U kunt Automation Config upgraden naar de nieuwste stabiele versie van een eerdere versie.
Best practices bij het upgraden
Volg deze richtlijnen voor het plannen van uw upgrade:
- Upgrade niet met behulp van de instructies van het installatieprogramma of de handmatige installatie.Als u uw Automation Config-installatie upgradet, raadpleegt u de volgende upgrade-instructies.
- Voor de beste resultaten gaat u van de ene belangrijke release naar de volgende. Als best practice upgradet u altijd van de nieuwste belangrijke versie van Automation Config naar de nieuwe release. Als u een oudere release hebt, moet u incrementeel upgraden van de ene release naar de volgende.
- Maak een back-up van uw gegevens. Om gegevensverlies te voorkomen, moet u een back-up van uw gegevens maken.
- Voer upgrades uit op momenten van weinig netwerkactiviteit. Bij het upgraden van databases moeten gegevens opnieuw worden geïndexeerd. Afhankelijk van de complexiteit van uw gegevens kan een database-upgrade mogelijk enkele uren duren. Om serviceonderbrekingen te voorkomen, kunt u overwegen de database te upgraden tijdens minder drukke uren of uw database op te schonen voordat u een upgrade uitvoert.
- Controleer de database op eventuele oude commando's die zijn opgeslagen. In sommige gevallen slaat de PostgreSQL-database oude commando's op die nog niet zijn uitgevoerd. Deze commando's worden mogelijk uitgevoerd tijdens het upgradeproces wanneer u de masterplug-in herstart. Om dit te voorkomen, controleert u of er oude commando's in de database zijn opgeslagen en activeert u het overslaan van taken die ouder zijn dan een gedefinieerde tijd.
- Test de upgrade voordat u implementeert. Indien mogelijk kunt u proberen een proef uit te voeren in een testomgeving om een idee te krijgen van hoe lang de upgrade kan duren.
- Lees eerst de hele handleiding. Overweeg ook om deze handleiding een keer door te lezen voordat u een upgrade implementeert zodat u een goed idee hebt van de vereiste taken en of deze planning van uw team vereist is of dat stakeholders op de hoogte moeten worden gesteld van wijzigingen die in behandeling zijn.
Upgraden vanaf oudere versies
Als best practice upgradet u altijd van de nieuwste belangrijke versie van Automation Config naar de nieuwe release. Als u een upgrade uitvoert van een eerdere versie dan de nieuwste release, ziet u mogelijk de beste resultaten als u van de ene belangrijke release naar de volgende upgradet.
Voor instructies over het upgraden naar eerdere Automation Config-versies raadpleegt u de specifieke upgrade-instructies voor de releases vanwaaruit u upgradet. De upgrade-instructies voor vorige releases vindt u in de PDF met de installatiehandleiding voor de volgende release. Als u bijvoorbeeld 5.5 moet upgraden naar 6.0, raadpleegt u de upgrade-instructies in de PDF voor de installatie van 6.0.
Voor Automation Config-versies 8.4 en hoger gebruikt u de versiekiezer bovenaan deze pagina om de juiste upgradehandleiding voor uw productversie te selecteren. Voor versies 8.3 en ouder gebruikt u de PDF-handleidingen in de volgende tabel:
Versie | Installatie- en upgradehandleiding (PDF) |
---|---|
8.3 | Installatie- en upgradehandleiding voor 8.3 |
6.4 | Installatie- en upgradehandleiding voor 6.4 |
6.3 | Installatie- en upgradehandleiding voor 6.3 |
6.2 | Installatie- en upgradehandleiding voor 6.2 |
6.1 | Installatie- en upgradehandleiding voor 6.1 |
6.0.1 | Installatie- en upgradehandleiding voor 6.0.1 |
6.0 | Installatie- en upgradehandleiding voor 6.0 |
Automation Config upgraden
- Een back-up maken van uw gegevens, waaronder bepaalde bestanden en mappen die cruciaal zijn voor uw specifieke installatie van Automation Config
- PostgreSQL upgraden (optioneel, maar aanbevolen)
- Uw Salt-infrastructuur upgraden (optioneel, maar aanbevolen)
- De upgradebestanden downloaden
- Het RaaS-knooppunt upgraden
- Salt-masters upgraden met de masterplug-in
Zie Automation Config upgraden in de LCM-documentatie voor meer informatie over het upgraden van Config via Aria Suite Lifecycle.
