Dopo aver effettuato l'aggiornamento alla versione più recente di PostgreSQL, Redis e Salt, è necessario aggiornare il nodo RaaS dalla versione precedente alla versione più recente.
Tenere presente che gli aggiornamenti del database richiedono la reindicizzazione dei dati. Se i dati sono complessi, l'aggiornamento del database potrebbe richiedere diverse ore. Per ulteriori informazioni su quando pianificare un aggiornamento e altri suggerimenti, consultare Procedure consigliate durante l'aggiornamento.
Prima di aggiornare il nodo RaaS, è necessario eseguire il backup dei dati di sistema per evitare la perdita dei dati. Per indicazioni su quali file e directory è necessario sottoporre a backup prima dell'aggiornamento, vedere Esecuzione del backup dei dati.
Per aggiornare il nodo RaaS:
- Scaricare i file dell'aggiornamento da Customer Connect.
- Salvare le eventuali modifiche apportate al file system, ai dati del pillar e ai processi predefiniti come nuovi file o processi.
- Prendere nota di tutte le assegnazioni del pillar che vengono effettuate alle destinazioni predefinite. È necessario eseguire di nuovo l'assegnazione dopo l'aggiornamento.
- Arrestare il servizio RaaS con il comando seguente:
sudo systemctl stop raas
- Rimuovere i file di registro nella directory
/var/log/raas. Se si cancellano i dati dei file di registro, è possibile ottenere un file di registro pulito da utilizzare nel caso sia necessario risolvere problemi. - Rimuovere la versione attualmente installata dell'API (RaaS) con il comando seguente:
sudo yum remove raas
- Aggiornare il nodo RaaS installando l'RPM più recente. Utilizzare il seguente comando di esempio, specificando il nome di file esatto dell'RPM:
sudo yum install raas-rpm-file-name.rpm
- IMPORTANTE: ripristinare il backup dei seguenti file:
/etc/raas/raas/etc/raas/raas.secconf/etc/raas/pki/
- Aggiornare le autorizzazioni per l'utente
raascon il comando seguente:sudo chown -R raas:raas /etc/pki/raas/certs
- FACOLTATIVO: se si dispone di una licenza SaltStack SecOps e si desidera aggiungere la libreria di conformità, aggiungere la nuova sezione seguente al file
/etc/raas/raas:sec: ingest_override: true locke_dir: locke post_ingest_cleanup: true username: 'secops' content_url: 'https://enterprise.saltstack.com/secops_downloads' download_enabled: true download_frequency: 86400 stats_snapshot_interval: 3600 compile_stats_interval: 10 ingest_on_boot: True content_lock_timeout: 60 content_lock_block_timeout: 120
Nota:Questo passaggio è facoltativo e si applica solo alle organizzazioni che dispongono di una licenza di SaltStack SecOps valida. Questo modulo del componente aggiuntivo è disponibile per SaltStack Config versione 6.0 e successive. Le opzioni di configurazione precedenti nel file di configurazione
/etc/raas/raassono specifiche di questi moduli del componente aggiuntivo. - FACOLTATIVO: se si dispone di una licenza di SaltStack SecOps e si desidera aggiungere la libreria di vulnerabilità, aggiungere una nuova sezione al file
/etc/raas/raas:vman: vman_dir: vman download_enabled: true download_frequency: 86400 username: vman content_url: 'https://enterprise.saltstack.com/vman_downloads' ingest_on_boot: true compile_stats_interval: 60 stats_snapshot_interval: 3600 old_policy_file_lifespan: 2 delete_old_policy_files_interval: 86400 tenable_asset_import_enabled: True tenable_asset_import_grains: ['fqdn', 'ipv4', 'ipv6', 'hostname', 'mac_address', 'netbios_name', 'bios_uuid', 'manufacturer_tpm_id', 'ssh_fingerprint', 'mcafee_epo_guid', 'mcafee_epo_agent_guid', 'symantec_ep_hardware_key', 'qualys_asset_id', 'qualys_host_id', 'servicenow_sys_id', 'gcp_project_id', 'gcp_zone', 'gcp_instance_id', 'azure_vm_id', 'azure_resource_id', 'aws_availability_zone', 'aws_ec2_instance_ami_id', 'aws_ec2_instance_group_name', 'aws_ec2_instance_state_name', 'aws_ec2_instance_type', 'aws_ec2_name', 'aws_ec2_product_code', 'aws_owner_id', 'aws_region', 'aws_subnet_id', 'aws_vpc_id', 'installed_software', 'bigfix_asset_id' ]Nota:Questo passaggio è facoltativo e si applica solo alle organizzazioni che dispongono di una licenza di SaltStack SecOps valida. Questo modulo del componente aggiuntivo è disponibile per SaltStack Config versione 6.0 e successive. Le opzioni di configurazione precedenti nel file di configurazione
/etc/raas/raassono specifiche di questi moduli del componente aggiuntivo. - Al momento, RaaS include un problema noto relativo ai processi obsoleti. Quando eseguono l'aggiornamento, alcuni utenti potrebbero notare una coda di processi obsoleti bloccati nello stato In sospeso. L'aggiornamento del nodo RaaS può causare l'esecuzione di questi processi a meno che non vengano cancellati prima.
Per evitare che ciò si verifichi, verificare innanzitutto se nel database sono archiviati comandi precedenti. Nel nodo PostgreSQL, verificare la presenza di eventuali processi in sospeso utilizzando il comando seguente:
select count(1) from commands where state='new';
Il risultato è il numero di processi in sospeso. Se il numero di processi è
0, continuare il processo di aggiornamento. Se il numero di processi è maggiore di0, contattare il supporto per risolvere il problema. - Aggiornare il database del servizio RaaS utilizzando il comando seguente:
sudo su - raas raas upgrade
Nota:A seconda delle dimensioni del database, l'aggiornamento può richiedere da alcuni minuti a più di un'ora. Se si verificano errori, controllare il file di registro
/var/log/raas/raasper maggiori informazioni. - Dopo l'aggiornamento, uscire dalla sessione per l'utente
raascon il comando seguente:exit
- Avviare il servizio RaaS con il comando seguente:
sudo systemctl enable raas sudo systemctl start raas
Verificare che SaltStack Config funzioni correttamente e che sia in esecuzione la versione più recente. Passare alla sezione successiva.
Passaggi successivi
Dopo aver aggiornato il nodo RaaS, l'attività finale è l'aggiornamento del plug-in Master. Vedere Aggiornamento del plug-in Master per ulteriori informazioni.
