Suomi.fi-palveluväylän versio 6.17.x julkaistaan

Suomi.fi-palveluväylän kehitys-, testi- ja tuotantoympäristöt päivitetään versioon 6.17.x

Palveluväylän keskusympäristö päivitetään talven ja alkukevään aikana versiosta 6.16.0 versioon 6.17.x. Versionumeron viimeinen numero tarkentuu vielä ennen julkaisua. Keskusympäristön päivitys ei vaikuta yksittäisten liityntäpalvelinten toimintaan, mutta keskusympäristön päivityksen aikana uusien liityntäpalvelinten tai organisaatioiden lisääminen palveluväylään ei ole mahdollista. Päivityksen tarkka ajankohta ilmoitetaan ympäristökohtaisilla jakelulistoilla viikkoa ennen päivitystä.

Päivitysten suunnitellut ajankohdat ovat (muutokset mahdollisia):

  • Kehitysympäristö (FI-DEV) viikolla 9 (maanantai 26.2.2018)
  • Testiympäristö (FI-TEST) viikolla 11 (maanantai 12.3.2018)
  • Tuotantoympäristö (FI) viikolla 15 (maanantai 9.4.2018)

Ylläpito lähettää tarkemmat päivitystä koskevat ohjeet liityntäpalvelinten teknisille yhteyshenkilöille keskusympäristöjen päivityksen jälkeen. Keskusympäristön päivityksen jälkeen on suositeltavaa päivittää liityntäpalvelimet uuteen versioon neljän viikon kuluessa. Uuden version päivityksen myötä liityntäpalvelimen uudet ominaisuudet ja resurssien optimointi tuovat lisää tehokkuutta väylän toimintaan, joten versiopäivitys kannattaa tehdä ensi tilassa.

Version 6.17.x uusia ominaisuuksia ja parannuksia

  • REST Adapter Service -komponenttiin on tehty useita parannuksia. REST Adapter Service -komponentti mahdollistaa REST/JSON <-> SOAP -muunnokset Palveluväylän viesteissä.
    • Dokumentaatiota on parannettu. Katso lisää Github repositoriosta täältä.
    • Komponentti on muutettu Spring Boot -sovellukseksi. REST Adapter Servicen paketointi ei enää myöskään asenna Tomcat-palvelinta, vaan toimii itsenäisenä ajettavana Java-sovelluksena.
    • Korjattu mahdollinen tietoturvaongelma liittyen komponentissa käytettyyn viestien salaustoiminnallisuuteen. Joissain tapauksissa oli mahdollista, että muunnettu JSON-viesti säilyi salaamattomana SOAP-viestin bodyssä.
    • Luotu kontribuointiohjeet ja changelog-tiedosto REST Adapter Service -repositoriolle.
  • Parannettu X-Roadin tekemää lokitusta niin, ettei turhia virheilmoituksia tule lokitiedostoihin järjestelmäkonfiguraatioiden latauksesta. Aikaisemmin liityntäpalvelimen lokitiedostoihin saattoi tulla satunnaisesti ylimääräisiä ja turhia virhetulosteita.
  • Paikallisen X-Roadin ja kehitysympäristön pystyttämiseen tehty parannuksia:
    • Lisätty tuki CentOS 7 käyttöjärjestelmälle (LXD-konttituki). Asiaan liittyvät ohjeet on päivitetty:
    • Liityntäpalvelimille asennettavan maakohtaisen variantin (ee, fi, vanilla) voi valita Ansible skriptissä (kts. ohjeet yläpuolen linkistä). Oletusarvona asennuksessa on vanilla, joka tarkoittaa niin sanottua perusasennusta ilman maakohtaisia asetuksia.
  • Liityntäpalvelimen ympäristön monitorointirajapintaa on parannettu ja tehty uusia ominaisuuksia:
    • Monitoroinnin toteutusta on parannettu kestämään mahdolliset komponentin uudelleen käynnistykset.
    • Liityntäpalvelimen ylläpitäjällä on mahdollisuus rajoittaa liityntäpalvelinympäristön monitorointirajapinnan palauttamaa datan määrää env-monitor parameterin avulla. Jos datan palautus on rajoitettu kyseisellä parametrilla, niin tällöin vain liityntäpalvelimen ohjelmiston versionumero ja varmenteiden tiedot (mm. voimassaoloajat) välitetään kyselyn vastauksena. Jos rajoitusta ei ole käytetty niin palautetaan kaikki rajapinnan tarjoamat datat.
      • Lue lisää ympäristön monitorointidatasta täältä ja rajoitusparametrista täältä.
    • Ympäristön monitorointidatan keskitetty keräys FI-TEST -ympäristön liityntäpalvelimilta on otettu käyttöön version 6.16.0 myötä. Version 6.17.x myötä monitorointidatan keskitetty keräys otetaan käyttöön FI-ympäristössä myöhemmin.
  • Parannettu liityntäpalvelimen viestinvälityksen suorituskykyä aikaleimauksen aikana.
  • Palveluväylän koulutusmateriaalit on päivitetty ajantasalle ja julkaistu avoimena lähdekoodina: https://vrk-kpa.github.io/xroad-training/
  • Dokumentoitu yhtenäinen ja suositeltu tapa, jolla eri tyyppisiä autentikaation tunnisteita (security token) voi välittää SOAP-pyynnön otsikkotiedoissa Palveluväylän yli. Katso lisätietoja täältä.
  • Maakohtaisille (EE, FI) X-Road-arvoille on lisätty omat sarakkeet System parameters -dokumenttiin.
  • Optimoitu liityntäpalvelimen Messagelog tietokannan yhteyspoolien asetuksia, jotta ylimääräisiä resursseja ei turhaan kulutettaisi.
  • Korjattu ympäristön monitorointirajapinnan SystemCpuLoad-arvon laskenta.
  • Korjattu rikkoutuneet liityntäpalvelimen pääsylokit.
  • Liityntäpalvelimen signer.log antaa yksityiskohtaisempaa tietoa mahdollisista OCSP-virheistä.
  • Jatkossa suositeltavin tapa kutsua liityntäpalvelimen getWsdl metapalvelua on käyttää HTTP POST-metodia. Lue lisää getWsdl -palvelusta täältä.
    • getWsdl metapalvelun HTTP GET-metodin tietoturvaa on parannettu ja lisätty parametri, jolla HTTP GET-metodin voi kytkeä kokonaan pois päältä. HTTP GET-metodissa kutsut tehdään liityntäpalvelimen omistajan nimissä ja allekirjoituksella, joka ei ole hyvän tietoturvan mukaista – siksi HTTP GET-metodin käytön voi estää parametrilla.
    • Liityntäpalvelimen ohjelmiston päivitysasennuksessa getWsdl (HTTP GET) toimii kuten ennenkin. Uusissa (puhtaalle palvelimelle tehtävissä) asennuksissa getWsdl (HTTP GET) on kytketty oletuksena parametrilla pois päältä ja vain HTTP POST-metodi on käytössä. Lue lisää parametrista täältä.
    • Sekä getWsdl HTTP GET ja POST-metodit tukevat nyt myös member-tason HTTPS- ja HTTPS NO AUTH- asetuksia.
  • Toteutettu Palveluväylän yli tapahtuviin tiedoston siirtoihin helppokäyttöinen ja vapaasti kaikkien käytettävissä oleva palvelu xroad-fileservice. Palvelu löytyy täältä.
  • Korjattu paikallisen X-Roadin asennuksen ongelma, joka aiheutti asennuksen keskeytymisen tilanteessa jossa maakohtaista määrittelyä ei oltu tehty.
  • Liityntäpalvelimen metapalveluiden dokumentaatiota on parannettu ja tarkennettu.
  • Liityntäpalvelimen sisäiseen kuormantasaukseen (ns. ”fastest wins” -periaate) on tehty parannuksia, jotta mm. yhteyskatkoista toivuttaisiin nopeammin.
  • Jatkossa Palveluväylän liityntäpalvelimien julkaisupakettien asennus ja päivitys vaatii kaikilta asennettavilta X-Road-paketeilta samoja versionumeroita. Tämä parantaa epäyhteensopivuusongelmia kun pakettien versionumerot tarkistetaan jo asennusvaiheessa. Aikaisemmin pakettien oli oltava versioltaan samoja tai uudempia, jatkossa versionumeroiden on oltava samat.
  • Päivitetty X-Roadin pakettiriippuvuuksia, jotta mahdolliset vanhentuneista komponenttien versioista johtuvat haavoittuvuudet on estetty.
  • Korjattu liityntäpalvelimen käyttöliittymän Internal TLS -varmenteen vaihtamiseen liittyvä ongelma. Edellisessä versiossa ei pystynyt vaihtamaan liityntäpalvelimen käyttämää sisäistä varmennetta käyttöliittymän kautta.

 

Asennukseen ja päivitykseen liittyvää ohjeistusta

Uusi liityntäpalvelimen ohjelmistoversio eri palveluväylän ympäristöihin (FI-DEV, FI-TEST ja FI) tulee saataville myöhemmin ilmoitettavasta latauslinkistä kun palveluväylän ylläpito päivittää kyseisen ympäristön keskuspalvelimen. Ylläpito lähettää tarkemmat päivitystä koskevat ohjeet liityntäpalvelinten teknisille yhteyshenkilöille keskusympäristöjen päivityksen jälkeen.

Uusi liityntäpalvelimen ohjelmisto voidaan päivittää toimivan v.6.9.3 tai v.6.16.0 asennuksen päälle. Päivityksiä muiden versioiden päälle ei ole testattu.

Asennus- ja päivitysohjeet:

Ubuntu 14.04 LTS

Red Hat Enterprise Linux 7

Youtubesta löytyy myös havainnolliset videot liityntäpalvelimen käyttöönottoon liittyen:

Ennen päivitysasennusta tai päivitysasennuksen yhteydessä tarkista seuraavat asiat:

  • Ubuntu-palvelimilla version 6.17.x päivitysasennus tulee asentaa komennolla ”apt-get upgrade –with-new-pkgs”, jotta uudet riippuvuudet tulevat asennetuksi. Vaihtoehtoisesti voi käyttää apt-get:in sijasta apt:ia (”apt upgrade”), joka tekee oletuksena päivityksen oikein.
  • Liityntäpalvelimen Member-tasolle ei saa jatkossa olla liitettynä palveluita
    • Versiosta v.6.9.3 lähtien liityntäpalvelimen kautta väylään tarjottavien palveluiden liittäminen suoraan Member-tasolle ei ole sallittua tai edes mahdollista, vaan palvelut on kytkettävä ainoastaan Alijärjestelmän tasolle.
    • Palvelut on kytkettävä ainoastaan Alijärjestelmän tasolle, palveluiden kytkemistä Member-tasolle ei enää tueta. Palvelut on siirrettävä käsin Member-tasolta Alijärjestelmän tasolle ennen päivitysasennuksen aloittamista. Jos palveluita ei siirretä manuaalisesti pois, kaikki Member-tasolta löytyvät palvelut poistetaan automaattisesti. Huom! Asennusohjelma ei pysäytä asennusta tai anna automaattista virheilmoitusta tästä tilanteesta.
    • Ohjeet palvelujen lisäämisestä/siirtämisestä Alijärjestelmän-tasolle löytyvät täältä.
  • Versiosta v.6.16.0 lähtien liitettävien palveluiden käyttämät WSDL-tiedostot validoidaan liityntäpalvelimen ohjelmiston toimesta. Validointi tapahtuu silloin kun a) joko kokonaan uuden palvelun WSDL-tiedosto lisätään (importataan) tai b) kun vanhan (jo olemassa olevan) palvelun WSDL-tiedosto päivitetään (refresh toiminnallisuus). Validoinnin epäonnistuessa WSDL-tiedoston lisääminen (importointi) tai päivittäminen (refresh) ei onnistu. WSDL-tiedosto on muokattava oikean syntaksin mukaiseksi, jotta sen validointi onnistuu. Lisäohjeita WSDL-tiedoston syntaksiin löytyy täältä.
    • WSDL-tiedoston voi validoida etukäteen esimerkiksi erillisellä tietokoneella käyttäen command line -työkalua, joka on saatavilla osoitteesta: http://x-road.ee/valid/ Samasta verkko-osoitteesta löytyvät ohjeet työkalun käyttöön.

Mitoita liityntäpalvelin ja säädä muistiasetukset kohdalleen

Suosittelemme huomioimaan sivuillamme julkistetun ohjeistuksen siitä, miten muistiasetuksia kannattaa säätää omalla palvelinalustalla. Ohjeistus auttaa jokaista palveluväylään liittynyttä organisaatiota parantamaan oman liityntäpalvelimensa suorituskykyä, koska liityntäpalvelimen asennuspaketissa asetettavat vakioasetukset eivät useinkaan sovellu suoraan käyttöön, ainakaan optimaalisella tasolla. Lisää muistiasetuksien optimoinnista täältä. Ohjeiden lukeminen ja käyttöönotto todellakin kannattaa, koska se auttaa parantamaan liityntäpalvelimen suorituskykyä merkittävästi.

Muistathan myös tarkistaa, että oma liityntäpalvelimesi on mitoitettu kapasiteetiltaan ja suorituskyvyltään oikein väylän käyttöä varten. Ohjeistusta löydät täältä.

Ulkoisen kuormantasaajan käyttö mahdollista

Ulkoisen kuormantasaajan käyttö on ollut mahdollista palveluväylän versiosta 6.16.0 lähtien.

  • Lue lisää ulkoisen kuormantasaajan käytöstä palveluväylässä täältä.

Uuden version asennukseen ja päivitykseen liittyviä kysymyksiä voit lähettää osoitteeseen palveluvayla(at)palveluvayla.fi.