Dopo aver effettuato l'aggiornamento alla versione più recente di PostgreSQL, Redis e Salt, è necessario aggiornare il nodo RaaS dalla versione precedente alla versione più recente.

Tenere presente che gli aggiornamenti del database richiedono la reindicizzazione dei dati. Se i dati sono complessi, l'aggiornamento del database potrebbe richiedere diverse ore. Per ulteriori informazioni su quando pianificare un aggiornamento e altri suggerimenti, consultare Procedure consigliate durante l'aggiornamento.

Importante:

Prima di aggiornare il nodo RaaS, è necessario eseguire il backup dei dati di sistema per evitare la perdita dei dati. Per indicazioni su quali file e directory è necessario sottoporre a backup prima dell'aggiornamento, vedere Esecuzione del backup dei dati.

Per aggiornare il nodo RaaS:

  1. Scaricare i file dell'aggiornamento da Customer Connect.
  2. Salvare le eventuali modifiche apportate al file system, ai dati del pillar e ai processi predefiniti come nuovi file o processi.
  3. Prendere nota di tutte le assegnazioni del pillar che vengono effettuate alle destinazioni predefinite. È necessario eseguire di nuovo l'assegnazione dopo l'aggiornamento.
  4. Arrestare il servizio RaaS con il comando seguente:
    sudo systemctl stop raas
  5. Rimuovere i file di registro nella directory /var/log/raas. Se si cancellano i dati dei file di registro, è possibile ottenere un file di registro pulito da utilizzare nel caso sia necessario risolvere problemi.
  6. Rimuovere la versione attualmente installata dell'API (RaaS) con il comando seguente:
    sudo yum remove raas
  7. Aggiornare il nodo RaaS installando l'RPM più recente. Utilizzare il seguente comando di esempio, specificando il nome di file esatto dell'RPM:
    sudo yum install raas-rpm-file-name.rpm
  8. IMPORTANTE: ripristinare il backup dei seguenti file:
    • /etc/raas/raas
    • /etc/raas/raas.secconf
    • /etc/raas/pki/
  9. Aggiornare le autorizzazioni per l'utente raas con il comando seguente:
    sudo chown -R raas:raas /etc/pki/raas/certs
  10. FACOLTATIVO: se si dispone di una licenza SaltStack SecOps e si desidera aggiungere la libreria di conformità, aggiungere la nuova sezione seguente al file /etc/raas/raas:
    sec:
      ingest_override: true
      locke_dir: locke
      post_ingest_cleanup: true
      username: 'secops'
      content_url: 'https://enterprise.saltstack.com/secops_downloads'
      download_enabled: true
      download_frequency: 86400
      stats_snapshot_interval: 3600
      compile_stats_interval: 10
      ingest_on_boot: True
      content_lock_timeout: 60
      content_lock_block_timeout: 120
    Nota:

    Questo passaggio è facoltativo e si applica solo alle organizzazioni che dispongono di una licenza di SaltStack SecOps valida. Questo modulo del componente aggiuntivo è disponibile per SaltStack Config versione 6.0 e successive. Le opzioni di configurazione precedenti nel file di configurazione /etc/raas/raas sono specifiche di questi moduli del componente aggiuntivo.

  11. FACOLTATIVO: se si dispone di una licenza di SaltStack SecOps e si desidera aggiungere la libreria di vulnerabilità, aggiungere una nuova sezione al file /etc/raas/raas:
    vman:
      vman_dir: vman
      download_enabled: true
      download_frequency: 86400
      username: vman
      content_url: 'https://enterprise.saltstack.com/vman_downloads'
      ingest_on_boot: true
      compile_stats_interval: 60
      stats_snapshot_interval: 3600
      old_policy_file_lifespan: 2
      delete_old_policy_files_interval: 86400
      tenable_asset_import_enabled: True
      tenable_asset_import_grains: ['fqdn', 'ipv4', 'ipv6', 'hostname', 'mac_address', 'netbios_name',
                                    'bios_uuid', 'manufacturer_tpm_id', 'ssh_fingerprint',
                                    'mcafee_epo_guid', 'mcafee_epo_agent_guid', 'symantec_ep_hardware_key',
                                    'qualys_asset_id', 'qualys_host_id', 'servicenow_sys_id', 'gcp_project_id',
                                    'gcp_zone', 'gcp_instance_id', 'azure_vm_id', 'azure_resource_id',
                                    'aws_availability_zone', 'aws_ec2_instance_ami_id',
                                    'aws_ec2_instance_group_name', 'aws_ec2_instance_state_name',
                                    'aws_ec2_instance_type', 'aws_ec2_name', 'aws_ec2_product_code',
                                    'aws_owner_id', 'aws_region', 'aws_subnet_id', 'aws_vpc_id',
                                    'installed_software', 'bigfix_asset_id'
                                    ]
    Nota:

    Questo passaggio è facoltativo e si applica solo alle organizzazioni che dispongono di una licenza di SaltStack SecOps valida. Questo modulo del componente aggiuntivo è disponibile per SaltStack Config versione 6.0 e successive. Le opzioni di configurazione precedenti nel file di configurazione /etc/raas/raas sono specifiche di questi moduli del componente aggiuntivo.

  12. Al momento, RaaS include un problema noto relativo ai processi obsoleti. Quando eseguono l'aggiornamento, alcuni utenti potrebbero notare una coda di processi obsoleti bloccati nello stato In sospeso. L'aggiornamento del nodo RaaS può causare l'esecuzione di questi processi a meno che non vengano cancellati prima.

    Per evitare che ciò si verifichi, verificare innanzitutto se nel database sono archiviati comandi precedenti. Nel nodo PostgreSQL, verificare la presenza di eventuali processi in sospeso utilizzando il comando seguente:

    select count(1) from commands where state='new';

    Il risultato è il numero di processi in sospeso. Se il numero di processi è 0, continuare il processo di aggiornamento. Se il numero di processi è maggiore di 0, contattare il supporto per risolvere il problema.

  13. Aggiornare il database del servizio RaaS utilizzando il comando seguente:
    sudo su - raas
    raas upgrade
    Nota:

    A seconda delle dimensioni del database, l'aggiornamento può richiedere da alcuni minuti a più di un'ora. Se si verificano errori, controllare il file di registro /var/log/raas/raas per maggiori informazioni.

  14. Dopo l'aggiornamento, uscire dalla sessione per l'utente raas con il comando seguente:
    exit
  15. Avviare il servizio RaaS con il comando seguente:
    sudo systemctl enable raas
    sudo systemctl start raas

Verificare che SaltStack Config funzioni correttamente e che sia in esecuzione la versione più recente. Passare alla sezione successiva.

Passaggi successivi

Dopo aver aggiornato il nodo RaaS, l'attività finale è l'aggiornamento del plug-in Master. Vedere Aggiornamento del plug-in Master per ulteriori informazioni.