CA API Gateway - ゲートウェイアプライアンス 10.0 から 10.1 へのアップグレード

Products

CA API Gateway

Issue/Introduction

以下のドキュメントは、CA API Gateway アプライアンスをバージョン 10.0 からバージョン 10.1 にアップグレードする方法の一例を示すものです。

この記事は、以下の正式なアップグレードドキュメントに基づいています。

Standard Upgrade Procedure （日本語: 標準アップグレード手順）

注意：

このドキュメントは、すべてのアップグレードシナリオをカバーしているわけではありません。
このドキュメントは、Broadcom Professional Services に連絡してアップグレードの支援を受ける代わりのものではありません。
このドキュメントは、完全なアップグレード計画ではなく、ガイドとしてのみ使用してください。
このドキュメントは、ゲートウェイアプライアンスフォームファクター (VMware ESX、AWS AMI、または MS Azure ゲートウェイアプライアンス) のアップグレードに適用されます。
このドキュメントでは、コンテナまたはソフトウェアインストールのアップグレードについては説明しません。
このドキュメントでは、CA Siteminder SDK を実行していないことを前提としていますが、実行している場合は、アップグレード zip ファイルに含まれている対応する CA Siteminder SDK のアプリケーションをパッチシーケンスに追加してください。

Environment

CA API Gateway 10.0

ステップ1：

まず、環境に関する詳細を収集します。

現在のゲートウェイバージョンを収集します。Gateway 10.0 を実行している必要があります。累積リリースパッチまたは月次プラットフォームパッチが適用されているかどうかは問題ではありません。Gateway 10.0 から 10.1 にアップグレードするために、特定の累積リリースまたは月次プラットフォームパッチレベルである必要はありません。10.0 からベース 10.1 にアップグレードした後、最新の 10.1 累積リリースパッチを適用し、必要に応じて最新の月次プラットフォームパッチを適用します。現在のゲートウェイバージョンは、ゲートウェイのルートシェルに実行して rpm -qa ssg を実行することで確認できます。
Broadcom が提供するカスタムアサーションを実行しているかどうかを確認します。インストール環境に Gateway 10.0 以前で構築されたカスタムアサーションが含まれている場合、最新の Java 11 互換の Gateway Custom Assertion Software Development Kit を使用してそれらを再作成する必要がある場合があります。Gateway のアップグレード中に特定のカスタムアサーションが問題を引き起こさないことを確認するために、アップグレードする前に Broadcom サポートに確認してください。
スタンドアロンゲートウェイまたはクラスター環境を実行しているかどうかを検討してください。クラスタ化されたゲートウェイ環境を実行している場合は、その環境を使用する前にすべてのノードをアップグレードする必要があります。
ゲートウェイノードに十分なディスク容量があることを確認してください。こちらで説明されているように、ゲートウェイメニューからステージングされたパッチファイルを削除できます。これは、適用されたパッチをロールバックしないことに注意してください。ゲートウェイにアップロードされたパッチファイルが削除されるだけです。
マルチノードゲートウェイクラスタのアップグレードに進む前に、MySQL DB レプリケーションが正常であることを確認してください (プライマリ DB ノードとセカンダリ DB ノード間で) 。各 DB ノードで次のコマンドを実行して、レプリケーションの状態を確認できます: mysql -e "show slave status\G" （Slave_IO_Running と Slave_SQL_Running が Yes と表示されるはずです）。レプリケーションが正しく機能していない場合は、次の KB 記事の Gateway 10.x の手順に従ってリセットしてください: https://knowledge.broadcom.com/external/article?articleId=44402
Java 構成を確認してください。 Gateway 10.1 では、Java のバージョンが Java 8 から Java 11 にアップグレードされます。Java 11 では、一部の Java 8 引数が非推奨になりました。次のファイルで確認する必要があります: /opt/SecureSpan/Gateway/runtime/etc/profile.d/appliancedefs.sh 。詳細については、KB: https://knowledge.broadcom.com/external/article?articleId=224263 を参照してください。

ステップ2：

必要なファイルを収集します。

Gateway 10.0 から 10.1 へのアップグレードに必要なファイルをダウンロードして準備します。

以下のリンクから Broadcom ダウンロードポータルにアクセスします。

https://support.broadcom.com/download-center/download-center.html

注意: Broadcom ポータルへのログインに問題がある場合は、サポートポータルチーム（ https://ca-broadcom.wolkenservicedesk.com/web-form）にお問合せください。Request TypeプルダウンでCA Support Portalカテゴリを選択してください。

左側のペインから My Downloads を選択します。

次のドロップダウンから適切なカテゴリの Cyber Security Software を選択します。

カテゴリ API Gateway を検索してクリックします。

ここから、契約に固有のソフトウェアエンタイトルメントのリストが表示されます。たとえば、次のようなものが表示される場合があります。この場合、10.1 リンクをクリックします。

Gateway 10 アプライアンスをアップグレードするために必要なファイルの名前は次のとおりです。

CA_API_Gateway_Virtual_CentOS_Appliance_Upgrade_10.1.00.zip

この ZIP ファイルには、次の 3 つのファイルが含まれています。

Layer7_API_PlatformUpdate_64bit_v10.1.00-CentOS.L7P
- これは、基盤となるゲートウェイアプライアンス OS プラットフォームを準備するために適用する最初のファイルです。
Layer7_API_Gateway_v10.1.00.11620.L7P
- これは、Gateway をバージョン 10.1 にするメインの Gateway 10.1 アップグレードパッチです。これは、Layer7_API_PlatformUpdate_64bit_v10.1.00-CentOS.L7P を正常に適用した後にのみ適用します。
CA_SSO_SDK_Compact_v12.8.03.L7P
- ゲートウェイで CA SSO Siteminder 統合を実行している場合、これはオプションのアップグレードファイルです。

