Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

升级

Red Hat Advanced Cluster Security for Kubernetes 3.69

请在这里输入简短描述。

摘要

本书的主题和目的的简短概述,一般不多于一个段落。

第 1 章 使用 Helm chart 升级
复制链接

如果使用 Helm chart 安装 Red Hat Advanced Cluster Security for Kubernetes,要升级到 Red Hat Advanced Cluster Security for Kubernetes 的最新版本,您必须执行以下操作:

  • 更新 Helm Chart。
  • 更新中央服务 Helm Chart 的配置文件。
  • 升级中央服务 Helm Chart。
  • 更新 secure-cluster-services Helm Chart 的配置文件。
  • 升级 secured-cluster-services Helm chart。

1.1. 更新 Helm Chart 仓库
复制链接

在升级到 Red Hat Advanced Cluster Security for Kubernetes 的新版本前,您必须始终更新 Helm chart。

先决条件

  • 您必须已经添加了 Red Hat Advanced Cluster Security for Kubernetes Helm Chart 仓库。

流程

  • 更新 Red Hat Advanced Cluster Security for Kubernetes chart 软件仓库。 

    $ helm repo update
    Copy to Clipboard Toggle word wrap

验证

  • 运行以下命令来验证添加的 chart 存储库: 

    $ helm search repo -l rhacs/
    Copy to Clipboard Toggle word wrap

在部署 central-services Helm Chart 后,您可以对任何配置选项进行更改。

流程

  1. 使用新值更新 values-public.yamlvalues-private.yaml 配置文件。

  2. 运行 helm upgrade 命令并使用 -f 选项指定配置文件: 

    $ helm upgrade -n stackrox \
  stackrox-central-services rhacs/central-services \
  -f <path_to_values_public.yaml> \
  -f <path_to_values_private.yaml>
    Copy to Clipboard Toggle word wrap
    注意

    您还可以使用 --set--set-file 参数指定配置值。但是,这些选项不会被保存,需要您在每次进行更改时手动指定所有选项。

在部署 secure-cluster-services Helm Chart 后,您可以对任何配置选项进行更改。

流程

  1. 使用新值更新 values-public.yamlvalues-private.yaml 配置文件。

  2. 运行 helm upgrade 命令并使用 -f 选项指定配置文件: 

    $ helm upgrade -n stackrox \
  stackrox-secured-cluster-services rhacs/secured-cluster-services \
  --reuse-values \
    1 
    
  -f <path_to_values_public.yaml> \
  -f <path_to_values_private.yaml>
    Copy to Clipboard Toggle word wrap
    1
    您必须指定 --reuse-values 参数,否则 Helm upgrade 命令重置所有之前配置的设置。
    注意

    您还可以使用 --set--set-file 参数指定配置值。但是,这些选项不会被保存,需要您在每次进行更改时手动指定所有选项。

第 2 章 使用 roxctl CLI 手动升级
复制链接

您可以从受支持的旧版本升级到 Red Hat Advanced Cluster Security for Kubernetes 的最新版本。

要将 Red Hat Advanced Cluster Security for Kubernetes 升级到最新版本,您必须执行以下操作:

  • 备份中央数据库
  • 升级 Central
  • 升级 roxctl CLI
  • 升级扫描器
  • 验证所有受保护的集群都已升级

2.1. 备份 Central 数据库
复制链接

在基础架构灾难的情况下,您可以备份中心数据库,并使用该备份从失败的升级或数据恢复中回滚。

先决条件

  • 您必须具有一个 API 令牌,并且具有对 Red Hat Advanced Cluster Security for Kubernetes 的所有资源的 read 权限。analysts 系统角色具有所有资源的 read 权限。
  • 已安装了 roxctl CLI。
  • 您已配置了 ROX_API_TOKENROX_CENTRAL_ADDRESS 环境变量。

流程

  • 运行备份命令:

    • 对于 Red Hat Advanced Cluster Security for Kubernetes 3.0.55 及更新版本: 

      $ roxctl -e "$ROX_CENTRAL_ADDRESS" central backup
      Copy to Clipboard Toggle word wrap

    • 对于 Red Hat Advanced Cluster Security for Kubernetes 3.0.54 和更早的版本: 

      $ roxctl -e "$ROX_CENTRAL_ADDRESS" central db backup
      Copy to Clipboard Toggle word wrap

