U kunt Automation Config upgraden naar de nieuwste stabiele versie van een eerdere versie.

Best practices bij het upgraden

Volg deze richtlijnen voor het plannen van uw upgrade:

  • Upgrade niet met behulp van de instructies van het installatieprogramma of de handmatige installatie.Als u uw Automation Config-installatie upgradet, raadpleegt u de volgende upgrade-instructies.
  • Voor de beste resultaten gaat u van de ene belangrijke release naar de volgende. Als best practice upgradet u altijd van de nieuwste belangrijke versie van Automation Config naar de nieuwe release. Als u een oudere release hebt, moet u incrementeel upgraden van de ene release naar de volgende.
  • Maak een back-up van uw gegevens. Om gegevensverlies te voorkomen, moet u een back-up van uw gegevens maken.
  • Voer upgrades uit op momenten van weinig netwerkactiviteit. Bij het upgraden van databases moeten gegevens opnieuw worden geïndexeerd. Afhankelijk van de complexiteit van uw gegevens kan een database-upgrade mogelijk enkele uren duren. Om serviceonderbrekingen te voorkomen, kunt u overwegen de database te upgraden tijdens minder drukke uren of uw database op te schonen voordat u een upgrade uitvoert.
  • Controleer de database op eventuele oude commando's die zijn opgeslagen. In sommige gevallen slaat de PostgreSQL-database oude commando's op die nog niet zijn uitgevoerd. Deze commando's worden mogelijk uitgevoerd tijdens het upgradeproces wanneer u de masterplug-in herstart. Om dit te voorkomen, controleert u of er oude commando's in de database zijn opgeslagen en activeert u het overslaan van taken die ouder zijn dan een gedefinieerde tijd.
  • Test de upgrade voordat u implementeert. Indien mogelijk kunt u proberen een proef uit te voeren in een testomgeving om een idee te krijgen van hoe lang de upgrade kan duren.
  • Lees eerst de hele handleiding. Overweeg ook om deze handleiding een keer door te lezen voordat u een upgrade implementeert zodat u een goed idee hebt van de vereiste taken en of deze planning van uw team vereist is of dat stakeholders op de hoogte moeten worden gesteld van wijzigingen die in behandeling zijn.

Upgraden vanaf oudere versies

Als best practice upgradet u altijd van de nieuwste belangrijke versie van Automation Config naar de nieuwe release. Als u een upgrade uitvoert van een eerdere versie dan de nieuwste release, ziet u mogelijk de beste resultaten als u van de ene belangrijke release naar de volgende upgradet.

Voor instructies over het upgraden naar eerdere Automation Config-versies raadpleegt u de specifieke upgrade-instructies voor de releases vanwaaruit u upgradet. De upgrade-instructies voor vorige releases vindt u in de PDF met de installatiehandleiding voor de volgende release. Als u bijvoorbeeld 5.5 moet upgraden naar 6.0, raadpleegt u de upgrade-instructies in de PDF voor de installatie van 6.0.

Voor Automation Config-versies 8.4 en hoger gebruikt u de versiekiezer bovenaan deze pagina om de juiste upgradehandleiding voor uw productversie te selecteren. Voor versies 8.3 en ouder gebruikt u de PDF-handleidingen in de volgende tabel:

Versie Installatie- en upgradehandleiding (PDF)
8.3 Installatie- en upgradehandleiding voor 8.3
6.4 Installatie- en upgradehandleiding voor 6.4
6.3 Installatie- en upgradehandleiding voor 6.3
6.2 Installatie- en upgradehandleiding voor 6.2
6.1 Installatie- en upgradehandleiding voor 6.1
6.0.1 Installatie- en upgradehandleiding voor 6.0.1
6.0 Installatie- en upgradehandleiding voor 6.0

Automation Config upgraden

Voer de volgende taken in deze volgorde uit om Automation Config te upgraden:
  • Een back-up maken van uw gegevens, waaronder bepaalde bestanden en mappen die cruciaal zijn voor uw specifieke installatie van Automation Config
  • PostgreSQL upgraden (optioneel, maar aanbevolen)
  • Uw Salt-infrastructuur upgraden (optioneel, maar aanbevolen)
  • De upgradebestanden downloaden
  • Het RaaS-knooppunt upgraden
  • Salt-masters upgraden met de masterplug-in

Zie Automation Config upgraden in de LCM-documentatie voor meer informatie over het upgraden van Config via Aria Suite Lifecycle.