それでは、アップグレードプロセスの詳細を見てみましょう。

Cause

一般的なアップグレード手順

ここでは手続きの大まかな流れを示します。以下のステップ 1、ステップ 2、およびステップ 3 にはより詳細な手順があります。

まず、環境に関する詳細を収集し、いくつかのヘルスチェックを実行します (ステップ 1)。
　↓
ダウンロードポータルからファイルを収集します (ステップ 2)。
　↓
パッチ L7P ファイルをゲートウェイにコピーし、権限を変更します (ステップ 3)。
　↓
パッチングメニューに入ります。パッチ Layer7_API_PlatformUpdate_64bit_v10.1.00-CentOS.L7P をアップロードしてインストールします。
　↓
ゲートウェイを再起動します。
　↓
パッチングメニューに入ります。パッチ Layer7_API_Gateway_v10.1.00.11620.L7P をアップロードしてインストールします。
　↓
ゲートウェイメニューからデータベースをアップグレードします。
　↓
ゲートウェイを再起動し、オンラインに戻ると、ゲートウェイノードはバージョン 10.1 になっているはずです。

重要: マルチノードゲートウェイクラスタでは、クラスタ内のすべてのノードをアップグレードする必要があります。部分的にアップグレードされたクラスターを使用しないでください。

Resolution

ステップ3:

Gateway を 10.0 から 10.1 にアップグレードします。

一時停止：続行する前に予防措置として、可能な場合は Gateway 10.0 の VMware スナップショットを作成してください。

以下の手順に従って、ゲートウェイアプライアンスを 10.1 にアップグレードします。

これら 2 つのファイルを CA_API_Gateway_Virtual_CentOS_Appliance_Upgrade_10.1.00.zip からゲートウェイの /home/ssgconfig ディレクトリにコピーします。

ファイル 1: Layer7_API_PlatformUpdate_64bit_v10.1.00-CentOS.L7P
ファイル 2: Layer7_API_Gateway_v10.1.00.11620.L7P

Gateway にログインし、ルートシェルに移動して /home/ssgconfig ディレクトリに移動し、次のようにファイルのアクセス許可を 755 に変更します。

chmod 755 Layer7_API_PlatformUpdate_64bit_v10.1.00-CentOS.L7P
chmod 755 Layer7_API_Gateway_v10.1.00.11620.L7P

オプション 8 Display Patch Management Menu に入り、パッチ管理メニューを表示します。

オプション 1 Upload a patch to the Gateway を選択します。

アップロード処理に Layer7_API_PlatformUpdate_64bit_v10.1.00-CentOS.L7P を選択します。

パッチがアップロードされたら、オプション 2 Install a patch onto the Gateway を選択します。インストール用に Layer7_API_PlatformUpdate_64bit_v10.1.00-CentOS.L7P を選択します。

パッチが正常にアップロードされ、インストールされたら、ゲートウェイノードを再起動します。

最初のパッチと同様に、パッチ Layer7_API_Gateway_v10.1.00.11620.L7P のパッチのアップロードとインストールを実行し、ゲートウェイメニューからアップロードしてインストールします。

2 番目のパッチの適用後、ゲートウェイメニューからデータベースをアップグレードします。オプション 2 Display Layer7 API Gateway configuration menu を選択してから、オプション 1 Upgrade the Layer7 API Gateway database を選択し、画面のプロンプトに従います。

DB のアップグレード後、ゲートウェイノードを再起動します。

ゲートウェイノードは Gateway 10.1 になり、クラスタ内の後続の各ノードに対して同じ手順でアップグレードできます。

重要: マルチノードゲートウェイクラスタでは、クラスタ内のすべてのノードをアップグレードする必要があります。部分的にアップグレードされたクラスターを使用しないでください。

10.1 のアップグレードを拡張して、最新の累積リリース (CR) パッチまたは最新の月次プラットフォームパッチ (基盤となるゲートウェイアプライアンスプラットフォームの脆弱性修正およびその他の更新を含む) を含める場合は、以下の追加情報セクションをご参照ください。

Additional Information

Gateway 10.1 の Policy Manager のインストール

ダウンロードポータルから次のファイルを取得し、Gateway 10.1 の Policy Manager をインストールしてご使用ください。

CA_API_Gateway_Policy_Manager_10.1.00.zip

Gateway 10.1 の最新の累積リリースパッチおよび/または最新の月次プラットフォームパッチの適用

Gateway 10.1 に最新の CR と月次パッチを適用するには、次の KB 記事を参照してください。

Gateway 10.0 と Gateway 10.1 には個別の累積リリースパッチがあるため、Gateway 10.1 の手順に従っていることを確認してください。すべての月次プラットフォームパッチは、Gateway 10.0 および Gateway 10.1 アプライアンスの両方に適用でき、バージョンごとに個別ではありません。

CA API Gateway 10.X Patching Guide

#

この文書は以下の英文技術情報を翻訳したものです。

[英語文書] CA API Gateway - Upgrading your Gateway Appliance from 10.0 to 10.1