更新及修補裝置

本頁面說明如何更新及修補 Google Distributed Cloud (GDC) 氣隙式設備裝置。

升級前的準備工作

升級前,請先確認是否符合本節所列需求條件。

事前準備

請參閱筆電必備條件,確認用於更新和修補程式升級的筆電符合實體規格和其他需求。

您必須先完成下列有關 gdcloud 指令列介面 (CLI) 工具的操作:

  1. 下載 gdcloud CLI 工具。
  2. 安裝 gdcloud CLI 工具。
  3. 視需要升級 gdcloud CLI 工具。
  4. 確認 docker-credential-gdcloud 是否存在。

將構件轉移至升級機器

您必須具備 Cloud Storage 值區的存取權。

請按照下列步驟,將構件轉移到用於更新和修補程式升級的筆電:

  1. 根據所選修補程式版本下載套件

    VERSION=<x.x.x-gdch.yyy>
RELEASE_SUFFIX="_te"
DOWNLOADER=gdch-downloader-prod${RELEASE_SUFFIX}-$VERSION.sh
gcloud storage cp "gs://$GCS_BUCKET/$VERSION/$DOWNLOADER" .
gcloud storage cp "gs://$GCS_BUCKET/$VERSION/${DOWNLOADER}.sig" .

PUBLIC_KEY=$(cat <<-PUBEND
-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEn46iVSyFXsvuKLZ4dVOr2AqlXDnR
5cKztkpraexHDxn/ozq03EvrdkRmZkSACFfcaEFyitpraidgAx8sPjvzXQ==
-----END PUBLIC KEY-----
PUBEND
)
echo "${PUBLIC_KEY}" > "key.pub"
DOWNLOADER=gdch-downloader-${PRODUCT}-$VERSION.sh

gcloud storage cp "gs://${GCS_BUCKET:-private-cloud-release}/$VERSION/$DOWNLOADER*" .
   openssl dgst -sha256 -verify "key.pub" -signature "${DOWNLOADER}.sig" ${DOWNLOADER} && chmod +x $DOWNLOADER && ./$DOWNLOADER --skip-unzip

    這個指令會將更新套件和下載器指令碼擷取至目前目錄,例如 /home/download

  2. 執行 tree -L 3 /home/download

    輸出內容範例:

    /home/download
├── gdch
│   └── x.x.x-gdch.x
│       ├── bootstrapper
│       │   ├── bootstrapper.iso
│       │   └── bootstrapper.iso.sig
│       ├── gdch-prod_te-x.x.x-gdch.x-sbom.tar.gz
│       ├── gdch-prod_te-x.x.x-gdch.x-sbom.tar.gz.sig
│       ├── prod_te_gdch.tar.gz
│       └── prod_te_gdch.tar.gz.sig
├── gdch-downloader-prod_te-x.x.x-gdch.x.sh
├── gdch-downloader-prod_te-x.x.x-gdch.x.sh.1.sig
├── gdch-downloader-prod_te-x.x.x-gdch.x.sh.sig
   └── key.pub

  3. 使用 USB 隨身碟將更新檔複製到與網際網路隔離的環境。

    將下載器指令碼和您在步驟 1 中下載到 USB 隨身碟的 gdch 目錄,一併複製到無網路連線環境中的升級機器。

  4. 在升級機器中,使用下載檔案包時的相同資訊,驗證內容並解壓縮檔案。舉例來說,下列程式碼會將套件複製到 /root 目錄。

    解壓縮套件:

    VERSION=x.x.x-gdch.x
PRODUCT=prod_te
DOWNLOADER=gdch-downloader-${PRODUCT}-$VERSION.sh
openssl dgst -sha256 -verify "key.pub" -signature "${DOWNLOADER}.sig" ${DOWNLOADER} && chmod +x $DOWNLOADER && ./$DOWNLOADER --skip-download

