Установка программы
Подготовка к установке
Для установки требуется ПК (или ноутбук) с операционной системой на базе Linux (Astra Linux SE, РЕД ОС) и возможностью выполнения действия с правами администратора.
Перед установкой следует оценить требуемые ресурсы (см. Таблица 1 – Требования по компонентам) и подготовить инфраструктуру для развертывания.
А также, обеспечить сетевую связанность для компонентов решения. Например, в случае блокирования трафика в сети файерволами, шлюзами и аналогичными устройствами, а также в целях безопасности, требуется дополнительная настройка оборудования для корректного прохождения трафика (см. таблицу 2).
Таблица 2 - Необходимая сетевая доступность между компонентами ПО Solar LightHouse и ПК пользователей, сервисами интеграции
| Источник (Source) | Получатель (Destination) | Направление взаимодействия | Протокол/порт | Комментарий |
|---|---|---|---|---|
| ПК Пользователей | ВМ с Core Service | ⇔ | TCP/443 | Доступ к веб-интерфейсу |
| ВМ с Core Service | ВМ с СУБД | ⇐ | TCP/5432 | Чтение данных из СУБД |
| ВМ с Asset Manager | ВМ с СУБД | ⇒ | TCP/5432 | Запись данных в СУБД |
| ВМ с Core Service | ВМ с Asset Manager | ⇒ | TCP/8082 | Взаимодействие Core с Asset Manager |
| ВМ с Core Service | ВМ с Reflector | ⇒ | TCP/8088, 8089 | Взаимодействие Core с Reflector |
| ВМ с Reflector | ВМ с Keeper | ⇐ | TCP/8080, 8081 | Взаимодействие Keeper с Reflector |
| ВМ с Core Service | iDP | ⇐ | LDAP (TCP/389, 636) | Для интеграции с LDAP |
| ВМ с Core Service | Сервер SMTP | ⇒ | TCP/25, 465, 587 | Интеграция с SMTP |
| ВМ с Core Service | Сервер AD | ⇐ | TCP/389, 636 | Для работы модуля AD |
На всех виртуальных машинах (или серверах) должна быть:
-
Установлена одна из заявленных ОС (см. пункт 4.2)
-
Установлены компоненты Docker (Docker Engine и Docker Compose) из состава ОС (см. пункт 4.2)
-
Docker согласно официальной инструкции (устанавливается сразу и Docker и Docker Compose v2) https://docs.docker.com/engine/install/ubuntu/
- Особенности установки для ОС Astra Linux
Установлены следующие пакеты:
-
Python3-pip
-
Python3
-
Python3-venv
-
OpenSSL
Рисунок 2 Типовая схема развертывания
Установка
Базовый сценарий установки
- Предварительный шаг (только для РЕДОС)
sudo dnf install zstd
-
Поместите архивы с образами и скриптом установки на подготовленную виртуальную машину
-
Разархивируйте файл с образами с помощью утилиты zstd
zstd -d lighthouse_core_images.tar.zst
- Загрузите образы из поставки в локальный registry
docker load -i lighthouse_core_images.tar
- Распакуйте архив установки
tar xf lighthouse_deploy_<version>.tar
- Перейдите в распакованный каталог
cd lighthouse_deploy_${version}/output/
- Запустите скрипт
SKIP_REGISTRY=true ./install_lighthouse.sh ../configs/prod-all-in-one.yml
- В процессе выполнения скрипта необходимо будет уточнить следующую информацию:
- Планируется ли использовать удаленный кипер (remote keeper). Удаленный кипер нужен для того, чтобы взаимодейстовать с закрытым сегментом сети, открыв с ядром только несколько портов для взаимодействия. Для этого укажите адрес кипера.
- Планируется ли использовать внешнюю базу данных. Для этого укажите адрес внешней базы, логин и пароль, предварительно произведя ее настройку согласно описанию ниже.
