Documentazione dell'infrastruttura Oracle Cloud

Aggiornamento delle immagini di Oracle Cloud Infrastructure

Quando nuove immagini OCI diventano disponibili e supportate per Private Cloud Appliance, puoi renderle disponibili per l'uso in tutte le tenancy esistenti con un singolo comando di upgrade.

Le immagini vengono memorizzate nella directory /nfs/shared_storage/oci_compute_images di ZFS Storage Appliance. Se si esegue un aggiornamento completo del rack o del cluster di gestione, le nuove immagini vengono aggiunte automaticamente all'ambiente in uso, nel qual caso è possibile ignorare questa procedura. Le versioni delle immagini vengono tracciate tramite il piano di aggiornamento. Esaminare il piano di aggiornamento per verificare se le immagini devono essere aggiornate.

Un upgrade aggiunge nuove immagini di Oracle Cloud Infrastructure al tuo ambiente, ma non rimuove mai le immagini esistenti. Se non è più necessaria un'immagine, è possibile eliminarla utilizzando il comando deletePlatformImage.

Aggiunta di nuove immagini

Utilizzo dell'interfaccia utente Web del servizio

  1. Nel menu di navigazione, andare alla sezione Manutenzione e fare clic su Aggiorna piano. Fornisce una panoramica delle versioni correnti e target dei componenti.

  2. Fare clic su Aggiorna e applicazione patch per visualizzare la pagina Job di aggiornamento.

  3. Nell'angolo superiore destro della pagina Job di aggiornamento, fare clic su Crea aggiornamento o su Patch.

    Viene visualizzata la finestra Crea richiesta. Scegliere Upgrade come tipo di richiesta.

  4. Selezionare il tipo di richiesta di patch appropriato: Upgrade Rack.

  5. Compilare i parametri della richiesta di upgrade:

    • Azione: per eseguire l'operazione di upgrade o patch, selezionare Applica.

    • Tipo: per l'aggiornamento, selezionare ISO. L'opzione ULN si applica all'applicazione di patch.

    • Componente: per le immagini di Oracle Cloud Infrastructure, seleziona OCI Images.

    • Qualificatore: questo parametro non è necessario quando si aggiungono immagini di Oracle Cloud Infrastructure.

    • Solo verifica: abilitare questa opzione per eseguire l'operazione in modalità di sola verifica.

    • Forza: abilitare questa opzione per forzare l'operazione. Utilizzare solo se richiesto da Oracle.

  6. Fare clic su Crea richiesta.

    La nuova richiesta di aggiornamento viene visualizzata nella tabella Job di aggiornamento.

  7. Verificare che il processo di aggiornamento sia stato completato senza errori.

    Per ulteriori informazioni, vedere Sfoglia la struttura dei job.

Uso dell'interfaccia CLI del servizio

  1. Immettere il comando di aggiornamento.

    PCA-ADMIN> upgradeRack type=ISO action=APPLY component=OCIIMAGES
JobId: c21f2253-8ab9-4491-ab01-5d9702f96bc5
Data: Service request has been submitted. Upgrade Job Id = 1737620389632-oci-668679 Upgrade Request Id = UWS-a2e17445-eb02-466f-9d16-6b644b89866e

  2. Utilizzare l'ID job per controllare lo stato del processo di upgrade.

    PCA-ADMIN> getUpgradeJob upgradeJobId=1737620389632-oci-668679
Data:
  Upgrade Request Id = UWS-a2e17445-eb02-466f-9d16-6b644b89866e
  Name = oci
  Pid = 668679
  Host = pcamn01
  Log File = /nfs/shared_storage/pca_upgrader/log/pca-upgrader_oci_instance_images_2025_01_23-08.19.49.log
  Arguments = {"component_names":null,"diagnostics":false,"display_task_plan":false,"dry_run_tasks":false,"expected_iso_checksum":null,"fail_halt":false,"fail_upgrade":null,"image_location":null,"online_upgrade":null,"precheck_status":false,"repo_config_override":null,"result_override":null,"task_time":0,"test_run":false,"upgrade":false,"upgrade_to":null,"user_uln_base_url":null,"verify_only":false,"host_ip":null,"log_level":null,"switch_type":null,"epld_image_location":null,"checksum":null,"composition_id":null,"request_id":"UWS-a2e17445-eb02-466f-9d16-6b644b89866e","uln":null,"patch":"false"}
  Status = Passed
  Execution Time(sec) = 1083
[...]

  3. Verificare che il processo di aggiornamento sia stato completato senza errori.

    Per ulteriori informazioni, vedere Sfoglia la struttura dei job.

