Anleitung zum Debian Upgrade

Disclaimer: Nur für Linux-Systeme relevant

Dieses Kapitel beschreibt Schritt für Schritt das empfohlene Vorgehen für das Upgrade eines bestehenden Debian 10 Systems („Buster“) auf die aktuelle stabile Version Debian 12 („Bookworm“) und berücksichtigt sowohl Einzelserver- als auch Multiserver-Umgebungen. Das Dokument führt durch alle notwendigen Vorbereitungen, gibt Hinweise zur Durchführung des Upgrades sowie zur Fehlervermeidung und enthält praxisnahe Tipps zur Sicherung und Wiederherstellung. Ziel ist ein möglichst reibungsloser und sicherer Übergang auf das neue Betriebssystem.

1. Allgemeine Vorbereitungen

Das Upgrade auf die neue Debian 12 Bookworm Distribution aktualisiert ihr System auf die letzte stabile Version von Debian.
Damit einher gehen Änderungen an Systembibliotheken und Diensten, die während eines laufendes Praxisbetriebes nicht durchgeführt werden sollten.
Es ist deswegen sicherzustellen, dass keine Clients Daten mit dem Server austauschen und sie am besten ausgeschalten sind. Weiterhin sollten die laufenden Dienste des Servers beendet werden.

Dazu klicken Sie in den Server-Tools auf „Alle Prozesse stoppen“, wonach es so aussehen sollte:

Stellen Sie eine funktionierende Internetverbindung während des Updates sicher. Inbesondere müssen die Debian-Repositories erreichbar sein. Falls eine Firewall-Appliance den Netzwerktraffic filtert, sind folgende Freigaben einzurichten:

Repository-Liste für Bullseye

http://deb.debian.org/debian bullseye main contrib non-free
http://deb.debian.org/debian bullseye main contrib non-free
http://deb.debian.org/debian bullseye-updates main contrib non-free
http://deb.debian.org/debian bullseye-updates main contrib non-free
http://deb.debian.org/debian bullseye-backports main contrib non-free
http://deb.debian.org/debian bullseye-backports main contrib non-free
http://security.debian.org/debian-security/ bullseye-security main contrib non-free
http://security.debian.org/debian-security/ bullseye-security main contrib non-free

Repository-Liste für Bookworm

http://deb.debian.org/debian bookworm main contrib non-free non-free-firmware
http://deb.debian.org/debian bookworm main contrib non-free non-free-firmware
http://deb.debian.org/debian bookworm-updates main contrib non-free non-free-firmware
http://deb.debian.org/debian bookworm-updates main contrib non-free non-free-firmware
http://deb.debian.org/debian bookworm-backports main contrib non-free non-free-firmware
http://deb.debian.org/debian bookworm-backports main contrib non-free non-free-firmware
http://security.debian.org/debian-security/ bookworm-security main contrib non-free non-free-firmware
http://security.debian.org/debian-security/ bookworm-security main contrib non-free non-free-firmware

Repository-Liste für Zollsoft

https://apt.zollsoft.net/tomedo/ tomedo main
https://apt.zollsoft.net/tomedo/ buster main
https://proget.zollsoft.de/debian/deb-tomedo/ bookworm main
https://proget.zollsoft.de/debian/deb-proxmox/ bookworm main

Quellen extern benutzter Software:

https://*.docker.io/*
https://*.github*
https://*pythonhosted*
https://*pypi*
https://*github*
https://*teamviewer*

Insgesamt ergibt sich so folgende Liste an Freigaben für eine Firewall zur Installation:

https://*.docker.io*
https://*.github*
https://*zollsoft*
https://*tomedo*
https://*docker*
https://*debian*
https://*pythonhosted*
https://*pypi*
https://*github*
https://*teamviewer*

⚠️ Wichtig:
Nach dem Update werden neue Pakete vom neuen Paket-Server proget.zollsoft.de heruntergeladen. Dieser löst den Legacy-Server apt.zollsoft.net ab und stellt für die Zukunft die weiteren Aktualisierungen für die Debian 12 Systeme bereit.