Back-up van Automation Config-bestanden en -directory's maken
De volgende bestanden en mappen bevatten uw aangepaste Automation Config-configuraties en hier moet een back-up van worden gemaakt voordat u upgradet:
- Maak op het RaaS-knooppunt een back-up van deze volledige directory's:
/etc/raas/raas
/etc/raas/raas.secconf
/var/log/raas
/etc/raas/pki/
Opmerking:De
pki
-directory bevat verborgen bestanden. Zorg ervoor dat u een back-up van de volledige directory maakt. Het maken van een back-up van de logboekbestanden in de directory/var/log/raas
is optioneel. Tijdens het upgradeproces wist u de logboekbestanden om zo een leeg logboekbestand te bieden indien probleemoplossing nodig is. - Maak een back-up van de bestanden
/etc/salt/master.d/raas.conf
en/etc/salt/master.d/eAPIMasterPaths.conf
op elke Salt-master.Opmerking:Afhankelijk van de manier waarop u Automation Config heeft geïnstalleerd, kunnen de eAPI Salt-masterpaden zich in plaats daarvan in het bestand
/etc/salt/master.d/raas.conf
bevinden.
Een back-up van uw databaseschema maken
Wanneer u uw RaaS-knooppunt upgradet, wordt het databaseschema bijgewerkt. Zorg er daarom voor dat u vóór de upgrade een back-up van uw database maakt.
Om een back-up van uw database te maken, moet u eerst de naam van uw PostgreSQL-database opzoeken en vervolgens de content kopiëren:
- Maak een back-up van deze bestanden op de PostgreSQL-server:
postgresql.conf
pg_hba.conf
- Meld u als gebruiker
postgres
aan met het volgende commando:sudo su - postgres
- Haal de naam van uw database op door de volgende commando's te gebruiken om PostgreSQL te openen, en vermeld vervolgens de databases:
psql \l
- Om PostgreSQL af te sluiten en u af te melden als gebruiker
postgres
, drukt u op Ctrl+D en voert u vervolgens het volgende commando uit:exit
- Kopieer de content van de database naar een bestand. Hieronder ziet u een voorbeeldcommando:
pg_dump -U salteapi raas_db_name > postgres_raas_backup_$(date +%Y-%m-%d).sql
PostgreSQL-database upgraden
Automation Config vereist een PostgreSQL 9.6-database, maar PostgreSQL 13.7 wordt aanbevolen. De aanbevolen versie van PostgreSQL is opgenomen in het installatieprogramma van Automation Config.
Het upgraden naar de nieuwste versie van PostgreSQL is niet vereist. Het upgraden van PostgreSQL kan echter de prestaties verbeteren. Zie PostgreSQL-upgrade voor instructies over het upgraden naar de nieuwste versie van PostgreSQL.
Redis-database upgraden
Automation Config vereist een Redis 5.x-database, maar Redis 6.2.7 wordt aanbevolen. De aanbevolen versie van Redis is inbegrepen in het installatieprogramma van Automation Config.
Het upgraden naar de nieuwste versie van Redis 5.x is niet vereist. Het upgraden van Redis kan echter de prestaties verbeteren. Zie Redis-beheer voor instructies over het upgraden van Redis.
Salt upgraden
Wanneer u Salt upgradet, moet u eerst de masters upgraden. Het uitvoeren van minions met versies van Salt die nieuwer zijn dan die van hun masters, werkt mogelijk niet zoals verwacht omdat de minion mogelijk wijzigingen bevat die nog niet beschikbaar zijn in de master. Ook blijft de achterwaartse compatibiliteit tussen nieuwe masters en oude minions waar mogelijk behouden. Over het algemeen is de enige uitzondering op dit beleid in geval van een beveiligingsrisico.
Voor de beste prestaties moet u ervoor zorgen dat alle Salt-onderdelen in uw infrastructuur werken op de nieuwste belangrijke versie van Salt.
