6.4. Ubuntu18.04(Rel-21.11~Rel-22.08)⇒Ubuntu18.04(Rel-23.05)

Ubuntu18.04LTS(Rel-21.11~Rel-22.08)からUbuntu18.04LTS(Rel-23.05)にバージョンアップする手順を記載します。

バージョンアップ手順の流れとしては、以下の通りとなります。

1:ポリシー設定をエクスポートして保管
2:Ericom Shield 23.05にバージョンアップを実施
3:バージョンアップ後、Shield管理コンソール上で設定状態を調整
4:Ericom Shieldが正常に動作することを確認

6.4.1. ポリシー設定をエクスポートして保管

Shield管理コンソールにログインを行い、ポリシー設定画面にて設定のエクスポートを行い出力されたファイルを保管します。

※ こちらで出力したエクスポートファイルは、Ver23.05へバージョンアップ後にShield管理コンソール上で設定状態の調整を行う際に、ポリシー設定を比較確認して設定値を変更(調整)して保存する際に利用します。

6.4.2. Ericom Shield 23.05にバージョンアップを実施

以下の手順で、Ver23.05にバージョンアップを行います。

Ranchar証明書更新スプリクトの事前実行

【重要】Ericom ShieldにおけるRancher証明書期限切れについて 」を参照し、Rancher証明書の更新を実施してください。

注意

Rel-21.01以前のバージョンとRel-21.04以降のバージョンで手順が異なりますのでご注意ください。

バージョンアップ関連スクリプトを最新に上書きアップデート

以下のコマンドでバージョンアップ時に必要となる関連スクリプトを最新に上書きアップデートします。

$ curl -k -Lo ~/shield-update.sh https://ericom-tec.ashisuto.co.jp/shield/shield-update.sh
$ curl -k -Lo ~/ericomshield/shield-stop.sh https://ericom-tec.ashisuto.co.jp/shield/shield-stop.sh

バージョンアップ事前準備

以下のコマンドを実行することで、「 Rel-23.05_Build:4922-8 」へのバージョンアップ実行を可能とします。

$ echo "23.05.4922-8" | sudo tee /home/ericom/.es_prepare
$ cat /home/ericom/.es_prepare

実行例:

kkauser@sh01:~$ echo "23.05.4922-8" | sudo tee /home/ericom/.es_prepare
23.05.4922-8
kkauser@sh01:~$ cat /home/ericom/.es_prepare
23.05.4922-8

バージョンアップ(shield-update.sh)スクリプトを実行

以下のコマンドでバージョンアップ(shield-update.sh)スクリプトを実行します。

⇒「 Rel-23.05_Build:4922-8 」を選択します。

$ ./shield-update.sh

###### START (update)###########################################################
BRANCH: Rel-23.05
[info] shield-prepare was executed.
==================================================================
現在インストールされているバージョン: Rel-22.08_Build:934
==================================================================
実行済みのshield-prepare-serversバージョン: 22.08.934
==================================================================
どのバージョンをセットアップしますか?
1: Rel-23.13_Build:6295-51
2: Rel-23.05_Build:4922-8
3: Rel-22.08_Build:934
4: Rel-21.11_Build:816.3
5: Rel-21.11_Build:816.2
6: Rel-21.04_Build:758
7: Rel-21.01_Build:744
8: Rel-21.01_Build:743
9: Rel-21.01_Build:742
10: Rel-20.10_Build:685 ※サポート終了
11: Rel-20.07_Build:669 ※サポート終了
12: Rel-20.07_Build:667 ※サポート終了
13: Rel-20.05_Build:650 ※サポート終了
14: Rel-20.05_Build:649 ※サポート終了
15: Rel-20.03_Build:639 ※サポート終了
16: Rel-20.01.2_Build:622 ※サポート終了

番号で指定してください:2
Rel-23.05_Build:4922-8 をセットアップします。
[start] change dir
pwd: /home/kkauser
pwd: /home/kkauser/ericomshield
[end] change dir
[info] shield-prepare was executed.
BRANCH: Rel-23.05
[start] get install scripts
[end] get install scripts
###### START (update)###########################################################
BRANCH: Rel-23.05
=================================================================================
updateを実行します。よろしいですか?(Update前にShieldシステムを停止します。) [y/N]:y

Shieldをシステム停止した上で、アップデートが行われます。「 y 」を選択するとアップデートが開始されます。

以下のメッセージが表示された際には、「 1) 通常インストール 」の「 」を選択してください。

★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★
Rel-21.11.816.2以降、高解像度_8Kディスプレイに対応したブラウザコンテナを選択するオプションが追加されています。
構築されているBrowserサーバのリソース要件を確認の上、必要に応じて高解像度_8Kディスプレイ対応版を選択してください。
★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★

