После обновления последней версии PostgreSQL, Redis и Salt необходимо обновить узел RaaS с предыдущей версии до последней.
Следует иметь в виду, что при обновлении базы данных требуется переиндексация данных. Если структура данных является сложной, процесс обновления базы данных может занять до нескольких часов. Дополнительные сведения о том, когда следует планировать обновление, а также по другим темам см. в Практические рекомендации по обновлению.
Перед обновлением узла RaaS необходимо создать резервную копию системных данных, чтобы предотвратить их потерю. Дополнительные сведения о том, для каких файлов и каталогов необходимо выполнять резервное копирование перед обновлением, см. в разделе Резервное копирование данных.
Чтобы обновить узел RaaS, выполните следующие действия.
- Загрузите файлы обновления с веб-сайта Customer Connect.
- Сохраните все изменения, внесенные в файловую систему по умолчанию, данные хранилища pillar и задания в виде новых файлов или заданий.
- Отметьте все назначения для хранилища pillar, которые сделаны для целевых объектов по умолчанию. После обновления их нужно будет переназначить.
- Остановите службу RaaS с помощью следующей команды.
sudo systemctl stop raas
- Удалите файлы журнала в каталоге
/var/log/raas
. Очищенные файлы журнала могут потребоваться в целях устранения неполадок, если таковые возникнут. - Удалите текущую установленную версию API-интерфейса (RaaS) с помощью следующей команды.
sudo yum remove raas
- Обновите узел RaaS путем установки последней версии RPM. Используйте следующий пример команды, указав точное имя файла RPM.
sudo yum install raas-rpm-file-name.rpm
- ВНИМАНИЕ! Восстановите резервную копию следующих файлов:
/etc/raas/raas
/etc/raas/raas.secconf
/etc/raas/pki/
- Обновите разрешения для пользователя
raas
с помощью следующей команды.sudo chown -R raas:raas /etc/pki/raas/certs
- Если у вас есть лицензия SaltStack SecOps, и вы хотите добавить библиотеку соответствия требованиям, добавьте следующий новый раздел в файл
/etc/raas/raas
(НЕОБЯЗАТЕЛЬНО).sec: ingest_override: true locke_dir: locke post_ingest_cleanup: true username: 'secops' content_url: 'https://enterprise.saltstack.com/secops_downloads' download_enabled: true download_frequency: 86400 stats_snapshot_interval: 3600 compile_stats_interval: 10 ingest_on_boot: True content_lock_timeout: 60 content_lock_block_timeout: 120
Примечание:Этот шаг не является обязательным и применяется только к тем организациям, которые имеют действительную лицензию SaltStack SecOps. Этот дополнительный модуль доступен для версий SaltStack Config 6.0 и выше. Предыдущие параметры конфигурации в файле конфигурации
/etc/raas/raas
применимы к этим дополнительным модулям. - Если у вас есть лицензия SaltStack SecOps, и вы хотите добавить библиотеку уязвимостей, добавьте новый раздел в файл
/etc/raas/raas
(НЕОБЯЗАТЕЛЬНО).vman: vman_dir: vman download_enabled: true download_frequency: 86400 username: vman content_url: 'https://enterprise.saltstack.com/vman_downloads' ingest_on_boot: true compile_stats_interval: 60 stats_snapshot_interval: 3600 old_policy_file_lifespan: 2 delete_old_policy_files_interval: 86400 tenable_asset_import_enabled: True tenable_asset_import_grains: ['fqdn', 'ipv4', 'ipv6', 'hostname', 'mac_address', 'netbios_name', 'bios_uuid', 'manufacturer_tpm_id', 'ssh_fingerprint', 'mcafee_epo_guid', 'mcafee_epo_agent_guid', 'symantec_ep_hardware_key', 'qualys_asset_id', 'qualys_host_id', 'servicenow_sys_id', 'gcp_project_id', 'gcp_zone', 'gcp_instance_id', 'azure_vm_id', 'azure_resource_id', 'aws_availability_zone', 'aws_ec2_instance_ami_id', 'aws_ec2_instance_group_name', 'aws_ec2_instance_state_name', 'aws_ec2_instance_type', 'aws_ec2_name', 'aws_ec2_product_code', 'aws_owner_id', 'aws_region', 'aws_subnet_id', 'aws_vpc_id', 'installed_software', 'bigfix_asset_id' ]
Примечание:Этот шаг не является обязательным и применяется только к тем организациям, которые имеют действительную лицензию SaltStack SecOps. Этот дополнительный модуль доступен для версий SaltStack Config 6.0 и выше. Предыдущие параметры конфигурации в файле конфигурации
/etc/raas/raas
применимы к этим дополнительным модулям. - В настоящее время в RaaS существует проблема, связанная с устаревшими заданиями. При обновлении некоторые пользователи могут заметить очередь устаревших заданий, которые «застряли» в ней в ожидающем состоянии. Обновление узла RaaS может привести к запуску таких заданий, если их заранее не удалить.
Для предотвращения такой ситуации сначала проверьте базу данных на наличие старых команд. На узле PostgreSQL проверьте наличие ожидающих заданий, используя следующую команду.
selectcount(1)fromcommandswherestate='new';
Вы получите количество ожидающих заданий. Если количество заданий равно
0
, продолжайте выполнять процесс обновления. Если количество заданий превышает0
, обратитесь в службу поддержки за помощью. - Обновите базу данных службы RaaS, используя следующую команду.
sudo su - raas raas upgrade
Примечание:В зависимости от размера базы данных процесс обновления может занять от нескольких минут до часа и более. При появлении ошибок обратитесь к файлу журнала
/var/log/raas/raas
для получения дополнительных сведений. - После обновления выйдите из сеанса пользователя
raas
с помощью следующей команды.exit
- Запустите службу RaaS с помощью следующей команды.
sudo systemctl enable raas sudo systemctl start raas
Убедитесь, что SaltStack Config функционирует корректно и что используется последняя версия. Переходите к следующему разделу.
Следующие шаги
После обновления узла RaaS необходимо обновить подключаемый модуль Master. Дополнительные сведения см. в Обновление подключаемого модуля Master.