Sie können ein Upgrade von Automation Config von einer vorherigen Version auf die neueste stabile Version durchführen.
Empfohlene Vorgehensweise beim Upgrade
Folgen Sie diesen Richtlinien, während Sie das Upgrade planen:
- Führen Sie das Upgrade nicht mithilfe des Installationsprogramms oder der Anweisungen für die manuelle Installation durch.Wenn Sie ein Upgrade Ihrer Automation Config-Installation durchführen, lesen Sie die folgenden Upgrade-Anweisungen.
- Um optimale Ergebnisse zu erzielen, erhöhen Sie schrittweise von einer Hauptversion zur nächsten. Es wird empfohlen, immer ein Upgrade von der neuesten Hauptversion von Automation Config auf die neue Version durchzuführen. Wenn Sie mit einer älteren Version arbeiten, führen Sie inkrementell ein Upgrade von einer Version zur nächsten durch.
- Sichern Sie Ihre Daten.Sichern Sie Ihre Daten, um Datenverlust zu verhindern.
- Führen Sie Upgrades während Zeiten mit langsamer Netzwerkaktivität durch.Datenbank-Upgrades erfordern eine Neuindizierung der Daten. Je nach der Komplexität Ihrer Daten kann ein Datenbank-Upgrade möglicherweise mehrere Stunden dauern. Um Dienstunterbrechungen zu vermeiden, sollten Sie ein Upgrade der Datenbank während Geschäftszeiten mit wenig Auslastung durchführen oder Ihre Datenbank vor einem Upgrade kürzen.
- Überprüfen Sie die Datenbank auf alle alten Befehle, die gespeichert sind.In einigen Fällen speichert die PostgreSQL-Datenbank alte Befehle, die nicht ausgeführt wurden. Diese Befehle werden möglicherweise während des Upgrade-Vorgangs ausgeführt, wenn Sie das Master-Plug-In neu starten. Um dies zu verhindern, überprüfen Sie, ob alte Befehle in der Datenbank gespeichert sind, und aktivieren Sie das Überspringen von Aufträgen, die älter als eine festgelegte Zeit sind.
- Testen Sie das Upgrade vor der Bereitstellung. Falls möglich, könnten Sie versuchen, eine Probe in einer Testumgebung durchzuführen. So können Sie ermitteln, wie lange das Upgrade dauern könnte.
- Lesen Sie zuerst die gesamte Anleitung durch. Sie sollten diese Anleitung einmal komplett durchlesen, bevor Sie ein Upgrade implementieren. Auf diese Weise erhalten Sie einen Überblick über die erforderlichen Aufgaben haben und können entscheiden, ob diese von Ihrem Team geplant werden müssen oder ob die Beteiligten über ausstehende Änderungen benachrichtigt werden müssen.
Upgrade von älteren Versionen
Es wird empfohlen, immer ein Upgrade von der neuesten Hauptversion von Automation Config auf die neue Version durchzuführen. Wenn Sie ein Upgrade von einer früheren Version als der neuesten Version durchführen, werden möglicherweise die besten Ergebnisse angezeigt, wenn Sie ein Upgrade von einer Hauptversion zur nächsten durchführen.
Anweisungen zum Upgrade auf frühere Automation Config-Versionen finden Sie in den spezifischen Upgrade-Anweisungen für die Versionen, von denen Sie das Upgrade durchführen. Die Upgrade-Anweisungen für vorherige Versionen sind in der PDF-Datei des Installationshandbuchs für die nachfolgende Version enthalten. Wenn Sie beispielsweise ein Upgrade von 5.5 auf 6.0 durchführen müssen, lesen Sie die Upgrade-Anweisungen in der PDF-Datei zur Installation von 6.0.
