os artefatos dos arquivos tar de lançamento do Distributed Cloud são extraídos.
• Nó de trabalho: uma máquina no lado alto que executa comandos para extrair um arquivo tar do Distributed Cloud e carregar pacotes de software de parceiros. Pode ser um controlador de sistema, o bootstrap ou uma estação de trabalho da infraestrutura da Operations Suite (OI), dependendo do contexto da implantação.

Visão geral

Há duas etapas para preencher os arquivos tar de lançamento do Distributed Cloud com pacotes de software de parceiros:

1. Preparação: o parceiro precisa buscar os pacotes de software necessários dos fornecedores e executar as etapas de pré-processamento de acordo com as instruções. Após a conclusão da etapa de preparação, todos os arquivos de pacote de software do parceiro precisam ser colocados em um único diretório.

2. Carregar: o IO executa comandos para preencher artefatos de um arquivo tar de lançamento com os pacotes de software fornecidos pelo parceiro.

A tabela a seguir mapeia o cenário de implantação para os arquivos tar de lançamento do Distributed Cloud envolvidos.

Pré-requisitos para executar a etapa Preparation

A máquina para executar a etapa de preparação precisa ter um ambiente bash, como uma máquina Linux ou um ambiente do Subsistema do Windows para Linux (WSL, na sigla em inglês). Ele precisa ser capaz de executar as ferramentas de linha de comando necessárias, incluindo:

• gdcloud
• docker
• sha256sum
• jq

Geralmente, é a máquina usada para fazer o download dos arquivos tar da versão do Distributed Cloud.

Todos os arquivos de pacote de software necessários são preparados para um único diretório de nível superior, chamado de ${PARTNER_SOFTWARE_DIR}.

Para cada software que será fornecido pelo parceiro, a etapa de preparação inclui:

1. Busque a versão esperada do arquivo de pacote de software do fornecedor correspondente de acordo com as instruções.
2. Salve o arquivo do pacote de software preparado em ${PARTNER_SOFTWARE_DIR} com o nome esperado nas instruções.
3. Salve ou exporte o arquivo do pacote de software preparado para ${PARTNER_SOFTWARE_DIR} com o nome esperado nas instruções.

Depois que todos os arquivos de pacote de software necessários forem preparados, valide cada um deles para ter o nome, a versão e a soma de verificação SHA256 esperados, se especificado, antes de executar as instruções para carregar esses arquivos.

Após a validação, todos os arquivos do pacote de software preparados pelo parceiro são transferidos com segurança para as máquinas em que os arquivos de software do parceiro são carregados junto com os arquivos tar da versão do Distributed Cloud. A transferência geralmente é feita por um pen drive USB. Consulte o processo OOPS-P0001 para o procedimento de transferência de arquivos de baixa para alta.

Instruções para o arquivo de lançamento de OI

Nesta seção, descrevemos as etapas para preparar e carregar pacotes de software de parceiros para implantação do OI.

P1: preparar os pacotes de software para a configuração do OI

Consulte a seção pré-requisitos para uma visão geral da etapa de preparação.

Esta etapa é executada depois que os arquivos tar da versão correspondente do Distributed Cloud são baixados na mesma máquina.

Configure o diretório para armazenar os pacotes de software preparados. Um exemplo de estrutura de diretório para preparar os pacotes de software é o seguinte:

$(pwd)
└── extract  # $EXTRACT_DIR
└── gdch  # $DOWNLOAD_DIR
    └── $GDCH_VERSION  # $GDCH_TAR_DIR
        ├── ...  # Downloaded GDCH release files
    └── partner-software-${GDCH_VERSION?}
        ├── oic  # $PARTNER_SOFTWARE_DIR
        ├── gdch # $PARTNER_SOFTWARE_DIR for P2 step

É preciso ajustar as seguintes variáveis exportadas para se referirem à estrutura de diretório real.

GDCH_VERSION=VERSION
DOWNLOAD_DIR=<the parent directory holding the downloaded files, including GDCH release tar files, e.g. $(pwd)/gdch>

# GDCH_TAR_DIR contains the downloaded GDCH release tar files.
export GDCH_TAR_DIR=${DOWNLOAD_DIR?}/${GDCH_VERSION?}

# PARTNER_SOFTWARE_DIR holds the prepared partner software package files.
export PARTNER_SOFTWARE_DIR=${DOWNLOAD_DIR?}/partner-software-${GDCH_VERSION?}/oic
mkdir -p ${PARTNER_SOFTWARE_DIR}

P1.1 Siga as especificações e instruções do pacote de software nas tabelas para preparar os pacotes de software

Para preparar os arquivos de pacote de software necessários para implantar o OI, faça o seguinte para cada arquivo de pacote de software nas tabelas a seguir:

Os clientes adquirem toda a mídia de instalação da Microsoft com o parceiro da Microsoft. No caso do arquivo config_mgr_prereqs.zip, ele precisa ser preparado usando o processo de trabalho de TI IT-T0023.

