Описание

Обновление выполняется с версии 1.1. X. Для обновления с более ранней версии потребуется сначала обновиться до версии 1.1, а затем до версии 1.2.

Изменения образа СУБД PostgreSQL для однохостовой установки

Для однохостовой (stand-alone) установки СУБД PostgreSQL была изменена на аналогичную используемой в установке с резервированием (с использованием replication manager), что привело к необходимости миграции БД.

Попытка выполнить обновление путем установки поверх новой версии NAICE приведет к неработоспособности NAICE!

Перенос сертификатов безопасности и сертификатов RADIUS в менеджер конфигураций

В версии 1.2 поддержана возможность управления сертификатами безопасности (WEB-интерфейса и портала) и сертификатами RADIUS (EAP-PEAP и EAP-TLS) из графического интерфейса системы (см. Настройки системы → Хранилище сертификатов → Серверные сертификаты). 

Если в версии 1.1 или ранее были установлены пользовательские сертификаты через переменные окружения, то после обновления на версию 1.2 необходимо выполнить их повторную установку через графический интерфейс NAICE: v1.2_3.8 Использование сертификатов безопасности и v1.2_3.14 Обновление/замена сертификатов RADIUS для EAP-PEAP/TLS

Данные действия необходимо выполнить один раз, при дальнейших обновлениях установленные сертификаты будут сохранены.

Перенос управления двумя УЗ компьютеров в схеме с резервированием для взаимодействия с Active Directory в графический интерфейс

В версии 1.2 поддержана конфигурация двух УЗ компьютеров с привязкой к ноде NAICE в схемах с резервированием. При выполнении обновления данные настройки не будут перенесены в БД! Необходимо после обновления добавить данные УЗ компьютеров вручную в разделе Пользователи и устройства → Управление идентификацией → Внешние источники идентификации: v1.2_4.1.1 Настройка интеграции с Active Directory.

Адреса управления

В версии 1.1 и ранее доступ к веб-интерфейсу управления осуществлялся по определенному во время установки адресу хостовой машины.

В версии 1.2 ограничение было убрано, и доступ к управлению NAICE по умолчанию может осуществлятся по любому IPv4-адресу или доменному имени хоста по порту 443. Также был добавлен механизм, позволяющий ограничить список адресов для управления. Настройка осуществляется в разделе Настройки системы →  Безопасность и доступ → Вход в систему → Адреса управления.

Портальная авторизация

В версии 1.2 настройка уровня сложности CAPTCHA была перенесена из переменных окружения .env в конструктор порталов. Для существующих порталов, в которых был включен способ входа "По СМС", при обновлении автоматически выставляется средний уровень сложности CAPTCHA. При необходимости изменения уровня сложности или выключения CAPTCHA внесите соответствующие изменения в конструкторе портала (см. v1.2_4.8 Настройка Captive Portal - "Настройка сложности CAPTCHA" ).

Возможность изменения IP-адресации подсетей Docker плейбуками Ansible

В версии 1.2 добавлена возможность изменения подсетей Docker через переменные плейбуков Ansible. Подробнее в разделе v1.2_3.15 Смена Docker-сетей.

Необходимо перед обновлением обязательно указать актуальные адреса подсетей в плейбуке, совпадающие с ранее настроенными. В противном случае обновление завершится ошибкой!

Подготовка к обновлению

Перед обновлением необходимо создать резервную копию БД в соответствии с инструкцией: v1.2_3.10 Создание резервной копии данных БД и восстановление данных БД и выгрузить её с сервера для возможности восстановления данных в случае ошибок обновления.


Если какие-либо переменные в groups/all.yml были изменены - необходимо перенести значения переменных all.yml из старого плейбука в новый перед установкой.

Директория установки NAICE - изменить значение, если ранее использовалась другая директория для установки:

naice_docker_path: /etc/docker-naice


Указать актуальную временную зону работы NAICE:

time_zone: "Etc/UTC"


Ранее в конфигурации подсетей контейнеров вручную было добавлено использование определенных подсетей - необходимо перенести эту информацию в файл переменных group_vars/networks.yml (в приведенном примере показаны значения по умолчанию):

---
# Переменные для настройки Docker сети
docker_network_unmasked:
  subnet: "172.18.0.0/20"
  ip_range: "172.18.8.0/21"
  gateway: "172.18.0.1"

docker_network_external:
  subnet: "172.20.0.0/20"
  ip_range: "172.20.8.0/21"
  gateway: "172.20.0.1"

docker_network_internal:
  subnet: "172.21.0.0/20"
  ip_range: "172.21.8.0/21"
  gateway: "172.21.0.1"