    套件會解壓縮到 /root/gdch/full-release-x.x.x-gdch.x 路徑。

  5. 確認版本與您在 VERSION 中設定的版本相符:

    /root/gdch/full-release-x.x.x-gdch.x/gdcloud version

    輸出內容範例:

    gdcloud version: 1.14.4-gdch.0

驗證

如要透過設定的識別資訊提供者進行驗證,並為使用者身分和叢集要求 kubeconfig 檔案,請參閱「驗證」。

  1. 登入並產生 kubeconfig 檔案

  2. 將 kubeconfig 檔案設為環境變數:

      export KUBECONFIG=ROOT_ADMIN_KUBECONFIG
  export MANAGEMENT_KUBECONFIG=MANAGEMENT_API_KUBECONFIG

  3. 要求下列角色

    • 升級設備管理員:

      kubectl --kubeconfig=$KUBECONFIG create clusterrolebinding upgrade-admin-te-initial-user --clusterrole=upgrade-admin-te --user=keycloak-oidc-initial-user@example.com
kubectl --kubeconfig=$MANAGEMENT_KUBECONFIG create clusterrolebinding upgrade-admin-te-initial-user --clusterrole=upgrade-admin-te --user=keycloak-oidc-initial-user@example.com

    • 系統構件管理管理員:

       kubectl --kubeconfig=$KUBECONFIG create rolebinding system-artifact-management-admin-initial-user --role=system-artifact-management-admin --user=keycloak-oidc-initial-user@example.com -n gpc-system
 kubectl --kubeconfig=$MANAGEMENT_KUBECONFIG create rolebinding system-artifact-management-admin-initial-user --role=system-artifact-management-admin --user=keycloak-oidc-initial-user@example.com -n gpc-system

    • 系統構件管理密鑰管理員:

       kubectl --kubeconfig=$KUBECONFIG create rolebinding system-artifact-management-secrets-admin-initial-user --role=system-artifact-management-secrets-admin --user=keycloak-oidc-initial-user@example.com -n anthos-creds

    • DNS 尾碼檢視者:

       kubectl --kubeconfig=$MANAGEMENT_KUBECONFIG create rolebinding dnssuffix-viewer-initial-user --role=dnssuffix-viewer --user=keycloak-oidc-initial-user@example.com -n gpc-system

    • 系統構件登錄檔監控:

       kubectl --kubeconfig=$KUBECONFIG create clusterrolebinding sar-monitor-initial-user --clusterrole=sar-monitor --user=keycloak-oidc-initial-user@example.com
 kubectl --kubeconfig=$MANAGEMENT_KUBECONFIG create clusterrolebinding sar-monitor-initial-user --clusterrole=sar-monitor --user=keycloak-oidc-initial-user@example.com

    • 升級 Debugger:

      kubectl --kubeconfig=$KUBECONFIG create clusterrolebinding upgrade-debugger-initial-user --clusterrole=upgrade-debugger --user=keycloak-oidc-initial-user@example.com

    • 系統 Artifact Registry 偵錯工具:

      kubectl --kubeconfig=$KUBECONFIG create clusterrolebinding sar-debugger-initial-user --clusterrole=sar-debugger --user=keycloak-oidc-initial-user@example.com

  4. 設定 Docker:

    gdcloud auth configure-docker --config-cert=true

開始升級

請按照下列步驟升級設備:

gdcloud appliance upgrade

詳情請參閱gdcloud appliance upgrade

這項指令會執行下列步驟:

  1. 在升級機器上執行預檢。
  2. 執行 OTS 儲存空間的預檢
  3. 將構件推送至構件登錄檔。
  4. 升級設備軟體和韌體,包括:
    1. GDC 根管理員叢集。
    2. GDC 服務。
    3. 實體和虛擬節點的作業系統。
    4. 切換。
    5. 儲存空間

這項指令會依序執行更新,並等待每個步驟完成。完成上述步驟後,如果升級成功,您會看到類似以下的訊息:

The GDC appliance upgrade completed successfully