Verwenden Sie für Automation Config Version 8.4 und höher die Versionsauswahl oben auf dieser Seite, um den richtigen Upgrade-Leitfaden für Ihre Produktversion auszuwählen. Verwenden Sie für Versionen 8.3 und älter die PDF-Handbücher in der folgenden Tabelle:
Version | Installations- und Upgrade-Leitfaden (PDF) |
---|---|
8.3 | 8.3 Installations- und Upgrade-Leitfaden |
6.4 | 6.4 Installations- und Upgrade-Leitfaden |
6.3 | 6.3 Installations- und Upgrade-Leitfaden |
6.2 | 6.2 Installations- und Upgrade-Leitfaden |
6.1 | 6.1 Installations- und Upgrade-Leitfaden |
6.0.1 | 6.0.1 Installations- und Upgrade-Leitfaden |
6.0 | 6.0 Installations- und Upgrade-Leitfaden |
Vorgehensweise zum Durchführen eines Upgrades von Automation Config
- Sichern Sie Ihre Daten, einschließlich bestimmter Dateien und Verzeichnisse, die für Ihre spezifische Installation von Automation Config wichtig sind.
- Führen Sie ein Upgrade von PostgreSQL durch (optional, aber empfohlen)
- Führen Sie ein Upgrade Ihrer Salt-Infrastruktur durch (optional, aber empfohlen)
- Laden Sie die Upgrade-Dateien herunter
- Führen Sie ein Upgrade des RaaS-Knotens durch
- Führen Sie ein Upgrade von Salt-Mastern mithilfe des Master-Plug-Ins durch
Weitere Informationen zum Upgrade von Config über Aria Suite Lifecycle finden Sie unter Aktualisieren von Automation Config in der LCM-Dokumentation.
Sichern von Automation Config-Dateien und -Verzeichnissen
Die folgenden Dateien und Verzeichnisse enthalten Ihre benutzerdefinierten Automation Config-Konfigurationen und müssen vor der Aktualisierung gesichert werden:
- Sichern Sie auf dem RaaS-Knoten die folgenden gesamten Verzeichnisse:
/etc/raas/raas
/etc/raas/raas.secconf
/var/log/raas
/etc/raas/pki/
Hinweis:Das
pki
-Verzeichnis enthält ausgeblendete Dateien. Stellen Sie daher sicher, dass Sie das gesamte Verzeichnis sichern. Das Sichern der Protokolldateien im/var/log/raas
-Verzeichnis ist optional. Während des Upgrade-Vorgangs löschen Sie die Protokolldateien, um eine bereinigte Protokolldatei bereitzustellen, falls eine Fehlerbehebung erforderlich ist. - Sichern Sie die
/etc/salt/master.d/raas.conf
- und/etc/salt/master.d/eAPIMasterPaths.conf
-Dateien auf jedem Salt-Master.Hinweis:Je nachdem, wie Sie Automation Config installiert haben, können sich die eAPI Salt-Master-Pfade stattdessen in der
/etc/salt/master.d/raas.conf
-Datei befinden.
Sichern Ihres Datenbankschemas
Beim Aktualisieren Ihres RaaS-Knotens wird das Datenbankschema aktualisiert. Stellen Sie aus diesem Grund sicher, dass Sie vor der Aktualisierung eine Sicherung Ihrer Datenbank erstellen.
Um Ihre Datenbank zu sichern, müssen Sie zuerst Ihren PostgreSQL-Datenbanknamen suchen und dann den Inhalt kopieren:
- Sichern Sie diese Dateien auf dem PostgreSQL-Server:
postgresql.conf
pg_hba.conf
- Melden Sie sich mit dem folgenden Befehl als
postgres
-Benutzer an:sudo su - postgres
- Rufen Sie Ihren Datenbanknamen mit den folgenden Befehlen auf, um auf PostgreSQL zuzugreifen. Listen Sie dann die Datenbanken auf:
psql \l
- Drücken Sie zum Beenden von PostgreSQL und zum Abmelden als
postgres
-Benutzer die Tastenkombination Strg+D und führen Sie dann den folgenden Befehl aus:exit
- Kopieren Sie den Datenbankinhalt in eine Datei. Der folgende Befehl zeigt ein Beispiel:
pg_dump -U salteapi raas_db_name > postgres_raas_backup_$(date +%Y-%m-%d).sql
Upgrade einer PostgreSQL-Datenbank
Für Automation Config ist eine PostgreSQL 9.6-Datenbank erforderlich, aber PostgreSQL 13.7 wird empfohlen. Die empfohlene Version von PostgreSQL ist im Automation Config-Installationsprogramm enthalten.
