Suomi.fi-palveluväylä –
Palveluväyläohjelmiston päivitysohjeet Ubuntu-liityntäpalvelimille

Print Friendly, PDF & Email
 


MUISTA BACKUP ENNEN PÄIVITYSTÄ!

Ennen liityntäpalvelimen versiopäivitystä uudempaan versioon, kannattaa ottaa liityntäpalvelimesta mahdollisimman kattavat varmuuskopiot. Jos esimerkiksi liityntäpalvelimen levystä on snapshot tai muuten täydellinen varmuuskopio, voidaan vanha versio viime kädessä palauttaa sitä kautta. Vähintään liityntäpalvelimen konfiguraatio kannattaa varmuuskopioida käyttöliittymän kautta: Back Up and Restore > BACK UP CONFIGURATION

HUOMIOITAVAA ENNEN PÄIVITYSTÄ!

Jatkossa liityntäpalvelimen kautta Suomi.fi-palveluväylään tarjottavien palveluiden liittäminen suoraan Member-tasolle ei ole sallittua vaan palvelut on kytkettävä vain ja ainoastaan Alijärjestelmä-tasolle. Päivittäessä kaikki Member-tasolle liitetyt palvelut häviävät liityntäpalvelimelta.

Siirrä Member-tasolle liitetyt palvelut Alijärjestelmä-tasolle ennen päivitysasennuksen aloitusta. Ohjeet palvelujen lisäämisestä/siirtämisestä Alijärjestelmä-tasolle löytyy eSuomi.fi sivustolta täältä:

• https://esuomi.fi/palveluntarjoajille/palveluvayla/tekninen-aineisto/konfigurointiohjeita/uuden-palvelun-lisaaminen-liityntapalvelimelle/


Tämän päivitysohjeen avulla voit päivittää palveluväylän sekä testi- (FI-TEST) että tuotantoinstanssiin (FI) liitetyn Ubuntu-liityntäpalvelimen uusimpaan tuettuun versioon.

Ohjeessa annetaan kolme eri toimintatapaa riippuen päivitettävän palvelimen versiosta. Tätä ohjetta ei pidä käyttää uuden liityntäpalvelimen asennukseen.

Tämän ohjeen avulla päivitetään palveluväyläohjelmisto versioon 6.9.x. tai uudempaan versioon.


Vanhempien versioiden asennusohjeet ovat PDF-muodossa täällä:

FI-TEST:

FI:


Päivityksen suorittaminen

1. Mikäli olet päivittämässä palvelinta, jonka palveluväyläohjelmiston versio on pienempi kuin 6.5, toimi alla olevan ohjeen mukaisesti

1.1 Muokkaa repository-listaa (esimerkissä käytetty vi editoria)

vi /etc/apt/sources.list.d/xroad.list

Repositorien pitäisi näyttää tältä, lisää puuttuvat rivit tarpeen vaatiessa:

deb http://www.nic.funet.fi/pub/csc/x-road/client/6.5/packages trusty main
deb http://ppa.launchpad.net/nginx/stable/ubuntu trusty main
deb http://ppa.launchpad.net/openjdk-r/ppa/ubuntu trusty main

1.2 Päivitä repository-tietokanta

sudo apt-get update

1.3 Päivitä paketit

sudo apt-get upgrade

1.4 Käynnistä palvelin uudestaan

reboot

1.5 Asenna seuraavat uudet paketit

sudo apt-get install xroad-addon-messagelog xroad-securityserver

1.6 Muokkaa uudelleen repository-listaa käyttämään tuoreen version repositorya (esimerkissä käytetty vi editoria)

sudo vi /etc/apt/sources.list.d/xroad.list

Määrittele oikean repositoryn linkki sen ympäristön mukaan, johon olet asennusta tekemässä:

FI-DEV:

deb http://www.nic.funet.fi/pub/csc/x-road/client/ubuntu-dev-current/packages stable main
deb http://ppa.launchpad.net/nginx/stable/ubuntu trusty main
deb http://ppa.launchpad.net/openjdk-r/ppa/ubuntu trusty main