Risoluzione delle vulnerabilità della sicurezza nei cluster OKE

Al termine del processo di upgrade o patch delle immagini di Oracle Cloud Infrastructure, l'Upgrader avvia un job in background per risolvere eventuali CVE noti che potrebbero influire sui cluster esistenti distribuiti tramite il motore Kubernetes (OKE). Quando le nuove immagini sono state importate, uno strumento di servizio OKE garantisce che i nodi del piano di controllo in esecuzione ricevano le correzioni CVE più recenti disponibili fornite con le nuove immagini.

Le correzioni CVE vengono applicate in modo completamente automatizzato, ma il processo potrebbe essere deragliato dai problemi di tempistica nel flusso di lavoro di upgrade o applicazione delle patch dell'appliance. Pertanto, è importante che un amministratore dell'appliance monitori il job in background OKE e verifichi che le correzioni CVE siano state applicate correttamente a tutti i cluster OKE esistenti. Si noti che un errore nell'applicazione delle patch al cluster OKE NON causerà l'errore del processo di upgrade o applicazione delle patch dell'appliance.

Lo stato dell'upgrade o del processo di patch delle immagini di Oracle Cloud Infrastructure indica che lo strumento OKE Service è stato eseguito. Fornisce inoltre gli OCID dei cluster OKE trovati e qualsiasi richiesta di lavoro per le operazioni di applicazione delle patch del cluster da tenere traccia.

getUpgradeJob upgradeJobId=1724442488245-oci-35655
Data:
  Log File = /nfs/shared_storage/pca_upgrader/log/pca-upgrader_oci_instance_images_<date>-<time>.log
[...]
  Tasks 12 - Message = OKE Clusters CVE Patching initiated:
  {"ocid1.cluster.<AK01234567>.<mypca>.63f7764a345d4d74a9abd5267ad55a28p6ixuw4ejzr73yugynu4lrwbcaao": "No operations performed", 
  "ocid1.cluster.<AK01234567>.<mypca>.ac198ab8583848e8947501f7061bde16mx17lm2u2rugld6u3ujxthgnygsj": "ocid1.workrequest.<AK01234567>.<mypca>.oke-g8l7kh306zlt59zb9vc4yvo532b1j4jwtffnmel83v1qif0q93lum7er"}

Nell'esempio vengono trovati due cluster OKE attivi. Il primo cluster utilizza l'immagine più recente e non è necessario applicare le patch. Il secondo cluster non è aggiornato e deve essere aggiornato con l'ultima immagine disponibile. Utilizzare la richiesta di lavoro per tenere traccia dello stato di aggiornamento del cluster dall'interfaccia CLI OCI utilizzando il comando: oci ce work-request get --work-request-id <workrequest_OCID>.

# oci ce work-request get --work-request-id ocid1.workrequest.<AK01234567>.<mypca>.oke-g8l7kh306zlt59zb9vc4yvo532b1j4jwtffnmel83v1qif0q93lum7er
{
  "data": {
    "compartment-id": "ocid1.compartment.<AK01234567>.<mypca>.ezbf00rrfc0qnoi8rofk3yzcbq0yeg9ly0gzf6caebv3ugogzm1v3qww5q9f",
    "id": "ocid1.workrequest.<AK01234567>.<mypca>.oke-g8l7kh306zlt59zb9vc4yvo532b1j4jwtffnmel83v1qif0q93lum7er",
    "operation-type": "UNKNOWN_ENUM_VALUE",
    "resources": [
      {
        "action-type": "UPDATED",
        "entity-type": "CLUSTER",
        "entity-uri": null,
        "identifier": "ocid1.cluster.<AK01234567>.<mypca>.ac198ab8583848e8947501f7061bde16mx17lm2u2rugld6u3ujxthgnygsj"
      }
    ],
    "status": "SUCCEEDED",
    "time-accepted": "2024-09-03T11:18:29.750438+00:00",
    "time-finished": "2024-09-03T11:36:19.313926+00:00",
    "time-started": "2024-09-03T11:18:36.451513+00:00"
  },
  "etag": "00fa0a51-a9dd-5455-f390-429a20817d6d"
}

Se si sono verificati errori e alcuni cluster non sono stati aggiornati in base all'immagine più recente disponibile, assicurarsi innanzitutto che il cluster sia in buono stato, quindi eseguire il comando seguente da uno dei nodi di gestione:

# kubectl exec -it -n oke <oke_pod_name> -c oke -- pca-oke-cluster-tool --action patch-cluster-cve