Если используется клиент мониторинга Peeper Client

Если в составе NAICE ранее был установлен Peeper-Client (подробнее v1.2_7.3 Мониторинг NAICE с использованием Eltex Peeper), то перед выполнением обновления необходимо вручную остановить Peeper-Client. Для этого необходимо зайти в папку установки клиента <папка установки NAICE>/peeper (по умолчанию /etc/docker-naice/peeper) и остановить его командой:

cd /etc/docker-naice/peeper
sudo bash ./setup.sh -u

После выполнения обновления необходимо вручную выполнить его запуск:

sudo bash ./setup.sh -i

Обновление однохостовой (stand-alone) установки

Подготовка к обновлению выполняется в соответствии с инструкцией по установке:

Для онлайн обновления: v1.2_3.4 Установка плейбуками Ansible (одиночная "Stand-Alone")

Для оффлайн обновления: v1.2_3.4.1 Установка в закрытом контуре (одиночная "Stand-Alone")

Рекомендуется использовать для запуска плейбуков Ansible тот же хост, что использовался ранее для установки, чтобы не выполнять его повторную подготовку.

Для оффлайн обновления в соответствии с инструкцией используется тот же хост, на котором развернут NAICE.

Подготовка к установке

В файле конфигурации inventory/hosts.yml указать: 

common:
  hosts:
    # Хост для выполнения stand-alone установки NAICE
    common_host:
      ansible_host: <IP-адрес хоста для NAICE>
      ansible_port: 22
      ansible_user: <логин пользователя хоста, под которым выполняется запуск плейбука>
      ansible_ssh_pass: <пароль пользователя хоста, под которым выполняется запуск плейбука>
      ansible_become_password: <пароль для повышения привилегий (sudo) пользователя хоста, под которым выполняется запуск плейбука>

Обновление

Обновление осуществляется запуском соответствующего плейбука Ansible. По завершении работы плейбука не должно быть ошибок!

ansible-playbook migrate-postgres-1.1-to-1.2.yml -i inventory/hosts.yml

При выполнении оффлайн обновления на ОС Astra Linux 1.7.X необходимо выполнять запуск плейбука из под пользователя root, без использования sudo!

Перед запуском плейбука необходимо выполнить:

$sudo su
#


Проверка состояния сервисов

Проверить успешность запуска контейнеров можно, перейдя в директорию для установки NAICE (по умолчанию - /etc/docker-naice/ ) и выполнив команду для просмотра списка и статуса контейнеров docker compose ps -a. Вывод команды должен быть примерно следующим:

