Cette page a été traduite par l'API Cloud Translation.

Présentation de la mise à jour

Ce guide fournit des informations sur le processus de mise à niveau et les étapes nécessaires pour atténuer ou corriger une faille de sécurité dans Google Distributed Cloud (GDC) air-gapped. Ce contenu suppose qu'un nouveau package Distributed Cloud avec le correctif de sécurité approprié est disponible et que l'opérateur d'infrastructure (IO) peut y accéder. Distributed Cloud implique des mises à jour manuelles, et un correctif de sécurité spécifique peut s'appliquer à un ou plusieurs composants de la pile.

La page d'instructions fournit la procédure de mise à niveau de différents composants. Parfois, seul un sous-ensemble des étapes de mise à niveau peut s'appliquer, en fonction du correctif spécifique. S'il existe une vulnérabilité grave ou critique que l'IO ne peut pas corriger immédiatement, Google peut prendre des mesures telles que le blocage de ports spécifiques, la désactivation de fonctionnalités ou la désactivation de composants pour atténuer temporairement la vulnérabilité et contenir le rayon d'impact. Ces événements sont rares. Dans ce cas, Google fournit des instructions précises à suivre en fonction d'un plan d'atténuation.

Prérequis

Avant de commencer, assurez-vous de disposer des éléments suivants :

Accès au système et autorisations nécessaires pour effectuer les mises à jour :
- Votre contact Google dispose d'une adresse e-mail pour vous et pour chaque opérateur, afin de vous accorder l'accès au bucket Cloud Storage.
- Votre contact Google a vérifié que vous aviez accès au dépôt de téléchargement pour que vous puissiez télécharger une distribution Distributed Cloud.
- La version de distribution et les informations sur le résumé fournies par votre contact Google lorsqu'il a confirmé que vous aviez accès au dépôt de téléchargement.
Les outils nécessaires pour valider l'intégrité du package, téléchargés et installés :
- Télécharger et installer la gcloud CLI
- Passez à la dernière version.
- Téléchargez et installez Google Cloud CLI sur https://cloud.google.com/sdk/docs/install.
- Vérifier l'accès à OpenSSL – emplacement par défaut : /usr/local/ssl
- S'authentifier avec gdcloud auth login.
- Passez à la dernière version de la CLI en exécutant gdcloud components update.
Accès à un appareil physique sécurisé, comme décrit dans la section Copier le package dans le déploiement isolé de la page Transférer le téléchargement Distributed Cloud vers votre environnement isolé de la page Installation du serveur Bootstrapper.
Déploiement de cloud distribué en état de fonctionnement. Si un ou plusieurs composants sont dans un état défectueux, ne procédez pas aux mises à niveau, car cela pourrait entraîner d'autres complications.
Vérifiez qu'aucune mise à niveau n'est en cours pour le déploiement avant de déclencher une mise à niveau.
Vérification que vous avez installé les correctifs précédents avant de commencer une mise à niveau. Par exemple, pour effectuer une mise à niveau vers la version 1.x.y, vous devez déjà avoir installé les éléments suivants pour une mise à niveau de version mineure ou de version de correctif :
- Mise à niveau vers une version mineure 1.(x-1).y', où y' est une valeur quelconque ; (x-1) est remplacé par x.
- Ou une mise à niveau de la version de correctif 1.x.y'', où y'' < y.
1. Obtenez votre version actuelle. Dans cet exemple, 1.(x-1)y' correspond à 1.8.0-gdch.843 :
```
kubectl --kubeconfig ROOT_ADMIN_KUBECONFIG get org -n  \
    gpc-system root -ojsonpath='{.spec.version}{"\n"}'
```
2. Remplacez ROOT_ADMIN_KUBECONFIG par le chemin d'accès au fichier kubeconfig que vous avez obtenu en exécutant gdcloud auth login sur le cluster d'administrateur racine. Pour obtenir des instructions, consultez Obtenir un fichier kubeconfig.
  
  Exemple de résultat :
```
1.8.0-gdch.843
```
3. Vérifiez que le résultat correspond à la version vers laquelle vous souhaitez effectuer la mise à niveau.
  
  Remarque : Les mises à niveau ne peuvent être effectuées qu'à partir de la dernière version mineure, telle que 1.(x-1).y', vers le niveau de version suivant, 1.x.y'. Les mises à niveau de type "skip-minor-version" (par exemple, de 1.(x-2).y' à 1.x.y') ne sont pas acceptées. Toutefois, les mises à niveau intermédiaires de 1.(x).y' à 1.(x)y'', où y' est égal à (y''-2) par exemple, peuvent être ignorées pour les mises à niveau correctives, sauf si cela est spécifiquement stipulé par les composants individuels concernés.

Étapes suivantes

Effectuez toujours les mises à niveau dans l'ordre indiqué dans les instructions. Certaines mises à niveau nécessitent des vérifications et des processus préalables, tandis que d'autres nécessitent des vérifications après la mise à niveau. Chaque section de mise à niveau fournit des informations applicables, comme les composants mis à niveau, si la mise à niveau est perturbatrice et le temps d'arrêt à prévoir. Voici une description générale du flux de processus :

Téléchargez le package de mise à jour.
Transférez les artefacts vers le registre de conteneurs.
Effectuez des mises à niveau automatiques.
Effectuez les mises à niveau manuelles dans l'ordre indiqué, même si une mise à niveau particulière ne s'applique pas à tous les composants. Lancez chaque mise à niveau de manière séquentielle une fois la précédente terminée.

Accédez à la page Instructions pour lancer une mise à niveau.