【 TiDB 使用环境】生产环境
【 TiDB 版本】5.2.2
【复现路径】
1、我安装的tidb 版本5.2.2 现在云平台扫描grafana有漏洞,我想把tidb和data migration的grafana版本单独升级一下,不知道会不会有版本依赖问题?
2、是不是直接用tiup update就可以直接升级组件?
【遇到的问题:问题现象及影响】
【资源配置】
【附件:截图/日志/监控】
问题一
建议配套使用统一版本,少一些坑。
问题二
tiup update | PingCAP 文档中心
tiup update [component1][:version] [component2..N] [flags]
-
[component1]表示要升级的组件名字 -
[version]表示要升级的版本,如果省略,则表示升级到该组件的最新稳定版本 -
[component2...N]表示可指定升级多个组件或版本。如果一个组件也不指定:即[component1][:version] [component2..N]为空,则需要配合使用--all选项或--self选项。
升级操作不会删除旧的版本,仍然可以在执行时指定旧版本使用。
tidb集群不敢升级,怕有兼容性问题,我们用法是通过data migration 全量+增量同步MySQL数据到tidb,以前升级过,有兼容性问题,现在不敢升级了
通过tiup升级grafana之后应该没用的,这个基本不会跟随版本升级的,不知道你所谓的云平台扫描grafana有漏洞是通过上面方式扫描的,如果可以的话,建议屏蔽扫描
Tidb单个组件升级用patch方式,像grafana这个比较简单,无状态的,与其他组件兼容性要求不高,应该可以自己做一个patch包,搞上去
我们给客户部署的,客户用的云平台,他们认为云平台扫的漏洞不能屏蔽只能修复
应该可以的吧。
还是要先确认下漏洞是哪一方面的,不然你也不知道升到哪一个版本可以解决漏洞。grafana 可以单独升级,这个本来就是非原生的。
支持组件 升级,但升级的版本你确认过有没有问题?
1.你这里提到的“Grafana漏洞”方便提及吗?如果仅仅是Grafana的账号密码都是 admin的问题,可以直接修改该账号的密码为强密码,大部分安全要求这样操作就行了。
2.确认升级Grafana 到高版本有效吗?是否在相同的云平台测试环境验证过?如果贸然升级,最终发现没有效果就会白忙活一场。
3.关于如何仅仅升级Grafana组件的问题,tiup升级集群是用的 tiup cluster,印象中官方为了避免用户误用,TiUP Cluster 是不支持指定部分节点升级的。
如果确定坚持要操作,可以考虑使用 tiup cluster patch功能。在集群运行过程中,它实现动态替换某个服务的二进制文件,替换过程中保持集群可用,然后间接实现升级单个节点的目的。
4.如果可以,建议通过设置防火墙策略,配置黑白名单等方式实现安全要求。
一句话,尽量保持集群的所有组件都是同一个版本,避免一些因为版本不一致而导致的未知问题。
如果跨大版本,建议整体升级。不跨大版本,补丁升级没啥问题。
该问题是否已经解决?
如已经解决,请对问题标记【标记为最佳答案】,问题才能被搜索到,也能帮助他人更高效地找到答案。
如果你的问题还没有解决,请继续追问及反馈你遇到的问题,附上操作提示或者截图。