Вывод статусов сервисов
NAME             IMAGE                                                               COMMAND                  SERVICE         CREATED             STATUS                     PORTS
epg-service      naice-build-hosted.registry.eltex.loc/naice/epg-service:1.2-3       "/bin/sh -e /usr/loc…"   epg-service     About an hour ago   Up 7 minutes (healthy)     0.0.0.0:8100->8100/tcp, [::]:8100->8100/tcp
ldap-server      naice-build-hosted.registry.eltex.loc/naice/ms-ad-emulator:1.1.3    "java -jar ldap-serv…"   ldap-server     6 weeks ago         Up 7 minutes (unhealthy)   0.0.0.0:10389->10389/tcp, [::]:10389->10389/tcp
naice-aquila     naice-release.registry.eltex.loc/naice-aquila:1.2                   "java -cp @/app/jib-…"   naice-aquila    About an hour ago   Up 4 minutes (healthy)     0.0.0.0:8091->8091/tcp, [::]:8091->8091/tcp, 0.0.0.0:49->1049/tcp, [::]:49->1049/tcp
naice-bubo       naice-release.registry.eltex.loc/naice-bubo:1.2                     "java -cp @/app/jib-…"   naice-bubo      About an hour ago   Up 6 minutes (healthy)     0.0.0.0:8093->8093/tcp, [::]:8093->8093/tcp
naice-castor     naice-release.registry.eltex.loc/naice-castor:1.2                   "java -Djava.awt.hea…"   naice-castor    About an hour ago   Up 6 minutes (healthy)     0.0.0.0:8095->8095/tcp, [::]:8095->8095/tcp
naice-cetus      naice-release.registry.eltex.loc/naice-cetus:1.2                    "java -cp @/app/jib-…"   naice-cetus     About an hour ago   Up 4 minutes (healthy)     0.0.0.0:8099->8099/tcp, [::]:8099->8099/tcp
naice-gavia      naice-release.registry.eltex.loc/naice-gavia:1.2                    "java -cp @/app/jib-…"   naice-gavia     About an hour ago   Up 6 minutes (healthy)     0.0.0.0:8080->8080/tcp, [::]:8080->8080/tcp
naice-gulo       naice-release.registry.eltex.loc/naice-gulo:1.2                     "java -cp @/app/jib-…"   naice-gulo      About an hour ago   Up 5 minutes (healthy)     0.0.0.0:8089->8089/tcp, [::]:8089->8089/tcp
naice-lemmus     naice-release.registry.eltex.loc/naice-lemmus:1.2                   "java -cp @/app/jib-…"   naice-lemmus    About an hour ago   Up 4 minutes (healthy)     0.0.0.0:8083->8083/tcp, [::]:8083->8083/tcp
naice-lepus      naice-release.registry.eltex.loc/naice-lepus:1.2                    "java -cp @/app/jib-…"   naice-lepus     About an hour ago   Up 6 minutes (healthy)     0.0.0.0:8087->8087/tcp, [::]:8087->8087/tcp, 0.0.0.0:67->1024/udp, [::]:67->1024/udp
naice-mustela    naice-release.registry.eltex.loc/naice-mustela:1.2                  "java -cp @/app/jib-…"   naice-mustela   About an hour ago   Up 6 minutes (healthy)     0.0.0.0:8070->8070/tcp, [::]:8070->8070/tcp
naice-nats       naice-build-hosted.registry.eltex.loc/naice/nats:1.2.0              "docker-entrypoint.s…"   nats            About an hour ago   Up 7 minutes (healthy)     4222/tcp, 6222/tcp, 7777/tcp, 0.0.0.0:8222->8222/tcp, [::]:8222->8222/tcp
naice-ovis       naice-release.registry.eltex.loc/naice-ovis:1.2                     "java -cp @/app/jib-…"   naice-ovis      About an hour ago   Up 4 minutes (healthy)     0.0.0.0:8084->8084/tcp, [::]:8084->8084/tcp
naice-phoca      naice-release.registry.eltex.loc/naice-phoca:1.2                    "java -cp @/app/jib-…"   naice-phoca     About an hour ago   Up 7 minutes (healthy)     0.0.0.0:8097->8097/tcp, [::]:8097->8097/tcp
naice-postgres   naice-build-hosted.registry.eltex.loc/naice/postgres-repmgr:1.2.0   "/opt/bitnami/script…"   postgres        About an hour ago   Up 7 minutes (healthy)     0.0.0.0:5432->5432/tcp, [::]:5432->5432/tcp, 0.0.0.0:15432->22/tcp, [::]:15432->22/tcp
naice-radius     naice-release.registry.eltex.loc/naice-radius:1.2                   "/docker-entrypoint.…"   naice-radius    About an hour ago   Up 7 minutes (healthy)     0.0.0.0:1812-1813->1812-1813/udp, [::]:1812-1813->1812-1813/udp, 0.0.0.0:9812->9812/tcp, [::]:9812->9812/tcp
naice-sterna     naice-release.registry.eltex.loc/naice-sterna:1.2                   "/docker-entrypoint.…"   naice-sterna    About an hour ago   Up 7 minutes (healthy)     80/tcp, 0.0.0.0:8443->444/tcp, [::]:8443->444/tcp
naice-ursus      naice-release.registry.eltex.loc/naice-ursus:1.2                    "java -cp @/app/jib-…"   naice-ursus     About an hour ago   Up 6 minutes (healthy)     0.0.0.0:8081->8081/tcp, [::]:8081->8081/tcp
naice-vulpus     naice-release.registry.eltex.loc/naice-vulpus:1.2                   "java -cp @/app/jib-…"   naice-vulpus    About an hour ago   Up 4 minutes (healthy)     0.0.0.0:8086->8086/tcp, [::]:8086->8086/tcp
naice-web        naice-release.registry.eltex.loc/naice-web:1.2                      "/docker-entrypoint.…"   naice-web       About an hour ago   Up 7 minutes (healthy)     80/tcp, 0.0.0.0:443->443/tcp, [::]:443->443/tcp, 0.0.0.0:80->4200/tcp, [::]:80->4200/tcp

Обновление установки с резервированием

Для установки с резервированием необходимость миграции БД нет, что позволяет выполнить обновления путем запуска плейбуков установки NAICE версии 1.2.

