Suomi.fi-palveluväylä –
Palveluväyläohjelmiston päivitysohjeet RHEL7-liityntäpalvelimille

Print Friendly, PDF & Email
 


MUISTA BACKUP ENNEN PÄIVITYSTÄ!

Ennen liityntäpalvelimen versiopäivitystä uudempaan versioon kannattaa ottaa liityntäpalvelimesta mahdollisimman kattavat varmuuskopiot. Jos esimerkiksi liityntäpalvelimen levystä on snapshot tai muuten täydellinen varmuuskopio, voidaan vanha versio viime kädessä palauttaa sitä kautta. Vähintään liityntäpalvelimen konfiguraatio kannattaa varmuuskopioida käyttöliittymän kautta: Back Up and Restore > BACK UP CONFIGURATION

 

HUOMIOITAVAA ENNEN PÄIVITYSTÄ!

Jatkossa liityntäpalvelimen kautta Suomi.fi-palveluväylään tarjottavien palveluiden liittäminen suoraan Member-tasolle ei ole sallittua vaan palvelut on kytkettävä vain ja ainoastaan Alijärjestelmä-tasolle. Päivittäessä kaikki Member-tasolle liitetyt palvelut häviävät liityntäpalvelimelta.

Siirrä Member-tasolle liitetyt palvelut Alijärjestelmä-tasolle ennen päivitysasennuksen aloitusta. Ohjeet palvelujen lisäämisestä/siirtämisestä Alijärjestelmä-tasolle löytyy eSuomi-sivustolta täältä:

https://esuomi.fi/palveluntarjoajille/palveluvayla/tekninen-aineisto/konfigurointiohjeita/uuden-palvelun-lisaaminen-liityntapalvelimelle/


Tämän päivitysohjeen avulla voit päivittää sekä testi- (FI-TEST) että tuotantoinstanssiin (FI) liitetyn palveluväylän RHEL7-liityntäpalvelimen uusimpaan tuettuun versioon.

Ohjeessa annetaan kaksi eri toimintatapaa riippuen päivitettävän palvelimen versiosta.

Tätä ohjetta ei pidä käyttää uuden liityntäpalvelimen asennukseen.

Tämän ohjeen avulla päivitetään palveluväyläohjelmisto versioon 6.9.x. tai sitä uudempiin versioihin.


Vanhempien versioiden asennusohjeet ovat PDF-muodossa täällä:

FI-TEST:

FI:


Päivityksen suorittaminen

1. Päivitettävän palveluväyläohjelmiston versio on pienempi kuin 6.7.2:

Avaa palvelimelle ssh-istunto ja anna komennot:

HUOM! Määrittele oikean repositoryn linkki sen ympäristön mukaan, johon olet asennusta tekemässä:

FI-DEV:

sudo su -l
yum-config-manager --add-repo http://www.nic.funet.fi/pub/csc/x-road/client/rhel7-dev-current/stable
rem rpm --import http://www.nic.funet.fi/pub/csc/x-road/client/rhel7-dev-current/palveluvayla-sign.gpg
yum update

FI-TEST:

sudo su -l
yum-config-manager --add-repo http://www.nic.funet.fi/pub/csc/x-road/client/rhel7-test-current/stable
rem rpm --import http://www.nic.funet.fi/pub/csc/x-road/client/rhel7-test-current/palveluvayla-sign.gpg
yum update

FI:

sudo su -l
yum-config-manager --add-repo http://www.nic.funet.fi/pub/csc/x-road/client/rhel7-prod-current/stable
rem rpm --import http://www.nic.funet.fi/pub/csc/x-road/client/rhel7-prod-current/palveluvayla-sign.gpg
yum update

Odottele ohjelmistopäivityksen valmistumista. Tee palvelimelle uudelleenkäynnistys.

Testaa palvelimen toiminta hallintakäyttöliittymästä (https://palvelimennimi:4000).

2. Päivitettävän palveluväyläohjelmiston versionumero on 6.7.2 tai suurempi:

HUOM! Asennettaessa päivityksessä liityntäpalvelimelle uudeksi ohjelmistoversioksi versiota 6.19.0 tai uudempaa versiota.

1. Avaa palvelimelle ssh-istunto ja hae ensin asennuspakettien uusi allekirjoitusavain alla olevan komennon mukaisesti riippuen palveluväylän ympäristöstä, johon liityntäpalvelin on liitetty:

FI-DEV:

rpm --import http://www.nic.funet.fi/pub/csc/x-road/client/rhel7-dev-current/niis.public.asc

FI-TEST:

rpm --import http://www.nic.funet.fi/pub/csc/x-road/client/rhel7-test-current/niis.public.asc

FI:

rpm --import http://www.nic.funet.fi/pub/csc/x-road/client/rhel7-prod-current/niis.public.asc

2. Anna sen jälkeen komennot:

sudo su -l
yum update

 

Asennettaessa päivityksessä liityntäpalvelimelle uudeksi ohjelmistoversioksi vanhempaa versiota (<6.19.0).

Avaa palvelimelle ssh-istunto ja anna komennot:

sudo su -l
yum update

Odottele ohjelmistopäivityksen valmistumista. Tee palvelimelle uudelleenkäynnistys.

Testaa palvelimen toiminta hallintakäyttöliittymästä (https://palvelimennimi:4000).

 

Vian selvitys

Liityntäpalvelimen käyttöliittymä ei vastaa tai antaa virheilmoituksen

1. Tarkista, onko /tmp hakemisto mahdollisesti mountattu ’noexec’ -vivulla.

Jos /tmp hakemisto on mountattu ’noexec’ -vivulla, tällöin admin UI ei käynnisty, koska /tmp hakemistoa käytetään sen toiminnoissa.

