急速アップグレードを準備する

急速アップグレード ワークフロー
説明に明示的に記載されていない限り、以下の準備タスクは手動アップグレード手順と自動アップグレード手順の両方に適用されます。
付随する は、タスクの全部または一部が自動化されていることを示します。
ソース Gateway を 9.4 にアップグレードする
これは、
自動急速手順
を使用している場合にのみ必要です。
自動急速手順を使用するには、ソース Gateway のバージョンが 9.4 である必要があります。 さらに、OTK および MAG のバージョンが Gateway 9.4 と互換性のあるバージョンである必要があります。
新しい Gateway をインストールする
最新バージョンで新しい Gateway をセットアップします。 これは、アップグレード先(ターゲット) Gateway です。 新しい仮想アプライアンスをセットアップする方法の詳細については、「[Gateway Configuration]メニュー(アプライアンス)」を参照してください。
アップグレード先 Gateway 用の新しいクラスタの作成
クラスタに適用します。
クラスタのチェックリスト:
  • cluster.hostname は同じままにしておく必要があります。
  • クラスタ パスフレーズは同じままにしておく必要があります。
  • マスタ パスフレーズは同じままにしておく必要があります。
  • アップグレード中、ユーザ「ssgconfig」と「root」の OS パスワードは同じままにしておく必要があります。 アップグレードが完了した後、必要に応じて OS パスワードを更新できます。
  • 新しい Gateway または再イメージ化した Gateway に対してネットワーク設定を行います。
手動急速手順については、「Gateway クラスタの設定」の手順に従ってください。
自動急速手順には、手動タスクのほとんどにマップされるロールが含まれています。 ただし、ロード バランサは設定されません。
  • gateway_replicate_database
  • gateway_processing_node
  • gateway_common
監査イベントを保存する
ソース Gateway から監査イベントを保存してから、それらをパージします。
すべての監査イベントは、このアップグレード プロセスの一部として破棄されます。 詳細については、「Gateway の監査イベントの表示」の「監査イベントのダウンロード」および「監査イベントの削除」を参照してください。
カスタム アサーションおよびモジュール型アサーションをエクスポートし、他の Gateway アーティファクトをバックアップする
自動急速手順には、カスタム アサーションとモジュール型アサーションの移行が含まれています。 ただし、アサーションが Gateway 10 と互換性があることを確認する必要があります。
カスタム アサーションとモジュール型アサーションをアップグレード先 Gateway にコピーします。
# /opt/SecureSpan/Gateway/config/backup/ssgbackup.sh -image name.zip -ca -ma # scp /opt/SecureSpan/Gateway/config/backup/images/name.zip [email protected]<destination_Gateway_Hostname>:~/
ssgbackup.sh を起動するには、特権(root)ユーザである必要があります。 カスタム アサーションが Gateway 10 と互換性があることを確認します。
カスタム アサーションおよびモジュール型アサーションに加えて、重要な設定ファイル(node、ssglog、system.properties など)、/etc フォルダ内のファイル(hosts、ntp.conf、resolv.conf、snmpd.conf など)、および /opt/SecureSpan/Gateway/runtime/lib/ext フォルダ内のファイルもバックアップできます。 ssgbackup.sh を使用して Gateway をバックアップする方法については、「Gateway のバックアップ」を参照してください。
秘密鍵 nShield HSM をバックアップする
nShield Solo+ 用の秘密鍵をバックアップする
nShield Solo+ を使用してハードウェア アプライアンスにのみ適用します。
まず、HSM を無効に、それから秘密鍵をバックアップします。
HSM を無効にする
ソース Gateway の HSM を無効にします。
  1. Gateway メイン メニュー(アプライアンス)にアクセスし、オプション 6 (Manage HSM)を選択します。
  2. オプション 1 (Manage Gateway nCipher HSM status)を選択します。
  3. オプション 2 (Disable Gateway use of the nCipher HSM)を選択します。
HSM を無効にすると、マスタ パスフレーズがデフォルトの「
7layer
」に設定されます。 ターゲット Gateway 上で HSM を再度有効にすると、HSM によって新しいランダムなマスタ パスフレーズが生成されます。 データベース パスワードおよびクラスタ パスフレーズは、新しいマスタ パスフレーズを使用して自動的に再暗号化されます。
暗号化された秘密鍵をバックアップする
キー、ライセンス、およびその他のファイルをバックアップするには、
/opt/nfast/kmdata
ディレクトリをバックアップします。アップグレード手順では、これらの秘密鍵は移行されません。 更新が完了したら、これらのディレクトリとファイルを新しい Gateway 10 インストールに手動でコピーします。 コピーが正常に完了したことを確認した後、必ずこれらのバックアップを削除してください。
また、以下を実行して、キーの権限および所有権を保持してください。
tar -cvp -f file.tar
nShield Connect/Connect XC 用の秘密鍵をバックアップする
秘密鍵をバックアップする前に、秘密鍵がすべて RFS サーバにコミットされているか、または同期されていることを確認してください。
  1. Gateway クライアントで、以下のコマンドを実行します。
    /opt/nfast/bin/rfs-sync --update /opt/nfast/bin/rfs-sync --commit
  2. Gateway のメイン メニュー(アプライアンス)を使用して、Gateway での HSM の使用を無効にします。
    アプライアンスの手動急速アップグレード」で説明しているように、Gateway データベースをバックアップする場合、/opt/nfast/kmdata に含まれているファイルは、RFS サーバに対して同期されるため、別途バックアップする必要はありません。
PAPIM EPAgent ファイルと設定をバックアップする
Precision API Monitoring サービスが存在する場合にのみ適用します。 EPAgent 関連のファイルおよび設定をバックアップしてから、新しい Gateway に復元できます。
ソリューション キット ポリシーとモジュール型アサーションは、他の Gateway ポリシーと共に移行されます。 ただし、PAPIM EPAgent ファイルと設定ファイルは移行されません。 以下のファイルおよびディレクトリをバックアップしてください。
  • PAPIM インストール ディレクトリ(デフォルトの場所): /opt/apm105
  • 起動スクリプト ファイル: /etc/init.d/epagent
  • PAPIM ユーザ ディレクトリ ファイル: /home/apmusr/.bash_profile および/home/apmusr/.my.cnf
自動急速手順には、以下のファイルをバックアップおよび復元するロールが含まれています。
  • gateway_papim_backup
  • gateway_papim_install
  • gateway_papim_restore_backup
お客様がバックアップと復元を望まない場合、gateway_papim_install ロールはターゲット マシンに PAPIM エージェントをインストールします。 インストールの詳細については、こちらで CA Precision API Monitoring ドキュメントを参照してください。
MySQL 8 のアップグレードの互換性を確認する
Gateway 10 には MySQL 8 が必要です。
自動急速手順には gateway_preupgrade_analyzer ロールが含まれていますが、この手順を実行するにはコントロール ノードに MySql Shell Checker がインストールされている必要があります。
以下の手順で MySql Shell Checker をインストールします。
  1. Red Hat 6 用の MySQL 8.0 シェルをダウンロードします。
  2. Gateway 9.4 DB サーバに rpm をインストールします。
    # rpm ivh mysql-shell-8.0.19-1.el6.x86_64.rpm
  3. Check コマンドを実行します。
    #mysqlsh root:<DB_Root_Password>@localhost:3306 -e "util.checkForServerUpgrade();"
このレポートでは、アップグレードを妨げる可能性がある致命的なエラーが検出されたかどうかを確認できます。