Обновление подсистем¶

Обновление подсистемы сетевого репозитория¶

В системе с версии 2.2.0 внедрен функционал централизованного обновления aldpro-client на компьютерах домена через Портал Управления. Подробную инструкцию см. в Руководство администратора. Часть 2 → Справочные материалы → Обновление подсистем ALD Pro через портал управления.

Внимание

Перед обновлением ОС на серверах подсистемы сетевого репозитория необходимо убедиться, что пакет dpkg-dev установлен из репозиториев ALD Prо:

apt-cache policy dpkg-dev

Пример результата выполнения команды:

dpkg-dev:
    Установлен: 1.19.8+aldpro1
    Кандидат:   1.19.8+aldpro1
    Таблица версий:
   ***  1.19.8+aldpro1 900
            900 https://dl.astralinux.ru/aldpro/frozen/01/2.5.0 1.7_x86-64/base amd64 Packages
            100 /var/lib/dpkg/status

Если установлена другая версия, то необходимо выполнить команду:

apt install dpkg-dev=<версия в составе ALD Pro>

Пример:

apt install dpkg-dev=1.19.8+aldpro1

dpkg-dev является обязательной зависимостью aldpro-sr. При этом dpkg-dev присутствует только в base репозитории ALSE. Если установка или обновление производились на этот репозиторий, то dpkg-dev будет установлен из состава base. Если для очередного обновления будет заменен base репозиторий на main + update, в таком случае обновятся пакеты dpkg, а dpkg-dev будет удален (что повлечёт за собой удаление aldpro-sr), так как у него в зависимостях указана конкретная версия библиотеки libdpkg-perl.

Внимание

При обновлении может возникнуть ошибка, связанная с дефисом в коротком имени компьютера. В случае возникновения ошибки при выполнении команды aldpro-server-install --update или для ее предотвращения следует ознакомиться с БЮЛЛЕТЕНЬ №2025-1113ALD01MD в Личном Кабинете ALD Pro.

Подключить обновленный репозиторий ALD Prо:

sudo nano /etc/apt/sources.list.d/aldpro.list

Полностью заменить содержимое файла aldpro.list:

deb https://dl.astralinux.ru/aldpro/frozen/01/3.1.0/ 1.7_x86-64 main base

Обновить индекс пакетов и пакеты продукта ALD Prо, выполнив в терминале команды:

sudo apt update
sudo apt dist-upgrade -y -o Dpkg::Options::=--force-confnew
sudo aldpro-gpupdate --pm

В процессе выполнения обновления, при появлении сообщения с подтверждением изменения файла настройки пакета, необходимо выбрать Установить версию, предлагаемую сопровождающим пакета, введя в командной строке Y.

Выбор карточки сервера подсистем осуществляется в соответствующем разделе: подсистема Репозиторий ПО: Установка и обновление ПО → Репозитории ПО → Серверы репозиториев ПО.

Примечание

Запуск команд по обновлению подсистемы сетевого репозитория осуществляется по таймеру. Для лучшего контроля за процессом обновления рекомендуется использовать форсированное обновление на сервере подсистемы:

sudo aldpro-roles --iud

После обновления системы на портале управления первого контроллера домена необходимо перейти в карточку обновляемого сервера и убедиться, что состояние подсистемы имеет статус Обновлена, без ошибок. Поле Версия системы ALD Prо должно содержать версию системы, до которой было выполнено обновление.

Обновление подсистемы общего доступа к файлам¶

Подключить обновленный репозиторий ALD Prо:

sudo nano /etc/apt/sources.list.d/aldpro.list

Полностью заменить содержимое файла aldpro.list:

deb https://dl.astralinux.ru/aldpro/frozen/01/3.1.0/ 1.7_x86-64 main base

Обновить индекс пакетов и пакеты продукта ALD Prо, выполнив в терминале команды:

sudo apt update
sudo apt dist-upgrade -y -o Dpkg::Options::=--force-confnew
sudo aldpro-gpupdate --pm

Выбор карточки сервера подсистем осуществляется в соответствующем разделе: подсистема Общий доступ к сетевым дискам: Роли и службы сайта → Общий доступ к файлам → Перечень серверов.