Настройка удаленного кипера
Для настройки удаленного кипера Вам потребуется:
-
Переместить на сервер с удаленным keeper архив keeper.tar.gz (располагается в каталоге /output в случае успешного выполнения предыдущих шагов) в котором содержится:
- docker-compose.yml
- .env
- каталог ssl/ с нужными сертификатами
-
Распаковать архив
tar xf keeper.tar.gz
- В файле .env необходимо настроить переменные
vim .env
-
SERVER_IP (IP адрес ВМ с keeper)
-
REFLECTOR_IP (IP адрес основной ВМ с Lighthouse)
-
KEEPER_REGISTRY_LOGIN / KEEPER_REGISTRY_PASSWORD (логин / пароль для доступа в registry)
-
Авторизоваться в registry
echo 'ваш пароль' | docker login 'registry.lighthouse.rt-solar.ru' -u 'ваш пользователь' --password-stdin
- Запустить контейнер
docker compose up -d
Настройка внешней базы данных
- Создайте базы данных
CREATE DATABASE am;
CREATE DATABASE was_go;
CREATE DATABASE river_go;
- Устанавливаем расширение postgres_fdw в базах am и was_go для работы с Asset Manager
\c am;
CREATE EXTENSION IF NOT EXISTS postgres_fdw;
\c was_go;
CREATE EXTENSION IF NOT EXISTS postgres_fdw;
Настройка переменных окружения
Основные настройки системы реализованы через возможность настроек переменных окружения в файле docker-compose.yaml. В таблице ниже представлен основной перечень переменных для настроек. Общий сценарий для внесения изменений:
-
Остановить контейнер docker;
-
Внести изменения;
-
Сохранить изменения;
-
Заново запустить docker compose up -d.
Таблица 3 - Перечень основных переменных окружения для настройки системы
| Переменная | Описание |
|---|---|
| web-ui | |
VITE_APP_CORE_HOST_URL | Определяет базовый публичный URL основного backend/core-сервиса, который используется веб-приложением. |
WEB_TLS | Включает режим работы веб-интерфейса через TLS/HTTPS. |
TLS_CERT | Определяет имя или путь к файлу TLS-сертификата, используемого веб-сервером для установки защищённого соединения. |
TLS_KEY | Определяет имя или путь к файлу закрытого ключа TLS-сертификата, используемого веб-сервером для установки защищённого соединения. |
PROXY_PASS | Определяет адрес backend-сервиса, на который веб-сервер проксирует входящие API-запросы. |
| asset-manager | |
AM_NAME | Определяет имя сервиса asset-manager. |
AM_VERSION | Определяет версию сервиса asset-manager. |
AM_ENV | Определяет окружение, в котором запущен сервис asset-manager. |
AM_ADDRESS_SERVE | Определяет адрес и порт, на которых сервис asset-manager принимает входящие соединения. |
AM_DB_HOST | Определяет адрес хоста базы данных, используемой сервисом asset-manager. |
AM_DB_PORT | Определяет порт подключения к базе данных, используемой сервисом asset-manager. |
AM_DB_USER | Определяет имя пользователя для подключения сервиса asset-manager к базе данных. |
AM_DB_PASSWORD | Определяет пароль пользователя для подключения сервиса asset-manager к базе данных. |
AM_DB_NAME | Определяет имя базы данных, используемой сервисом asset-manager. |
AM_MAX_OPEN_CONNS | Определяет максимальное количество одновременно открытых соединений с базой данных. |
AM_MAX_IDLE_CONNS | Определяет максимальное количество неиспользуемых соединений, сохраняемых в пуле соединений с базой данных. |
