Esta página se ha traducido con Cloud Translation API.

Descripción general de la actualización

En esta guía se proporciona información sobre el proceso de actualización con los pasos necesarios para mitigar o corregir una vulnerabilidad de seguridad en Google Distributed Cloud (GDC) air-gapped. En este contenido se presupone que hay disponible un nuevo paquete de Distributed Cloud con la corrección de seguridad pertinente y que el operador de infraestructura (IO) puede acceder a él. Distributed Cloud implica actualizaciones manuales, y es posible que un parche de seguridad específico se aplique a uno o varios componentes de la pila.

En la página de instrucciones se indican los pasos para actualizar varios componentes. En ocasiones, solo se aplican algunos de los pasos de actualización, en función del parche específico. Si hay una vulnerabilidad grave o crítica que el IO no puede solucionar de inmediato, Google puede tomar medidas como bloquear puertos específicos, inhabilitar funciones o desactivar componentes para mitigar temporalmente la vulnerabilidad y contener el radio de explosión. Estos eventos son poco frecuentes y, en esos casos, Google proporciona instrucciones exactas que se deben seguir en función de un plan de mitigación.

Requisitos previos

Antes de empezar, asegúrate de que se cumplen los siguientes requisitos:

Acceso al sistema y permisos necesarios para realizar actualizaciones:
- Tu persona de contacto de Google tiene una dirección de correo para ti y para cada operador, con la que puede concederte acceso al segmento de Cloud Storage.
- Tu contacto de Google ha verificado que tienes acceso al repositorio de descargas para que puedas descargar una distribución de Distributed Cloud.
- La versión de distribución y la información del resumen que te proporcione tu contacto de Google cuando confirme que tienes acceso al repositorio de descargas.
Las herramientas necesarias para validar la integridad del paquete descargado e instalado:
- Descargar e instalar la CLI de gdcloud
- Actualiza a la versión más reciente.
- Descarga e instala Google Cloud CLI en https://cloud.google.com/sdk/docs/install.
- Verificar el acceso a OpenSSL - ubicación predeterminada: /usr/local/ssl
- Autentícate con gdcloud auth login.
- Actualiza a la versión más reciente de la CLI ejecutando gdcloud components update.
Acceso a un dispositivo físico seguro, tal como se describe en la sección Copiar el paquete en la implementación aislada del artículo Transferir la descarga de Distributed Cloud a tu entorno aislado de la página Instalación del servidor Bootstrapper.
Un despliegue de nube distribuida en estado de funcionamiento. Si uno o varios componentes están en un estado incorrecto, no continúes con las actualizaciones, ya que esto podría provocar más complicaciones.
Verificación de que no hay ninguna actualización en curso en la implementación antes de activar una actualización.
Verificación de que tienes instalados los parches anteriores antes de iniciar una actualización. Por ejemplo, para actualizar a la versión 1.x.y, ya debes tener instalada la siguiente versión menor o de parche:
- Una actualización de versión secundaria de 1.(x-1).y', donde el valor de y' es cualquier valor; (x-1) se actualiza a x.
- O bien, una actualización de la versión de parche 1.x.y'', donde y'' < y.
1. Obtén tu versión actual. En este ejemplo, 1.(x-1)y' es 1.8.0-gdch.843:
```
kubectl --kubeconfig ROOT_ADMIN_KUBECONFIG get org -n  \
    gpc-system root -ojsonpath='{.spec.version}{"\n"}'
```
2. Sustituye ROOT_ADMIN_KUBECONFIG por la ruta al archivo kubeconfig que has obtenido al ejecutar gdcloud auth login en el clúster de administrador raíz. Para obtener instrucciones, consulta Obtener un archivo kubeconfig.
  
  Ejemplo:
```
1.8.0-gdch.843
```
3. Verifica que el resultado coincida con la versión a la que quieres actualizar.
  
  Nota: Las actualizaciones solo se pueden realizar desde la última versión secundaria, como 1.(x-1).y', a la siguiente versión, 1.x.y'. No se admiten las actualizaciones de tipo de versión secundaria, como de 1.(x-2).y a 1.x.y. Sin embargo, las actualizaciones intermedias de 1.(x).y' a 1.(x)y'', donde y' es igual a (y''-2), por ejemplo, se pueden omitir en las actualizaciones de parches, a menos que se estipule específicamente en los componentes afectados.

Siguientes pasos

Realiza siempre las actualizaciones en el orden especificado en las instrucciones. Algunas actualizaciones requieren comprobaciones y procesos previos, mientras que otras requieren comprobaciones posteriores. En cada sección de actualización se proporciona información aplicable, como los componentes que se actualizan, si la actualización es disruptiva y el tiempo de inactividad previsto. A continuación, se incluye una descripción general del flujo del proceso:

Descarga el paquete de actualización.
Envía los artefactos al registro de contenedores.
Realizar actualizaciones automáticas.
Realiza las actualizaciones manuales en el orden indicado, aunque una actualización concreta no se aplique a todos los componentes. Inicia cada actualización de forma secuencial cuando se haya completado la anterior.

Ve a la página de instrucciones para iniciar una actualización.