Back-up van Automation Config-bestanden en -directory's maken

De volgende bestanden en mappen bevatten uw aangepaste Automation Config-configuraties en hier moet een back-up van worden gemaakt voordat u upgradet:

  1. Maak op het RaaS-knooppunt een back-up van deze volledige directory's:
    • /etc/raas/raas
    • /etc/raas/raas.secconf
    • /var/log/raas
    • /etc/raas/pki/
    Opmerking:

    De pki-directory bevat verborgen bestanden. Zorg ervoor dat u een back-up van de volledige directory maakt. Het maken van een back-up van de logboekbestanden in de directory /var/log/raas is optioneel. Tijdens het upgradeproces wist u de logboekbestanden om zo een leeg logboekbestand te bieden indien probleemoplossing nodig is.

  2. Maak een back-up van de bestanden /etc/salt/master.d/raas.conf en /etc/salt/master.d/eAPIMasterPaths.conf op elke Salt-master.
    Opmerking:

    Afhankelijk van de manier waarop u Automation Config heeft geïnstalleerd, kunnen de eAPI Salt-masterpaden zich in plaats daarvan in het bestand /etc/salt/master.d/raas.conf bevinden.

Een back-up van uw databaseschema maken

Wanneer u uw RaaS-knooppunt upgradet, wordt het databaseschema bijgewerkt. Zorg er daarom voor dat u vóór de upgrade een back-up van uw database maakt.

Om een back-up van uw database te maken, moet u eerst de naam van uw PostgreSQL-database opzoeken en vervolgens de content kopiëren:

  1. Maak een back-up van deze bestanden op de PostgreSQL-server:
    • postgresql.conf
    • pg_hba.conf
  2. Meld u als gebruiker postgres aan met het volgende commando:
    sudo su - postgres
  3. Haal de naam van uw database op door de volgende commando's te gebruiken om PostgreSQL te openen, en vermeld vervolgens de databases:
    psql
    \l
  4. Om PostgreSQL af te sluiten en u af te melden als gebruiker postgres, drukt u op Ctrl+D en voert u vervolgens het volgende commando uit:
    exit
  5. Kopieer de content van de database naar een bestand. Hieronder ziet u een voorbeeldcommando:
    pg_dump -U salteapi raas_db_name > postgres_raas_backup_$(date +%Y-%m-%d).sql

PostgreSQL-database upgraden

Automation Config vereist een PostgreSQL 9.6-database, maar PostgreSQL 13.7 wordt aanbevolen. De aanbevolen versie van PostgreSQL is opgenomen in het installatieprogramma van Automation Config.

Het upgraden naar de nieuwste versie van PostgreSQL is niet vereist. Het upgraden van PostgreSQL kan echter de prestaties verbeteren. Zie PostgreSQL-upgrade voor instructies over het upgraden naar de nieuwste versie van PostgreSQL.

Redis-database upgraden

Automation Config vereist een Redis 5.x-database, maar Redis 6.2.7 wordt aanbevolen. De aanbevolen versie van Redis is inbegrepen in het installatieprogramma van Automation Config.

Het upgraden naar de nieuwste versie van Redis 5.x is niet vereist. Het upgraden van Redis kan echter de prestaties verbeteren. Zie Redis-beheer voor instructies over het upgraden van Redis.

