Esta página foi traduzida pela API Cloud Translation.

Vista geral da atualização

Este guia fornece informações sobre o processo de atualização com os passos necessários para mitigar ou corrigir uma vulnerabilidade de segurança no Google Distributed Cloud (GDC) air-gapped. Este conteúdo pressupõe que está disponível um novo pacote da Distributed Cloud com a correção de segurança relevante e que o operador de infraestrutura (IO) pode aceder ao mesmo. A nuvem distribuída envolve atualizações manuais, e um patch de segurança específico pode aplicar-se a um ou mais componentes na pilha.

A página de instruções indica os passos para atualizar vários componentes. Por vezes, apenas um subconjunto dos passos de atualização pode aplicar-se, consoante a correção específica. Se existir uma vulnerabilidade grave ou crítica que o IO não consiga corrigir imediatamente, a Google pode tomar medidas como bloquear portas específicas, desativar funcionalidades ou desativar quaisquer componentes para mitigar temporariamente a vulnerabilidade e conter o raio de explosão. Estes eventos são raros e, nestes casos, a Google fornece instruções exatas a seguir com base num plano de mitigação.

Pré-requisitos

Antes de começar, certifique-se de que tem o seguinte:

Acesso ao sistema e autorizações necessárias para realizar atualizações:
- O seu ponto de contacto (POC) da Google tem um endereço de email para si e para cada operador, para lhe conceder acesso ao contentor do Cloud Storage.
- O seu POC da Google confirmou que tem acesso ao repositório de transferência para poder transferir uma distribuição do Distributed Cloud.
- A versão de distribuição e as informações de resumo fornecidas pelo seu POC da Google quando confirmou que tem acesso ao repositório de transferências.
As ferramentas necessárias para validar a integridade do pacote, transferidas e instaladas:
- Transfira e instale a CLI gcloud
- Atualize para a versão mais recente.
- Transfira e instale a CLI do Google Cloud em https://cloud.google.com/sdk/docs/install.
- Valide o acesso a OpenSSL – localização predefinida: /usr/local/ssl
- Autentique com gdcloud auth login.
- Atualize para a versão mais recente da CLI executando gdcloud components update.
Acesso a um dispositivo físico seguro, conforme descrito na secção Copiar o pacote para a implementação com isolamento de ar, da secção Transfira a transferência do Distributed Cloud para o seu ambiente com isolamento de ar da página Instalação do servidor de arranque.
Uma implementação do Distributed Cloud num estado de funcionamento. Se um ou mais componentes estiverem num estado danificado, não avance com as atualizações, pois tal pode originar mais complicações.
Verificação de que não existem atualizações em curso para a implementação antes de acionar uma atualização.
Validação de que tem patches anteriores instalados antes de iniciar uma atualização. Por exemplo, para atualizar para a versão 1.x.y, já tem de ter o seguinte instalado para uma atualização de versão secundária ou uma atualização de versão de patch:
- Uma atualização de versão secundária de 1.(x-1).y', em que o valor de y' é qualquer valor; (x-1) é atualizado para x.
- Ou uma atualização da versão de patch de 1.x.y'', em que y'' < y.
1. Obtenha a sua versão atual. Neste exemplo, 1.(x-1)y' é 1.8.0-gdch.843:
```
kubectl --kubeconfig ROOT_ADMIN_KUBECONFIG get org -n  \
    gpc-system root -ojsonpath='{.spec.version}{"\n"}'
```
2. Substitua ROOT_ADMIN_KUBECONFIG pelo caminho para o ficheiro kubeconfig que obteve ao executar gdcloud auth login no cluster de administrador raiz. Para ver instruções, consulte o artigo Obtenha um ficheiro kubeconfig.
  
  Exemplo de saída:
```
1.8.0-gdch.843
```
3. Verifique se o resultado corresponde à versão que quer atualizar.
  
  Nota: as atualizações só podem ser feitas a partir da última versão secundária, como 1.(x-1).y', para o nível da versão seguinte, 1.x.y'. As atualizações do tipo skip-minor-version, como de "1.(x-2).y" para "1.x.y", não são suportadas. No entanto, as atualizações intermédias de 1.(x).y' para 1.(x)y'', em que y' é igual a (y''-2), por exemplo, podem ser ignoradas para atualizações de patches, a menos que tal seja especificamente estipulado pelos componentes individuais afetados.

O que se segue?

Faça sempre as atualizações na ordem especificada nas instruções. Algumas atualizações requerem verificações e processos pré-atualização, enquanto outras requerem verificações pós-atualização. Cada secção de atualização fornece informações aplicáveis, como os componentes atualizados, se a atualização é disruptiva e o tempo de inatividade esperado. Segue-se uma descrição de nível elevado do fluxo do processo:

Transfira o pacote de atualização.
Envie os artefactos para o registo de contentores.
Realizar atualizações automáticas.
Faça as atualizações manuais na ordem indicada, mesmo que uma atualização específica não se aplique a todos os componentes. Inicie cada atualização em sequência quando a anterior estiver concluída.

Aceda à página de instruções para iniciar uma atualização.