AM_CONN_MAX_LIFETIME | Определяет максимальное время жизни одного соединения с базой данных. |
AM_TRACING_IS_ACTIVE | Определяет, включена ли трассировка запросов и операций в сервисе asset-manager. |
AM_TRACING_HOST | Определяет адрес хоста системы трассировки для отправки telemetry-данных. |
AM_TRACING_STAND | Определяет идентификатор стенда, узла или инстанса для передачи данных трассировки. |
EXP_HOST_DEDUP | Определяет, включена ли дедупликация хостов в логике работы сервиса. |
AM_DB_SCHEMA | Определяет схему базы данных, используемую сервисом asset-manager. |
AM_SSLMODE | Определяет режим использования SSL/TLS при подключении к базе данных. |
AM_SSL_ENABLE | Определяет, включено ли использование SSL/TLS для защищенного соединения с базой данных. |
AM_CA_PATH | Определяет путь к файлу корневого сертификата CA для проверки доверия при SSL/TLS. |
AM_CERT_PATH | Определяет путь к файлу клиентского сертификата для SSL/TLS-подключения. |
AM_KEY_PATH | Определяет путь к файлу закрытого ключа клиентского сертификата при SSL/TLS. |
| keeper | |
KEEPER_NAME | Определяет имя сервиса keeper. |
KEEPER_VERSION | Определяет версию сервиса keeper. |
KEEPER_ENV | Определяет окружение, в котором запущен сервис keeper. |
KEEPER_DOCKER_CLIENT_VERSION | Определяет версию Docker API или Docker-клиента, с которым должен работать сервис keeper. |
KEEPER_SHARED_VOLUME | Определяет имя общего Docker-тома, используемого сервисом keeper для хранения или обмена данными. |
KEEPER_ADDRESS | Определяет адрес и порт, на которых сервис keeper принимает входящие соединения. |
KEEPER_ASSETS_URL | Определяет URL сервиса assets, к которому обращается сервис keeper для работы с ресурсами или артефактами. |
KEEPER_VAULT_URL | Определяет URL сервиса OpenBao, который сервис keeper использует для доступа к секретам или защищённым данным. |
KEEPER_VAULT_GLOBAL | Определяет, используется ли глобальная конфигурация OpenBao для сервиса keeper. |
KEEPER_SQLITE_PATH | Определяет путь к файлу SQLite-базы, используемой сервисом keeper. |
KEEPER_TRACING_IS_ACTIVE | Определяет, включена ли трассировка запросов и операций в сервисе keeper. |
KEEPER_TRACING_HOST | Определяет адрес хоста системы трассировки для отправки telemetry-данных. |
KEEPER_TRACING_STAND | Определяет идентификатор стенда, узла или инстанса для передачи данных трассировки. |
KEEPER_MODULE_MEMORY | Определяет лимит памяти, выделяемой модулю или контейнеру, запущенному сервисом keeper. |
KEEPER_MODULE_NANO_CPUS | Определяет лимит CPU в NanoCPUs, выделяемый модулю или контейнеру. |
KEEPER_REGISTRY_URL | Определяет адрес контейнерного реестра для получения образов. |
KEEPER_REGISTRY_LOGIN | Определяет логин для аутентификации в контейнерном реестре. |
KEEPER_REGISTRY_PASSWORD | Определяет пароль для аутентификации в реестре. |
KEEPER_SSL_ENABLE | Определяет, включено ли использование SSL/TLS в сервисе keeper. |
KEEPER_CA_PATH | Определяет путь к файлу корневого сертификата CA для SSL/TLS. |
KEEPER_CERT_PATH | Определяет путь к файлу сертификата сервиса keeper для SSL/TLS. |
KEEPER_KEY_PATH | Определяет путь к файлу закрытого ключа сертификата сервиса keeper. |