Salt upgraden

Wanneer u Salt upgradet, moet u eerst de masters upgraden. Het uitvoeren van minions met versies van Salt die nieuwer zijn dan die van hun masters, werkt mogelijk niet zoals verwacht omdat de minion mogelijk wijzigingen bevat die nog niet beschikbaar zijn in de master. Ook blijft de achterwaartse compatibiliteit tussen nieuwe masters en oude minions waar mogelijk behouden. Over het algemeen is de enige uitzondering op dit beleid in geval van een beveiligingsrisico.

Voor de beste prestaties moet u ervoor zorgen dat alle Salt-onderdelen in uw infrastructuur werken op de nieuwste belangrijke versie van Salt.

Vanaf de release van Salt 3006 gebruikt Salt Project het onedir-verpakkingssysteem. Onedir staat voor 'één directory' omdat deze alle uitvoerbare bestanden bevat die Salt nodig heeft, inclusief Python en andere Salt-afhankelijkheden. Met onedir kunt u Salt out-of-the-box gebruiken.
Belangrijk: Salt Project raadt u sterk aan te upgraden naar onedir om door te gaan met het ontvangen van Salt-versie-updates. Vanaf Salt-versie 3006 zijn alleen onedir-pakketten beschikbaar voor upgrades. Zie KB 89728 voor meer informatie over Salt-versies en onedir.
Opmerking: Het gebruik van het Salt Crystal-installatiepakket is stopgezet. Voor toekomstige installaties wordt u aanbevolen het onedir-installatiepakket te gebruiken.

Vereist: Voor brownfield-/upgrade-implementaties is de Salt-master, vanaf Salt 3006, geconfigureerd om te worden uitgevoerd als de gebruiker 'salt' in plaats van de traditionele gebruiker 'root'. Hierdoor kunnen er fouten met rechten optreden in de RaaS-gerelateerde werkstromen, zoals minionimplementatie en upgrades van RaaS-masterplug-ins.

Als u dit probleem wilt verhelpen, wijzigt u het bestand /etc/salt/master.d/raas.conf om de gebruiker te wijzigen in root: user: root.

Voor nieuwe greenfieldimplementaties configureert het commando sseapi-config de masterplug-in en genereert dit commando het bestand raas.conf met de juiste configuratiewaarde user: root. Er is geen actie van de gebruiker vereist.

Het RaaS-knooppunt upgraden

Na de upgrade naar de nieuwste versie van PostgreSQL, Redis en Salt, kunt u het RaaS-knooppunt van de vorige versie upgraden naar de nieuwste versie.

Opmerking: Bij het upgraden van databases moeten gegevens opnieuw worden geïndexeerd. Als uw gegevens complex zijn, kan een database-upgrade enkele uren duren.
Belangrijk:

Voordat u uw RaaS-knooppunt upgradet, moet u een back-up van uw systeemgegevens maken om gegevensverlies te voorkomen. Sla wijzigingen die u heeft aangebracht in het standaardbestandssysteem, pillargegevens en opdrachten, op als nieuwe bestanden of opdrachten. Daarnaast moet u bestaande toewijzingen van pillardoeltoewijzingen vastleggen of er een kopie van maken, omdat deze tijdens het upgradeproces worden verwijderd.

Het RaaS-knooppunt upgraden:

