Edge Encryption 업그레이드

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기7분

    • 인스턴스 업그레이드와 프록시 서버 업그레이드 모두 환경에서 특별한 고려 사항이 에지 암호화 규칙 필요합니다.

    인스턴스 업그레이드

    Edge Encryption 환경에서 인스턴스를 업그레이드할 때는 인스턴스 업그레이드 후 Edge 컨트롤이 제대로 작동하는지 확인하기 위해 주의해야 합니다.

    인스턴스 업그레이드 중에는 다음 항목을 추가, 편집 또는 삭제해서는 안 됩니다.
    • 에지 암호화 규칙 구성
    • 에지 암호화 규칙 규칙
    • 에지 암호화 규칙 토큰화 패턴
    • 에지 암호화 규칙 예약된 작업
    • 에지 암호화 규칙 키 구성
    • 에지 암호화 규칙 예약된 업그레이드
    • 에지 암호화 규칙 거부 목록 IP 구성

    인스턴스 업그레이드 중에 실행 중인 모든 예약된 작업은 완료되지 않습니다. 중단된 작업을 완료하려면 인스턴스가 업그레이드된 후 작업을 다시 실행합니다. 작업 일정을 조정하면 인스턴스 업그레이드 전에 발생한 처리는 손실되지 않고 작업은 아직 처리되지 않은 데이터만 계속 처리합니다.

    프록시 서버 업그레이드

    인스턴스가 프록시 서버를 업그레이드 에지 암호화 규칙 할 수 있도록 프록시 업그레이드를 예약하거나 언제든지 수동으로 프록시 서버를 업그레이드합니다.
    경고:
    Windows에서 업그레이드하는 경우 파일 잠금 문제가 발생할 수 있으며 업그레이드가 실패할 수 있습니다. 업그레이드에 성공하려면 설치 디렉터리 아래에 파일이 열려 있지 않아야 합니다. 또한 설치 디렉터리에 기존 셸이 없어야 합니다. 특히 설치 디렉터리에 있는 동안 명령줄에서 프록시를 시작하는 경우( bin\edgeencryption.bat install/start를 통해) 해당 셸을 닫거나 나중에 설치 디렉터리 밖으로 이동해야 합니다. 설치 디렉토리 아래의 파일은 편집기나 다른 응용 프로그램에서 열지 않아야 합니다.

    외부 공급업체 라이브러리

    Gemalto와 같은 외부 공급업체 라이브러리가 동일한 디렉터리에 보관되어 있으면 인스턴스 및 프록시 서버 업그레이드 중에 손실됩니다. 다음을 수행하여 업그레이드 중에 외부 공급업체 라이브러리의 손실을 방지할 수 있습니다.
    1. edgeencryption.properties에 다음 속성을 수동으로 추가합니다.

      edgeencryption.ekm.provider.classname = com.snc.edgeencryption.encryption.CloudEdgeNaeKeyProvider

    2. edgeencryption.thirdparty.vendor.library.path 공급업체 라이브러리 위치 속성을 추가하고 /path/to/jars로 설정합니다.

      예:

      EdgeEncryption.thirdparty.vendor.library.path = /app/servicenow/libs

    3. SafeNet JAR을 해당 경로에 복사합니다.

    설치 외부 에지 암호화 규칙 에 타사 라이브러리를 설치한 후에는 업그레이드 중에 더 이상 손실되지 않습니다.