2.2. 升级中央集群
复制链接

备份 Central 数据库后,下一步是升级中部集群。此步骤包括 upgrade Central、roxctl CLI 和 Scanner。

2.2.1. 升级 Central
复制链接

您可以通过下载和部署更新的镜像,将 Central 更新到最新版本。

先决条件

  • 如果从私有镜像 registry 部署镜像,请先将新镜像推送到私有 registry 中,然后替换本节中的命令中的镜像 registry。

流程

  • 运行以下命令来升级 Central: 

    $ oc -n stackrox patch deploy/central -p '{"spec":{"template":{"spec":{"containers":[{"name":"central","env":[{"name":"ROX_NAMESPACE","valueFrom":{"fieldRef":{"fieldPath":"metadata.namespace"}}}]}]}}}}'
    1
    Copy to Clipboard Toggle word wrap
    1
    如果使用 Kubernetes,请输入 kubectl 而不是 oc
    $ oc -n stackrox patch deployment/scanner -p '{"spec":{"template":{"spec":{"containers":[{"name":"scanner","securityContext":{"runAsUser":65534}}]}}}}'
    1
    Copy to Clipboard Toggle word wrap
    1
    如果使用 Kubernetes,请输入 kubectl 而不是 oc
    $ oc -n stackrox set image deploy/central central=registry.redhat.io/advanced-cluster-security/rhacs-main-rhel8:3.69.2
    1
    Copy to Clipboard Toggle word wrap
    1
    如果使用 Kubernetes,请输入 kubectl 而不是 oc
    重要

    • 如果您要从 Red Hat Advanced Cluster Security for Kubernetes 3.65.0 升级,必须运行以下命令来创建 stackrox-central-diagnostics 角色: 

      $ oc -n stackrox patch role stackrox-central-diagnostics -p '{"rules":[{"apiGroups":["*"],"resources":["deployments","daemonsets","replicasets","configmaps","services"],"verbs":["get","list"]}]}'
      1
      Copy to Clipboard Toggle word wrap
      1
      如果使用 Kubernetes,请输入 kubectl 而不是 oc

    • 如果您还没有使用 Helm 或 Operator 安装 Red Hat Advanced Cluster Security for Kubernetes,并希望使用 OpenShift OAuth 服务器启用身份验证,您必须运行以下命令: 

      $ oc -n stackrox set env deploy/central ROX_ENABLE_OPENSHIFT_AUTH=true
      Copy to Clipboard Toggle word wrap 
      $ oc -n stackrox patch serviceaccount/central -p '
{
"metadata": {
"annotations": {
"serviceaccounts.openshift.io/oauth-redirecturi.main": "sso/providers/openshift/callback",
"serviceaccounts.openshift.io/oauth-redirectreference.main": "{"kind":"OAuthRedirectReference","apiVersion":"v1","reference":{"kind":"Route","name":"central"}}"
}
}
}'
      Copy to Clipboard Toggle word wrap

验证

  • 检查新 pod 是否已部署: 

    $ oc get deploy -n stackrox -o wide
    1
    Copy to Clipboard Toggle word wrap
    1
    如果使用 Kubernetes,请输入 kubectl 而不是 oc
    $ oc get pod -n stackrox --watch
    1
    Copy to Clipboard Toggle word wrap
    1
    如果使用 Kubernetes,请输入 kubectl 而不是 oc

2.2.2. 升级 roxctl CLI
复制链接

要将 roxctl CLI 升级到最新版本,您必须卸载 roxctl CLI 的现有版本,然后安装 roxctl CLI 的最新版本。

2.2.2.1. 卸载 roxctl CLI
复制链接

您可以按照以下流程卸载 Linux 上的 roxctl CLI 二进制文件。

流程

  • 查找并删除 roxctl 二进制文件: 

    $ ROXPATH=$(which roxctl) && rm -f $ROXPATH
    1
    Copy to Clipboard Toggle word wrap
    1
    根据您的环境,您可能需要管理员删除 roxctl 二进制文件。
2.2.2.2. 在 Linux 中安装 roxctl CLI
复制链接

您可以按照以下流程在 Linux 上安装 roxctl CLI 二进制文件。

流程

  1. 下载 roxctl CLI 的最新版本: 

    $ curl -O https://mirror.openshift.com/pub/rhacs/assets/3.69.2/bin/Linux/roxctl
    Copy to Clipboard Toggle word wrap

  2. 使 roxctl 二进制文件可执行: 

    $ chmod +x roxctl
    Copy to Clipboard Toggle word wrap

  3. roxctl 二进制文件放到 PATH 中的目录中:

    要查看您的 PATH,请执行以下命令: 

