Nach dem Upgrade der neuesten Version von PostgreSQL, Redis und Salt müssen Sie ein Upgrade des RaaS-Knotens von der vorherigen Version auf die neueste Version durchführen.
Beachten Sie, dass für Datenbank-Upgrades eine Neuindizierung der Daten erforderlich ist. Wenn Ihre Daten komplex sind, kann ein Datenbank-Upgrade möglicherweise mehrere Stunden dauern. Eine Erläuterung darüber, wann ein Upgrade geplant werden soll, sowie weitere Tipps finden Sie unter Empfohlene Vorgehensweise beim Upgrade.
Vor dem Upgrade Ihres RaaS-Knotens müssen Sie Ihre Systemdaten sichern, um Datenverlust zu vermeiden. Eine Erläuterung, welche Dateien und Verzeichnisse vor dem Upgrade gesichert werden müssen, finden Sie unter Sichern Ihrer Daten.
So führen Sie ein Upgrade des RaaS-Knotens durch:
- Laden Sie die Upgrade-Dateien von Customer Connect herunter.
- Speichern Sie alle Änderungen, die Sie am Standarddateisystem, an Pfeilerdaten und Aufträgen vorgenommen haben, als neue Dateien oder Aufträge.
- Beachten Sie alle Pfeilerzuweisungen, die für die Standardziele vorgenommen wurden. Diese müssen nach dem Upgrade erneut zugewiesen werden.
- Beenden Sie den RaaS-Dienst mit dem folgenden Befehl:
sudo systemctl stop raas
- Entfernen Sie die Protokolldatei(en) im
/var/log/raas-Verzeichnis. Durch das Löschen der Protokolldateien wird eine fehlerfreie Protokolldatei zur Verfügung gestellt, falls eine Fehlerbehebung erforderlich ist. - Entfernen Sie die aktuell installierte Version der API (RaaS) mit dem folgenden Befehl:
sudo yum remove raas
- Führen Sie ein Upgrade des RaaS-Knotens durch, indem Sie das neueste RPM installieren. Verwenden Sie den folgenden Beispielbefehl und ersetzen Sie den genauen Dateinamen des RPM:
sudo yum install raas-rpm-file-name.rpm
- WICHTIG: Stellen Sie die Sicherung der folgenden Dateien wieder her:
/etc/raas/raas/etc/raas/raas.secconf/etc/raas/pki/
- Aktualisieren Sie die Berechtigungen für den
raas-Benutzer mit dem folgenden Befehl:sudo chown -R raas:raas /etc/pki/raas/certs
- OPTIONAL: Wenn Sie über eine SaltStack SecOps-Lizenz verfügen und die Konformitätssbibliothek hinzufügen möchten, fügen Sie den folgenden neuen Abschnitt zur
/etc/raas/raas-Datei hinzu:sec: ingest_override: true locke_dir: locke post_ingest_cleanup: true username: 'secops' content_url: 'https://enterprise.saltstack.com/secops_downloads' download_enabled: true download_frequency: 86400 stats_snapshot_interval: 3600 compile_stats_interval: 10 ingest_on_boot: True content_lock_timeout: 60 content_lock_block_timeout: 120
Hinweis:Dieser Schritt ist optional und gilt nur für Organisationen, die über eine gültige SaltStack SecOps-Lizenz verfügen. Dieses Add-On-Modul ist für SaltStack Config-Versionen ab 6.0 verfügbar. Die vorherigen Konfigurationsoptionen in der
/etc/raas/raas-Konfigurationsdatei sind spezifisch für diese Add-On-Module. - OPTIONAL: Wenn Sie über eine SaltStack SecOps-Lizenz verfügen und die Schwachstellenbibliothek hinzufügen möchten, fügen Sie der Datei