1.1. Backups der VM(s)

Um im Fehlerfall eine Wiederherstellung des ursprünglichen Zustandes sicherzustellen, wird empfohlen nicht nur einen Snapshot der VM zu erstellen, sondern zusätzlich auch ein vollständiges Backup anzulegen. Fahren Sie dazu die VM entweder per Cockpit, SSH oder über den Hypervisor herunter. Diese Maßnahme ist zwar empfohlen aber optional, in der Regel ist ein Snapshot der VM ausreichend. Zusätzlich wird nochmal ein Backup durch die Server-Tools erstellt.

1.1.1 Snapshot und Backup mit ESXi

Melden Sie sich im ESXi-Hypervisor für die VM unter der zugewiesenen Adresse ihres Netzwerkes an:

https://<ESXi-IP>/ui/#/login

Um unter ESXi ein Backup zu erstellen, müssen Sie die VM zuerst exportieren. Wählen Sie die VM aus und wählen Sie nach einem Rechtsklick den Menüpunkt „Exportieren“ aus.

Es öffnet sich dann der Dialog für den Download der VM.

Wichtig ist, dass auf dem Client von dem aus der Export gestartet wird, genügend Speicher für den Download zur Verfügung steht.

Steht auf dem Client nicht genügend Speicher zur Verfügung, kann der Download auch auf einen externen Datenträger oder anderes Medium gespeichert werden. Dazu muss in den Download-Einstellungen des Browser jedoch oft ein Haken gesetzt werden, damit der Download-Dialog Sie auffordert den Speicherort angeben zu können, anstatt einfach das Download-Verzeichnis des Benutzers zu verwenden.

Dazu die Einstellungen unter Firefox öffnen, bis zum gezeigten Punkt herunterscrollen und den Haken setzen.

Unter Chrome klicken Sie links in der Navigation auf „Downloads“ und aktivieren Sie den Schiebeschalter.
Nachdem die VM heruntergeladen wurde, können Sie diese Einstellungen wieder deaktivieren, um Downloads wie gewohnt im Verzeichnis des Benutzers ablegen zu lassen.

Wählen Sie dann die VM aus und öffnen Sie mit einem Rechtsklick das Kontextmenü. Dort wählen Sie unter Snapshots „Snapshot erstellen“.

⚠️ Wichtig:
Snapshots unter ESXi, bleiben „offen“ und belegen je länger sie laufen RAM und Speicherplatz. Löschen Sie diese nach erfolgreicher Migration.

Wenn die Migration erfolgreich durchgeführt wurde, die VM mit dem neuen Betriebssystem läuft und alle Tests abgeschlossen sind, ist es wichtig, sich erneut im ESXi einzuloggen und den Snapshot zu löschen. Wählen Sie dazu „Snapshots verwalten“ und wählen den zuvor angelegten Snapshot aus. Dann klicken Sie „Snapshot löschen“ und bestätigen den Dialog mit „Entfernen“.

1.1.2 Snapshot und Backup mit Proxmox

Melden Sie sich im Proxmox-Hypervisor für die VM unter der zugewiesenen Adresse ihres Netzwerk an:

https://<IP-von-Proxmox>:8006

Wählen Sie in der Navigation links ihre VM aus und dann in der Subnavigation für die VM „Backup“.

Ein Klick auf „Backup now“ öffnet den Backup-Dialog, in welchen Sie den Modus des Backups von „Snapshot“ auf „Stop“ umstellen, wenn Sie die VM wie empfohlen gestoppt haben. Alle anderen Einstellungen können auf den Standards belassen werden.

Jetzt wird nach einem Klick auf „Backup“ die virtuelle Maschine einmal komplett gesichert und kann bei Bedarf im ursprünglichen Zustand wiederhergestellt werden.

Nach erfolgreicher Vollsicherung wird noch ein Snapshot der VM angelegt, der eigentlich ausreichen sollte, um im Fehlerfall das alte System von vor dem Update wiederherzustellen, aber für den Worst-Case ist das Vollbackup vorhanden.

Dazu in der Unternavigation der VM bei „Snapshots“ mit „Take Snapshot“ diesen anlegen.