Ein Upgrade auf die neueste Version von PostgreSQL ist nicht erforderlich. Ein Upgrade von PostgreSQL kann jedoch möglicherweise die Leistung verbessern. Anweisungen zum Upgrade auf die neueste Version von PostgreSQL finden Sie unter PostgreSQL-Upgrade.
Upgrade einer Redis-Datenbank
Für Automation Config ist eine Redis 5.x-Datenbank erforderlich, aber Redis 6.2.7 wird empfohlen. Die empfohlene Version von Redis ist im Lieferumfang des Automation Config-Installationsprogramms enthalten.
Ein Upgrade auf die neueste Version von Redis 5.x ist nicht erforderlich. Ein Upgrade von Redis kann jedoch möglicherweise die Leistung verbessern. Anweisungen zum Upgrade von Redis finden Sie unter Redis-Verwaltung.
Upgrade von Salt
Beim Upgrade von Salt müssen Sie zuerst ein Upgrade der Master durchführen. Die Ausführung von Minions mit neueren Salt-Versionen als auf ihren Mastern funktioniert möglicherweise nicht wie erwartet, da der Minion möglicherweise Änderungen enthält, die noch nicht im Master verfügbar sind. Außerdem wird nach Möglichkeit die Abwärtskompatibilität zwischen neuen Mastern und alten Minions beibehalten. Im Allgemeinen gilt als einzige Ausnahme für diese Richtlinie der Fall einer Sicherheitslücke.
Stellen Sie für eine optimale Leistung sicher, dass alle Salt-Komponenten in Ihrer Infrastruktur auf der neuesten Hauptversion von Salt ausgeführt werden.
Erforderlich: Für Brownfield-/Upgrade-Bereitstellungen ist der Salt-Master ab Salt 3006 so konfiguriert, dass er als Benutzer „salt“ anstelle des herkömmlichen Root-Benutzers ausgeführt wird. Dies kann zu Berechtigungsfehlern bei RaaS-bezogenen Workflows führen, wie z. B. Minion-Bereitstellung und Upgrades des RaaS-Master-Plug-Ins.
Um dieses Problem zu beheben, ändern Sie die Datei /etc/salt/master.d/raas.conf und ändern Sie den Benutzer in „root“: user: root
.
Für neue Greenfield-Bereitstellungen konfiguriert der sseapi-config
-Befehl das Master-Plug-In und generiert die Datei raas.conf mit dem korrekten Konfigurationswert user: root
. Es ist keine Benutzeraktion erforderlich.
Führen Sie ein Upgrade des RaaS-Knotens durch
Nach dem Upgrade auf die neueste Version von PostgreSQL, Redis und Salt können Sie den RaaS-Knoten von der vorherigen Version auf die neueste Version aktualisieren.
Vor dem Upgrade Ihres RaaS-Knotens müssen Sie Ihre Systemdaten sichern, um Datenverlust zu vermeiden. Um Ihre Einrichtung beizubehalten, speichern Sie alle Änderungen, die Sie am Standarddateisystem, an Pfeilerdaten und Aufträgen vorgenommen haben, als neue Dateien oder Aufträge. Darüber hinaus sollten Sie alle vorhandenen Pfeilerzielzuweisungen aufzeichnen oder eine Kopie davon erstellen, da diese während des Upgrade-Vorgangs entfernt werden.
So führen Sie ein Upgrade des RaaS-Knotens durch:
- Laden Sie die Upgrade-Dateien von Customer Connect herunter.
