更新Landing Zone
管理员有责任随时更新Landing Zone,以确保Landing Zone可以得到修复和更新。为了避免Landing Zone受到合规问题的影响,管理员需要及时发现提示的漂移现象并立即解决这些问题。可以将Landing Zone更新至当前版本或更高版本。通过更新Landing Zone,可以解决某些类型的漂移问题。
通过更新Landing Zone,您可以实现更新以下配置。
- 如果当前没有核心账号或核心OU漂移时:只能更新管理账号、告警邮箱、是否启用CTS以及OBS桶日志保留时长。
- 如果当前只有核心账号或核心OU漂移时:除了上述配置,还可以更新核心组织单元和账号。
更新Landing Zone时,您将会自动收到RGC的最新功能,可以在“Landing Zone设置”的“版本”页签中查看当前的Landing Zone。
约束与限制
- 如果更新前,Landing Zone的状态为更新失败时,本次更新仅允许更新至当前版本。
- 如果更新前,Landing Zone的状态为搭建失败或漂移修复失败时,将无法执行更新。
- 如果更新前,Landing Zone无上述失败的状态时,本次更新允许从低版本更新至当前版本或更高的版本。
操作步骤
- 以RGC管理员身份登录华为云,进入华为云RGC控制台。
- 进入Landing Zone设置页,选择“版本”页签。
- 选择需要更新的版本。
图1 选择版本
- 单击“更新版本”。
图2 更新Landing Zone
完成Landing Zone更新后,您将无法撤销更新或降级到先前的版本。
- 更新区域设置。可以选择除主区域之外还需要治理的区域。设置后,您可以在治理范围中添加区域。移除某个区域并不妨碍您在该区域部署资源,但这些资源将不在RGC的治理范围之内。
图3 更新区域设置
- 更新核心组织单元和账号。
- 更新管理账号:
- 开通IAM身份中心:RGC将在IAM身份中心创建RGC管理员,该IAM身份中心用户拥有管理员权限。若IAM身份中心已连接外部身份源,则RGC默认创建的IAM身份中心用户无法登录。
- 不开通IAM身份中心:如果不希望RGC在IAM身份中心创建RGC管理员身份的用户以及其他用户组、权限集等资源,则选择不开通IAM身份中心。
- 更新告警邮箱:
输入审计账号的告警邮箱,该邮箱用于接收RGC预置告警通知,请谨慎选择。告警邮箱地址不得与现有华为云账号使用的邮箱地址相同。长度范围为0至64个字符。
图4 更新核心组织单元和账号 - 更新管理账号:
- 单击“下一步”。
- 更新日志配置。
- 选择是否启用CTS:
如果您未在搭建Landing Zone页面启用CTS,则RGC将不会管理您的CTS操作审计日志。RGC强烈建议您启用CTS。预置强制控制策略将会检测已纳管的账号是否已启用CTS。
- 更新OBS日志配置:
- 创建OBS桶:需要配置日志在OBS桶中的保留时长。日志将会自动存放至系统创建的两个默认OBS桶中,不支持自定义OBS桶名。
- 使用现有OBS桶:需要输入日志账号下的OBS桶名称,如使用其他OBS桶则将会导致Landing Zone搭建失败。为了您的数据安全,建议使用桶策略为私有的OBS桶。
图5 更新日志配置 - 选择是否启用CTS:
- 单击“下一步”。
- 确认更新的设置信息无误,单击“确定”。RGC将会开始对Landing Zone进行更新。
更新成功后,RGC界面将会出现更新成功的提示。
如果更新失败,RGC不会退回到之前的Landing Zone版本,Landing Zone可能将会处于不确定的状态。如果出现该问题,请提交工单。
相关操作
如果需要单独更新账号,请参考更新账号。