  1. Download de upgradebestanden van Customer Connect.
  2. Stop de RaaS-service met het volgende commando:
    sudo systemctl stop raas
  3. Verwijder logboekbestand(en) in de directory /var/log/raas. Het wissen van de logboekbestanden zorgt voor een leeg logboekbestand als probleemoplossing nodig is.
  4. Verwijder de huidige geïnstalleerde versie van de API (RaaS) met het volgende commando:
    sudo yum remove raas
  5. Upgrade het RaaS-knooppunt door de nieuwste RPM te installeren. Gebruik het volgende voorbeeldcommando en voeg hierbij de exacte bestandsnaam van de RPM in:
    sudo yum install raas-rpm-file-name.rpm
  6. BELANGRIJK: Herstel de back-up van de volgende bestanden:
    • /etc/raas/raas
    • /etc/raas/raas.secconf
    • /etc/raas/pki/
  7. Werk rechten voor de raas-gebruiker bij met het volgende commando:
    sudo chown -R raas:raas /etc/pki/raas/certs
  8. OPTIONEEL: Als u een Automation for Secure Hosts-licentie heeft en de conformiteitsbibliotheek wilt toevoegen, voegt u het volgende nieuwe gedeelte toe aan het bestand /etc/raas/raas:
    sec:
      ingest_override: true
      locke_dir: locke
      post_ingest_cleanup: true
      username: 'secops'
      content_url: 'https://enterprise.saltstack.com/secops_downloads'
      download_enabled: true
      download_frequency: 86400
      stats_snapshot_interval: 3600
      compile_stats_interval: 10
      ingest_on_boot: True
      content_lock_timeout: 60
      content_lock_block_timeout: 120
    Opmerking:

    Deze stap is optioneel en is alleen van toepassing op organisaties die een geldige Automation for Secure Hosts-licentie hebben. Deze add-onmodule is beschikbaar voor Automation Config versies 6.0 en hoger. De vorige configuratieopties in het configuratiebestand /etc/raas/raas zijn specifiek voor deze add-onmodules.

  9. OPTIONEEL: Als u een Automation for Secure Hosts-licentie heeft en de kwetsbaarhedenbibliotheek wilt toevoegen, voegt u een nieuw gedeelte toe aan het bestand /etc/raas/raas:
    vman:
      vman_dir: vman
      download_enabled: true
      download_frequency: 86400
      username: vman
      content_url: 'https://enterprise.saltstack.com/vman_downloads'
      ingest_on_boot: true
      compile_stats_interval: 60
      stats_snapshot_interval: 3600
      old_policy_file_lifespan: 2
      delete_old_policy_files_interval: 86400
      tenable_asset_import_enabled: True
      tenable_asset_import_grains: ['fqdn', 'ipv4', 'ipv6', 'hostname', 'mac_address', 'netbios_name',
                                    'bios_uuid', 'manufacturer_tpm_id', 'ssh_fingerprint',
                                    'mcafee_epo_guid', 'mcafee_epo_agent_guid', 'symantec_ep_hardware_key',
                                    'qualys_asset_id', 'qualys_host_id', 'servicenow_sys_id', 'gcp_project_id',
                                    'gcp_zone', 'gcp_instance_id', 'azure_vm_id', 'azure_resource_id',
                                    'aws_availability_zone', 'aws_ec2_instance_ami_id',
                                    'aws_ec2_instance_group_name', 'aws_ec2_instance_state_name',
                                    'aws_ec2_instance_type', 'aws_ec2_name', 'aws_ec2_product_code',
                                    'aws_owner_id', 'aws_region', 'aws_subnet_id', 'aws_vpc_id',
                                    'installed_software', 'bigfix_asset_id'
                                    ]
    Opmerking:

    Deze stap is optioneel en is alleen van toepassing op organisaties die een geldige Automation for Secure Hosts-licentie hebben. Deze add-onmodule is beschikbaar voor Automation Config versies 6.0 en hoger. De vorige configuratieopties in het configuratiebestand /etc/raas/raas zijn specifiek voor deze add-onmodules.

  10. RaaS heeft momenteel een bekend probleem met betrekking tot verouderde taken. Bij het upgraden zien sommige gebruikers mogelijk een wachtrij met verlopen opdrachten die zijn vastgelopen in de status In behandeling. Door het upgraden van het RaaS-knooppunt kunnen deze opdrachten worden uitgevoerd, tenzij ze eerst worden gewist.

    Om dit te voorkomen, controleert u eerst of oude commando's zijn opgeslagen in de database. Controleer op uw PostgreSQL-knooppunt of er opdrachten in behandeling zijn met het volgende commando:

    select count(1) from commands where state='new';

    Het resultaat is het aantal opdrachten dat in behandeling is. Als het aantal opdrachten 0 is, gaat u verder met de rest van het upgradeproces.