FI-TEST:

deb http://www.nic.funet.fi/pub/csc/x-road/client/ubuntu-test-current/packages stable main
deb http://ppa.launchpad.net/nginx/stable/ubuntu trusty main
deb http://ppa.launchpad.net/openjdk-r/ppa/ubuntu trusty main

FI:

deb http://www.nic.funet.fi/pub/csc/x-road/client/ubuntu-prod-current/packages stable main
deb http://ppa.launchpad.net/nginx/stable/ubuntu trusty main
deb http://ppa.launchpad.net/openjdk-r/ppa/ubuntu trusty main

 

1.7 Lisää uusi avain

HUOM! Määrittele oikean repositoryn linkki sen ympäristön mukaan, johon olet asennusta tekemässä:

FI-DEV:

sudo curl http://www.nic.funet.fi/pub/csc/x-road/client/ubuntu-dev-current/packages/dists/stable/palveluvayla@gofore.com.asc | sudo apt-key add -

FI-TEST:

sudo curl http://www.nic.funet.fi/pub/csc/x-road/client/ubuntu-test-current/packages/dists/stable/palveluvayla@gofore.com.asc | sudo apt-key add -

FI:

sudo curl http://www.nic.funet.fi/pub/csc/x-road/client/ubuntu-prod-current/packages/dists/stable/palveluvayla@gofore.com.asc | sudo apt-key add -

1.8 Päivitä repository tietokanta

sudo apt-get update

1.9 Päivitä paketit

sudo apt upgrade (vaihtoehtoisesti tämän voi tehdä myös komennolla: sudo apt-get upgrade --with-new-pkgs )

1.10 Asenna uusi paketti, joka tuli saataville:

sudo apt-get install xroad-securityserver-fi

1.11 Käynnistä palvelin uudestaan

reboot

1.12 Päivityksen valmistuttua käy läpi kohta 4 ’asennuksen jälkeinen tarkistuslista’.

 

2. Päivitettävä palveluväyläohjelmiston versio on suurempi tai yhtäsuuri kuin 6.5, mutta pienempi kuin 6.7.2:

2.1 Avaa palvelimelle ssh-istunto ja anna komennot 

HUOM! Määrittele oikean repositoryn linkki sen ympäristön mukaan, johon olet asennusta tekemässä:

FI-DEV:

sudo apt-add-repository -y "deb http://www.nic.funet.fi/pub/csc/x-road/client/ubuntu-dev-current/packages stable main"
sudo curl http://www.nic.funet.fi/pub/csc/x-road/client/ubuntu-dev-current/packages/dists/stable/palveluvayla@gofore.com.asc | sudo apt-key add -
sudo apt-get update
sudo apt upgrade (vaihtoehtoisesti tämän voi tehdä myös komennolla: sudo apt-get upgrade --with-new-pkgs )

FI-TEST:

sudo apt-add-repository -y "deb http://www.nic.funet.fi/pub/csc/x-road/client/ubuntu-test-current/packages stable main"
sudo curl http://www.nic.funet.fi/pub/csc/x-road/client/ubuntu-test-current/packages/dists/stable/palveluvayla@gofore.com.asc | sudo apt-key add -
sudo apt-get update
sudo apt upgrade (vaihtoehtoisesti tämän voi tehdä myös komennolla: sudo apt-get upgrade --with-new-pkgs )

FI:

sudo apt-add-repository -y "deb http://www.nic.funet.fi/pub/csc/x-road/client/ubuntu-prod-current/packages stable main"
sudo curl http://www.nic.funet.fi/pub/csc/x-road/client/ubuntu-prod-current/packages/dists/stable/palveluvayla@gofore.com.asc | sudo apt-key add -
sudo apt-get update
sudo apt upgrade (vaihtoehtoisesti tämän voi tehdä myös komennolla: sudo apt-get upgrade --with-new-pkgs )

2.2 Odottele ohjelmistopäivityksen valmistumista.

2.3 Päivityksen valmistuttua käy läpi kohta 4 ’asennuksen jälkeinen tarkistuslista’.

 

3. Päivitettävä palveluväyläohjelmiston versionumero on 6.7.2 tai suurempi:

HUOM! Asennettaessa päivityksessä liityntäpalvelimelle uudeksi ohjelmistoversioksi versiota 6.19.0 tai uudempaa versiota.