KEEPER_REFLECTOR_SSL_ENABLE | Определяет, включено ли использование SSL/TLS при взаимодействии с сервисом reflector. |
KEEPER_REFLECTOR_CERT_PATH | Путь к сертификату для взаимодействия с reflector. |
KEEPER_REFLECTOR_KEY_PATH | Путь к закрытому ключу сертификата для reflector. |
KEEPER_REFLECTOR_HOST | Адрес и порт сервиса reflector, с которым взаимодействует сервис keeper. |
| reflector | |
ENABLE_MTLS | Определяет, включено ли использование взаимной TLS-аутентификации (mTLS) для защищённого взаимодействия сервиса reflector с другими сервисами. |
URL_ASSET_MANAGER | Определяет URL сервиса asset-manager, к которому сервис reflector обращается для выполнения операций с ресурсами. |
URL_VAULT | Определяет URL сервиса OpenBao, который сервис reflector использует для доступа к секретам или защищённым данным. |
ENABLE_REGISTRY | Определяет, включает ли сервис reflector использование контейнерного реестра. |
| was-go | |
WAS_VERSION | Определяет версию сервиса WAS. |
WAS_ADMIN_PASSWORD | Определяет пароль административной учётной записи сервиса WAS. |
WAS_ASSET_HOST | Определяет адрес сервиса asset-manager, который сервис WAS использует для взаимодействия с ресурсами. |
WAS_ENV | Определяет окружение, в котором запущен сервис WAS. |
WAS_DB_HOST | Определяет адрес хоста основной базы данных, используемой сервисом WAS. |
WAS_DB_PORT | Определяет порт подключения к основной базе данных. |
WAS_DB_USER | Имя пользователя для подключения к базе данных. |
WAS_DB_PASSWORD | Пароль пользователя базы данных. |
WAS_DB_NAME | Имя основной базы данных. |
WAS_RIVER_HOST | Адрес хоста базы данных River. |
WAS_RIVER_PORT | Порт базы данных River. |
WAS_RIVER_USER | Имя пользователя для базы River. |
WAS_RIVER_PASSWORD | Пароль к базе River. |
WAS_RIVER_NAME | Имя базы данных River. |
WAS_TRACING_IS_ACTIVE | Включена ли трассировка в сервисе WAS. |
WAS_TRACING_HOST | Адрес системы трассировки. |
WAS_TRACING_STAND | Идентификатор стенда/узла. |
WAS_VAULT_VAULT_ADDRESS | Адрес сервиса OpenBAO для секретов. |
WAS_VAULT_VAULT_ROLE_ID_CORE | Идентификатор роли для Vault. |
WAS_VAULT_VAULT_SECRET_ID_CORE | Секретный ID для Vault. |
WAS_REFLECTOR_HOST | Адрес и порт reflector. |
WAS_EXS_HOST | Адрес сервиса EXS. |
WAS_DB_SSLMODE | Режим SSL/TLS для базы данных. |
WAS_RIVER_SSLMODE | Режим SSL/TLS для River. |
WAS_ASSET_DB_HOST | Адрес базы данных asset-manager. |
WAS_ASSET_DB_PORT | Порт базы данных asset. |
WAS_ASSET_DB_USER | Имя пользователя базы asset. |
WAS_ASSET_DB_PASSWORD | Пароль базы asset. |
WAS_ASSET_DB_NAME | Название базы asset. |
WAS_ASSET_DB_SSLMODE | SSL/TLS режим для asset-базы. |
WAS_ASSET_ENABLE_CLONE | Включено клонирование данных с asset-manager. |
WAS_PASSWORD_HISTORY_COUNT | Количество старых паролей, которые нельзя повторять. |
WAS_MAX_LOGIN_ATTEMPTS | Максимум неудачных попыток входа перед блокировкой. |
WAS_LOCKOUT_DURATION_MINUTES | Длительность блокировки (минуты). |
WAS_PASSWORD_EXPIRY_DAYS | Срок действия пароля (дни). |
WAS_PASSWORD_EXPIRY_ENABLED | Включена ли политика истечения пароля. |
WAS_ACCESS_TTL | Время жизни access-токена. |
WAS_REFRESH_TTL | Время жизни refresh-токена. |
