에지 암호화 규칙 업그레이드

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 읽기7분

    • 인스턴스 업그레이드와 프록시 서버 업그레이드 모두 환경에서 특별히 고려해야 에지 암호화 규칙 합니다.

    인스턴스 업그레이드

    에지 암호화 규칙 환경에서의 인스턴스 업그레이드는 인스턴스 업그레이드 후 에지 통제가 제대로 작동하는지 확인하기 위해 주의해야 합니다.

    인스턴스 업그레이드 중에는 다음 항목을 추가, 편집 또는 삭제해서는 안 됩니다.
    • 에지 암호화 규칙 구성
    • 에지 암호화 규칙 규칙
    • 에지 암호화 규칙 토큰화 패턴
    • 에지 암호화 규칙 예약된 작업
    • 에지 암호화 규칙 키 구성
    • 에지 암호화 규칙 예약된 업그레이드
    • 에지 암호화 규칙 거부 목록 IP 구성

    인스턴스 업그레이드 중에 실행 중인 예약된 작업이 완료되지 않습니다. 중단된 작업을 완료하려면 인스턴스가 업그레이드된 후 작업을 다시 실행합니다. 작업을 다시 예약하면 인스턴스 업그레이드 전에 발생한 처리가 손실되지 않고 작업은 아직 처리되지 않은 데이터만 계속 처리합니다.

    프록시 서버 업그레이드

    인스턴스가 프록시 서버를 업그레이드 에지 암호화 규칙 할 수 있도록 프록시 업그레이드를 예약하거나 언제든지 프록시 서버를 수동으로 업그레이드합니다.
    경고:
    Windows에서 업그레이드하는 경우 파일 잠금 문제가 발생할 수 있으며 업그레이드가 실패할 수 있습니다. 업그레이드에 성공하려면 설치 디렉터리 아래에 파일이 열려 있지 않아야 합니다. 또한 설치 디렉토리에 기존 쉘이 없어야 합니다. 특히 설치 디렉터리에 있는 동안 명령줄에서 프록시를 시작하는 경우( bin\edgeencryption.bat install/start를 통해) 해당 셸을 닫거나 나중에 설치 디렉터리 밖으로 이동해야 합니다. 설치 디렉토리 아래의 파일은 편집기나 다른 응용 프로그램에서 열지 않아야 합니다.

    외부 공급업체 라이브러리

    외부 공급업체 라이브러리(예: Gemalto)는 동일한 디렉터리에 보관될 경우 인스턴스 및 프록시 서버 업그레이드 중에 손실됩니다. 다음을 수행하여 업그레이드 중에 외부 공급업체 라이브러리의 손실을 방지할 수 있습니다.
    1. edgeencryption.properties에 다음 속성을 수동으로 추가합니다.

      edgeencryption.ekm.provider.classname = com.snc.edgeencryption.encryption.CloudEdgeNaeKeyProvider

    2. edgeencryption.thirdparty.vendor.library.path 공급업체 라이브러리 위치 속성을 추가하고 /path/to/jars로 설정합니다.

      예:

      EdgeEncryption.thirdparty.vendor.library.path = /app/servicenow/libs

    3. SafeNet JAR을 해당 경로에 복사합니다.

    설치 외부 에지 암호화 규칙 에 타사 라이브러리를 설치한 후에는 업그레이드 중에 더 이상 손실되지 않습니다.