3.1 Avaa palvelimelle ssh-istunto ja anna komennot:

1. Hae ensin asennuspakettien uusi allekirjoitusavain:

FI-DEV:

curl http://www.nic.funet.fi/pub/csc/x-road/client/ubuntu-dev-current/niis.public.asc | sudo apt-key add -

FI-TEST:

curl http://www.nic.funet.fi/pub/csc/x-road/client/ubuntu-test-current/niis.public.asc | sudo apt-key add -

FI:

curl http://www.nic.funet.fi/pub/csc/x-road/client/ubuntu-prod-current/niis.public.asc | sudo apt-key add -
2. Muokkaa tiedostoa sources.list, se löytyy alla olevan mukaisesta hakemistopolusta:
/etc/apt/sources.list
Huom! Jos sources.list –tiedosto ei pidä sisällään jo ennestään alla mainittua riviä ’deb http://www.nic.funet.fi/pub/csc/x-road/client/ubuntu-env-current/packages stable main’ jossa env on käytettävän ympäristön tunnus, niin tällöin kyseinen rivi löytyy tiedostosta xroad.list. Muokkaa tämän tiedoston sisältö oikeanlaiseksi alla mainitulla tavalla. Tiedoston sijainti on /etc/apt/sources.list.d/xroad.list
FI-DEV:
Muuta sources.list –tiedostossa (tai vaihtoehtoisesti xroad.list -tiedostossaoleva rivi:
deb http://www.nic.funet.fi/pub/csc/x-road/client/ubuntu-dev-current/packages stable main
tämän muotoiseksi:
deb http://www.nic.funet.fi/pub/csc/x-road/client/ubuntu-dev-current/packages trusty-current main

FI-TEST:

Muuta sources.list –tiedostossa (tai vaihtoehtoisesti xroad.list -tiedostossaoleva rivi:
deb http://www.nic.funet.fi/pub/csc/x-road/client/ubuntu-test-current/packages stable main
tämän muotoiseksi:
deb http://www.nic.funet.fi/pub/csc/x-road/client/ubuntu-test-current/packages trusty-current main

FI:

Muuta sources.list –tiedostossa (tai vaihtoehtoisesti xroad.list -tiedostossaoleva rivi:
deb http://www.nic.funet.fi/pub/csc/x-road/client/ubuntu-prod-current/packages stable main
tämän muotoiseksi:
deb http://www.nic.funet.fi/pub/csc/x-road/client/ubuntu-prod-current/packages trusty-current main

 

Yllä olevissa kohdissa sana ’stable’ on siis korvattu ’trusty-current’ sanalla.

3. Anna allekirjoitusavaimen hakemisen ja tiedoston xroad.list muuttamisen jälkeen komennot:
sudo apt-get update
sudo apt upgrade (vaihtoehtoisesti tämän voi tehdä myös komennolla: sudo apt-get upgrade --with-new-pkgs )

 

Asennettaessa päivityksessä liityntäpalvelimelle uudeksi ohjelmistoversioksi vanhempaa versiota (<6.19.0).