WAS_SSL_ENABLE | Включено SSL/TLS. |
WAS_CA_PATH | Путь к CA сертификату. |
WAS_CERT_PATH | Путь к сертификату сервиса. |
WAS_KEY_PATH | Путь к закрытому ключу. |
WAS_ASSET_SSL_ENABLE | SSL/TLS с asset-manager. |
WAS_ASSET_CERT_PATH | Путь к сертификату asset. |
WAS_ASSET_KEY_PATH | Путь к ключу asset. |
WAS_EXS_SSL_ENABLE | SSL/TLS с EXS. |
WAS_EXS_CERT_PATH | Сертификат для EXS. |
WAS_EXS_KEY_PATH | Ключ для EXS. |
WAS_REFLECTOR_SSL_ENABLE | SSL/TLS с reflector. |
WAS_REFLECTOR_CA_PATH | Путь к CA для reflector. |
WAS_REFLECTOR_CERT_PATH | Сертификат reflector. |
WAS_REFLECTOR_KEY_PATH | Ключ для reflector. |
WAS_SECFLOW_DESIGNER_ENABLED | Включён SecFlow Designer. |
WAS_DOCUMENT_PATH | Путь к документам. |
| exs | |
EXS_VERSION | Определяет версию сервиса EXS. |
EXS_AM_HOST | Адрес сервиса asset-manager, используемый EXS. |
EXS_ENV | Окружение, в котором запущен сервис EXS. |
EXS_DB_HOST | Адрес хоста основной базы данных для EXS. |
EXS_DB_PORT | Порт подключения к основной базе данных. |
EXS_DB_USER | Имя пользователя для базы данных. |
EXS_DB_PASSWORD | Пароль пользователя базы данных. |
EXS_DB_NAME | Имя базы данных, используемой EXS. |
EXS_RIVER_HOST | Адрес базы данных River для EXS. |
EXS_RIVER_PORT | Порт River. |
EXS_RIVER_USER | Имя пользователя River. |
EXS_RIVER_PASSWORD | Пароль River. |
EXS_RIVER_NAME | Имя базы данных River. |
EXS_TRACING_IS_ACTIVE | Включена ли трассировка (телеметрия). |
EXS_TRACING_HOST | Адрес системы трассировки. |
EXS_TRACING_STAND | Идентификатор стенда или инстанса для трассировки. |
EXS_REFLECTOR_HOST | Адрес и порт reflector для взаимодействия. |
EXS_NOTIFICATION_FRONTEND_URL | URL фронтенда для уведомлений и ссылок. |
EXS_ME_STATUS_CHECK_TIMEOUT | Время ожидания проверки статуса ME. |
EXS_RIVER_MAX_JOB_TIMEOUT | Максимальное время выполнения задания в River. |
EXS_MODULE_QUEUE_ENABLED | Включён ли механизм очередей в EXS. |
EXS_DB_SSLMODE | Режим SSL/TLS для базы данных. |
EXS_RIVER_SSLMODE | SSL/TLS для базы River. |
EXS_SSL_ENABLE | Включено ли SSL/TLS в EXS. |
EXS_CA_PATH | Путь к корневому сертификату CA. |
EXS_CERT_PATH | Путь к сертификату сервиса. |
EXS_KEY_PATH | Путь к закрытому ключу сертификата. |
EXS_AM_SSL_ENABLE | Включено ли SSL для взаимодействия с asset-manager. |
EXS_AM_CERT_PATH | Путь к сертификату для asset-manager. |
EXS_AM_KEY_PATH | Путь к ключу для asset-manager. |
EXS_REFLECTOR_SSL_ENABLE | Включено ли SSL для взаимодействия с reflector. |
EXS_REFLECTOR_CA_PATH | Путь к CA для reflector. |
EXS_REFLECTOR_CERT_PATH | Путь к сертификату для reflector. |
EXS_REFLECTOR_KEY_PATH | Путь к ключу для reflector. |
| vault | |
VAULT_ADDR | Адрес сервиса OpenBao для секретов. |
VAULT_ROLE_ID_CORE | Идентификатор роли для взаимодействия с Vault. |
VAULT_SECRET_ID_CORE | Секретный ID для Vault. |
VAULT_CACERT | Путь к CA сертификату для проверки доверия TLS соединений с Vault. |
Проверка работоспособности
Для проверки работы программы авторизируйтесь в web-интерфейс Solar LightHouse пройдя по ссылке https://<адрес установки>/?tab=health-check на страницу дашборда Healthcheck и ознакомьтесь со статусами компонентов системы.