1.2. Entfernen von Peripherie

Entfernen Sie vor dem eigentlichen Update des Systems alle angeschlossenen Peripherie-Geräte wie HZV-USB-Stick, externe Festplatten, sonstige USB-Dongles, Hubs oder nicht benötigte Hardware. Eine USV kann verbunden bleiben. Insbesondere Backup-Festplatten mit Verschlüsselung können den Bootvorgang unterbrechen und müssen vom Server getrennt werden.

2. Upgrade eines Einzelserver-Systemes

Das System zeigt die Verfügbarkeit des Distributionsupdates in den Server-Tools an, von dort kann es auch angestoßen werden und führt die nötigen Aktualisierungen dann per Skript automatisch durch. Zu beachten sind die Vorbereitungen wie unter Punkt 1 erwähnt. Ziehen Sie alle Peripherie-Geräte, außer einer USV, ab. Fahren Sie alle Clients herunter und beenden Sie alle Dienste.

Wenn Sie diese Vorbereitungen sichergestellt haben, können Sie mit einem Klick auf „Update“ die Aktualisierung starten.

Das System wird eine Weile brauchen und startet während des Updates dreimal neu. Da ein direktes Update auf Debian 12 von Debian 10 nicht möglich ist, wird zuerst auf Debian 11 Bullseye aktualisiert, dies ist der erste Neustart. Die Aktualisierung wird dann von Debian 11 auf Debian 12 fortgesetzt, nach dessen Abschluß der zweite Neustart durchgeführt wird. Startet Debian 12 erfolgreich, werden noch finale Schritte wie Konfigurationsanpassungen und Bereinigung durchgeführt, nach denen der letzte Neustart stattfindet.

Setup-Frontend für das Upgrade

Rufen Sie auf einem Arbeitsplatz oder über den Hypervisor-Host die Adresse
http://<IP-der-VM>:8084auf, um das tomedo-Update-Frontend zur Überwachung der Aktualisierung anzuzeigen.

Im Frontend sind der aktuelle Stand des Upgrades und die Logausgaben nachzuvollziehen.

Es erkennt, wenn der Server neu startet und zeigt eine entsprechende Meldung an.

Während der Server neu startet, prüft das Frontend über ping im Hintergrund seine Erreichbarkeit.

Sollte es Probleme beim Neustart geben und der Server nicht innerhalb von 5 Minuten wieder zurück sein, wird folgende Meldung angezeigt.

Dann sollte man über den Hypervisor prüfen, warum die VM nicht erfolgreich neu gestartet ist. Evt. wurde eine externe Platte nicht entfernt oder es gibt einen fstab-Eintrag für eine externe Platte, der nicht mit der Option „noauto“ oder „nofail“ eingetragen wurde.

Kann das Problem durch einen Eingriff behoben werden und der Server startet anschließend wieder, sollte das Setup normal fortgesetzt werden können. In dem Fall ist diese Meldung dann einfach zu schließen und unten links einmal auf “Log Listener: AUS” zu klicken. Dann startet der Log Listener wieder und prüft weiter den Fortschritt des Setups.

Ist der Neustart ohne Probleme erfolgreich, wird kurz folgende Nachricht angezeigt.

Es kann vorkommen, dass sich die VM (je nach Konfiguration der VM und des Netzwerkes / DHCPs) eine neue IP holt. In diesem Fall schlägt die Prüfung auf den erfolgreichen Neustart auch fehl! Es empfiehlt sich, den Hypervisor und die Console der VM in einem zweiten Browsertab offen zu haben und im Zweifelsfall gegenzuprüfen, ob die VM wirklich nicht neu gestartet werden konnte oder das Frontend aufgrund einer IP-Änderung einfach die Verbindung verloren hat.

Sind auch die letzten Schritte noch erfolgreich, kommt die Abschlußmeldung des Setups.

Sie finden unter /var/log/tomedoUpdate Logdateien der Update-Schritte.

<distribution>-upgradeScripts enthalten die einzelnen Schritte der Updates, während
<distribution>-apt ein Log der Paketinstallationen enthalten.
Dies wurde der Übersichtlichkeit auf zwei Dateien aufgeteilt.

