Aller au contenu

Montée de version à chaud de la Edge Gateway

Important

La documentation de montée de version à chaud de l'Edge Gateway est prévue pour toute Edge Gateway fonctionnant avec Debian 11. Le contrôle de la version de Debian peut se faire avec la commande suivante (à exécuter en SSH ou en accès console) :

1
cat /etc/debian_version

Information

Pour rappel, le passage en tant que root sur les machines Debian doit s'effectuer avec la commande suivante :

1
su -

Préparation

Ouverture des flux

Lors de la montée de version du produit, de nombreux paquets doivent être téléchargés auprès des dépôts Debian du fait du passage de la version 11 à 12 de Debian. L'accès TCP 80 doit être ouvert vers security.debian.org et ftp.fr.debian.org.

Pour tester l'ouverture des flux sur la machine, une synchronisation des dépôts Debian peut être lancée, si des messages d'erreur d'accès aux dépôts Debian sont affichées alors le flux réseau n'est pas ouvert, probablement bloqué par le pare-feu d'entreprise. La synchronisation des dépôts est initiable avec la commande suivante :

1
apt update

Téléchargement du miroir et outils nécessaires

Le miroir cyberelements Cleanroom 4.6 est téléchargeable depuis ce lien (nécessite la création d'un compte client) : Systancia Marketplace

En plus du miroir des outils tiers seront nécessaires pour le processus de montée de version :

  • Un client SSH (sur Windows l'outil PuTTY peut être utilisé)
  • Un client SCP (sur Windows les outils WinSCP ou FileZilla peuvent être utilisés)

Installation et utilisation de l'outil screen

L’outil screen permet d’ouvrir plusieurs terminaux shell dans une même console. Il est impératif d’exploiter cet outil pour réaliser la montée de version cyberelements Cleanroom, afin de lever la dépendance vis-à-vis de la stabilité de la connectivité réseau. En effet, sans exploitation de l’outil screen, l’installation serait stoppée en cas de rupture de la connectivité SSH avec les serveurs Systancia Cleanroom.

En exploitant l’outil screen, à la reconnexion sur la console shell de l’équipement cyberelements Cleanroom, le terminal dans lequel le processus de mise à jour a été exécuté pourra être récupéré.

L’installation du paquet screen est à réaliser avec la ligne de commande suivante :

1
apt install --no-install-recommends screen

Pour ouvrir un nouveau terminal screen, la commande suivante doit être exécutée :

1
screen -S <ID>

Remplacer <ID> par un nom permettant d'identifier la session.

Exemple

Pour la montée de version de cyberelements l'identifiant cye-upgrade est facilement identifiable. La commande serait donc la suivante :

1
screen -S cye-upgrade

Pour récupérer un terminal ouvert par screen il suffit d'exécuter la commande suivante :

1
screen -r <ID>

Remplacer <ID> par le nom défini à l'ouverture de la session.

Exemple

Le terminal précédement ouvert avec l'identifiant cye-upgrade est récupérable avec la commande suivante :

1
screen -r cye-upgrade

Afin de fermer le terminal une fois l’intervention de montée de version terminée, la commande exit ou le raccourcis clavier Ctrl+D est à saisir dans le terminal.

Un retour à la console est alors opéré. Le message « screen is terminating » confirme la fermeture du terminal.

Montée de version

Mise à jour des paquets Debian

La montée de version de cyberelements Cleanroom nécessitant la montée de version de Debian, il est recommandé de correctement mettre à jour les paquets Debian 11 avant la bascule vers Debian 12. Pour ceci exécuter les commandes suivantes en tant que root (mise à jour système puis suppression des paquets inutiles) :

1
2
3
apt update
apt upgrade -y
apt autoremove -y

Des messages demandant de modifier la configuration de plusieurs fichiers de configuration pourront apparaître, dans ces cas sélectionner le choix pour conserver la configuration actuelle.

Préparation du miroir cyberelements Cleanroom 4.6

Le miroir récupéré lors de la phase de préparation (fichier avec l'extension tgz) doit être envoyé sur le serveur via SCP. Il est à déposer dans le répertoire /tmp/.