    $ echo $PATH
    Copy to Clipboard Toggle word wrap

验证

  • 验证您已安装的 roxctl 版本: 

    $ roxctl version
    Copy to Clipboard Toggle word wrap
2.2.2.3. 在 macOS 上安装 roxctl CLI
复制链接

您可以按照以下流程在 macOS 中安装 roxctl CLI 二进制文件。

流程

  1. 下载 roxctl CLI 的最新版本: 

    $ curl -O https://mirror.openshift.com/pub/rhacs/assets/3.69.2/bin/Darwin/roxctl
    Copy to Clipboard Toggle word wrap

  2. 从二进制文件中删除所有扩展属性: 

    $ xattr -c roxctl
    Copy to Clipboard Toggle word wrap

  3. 使 roxctl 二进制文件可执行: 

    $ chmod +x roxctl
    Copy to Clipboard Toggle word wrap

  4. roxctl 二进制文件放到 PATH 中的目录中:

    要查看您的 PATH,请执行以下命令: 

    $ echo $PATH
    Copy to Clipboard Toggle word wrap

验证

  • 验证您已安装的 roxctl 版本: 

    $ roxctl version
    Copy to Clipboard Toggle word wrap
2.2.2.4. 在 Windows 上安装 roxctl CLI
复制链接

您可以按照以下流程在 Windows 上安装 roxctl CLI 二进制文件。

流程

  • 下载 roxctl CLI 的最新版本: 

    $ curl -O https://mirror.openshift.com/pub/rhacs/assets/3.69.2/bin/Windows/roxctl.exe
    Copy to Clipboard Toggle word wrap

验证

  • 验证您已安装的 roxctl 版本: 

    $ roxctl version
    Copy to Clipboard Toggle word wrap

升级 roxctl CLI 后,您可以升级 Scanner。

2.2.3. 升级扫描器
复制链接

您可以使用 roxctl CLI 将 Scanner 更新至最新版本。

先决条件

  • 如果从私有镜像 registry 部署镜像,请先将新镜像推送到私有 registry 中,然后替换本节中的命令中的镜像 registry。
  • 如果您在安装 Red Hat Advanced Cluster Security for Kubernetes 时使用了基于 Red Hat UBI 的镜像,请使用以下基于 UBI 的镜像名称替换本节中的命令的镜像名称:

  • 如果您已创建了自定义扫描程序配置,则必须在更新扫描程序配置文件前应用这些更改: 

    $ roxctl -e "$ROX_CENTRAL_ADDRESS" scanner generate
    Copy to Clipboard Toggle word wrap 
    $ oc apply -f scanner-bundle/scanner/02-scanner-03-tls-secret.yaml
    1
    Copy to Clipboard Toggle word wrap
    1
    如果使用 Kubernetes,请输入 kubectl 而不是 oc
    $ oc apply -f scanner-bundle/scanner/02-scanner-04-scanner-config.yaml
    1
    Copy to Clipboard Toggle word wrap
    1
    如果使用 Kubernetes,请输入 kubectl 而不是 oc

流程

  1. 更新 Scanner 镜像: 

    $ oc -n stackrox set image deploy/scanner scanner=registry.redhat.io/advanced-cluster-security/rhacs-scanner-rhel8:3.69.2
    1
    Copy to Clipboard Toggle word wrap
    1
    如果使用 Kubernetes,请输入 kubectl 而不是 oc

  2. 更新 Scanner 数据库镜像: 

    $ oc -n stackrox set image deploy/scanner-db db=registry.redhat.io/advanced-cluster-security/rhacs-scanner-db-rhel8:3.69.2
    1
    Copy to Clipboard Toggle word wrap
    1
    如果使用 Kubernetes,请输入 kubectl 而不是 oc
    $ oc -n stackrox set image deploy/scanner-db init-db=registry.redhat.io/advanced-cluster-security/rhacs-scanner-db-rhel8:3.69.2
    1
    Copy to Clipboard Toggle word wrap
    1
    如果使用 Kubernetes,请输入 kubectl 而不是 oc

验证

  • 检查新 pod 是否已成功部署: 

    $ oc get pod -n stackrox --watch
    1
    Copy to Clipboard Toggle word wrap
    1
    如果使用 Kubernetes,请输入 kubectl 而不是 oc

2.2.4. 验证 Central 集群升级
复制链接

在升级了 Central 和 Scanner 后,验证该中央集群升级已完成。

流程

  • 检查 Central 日志: 