Vereist: Voor brownfield-/upgrade-implementaties is de Salt-master, vanaf Salt 3006, geconfigureerd om te worden uitgevoerd als de gebruiker 'salt' in plaats van de traditionele gebruiker 'root'. Hierdoor kunnen er fouten met rechten optreden in de RaaS-gerelateerde werkstromen, zoals minionimplementatie en upgrades van RaaS-masterplug-ins.
Als u dit probleem wilt verhelpen, wijzigt u het bestand /etc/salt/master.d/raas.conf om de gebruiker te wijzigen in root: user: root
.
Voor nieuwe greenfieldimplementaties configureert het commando sseapi-config
de masterplug-in en genereert dit commando het bestand raas.conf met de juiste configuratiewaarde user: root
. Er is geen actie van de gebruiker vereist.
Het RaaS-knooppunt upgraden
Na de upgrade naar de nieuwste versie van PostgreSQL, Redis en Salt, kunt u het RaaS-knooppunt van de vorige versie upgraden naar de nieuwste versie.
Voordat u uw RaaS-knooppunt upgradet, moet u een back-up van uw systeemgegevens maken om gegevensverlies te voorkomen. Sla wijzigingen die u heeft aangebracht in het standaardbestandssysteem, pillargegevens en opdrachten, op als nieuwe bestanden of opdrachten. Daarnaast moet u bestaande toewijzingen van pillardoeltoewijzingen vastleggen of er een kopie van maken, omdat deze tijdens het upgradeproces worden verwijderd.
Het RaaS-knooppunt upgraden:
- Download de upgradebestanden van Customer Connect.
- Stop de RaaS-service met het volgende commando:
sudo systemctl stop raas
- Verwijder logboekbestand(en) in de directory
/var/log/raas
. Het wissen van de logboekbestanden zorgt voor een leeg logboekbestand als probleemoplossing nodig is. - Verwijder de huidige geïnstalleerde versie van de API (RaaS) met het volgende commando:
sudo yum remove raas
- Upgrade het RaaS-knooppunt door de nieuwste RPM te installeren. Gebruik het volgende voorbeeldcommando en voeg hierbij de exacte bestandsnaam van de RPM in:
sudo yum install raas-rpm-file-name.rpm
- BELANGRIJK: Herstel de back-up van de volgende bestanden:
/etc/raas/raas
/etc/raas/raas.secconf
/etc/raas/pki/
- Werk rechten voor de
raas
-gebruiker bij met het volgende commando:sudo chown -R raas:raas /etc/pki/raas/certs
- OPTIONEEL: Als u een Automation for Secure Hosts-licentie heeft en de conformiteitsbibliotheek wilt toevoegen, voegt u het volgende nieuwe gedeelte toe aan het bestand
/etc/raas/raas
:sec: ingest_override: true locke_dir: locke post_ingest_cleanup: true username: 'secops' content_url: 'https://enterprise.saltstack.com/secops_downloads' download_enabled: true download_frequency: 86400 stats_snapshot_interval: 3600 compile_stats_interval: 10 ingest_on_boot: True content_lock_timeout: 60 content_lock_block_timeout: 120
Opmerking:Deze stap is optioneel en is alleen van toepassing op organisaties die een geldige Automation for Secure Hosts-licentie hebben. Deze add-onmodule is beschikbaar voor Automation Config versies 6.0 en hoger. De vorige configuratieopties in het configuratiebestand
/etc/raas/raas
zijn specifiek voor deze add-onmodules. - OPTIONEEL: Als u een Automation for Secure Hosts-licentie heeft en de kwetsbaarhedenbibliotheek wilt toevoegen, voegt u een nieuw gedeelte toe aan het bestand
/etc/raas/raas