Tarkistus tehdään mount komennon avulla:

mount

Tarkista saatavasta tulosteesta, esiintyykö siinä tunnisteet ’/tmp’ ja ’noexec’:

/dev/loop0 on /tmp type ext3 (rw,noexec,nosuid,nodev)

Jos esiintyy, kuten esimerkkitulosteessa yllä, tällöin vaaditaan /etc/fstab tiedoston muokkausta noexec-vivun poistamiseksi. Lisäksi hakemisto pitää uudelleen mountata, jotta muutokset saadaan heti käyttöön.

mount -o remount,exec /tmp

2. Tarkista, onko IPv6 mahdollisesti asetettu päälle. Avaa editorilla alla näkyvä tiedosto:

#vi /etc/sysctl.conf

Tarkista, onko seuraavien rivien asetukset arvossa ’0’:

# disable IPv6
net.ipv6.conf.all.disable_ipv6 = 0
net.ipv6.conf.default.disable_ipv6 = 0
net.ipv6.conf.lo.disable_ipv6 = 0

Jos näin on, aseta yllä olevat asetukset arvoon ’1’:

# disable IPv6
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1

Talleta tiedosto ja poistu editorista. Ota yllä tekemäsi muutokset käyttöön kommenolla:

# sysctl -p

Poista tai kommentoi Nginx:n oletuskonfiguraatiosta rivi 40, avaa editorilla alla näkyvä tiedosto:

# vi /etc/nginx/nginx.conf

Poista tai kommentoi pois seuraava rivi:

# listen        [::}:80 default_server;

Talleta tiedosto ja poistu editorista. Käynnistä Nginx uudestaan:

# systemctl restart nginx

 

Metapalveluiden ’listClients’, ’listCentralServices’ tai ’wsdl’-kutsut eivät toimi päivityksen jälkeen

Jos Palveluväylän metapalveluiden (kts. lisää metapalveluista täältä) ’listClients’, ’listCentralServices’ tai ’wsdl’-kutsut eivät toimi päivityksen jälkeen, vaikka ne toimivat ennen päivitystä versioon 6.9.x, tarkista alla olevan mukaisesti MEMBER-tason yhteysasetukset.

Metapalvelut käyttävät MEMBER-tasolla hallintakäyttöliittymässä asetettuja yhteysasetuksia ja uusimmissa palveluväylän versioissa (versio 6.9.3 ja uudemmat) yhteysasetus asetetaan oletusarvoisesti tietoturvasyistä HTTPS:ksi (aikaisemman HTTP:n sijaan). Jos metapalveluiden kutsut ovat aikaisemmin olleet HTTP-asetuksella, ne muuttuvat automaattisesti päivitysasennuksessa HTTPS-asetukseen.

HTTPS-oletusasetuksella vahvistetaan tietoturvaa ja siksi se on päätetty ottaa oletusvalinnaksi.

Näin muutat HTTPS -> HTTP:

1. Kirjaudu sisälle liityntäpalvelimen hallintakäyttöliittymään. Valitse kirjautumisen jälkeen vasemmasta reunasta ’Security Server Clients’ ja näytölle avautuu listaus liityntäpalvelimella olevista organisaatioista ja alijärjestelmistä:

2. Tarkista MEMBER-tason yhteysasetukset klikkaamalla MEMBER-tason ’Internal Servers’-valintaa.

3. Tarkista yhteysasetus (CONNECTION TYPE FOR SERVERS IN SERVICE CONSUMER ROLE), että mikä on valittuna:

(Huom! Alla oleva kuva on alijärjestelmän/SUBSYSTEM-tasolta, mutta MEMBER-tasolla on vastaava valinta)

 

4. Valitse alasvetovalikosta HTTP-asetus käyttöön.

5. Sulje sivu valitsemalla ’CLOSE’. HTTP-asetus on nyt käytössä.

6. Testaa, että käytössäsi olevat metapalveluiden kutsut toimivat.

 

On suositeltavaa, että palveluväylään liittyneet organisaatiot muuttaisivat metapalveluiden kutsunsa toimivaksi HTTPS-asetuksella.

 


Dokumentin tiedot

Versio nro Mitä tehty Pvm / henkilö
 1.0 Dokumentti luotu, yhteinen ohje sekä FI-TEST että FI -ympäristöille. 31.01.17 / HH
 1.1 ’Vian selvitys’-osio luotu. 10.02.17 / HH
 1.2 Kohtaan 1 päivitetty eri ympäristöjen repositoryt erillisinä kohtinaan. 23.02.17 / HH
 1.3 Vanhojen ohjeiden linkit sekä FI-TEST- ja FI-ympäristöihin tarkistettu ja korjattu. 23.02.17 / HH
 1.4 Lisätty ’Vian selvitys’ -kohtaan IPv6 disablointiohjeet. 28.02.17 / HH
 1.5 Lisätty ’Vian selvitys’ -kohtaan metapalveluiden yhteysasetusten tarkistusohje. 21.04.17 / HH
 1.6 Tarkennettu, että ohjetta voi käyttää version 6.9.x ja sitä uudempien versioiden päivitysasennukseen. 03.10.17 / HH
 1.7 Lisätty uusien ohjelmistoversioiden (6.19.0 ja uudemmat) ohje kohtaan 2. 05.10.18 / HH
 1.8 Päivitetty uusien ohjelmistoversioiden (6.19.0 ja uudemmat) allekirjoitusavainten hakupolun ohje kohtaan 2. 12.10.18 / HH

Yksilöintitunnus: JPVT241