    예약된 업그레이드

    중요사항:
    인스턴스를 업그레이드하는 동안 ServiceNow 인스턴스 버전에 맞게 프록시 서버 버전도 업그레이드하고 호환성 문제가 발생할 가능성을 줄이십시오.
    인스턴스가 예약된 시간에 프록시 서버를 업그레이드할 수 있도록 업그레이드를 예약합니다. 이 기능은 업그레이드 후 기본적으로 사용할 수 있습니다. 예약된 업그레이드에는 다음 이벤트가 포함됩니다.
    1. 프록시 서버는 인스턴스를 검사하여 업그레이드에 사용할 수 있는 새 버전이 있는지 확인합니다. 일반적으로 인스턴스가 업그레이드되면 새 버전을 사용할 수 있게 됩니다.
    2. 관리자는 새 버전의 프록시 서버를 사용할 수 있는 경우 로그인할 때 알림을 받습니다.
    3. 관리자는 각 프록시 서버에 대해 에지 암호화 규칙 프록시 서버 업그레이드를 예약 할 수 있습니다.
      주:
      security_admin 역할을 가진 사용자만 프록시 서버를 통해 업그레이드 일정을 만들 수 있습니다.
    4. 업그레이드가 예약되면 프록시 서버는 예약된 시간에 자동으로 업그레이드됩니다. 업그레이드하는 동안 프록시 서버는 짧은 시간 동안만 오프라인 상태가 됩니다.
      주:
      업그레이드 중에 프록시 서버가 다시 시작되기 때문에 잠시 동안 오프라인 상태입니다. 시간은 사용자 환경 및 프록시 서비스를 중지하고 다시 시작하는 데 걸리는 시간에 따라 결정됩니다.
    5. 예약된 업그레이드 중에 새 프록시 디렉터리가 만들어지고 구성 파일이 새 디렉터리로 복사됩니다. 새 속성이 기존 속성 파일에 기록됩니다. 이전 프록시 디렉터리의 다음 파일 또는 디렉터리가 새 프록시 디렉터리로 복사됩니다.
      • /conf 디렉토리
      • /keys 디렉토리
      • /keystore 디렉터리
      • java/jre/lib/security/cacerts 파일
      따라서 키, 키 저장소, 설정 및 인증서가 보존됩니다.
      주:
      위의 파일만 새 프록시 디렉터리에 복사됩니다. 프록시 서버 디렉토리의 다른 사용자 정의 파일은 예약된 업그레이드 중에 보존되지 않습니다. 업그레이드 로그 파일은 원래 프록시 디렉토리의 <original-proxy-directory>/tmp/upgrade-wrapper/bin 폴더에서 찾을 수 있습니다.

    예약된 업그레이드의 필수 조건

    에지 암호화 규칙 프록시에 대한 업그레이드를 예약하기 전에 다음을 확인하십시오.
    1. JAVA_HOME 환경 변수는 에지 암호화 규칙 프록시의 디렉터리 구조 외부에 있는 컴퓨터의 Java 설치를 가리킵니다.
    2. JAVA_HOME 환경 변수는 버전 1.8_u144 이상의 Java 설치를 가리킵니다.
    3. 에지 암호화 규칙 프록시의 wrapper.conf 파일에 있는 매개변수는 -Djava.io.tmpdir 에지 암호화 규칙 프록시의 디렉터리 구조 외부에 있는 디렉터리를 가리키며, 프록시에는 디렉터리에 대한 읽기/쓰기/실행 권한이 있습니다. 선택적으로, Java가 기본 tmp 위치를 사용하도록 매개변수를 완전히 주석 처리할 수 있습니다.

    수동 업그레이드

    업그레이드 일정을 만드는 대신 명령줄을 통해 각 프록시 서버를 수동으로 업그레이드할 수 있습니다. Linux에서 실행되는 에지 암호화 규칙 프록시 서버를 수동으로 업그레이드 또는 Windows에서 실행되는 에지 암호화 규칙 프록시 서버를 수동으로 업그레이드 문서를 참조하십시오.

    프록시 빌드 상태

    다음으로 이동하여 프록시 서버가 오래되었는지 여부를 쉽게 식별할 수 있습니다. 에지 암호화 규칙 구성 > 프록시 > 모두. 프록시 빌드의 상태는 프록시 빌드 열에 다음 색상으로 표시됩니다.

    녹색
    프록시 서버가 최신 상태입니다.
    노란색
    프록시 서버가 오래되어 업그레이드해야 합니다.
    주황
    업그레이드 실패. 프록시 서버는 다운타임이 없도록 이전 버전으로 되돌아갑니다.