Примечание

Запуск команд по обновлению подсистемы общего доступа к файлам осуществляется по таймеру. Для лучшего контроля за процессом обновления рекомендуется использовать форсированное обновление на сервере подсистемы:

sudo aldpro-roles --iud

Обновление подсистемы сервера печати¶

Подключить обновленный репозиторий ALD Prо:

sudo nano /etc/apt/sources.list.d/aldpro.list

Полностью заменить содержимое файла aldpro.list:

deb https://dl.astralinux.ru/aldpro/frozen/01/3.1.0/ 1.7_x86-64 main base

Обновить индекс пакетов и пакеты продукта ALD Prо, выполнив в терминале команды:

sudo apt update
sudo apt dist-upgrade -y -o Dpkg::Options::=--force-confnew
sudo aldpro-gpupdate --pm

Выбор карточки сервера подсистем осуществляется в соответствующем разделе: подсистема Печать: Роли и службы сайта → Служба печати → Серверы печати.

Примечание

Запуск команд по обновлению подсистемы сервера печати осуществляется по таймеру. Для лучшего контроля за процессом обновления рекомендуется использовать форсированное обновление на сервере подсистемы:

sudo aldpro-roles --iud

После обновления системы на портале управления первого контроллера домена необходимо перейти в карточку обновляемого сервера и убедиться, что состояние подсистемы имеет статус Обновлена, без ошибок. Поле Версия системы ALD Pro должно содержать версию системы, до которой было выполнено обновление.

Обновление подсистемы «Динамическая настройка узла» DHCP¶

Подключить обновленный репозиторий ALD Prо:

sudo nano /etc/apt/sources.list.d/aldpro.list

Полностью заменить содержимое файла aldpro.list:

deb https://dl.astralinux.ru/aldpro/frozen/01/3.1.0/ 1.7_x86-64 main base

Обновить индекс пакетов и пакеты продукта ALD Prо, выполнив в терминале команды:

sudo apt update
sudo apt dist-upgrade -y -o Dpkg::Options::=--force-confnew
sudo aldpro-gpupdate --pm

Выбор карточки сервера подсистем осуществляется в соответствующем разделе: подсистема Динамическая настройка узла: Роли и службы сайта → Служба динамической настройки узла → Перечень серверов.

Примечание

Запуск команд по обновлению подсистемы динамической настройки узла осуществляется по таймеру. Для лучшего контроля за процессом обновления рекомендуется использовать форсированное обновление на сервере подсистемы:

sudo aldpro-roles --iud

После обновления системы на портале управления первого контроллера домена необходимо перейти в карточку обновляемого сервера и убедиться, что состояние подсистемы имеет статус Обновлена, без ошибок. Поле Версия системы ALD Pro должно содержать версию системы, до которой было выполнено обновление.

Обновление подсистемы «Установка ОС по сети» TFTP + PXE¶

Внимание

Подключить обновленный репозиторий ALD Prо:

sudo nano /etc/apt/sources.list.d/aldpro.list

Полностью заменить содержимое файла aldpro.list:

deb https://dl.astralinux.ru/aldpro/frozen/01/3.1.0/ 1.7_x86-64 main base

Обновить индекс пакетов и пакеты продукта ALD Prо, выполнив в терминале команды:

sudo apt update
sudo apt dist-upgrade -y -o Dpkg::Options::=--force-confnew
sudo aldpro-gpupdate --pm

Выбор карточки сервера подсистем осуществляется в соответствующем разделе: подсистема Установка ОС по сети: Автоматизация → Установка ОС по сети → Серверы установки ОС.

Примечание

Запуск команд по обновлению подсистемы установки ОС по сети осуществляется по таймеру. Для лучшего контроля за процессом обновления рекомендуется использовать форсированное обновление на сервере подсистемы:

sudo aldpro-roles --iud

После обновления системы на портале управления первого контроллера домена необходимо перейти в карточку обновляемого сервера и убедиться, что состояние подсистемы имеет статус Обновлена, без ошибок. Поле Версия системы ALD Pro должно содержать версию системы, до которой было выполнено обновление.

Обновление подсистемы мониторинга¶

В системе с версии 2.2.0 внедрен функционал централизованного обновления aldpro-client на компьютерах домена через Портал Управления. Подробная инструкция приведена см. в Руководство администратора. Часть 2 → Справочные материалы → Обновление подсистем ALD Pro через портал управления.