- Beenden Sie den RaaS-Dienst mit dem folgenden Befehl:
sudo systemctl stop raas
- Entfernen Sie die Protokolldatei(en) im
/var/log/raas
-Verzeichnis. Durch das Löschen der Protokolldateien wird eine fehlerfreie Protokolldatei zur Verfügung gestellt, falls eine Fehlerbehebung erforderlich ist. - Entfernen Sie die aktuell installierte Version der API (RaaS) mit dem folgenden Befehl:
sudo yum remove raas
- Führen Sie ein Upgrade des RaaS-Knotens durch, indem Sie das neueste RPM installieren. Verwenden Sie den folgenden Beispielbefehl und ersetzen Sie den genauen Dateinamen des RPM:
sudo yum install raas-rpm-file-name.rpm
- WICHTIG: Stellen Sie die Sicherung der folgenden Dateien wieder her:
/etc/raas/raas
/etc/raas/raas.secconf
/etc/raas/pki/
- Aktualisieren Sie die Berechtigungen für den
raas
-Benutzer mit dem folgenden Befehl:sudo chown -R raas:raas /etc/pki/raas/certs
- OPTIONAL: Wenn Sie über eine Automation for Secure Hosts-Lizenz verfügen und die Konformitätssbibliothek hinzufügen möchten, fügen Sie den folgenden neuen Abschnitt zur
/etc/raas/raas
-Datei hinzu:sec: ingest_override: true locke_dir: locke post_ingest_cleanup: true username: 'secops' content_url: 'https://enterprise.saltstack.com/secops_downloads' download_enabled: true download_frequency: 86400 stats_snapshot_interval: 3600 compile_stats_interval: 10 ingest_on_boot: True content_lock_timeout: 60 content_lock_block_timeout: 120
Hinweis:Dieser Schritt ist optional und gilt nur für Organisationen, die über eine gültige Automation for Secure Hosts-Lizenz verfügen. Dieses Add-On-Modul ist für Automation Config-Versionen ab 6.0 verfügbar. Die vorherigen Konfigurationsoptionen in der
/etc/raas/raas
-Konfigurationsdatei sind spezifisch für diese Add-On-Module. - OPTIONAL: Wenn Sie über eine Automation for Secure Hosts-Lizenz verfügen und die Schwachstellenbibliothek hinzufügen möchten, fügen Sie der Datei
/etc/raas/raas
einen neuen Abschnitt hinzu:vman: vman_dir: vman download_enabled: true download_frequency: 86400 username: vman content_url: 'https://enterprise.saltstack.com/vman_downloads' ingest_on_boot: true compile_stats_interval: 60 stats_snapshot_interval: 3600 old_policy_file_lifespan: 2 delete_old_policy_files_interval: 86400 tenable_asset_import_enabled: True tenable_asset_import_grains: ['fqdn', 'ipv4', 'ipv6', 'hostname', 'mac_address', 'netbios_name', 'bios_uuid', 'manufacturer_tpm_id', 'ssh_fingerprint', 'mcafee_epo_guid', 'mcafee_epo_agent_guid', 'symantec_ep_hardware_key', 'qualys_asset_id', 'qualys_host_id', 'servicenow_sys_id', 'gcp_project_id', 'gcp_zone', 'gcp_instance_id', 'azure_vm_id', 'azure_resource_id', 'aws_availability_zone', 'aws_ec2_instance_ami_id', 'aws_ec2_instance_group_name', 'aws_ec2_instance_state_name', 'aws_ec2_instance_type', 'aws_ec2_name', 'aws_ec2_product_code', 'aws_owner_id', 'aws_region', 'aws_subnet_id', 'aws_vpc_id', 'installed_software', 'bigfix_asset_id' ]
Hinweis:Dieser Schritt ist optional und gilt nur für Organisationen, die über eine gültige Automation for Secure Hosts-Lizenz verfügen. Dieses Add-On-Modul ist für Automation Config-Versionen ab 6.0 verfügbar. Die vorherigen Konfigurationsoptionen in der
/etc/raas/raas
-Konfigurationsdatei sind spezifisch für diese Add-On-Module. - RaaS hat derzeit ein bekanntes Problem im Zusammenhang mit veralteten Aufträgen. Beim Upgrade bemerken einige Benutzer möglicherweise eine Warteschlange veralteter Aufträge, die im Status „Ausstehend“ hängenbleiben. Das Upgrade des RaaS-Knotens kann dazu führen, dass diese Aufträge ausgeführt werden, es sei denn, sie werden zuerst gelöscht.
