Особенности обновления с версии 1.15.0 на версию 1.16.0

При обновлении с версии 1.15.0 на версию 1.16.0 выполните дополнительные настройки, описанные в разделах ниже.

Создание нового топика Apache Kafka

Создайте топик Apache Kafka для получения значений метрик мониторинга: osmax-observer.metrics (см. раздел «Интеграция с брокером сообщений Apache Kafka»).

Создание БД компонента osmax-observer

В связи с тем, что в состав Осмакс добавлен новый компонент osmax-observer, для его функционирования требуется создать БД, в ней схему и пользователя.

После установки пакета osmax-observer в конфигурационном файле application.properties настройте параметры подключения к БД.

Пример фрагмента файла application.properties для osmax-observer

...
quarkus.datasource.username=osmax_observer_rw
quarkus.datasource.password=password
## Reactive datasource configuration for app
quarkus.datasource.reactive.url=postgresql://10.9.60.27:5432/osmax_observer_db
## Datasource configuration for Liquibase
quarkus.datasource.jdbc.url=jdbc:postgresql://10.9.60.27:5432/osmax_observer_db
## Liquibase properties
quarkus.liquibase.default-schema-name: osmax_observer_schema
...

Установка и настройка osmax-observer

Чтобы установить модуль мониторинга (osmax-observer), выполните шаги:

Включение публикации метрик мониторинга в экземплярах наблюдаемых компонентов

Для каждого экземпляра компонентов:

osmax-ira-guacamole-client — см. пример;
osmax-provisioner — см. пример;
osmax-core — см. пример.

Выполните настройку в файле application.properties (см. раздел «Настройки наблюдаемых компонентов для передачи значений метрик в osmax-observer»).

После этого перезапустите каждый экземпляр сервиса, выполнив команду:

sudo systemctl restart <service-name>

Пример фрагмента файла guacamole.properties для osmax-ira-guacamole-client

...
## Observability
observability-enabled: true
kafka-bootstrap-servers: 10.9.60.27:9092
osmax-micrometer-export-kafka-topic: osmax-observer.metrics
osmax-micrometer-export-kafka-enabled: true
osmax-micrometer-export-kafka-step-seconds: 60
...

Пример фрагмента файла application.properties для osmax-provisioner

...
mp.messaging.outgoing.kafka-meter-registry.topic=osmax-observer.metrics
osmax.micrometer.export.kafka.enabled=true
osmax.micrometer.export.kafka.step=60s
...

Пример фрагмента файла application.properties для osmax-core

...
mp.messaging.outgoing.osmax-observer-metrics.topic=osmax-observer.metrics
osmax.micrometer.export.kafka.enabled=true
osmax.micrometer.export.kafka.step=60s
...

Настройка перенаправляемого (forwardable) билета для аутентификации по технологии Single Sign On

Для работы удаленного доступа по протоколу SSH с использованием механизма аутентификации SSO, то есть метода, при котором не требуется ввод логина и пароля, требуются следующие действия:

На устройствах, с которых администраторы работают с интерфейсом «Кабинет администратора», необходимо добавить признак «пересылаемый» (forwardable) для Kerberos-билетов администраторов, дополнив конфигурацию в файле /etc/krb5.conf, или любым другим доступным способом:
```
# cat /etc/krb5.conf

[libdefaults]
        forwardable = true
        ...
```
Сгенерировать keytab-файл(ы) для хостов с установленным компонентом удаленного доступа (osmax-ira-guacamole-client) для доменного технического пользователя (при необходимости создать его). Пример создания см. в разделе «Создание SPN и keytab-файла для сервисной учетной записи в домене под управлением AD».

Дополнить конфигурацию в файле /opt/osmax-ira-guacamole-client/guacamole.properties на хостах с установленным компонентом удаленного доступа (osmax-ira-guacamole-client). См. дополнительную информацию в разделе «Установка модуля "Удаленный доступ"». Пример конфигурации:

# cat /opt/osmax-ira-guacamole-client/guacamole.properties

...
## Kerberos
# Уникальный идентификатор службы osmax-ira-guacamole-client
kerberos-service-principal-name: OSMAX/srv
# Совокупность хостов, пользователей и сервисов, управляемых Kerberos-сервером
kerberos-service-principal-realm: R990022.TERRA.INNO.TECH>
# Путь хранения keytab-файла
kerberos-keytab-path: /opt/osmax-ira-guacamole-client/guacamole.keytab

## Kerberos debag
# Включение отладочного режима
# kerberos-debug: true
# Для отладки можно задать пароль
# service_principal_password: password
...