При обнаружении ошибок или сбоев в работе системы рекомендуется обратиться к разработчикам программы для получения помощи.
Настройка логирования
Все события информационной безопасности, а также прочие события системы логируются средствами docker в единый файл, предварительно получив определенный тег (см. Таблицу 4).
Таблица 4 - Разметка основных групп событий системы
| Группа событий | Тег разметки |
|---|---|
| Попытки входа (выхода) пользователей в систему, как успешные, так и неуспешные | LOGIN |
| Создание, изменение, блокирование, снятие блокировки и удаление учётных записей пользователей | USERS |
| Изменение настроек системы администратором | CONFIGURATION |
| Изменение политик безопасности (например, срок действия пароля) | POLICIES |
| Результаты сканирования, аудита ассетов | AUDIT |
Для удобства обработки данной информации предлагается схема настройки разделения логов в отдельные файлы согласно основным категориям событий:
-
Откройте файл docker-compose.yml в текстовом редакторе;
-
Найдите раздел сервиса was-go;
-
Добавьте строку volumes;
volumes:
/dev/log:/dev/log
- Сохраните изменения.
Docker compose down was-go && docker compose up -d was-go
Дальнейшие действия осуществляются в зависимости от типа установленной ОС.
Сертифицированная версия RedOS 8.0
Настройка SysSock.Use
Данная настройка в конфигурации rsyslog, которая управляет использованием системного сокета для локальной передачи логов
Измените настройку SysSock.Use с OFF на ON в файле /etc/rsyslog.conf, для этого выполните следующие шаги:
-
Откройте файл в редакторе vim с правами суперпользователя:
sudo vim /etc/rsyslog.conf
-
Внесите следующие изменения
sudo vim /etc/rsyslog.conf module(load="imuxsock" SysSock.Use="on")
-
Сохраните изменения
Добавление правил логирования в файл /etc/rsyslog.d/10-lighthouse-audit.conf
-
Откройте файл конфигурации в текстовом редакторе
sudo vim /etc/rsyslog.d/10-lighthouse-audit.conf
-
Добавьте правила логирования
if $programname == 'lighthouse-login' then /var/log/lighthouse/login.log
if $programname == 'lighthouse-users' then /var/log/lighthouse/users.log
if $programname == 'lighthouse-configuration' then /var/log/lighthouse/configuration.log
if $programname == 'lighthouse-policies' then /var/log/lighthouse/policies.log
if $programname == 'lighthouse-audit' then /var/log/lighthouse/audit.log
if $programname startswith 'lighthouse-' then stop
-
Сохраните изменения и закройте редактор
-
Перезапустите rsyslog для применения изменений
sudo systemctl restart rsyslog
Теперь система будет записывать логи Solar LightHouse в соответствующие файлы по заданным выше именам
Сертифицированная версия Astra 1.8
В ОС Astra 1.8 используется syslog-ng — это альтернативный демон для логирования, и его конфигурация отличается от rsyslog.
