Pokyny k přechodu na novou verzi (Upgrade notes)

Obsah

1 Obsah
2 Obecné pokyny
- 2.1 Základní pravidla
- 2.2 Upgrade versus update
  - 2.2.1 Update
  - 2.2.2 Upgrade
  - 2.2.3 Jak kombinovat
- 2.3 Doporučený postup update nebo upgrade
  - 2.3.1 Nutné kroky
  - 2.3.2 Volitelné, ale doporučené, kroky
3 Specifické pokyny k jednotlivým verzím
- 3.1 Verze 2.4.1
  - 3.1.1 Nutné manuální kroky při upgrade
  - 3.1.2 Doporučená úprava a kontrola konfigurace
- 3.2 Verze 2.4.0
  - 3.2.1 Nutné manuální kroky při upgrade
  - 3.2.2 Doporučená úprava a kontrola konfigurace
- 3.3 Verze 2.3.11
  - 3.3.1 Nutné manuální kroky při upgrade
- 3.4 Verze 2.3.0
  - 3.4.1 Nutné manuální kroky při upgrade
  - 3.4.2 Doporučená úprava a kontrola konfigurace
- 3.5 Verze 2.2.0
  - 3.5.1 Nutné manuální kroky při upgrade
  - 3.5.2 Doporučená úprava a kontrola konfigurace
- 3.6 Verze 2.1.0
  - 3.6.1 Nutné manuální kroky při upgrade
  - 3.6.2 Doporučená úprava a kontrola konfigurace
- 3.7 Verze 2.0.3
  - 3.7.1 Nutné manuální kroky při upgrade
- 3.8 Verze 2.0.0
  - 3.8.1 Nutné manuální kroky při upgrade
  - 3.8.2 Doporučená úprava a kontrola konfigurace
- 3.9 Verze 1.6 a starší
4 Speciální případy

Obecné pokyny

Bez ohledu na verzi aplikace z které a na kterou probíhá update nebo upgrade, platí následující pravidla a doporučení.

Základní pravidla

Je doporučeno provádět update a upgrade pravidelně. Zejména při vydání nové větší verze aplikace.
Není doporučeno přeskakovat větší verze a následně provádět velký upgrade přes více větších verzí. Pokud však k tomuto přesto dojde, je nutné projít všechny specifické pokyny k těmto verzím a postupně ve vzestupném pořadí verzí provést patřičné kroky, viz níže.
Před update nebo upgrade je doporučeno provést zálohu, např. ve formě snapshotu VM, nebo jiným odpovídajícím způsobem, kterým je aplikace zálohována. V případě neočekávaného problému by mělo být možné vrátit se ze zálohy zpět.

Upgrade versus update

Do verze 2.0.6 existoval pouze update, který vždy provedl aktualizaci aplikace na poslední vydanou verzi. Od verze 2.0.6 (včetně) byl proces rozdělen na dva odlišné kroky: update a upgrade.

Update

Update aplikace provede aktualizaci na poslední vydanou verzi v aktuální řadě. tj. například z 2.0.6 na 2.0.8, nebo z 2.1.1 na 2.1.5. Nikdy už neprovede přechod mezi řadami, tj. neprovede aktualizaci z 2.0.x na 2.1.x. (To platí zpětně i pro starší verze, tj. update ve verzi 2.0.1 aktualizuje na poslední 2.0.x a neskočí na řadu 2.1.x nebo dál.)

Upgrade

Upgrade aplikace provede aktualizaci na další vyšší řadu, pokud je nějaká k dispozici. Tedy například upgrade provede přechod z aktuální verze 2.0.x na poslední verzi další řady 2.1.x. Pokud nová řada k dispozici není, upgrade nic neprovede. Není tedy možné používat upgrade k aktualizaci v rámci stávající řady.

Jak kombinovat

Aplikaci běžně aktualizujeme pomocí update. Pokud dojde k vydání nové řady (např. 2.1.0), pak je pro aktualizaci na tuto novou řadu třeba provést upgrade. Následně opět používáme update pro aktualizace na další verze v této řadě.

Doporučený postup update nebo upgrade

Nutné kroky

Pro update aplikace SOFiE (na poslední verzi v aktuální řadě) je třeba spustit následující příkaz z příkazové řádky:

sofie update

Tento příkaz automaticky provede:

zálohu databáze aplikace
stáhne rpm balíčky s novou verzí a nainstaluje je
provede migraci struktur databáze na novou verzi (aktualizace schématu)
restartuje služby aplikace SOFiE

Pro upgrade aplikace SOFiE (na poslední verzi v další vyšší řadě) je třeba spustit následující příkaz z příkazové řádky:

sofie upgrade

Tento příkaz provede přechod na novou řadu aplikace, pokud existuje a následně spustí update. Pokud nová řada neexistuje, neprovede se nic, ani update.

Dále je nutné provést specifické kroky pro všechny verze aplikace, kterými update nebo upgrade prošel a na které skončil. Viz podrobnosti k jednotlivým verzím níže.