    실패한 예약된 프록시 업그레이드 문제 해결

    예약된 프록시 업그레이드가 실패하면 프록시 서버는 업그레이드 이전 버전으로 되돌아갑니다. 모든 원본 데이터, 키 및 구성 파일이 보존됩니다. 이 프로세스는 몇 분 정도 걸릴 수 있습니다. 성공적인 업그레이드를 위해 문의하십시오 고객 서비스 및 지원 .

    실패의 원인을 확인하려면 업그레이드 일정에서 실패 이유를 확인할 수 있습니다. 또한 실패한 업그레이드에 대한 설치 디렉터리가 유지 관리되므로 문제 해결에 로그 파일을 사용할 수 있습니다.
    주:
    추가 프록시 디렉터리를 삭제하기 전에 항상 로그 파일을 검토하여 현재 디렉터리를 확인합니다. 로그 파일에 최근 활동이 있는 경우 프록시가 인스턴스에 연결되어 있을 수 있습니다.

    예약된 프록시 업그레이드가 반복적으로 실패하는 경우 프록시 서버를 수동으로 업그레이드할 수 있습니다. Linux에서 실행되는 에지 암호화 규칙 프록시 서버를 수동으로 업그레이드Windows에서 실행되는 에지 암호화 규칙 프록시 서버를 수동으로 업그레이드 문서를 참조하십시오.

    Java 최소 요구 사항

    프록시 서버를 설치하거나 실행하는 에지 암호화 규칙 호스트 시스템은 지원되는 Java 버전을 유지해야 합니다. 현재 지원되는 버전은 11.x 버전 시리즈의 Java 11.0.6 이상입니다.
    주:
    Java 8은 릴리스부터 Utah 더 이상 지원되지 않습니다. 프록시 버전 에지 암호화 규칙 설치를 Utah 시도하기 전에 프록시를 사용하여 에지 암호화 규칙 환경을 Java 11로 업그레이드하십시오.

    Java 8 업데이트 141(8u141) 이하에서 AES 256비트 암호화를 사용하는 경우, 각 에지 암호화 규칙 프록시 서버 호스트의 시스템 Java 홈 디렉토리에 JCE(Java Cryptography Extension) 관할 정책 파일을 복사하여 설치해야 합니다. 스케줄된 업그레이드 또는 수동 업그레이드를 수행하기 전에 <Java-home-directory>/jre/lib/security 폴더에 이러한 파일을 추가하십시오. AES 256비트 암호화 정책 파일을 설치하려면 을 참조하십시오 AES 256비트 암호화 키 구성.

    혼합 프록시 버전 환경

    최신 버전의 프록시 서버를 사용하여 이전 버전의 프록시 서버를 실행하는 환경은 권장되지 않지만 모든 프록시 서버가 인스턴스와 동일한 버전 제품군 내에 있는 경우 지원됩니다. 예를 들어, 릴리스에 Xanadu 인스턴스가 있는 경우 사용자 환경은 패치 Xanadu 또는 핫픽스의 프록시 서버를 지원합니다. 그러나 다음과 같은 제한 사항이 적용됩니다.

    • 한 프록시 서버가 다른 프록시에서 지원하지 않는 기능을 지원하는 경우 사용되는 프록시 서버에 따라 일관되지 않은 동작이 표시됩니다.
    • 프록시 서버가 오래된 경우 최신 보안 개선 사항이 포함되지 않을 수 있습니다.

    이전 릴리스의 프록시 서버가 인스턴스의 최신 릴리스에 등록된 경우 프록시 서버가 오래되었다는 정기적인 알림을 받게 됩니다. 최적의 보안 환경을 보장하기 위해 항상 ServiceNow 프록시 서버를 인스턴스에서 지원하는 최신 버전의 소프트웨어로 업그레이드하는 것이 좋습니다.