-
Открыть файл конфигурации vim /etc/syslog-ng/conf.d/lighthouse-audit.conf
-
Внести в файл:
- Фильтры — выборка по логам по программам;
- Назначения — файлы для сохранения каждого вида логов, создают каталоги при необходимости;
- Логовые блоки — связывают источник, фильтр и файл назначения
filter f_lighthouse_login { program("lighthouse-login"); };
filter f_lighthouse_users { program("lighthouse-users"); };
filter f_lighthouse_configuration { program("lighthouse-configuration"); };
filter f_lighthouse_policies { program("lighthouse-policies"); };
filter f_lighthouse_audit { program("lighthouse-audit"); };
destination d_lighthouse_login {
file("/var/log/lighthouse/login.log" create_dirs(yes));
};
destination d_lighthouse_users {
file("/var/log/lighthouse/users.log" create_dirs(yes));
};
destination d_lighthouse_configuration {
file("/var/log/lighthouse/configuration.log" create_dirs(yes));
};
destination d_lighthouse_policies {
file("/var/log/lighthouse/policies.log" create_dirs(yes));
};
destination d_lighthouse_audit {
file("/var/log/lighthouse/audit.log" create_dirs(yes));
};
log { source(s_src); filter(f_lighthouse_login); destination(d_lighthouse_login); flags(final); };
log { source(s_src); filter(f_lighthouse_users); destination(d_lighthouse_users); flags(final); };
log { source(s_src); filter(f_lighthouse_configuration); destination(d_lighthouse_configuration); flags(final); };
log { source(s_src); filter(f_lighthouse_policies); destination(d_lighthouse_policies); flags(final); };
log { source(s_src); filter(f_lighthouse_audit); destination(d_lighthouse_audit); flags(final); };
- После сохранения файла перезапустите syslog-ng
sudo systemctl restart syslog-ng
- Проверьте статус службы
sudo systemctl status syslog-ng
- Перезапустить контейнеры
docker compose up -d
- Проверить появление логов audit.log configuration.log login.log policies.log users.log
ls /var/log/lighthouse
Обновление программного обеспечения
Порядок действий при обновлении ПО Solar LightHouse по большей части аналогичен процедуре установки.
Сценарий обновления при наличии доступа в Интернет
- Установите ORAS для получение из registry.lighthouse.rt-solar.ru скрипта установки
Если он у Вас уже установлен - проверьте версию
oras version
Установку можно выполнить с помощью следующих команд
export ARCHIVE=oras_1.3.0_linux_amd64.tar.gz
curl -LO https://github.com/oras-project/oras/releases/download/v1.3.0/$ARCHIVE
tar -xzf $ARCHIVE
sudo mv oras /usr/local/bin/
-
Уточните у команды поддержи актуальную версию скрипта
-
Войдите в registry.lighthouse.rt-solar.ru
oras login registry.lighthouse.rt-solar.ru
- Скачайте архив со скриптом
oras pull registry.lighthouse.rt-solar.ru/lighthouse/release:$version
- Распакуйте новый архив
tar xf lighthouse_deploy_<version>.tar
- Перейдите в распакованный каталог
cd lighthouse_deploy_${version}/output/
- Запустите скрипт
./install_lighthouse.sh ../configs/prod-all-in-one.yml
Сценарий обновления при отсутствии доступа в Интернет
-
Запросить ссылку на архивы с образами и со скриптом установки
lighthouse_deploy_<version>.tar -
Скачать указанные архивы с образами и скриптом и поместить их на подготовленную виртуальную машины в закрытом контуре
-
Разархивировать файлы с образами
-
Остановить текущие запущенные контейнеры
-
Распакуйте архив с новой версией:
tar xf lighthouse_deploy_<версия>.tar
Примечание: Замените
<версия>на актуальную, например,1.7.0-build.12.
- Найдите полный путь к распакованной папке, содержащей файлы docker-compose.yml и .env, в которых уже установлен Lighthouse:
realpath lighthouse_deploy_<версия>/output/
- Перейдите в распакованный каталог:
cd lighthouse_deploy_<версия>/output/
- Запустите скрипт обновления, передав путь к текущему каталогу из предыдущего шага:
./update.sh /полный/путь/к/распакованной/папке
Пример: ./update.sh /home/ubuntu/lighthouse_deploy_1.6.0-build.12/output
Если скрипт завершится без ошибок, обновление выполнено успешно.
После обновления рекомендуем удалить временную папку с поставкой, чтобы избежать путаницы:
cd && rm -rf lighthouse_deploy_<версия>
Удаление программного обеспечения
Для корректного удаления программы необходимо на каждой виртуальной машине, где произведена установка, выполнить в терминале следующую команду:
docker-compose -f <имя_файла>.yml down -v
Эта команда остановит все контейнеры, связанные с указанным файлом конфигурации, и удалит связанные с ними тома.