    예약된 업그레이드

    중요사항:
    인스턴스를 업그레이드하는 동안 ServiceNow 인스턴스 버전에 맞게 프록시 서버 버전도 업그레이드하고 호환성 문제가 발생할 가능성을 줄이십시오.
    인스턴스가 예약된 시간에 프록시 서버를 업그레이드할 수 있도록 업그레이드를 예약합니다. 이 기능은 업그레이드 후 기본적으로 사용할 수 있습니다. 예약된 업그레이드에는 다음 이벤트가 포함됩니다.
    1. 프록시 서버는 인스턴스를 검사하여 업그레이드에 사용할 수 있는 새 버전이 있는지 확인합니다. 일반적으로 새 버전은 인스턴스가 업그레이드될 때 사용할 수 있습니다.
    2. 관리자는 프록시 서버의 새 버전을 사용할 수 있는 경우 로그인할 때 알림을 받습니다.
    3. 관리자는 각 프록시 서버에 대해 에지 암호화 규칙 프록시 서버 업그레이드를 예약 할 수 있습니다.
      주:
      security_admin 역할을 가진 사용자만 프록시 서버를 통해 업그레이드 일정을 만들 수 있습니다.
    4. 업그레이드가 예약되면 프록시 서버는 예약된 시간에 자동으로 업그레이드됩니다. 업그레이드하는 동안 프록시 서버는 짧은 시간 동안만 오프라인 상태가 됩니다.
      주:
      업그레이드 중에 프록시 서버가 다시 시작되기 때문에 잠시 동안 오프라인 상태입니다. 시간은 사용자 환경 및 프록시 서비스를 중지하고 다시 시작하는 데 걸리는 시간에 따라 결정됩니다.
    5. 예약된 업그레이드 중에 새 프록시 디렉터리가 만들어지고 구성 파일이 새 디렉터리로 복사됩니다. 새 속성이 기존 속성 파일에 기록됩니다. 이전 프록시 디렉터리의 다음 파일 또는 디렉터리가 새 프록시 디렉터리로 복사됩니다.
      • /conf 디렉토리
      • /keys 디렉토리
      • /keystore 디렉토리
      • java/jre/lib/security/cacerts 파일
      따라서 키, 키 저장소, 설정 및 인증서가 보존됩니다.
      주:
      위의 파일만 새 프록시 디렉터리에 복사됩니다. 프록시 서버 디렉토리의 다른 사용자 정의 파일은 예약된 업그레이드 중에 보존되지 않습니다. 업그레이드 로그 파일은 원래 프록시 디렉토리 <original-proxy-directory>/tmp/upgrade-wrapper/bin 폴더에서 찾을 수 있습니다.

    예약된 업그레이드의 필수 조건

    에지 암호화 규칙 프록시에 대한 업그레이드를 예약하기 전에 다음 사항을 확인하십시오.
    1. JAVA_HOME 환경 변수는 에지 암호화 규칙 프록시의 디렉토리 구조 외부에 있는 시스템의 Java 설치를 가리킵니다.
    2. JAVA_HOME 환경 변수는 버전 1.8_u144 이상의 Java 설치를 가리킵니다.
    3. -Djava.io.tmpdir 에지 암호화 규칙 프록시의 wrapper.conf 파일에 있는 매개 변수는 에지 암호화 규칙 프록시의 디렉터리 구조 외부에 있는 디렉터리를 가리키며, 프록시에는 디렉터리에 대한 읽기/쓰기/실행 권한이 있습니다. 선택적으로 Java가 기본 tmp 위치를 사용하도록 매개 변수를 완전히 주석 처리할 수 있습니다.

    수동 업그레이드

    업그레이드 일정을 만드는 대신 명령줄을 통해 각 프록시 서버를 수동으로 업그레이드할 수 있습니다. Linux에서 실행되는 에지 암호화 규칙 프록시 서버를 수동으로 업그레이드 또는 Windows에서 실행되는 에지 암호화 규칙 프록시 서버 수동 업그레이드 문서를 참조하십시오.

    프록시 빌드 상태

    다음으로 이동하여 프록시 서버가 오래되었는지 여부를 쉽게 식별할 수 있습니다. 에지 암호화 규칙 구성 > 프록시 > 모두레이블이 표시됩니다. 프록시 빌드의 상태는 프록시 빌드 열에 다음 색상으로 표시됩니다.