Подготовка к обновлению выполняется в соответствии с инструкцией по установке:

Для онлайн обновления:

Для оффлайн обновления:

Рекомендуется использовать для запуска плейбуков Ansible тот же хост, что использовался ранее для установки, что бы не выполнять его повторную подготовку.

Особенности подготовки хостов с кластером PostgreSQL и нод NAICE перед обновлением с изменением подсетей Docker

Если в ходе обновления планируется изменение подсетей Docker - необходимо перед обновлением остановить на каждой ноде сервисы NAICE и кластер PostgreSQL.

Для этого необходимо перейти в папку установки NAICE (по умолчанию /etc/docker-naice) и выполнить команды:

Остановка сервисов NAICE:

sudo docker compose down

Остановка кластера PostgreSQL:

sudo docker compose -f docker-compose.repmgr.yml down

Затем выполнить установку в соответствии с инструкцией.

Приложения

Ручное обновление СУБД PostgreSQL для однохостовой (stand-alone) установки с версии 1.1 на версию 1.2

Далее везде указана папка установки NAICE по умолчанию: /etc/docker-naice. Если NAICE развернут по другому пути - следует использовать его.

В случае невозможности или возникновения ошибок в ходе автоматического обновления СУБД можно выполнить обновление СУБД вручную. Для этого требуется выполнить следующие действия.