A primeira tabela contém os seguintes dados para cada pacote:

1. A coluna Versão esperada especifica a versão de destino do pacote de software a ser buscada.
2. A coluna Nome de arquivo esperado especifica o nome do arquivo para salvar o pacote de software em ${PARTNER_SOFTWARE_DIR}.
3. A coluna SHA256 esperado especifica a soma de verificação SHA256 esperada para o arquivo de pacote preparado. Você precisa validar se o arquivo preparado tem a soma de verificação SHA256 especificada.
4. A coluna URL do projeto especifica o URL com as informações sobre o pacote de software.
5. A coluna Descrição descreve brevemente o pacote de software.

Devido a limitações na renderização de documentos, a tabela separada SHA256 esperado especifica a soma de verificação SHA256 esperada para o arquivo de pacote preparado.

P1.2: validar os pacotes de software preparados

Para validar os pacotes de software, o sistema precisa extrair scripts e arquivos de metadados dos arquivos tar da versão do Distributed Cloud baixados.

EXTRACT_DIR=$(pwd)/extract/${GDCH_VERSION?}
mkdir -p ${EXTRACT_DIR?}

RELEASE_PREFIX="prod_partner_"
# The command is going to take long time.
tar -I pigz -xvf ${GDCH_TAR_DIR?}/${RELEASE_PREFIX}OIC_component_bundle.tar.gz -C ${EXTRACT_DIR?} ./release/scripts ./release/partner_software_metadata --strip-components 2

Em seguida, execute o comando para validar:

${EXTRACT_DIR?}/scripts/verify_package_files.sh ${EXTRACT_DIR}/partner_software_metadata/OIC_component_partner_software_info.json

Antes de prosseguir para a próxima etapa, confirme e corrija os erros de validação preparando a versão esperada dos pacotes de software. Para um pacote de software que se sabe estar desviado da versão esperada, o erro de validação de soma de verificação correspondente pode ser ignorado. No entanto, é necessário garantir que o arquivo preparado esteja funcionando.

P1.3: transferir os pacotes de software preparados

Após a validação, os pacotes de software do parceiro em ${PARTNER_SOFTWARE_DIR} precisam ser transferidos para a máquina de destino no ambiente isolado do Google Distributed Cloud (GDC), em que a etapa de carregamento é executada, junto com o arquivo tar de lançamento do OI prod_partner_OIC_component_bundle.tar.gz em ${GDCH_TAR_DIR}.

Os pacotes de software do parceiro e o arquivo tar de lançamento estão localizados em um diretório principal comum ${DOWNLOAD_DIR} e podem ser transferidos com o mesmo processo.

P2: Prepare pacotes de software para o Distributed Cloud

Consulte a seção pré-requisitos para uma visão geral da etapa de preparação.

Configure o diretório para armazenar os pacotes de software preparados. É preciso ajustar as seguintes variáveis exportadas para se referirem à estrutura de diretório real.

  GDCH_VERSION=VERSION
  DOWNLOAD_DIR=<the parent directory holding the downloaded files, including GDCH release tar files, e.g. $(pwd)/gdch>

  # GDCH_TAR_DIR contains the downloaded GDCH release tar files.
  export GDCH_TAR_DIR=${DOWNLOAD_DIR?}/${GDCH_VERSION?}

  # PARTNER_SOFTWARE_DIR contains the prepared partner software package files.
  export PARTNER_SOFTWARE_DIR=${DOWNLOAD_DIR?}/partner-software-${GDCH_VERSION?}/gdch
  mkdir -p ${PARTNER_SOFTWARE_DIR}

Execute os comandos a seguir para extrair as imagens do Docker necessárias e exportá-las para os arquivos tar correspondentes:

  EXTRACT_DIR=$(pwd)/extract/${GDCH_VERSION?}
  mkdir -p ${EXTRACT_DIR?}

  RELEASE_PREFIX="prod_partner_"
  # The command is going to take long time.
  tar -I pigz -xvf ${GDCH_TAR_DIR?}/${RELEASE_PREFIX}gdch.tar.gz -C ${EXTRACT_DIR?} ./release/scripts ./release/partner_software_metadata --strip-components 2