Примечание

При обновлении ОС с версии 1.7.6uu2 до 1.7.7uu2 версия zabbix также обновляется — с 6.0.29 до 7.0.5. Новая версия zabbix имеет зависимость от php8.1, который устанавливается в систему. Для активации версии php8.1 необходимо применить команды:

ln -s -r /etc/apache2/mods-available/php8.1.load /etc/apache2/mods-enabled/
ln -s -r /etc/apache2/mods-available/php8.1.conf /etc/apache2/mods-enabled/
rm -f /etc/apache2/mods-enabled/php7.3*
systemctl restart apache2

Подключить обновленный репозиторий ALD Prо:

sudo nano /etc/apt/sources.list.d/aldpro.list

Полностью заменить содержимое файла aldpro.list:

deb https://dl.astralinux.ru/aldpro/frozen/01/3.1.0/ 1.7_x86-64 main base

Обновить индекс пакетов и пакеты продукта ALD Prо, выполнив в терминале команды:

sudo apt update
sudo apt dist-upgrade -y -o Dpkg::Options::=--force-confnew
sudo aldpro-gpupdate --pm

В процессе обновления появится запрос на подтверждение изменения файла настроек пакета. Необходимо выбрать Установить версию, предлагаемую сопровождающим пакета, и ввести в командной строке Y.

Последним шагом необходимо обновить подсистему мониторинга. Для этого перейти на портал управления: Мониторинг → Журнал событий мониторинга → Серверы мониторинга. В карточке сервера нажать Обновить ALD Pro

Примечание

Запуск команд по обновлению подсистемы мониторинга осуществляется по таймеру. Для лучшего контроля за процессом обновления рекомендуется использовать форсированное обновление на сервере подсистемы:

После обновления системы на портале управления первого контроллера домена необходимо перейти в карточку обновляемого сервера и убедиться, что Состояние подсистемы имеет статус Обновлена. Поле Версия ALD Pro должно содержать версию системы, до которой было выполнено обновление.

Обеспечение обратной совместимости и синхронизация паролей между КД и мониторингом при обновлении до 3.1.0¶

Примечание

В предыдущих версиях ALD Pro использовалась одна общая учетная запись для всех КД. Начиная с версии ALD Pro 3.1.0 в каждом КД внедрена генерация уникальных учетных записей для подключения в том числе и к серверу мониторинга. В результате обновления первого КД и реплик до 3.1. теряется возможность подключения к серверу мониторинга старой версии. Старый сервер мониторинга не распознаёт новые учетные записи КД до момента обновления. Для возобновления возможности подключения всех контроллеров домена необходимо воспользоваться одним из двух вариантов обеспечения обратной совместимости синхронизации учетных данных между КД и сервером мониторинга.

Перед выполнением процедур обеспечения совместимости необходимо обновить ОС на сервере мониторинга до версии 1.7.7uu2.

Стандартно выполняется следующий алгоритм:

На стороне сервера мониторинга при установке или обновлении, сервер мониторинга выполняет LDAP-запрос для получения списка всех КД и инициирует процедуру запроса паролей для мониторинга. Каждые 30 минут на сервере мониторинга запускается задача проверки домена на предмет появления новых КД, через просмотр атрибута rbtaSubsystemConfig. Из LDAP объектов обнаруженных КД считываются ранее сгенерированные и записанные пароли, которые преобразовываются закрытым ключом сервера мониторинга. На основе этих данных в Zabbix создаются или обновляются соответствующие учетные записи.

На стороне контроллера домена при установке или обновлении КД генерируются уникальные учетные данные для мониторинга (логин и пароль). Пароль сохраняется в конфигурационной базе Pillar. Каждые 5 минут происходит синхронизация, при которой выполняется LDAP-запрос для получения атрибутов rbtaSubsystemConfig и aldproSubsystemVaultCrt (содержит открытый ключ) со всех серверов мониторинга. Локальный пароль преобразовывается с использованием закрытого ключа КД. Далее пароль заново преобразовывается открытым ключом каждого сервера мониторинга. Производится сравнение строки до преобразования с данными, хранящимися в атрибуте rbtaSubsystemConfig сервера мониторинга. При обнаружении расхождений (например, при смене пароля или появлении нового сервера) преобразованный пароль перезаписывается в LDAP.