:vman: vman_dir: vman download_enabled: true download_frequency: 86400 username: vman content_url: 'https://enterprise.saltstack.com/vman_downloads' ingest_on_boot: true compile_stats_interval: 60 stats_snapshot_interval: 3600 old_policy_file_lifespan: 2 delete_old_policy_files_interval: 86400 tenable_asset_import_enabled: True tenable_asset_import_grains: ['fqdn', 'ipv4', 'ipv6', 'hostname', 'mac_address', 'netbios_name', 'bios_uuid', 'manufacturer_tpm_id', 'ssh_fingerprint', 'mcafee_epo_guid', 'mcafee_epo_agent_guid', 'symantec_ep_hardware_key', 'qualys_asset_id', 'qualys_host_id', 'servicenow_sys_id', 'gcp_project_id', 'gcp_zone', 'gcp_instance_id', 'azure_vm_id', 'azure_resource_id', 'aws_availability_zone', 'aws_ec2_instance_ami_id', 'aws_ec2_instance_group_name', 'aws_ec2_instance_state_name', 'aws_ec2_instance_type', 'aws_ec2_name', 'aws_ec2_product_code', 'aws_owner_id', 'aws_region', 'aws_subnet_id', 'aws_vpc_id', 'installed_software', 'bigfix_asset_id' ]
Opmerking:Deze stap is optioneel en is alleen van toepassing op organisaties die een geldige Automation for Secure Hosts-licentie hebben. Deze add-onmodule is beschikbaar voor Automation Config versies 6.0 en hoger. De vorige configuratieopties in het configuratiebestand
/etc/raas/raas
zijn specifiek voor deze add-onmodules. - RaaS heeft momenteel een bekend probleem met betrekking tot verouderde taken. Bij het upgraden zien sommige gebruikers mogelijk een wachtrij met verlopen opdrachten die zijn vastgelopen in de status In behandeling. Door het upgraden van het RaaS-knooppunt kunnen deze opdrachten worden uitgevoerd, tenzij ze eerst worden gewist.
Om dit te voorkomen, controleert u eerst of oude commando's zijn opgeslagen in de database. Controleer op uw PostgreSQL-knooppunt of er opdrachten in behandeling zijn met het volgende commando:
select count(1) from commands where state='new';
Het resultaat is het aantal opdrachten dat in behandeling is. Als het aantal opdrachten
0
is, gaat u verder met de rest van het upgradeproces. - Upgrade de RaaS-servicedatabase met het volgende commando:
sudo su - raas raas upgrade
Opmerking:Afhankelijk van de grootte van uw database kan de upgrade meerdere minuten tot meer dan een uur duren. Als er fouten optreden, controleert u het logboekbestand in
/var/log/raas/raas
voor meer informatie. - Sluit na de upgrade de sessie voor de
raas
-gebruiker af met het volgende commando:exit
- Start de RaaS-service met het volgende commando:
sudo systemctl enable raas sudo systemctl start raas
De masterplug-in upgraden met de gebruikersinterface van Automation Config
Automation Config upgradet de masterplug-in automatisch naar de nieuwste versie zonder dat de gebruiker actie hoeft te ondernemen.
U kunt echter ook de masterplug-in vanuit de gebruikersinterface van Automation Config upgraden. Als u de masterplug-in wilt upgraden, selecteert u in Automation Config Beheerder en klikt u vervolgens op Masterplug-ins. Op het tabblad Masterplug-in ziet u welke versie van de plug-in en Automation Config-omgeving u heeft, samen met een lijst met uw masterplug-in-id's. Op het tabblad Masterplug-ins kunt u de masterplug-ins selecteren die u wilt bijwerken en vervolgens op Bijwerken klikken.
De masterplug-in upgraden met de CLI
Nadat u het RaaS-knooppunt heeft geüpgraded, kunt u alle Salt-masters upgraden die de masterplug-in gebruiken om verbinding te maken met Automation Config.