После внесения изменений в файл конфигурации — перезапустить сервисы на всех хостах:

systemctl restart osmax-ira-guacamole-client
systemctl restart guacd

# Убедиться, что сервисы запустились:systemctl status osmax-ira-guacamole-client
systemctl status guacd

Убедиться, что в pillar-файле для применяемой конфигурации формулы remote-access-groups-ssh для параметра gssapiauthentication_ips задан перечень IP-адресов, с которых разрешено подключаться с использованием механизма аутентификации SSO. Более детально параметры формулы pillar описаны в разделе «Формула remote-access-groups-ssh-formula».
В кабинете администратора в разделе «настройки» → «настройки удаленного доступа» активировать флаги «Доступ к SSO по умолчанию» и/или «Возможность изменять настройки доступа к SSO» согласно вашему сценарию. Более детально данные параметры описаны в разделе «Настройки удаленного доступа».

Изменение конфигурационных параметров для настройки инвентаризации программного обеспечения

В версии 1.16.0 изменяется состав конфигурационных параметров для настройки работы с кэшем данных о программном обеспечении на устройствах:

в файле application.properties модуля osmax-core удаляются конфигурационные параметры osmax.inventory.software.sync-cache-data-cron и osmax.inventory.software.stale-cache-data-age-minutes;

в таблицу app_config в БД модуля osmax-core добавляются параметры:

Наименование Описание Значение по умолчанию / шаблон значения Пример значения

Наименование	Описание	Значение по умолчанию / шаблон значения	Пример значения
`osmax.inventory.software.packages.sync-cache-data-cron`	Cron-выражение в формате Quartz, определяющее расписание выполнения задачи по синхронизации данных о пакетах между кэшем и постоянным хранилищем	`0 0 0/1 ? * *`	`0 0/30 0 ? * *`
`osmax.inventory.software.packages.stale-cache-data-age-minutes`	Время в минутах, по истечении которого некомплектные данные о пакетах в кэше начинают считаться невалидными и подлежат удалению	`120`	`180`
`osmax.inventory.software.files.sync-cache-data-cron`	Cron-выражение в формате Quartz, определяющее расписание выполнения задачи по синхронизации данных об исполняемых файлах между кэшем и постоянным хранилищем	`0 0 0/1 ? * *`	`0 0/30 0 ? * *`
`osmax.inventory.software.files.stale-cache-data-age-minutes`	Время в минутах, по истечении которого некомплектные данные об исполняемых файлах в кэше начинают считаться невалидными и подлежат удалению	`120`	`180`

osmax.inventory.software.packages.sync-cache-data-cron

Cron-выражение в формате Quartz, определяющее расписание выполнения задачи по синхронизации данных о пакетах между кэшем и постоянным хранилищем

0 0 0/1 ? * *

0 0/30 0 ? * *

osmax.inventory.software.packages.stale-cache-data-age-minutes

Время в минутах, по истечении которого некомплектные данные о пакетах в кэше начинают считаться невалидными и подлежат удалению

120

180

osmax.inventory.software.files.sync-cache-data-cron

Cron-выражение в формате Quartz, определяющее расписание выполнения задачи по синхронизации данных об исполняемых файлах между кэшем и постоянным хранилищем

0 0 0/1 ? * *

0 0/30 0 ? * *

osmax.inventory.software.files.stale-cache-data-age-minutes

Время в минутах, по истечении которого некомплектные данные об исполняемых файлах в кэше начинают считаться невалидными и подлежат удалению

120

180

Если в версии 1.15.0 или более ранней версии продукта изменялись значения параметров osmax.inventory.software.sync-cache-data-cron и osmax.inventory.software.stale-cache-data-age-minutes, внесите соответствующие изменения в значения параметров osmax.inventory.software.packages.sync-cache-data-cron, osmax.inventory.software.packages.stale-cache-data-age-minutes, osmax.inventory.software.files.sync-cache-data-cron и osmax.inventory.software.files.stale-cache-data-age-minutes в таблице app_config в БД модуля osmax-core.