Для ускорения процесса перехода на новые пароли и исключения ошибок подключения к системе мониторинга после ее обновления рекомендуется выполнить предусмотренные команды:

На контроллере домена:

aldpro-salt-call aldpro_subsystems.process_vault_requests

Данная команда принудительно инициирует процесс преобразования и обновления паролей для всех серверов мониторинга.

На сервере мониторинга:

aldpro-salt-call state.apply roles.zabbix

Данная команда принудительно применяет конфигурационные состояния, включая обновление учетных записей в Zabbix на основе данных из LDAP.

Вариант 1. Последовательное обновление

Обновить сервер мониторинга до версии 3.1.0 сразу после обновления первого КД.

Сервер мониторинга сможет работать с обновленными КД через новые учетные записи. Старая учетная запись продолжит работать для не обновленных КД.

Вариант 2. Ручное создание учетной записи

Получить учетные данные на обновленном КД

aldpro-salt-call pillar.get aldpro_deploy_data:passwords:zabbix_monitoring

Преобразовать полученный пароль

aldpro-salt-call aldpro_subsystems.password_decrypt password_enc='<PASSWORD>' private_key_file=/etc/ssl/certs/dc_vault.key

Создать учетную запись на сервере мониторинга.

Перейти на сервер мониторинга и выполнить

sudo -u zabbix psql -d zabbix

В интерфейсе PostgreSQL выполнить запросы, подставив полученные значения:

-- ВАЖНО: Заменить 'monitoring_dc01' на полученное имя пользователя
,→(username)
-- ВАЖНО: Заменить 'N47zQw43K9WH47q4gtrsuAAyDrmW' на полученный пароль
,→(password)
INSERT INTO users (userid, username, passwd, roleid)
SELECT
COALESCE(MAX(userid), 1000) + 1,
'monitoring_dc01',
crypt('N47zQw43K9WH47q4gtrsuAAyDrmW', gen_salt('bf')),
'3'
FROM users
WHERE userid::text ~ '^[0-9]+$'
ON CONFLICT (username)
DO UPDATE SET
passwd = EXCLUDED.passwd,
roleid = EXCLUDED.roleid
RETURNING userid, username;
-- ВАЖНО: Убедиться, что username соответствует вставленному в предыдущем
,→запросе
INSERT INTO users_groups (id, usrgrpid, userid)
SELECT
(SELECT COALESCE(MAX(id), 1000) + 1 FROM users_groups),
(SELECT usrgrpid FROM usrgrp WHERE name = 'Internal'),
userid
FROM users
WHERE username = 'monitoring_dc01'
ON CONFLICT (userid, usrgrpid)
DO NOTHING;

После выполнения этих действий в Zabbix будет создана учетная запись для портала управления, что обеспечит возможность подключения к обновленным КД даже до обновления самого сервера мониторинга до версии 3.1.

Обновление подсистемы журналирования¶

Подключить обновленный репозиторий ALD Prо:

sudo nano /etc/apt/sources.list.d/aldpro.list

Полностью заменить содержимое файла aldpro.list:

deb https://dl.astralinux.ru/aldpro/frozen/01/3.1.0/ 1.7_x86-64 main base

Обновить индекс пакетов и пакеты продукта ALD Prо, выполнив в терминале команды:

sudo apt update
sudo apt dist-upgrade -y -o Dpkg::Options::=--force-confnew
sudo aldpro-gpupdate --pm

Выбор карточки сервера подсистем осуществляется в разделе: подсистема Журналирование событий: Журнал событий → Серверы журнала событий.

Примечание

Запуск команд по обновлению подсистемы журналирования осуществляется по таймеру. Для лучшего контроля за процессом обновления рекомендуется использовать форсированное обновление на сервере подсистемы:

sudo aldpro-roles --iud

После обновления системы на портале управления первого контроллера домена необходимо перейти в карточку обновляемого сервера и убедиться, что состояние подсистемы имеет статус Обновлена, без ошибок. Поле Версия системы ALD Pro должно содержать версию системы, до которой было выполнено обновление.