Volitelné, ale doporučené, kroky

Před i po update nebo upgrade je doporučeno ověřit aktuální verzi a stav následujícími příkazy:

# vypíše stav služeb, měl by být u všech active (running)
sofie status

# vypíše aktuální verzi, vhodné pro zjištění z které a na kterou upgradujeme
sofie version

Kromě samotného update nebo upgrade aplikace SOFiE je rovněž doporučeno provést aktualizaci operačního systému, v systémech na bázi RHEL lze provést např. příkazem:

Potom je doporučeno provést restart serveru, aby se ověřilo, že i po všech aktualizacích systém a aplikace v případě restartu znovu korektně nastartuje:

Nakonec ověříme, že aplikace korektně běží. Například aplikačním testem, kdy odešleme uživateli zkušební zásilku a ověříme, že dorazila a uživatel jí může stáhnout. Z pohledu administrátora zkontrolujeme, zda nad zásilkou byly provedeny všechny nastavené kontroly a že audit log neobsahuje žádné chyby.

Specifické pokyny k jednotlivým verzím

Zejména při upgrade na novou větší verzi aplikace (např. 1.3.x na 1.4.x) se často stává, že automatický proces aktualizace nemůže provést všechny potřebné kroky a některé je nutno udělat ručně (typicky úprava konfigurace nginx).

Dále je při zavedení nových funkcí či změn volen obvykle konzervativní postup, kdy pokud je to možné, tak nedochází po upgrade ke změně chování aplikace. To ale znamená, že nové funkce mohou po upgrade být vypnuté a pro jejich využití je třeba upravit konfiguraci aplikace.

Verze 2.4.1

Nutné manuální kroky při upgrade

Nejsou nutné žádné manuální kroky, ale pro korektní funkci nového pomocného tlačítka “Načíst veřejný klíč“ v Nastavení → ADFS je vhodné upravit konfigurační soubor nginx, konkrétně “/etc/nginx/sofie.d/http_common-variables.conf“ a vložit konkrétní FQDN doménu ADFS serveru, viz příklad:

Doporučená úprava a kontrola konfigurace

Verze 2.4.1 obsahuje nové či upravené funkce. Administrátor aplikace by měl po provedení update projít zejména následující části nastavení a zvážit, zda a jak chce tyto funkce využívat:

Nastavení → Konfigurace → Uživatelé → Vzhled:
- Zobrazení jména uživatele. Místo uživatelského jména (přihlašovacího) lze nově nastavit, aby se uživatelům po přihlášení v horní liště zobrazoval buď e-mail nebo jméno a příjmení. Každý uživatel si toto také může sám upravit ve svém profilu uživatele.
Nastavení → ADFS:
- Název: Volitelný vlastní text pro přihlašovací tlačítko uživatelů přes ADFS.

Verze 2.4.0

Nutné manuální kroky při upgrade

Nejsou nutné žádné manuální kroky.

Dojde však k automatické instalaci nové Javy 21 a přepnutí výchozí Javy systému z 1.8 na 21. Aplikace by měla dle doporučení být instalována na samostatný dedikovaný server a tak by toto nemělo nic ovlivnit. Pokud jsou oproti doporučení na serveru instalovány a provozovány další služby či aplikace, je třeba prověřit, zda stále fungují a případně je opravit. Stará Java 1.8 je v systému zachována, jen již není výchozí. Pokud není třeba, je možné ji odstranit.

Volitelně je také nově možné omezit přístup na admin rozhraní (/admin) nikoliv jen aplikačně, ale již na úrovni webového serveru nginx. Provést lze úpravou konfiguračního souboru “/etc/nginx/sofie.d/http_admin-restriction.conf”:

Doporučená úprava a kontrola konfigurace

Verze 2.4 obsahuje nové či upravené funkce. Administrátor aplikace by měl po provedení upgrade projít zejména následující části nastavení a zvážit, zda a jak chce tyto funkce využívat:

Nastavení → Skupiny uživatelů:
- Nově zavedená podpora skupin. Uživatele lze sdružovat do skupin jak lokálně přímo v aplikaci, tak převzít členství ve skupinách pomocí mapování ze vzdáleného katalogu (AD/ADFS/OIDC).
- Pokud chceme využít mapování z ADFS, je třeba doplnit atribut do claimů, viz návod: Konfigurace ADFS serveru.
- Práva přesunuta od uživatelů do skupin. Všechna práva uživatelů byla při upgrade automaticky migrována do nově založených odpovídajících skupin, kterých jsou uživatelé členy.
- Výchozí práva nových uživatelů (dříve v Nastavení → Konfigurace → Uživatelé) přesunuta do výchozí skupiny “default”.
Nastavení → API tokeny:
- Nově jsou podporovány krom uživatelských tokenů také tokeny administrátorské. API bylo celkově podstatně rozšířeno, viz: https://docs.sofie.cloud/api/v2/cs/ .
Nastavení → Konfigurace → Uživatelé:
- Nová volba Přihlášení uživatelů - Povolit přímé přihlášení uživatelů.
Nastavení → Konfigurace → SFTP server:
- Nová sekce a funkcionalita. K použití vyžaduje dodatečnou licenci.
Nastavení → Nastavení detekce:
- Interní moduly → Detekce MIME typů, nové volby:
  - Maximální úroveň vnořeného obsahu (např. u archivů a dokumentů)
  - Limit maximálního množství vnořených objektů
    - Maximální počet vnořených objektů
- Sandboxy:
  - U všech sandboxů doplněna volba “Kontrolovat pouze vybrané typy souborů“, která umožní posílat ke kontrole pouze vyjmenované typy souborů (např. které sandbox umí zpracovat).