  1. Создать резервную копию БД для версии 1.1 командой:
    sudo docker exec -it naice-postgres /scripts/backup/backup.sh
  2. Скопировать полученный архив в другую папку, например в домашнюю папку пользователя:
    cp -v /etc/docker-naice/backups/naice_2026-06-25_03-15-31_231.tar.gz ~
  3. Перейти в папку установки NAICE и остановить все контейнеры:
    cd /etc/docker-naice/
    sudo docker compose down
  4. Удалить папку с данными СУБД PostgreSQL:
    sudo rm -rfv var/pgdata
  5. Выполнить установку версии 1.2 с учетом всех необходимых действий указанных в разделе Подготовка к обновлению:
    ansible-playbook install-naice.yml
  6. Скопировать ранее выгруженный архив БД в новую папку резервных копий:
    sudo cp -v ~/naice_2026-06-25_03-15-31_231.tar.gz /etc/docker-naice/postgres/backups
  7. Запустить восстановление бэкапа из скопированного файла:
    sudo docker exec -it naice-postgres /home/worker/scripts/backup/restore.sh -f /var/backups/naice_2026-06-25_03-15-31_231.tar.gz
  8. Выполнить перезапуск контейнеров:
    sudo docker compose down && sudo docker compose up -d
  9. Проверить состояние сервисов NAICE:
    $ sudo docker compose ps -a
    NAME             IMAGE                                                               COMMAND                  SERVICE         CREATED              STATUS                        PORTS
    epg-service      naice-build-hosted.registry.eltex.loc/naice/epg-service:1.3-2       "/bin/sh -e /usr/loc…"   epg-service     6 minutes ago        Up 5 minutes (healthy)        
    naice-aquila     naice-release.registry.eltex.loc/naice-aquila:1.2                   "java -cp @/app/jib-…"   naice-aquila    About a minute ago   Up About a minute (healthy)   0.0.0.0:8091->8091/tcp, [::]:8091->8091/tcp, 0.0.0.0:49->1049/tcp, [::]:49->1049/tcp
    naice-bubo       naice-release.registry.eltex.loc/naice-bubo:1.2                     "java -cp @/app/jib-…"   naice-bubo      5 minutes ago        Up 3 minutes (healthy)        0.0.0.0:8093->8093/tcp, [::]:8093->8093/tcp
    naice-castor     naice-release.registry.eltex.loc/naice-castor:1.2                   "java -Djava.awt.hea…"   naice-castor    5 minutes ago        Up 3 minutes (healthy)        0.0.0.0:8095->8095/tcp, [::]:8095->8095/tcp
    naice-cetus      naice-release.registry.eltex.loc/naice-cetus:1.2                    "java -cp @/app/jib-…"   naice-cetus     5 minutes ago        Up 3 minutes (healthy)        0.0.0.0:8099->8099/tcp, [::]:8099->8099/tcp
    naice-gavia      naice-release.registry.eltex.loc/naice-gavia:1.2                    "java -cp @/app/jib-…"   naice-gavia     5 minutes ago        Up About a minute (healthy)   0.0.0.0:8080->8080/tcp, [::]:8080->8080/tcp
    naice-gulo       naice-release.registry.eltex.loc/naice-gulo:1.2                     "java -cp @/app/jib-…"   naice-gulo      5 minutes ago        Up 3 minutes (healthy)        0.0.0.0:8089->8089/tcp, [::]:8089->8089/tcp
    naice-lemmus     naice-release.registry.eltex.loc/naice-lemmus:1.2                   "java -cp @/app/jib-…"   naice-lemmus    5 minutes ago        Up 3 minutes (healthy)        0.0.0.0:8083->8083/tcp, [::]:8083->8083/tcp
    naice-lepus      naice-release.registry.eltex.loc/naice-lepus:1.2                    "java -cp @/app/jib-…"   naice-lepus     5 minutes ago        Up 3 minutes (healthy)        0.0.0.0:8087->8087/tcp, [::]:8087->8087/tcp, 0.0.0.0:67->1024/udp, [::]:67->1024/udp
    naice-mustela    naice-release.registry.eltex.loc/naice-mustela:1.2                  "java -cp @/app/jib-…"   naice-mustela   5 minutes ago        Up 3 minutes (healthy)        0.0.0.0:8070->8070/tcp, [::]:8070->8070/tcp
    naice-nats       naice-build-hosted.registry.eltex.loc/naice/nats:1.2.2              "docker-entrypoint.s…"   nats            6 minutes ago        Up 5 minutes (healthy)        4222/tcp, 6222/tcp, 7777/tcp, 8222/tcp
    naice-ovis       naice-release.registry.eltex.loc/naice-ovis:1.2                     "java -cp @/app/jib-…"   naice-ovis      5 minutes ago        Up 3 minutes (healthy)        0.0.0.0:8084->8084/tcp, [::]:8084->8084/tcp
    naice-phoca      naice-release.registry.eltex.loc/naice-phoca:1.2                    "java -cp @/app/jib-…"   naice-phoca     6 minutes ago        Up 5 minutes (healthy)        0.0.0.0:8097->8097/tcp, [::]:8097->8097/tcp
    naice-postgres   naice-build-hosted.registry.eltex.loc/naice/postgres-repmgr:1.2.2   "/opt/bitnami/script…"   postgres        7 minutes ago        Up 5 minutes (healthy)        127.0.0.1:5432->5432/tcp, 127.0.0.1:15432->22/tcp
    naice-radius     naice-release.registry.eltex.loc/naice-radius:1.2                   "/docker-entrypoint.…"   naice-radius    4 minutes ago        Up 4 minutes (healthy)        0.0.0.0:1812-1813->1812-1813/udp, [::]:1812-1813->1812-1813/udp, 0.0.0.0:9812->9812/tcp, [::]:9812->9812/tcp
    naice-sterna     naice-release.registry.eltex.loc/naice-sterna:1.2                   "/docker-entrypoint.…"   naice-sterna    About a minute ago   Up About a minute (healthy)   0.0.0.0:32888->80/tcp, [::]:32888->80/tcp, 0.0.0.0:8443->444/tcp, [::]:8443->444/tcp
    naice-ursus      naice-release.registry.eltex.loc/naice-ursus:1.2                    "java -cp @/app/jib-…"   naice-ursus     5 minutes ago        Up 4 minutes (healthy)        0.0.0.0:8081->8081/tcp, [::]:8081->8081/tcp
    naice-vulpus     naice-release.registry.eltex.loc/naice-vulpus:1.2                   "java -cp @/app/jib-…"   naice-vulpus    5 minutes ago        Up 3 minutes (healthy)        0.0.0.0:8086->8086/tcp, [::]:8086->8086/tcp
    naice-web        naice-release.registry.eltex.loc/naice-web:1.2                      "/docker-entrypoint.…"   naice-web       About a minute ago   Up 59 seconds (healthy)       0.0.0.0:443->443/tcp, [::]:443->443/tcp, 0.0.0.0:32889->80/tcp, [::]:32889->80/tcp, 0.0.0.0:80->4200/tcp, [::]:80->4200/tcp

Для ОС Astra Linux 1.7.X может наблюдаться проблема с запуском некоторых контейнеров. В этом случае необходимо выполнить рестарт сервиса docker:

sudo systemctl restart docker

И повторно выполнить запуск контейнеров:

sudo docker compose up -d
  • Нет меток