3.1 Avaa palvelimelle ssh-istunto ja anna komennot

sudo apt-get update
sudo apt upgrade (vaihtoehtoisesti tämän voi tehdä myös komennolla: sudo apt-get upgrade --with-new-pkgs )

 

3.2 Odottele ohjelmistopäivityksen valmistumista. 

3.3 Päivityksen valmistuttua käy läpi kohta 4 ’asennuksen jälkeinen tarkistuslista’.

4. Asennuksen jälkeinen tarkistuslista

4.1 Päivitysasennuksen aikana mahdollisesti esiintyvät varoitukset

Päivitysasennuksen aikana saattaa tulla varoituksia siitä, että vanhojen hakemistojen tuhoaminen ei onnistu (kts. alla olevat esimerkki virhetulosteet). Näistä ei tarvitse välittää – ne eivät vaikuta liityntäpalvelimen asennukseen tai toimivuuteen mitenkään. Varoitukset liittyvät paketointimuutoksiin – xroad-common paketti on jaettu useampaan pienempää pakettiin ja ko. hakemistot eivät ole enää xroad-common paketin omistuksessa.

Unpacking xroad-common (6.17.0-1) over (6.16.0-1) …
dpkg: warning: unable to delete old directory ’/etc/xroad/ssl’: Directory not empty
dpkg: warning: unable to delete old directory ’/etc/xroad/backup.d’: Directory not empty

4.2 Asennuksen jälkeen tarkista xroad-pakettien käytössä olevat versiot komennolla

sudo dpkg -l | grep xroad-

Komento listaa asennetut xroad-alkuiset paketit ja niiden versiotiedot.

4.3 Tarkista, että kaikista paketeista on asennettuna juuri päivitetty versio.

4.4 Jos pakettien versiot ovat halutut, jatka seuraavaan kohtaan. Mikäli jokin paketti näkyy vielä vanhana versiona, aja komento

sudo apt upgrade

Tarkista, että kaikki paketit ovat päivittyneet oikeaan versioon ja tee palvelimelle uudelleenkäynnistys.

4.5 Tarkista, että kaikki xroadin palvelut ovat käynnistyneet komennolla

sudo initctl list | grep xroad-

Komennon listaamien palveluiden tulisi olla start/running -tilassa.

Mikäli jokin palvelu ei ole käynnistynyt, sen voi käynnistää manuaalisesti komennolla

sudo service <servicen nimi> start

4.6 Kun kaikki palvelut ovat käynnissä, testaa palvelimen toiminta vielä hallintakäyttöliittymästä (https://palvelimennimi:4000).

 

5. Vian selvitys

5.1 Liityntäpalvelimen käyttöliittymä ei vastaa tai antaa virheilmoituksen

Tarkista, onko /tmp hakemisto mahdollisesti mountattu ’noexec’ -vivulla.

Jos /tmp hakemisto on mountattu ’noexec’ -vivulla, tällöin admin UI ei käynnisty, koska /tmp hakemistoa käytetään sen toiminnoissa.

Tarkistus tehdään mount komennon avulla:

mount

Tarkista saatavasta tulosteesta, esiintyykö siinä tunnisteet ’/tmp’ ja ’noexec’:

/dev/loop0 on /tmp type ext3 (rw,noexec,nosuid,nodev)

Jos esiintyy, kuten esimerkkitulosteessa yllä, tällöin vaaditaan /etc/fstab tiedoston muokkausta noexec-vivun poistamiseksi. Lisäksi hakemisto pitää uudelleen mountata, jotta muutokset saadaan heti käyttöön.

mount -o remount,exec /tmp

5.2 Metapalveluiden ’listClients’, ’listCentralServices’ tai ’wsdl’-kutsut eivät toimi päivityksen jälkeen

Jos Palveluväylän metapalveluiden (kts. lisää metapalveluista täältä) ’listClients’, ’listCentralServices’ tai ’wsdl’-kutsut eivät toimi päivityksen jälkeen, vaikka ne toimivat ennen päivitystä versioon 6.9.x, tarkista alla olevan mukaisesti MEMBER-tason yhteysasetukset.