# sseapi-config --default >/tmp/raas.conf # cd /etc/salt/master.d # vim -d raas.conf /tmp/raas.conf
Vanaf release 8.13.0 bevat de masterplug-in een tgtmatch-engine voor het offloaden van doelgroepafstemming van de RaaS-server naar de Salt-masters. U wordt aanbevolen om die tgtmatch-engine in te schakelen en te configureren om doelgroepafstemming sneller te laten reageren, met name in omgevingen met:
- Een groot aantal doelgroepen (100 of meer)
- Een groot aantal minions (3000 of meer)
- Frequente wijzigingen in minion-grains (dagelijks of frequenter)
- Frequente aanmaak en verwijdering van minions (dagelijks of frequenter)
engines: - sseapi: {} - eventqueue: {} - rpcqueue: {} - jobcompletion: {} - tgtmatch: {} sseapi_local_cache: load: 3600 tgt: 86400 pillar: 3600 exprmatch: 86400 tgtmatch: 86400 sseapi_tgt_match: poll_interval: 60 workers: 0 nice: 19
target_groups_from_master_only: true
Voordat u de Salt-master(s) upgradet, moet u ervoor zorgen dat de pip3-applicatie op de Salt-masters is geïnstalleerd. Als u upgradet vanaf de nieuwste versie van de masterplug-in, is deze applicatie al geïnstalleerd.
De masterplug-in op een Salt-master upgraden:
- Stop de service
salt-master
opnieuw met het volgende commando:sudo systemctl stop salt-master
- Controleer welke versie van Python wordt uitgevoerd op de Salt-master. Als Python 3.6 of hoger wordt uitgevoerd, zijn er geen wijzigingen nodig. Anders verwijdert u de vorige versie van de SSEAPE-module. (De SSEAPE is de Automation Config-plug-in voor de Salt-master.) Bijvoorbeeld:
RHEL/CentOS
sudo rm -rf /usr/lib/python3.6/site-packages/SSEAPE*
Ubuntu
sudo rm /usr/lib/python3.6/dist-packages/SSEAPE*
- Upgrade de masterplug-in door de installatie handmatig ongedaan te maken en het bijgewerkte Python-wheelbestand opnieuw te installeren. Gebruik de volgende voorbeeldcommando's en voeg hierbij de exacte naam van het wheelbestand in:
Opmerking: De installatie van de bestaande plug-in moet worden ongedaan gemaakt om te voorkomen dat er meerdere instanties van sseapi-config zijn.
pip3 uninstall SSEAPE-8.12.1.3-py3-none-any.whl mv /etc/salt/master.d/raas.conf /tmp salt-call pip.install SSEAPE-8.12.1.3-py3-none-any.whl cp /tmp/raas.conf /etc/salt/master.d/raas.conf systemctl restart salt-master
- Werk de modulepaden van de API (RaaS) bij door het
/etc/salt/master.d/eAPIMasterPaths.conf
-bestand te bewerken om de paden te verwijzen naar de verschillende modules. U kunt bijvoorbeeld allepython2.7
-verwijzingen in dit bestand wijzigen inpython3.6
.Opmerking:Afhankelijk van de manier waarop u Automation Config heeft geïnstalleerd, kunnen de eAPI Salt-masterpaden zich in plaats daarvan in het bestand
/etc/salt/master.d/raas.conf
bevinden. - Controleer het gedeelte
engines
in/etc/salt/master.d/raas.conf
om te bevestigen dat het overeenkomt met het volgende:engines: - sseapi: {} - eventqueue: {} - rpcqueue: {} - jobcompletion: {}
Opmerking:Als er een probleem is opgetreden, moet u mogelijk uw back-ups van de bestanden
/etc/salt/master.d/raas.conf
en/etc/salt/master.d/eAPIMasterPaths.conf
herstellen. - Als u de Salt-mastersleutelverificatie gebruikt (aanbevolen), zorgt u ervoor dat
sseapi_username
ensseapi_password
als opmerking zijn opgemaakt in/etc/salt/master.d/raas.conf
.#sseapi_username: #sseapi_password:
- Controleer of de vermeldingen
master_job_cache
enevent_return
zijn ingesteld opsseapi
. Depgjsonb
-retourneerder is niet langer beschikbaar. - Start de service
salt-master
met het volgende commando:sudo systemctl start salt-master
- Controleer of de Salt-master wordt uitgevoerd als de gebruiker 'root' en niet als de gebruiker 'salt'. Als dat niet zo is, wijzigt u het bestand /etc/salt/master.d/raas.conf om de gebruiker te wijzigen in root:
user: root
.
Het upgradeproces is nu voltooid. Als er andere fouten optreden, raadpleegt u Problemen oplossen.