Puis vient ensuite la préparation du miroir en exécutant les commandes suivantes en tant que root (une suppression de fichiers résiduels d'une ancienne montée de version est prévue) :

1
2
3
mkdir -p /opt/systancia/repository
rm -rf /opt/systancia/repository/*
tar xvzf /tmp/*.tgz -C /opt/systancia/repository/

Configuration d'APT

Le gestionnaire de paquet APT est paramétré pour récupérer les paquets Debian 11, il est nécessaire de le reconfigurer pour récupérer les paquets Debian 12. Il est aussi nécessaire de mettre à jour la référence du miroir local de cyberelements Cleanroom. Pour se faire exécuter les commandes suivantes en tant que root :

1
2
echo -e 'deb http://security.debian.org/debian-security/ bookworm-security main contrib non-free non-free-firmware\ndeb http://ftp.fr.debian.org/debian bookworm main contrib non-free non-free-firmware\ndeb http://ftp.fr.debian.org/debian bookworm-updates main contrib non-free non-free-firmware' > /etc/apt/sources.list
echo "deb file:///opt/systancia/repository/ bookworm ipdiva" > /etc/apt/sources.list.d/systancia.list

En plus de paramétrer les nouveaux dépôts, nous recommandons vivement l'application du paramétrage suivant permettant d'indiquer à APT de ne pas installer les dépendances recommandées qui ne sont pas obligatoirement nécessaire, dans un but de réduction des composants installés. La commande suivante permet d'appliquer ce paramétrage en tant que root :

1
echo -e 'APT::Install-Recommends false;\nAPT::Install-Suggests false;' > /etc/apt/apt.conf.d/99norecommends

Pour finir il est nécessaire de remettre à jour la liste des paquets des dépôts avec la commande suivante :

1
apt update

Déclenchement de la montée de version

Accéder en SSH au serveur Edge Gateway et passer root, puis ouvrir un screen tel qu'indiqué plus haut.

Lorsqu'on monte de version un Edge Gateway Debian 11 vers Debian 12, le paquet collectd est mis à jour et devient incompatible avec le fichier de configuration généré par cyberelements Cleanroom (/etc/collectd/collectd.conf). Cela peut générer une erreur lors de la mise à jour.

Pour l'éviter, on désactive collectd :

1
2
systemctl stop collectd 
systemctl disable collectd

Suite à cela, la montée de version peut être initiée avec la commande suivante :

1
apt dist-upgrade -y

Lors de la montée de version plusieurs questions seront demandées à propos de la conservation de fichiers de configurations pour les mettre à jour d’après la configuration standard Debian 12 ou de conserver la configuration particulière en place. Voici nos recommandations pour la plupart des fichiers pouvant être rencontrés :

Fichier de configuration Action recommandée
/etc/issue A conserver, répondre N
/etc/issue.net A conserver, répondre N
/etc/security/limits.conf A conserver, répondre N
/etc/login.defs A conserver, répondre N
/etc/snmp/snmpd.conf Appliquer les modifications, répondre Y
/etc/ssh/sshd_config A conserver, répondre Garder la version actuellement installée
/etc/pam.d/su A conserver, répondre N
/etc/sysctl.conf A conserver, répondre N
/etc/audit/rules.d/audit.rules A conserver, répondre N
/etc/ssh/ssh_config Appliquer les modifications, répondre Y
/usr/share/tomcat10/logrotate.template Appliquer les modifications, répondre Installer la version responsable du paquet

Accepter le redémarrage automatique des services :

Une fois la montée de version terminée, exécuter les commandes suivantes réactiver collectd, supprimer les paquets inutiles et redémarrer la machine :

1
2
3
4
systemctl start collectd
systemctl enable collectd
apt autoremove -y
reboot

Validation

Une fois l’opération de montée de version réalisée, une phase de validation du bon fonctionnement de l’infrastructure cyberelements Cleanroom est requise avant remise en production. En cas d’échec de validation, un retour arrière via la restauration des sauvegardes serveurs cyberelements Cleanroom est à envisager.

Accéder à l’interface administrateur, puis au menu de gestion des Edge Gateways. Les Edge Gateways mises à jour doivent remonter une version 8.9 si elles se sont bien reconnectées au Mediation Controller.

Si l'ensemble des serveurs ont été montés de version, alors l'ensemble des tests de fonctionnement peuvent être effectués pour valider la totalité du cahier de recette.