    녹색
    프록시 서버가 최신 상태입니다.
    노란색
    프록시 서버가 만료되어 업그레이드해야 합니다.
    주황
    업그레이드 실패. 프록시 서버는 다운타임이 발생하지 않도록 이전 버전으로 되돌아갑니다.

    실패한 예약된 프록시 업그레이드 문제 해결

    예약된 프록시 업그레이드가 실패하면 프록시 서버는 업그레이드 중인 버전으로 되돌아갑니다. 모든 원본 데이터, 키 및 구성 파일은 보존됩니다. 이 프로세스는 몇 분 정도 걸릴 수 있습니다. 성공적인 업그레이드를 위해 문의하십시오 고객 서비스 및 지원 .

    실패 이유를 확인하려면 업그레이드 일정에서 실패 이유를 확인할 수 있습니다. 또한 실패한 업그레이드에 대한 설치 디렉터리가 유지 관리되므로 문제 해결에 로그 파일을 사용할 수 있습니다.
    주:
    추가 프록시 디렉터리를 삭제하기 전에 항상 로그 파일을 검토하여 현재 디렉터리를 확인합니다. 로그 파일에 최근 활동이 있는 경우 프록시가 인스턴스에 연결되어 있을 수 있습니다.

    예약된 프록시 업그레이드가 반복적으로 실패하는 경우 프록시 서버를 수동으로 업그레이드할 수 있습니다. Linux에서 실행되는 에지 암호화 규칙 프록시 서버를 수동으로 업그레이드Windows에서 실행되는 에지 암호화 규칙 프록시 서버 수동 업그레이드 문서를 참조하십시오.

    Java 최소 요구 사항

    프록시 서버를 설치하거나 실행하는 에지 암호화 규칙 호스트 시스템은 지원되는 Java 버전을 유지해야 합니다. 현재 지원되는 버전은 11.x 버전 시리즈의 Java 11.0.6 이상입니다.
    주:
    Java 8은 릴리스부터 Utah 더 이상 지원되지 않습니다. 프록시 버전을 에지 암호화 규칙 설치 Utah 하기 전에 프록시를 에지 암호화 규칙 사용하여 환경을 Java 11로 업그레이드하십시오.

    Java 8 Update 141(8u141) 이하에서 AES 256비트 암호화를 사용하는 경우, JCE(Java Cryptography Extension) 관할 정책 파일을 각 에지 암호화 규칙 프록시 서버 호스트의 시스템 Java 홈 디렉토리에 복사하여 설치해야 합니다. 스케줄된 업그레이드 또는 수동 업그레이드를 수행하기 전에 <Java-home-directory>/jre/lib/security 폴더에 이러한 파일을 추가하십시오. AES 256비트 암호화 정책 파일을 설치하려면 을 참조하십시오 AES 256비트 암호화 키 구성.

    혼합 프록시 버전 환경

    최신 버전의 프록시 서버와 함께 이전 버전의 프록시 서버를 실행하는 환경은 권장되지 않지만 모든 프록시 서버가 인스턴스와 동일한 버전 제품군 내에 있는 경우 지원됩니다. 예를 들어, 릴리스에 Washington DC 인스턴스가 있는 경우 해당 환경은 패치 또는 핫픽스의 프록시 서버를 Washington DC 지원합니다. 그러나 다음과 같은 제한 사항이 적용됩니다.

    • 한 프록시 서버가 다른 프록시에서 지원하지 않는 기능을 지원하는 경우 사용되는 프록시 서버에 따라 일관되지 않은 동작이 표시됩니다.
    • 프록시 서버가 오래된 경우 최신 보안 개선 사항이 포함되지 않을 수 있습니다.

    이전 릴리스의 프록시 서버가 인스턴스의 최신 릴리스에 등록되면 프록시 서버가 오래되었다는 알림을 정기적으로 받게 됩니다. 최적의 보안 환경을 보장하기 위해 항상 ServiceNow 프록시 서버를 인스턴스에서 지원하는 최신 버전의 소프트웨어로 업그레이드하는 것이 좋습니다.