  11. Upgrade de RaaS-servicedatabase met het volgende commando:
    sudo su - raas
    raas upgrade
    Opmerking:

    Afhankelijk van de grootte van uw database kan de upgrade meerdere minuten tot meer dan een uur duren. Als er fouten optreden, controleert u het logboekbestand in /var/log/raas/raas voor meer informatie.

  12. Sluit na de upgrade de sessie voor de raas-gebruiker af met het volgende commando:
    exit
  13. Start de RaaS-service met het volgende commando:
    sudo systemctl enable raas
    sudo systemctl start raas

De masterplug-in upgraden met de gebruikersinterface van Automation Config

Opmerking: Deze functie wordt ondersteund voor Automation Config versies 8.11.2 of hoger. Voor eerdere versies moet u eerst uw masterplug-in upgraden naar versie 8.11.2 of hoger met behulp van de CLI.
Opmerking: De Salt-master moet als root worden uitgevoerd.

Automation Config upgradet de masterplug-in automatisch naar de nieuwste versie zonder dat de gebruiker actie hoeft te ondernemen.

U kunt echter ook de masterplug-in vanuit de gebruikersinterface van Automation Config upgraden. Als u de masterplug-in wilt upgraden, selecteert u in Automation Config Beheerder en klikt u vervolgens op Masterplug-ins. Op het tabblad Masterplug-in ziet u welke versie van de plug-in en Automation Config-omgeving u heeft, samen met een lijst met uw masterplug-in-id's. Op het tabblad Masterplug-ins kunt u de masterplug-ins selecteren die u wilt bijwerken en vervolgens op Bijwerken klikken.

De masterplug-in upgraden met de CLI

Nadat u het RaaS-knooppunt heeft geüpgraded, kunt u alle Salt-masters upgraden die de masterplug-in gebruiken om verbinding te maken met Automation Config.

U wordt aanbevolen de configuratie van de masterplug-in bij te werken door een standaardconfiguratiebestand te genereren en instellingen toe te passen die u van uw bestaande configuratie wilt behouden. Bijvoorbeeld:
# sseapi-config --default >/tmp/raas.conf 
# cd /etc/salt/master.d 
# vim -d raas.conf /tmp/raas.conf
Belangrijk: Als u Salt heeft geïnstalleerd met onedir, is het pad naar dit uitvoerbare bestand: /opt/saltstack/salt/extras-3.10/bin/sseapi-config.

Vanaf release 8.13.0 bevat de masterplug-in een tgtmatch-engine voor het offloaden van doelgroepafstemming van de RaaS-server naar de Salt-masters. U wordt aanbevolen om die tgtmatch-engine in te schakelen en te configureren om doelgroepafstemming sneller te laten reageren, met name in omgevingen met:

  • Een groot aantal doelgroepen (100 of meer)
  • Een groot aantal minions (3000 of meer)
  • Frequente wijzigingen in minion-grains (dagelijks of frequenter)
  • Frequente aanmaak en verwijdering van minions (dagelijks of frequenter)
Om de tgtmatch-engine te configureren, moet u ervoor zorgen dat deze instellingen aanwezig zijn in het configuratiebestand van de masterplug-in (/etc/salt/master.d/raas.conf)
engines: 
    - sseapi: {} 
    - eventqueue: {} 
    - rpcqueue: {} 
    - jobcompletion: {} 
    - keyauth: {} 
    - tgtmatch: {} 

sseapi_local_cache:     
    load: 3600 
    tgt: 86400 
    pillar: 3600 
    exprmatch: 86400 
    tgtmatch: 86400 

sseapi_tgt_match: 
    poll_interval: 60     
    workers: 0 
    nice: 19
Als u RaaS wilt configureren om te verwachten dat doelafstemmingsgegevens worden geleverd door de Salt-masters, moet u ervoor zorgen dat de volgende instelling aanwezig is in het RaaS Config-bestand (/etc/raas/raas):
target_groups_from_master_only: true
Opmerking:

Voordat u de Salt-master(s) upgradet, moet u ervoor zorgen dat de pip3-applicatie op de Salt-masters is geïnstalleerd. Als u upgradet vanaf de nieuwste versie van de masterplug-in, is deze applicatie al geïnstalleerd.

