Visão geral do upgrade

Este guia fornece informações sobre o processo de upgrade com as etapas necessárias para mitigar ou corrigir uma vulnerabilidade de segurança no Google Distributed Cloud (GDC) isolado. Este conteúdo pressupõe que um novo pacote do Distributed Cloud com a correção de segurança relevante esteja disponível e que o operador de infraestrutura (IO) possa acessá-lo. O Distributed Cloud envolve atualizações manuais, e um patch de segurança específico pode ser aplicado a um ou mais componentes na pilha.

A página de instruções mostra as etapas para fazer upgrade de vários componentes. Às vezes, apenas um subconjunto das etapas de upgrade pode ser aplicável, dependendo do patch específico. Se houver uma vulnerabilidade grave ou crítica que o IO não possa corrigir imediatamente, o Google poderá tomar medidas como bloquear portas específicas, desativar recursos ou desligar componentes para mitigar temporariamente a vulnerabilidade e conter o raio de explosão. Esses eventos são raros, e, nesses casos, o Google fornece instruções exatas a serem seguidas com base em um plano de mitigação.

Pré-requisitos

Antes de começar, verifique se você tem o seguinte:

  1. Acesso ao sistema e permissões necessárias para fazer atualizações:
    • Seu ponto de contato do Google (POC) tem um endereço de e-mail para você e para cada operador, para conceder acesso ao bucket do Cloud Storage.
    • Seu POC do Google verificou se você tem acesso ao repositório de download para poder baixar uma distribuição do Distributed Cloud.
    • A versão de distribuição e as informações de resumo fornecidas pelo contato de operações do parceiro do Google quando ele confirmou que você tem acesso ao repositório de download.
  2. As ferramentas necessárias para validar a integridade do pacote, baixadas e instaladas:
  3. Acesso a um dispositivo físico seguro, conforme descrito em Copiar o pacote para a implantação isolada, da seção Transferir o download do Distributed Cloud para seu ambiente isolado da página Instalação do servidor de bootstrap.
  4. Uma implantação do Distributed Cloud em estado de funcionamento. Se um ou mais componentes estiverem em um estado corrompido, não continue com os upgrades porque isso pode levar a mais complicações.
  5. Verificação de que não há upgrades em andamento para a implantação antes de acionar um upgrade.

  6. Verificação de que você tem patches anteriores instalados antes de iniciar um upgrade. Por exemplo, para fazer upgrade para 1.x.y, você já precisa ter o seguinte para um upgrade de versão secundária ou de patch instalado:

    • Um upgrade de versão secundária de 1.(x-1).y', em que o valor de y' é qualquer valor; (x-1) faz upgrade para x.
    • Ou um upgrade de versão de patch de 1.x.y'', em que y'' < y.

    1. Confira sua versão atual. Neste exemplo, 1.(x-1)y' é 1.8.0-gdch.843:

      kubectl --kubeconfig ROOT_ADMIN_KUBECONFIG get org -n  \
    gpc-system root -ojsonpath='{.spec.version}{"\n"}'

    2. Substitua ROOT_ADMIN_KUBECONFIG pelo caminho do arquivo kubeconfig que você recebeu ao executar gdcloud auth login no cluster de administrador raiz. Para instruções, consulte Receber um arquivo kubeconfig.

      Exemplo de saída:

      1.8.0-gdch.843

    3. Verifique se o resultado corresponde à versão para a qual você quer fazer upgrade.

A seguir

Sempre faça os upgrades na ordem especificada nas instruções. Alguns upgrades exigem verificações e processos antes e outros depois. Cada seção de upgrade fornece informações relevantes, como quais componentes são atualizados, se o upgrade é destrutivo e quanto tempo de inatividade esperar. Confira a seguir uma descrição geral do fluxo do processo:

  1. Faça o download do pacote de atualização.
  2. Envie os artefatos para o registro de contêineres.
  3. Fazer upgrades automáticos.
  4. Faça os upgrades manuais na ordem fornecida, mesmo que um upgrade específico não se aplique a todos os componentes. Comece cada upgrade em sequência quando o anterior for concluído.

Acesse a página de instruções para iniciar um upgrade.