Um dies zu verhindern, überprüfen Sie zunächst, ob alte Befehle in der Datenbank gespeichert sind. Überprüfen Sie auf Ihrem PostgreSQL-Knoten, ob ausstehende Aufträge vorhanden sind. Verwenden Sie dazu den folgenden Befehl:
select count(1) from commands where state='new';
Das Ergebnis ist die Anzahl der ausstehenden Aufträge. Wenn die Anzahl der Aufträge
0
beträgt, fahren Sie mit dem Rest des Upgrade-Vorgangs fort. - Führen Sie ein Upgrade der RaaS-Dienst-Datenbank mit dem folgenden Befehl durch:
sudo su - raas raas upgrade
Hinweis:Je nach Größe Ihrer Datenbank kann das Upgrade mehrere Minuten bis eine Stunde dauern. Wenn Fehler auftreten, überprüfen Sie die Protokolldatei
/var/log/raas/raas
auf weitere Informationen. - Beenden Sie nach dem Upgrade die Sitzung für den
raas
-Benutzer mit dem folgenden Befehl:exit
- Starten Sie den RaaS-Dienst mit dem folgenden Befehl:
sudo systemctl enable raas sudo systemctl start raas
Upgrade des Master-Plug-Ins mithilfe der Automation Config-Benutzeroberfläche
Automation Config aktualisiert das Master-Plug-In automatisch auf die neueste Version, ohne dass Benutzeraktionen erforderlich sind.
Sie können jedoch auch über die Benutzeroberfläche von Automation Config ein Upgrade des Master-Plug-Ins durchführen. Um ein Upgrade des Master-Plug-Ins durchzuführen, wählen Sie in Automation Config Verwaltung und klicken Sie dann auf Master-Plug-Ins. Auf der Registerkarte „Master-Plug-In“ wird neben einer Liste Ihrer Master-Plug-In-IDs angezeigt, in welcher Version des Plug-Ins und der Automation Config-Umgebung Sie sich befinden. Auf der Registerkarte „Master-Plug-Ins“ können Sie die Master-Plug-Ins auswählen, die Sie aktualisieren möchten, und dann auf Aktualisieren klicken.
Upgrade des Master-Plug-Ins mithilfe der CLI
Nachdem Sie das Upgrade des RaaS-Knotens erfolgreich durchgeführt haben, können Sie anschließend alle Salt-Master aktualisieren, die das Master-Plug-In verwenden, um eine Verbindung zu Automation Config herzustellen.
# sseapi-config --default >/tmp/raas.conf # cd /etc/salt/master.d # vim -d raas.conf /tmp/raas.conf
Ab Version 8.13.0 enthält das Master-Plug-In eine tgtmatch-Engine, die jetzt den Zielgruppenabgleich vom RaaS-Server auf die Salt-Master auslädt. Es wird empfohlen, diese tgtmatch-Engine zu aktivieren und zu konfigurieren, damit der Zielgruppenabgleich reaktionsfähiger ist, insbesondere in Umgebungen mit:
- Einer großen Anzahl von Zielgruppen (100 oder mehr)
- Einer großen Anzahl von Minions (3.000 oder mehr)
- Häufigen Änderungen an Minion Grains (täglich oder häufiger)
- Häufiger Erstellung und Löschung von Minions (täglich oder häufiger)
engines: - sseapi: {} - eventqueue: {} - rpcqueue: {} - jobcompletion: {} - keyauth: {} - tgtmatch: {} sseapi_local_cache: load: 3600 tgt: 86400 pillar: 3600 exprmatch: 86400 tgtmatch: 86400 sseapi_tgt_match: poll_interval: 60 workers: 0 nice: 19
target_groups_from_master_only: true
Stellen Sie vor dem Upgrade des Salt-Masters bzw. der Salt-Master sicher, dass die pip3-Anwendung auf den Salt-Mastern installiert ist. Wenn Sie ein Upgrade von der neuesten Version des Master-Plug-Ins durchführen, ist diese Anwendung bereits installiert.