    $ oc logs -n stackrox deploy/central -c central
    1
    Copy to Clipboard Toggle word wrap
    1
    如果使用 Kubernetes,请输入 kubectl 而不是 oc

    如果升级成功,您会看到类似如下的输出: 

    No database restore directory found (this is not an error).
Migrator: 2019/10/25 17:58:54: starting DB compaction
Migrator: 2019/10/25 17:58:54: Free fraction of 0.0391 (40960/1048576) is < 0.7500. Will not compact
badger 2019/10/25 17:58:54 INFO: All 1 tables opened in 2ms
badger 2019/10/25 17:58:55 INFO: Replaying file id: 0 at offset: 846357
badger 2019/10/25 17:58:55 INFO: Replay took: 50.324µs
badger 2019/10/25 17:58:55 DEBUG: Value log discard stats empty
Migrator: 2019/10/25 17:58:55: DB is up to date. Nothing to do here.
badger 2019/10/25 17:58:55 INFO: Got compaction priority: {level:0 score:1.73 dropPrefix:[]}
version: 2019/10/25 17:58:55.189866 ensure.go:49: Info: Version found in the DB was current. We’re good to go!
    Copy to Clipboard Toggle word wrap

2.3. 升级所有安全集群
复制链接

升级中部服务后,您必须升级所有安全的集群。

重要

  • 如果您使用自动升级:

    • 使用自动升级来更新所有受保护的集群。
    • 跳过本节中的说明,并按照验证升级撤销 API 令牌部分中的说明进行操作。
  • 如果您不使用自动升级,则必须在包括 Central 集群在内的所有安全集群中运行本节中的说明。

要完成每个运行 Sensor、Collector 和 Admission Controller 的安全集群的手动升级,请按照本节中的说明操作。

2.3.1. 更新就绪度探测
复制链接

如果您要从 Red Hat Advanced Cluster Security for Kubernetes 3.65.0 的以下版本升级,则需要运行以下命令来更新就绪度探测路径。如果您运行的版本高于 3.65,请跳过这一步。

流程

  • 更新就绪度探测路径: 

    $ oc -n stackrox patch deploy/sensor -p '{"spec":{"template":{"spec":{"containers":[{"name":"sensor","readinessProbe":{"httpGet":{"path":"/ready"}}}]}}}}'
    1
    Copy to Clipboard Toggle word wrap
    1
    如果使用 Kubernetes,请输入 kubectl 而不是 oc

2.3.2. 更新 OpenShift 安全性上下文约束
复制链接

根据要升级到的 Red Hat Advanced Cluster Security for Kubernetes 的版本,您必须更新特定的 OpenShift Container Platform 安全性上下文约束(SCC)。

警告

只有在 OpenShift Container Platform 中使用 Red Hat Advanced Cluster Security for Kubernetes 时,才运行本节中的命令。否则,请跳过本节中的说明。

流程

  • Red Hat Advanced Cluster Security for Kubernetes 3.64.0 对 SCC 进行了重新命名。如果您要从以下 Red Hat Advanced Cluster Security for Kubernetes 3.64.0 版本升级,则必须删除并重新应用 SCC,否则跳过这一步:

    1. 运行以下命令以更新 Central: 

      $ oc apply -f - <<EOF
kind: SecurityContextConstraints
apiVersion: security.openshift.io/v1
metadata:
  name: stackrox-central
  labels:
    app.kubernetes.io/name: stackrox
  annotations:
    kubernetes.io/description: stackrox-central is the security constraint for the central server
    email: support@stackrox.com
    owner: stackrox
allowHostDirVolumePlugin: false
allowedCapabilities: []
allowHostIPC: false
allowHostNetwork: false
allowHostPID: false
allowHostPorts: false
allowPrivilegeEscalation: false
allowPrivilegedContainer: false
defaultAddCapabilities: []
fsGroup:
  type: MustRunAs
  ranges:
    - max: 4000
      min: 4000
priority: 0
readOnlyRootFilesystem: true
requiredDropCapabilities: []
runAsUser:
  type: MustRunAs
  uid: 4000
seLinuxContext:
  type: MustRunAs
seccompProfiles:
  - '*'
users:
  - system:serviceaccount:stackrox:central
volumes:
  - '*'
EOF
      Copy to Clipboard Toggle word wrap 
      $ oc delete scc central
      Copy to Clipboard Toggle word wrap

    2. 运行以下命令以更新 Scanner: 