„Bullseye“-Dateien werden vom Update von Buster zu Bullseye geschrieben.

„Bookworm“-Dateien werden vom Update von Bullseye zu Bookworm geschrieben.

„finishedBookworm“-Dateien werden von den finalen Abschlußschritten geschrieben.

Im Fehlerfall können Sie diese Dateien prüfen, um festzustellen, wo die Ursache eines Fehlers liegt.

Lief alles erfolgreich, ist der Server hochgefahren und bereit. Sie sehen die Desktop-Umgebung und können die Server-Tools aufrufen. Die Dienste sollten automatisch wieder gestartet worden sein.

Schließen Sie jetzt wieder die vorher entfernten Peripherie-Geräte an, fahren Sie einen Client hoch und testen Sie die volle Funktionstüchtigkeit des Systems.

3. Upgrade eines Multiserver-Verbundes

Bei einem MS-Verbund sind die Schritte analog zu den bisher im Guide genannten Informationen, mit dem Unterschied, dass jeder Knoten einzeln aktualisiert wird.
Die Aktualisierung wird vom Betriebssystem jedes Knoten in den Server-Tools angestoßen und nicht zentral vom Leader.

Bei einem MS-Verbund aus zum Beispiel 5 Servern ist folgender Ablauf ideal:

Alle 5 Server herunterfahren.
Den Leader wie in 2. beschrieben aktualisieren und wieder herunterfahren.
Follower 01 wie in 2. beschrieben aktualisieren und wieder herunterfahren.
Follower 02 wie in 2. beschrieben aktualisieren und wieder herunterfahren.
Follower 03 wie in 2. beschrieben aktualisieren und wieder herunterfahren.
Follower 04 wie in 2. beschrieben aktualisieren und wieder herunterfahren.
Den MS-Verbund geordnet wieder hochfahren, beginnend mit dem Leader.
Die Konnektivität zwischen den Knoten des Verbundes bestätigen.
Für jeweils jeden Knoten auf einem Client die Funktionalität testen.

Wenn auf jedem Client die Tests erfolgreich sind, kann die Migration als erfolgreich betrachtet werden.

Grundsätzlich ist darauf zu achten, dass vor der Migration eines Knotens seine BDR-Synchronisation abgeschlossen ist!
Dies kann in den ST im Multiserver-Tab kontrolliert werden.

Forbidden Fruits – der MS-Verbund kann wirklich, wirklich gar nicht komplett offline gehen:
In der Theorie… ist bei vollständiger Synchronisierung des zu aktualisierenden Knotens ein Weiterbetrieb des gesamten Verbundes möglich. Auf dem zu aktualisierenden Knoten werden die ST und Dienste abgeschalten, sodaß er nicht weiter an einem weiteren Betrieb teilnehmen und womöglich fehlerhafte Teil-Daten synchronisieren sollte. Dies konnte in der Praxis so aber nicht getestet werden. Es wird daher empfohlen, den gesamten Verbund wie beschrieben zu aktualisieren und nicht Knoten für Knoten beginnend mit dem Leader während eines Betriebs eines MS-Verbundes.

Appendix – Hinweise

Sollte nach dem Upgrade ein Problem mit dem Netzwerkdienst auftreten, ist dies in der Regel unkritisch.

Bitte sichern Sie eigene Zertifikate vor dem Upgrade! Es gibt Fälle von MS-Verbünden mit eigenen Zertifikaten. Diese können durch das Upgrade überschrieben werden. Legen Sie eine Sicherung dieser Zertifikate an, um sie nach dem Upgrade wiederherstellen zu können.

Falls Sie spezielle NFS-Laufwerke, externe Datenspeicher oder andere Geräte in /etc/fstab des tomedo-Servers hinterlegt haben, kommentieren Sie diese Einträge vor dem Upgrade aus und danach wieder ein, um Probleme während der Reboots des Systems zu vermeiden.

Upgrades von Systemhelden-Installationen werden nicht unterstützt. Bitte wechseln Sie auf unser offizielles aktuelles tomedo-linux-server.iso, welches gleich auf Debian 12 Basis installiert wird.