De masterplug-in op een Salt-master upgraden:

  1. Stop de service salt-master opnieuw met het volgende commando:
    sudo systemctl stop salt-master
  2. Controleer welke versie van Python wordt uitgevoerd op de Salt-master. Als Python 3.6 of hoger wordt uitgevoerd, zijn er geen wijzigingen nodig. Anders verwijdert u de vorige versie van de SSEAPE-module. (De SSEAPE is de Automation Config-plug-in voor de Salt-master.) Bijvoorbeeld:

    RHEL/CentOS

    sudo rm -rf /usr/lib/python3.6/site-packages/SSEAPE*

    Ubuntu

    sudo rm /usr/lib/python3.6/dist-packages/SSEAPE*
  3. Upgrade de masterplug-in door de installatie handmatig ongedaan te maken en het bijgewerkte Python-wheelbestand opnieuw te installeren. Gebruik de volgende voorbeeldcommando's en voeg hierbij de exacte naam van het wheelbestand in:
    Opmerking: De installatie van de bestaande plug-in moet worden ongedaan gemaakt om te voorkomen dat er meerdere instanties van sseapi-config zijn.
    pip3 uninstall SSEAPE-8.12.1.3-py3-none-any.whl
    mv /etc/salt/master.d/raas.conf /tmp
    salt-call pip.install SSEAPE-8.12.1.3-py3-none-any.whl
    cp /tmp/raas.conf /etc/salt/master.d/raas.conf
    systemctl restart salt-master
  4. Werk de modulepaden van de API (RaaS) bij door het /etc/salt/master.d/eAPIMasterPaths.conf-bestand te bewerken om de paden te verwijzen naar de verschillende modules. U kunt bijvoorbeeld alle python2.7-verwijzingen in dit bestand wijzigen in python3.6.
    Opmerking:

    Afhankelijk van de manier waarop u Automation Config heeft geïnstalleerd, kunnen de eAPI Salt-masterpaden zich in plaats daarvan in het bestand /etc/salt/master.d/raas.conf bevinden.

  5. Controleer het gedeelte engines in /etc/salt/master.d/raas.conf om te bevestigen dat het overeenkomt met het volgende:
    engines:
      - sseapi: {}
      - eventqueue: {}
      - rpcqueue: {}
      - jobcompletion: {}
      - keyauth: {}
    Opmerking:

    Als er een probleem is opgetreden, moet u mogelijk uw back-ups van de bestanden /etc/salt/master.d/raas.conf en /etc/salt/master.d/eAPIMasterPaths.conf herstellen.

  6. Als u de Salt-mastersleutelverificatie gebruikt (aanbevolen), zorgt u ervoor dat sseapi_pubkey_path is geconfigureerd en dat sseapi_username en sseapi_password als opmerking zijn opgemaakt in /etc/salt/master.d/raas.conf.
    sseapi_pubkey_path: /etc/salt/pki/master/sseapi_key.pub
    
    #sseapi_username:
    #sseapi_password:
  7. Controleer of de vermeldingen master_job_cache en event_return zijn ingesteld op sseapi. De pgjsonb-retourneerder is niet langer beschikbaar.
  8. Start de service salt-master met het volgende commando:
    sudo systemctl start salt-master
  9. Controleer of de Salt-master wordt uitgevoerd als de gebruiker 'root' en niet als de gebruiker 'salt'. Als dat niet zo is, wijzigt u het bestand /etc/salt/master.d/raas.conf om de gebruiker te wijzigen in root: user: root.

Het upgradeproces is nu voltooid. Als er andere fouten optreden, raadpleegt u Problemen oplossen.