      $ oc apply -f - <<EOF
kind: SecurityContextConstraints
apiVersion: security.openshift.io/v1
metadata:
  name: stackrox-scanner
  labels:
    app.kubernetes.io/name: stackrox
  annotations:
    email: support@stackrox.com
    owner: stackrox
    kubernetes.io/description: stackrox-scanner is the security constraint for the Scanner container
priority: 0
runAsUser:
  type: RunAsAny
seLinuxContext:
  type: RunAsAny
seccompProfiles:
  - '*'
users:
  - system:serviceaccount:stackrox:scanner
volumes:
  - '*'
allowHostDirVolumePlugin: false
allowedCapabilities: []
allowHostIPC: false
allowHostNetwork: false
allowHostPID: false
allowHostPorts: false
allowPrivilegeEscalation: false
allowPrivilegedContainer: false
defaultAddCapabilities: []
fsGroup:
  type: RunAsAny
readOnlyRootFilesystem: false
requiredDropCapabilities: []
EOF
      Copy to Clipboard Toggle word wrap 
      $ oc delete scc scanner
      Copy to Clipboard Toggle word wrap

    3. 在每个 OpenShift Secured 集群中运行以下命令: 

      $ oc apply -f - <<EOF
apiVersion: security.openshift.io/v1
kind: SecurityContextConstraints
metadata:
  name: stackrox-admission-control
  labels:
    app.kubernetes.io/name: stackrox
    auto-upgrade.stackrox.io/component: "sensor"
  annotations:
    email: support@stackrox.com
    owner: stackrox
    kubernetes.io/description: stackrox-admission-control is the security constraint for the admission controller
users:
  - system:serviceaccount:stackrox:admission-control
priority: 0
runAsUser:
  type: RunAsAny
seLinuxContext:
  type: RunAsAny
seccompProfiles:
  - '*'
supplementalGroups:
  type: RunAsAny
fsGroup:
  type: RunAsAny
groups: []
readOnlyRootFilesystem: true
allowHostDirVolumePlugin: false
allowHostIPC: false
allowHostNetwork: false
allowHostPID: false
allowHostPorts: false
allowPrivilegeEscalation: false
allowPrivilegedContainer: false
allowedCapabilities: []
defaultAddCapabilities: []
requiredDropCapabilities: []
volumes:
  - configMap
  - downwardAPI
  - emptyDir
  - secret
---
apiVersion: security.openshift.io/v1
kind: SecurityContextConstraints
metadata:
  name: stackrox-collector
  labels:
    app.kubernetes.io/name: stackrox
    auto-upgrade.stackrox.io/component: "sensor"
  annotations:
    email: support@stackrox.com
    owner: stackrox
    kubernetes.io/description: This SCC is based on privileged, hostaccess, and hostmount-anyuid
users:
  - system:serviceaccount:stackrox:collector
allowHostDirVolumePlugin: true
allowPrivilegedContainer: true
fsGroup:
  type: RunAsAny
groups: []
priority: 0
readOnlyRootFilesystem: true
runAsUser:
  type: RunAsAny
seLinuxContext:
  type: RunAsAny
seccompProfiles:
  - '*'
supplementalGroups:
  type: RunAsAny
allowHostIPC: false
allowHostNetwork: false
allowHostPID: false
allowHostPorts: false
allowPrivilegeEscalation: true
allowedCapabilities: []
defaultAddCapabilities: []
requiredDropCapabilities: []
volumes:
  - configMap
  - downwardAPI
  - emptyDir
  - hostPath
  - secret
---
apiVersion: security.openshift.io/v1
kind: SecurityContextConstraints
metadata:
  name: stackrox-sensor
  labels:
    app.kubernetes.io/name: stackrox
    auto-upgrade.stackrox.io/component: "sensor"
  annotations:
    email: support@stackrox.com
    owner: stackrox
    kubernetes.io/description: stackrox-sensor is the security constraint for the sensor
users:
  - system:serviceaccount:stackrox:sensor
  - system:serviceaccount:stackrox:sensor-upgrader
priority: 0
runAsUser:
  type: RunAsAny
seLinuxContext:
  type: RunAsAny
seccompProfiles:
  - '*'
supplementalGroups:
  type: RunAsAny
fsGroup:
  type: RunAsAny
groups: []
readOnlyRootFilesystem: true
allowHostDirVolumePlugin: false
allowHostIPC: false
allowHostNetwork: false
allowHostPID: false
allowHostPorts: false
allowPrivilegeEscalation: true
allowPrivilegedContainer: false
allowedCapabilities: []
defaultAddCapabilities: []
requiredDropCapabilities: []
volumes:
  - configMap
  - downwardAPI
  - emptyDir
  - secret
EOF
      Copy to Clipboard Toggle word wrap 
      $ oc delete scc admission-control collector sensor
      Copy to Clipboard Toggle word wrap

