エッジ暗号化のアップグレード

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:9分

    • インスタンスのアップグレードとプロキシサーバーのアップグレードのどちらを行う場合も、エッジ暗号化 環境で特別な考慮が必要になります。

    インスタンスのアップグレード

    エッジ暗号化環境でインスタンスのアップグレードを行うには、インスタンスのアップグレード後に Edge によるコントロールが正しく機能するように注意する必要があります。

    インスタンスのアップグレード中に、次のものを追加、編集、または削除しないでください。
    • エッジ暗号化 の設定
    • Edge Encryption (エッジ暗号化) のルール
    • Edge Encryption (エッジ暗号化) のトークン化パターン
    • Edge Encryption (エッジ暗号化) のスケジュール済みジョブ
    • エッジ暗号化のキー設定
    • エッジ暗号化のスケジュール設定済みのアップグレード
    • エッジ暗号化の拒否リスト IP 設定

    インスタンスのアップグレード中に実行されたスケジュール設定済みのジョブは、どれも完了しません。中断されたジョブを完了するには、インスタンスのアップグレードの完了後にジョブを再実行します。ジョブのスケジュールを変更した場合、インスタンスのアップグレード前に発生した処理は失われず、まだ処理が完了していないデータのみの処理がジョブで続行されます。

    プロキシサーバーのアップグレード

    インスタンスが エッジ暗号化 プロキシサーバーをアップグレードできるようにプロキシをスケジュールするか、任意のタイミングでプロキシサーバーを手動でアップグレードします。
    警告:
    Windows でのアップグレードでは、ファイルロックの問題が発生し、アップグレードが失敗する可能性があります。アップグレードを正常に完了するには、インストールディレクトリの下のファイルを開いた状態にしないでください。また、インストールディレクトリに既存のシェルが存在しないようにする必要があります。特に、インストールディレクトリでコマンドラインから (bin\edgeencryption.bat install/start 経由で) プロキシを起動する場合は、そのシェルを閉じるか、後でインストールディレクトリから移動させる必要があります。インストールディレクトリにあるファイルを、エディターや他のアプリケーションで開かないでください。

    サードパーティのライブラリー

    Gemalto などのサードパーティライブラリーは、同じディレクトリに格納されている場合、インスタンスとプロキおよびサーバーのアップグレード時に失われます。アップグレード中にサードパーティのライブラリーが失われないようにするには、以下を実行します。
    1. 次のプロパティを edgeencryption.properties に手動で追加します。

      edgeencryption.ekm.provider.classname = com.snc.edgeencryption.encryption.CloudEdgeNaeKeyProvider

    2. edgeencryption.thirdparty.vendor.library.path ベンダーライブラリーの場所プロパティを追加し、「/path/to/jars」に設定します。

      たとえば、

      edgeencryption.thirdparty.vendor.library.path = /app/servicenow/libs

    3. SafeNet JAR をそのパスにコピーします。

    エッジ暗号化 インストール外でサードパーティライブラリーをインストールした後、アップグレード中にそのライブラリーが失われることはありません。

    スケジュール設定済みのアップグレード

    重要:
    ServiceNow インスタンスのアップグレード中に、プロキシサーバーのバージョンもアップグレードしてインスタンスのバージョンに合わせ、互換性の問題が発生する可能性を減らします。
    予定された時刻にインスタンスがプロキシサーバーをアップグレードできるように、アップグレードをスケジュールします。この機能は、アップグレード後にデフォルトで使用できます。スケジュール設定済みのアップグレードでは、次のイベントが発生します。
    1. プロキシサーバーがインスタンスに問い合わせて、アップグレード可能な新しいバージョンがあるかどうかを確認します。通常、新しいバージョンは、インスタンスがアップグレードされたときに使用可能になります。
    2. 新しいバージョンのプロキシサーバーが使用可能になると、アドミニストレーターはログイン時に通知を受け取ります。
    3. アドミニストレーターはプロキシサーバーごとに、エッジ暗号化プロキシサーバーのアップグレードをスケジュールすることができます。
      注:
      security_admin ロールを持つユーザーのみが、プロキシサーバー経由でアップグレード スケジュールを作成できます。
    4. アップグレードがスケジュールされると、プロキシサーバーは予定された時刻に自動的にアップグレードされます。アップグレード中、プロキシサーバーは一時的にオフラインになります。
      注:
      プロキシサーバーはアップグレード中に再起動するため、一時的にオフラインになります。その時間の長さは環境、およびプロキシ サービスの停止と再起動にかかる時間によって異なります。
    5. スケジュール設定済みのアップグレード中に、新しいプロキシ ディレクトリが作成され、設定ファイルが新しいディレクトリにコピーされます。新しいプロパティが既存のプロパティ ファイルに書き込まれます。古いプロキシ ディレクトリにある次のファイルまたはディレクトリが、新しいプロキシ ディレクトリにコピーされます。
      • /conf ディレクトリー
      • /keys ディレクトリー
      • /keystore ディレクトリー
      • java/jre/lib/security/cacerts ファイル
      その結果、キー、キーストア、設定、および証明書が保持されます。
      注:
      新しいプロキシ ディレクトリーにコピーされるのは上記のファイルのみです。プロキシサーバー ディレクトリにあるその他のカスタマイズされたファイルは、スケジュール設定済みのアップグレード中は保存されません。アップグレードのログ ファイルは、元のプロキシ ディレクトリーの <original-proxy-directory>/tmp/upgrade-wrapper/bin フォルダーにあります。

    スケジュール設定済みのアップグレードの必須条件

    エッジ暗号化プロキシのアップグレードをスケジュールする際は、事前に次の点を確認してください。
    1. JAVA_HOME 環境変数が、エッジ暗号化プロキシのディレクトリー構造以外の場所にあるマシンにインストールされた Java を指し示していること。
    2. JAVA_HOME 環境変数が、バージョン 1.8_u144 以降としてインストールされた Java を指し示していること。
    3. エッジ暗号化プロキシの wrapper.conf ファイルの -Djava.io.tmpdir パラメーターが、エッジ暗号化プロキシのディレクトリー構造「以外の場所」にあるディレクトリーを指し示していて、プロキシがそのディレクトリーに対して読み取り/書き込み/実行の権限を持っていること。オプションで、Java がデフォルトの tmp 場所を使用するように、パラメーター全体をコメント アウトすることもできます。

    手動アップグレード

    アップグレード スケジュールを作成する代わりに、コマンド ラインから個々のプロキシサーバーを手動でアップグレードすることができます。「Linux で実行中のエッジ暗号化プロキシサーバーを手動でアップグレードする」または「Windows で実行中のエッジ暗号化プロキシサーバーを手動でアップグレードする」を参照してください。

    プロキシのビルド ステータス

    プロキシサーバーが古くなっているかどうかは、次の場所に移動して簡単に識別できます。 エッジ暗号化の設定 > プロキシ > すべて. プロキシのビルド ステータスは [プロキシのビルド] 列に次の色で表示されます。

    プロキシサーバーは最新です。
    プロキシサーバーは古くなっていて、アップグレードが必要です。
    オレンジ
    アップグレードに失敗しました。ダウンタイムが発生しないように、プロキシサーバーは古いバージョンに戻されています。

    スケジュール設定済みのプロキシ アップグレードが失敗した場合のトラブルシューティング

    スケジュール設定済みのプロキシ アップグレードが失敗した場合、プロキシサーバーはアップグレード前のバージョンに戻ります。元のデータ、キー、および設定ファイルはすべて保持されます。このプロセスには数分かかることがあります。カスタマーサービス & サポートに連絡して、アップグレードを確実に成功させてください。

    失敗の原因を調べるには、アップグレード スケジュールで [障害の原因] をチェックします。また、失敗したアップグレードのインストール ディレクトリーは保持されているため、ログ ファイルをトラブルシューティングに使用できます。
    注:
    余分なプロキシ ディレクトリを削除する前に、ログ ファイルを確認してディレクトリーが最新であることを必ず確認してください。ログ ファイルに最近のアクティビティが記録されている場合、プロキシからインスタンスに接続している可能性があります。

    スケジュール設定済みのプロキシ アップグレードが繰り返し失敗する場合、プロキシサーバーを手動でアップグレードすることができます。「Linux で実行中のエッジ暗号化プロキシサーバーを手動でアップグレードする」および「Windows で実行中のエッジ暗号化プロキシサーバーを手動でアップグレードする」を参照してください。

    Java の最低要件

    エッジ暗号化 プロキシサーバーをインストールまたは実行するホストマシンでは、サポートされているバージョンの Java を保持する必要があります。現在サポートされているバージョンは 11.x バージョンシリーズの Java 11.0.6 以降です。
    注:
    Java 8 は Utah リリースからサポートされなくなりました。Utah バージョンの エッジ暗号化 プロキシをインストールする前に、エッジ暗号化 プロキシを使用する環境を Java 11 にアップグレードしてください。

    Java 8 update 141 (8u141) 以下で AES 256 ビット暗号化を使用する場合、Java Cryptography Extension (JCE) 管轄ポリシーファイルを、各 エッジ暗号化 プロキシサーバー ホストのシステムの Java ホーム ディレクトリにコピーしてインストールする必要があります。スケジュール設定済みアップグレードまたは手動アップグレードを実行する前に、これらのファイルを <Java-home-directory>/jre/lib/security フォルダに追加します。AES 256 ビット暗号化ポリシーファイルをインストールするには、「AES 256 ビット暗号化キーを設定する」を参照してください。

    プロキシのバージョンが混在する環境

    古いバージョンのプロキシサーバーを実行しながら最新バージョンのプロキシサーバーを使用する環境は推奨されませんが、すべてのプロキシサーバーがインスタンスと同じバージョン ファミリーである環境はサポートされています。たとえば、Xanadu リリースのインスタンスを使用している環境では、Xanadu のパッチまたはホットフィックスを適用したプロキシサーバーがサポートされます。ただし、次の制限があります。

    • あるプロキシサーバーがサポートしている機能を別のプロキシがサポートしていない場合、使用しているプロキシサーバーによっては一貫性のない動作が生じます。
    • プロキシサーバーが古くなっている場合、最近のセキュリティ強化が組み込まれていない可能性があります。

    以前のリリースのプロキシサーバーがインスタンスの新しいリリースに登録されている場合は、プロキシサーバーが古くなっているという通知が定期的に表示されます。最適で安全な環境を確保するため、ServiceNow では、常にインスタンスでサポートされている最新バージョンのソフトウェアにプロキシサーバーをアップグレードすることをお勧めしています。