1) 通常インストール
2) 高解像度_8Kディスプレイ対応版インストール

番号で選んでください:1

アップデート処理が継続します。アップデートが完了するまで、暫くおまちください。

[end] resource choice.
E: Can't select installed nor candidate version from package 'docker-ce' as it has neither of them
E: No packages found
[start] install docker
WARNING: No swap limit support
20.10.21 = 20.10 5:$APP_VERSION
[end] install docker
docker login ericomshield1
WARNING! Your password will be stored unencrypted in /home/kkauser/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store

Login Succeeded
Login Succeeded!
********    ./install-shield-from-container.sh -p Ericom98765$ --version Rel-23.05_Build:4922-8
Version: Rel-23.05_Build:4922-8

~省略~

[end] Waiting System Project is Actived
[start] deploy shield
[start] deploieng shield
********    ./deploy-shield.sh -L .
192.168.100.1
Custom Path: .
***************     Ericom Shield Kube Setup ...
7c3201ed-4405-4c85-af52-f0fc7d4b1026
New Version: Rel-23.05_Build:4922-8

Shield is not fully deployed
***************     Deploying Ericom Shield Repo: Rel-23.05_Build:4922-8 on System:7c3201ed-4405-4c85-af52-f0fc7d4b1026 ...
We are here:  /home/kkauser/ericomshield
***************     Deploying Shield Common *******************************
namespace/common created
***************     Deploying Shield Management *******************************
namespace/management created
***************     Deploying Shield Proxy *******************************
namespace/proxy created
***************     Deploying Shield ELK *******************************
namespace/elk created
***************     Deploying Shield Farm Services *******************************
namespace/farm-services created
***************     Done!
NAME                    NAMESPACE       REVISION        UPDATED                                 STATUS          CHART                   APP VERSION
shield-common           common          1               2024-11-03 14:15:38.090454288 +0900 JST deployed        shield-23.05.4922-8        23.05.4922-8
shield-elk              elk             1               2024-11-03 14:16:45.13573237 +0900 JST  deployed        shield-23.05.4922-8        23.05.4922-8
shield-farm-services    farm-services   1               2024-11-03 14:16:47.297380434 +0900 JST deployed        shield-23.05.4922-8        23.05.4922-8
shield-management       management      1               2024-11-03 14:15:40.197763316 +0900 JST deployed        shield-23.05.4922-8        23.05.4922-8
shield-proxy            proxy           1               2024-11-03 14:16:13.032661486 +0900 JST deployed        shield-23.05.4922-8        23.05.4922-8
[end] deploieng shield
[end] deploy shield
[start] get Default project id
TOPROJECTID: c-hvvcz:p-k62td
[end] get Default project id
[start] Move namespases to Default project
move namespases to Default project/ management
move namespases to Default project/ proxy
move namespases to Default project/ elk
move namespases to Default project/ farm-services
move namespases to Default project/ common
[end] Move namespases to Default project
[start] Waiting All namespaces are Deploied
[end] Waiting All namespaces are Deploied

【※確認※】 Rancher UI https:// 192.168.100.1:8443 をブラウザで開くか、
          /home/kkauser/ericomshield/shield-status.sh 実行し、
          全てのワークロードが Acriveになることをご確認ください。

###### DONE ############################################################
###### DONE (update)############################################################
###### DONE (update)############################################################

[DONE]まで出力されておりましたら、正常にバージョンアップ処理が完了しています。

最後に、以下のコマンド(shield-status.sh)を実行して、全てのワークロードがActiveステータスとなることを確認します。

$ ~/ericomshield/shield-status.sh

全てのワークロードがActiveステータスなるまでには、Shieldサービスコンポーネントのダウンロードと展開処理が合わせて実施されておりますので、30分~1時間程度の時間が掛かる場合があります。

全てワークロードがActiveステータスとなるとshield-status.sh実行結果にて「All workloads are Active !」と表示されます。

※ 1時間以上、経過したにもかかわらず、全てワークロードがActiveステータスとならない場合には、以下のコマンドでShield再起動をお試しください。

$ ~/ericomshield/shield-stop.sh
$ ~/ ericomshield/shield-start.sh

6.4.3. バージョンアップ後、Shield管理コンソール上で設定状態を調整

設定リストア後、Shield管理コンソール上で設定状態について、以下の各設定について、確認を行い必要に応じて調整を行ってください。

言語の設定

以下の設定を変更することで、管理コンソール上の表示言語が日本語に一時的に変更されます。

../_images/es2305_veruppattarn2_01.jpg
↓↓↓

../_images/es2305_veruppattarn2_02.jpg

以下の設定を変更して保存することで、管理コンソール上のデフォルト表示言語が日本語に変更されます。

「設定>国際化>管理コンソールの言語を設定」:[English] ⇒ [日本語]
「設定>国際化>エンドユーザ言語の選択」:[English] ⇒ [日本語]
../_images/es2305_veruppattarn2_03.jpg

