Oracle Cloud Infrastructureイメージへのパッチ適用

注意:

システム・パッチ適用の準備ステップがすべて完了していることを確認します。 手順は、「アプライアンスのパッチ適用の準備」を参照してください。

Oracle Private Cloud Applianceで新しいOracle Cloud Infrastructureイメージが使用可能になり、サポートされている場合は、パッチ適用プロセスを使用してこれらのイメージを選択できます。

パッチ適用メソッドを使用してインストールされたOracle Cloud Infrastructureイメージは、ZFSストレージ・アプライアンスの/nfs/shared_storage/oci_compute_imagesディレクトリに格納されます。

「サービスWeb UI」の使用

1. ナビゲーション・メニューで、「メンテナンス」セクションに移動し、「アップグレード計画」をクリックします。 ここでは、現行およびターゲット・コンポーネントのバージョンの概要を示します。

2. 「アップグレード&パッチ適用」をクリックして、「アップグレード・ジョブ」ページを表示します。

3. 「アップグレード・ジョブ」ページの右上隅にある「アップグレードまたはパッチの作成」をクリックします。

   「要求の作成」ウィンドウが表示されます。 リクエスト・タイプとして「パッチ」を選択します。

4. 適切なパッチ・リクエスト・タイプの選択: OCIImagesにパッチを適用します。

5. 必要に応じて、リクエスト・パラメータを入力します:

   • 拡張オプションJSON: 利用できません。

   • ログ・レベル: オプションで、アップグレード・ログファイルの特定のログ・レベルを選択します。 デフォルトのログ・レベルは「情報」です。 詳細は、「デバッグ」を選択します。

   • 代替ULNチャネル: このパラメータは、リクエストに非標準ULNチャネルを強制的に使用します。 Oracleが明示的に指示しないかぎり、このオプションを使用しないでください。

   • 検証のみ: 検証専用モードで操作を実行するには、このオプションを有効にします。

   • 強制: 操作を強制するには、このオプションを有効にします。 Oracleによって指示された場合のみ使用します。

6. 「要求の作成」をクリックします。

   新しいパッチ・リクエストが「アップグレード・ジョブ」表に表示されます。

「サービスCLI」の使用

1. patchコマンドを入力します。

   PCA-ADMIN> patchOCIImages
   Command: patchOCIImages
   Status: Success
   Time: 2023-01-18 19:33:09,756 UTC
   Data:
     Service request has been submitted. Upgrade Job Id = 1641839285475-oci-94665 \
   Upgrade Request Id = UWS-778b08bc-f579-492b-993d-915dcf581374

2. リクエストIDとジョブIDを使用して、パッチ適用プロセスのステータスを確認します。

   PCA-ADMIN> getupgradejobs
   Command: getupgradejobs
   Status: Success
   Time: 2023-01-18 22:38:51,764 UTC
   Data:
     id                             upgradeRequestId                           commandName   result
     --                             ----------------                           -----------   ------
     1641839285475-oci-94665        UWS-778b08bc-f579-492b-993d-915dcf581374   oci           Passed
     1641838937541-platform-56313   UWS-bc4372ae-8f51-4b40-9306-992fb6459878   platform      Passed
     
   PCA-ADMIN> getUpgradeJob upgradeJobId=1680260388058-oci-94665
   Command: getUpgradeJob upgradeJobId=1680260388058-oci-94665
   Status: Success
   Time: 2023-01-18 23:03:22,769 UTC
   Data:
     Upgrade Request Id = UWS-778b08bc-f579-492b-993d-915dcf581374
     Name = oci
   [...]