So führen Sie ein Upgrade des Master-Plug-Ins auf einem Salt-Master durch:
- Beenden Sie den Dienst
salt-master
mit dem folgenden Befehl:sudo systemctl stop salt-master
- Überprüfen Sie, welche Version von Python auf dem Salt-Master ausgeführt wird. Wenn Python 3.6 oder höher ausgeführt wird, sind keine Änderungen erforderlich. Löschen Sie andernfalls die vorherige Version des SSEAPE-Moduls. (SSEAPE ist das Automation Config-Plug-In für den Salt-Master). Beispiel:
RHEL/CentOS
sudo rm -rf /usr/lib/python3.6/site-packages/SSEAPE*
Ubuntu
sudo rm /usr/lib/python3.6/dist-packages/SSEAPE*
- Führen Sie ein Upgrade des Master-Plug-Ins durch, indem Sie das aktualisierte Python-Wheel manuell deinstallieren und erneut installieren. Verwenden Sie die folgenden Beispielbefehle, ersetzen Sie dabei den genauen Namen der Wheel-Datei:
Hinweis: Das vorhandene Plug-In muss deinstalliert werden, um mehrere Instanzen von sseapi-config zu verhindern.
pip3 uninstall SSEAPE-8.12.1.3-py3-none-any.whl mv /etc/salt/master.d/raas.conf /tmp salt-call pip.install SSEAPE-8.12.1.3-py3-none-any.whl cp /tmp/raas.conf /etc/salt/master.d/raas.conf systemctl restart salt-master
- Aktualisieren Sie die API (RaaS)-Modulpfade, indem Sie die
/etc/salt/master.d/eAPIMasterPaths.conf
-Datei bearbeiten, um die Pfade zu den verschiedenen Modulen zu referenzieren. Sie können z. B. allepython2.7
-Referenzen in dieser Datei ändern aufpython3.6
ändern.Hinweis:Je nachdem, wie Sie Automation Config installiert haben, können sich die eAPI Salt-Master-Pfade stattdessen in der
/etc/salt/master.d/raas.conf
-Datei befinden. - Überprüfen Sie den
engines
-Abschnitt in/etc/salt/master.d/raas.conf
, um zu bestätigen, dass er den folgenden Bedingungen entspricht:engines: - sseapi: {} - eventqueue: {} - rpcqueue: {} - jobcompletion: {} - keyauth: {}
Hinweis:Wenn ein Problem aufgetreten ist, müssen Sie möglicherweise Ihre Sicherungen der Dateien
/etc/salt/master.d/raas.conf
und/etc/salt/master.d/eAPIMasterPaths.conf
wiederherstellen. - Stellen Sie bei Verwendung der Salt-Master-Schlüsselauthentifizierung (empfohlen) sicher, dass
sseapi_pubkey_path
konfiguriert ist undsseapi_username
undsseapi_password
in/etc/salt/master.d/raas.conf
auskommentiert wurden.sseapi_pubkey_path: /etc/salt/pki/master/sseapi_key.pub #sseapi_username: #sseapi_password:
- Überprüfen Sie, ob für die Einträge
master_job_cache
undevent_return
die Einstellungsseapi
festgelegt wurde. Derpgjsonb
-Returner ist nicht mehr verfügbar. - Starten Sie den Dienst
salt-master
mit dem folgenden Befehl:sudo systemctl start salt-master
- Stellen Sie sicher, dass der Salt-Master als Benutzer „root“ und nicht als Benutzer „salt“ ausgeführt wird. Falls nicht, ändern Sie die Datei /etc/salt/master.d/raas.conf, um den Benutzer in „root“ zu ändern:
user: root
.
Der Upgrade-Prozess ist jetzt abgeschlossen. Falls weitere Fehler auftreten, erhalten Sie unter Fehlerbehebung weitere Informationen.