2.3.3. 更新其他镜像
复制链接

在不使用自动升级时,您必须更新每个安全集群中的 sensor, collector 和 compliance 镜像。

注意

如果使用 Kubernetes,请在此流程中列出的命令中使用 kubectl 而不是 oc

流程

  1. 更新 Sensor 镜像: 

    $ oc -n stackrox set image deploy/sensor sensor=registry.redhat.io/advanced-cluster-security/rhacs-main-rhel8:3.69.2
    1
    Copy to Clipboard Toggle word wrap
    1
    如果使用 Kubernetes,请输入 kubectl 而不是 oc

  2. 更新 Compliance 镜像: 

    $ oc -n stackrox set image ds/collector compliance=registry.redhat.io/advanced-cluster-security/rhacs-main-rhel8:3.69.2
    1
    Copy to Clipboard Toggle word wrap
    1
    如果使用 Kubernetes,请输入 kubectl 而不是 oc

  3. 更新 Collector 镜像: 

    $ oc -n stackrox set image ds/collector collector=registry.redhat.io/advanced-cluster-security/rhacs-collector-rhel8:3.69.2
    1
    Copy to Clipboard Toggle word wrap
    1
    如果使用 Kubernetes,请输入 kubectl 而不是 oc
    注意

    如果使用 collector slim 镜像,请运行以下命令: 

    $ oc -n stackrox set image ds/collector collector=registry.redhat.io/advanced-cluster-security/rhacs-collector-slim-rhel8:{rhacs-version}
    Copy to Clipboard Toggle word wrap

  4. 更新准入控制镜像: 

    $ oc -n stackrox set image deploy/admission-control admission-control=registry.redhat.io/advanced-cluster-security/rhacs-main-rhel8:3.69.2
    Copy to Clipboard Toggle word wrap

2.3.4. 验证安全集群升级
复制链接

在升级了安全集群后,验证更新的 pod 是否正常工作。

流程

  • 检查新 pod 是否已部署: 

    $ oc get deploy,ds -n stackrox -o wide
    1
    Copy to Clipboard Toggle word wrap
    1
    如果使用 Kubernetes,请输入 kubectl 而不是 oc
    $ oc get pod -n stackrox --watch
    1
    Copy to Clipboard Toggle word wrap
    1
    如果使用 Kubernetes,请输入 kubectl 而不是 oc

2.4. 回滚 Central
复制链接

如果升级到新版本失败,您可以回滚到以前版本的 Central。

2.4.1. 正常回滚 Central
复制链接

如果升级 Red Hat Advanced Cluster Security for Kubernetes 失败,您可以回滚到以前版本的 Central。

先决条件

  • 您必须使用 Red Hat Advanced Cluster Security for Kubernetes 3.0.57.0 或更高版本。
  • 执行回滚前,持久性存储必须具有可用磁盘空间。Red Hat Advanced Cluster Security for Kubernetes 使用磁盘空间在升级过程中保留数据库副本。如果磁盘空间不足以存储副本,升级失败,您将无法回滚到较早的版本。

流程

  • 当升级失败时( Central 服务启动前),运行以下命令回滚到以前的版本: 

    $ oc -n stackrox rollout undo deploy/central
    1
    Copy to Clipboard Toggle word wrap
    1
    如果使用 Kubernetes,请输入 kubectl 而不是 oc

2.5. 验证升级
复制链接

更新的 Sensors 和 Collector 将继续从每个安全集群报告最新的数据。

在 RHACS 门户中可以看到 Sensor 最后联系 Central 的时间。

流程

  1. 在 RHACS 门户网站中,进入 Platform ConfigurationSystem Health
  2. 检查以确保 Sensor Upgrade 显示使用 Central 的集群最新。

2.6. 撤销 API 令牌
复制链接

为了安全起见,红帽建议您撤销用于完成 Central 数据库备份的 API 令牌。

先决条件

  • 升级后,您必须重新加载 RHACS 门户页面并重新接受证书,以便继续使用 RHACS 门户。

流程

  1. 在 RHACS 门户网站中,进入 Platform ConfigurationIntegrations
  2. 向下滚动到 Authentication Tokens 类别,然后点 API Token
  3. 选中您要撤销的令牌名称前面的复选框。
  4. Revoke
  5. 在确认对话框中,点 Confirm
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat