Under Construction
Beispiel 3: TL Update mit AIX Live Update
In diesem Beispiel wollen wir einen TL Update zeigen. Aktuell ist AIX 7300-02-02-2420 installiert:
$ oslevel -s
7300-02-02-2420
$
Es soll auf die Version 7300-03-00-2446 (TL Update) aktualisiert werden.
Die verwendete HMC ist immer noch 192.168.199.15 und der Benutzer für Live Update auf der HMC ist weiterhin der Benutzer liveup mit der Task-Rolle hmcclientliveupdate. Wir überprüfen ob es schon ein Authentifizierungs-Token der HMC gibt:
# hmcauth -l
#
Das ist nicht der Fall, daher fordern wir ein Token von der HMC an:
# hmcauth -a 192.168.199.15 -u liveup
Enter HMC password: XXXXXXXX
#
Hinweis: Das Passwort für den Benutzer liveup geben wir wieder interaktiv an, damit es nicht in der Prozeß-Liste als Argument erscheint.
Aktuell gibt es auf dem System die folgenden Physical Volumes:
$ lspv
hdisk0 00cafe0000000000 lvup_rootvg
hdisk1 00cafe0000000001 datavg active
hdisk3 00cafe0000000003 rootvg active
hdisk4 00cafe0000000004 None
hdisk2 00cafe0000000002 None
hdisk5 00cafe0000000005 altinst_rootvg
hdisk6 00cafe0000000006 appvg active
$
Die Volume Group lvup_rootvg (hdisk0) stammt vom letzten Live Update und kann für den nächsten Live Update nicht verwendet werden.
Auf der hdisk5 wurde mittels alt_disk_copy wieder eine Kopie der rootvg erzeugt, die im Falle von Problemen zur Wiederherstellung verwendet werden kann.
Es bleiben aktuell nur die beiden Physical Volumes hdisk2 und hdisk4 für die Verwendung bei Live Update. Die „disks“ Stanza in /var/adm/ras/liveupdate/lvupdate.data sieht von der letzten Live Update Operation wie folgt aus:
# cat /var/adm/ras/liveupdate/lvupdate.data
…
disks:
nhdisk = hdisk0
mhdisk = hdisk2
#
Die hdisk2 steht aktuell zur Verfügung, und kann erneut als mhdisk (mirror) verwendet werden. Die hdisk0 ist allerdings in Benutzung. Anstelle aber jetzt die freie hdisk4 als nhdisk zu konfigurieren, verwenden wir das Attribut alt_nhdisk und weisen diesem das freie Physical Volume hdisk4 zu. Wenn Live Update feststellt das das mit nhdisk angegebene Physical Volume in Benutzung ist, verwendet Live Update stattdessen das mit alt_nhdisk angegebene Physical Volume für das Boot Physical Volume der Ersatz-LPAR (surrogate). Wir haben dann insgesamt die folgende Konfiguration:
# cat /var/adm/ras/liveupdate/lvupdate.data
hmc:
management_console = 192.168.199.15
user = liveup
disks:
nhdisk = hdisk0
mhdisk = hdisk2
alt_nhdisk = hdisk4
#
Bevor wir den Live Update starten, überprüfen wir noch die installierten Ifixes:
# emgr -l
ID STATE LABEL INSTALL TIME UPDATED BY ABSTRACT
=== ===== ========== ================= ========== ======================================
1 S 3013ma 02/25/25 15:57:33 ifix for CVE-2024-6119
2 S IJ52421s2a 02/26/25 12:07:38 IJ52421 POTENTIAL SECURITY ISSUE
STATE codes:
S = STABLE
M = MOUNTED
U = UNMOUNTED
Q = REBOOT REQUIRED
B = BROKEN
I = INSTALLING
R = REMOVING
T = TESTED
P = PATCHED
N = NOT PATCHED
SP = STABLE + PATCHED
SN = STABLE + NOT PATCHED
QP = BOOT IMAGE MODIFIED + PATCHED
QN = BOOT IMAGE MODIFIED + NOT PATCHED
RQ = REMOVING + REBOOT REQUIRED
#
Ein installierter Ifix wird bei einem Update nur entfernt, wenn er einen zugeordneten APAR besitzt und der offizielle Fix für diesen APAR im Update enthalten ist. (siehe Automatisches Entfernen eines Ifixes)
Wir überprüfen dies kurz für die beiden installierten Ifixes, indem wir zunächst anschauen ob diese einen zugeordneten APAR besitzen:
# emgr -l -L 3013ma -v 3
…
FILESET: openssl.base
…
APAR information:
=================
No APAR numbers listed.
…
#
# emgr -l -L IJ52421s2a -v 3
…
FILESET: bos.net.tcp.client_core
…
APAR information:
=================
APAR number: IJ52421
APAR abstract: a potential security issue exists
…
#
Dem ersten Ifix (3013ma) ist kein APAR zugeordnet. Er muss also auf jeden Fall manuell entfernt werden, falls openssl.base aktualisiert wird.
Der zweite Ifix (IJ52421s2a) besitzt einen zugeordneten APAR: IJ52421.
Den Update auf 7300-03-00-2446 haben wir unter /mnt/aix730300lpp bereitgestellt. Der Update enthält keine neuere Version von openssl.base, daher muss der Ifix 3013ma nicht vor dem Live Update entfernt werden. Der Update enthält ein Install Fileset von bos.net.tcp.client_core mit der Version 7.3.3.0. Da es keinen Update sondern ein Install Fileset mit einer neueren Version gibt, muss der Ifix IJ52421s2a nicht manuell entfernt werden.
Wir starten die AIX Live Update Operation mit geninstall. Da Updates typischerweise Software enthalten, die eine Bestätigung von Lizenz-Vereinbarungen erfordert, verwenden wir die Option „-Y“ (agree to required software license agreements):
# geninstall -k -Y d /mnt/aix730300lpp update_all
install_all_updates: Initializing system parameters.
install_all_updates: Log file is /var/adm/ras/install_all_updates.log
install_all_updates: Checking for updated install utilities on media.
install_all_updates: Updating install utilities to latest level on media.
+-----------------------------------------------------------------------------+
Pre-installation Verification...
+-----------------------------------------------------------------------------+
Verifying selections...done
Verifying requisites...done
Results...
…
The updates being installed contain the following interim fix labels,
which will be removed prior to installing the updates:
IJ52421s2a
…
install_all_updates: Checking for recommended maintenance level 7300-03.
install_all_updates: Executing /usr/bin/oslevel -rf, Result = 7300-03
install_all_updates: Verification completed.
install_all_updates: Log file is /var/adm/ras/install_all_updates.log
install_all_updates: Result = SUCCESS
+-----------------------------------------------------------------------------+
Pre-Live Update Verification...
+-----------------------------------------------------------------------------+
02/26/2025-15:37:54 Verifying environment...
02/26/2025-15:37:54 Verifying /var/adm/ras/liveupdate/lvupdate.data file...
02/26/2025-15:37:59 Computing the estimated time for the live update operation....
Results...
EXECUTION INFORMATION
---------------------
LPAR: aix01
HMC: 192.168.199.15
user: liveup
Estimated blackout time(in seconds): 14
Estimated total operation time(in seconds): 682
<< End of Information Section >>
+-----------------------------------------------------------------------------+
Live Update Requirement Verification...
+-----------------------------------------------------------------------------+
INFORMATION
-----------
INFO: Any system dumps present in the current dump logical volumes will not be available after live update is complete.
<< End of Information Section >>
+-----------------------------------------------------------------------------+
Live Update Preview Summary...
+-----------------------------------------------------------------------------+
02/26/2025-15:38:35 The live update preview succeeded.
Non-interruptable live update operation begins in 10 seconds.
Broadcast message from root@aix01 (pts/0) at 15:38:45 ...
Live AIX update in progress.
02/26/2025-15:38:45 Live AIX update is starting.
02/26/2025-15:38:55 Initializing live update on original LPAR.
02/26/2025-15:38:55 Validating original LPAR environment.
02/26/2025-15:38:55 Beginning live update operation on original LPAR.
02/26/2025-15:39:05 Requesting resources required for live update.
02/26/2025-15:39:45 Notifying applications of impending live update.
02/26/2025-15:39:55 Creating rootvg for boot of surrogate.
02/26/2025-15:39:55 Starting alt_disk_copy.
02/26/2025-15:45:05 Completed alt_disk_copy.
02/26/2025-15:45:05 Rootvg for the surrogate is ready.
02/26/2025-15:45:05 Starting the surrogate LPAR.
02/26/2025-15:45:05 Surrogate AIX boot started.
02/26/2025-15:46:15 Surrogate AIX reboot started.
02/26/2025-15:47:35 Surrogate LPAR AIX is running.
02/26/2025-15:47:35 Creating mirror of original LPAR's rootvg.
02/26/2025-15:50:25 Original rootvg mirror is active.
02/26/2025-15:50:25 Moving workload to surrogate LPAR.
02/26/2025-15:50:50 Blackout Time started.
02/26/2025-15:51:33 Blackout Time end.
02/26/2025-15:51:33 Workload is running on surrogate LPAR.
02/26/2025-15:51:33 Completing transfer of system resources from the original to the surrogate LPAR.
02/26/2025-15:52:13 Starting cleanup of the original LPAR.
02/26/2025-15:53:23 Shutting down the Original LPAR.
02/26/2025-15:53:33 Deleting the original LPAR.
02/26/2025-15:54:13 Live AIX update completed in 0h 15m 28s.
Broadcast message from root@aix01 (pts/0) at 15:54:13 ...
Live AIX update completed.
File /etc/group has been modified.
File /etc/passwd has been modified.
One or more of the files listed in /etc/check_config.files have changed.
See /var/adm/ras/config.diff for details.
#
Der AIX Live Update wurde erfolgreich ausgeführt. Das System ist auf dem erwarteten OS-Stand:
$ oslevel -s
7300-03-00-2446
$
Der Ifix 3013ma ist weiterhin installiert, der Ifix IJ52421s2a wurde beim Update entfernt (siehe die entsprechenden Zeilen in der Ausgabe von geninstall oben):
# emgr -l
ID STATE LABEL INSTALL TIME UPDATED BY ABSTRACT
=== ===== ==================== ================= ========== ======================================
1 S 3013ma 02/25/25 15:57:33 ifix for CVE-2024-6119
STATE codes:
S = STABLE
M = MOUNTED
U = UNMOUNTED
Q = REBOOT REQUIRED
B = BROKEN
I = INSTALLING
R = REMOVING
T = TESTED
P = PATCHED
N = NOT PATCHED
SP = STABLE + PATCHED
SN = STABLE + NOT PATCHED
QP = BOOT IMAGE MODIFIED + PATCHED
QN = BOOT IMAGE MODIFIED + NOT PATCHED
RQ = REMOVING + REBOOT REQUIRED
#
Auch hier werfen wir zum Abschluß noch einen kurzen Blick auf die Verwendung der Physical Volumes:
$ lspv
hdisk0 00cafe0000000000 None <- nhdisk
hdisk1 00cafe0000000001 datavg active
hdisk3 00cafe0000000003 rootvg active
hdisk4 00cafe0000000004 lvup_rootvg <- alt_nhdisk
hdisk2 00cafe0000000002 None <- mhdisk
hdisk5 00cafe0000000005 altinst_rootvg
hdisk6 00cafe0000000006 app1vg active
$
Wie erwartet ist die hdisk0 wieder verfügbar. Das Physical Volume hdisk4 (alt_nhdisk) wird von der neuen Ersatz-LPAR (surrogate) als Boot Physical Volume verwendet und wird erst durch einen Reboot oder die nächste Live Update Operation wieder frei. Die als mhdisk (mirror) konfigurierte hdisk2 ist sofort wieder verfügbar.
Hinweis: Es sind 2 freie Physical Volumes verfügbar (hdisk0 und hdisk2). Damit wäre ein weiterer AIX Live Update sofort möglich.