  ${EXTRACT_DIR?}/scripts/save_container_images.sh ${EXTRACT_DIR}/partner_software_metadata/gdch_partner_container_info.json

P3: preparar pacotes de software adicionais para a Distributed Cloud

A etapa normalmente é executada no controlador do sistema, que é usado para configurar a OI. Estes são os pré-requisitos:

• Os arquivos tar de lançamento foram transferidos para o controlador do sistema e extraídos para um diretório local.
• Os arquivos de pacotes de software do parceiro foram transferidos para um diretório local na mesma máquina.
• Confira se todos os arquivos foram baixados do Splunk antes de continuar.
• Todas as etapas de carregamento anteriores foram concluídas

Assim como na etapa anterior, ajuste as seguintes variáveis exportadas para se referirem à estrutura de diretórios real.

GDCH_VERSION=VERSION
EXTRACT_DIR=<the parent directory containing the directories for extracted GDCH release files and partner software files, e.g. $(pwd)/gdch>

# ARTIFACTS_ROOT is the directory containing the extracted GDCH release files.
export ARTIFACTS_ROOT=${EXTRACT_DIR?}/full-release-${GDCH_VERSION?}

# PARTNER_SOFTWARE_DIR contains the partner software package files.
export PARTNER_SOFTWARE_DIR=${EXTRACT_DIR?}/partner-software-${GDCH_VERSION?}/oic

Verifique se ${ARTIFACTS_ROOT}/operations_center contém mandiantsecops_heavyfwd.tgz,

[[ -f "${ARTIFACTS_ROOT}/operations_center/mandiantsecops_heavyfwd.tgz" ]] && echo "File exists." || echo "File does not exist."

L1: carregar pacotes de software para configuração do OI

A etapa normalmente é executada no controlador do sistema, que é usado para configurar OI, chamado de máquina de trabalho. Os seguintes pré-requisitos são necessários:

• Os arquivos tar de lançamento foram transferidos para a máquina de trabalho e extraídos para um diretório local ${ARTIFACTS_ROOT} de acordo com o processo de extração.
• Os arquivos de pacotes de software do parceiro foram transferidos para um diretório local ${PARTNER_SOFTWARE_DIR} na mesma máquina.

Um exemplo de estrutura de diretório para carregar os pacotes de software do parceiro é:

$(pwd)
└── gdch  # $EXTRACT_DIR
    └── full-release-$GDCH_VERSION  # $ARTIFACTS_ROOT
        ├── ...  # Extracted GDCH release files
    └── partner-software-${GDCH_VERSION?}
        ├── oic  # $
        ├── gdch # $PARTNER_SOFTWARE_DIR for L2/L3 step

Ajuste as seguintes variáveis exportadas para se referirem à estrutura de diretório real.

GDCH_VERSION=VERSION
EXTRACT_DIR=<the parent directory containing the directories for extracted GDCH release files and partner software files, e.g. $(pwd)/gdch>

# ARTIFACTS_ROOT is the directory containing the extracted GDCH release files.
export ARTIFACTS_ROOT=${EXTRACT_DIR?}/full-release-${GDCH_VERSION?}

# PARTNER_SOFTWARE_DIR contains the partner software package files.
export PARTNER_SOFTWARE_DIR=${EXTRACT_DIR?}/partner-software-${GDCH_VERSION?}/oic

Na máquina de trabalho, execute o comando a seguir para carregar o software do parceiro necessário para implantar o OI:

${ARTIFACTS_ROOT}/gdcloud system partner-software load --manifest=${ARTIFACTS_ROOT}/partner_software_metadata/OIC_component_partner_software_info.json "${PARTNER_SOFTWARE_DIR}" "${ARTIFACTS_ROOT}"

Depois de executar o comando, ${ARTIFACTS_ROOT}/operations_center será preenchido com os pacotes de software de parceiros para OI.

Se o comando falhar com erros de validação, verifique-os. Normalmente, os erros são causados por:

• Algum arquivo de pacote de software está faltando.
• A versão de um arquivo de pacote de software não é esperada.

Para corrigir os erros, prepare a versão esperada dos pacotes de software.

  # This is a fallback approach to load the partner software packages to deploy OI
  ${ARTIFACTS_ROOT}/scripts/load_raw_packages.sh ${ARTIFACTS_ROOT}/partner_software_metadata/OIC_component_partner_software_info.json

Instruções para o arquivo de lançamento do GDC

Nesta seção, descrevemos as etapas para carregar pacotes de software de parceiros para implantação do GDC.