OKEクラスタのセキュリティ脆弱性の解決

Oracle Cloud Infrastructureイメージのアップグレードまたはパッチ・プロセスの最後に、Upgraderはバックグラウンド・ジョブを起動して、「Oracle Private Cloud Appliance Kubernetesエンジン(OKE)」を介してデプロイされた既存のクラスタに影響を与える可能性のある既知のCVEを解決します。 新しいイメージがインポートされると、OKEサービス・ツールによって、実行中のコントロール・プレーン・ノードが、新しいイメージとともに提供される最新のCVE修正を受信することが保証されます。

CVEの修正は完全に自動化された方法で適用されますが、アプライアンスのアップグレードまたはパッチ適用ワークフローのタイミングの問題によって、プロセスが脱線する可能性があります。 したがって、アプライアンス管理者は、OKEバックグラウンド・ジョブを監視し、CVE修正が既存のすべてのOKEクラスタに正常に適用されたことを確認することが重要です。 OKEクラスタ・パッチ適用でエラーが発生しても、アプライアンスのアップグレードまたはパッチ適用プロセスが失敗することはありません。

Oracle Cloud Infrastructureイメージのアップグレードまたはパッチ・プロセスのステータスは、OKEサービス・ツールが実行されたことを示します。 また、検出されたOKEクラスタのOCIDs、および追跡する必要があるクラスタ・パッチ適用操作の作業リクエストも提供します。

getUpgradeJob upgradeJobId=1724442488245-oci-35655
Data:
  Log File = /nfs/shared_storage/pca_upgrader/log/pca-upgrader_oci_instance_images_<date>-<time>.log
[...]
  Tasks 12 - Message = OKE Clusters CVE Patching initiated:
  {"ocid1.cluster.<AK01234567>.<mypca>.63f7764a345d4d74a9abd5267ad55a28p6ixuw4ejzr73yugynu4lrwbcaao": "No operations performed", 
  "ocid1.cluster.<AK01234567>.<mypca>.ac198ab8583848e8947501f7061bde16mx17lm2u2rugld6u3ujxthgnygsj": "ocid1.workrequest.<AK01234567>.<mypca>.oke-g8l7kh306zlt59zb9vc4yvo532b1j4jwtffnmel83v1qif0q93lum7er"}

この例では、2つのアクティブなOKEクラスタが見つかりました。 最初のクラスタは最新のイメージを使用しているため、パッチを適用する必要はありません。 2番目のクラスタは古いため、使用可能な最新のイメージで更新する必要があります。 次のコマンドを使用して、作業リクエストを使用してOCI CLIからクラスタ更新ステータスを追跡: oci ce work-request get --work-request-id <workrequest_OCID>。

# oci ce work-request get --work-request-id ocid1.workrequest.<AK01234567>.<mypca>.oke-g8l7kh306zlt59zb9vc4yvo532b1j4jwtffnmel83v1qif0q93lum7er
{
  "data": {
    "compartment-id": "ocid1.compartment.<AK01234567>.<mypca>.ezbf00rrfc0qnoi8rofk3yzcbq0yeg9ly0gzf6caebv3ugogzm1v3qww5q9f",
    "id": "ocid1.workrequest.<AK01234567>.<mypca>.oke-g8l7kh306zlt59zb9vc4yvo532b1j4jwtffnmel83v1qif0q93lum7er",
    "operation-type": "UNKNOWN_ENUM_VALUE",
    "resources": [
      {
        "action-type": "UPDATED",
        "entity-type": "CLUSTER",
        "entity-uri": null,
        "identifier": "ocid1.cluster.<AK01234567>.<mypca>.ac198ab8583848e8947501f7061bde16mx17lm2u2rugld6u3ujxthgnygsj"
      }
    ],
    "status": "SUCCEEDED",
    "time-accepted": "2024-09-03T11:18:29.750438+00:00",
    "time-finished": "2024-09-03T11:36:19.313926+00:00",
    "time-started": "2024-09-03T11:18:36.451513+00:00"
  },
  "etag": "00fa0a51-a9dd-5455-f390-429a20817d6d"
}

エラーが発生し、使用可能な最新のイメージに基づいて特定のクラスタが更新されなかった場合は、まずクラスタが正常な動作状態であることを確認してから、いずれかの管理ノードから次のコマンドを実行します:

# kubectl exec -it -n oke <oke_pod_name> -c oke -- pca-oke-cluster-tool --action patch-cluster-cve