Halaman ini diterjemahkan oleh Cloud Translation API.

Ringkasan upgrade

Panduan ini memberikan informasi tentang proses upgrade dengan langkah-langkah yang diperlukan untuk memitigasi atau menambal kerentanan keamanan di Google Distributed Cloud (GDC) air-gapped. Konten ini mengasumsikan bahwa paket Distributed Cloud baru dengan perbaikan keamanan yang relevan tersedia, dan bahwa Operator Infrastruktur (IO) dapat mengaksesnya. Distributed Cloud melibatkan update manual, dan patch keamanan tertentu mungkin berlaku untuk satu atau beberapa komponen dalam stack.

Halaman Petunjuk memberikan langkah-langkah untuk mengupgrade berbagai komponen. Terkadang, hanya sebagian langkah upgrade yang mungkin berlaku, bergantung pada patch tertentu. Jika ada kerentanan parah atau kritis yang tidak dapat segera diperbaiki oleh IO, Google dapat mengambil langkah-langkah seperti memblokir port tertentu, menonaktifkan fitur, atau mematikan komponen apa pun untuk mengurangi kerentanan dan membatasi radius ledakan untuk sementara. Peristiwa semacam itu jarang terjadi, dan dalam kasus tersebut, Google akan memberikan petunjuk yang tepat untuk diikuti berdasarkan rencana mitigasi.

Prasyarat

Sebelum memulai, pastikan hal-hal berikut sudah siap:

Akses ke sistem dan izin yang diperlukan untuk melakukan update:
- Kontak (POC) Google Anda memiliki alamat email untuk Anda dan untuk setiap operator, untuk memberi Anda akses ke bucket Cloud Storage.
- POC Google Anda telah memverifikasi bahwa Anda memiliki akses ke repositori download sehingga Anda dapat Mendownload distribusi Distributed Cloud.
- Informasi versi dan ringkasan distribusi yang diberikan oleh POC Google Anda saat mereka mengonfirmasi bahwa Anda memiliki akses ke repositori download.
Alat yang diperlukan untuk memvalidasi integritas paket, yang didownload dan diinstal:
- Download dan instal gdcloud CLI
- Upgrade ke versi terbaru.
- Download dan instal Google Cloud CLI di https://cloud.google.com/sdk/docs/install.
- Memverifikasi akses ke OpenSSL - lokasi default: /usr/local/ssl
- Lakukan autentikasi dengan gdcloud auth login.
- Upgrade ke versi CLI terbaru dengan menjalankan gdcloud components update.
Akses ke perangkat fisik yang aman seperti yang dijelaskan dalam menyalin paket ke deployment yang terisolasi dari internet, di bagian Transfer download Distributed Cloud ke lingkungan yang terisolasi dari internet di halaman Penginstalan server Bootstrapper.
Deployment Distributed Cloud dalam status berfungsi. Jika satu atau beberapa komponen dalam kondisi rusak, jangan lanjutkan upgrade karena dapat menyebabkan komplikasi lebih lanjut.
Verifikasi bahwa tidak ada upgrade yang sedang berlangsung untuk deployment sebelum Anda memicu upgrade.
Verifikasi bahwa Anda telah menginstal patch sebelumnya sebelum memulai upgrade. Misalnya, untuk mengupgrade ke 1.x.y, Anda harus sudah menginstal versi minor atau upgrade versi patch berikut:
- Atau upgrade versi minor 1.(x-1).y', dengan nilai y' adalah nilai apa pun; (x-1) diupgrade ke x.
- Atau upgrade versi patch 1.x.y'', dengan y'' < y.
1. Dapatkan versi saat ini. Dalam contoh ini, 1.(x-1)y' adalah 1.8.0-gdch.843:
```
kubectl --kubeconfig ROOT_ADMIN_KUBECONFIG get org -n  \
    gpc-system root -ojsonpath='{.spec.version}{"\n"}'
```
2. Ganti ROOT_ADMIN_KUBECONFIG dengan jalur ke file kubeconfig yang Anda peroleh dengan menjalankan gdcloud auth login ke cluster admin root. Untuk mengetahui petunjuknya, lihat Mendapatkan file kubeconfig.
  
  Contoh output:
```
1.8.0-gdch.843
```
3. Verifikasi bahwa hasil Anda cocok dengan versi yang ingin Anda upgrade.
  
  Catatan: Upgrade hanya dapat dilakukan dari versi minor terakhir, seperti 1.(x-1).y', ke tingkat versi berikutnya, 1.x.y'. Upgrade jenis skip-minor-version seperti 1.(x-2).y' ke 1.x.y' tidak didukung. Namun, upgrade menengah dari 1.(x).y' ke 1.(x)y'', dengan y' sama dengan (y''-2), misalnya, dapat dilewati untuk upgrade patch, kecuali jika hal tersebut secara khusus ditetapkan oleh masing-masing komponen yang terpengaruh.

Langkah berikutnya

Selalu lakukan upgrade dalam urutan yang ditentukan oleh petunjuk. Beberapa upgrade memerlukan pemeriksaan dan proses pra-upgrade, beberapa memerlukan pemeriksaan pasca-upgrade. Setiap bagian upgrade memberikan informasi yang berlaku, seperti komponen yang diupgrade, apakah upgrade mengganggu, dan berapa lama waktu nonaktif yang diharapkan. Berikut deskripsi tingkat tinggi dari alur proses:

Download paket update.
Kirim artefak ke container registry.
Lakukan upgrade otomatis.
Lakukan upgrade manual dalam urutan yang diberikan, meskipun upgrade tertentu tidak berlaku untuk semua komponen. Mulai setiap upgrade secara berurutan saat upgrade sebelumnya telah selesai.

Lanjutkan ke Halaman petunjuk untuk memulai upgrade.