Metapalvelut käyttävät MEMBER-tasolla hallintakäyttöliittymässä asetettuja yhteysasetuksia ja uusimmissa palveluväylän versioissa (versio 6.9.3 ja uudemmat) yhteysasetus asetetaan oletusarvoisesti tietoturvasyistä HTTPS:ksi (aikaisemman HTTP:n sijaan). Jos metapalveluiden kutsut ovat aikaisemmin olleet HTTP-asetuksella, ne muuttuvat automaattisesti päivitysasennuksessa HTTPS-asetukseen.

HTTPS-oletusasetuksella vahvistetaan tietoturvaa ja siksi se on päätetty ottaa oletusvalinnaksi.

Näin muutat HTTPS -> HTTP:

1. Kirjaudu sisälle liityntäpalvelimen hallintakäyttöliittymään. Valitse kirjautumisen jälkeen vasemmasta reunasta ’Security Server Clients’ ja näytölle avautuu listaus liityntäpalvelimella olevista organisaatioista ja alijärjestelmistä:

2. Tarkista MEMBER-tason yhteysasetukset klikkaamalla MEMBER-tason ’Internal Servers’-valintaa.

3. Tarkista yhteysasetus (CONNECTION TYPE FOR SERVERS IN SERVICE CONSUMER ROLE), että mikä on valittuna:

(Huom! Alla oleva kuva on alijärjestelmän/SUBSYSTEM-tasolta mutta MEMBER-tasolla on vastaava valinta)

4. Valitse alasvetovalikosta HTTP-asetus käyttöön.

5. Sulje sivu valitsemalla ’CLOSE’. HTTP-asetus on nyt käytössä.

6. Testaa, että käytössäsi olevat metapalveluiden kutsut toimivat.

On suositeltavaa, että palveluväylään liittyneet organisaatiot muuttaisivat metapalveluiden kutsunsa toimivaksi HTTPS-asetuksella.


 Dokumentin tiedot

Versio nro Mitä tehty Pvm / henkilö
 1.0 Dokumentti luotu, yhteinen ohje sekä FI-TEST että FI -ympäristöille. 31.01.17 / HH
 1.1 ’Vian selvitys’-osio luotu. 10.02.17 / HH
 1.2 Kohtiin 1.6, 1.7 ja 2.1 päivitetty eri ympäristöjen repositoryt erillisinä kohtinaan. 23.02.17 / HH
 1.3 Vanhojen ohjeiden linkit sekä FI-TEST- ja FI-ympäristöihin tarkistettu ja korjattu. 23.02.17 / HH
 1.4 Lisätty ’Vian selvitys’ -kohtaan metapalveluiden yhteysasetusten tarkistusohje. 21.04.17 / HH
 1.5 Tarkennettu, että ohjetta voi käyttää version 6.9.x ja sitä uudempien versioiden päivitysasennukseen. 03.10.17 / HH
 1.6 Muutettu päivitysasennuksen ohjeistusta: komentoa ’sudo apt upgrade’ tai vaihtoehtoisesti ‘sudo apt-get upgrade –with-new-pkgs’ on käytettävä, jotta kaikki riippuvuuspaketit asentuvat oikein. Lisätty uutena luku 4.1 asennukseen jälkeiseen tarkistuslistaan. 20.02.18 / HH
 1.7 Lisätty uusien ohjelmistoversioiden (6.19.0 ja uudemmat) ohje kohtaan 3. 05.10.18 / HH
 1.8 Päivitetty uusiin ohjelmistoversioihin (6.19.0 ja uudemmat) liittyvää ohjeistusta kohtaan 3. 12.10.18 / HH
 1.9 Kohtaan 3 lisätty tarkennus sources.list ja xroad.list -tiedostoista. 17.10.18 / HH
 1.10 Korjattu vanhojen asennusohjeiden linkki ’ Palveluväyläohjelmiston päivitysohjeet Ubuntu-liityntäpalvelimille FI-instanssissa’ osoittamaan oikeaan PDF dokumenttiin. 25.10.18 / HH

Yksilöintitunnus: JPVT241