ポリシーの設定

ポリシー設定の各ポリシーについて以下の2点について確認を行い、必要に応じて変更して保存してください。

  • 以下の設定値を保管していたポリシー設定のエクスポートファイルの設置値と比較確認して設定値がリセットされている場合には、正しい値に再設定を行い保存します。
    • 「ファイル操作>ファイルアップロードの検査」
    • 「ファイル操作>ファイルダウンロードの検査」
  • Ver23.05以降から検査モードが実装されたことに伴い、「アクセス:許可」が「アクセス:検査」に表記が変更されました。こちらの変更に伴い、ファイルダウンロード時の挙動が変化しますので、必要に応じて、「検査」から「SSLインスペクション無しで許可」に変更して保存します。

※「アクセス:検査」についての説明は、「 8.10. アクセス「検査」ポリシーについて 」を参照ください。

コンテンツ分離の設定

「許可されたドメイン内の外部オブジェクト」設定を「デフォルト許可」から推奨値の「絶対許可」に変更してください。

「設定>コンテンツの分離>許可されたドメイン内の外部オブジェクト」:「デフォルト許可」⇒「絶対許可」

../_images/es2305_veruppattarn2_04.jpg

エンドユーザオプションの設定

以下の設定は、分離ブラウジングである状態を利用者に分かりやすくするための設定となります。必要に応じて、設定をお願いします。

「設定>エンドユーザオプション」

../_images/es2305_veruppattarn2_05.jpg

以下の設定は、分離ブラウジング時にコンテキストメニューからユーザ自身でレンダリング方式を変更可能とする設定となります。サイト表示に正常に表示できない場合にユーザ自身でレンダリング方式を変更して回避する場合に、ご利用いただけます。

../_images/es2305_veruppattarn2_06.jpg

セッション管理の設定

「リモートブラウザの最小待機セッション数」設定を、デフォルト値(10)から変更をお願いします。推奨値としては、ダッシュボード上に表示されている「ブラウザ容量」値の約3分の1となります。実運用にて朝や夕方の利用者が多いタイミングで待機ブラウザ数が枯渇する場合には、必要に応じて、こちらの設定値の値を増やしてください。

例:「最大90」の場合:「30」に設定変更。

「リソース>セッション管理>リモートブラウザの最小待機セッション数」

../_images/es2305_veruppattarn2_07.jpg

負荷管理の設定

Ver23.05では、最大容量閾値について、デフォルト値から変更する必要があります。

「リソース>負荷管理>最大容量閾値(%)」

../_images/es2305_veruppattarn2_08.jpg
BrowserサーバのCPUコア数により変更する値が異なりますので、以下の通り、変更してください。
  • POCシステム要件「CPU: 16 Core」 の場合: 41%
  • 通常システム要件「CPU: 36 Core」 の場合: 59%

こちらの変更を行うことで、ダッシュボード上に表示されている「ブラウザ容量」値が推奨値に変更されます。

ntp.msn.comドメインのホワイト設定

ntp.msn.comドメインは、EdgeのデフォルトホームのURLです。

Shield経由でこのドメインへアクセスされると、1アクセスしただけで複数のブラウザコンテナが使用されることがあります。また、定期的な更新が行われており意図せずブラウザコンテナが消費されるため、このドメインをホワイト登録することを強くお奨めいたします。

Shield管理コンソール>ポリシー設定から、「ドメイン:ntp.msn.com」を「アクセス:検査もしくは、SSLインスペクション無しで許可」で登録することでホワイト設定されます。

../_images/es2305_veruppattarn2_09.jpg

注意

ntp.msn.comドメイン以外でも、同様に意図せずブラウザコンテナを消費するドメインが見つかった場合は、それらのドメインもホワイト登録を推奨します。

6.4.4. Ericom Shieldが正常に動作することを確認

以下の点について確認を行い、Ericom Shieldが正常に動作することを確認してください。

  • 分離ブラウザでWebサイトが正常に閲覧することができること。
  • 分離ブラウザでCDRを経由してファイルを正常にダウンロードできること。
  • 非分離(検査やSSLインスペクション無しで許可)でWebサイトが正常に閲覧することができること。
  • Shield管理コンソール上でレポート表示が正常に動作すること。