Verze 2.3.11

Nutné manuální kroky při upgrade

Pokud používáme od verze 2.3.0 nový modul “Content Disarm and Reconstruction (CDR)“, je pro jeho optimální funkci třeba provést úpravy spuštěním následujících příkazů v příkazové řádce:

Verze 2.3.0

Nutné manuální kroky při upgrade

Pokud chceme využívat nový modul “Content Disarm and Reconstruction (CDR)“, je třeba ho nejprve nainstalovat dle návodu zde: Instalační příručka | Instalace CDR modulu (volitelné)

Doporučená úprava a kontrola konfigurace

Verze 2.3 obsahuje nové či upravené funkce. Administrátor aplikace by měl po provedení upgrade projít zejména následující části nastavení a zvážit, zda a jak chce tyto funkce využívat:

Nastavení → API Tokeny → pro jednotlivé tokeny:
- IP rozsahy
Nastavení → Konfigurace → Bezpečnost:
- nová sekce: Omezení přístupu, včetně:
  - Omezení přístupu - IP filtr
  - Omezení přístupu - reverzní záznam
  - Omezení přístupu - země
  - Omezení přístupu - hlavička User-Agent
Nastavení → Konfigurace → Šifrování dat:
- Seznam klíčů šifrujících klíče (KEK)
  - nový doporučený typ klíče HPKE
Nastavení → Konfigurace → Uživatelé:
- Výchozí nastavení nových uživatelů, nová práva:
  - Nastavit zásilku jako trvalou
  - Trvalý učet
Nastavení → Nastavení detekce:
- CDR (Content Disarm and Recontruction)
  - nový integrovaný nástroj pro konverzi kompatibilního obsahu do bezpečné formy
- Avast, Trellix
  - nově podporované antiviry
Nastavení → ADFS:
- nový atribut: ID adresáře (tenanta)
  - po upgrade není třeba měnit, aby fungovalo jako dříve, pro ADFS má být vyplněno “adfs”
- nově zobrazeno: Identifikátor URI pro přesměrování
Nastavení → OpenID Connect:
- celá nová sekce umožňující integraci na OIDC zdroje uživatelů a přihlášení (včetně Azure AD nebo Google)

Verze 2.2.0

Nutné manuální kroky při upgrade

Nejsou nutné žádné manuální kroky.

Doporučená úprava a kontrola konfigurace

Verze 2.2 obsahuje nové či upravené funkce. Rovněž v této verzi došlo k podstatným úpravám struktury menu Nastavení → Konfigurace. Administrátor aplikace by měl po provedení upgrade projít zejména následující části nastavení a zvážit, zda a jak chce uvedené funkce využívat:

Nastavení → Uživatelé → pro jednotlivé uživatele:
- Email aliasy uživatele
- Nastavit schvalovatele
Nastavení → Konfigurace → Základní:
- Správa konfigurace - Export konfigurace
Nastavení → Konfigurace → Zásilky → Obecné:
- Uživatelé mohou používat aktovku
- Uživatelé mohou vytvářet kooperativní zásilky
Nastavení → Konfigurace → Zásilky → Expirace:
- Skartované zásilky
  - Automaticky mazat metadata skartovaných zásilek
  - Expirace metadat skartovaných zásilek
Nastavení → Konfigurace → Zásilky → Řízení přístupu:
- Uzavřené prostředí
  - IP rozsahy uzavřeného prostředí
  - Povolit přenos uzavřené → uzavřené
  - Povolit přenos uzavřené → otevřené
  - Povolit přenos otevřené → uzavřené
  - Povolit přenos otevřené → otevřené
  - Povolit nahrávání zásilek z uzavřeného prostředí
  - Povolit nahrávání zásilek z otevřeného prostředí
Nastavení → Konfigurace → Zásilky → Schvalování odeslání:
- Preferovaný schvalovatel
- Uživatel si může vybrat schvalovatele
- Schvalovatel má přístup ke všem zásilkám vyžadujícím schválení
Nastavení → Konfigurace → Uživatelé:
- Výchozí nastavení nových uživatelů, nová práva:
  - Používat aktovku
  - Přístup ke všem zásilkám vyžadujícím schválení
  - Zvolit schvalovatele odesílaných zásilek
  - Přístup k podrobným výsledkům kontrol
  - Vytvářet kooperativní zási