本指南提供升級程序的相關資訊,以及在 Google Distributed Cloud (GDC) 實體隔離環境中,減輕或修補安全漏洞的必要步驟。本文假設您有新的 Distributed Cloud 套件,其中包含相關的安全修正程式,且基礎架構運算子 (IO) 可以存取該套件。Distributed Cloud 涉及手動更新,特定安全性修補程式可能適用於堆疊中的一或多個元件。
「Instructions」頁面提供升級各種元件的步驟。視具體修補程式而定,有時可能只適用部分升級步驟。如果 IO 無法立即修復嚴重或重大漏洞,Google 可能會採取行動,例如封鎖特定連接埠、停用功能或關閉任何元件,暫時緩解漏洞並控制爆發範圍。這類事件極為罕見,如果發生,Google 會根據緩解計畫提供確切的後續步驟。
必要條件
開始之前,請確認下列事項:
- 存取系統和執行更新的必要權限:
- Google 聯絡窗口會提供您和每位操作人員的電子郵件地址,以便授予您 Cloud Storage bucket 的存取權。
- 您的 Google 合作夥伴業務聯絡人已確認您有權存取下載存放區,因此您可以下載 Distributed Cloud 發行版本。
- Google POC 確認您有權存取下載存放區時,提供的發布版本和摘要資訊。
- 驗證下載及安裝套件完整性的必要工具:
- 下載並安裝 gdcloud CLI
- 升級至最新版本。
- 前往 https://cloud.google.com/sdk/docs/install,下載並安裝 Google Cloud CLI。
- 驗證對
OpenSSL的存取權 - 預設位置:/usr/local/ssl - 透過
gdcloud auth login進行驗證。 - 執行
gdcloud components update,升級至最新版 CLI。
- 如將套件複製到無網路連線的部署作業一節所述,存取安全實體裝置,請參閱「Bootstrapper 伺服器安裝」頁面的「將 Distributed Cloud 下載內容轉移至無網路連線的環境」一節。
- 處於工作狀態的 Distributed Cloud 部署作業。如果一或多個元件處於損毀狀態,請勿繼續升級,否則可能會導致更多問題。
- 確認部署作業沒有正在進行的升級程序,再觸發升級。
確認您已安裝先前的修補程式,再開始升級。舉例來說,如要升級至 1.x.y,您必須已安裝下列次要版本升級或修補程式版本升級:
- 次要版本升級 1.(x-1).y',其中 y' 的值可以是任何值; (x-1) 升級至 x。
- 或是 1.x.y'' 的修補程式版本升級,其中 y'' < y。
取得目前版本。在本例中,1.(x-1)y' 為
1.8.0-gdch.843:kubectl --kubeconfig ROOT_ADMIN_KUBECONFIG get org -n \ gpc-system root -ojsonpath='{.spec.version}{"\n"}'請將 ROOT_ADMIN_KUBECONFIG 改為 kubeconfig 檔案的路徑。您可對根管理員叢集執行
gdcloud auth login,取得該檔案。如需操作說明,請參閱「取得 kubeconfig 檔案」。輸出內容範例:
1.8.0-gdch.843確認結果與您要升級的版本相符。
後續步驟
請務必按照操作說明中指定的順序升級。部分升級作業需要升級前檢查和程序,部分則需要升級後檢查。每個升級專區都會提供適用資訊,例如升級的元件、升級是否會造成中斷,以及預計停機時間。以下是流程的概略說明:
- 下載更新套件。
- 將構件推送到容器登錄檔。
- 執行自動升級。
- 請按照提供的順序執行手動升級,即使特定升級不適用於所有元件也一樣。完成前一次升級後,再依序開始下一次升級。
前往操作說明頁面開始升級。