L2: carregar os pacotes de software para implantação da GDC

Execute esta etapa em um nó de trabalho, que é a máquina de bootstrap para implantação de bootstrap ou a estação de trabalho do OI para upgrade.

Pré-requisitos:

• Os arquivos tar de lançamento foram transferidos para o nó de trabalho e extraídos para um diretório local.
• Os arquivos de pacote de software do parceiro foram transferidos para um diretório local no nó de trabalho.
• Os comandos jq e docker estão disponíveis no nó de trabalho.

Ajuste as seguintes variáveis exportadas para se referirem à estrutura de diretório real.

GDCH_VERSION=VERSION
EXTRACT_DIR=<the parent directory containing the directories for extracted GDCH release files and partner software files, e.g. $(pwd)/gdch>

# ARTIFACTS_ROOT is the directory containing the extracted GDCH release files.
export ARTIFACTS_ROOT=${EXTRACT_DIR?}/full-release-${GDCH_VERSION?}

# PARTNER_SOFTWARE_DIR contains the partner software package files.
export PARTNER_SOFTWARE_DIR=${EXTRACT_DIR?}/partner-software-${GDCH_VERSION?}/gdch

L2.1: carregar imagens de contêiner de parceiros necessárias para a implantação do Distributed Cloud

L2.1.1: configurar as configurações do Docker

• Para o processo de bootstrap, a etapa de carregamento é executada na máquina de bootstrap, e as imagens de contêiner são carregadas no registro do harbor de bootstrap, que será distribuído para o registro do harbor de administrador raiz em etapas de implantação posteriores.

  export REGISTRY_ADDR=$(cat /root/.docker/config.json | jq -r '.auths | keys[]' | head -1)
  

  Confira se REGISTRY_ADDR corresponde ao endereço IP da máquina de bootstrap:

  ip -4 -br a s | grep "$REGISTRY_ADDR"
  

• Para o processo de upgrade, a etapa de carregamento é executada na estação de trabalho da OI, e as imagens de contêiner são carregadas no registro do harbor do administrador raiz.

  rac_kubeconfig=<KUBECONFIG_PATH to the root admin cluster>
  alias kr="kubectl --kubeconfig=${rac_kubeconfig?}"
  
  export REGISTRY_ADDR=$(echo \
    $(kr get harborcluster harbor -n harbor-system -o jsonpath='{.spec.externalURL}') \
    | sed s#https://##)
  echo "Using harbor registry in ${REGISTRY_ADDR}"
  

  export KUBECONFIG=${rac_kubeconfig?}
  cp ${ARTIFACTS_ROOT}/docker-credential-gdcloud /usr/bin
  export API_GROUP=public
  ${ARTIFACTS_ROOT}/gdcloud auth configure-docker
  unset API_GROUP
  

L2.1.2 Carregue as imagens de contêiner fornecidas pelo parceiro no registro do harbor.

  export PROJECT=library
  export PARTNER_CONTAINER_IMAGES_FILE=${ARTIFACTS_ROOT}/partner_software_metadata/gdch_partner_container_info.json

  ${ARTIFACTS_ROOT}/scripts/load_container_images.sh ${PARTNER_CONTAINER_IMAGES_FILE}

L2.2: verificar se as imagens de contêiner do parceiro foram carregadas

Verifique se as imagens de contêiner do parceiro carregadas podem ser extraídas de um nó bare metal administrador raiz com sucesso.

Para determinar a lista de imagens de contêiner a serem extraídas, use:

  jq -r  '.[]? | [.image] | join(",")' "$PARTNER_CONTAINER_IMAGES_FILE"

Para verificar, faça SSH em um nó bare metal de administrador raiz e, para cada imagem de contêiner carregada, confira se os seguintes comandos são executados sem erros:

  crictl pull ${container_image_path}

L3: carregar pacotes de software adicionais para o Distributed Cloud

• Acesse ${ARTIFACTS_ROOT}/scripts/.
• Verifique se os nomes de arquivo corretos foram inseridos para a configuração (por exemplo, OC_LINUX_AUDITD_NAME=<file name on machine>).
• Verifique se os valores padrão (como PARTNER_SOFTWARE_DIR) foram preenchidos.
• Por fim, execute o script rehydrate_siem_apps.sh com o script de configuração para o argumento -c.

cd ${ARTIFACTS_ROOT}/scripts
chmod +x rehydrate_siem_apps.sh
./rehydrate_siem_apps.sh -c rehydrate_siem_apps.conf

No arquivo de saída, ele vai fornecer um local de upload da imagem do Docker. Essa imagem é um tarball OCI especializado que não deve ser extraído com docker pull, mas será consumido automaticamente.