/etc/raas/raaseinen neuen Abschnitt hinzu:vman: vman_dir: vman download_enabled: true download_frequency: 86400 username: vman content_url: 'https://enterprise.saltstack.com/vman_downloads' ingest_on_boot: true compile_stats_interval: 60 stats_snapshot_interval: 3600 old_policy_file_lifespan: 2 delete_old_policy_files_interval: 86400 tenable_asset_import_enabled: True tenable_asset_import_grains: ['fqdn', 'ipv4', 'ipv6', 'hostname', 'mac_address', 'netbios_name', 'bios_uuid', 'manufacturer_tpm_id', 'ssh_fingerprint', 'mcafee_epo_guid', 'mcafee_epo_agent_guid', 'symantec_ep_hardware_key', 'qualys_asset_id', 'qualys_host_id', 'servicenow_sys_id', 'gcp_project_id', 'gcp_zone', 'gcp_instance_id', 'azure_vm_id', 'azure_resource_id', 'aws_availability_zone', 'aws_ec2_instance_ami_id', 'aws_ec2_instance_group_name', 'aws_ec2_instance_state_name', 'aws_ec2_instance_type', 'aws_ec2_name', 'aws_ec2_product_code', 'aws_owner_id', 'aws_region', 'aws_subnet_id', 'aws_vpc_id', 'installed_software', 'bigfix_asset_id' ]Hinweis:Dieser Schritt ist optional und gilt nur für Organisationen, die über eine gültige SaltStack SecOps-Lizenz verfügen. Dieses Add-On-Modul ist für SaltStack Config-Versionen ab 6.0 verfügbar. Die vorherigen Konfigurationsoptionen in der
/etc/raas/raas-Konfigurationsdatei sind spezifisch für diese Add-On-Module. - RaaS hat derzeit ein bekanntes Problem im Zusammenhang mit veralteten Aufträgen. Beim Upgrade bemerken einige Benutzer möglicherweise eine Warteschlange veralteter Aufträge, die im Status „Ausstehend“ hängenbleiben. Das Upgrade des RaaS-Knotens kann dazu führen, dass diese Aufträge ausgeführt werden, es sei denn, sie werden zuerst gelöscht.
Um dies zu verhindern, überprüfen Sie zunächst, ob alte Befehle in der Datenbank gespeichert sind. Überprüfen Sie auf Ihrem PostgreSQL-Knoten, ob ausstehende Aufträge vorhanden sind. Verwenden Sie dazu den folgenden Befehl:
select count(1) from commands where state='new';
Das Ergebnis ist die Anzahl der ausstehenden Aufträge. Wenn die Anzahl der Aufträge
0beträgt, fahren Sie mit dem Rest des Upgrade-Vorgangs fort. Wenn die Anzahl der Aufträge größer ist als0, wenden Sie sich an den Support, um Informationen zur Problemumgehung zu erhalten. - Führen Sie ein Upgrade der RaaS-Dienst-Datenbank mit dem folgenden Befehl durch:
sudo su - raas raas upgrade
Hinweis:Je nach Größe Ihrer Datenbank kann das Upgrade mehrere Minuten bis über eine Stunde dauern. Wenn Fehler auftreten, überprüfen Sie die
/var/log/raas/raas-Protokolldatei, um weitere Informationen zu erhalten. - Beenden Sie nach dem Upgrade die Sitzung für den
raas-Benutzer mit dem folgenden Befehl:exit
- Starten Sie den RaaS-Dienst mit dem folgenden Befehl:
sudo systemctl enable raas sudo systemctl start raas
Stellen Sie sicher, dass SaltStack Config ordnungsgemäß funktioniert und dass die neueste Version ausgeführt wird. Fahren Sie mit dem nächsten Abschnitt fort.
Nächste Schritte
Nach dem Upgrade des RaaS-Knotens besteht die letzte Aufgabe darin, das Upgrade des Master-Plug-Ins durchzuführen. Weitere Informationen hierzu finden Sie unter Upgrade des Master-Plug-Ins.
