Am 30. Juni 2024 erreichte CentOS 7 das Ende seiner Lebensdauer (EOL). Betroffen davon sind bei Zscaler Private Access (ZPA) alle App-Connectoren und Service Edges, unabhängig davon, wo diese betrieben werden (OVA, Docker, Azure, AWS etc.). Zscaler wird seine Komponenten bis 24. Dezember 2024 supporten. Ein Betrieb darüber hinaus sollte laut Zscaler ebenfalls möglich sein, es wird aber keine Garantie übernommen.

Alle Komponenten wie der ZPA App Connector, Logging Service und ZPA private Service Edge müssen entsprechend neu deployed werden. Alle ZIA Komponenten sind nicht betroffen davon.

Weitere Informationen können diesem Beitrag und dem Deployment Guide von Zscaler, welcher unter Quelle / Weiterführende Links verlinkt ist, entnommen werden.

Wer bei den bestehenden CentOS 7 Images weiterhin Updates beziehen möchte, kann dies tun, indem die YUM-Repositories angepasst werden.


Technisches Vorgehen

Wir empfehlen den parallelen Aufbau einer App-Connector- und Service-Edge-Infrastruktur.
Ein Mix unterschiedlicher Betriebssysteme wird weder empfohlen noch Seitens Zscaler unterstützt.

Entsprechend empfehlen wir, auf ZPA Seite neue App Connector Groups und Service Edge Groups parallel zu jeder Location zu erstellen und entsprechend in der eigenen Infrastruktur neue Images parallel aufzubauen. Die alten Komponenten sollten deaktiviert werden, sobald die neuen ausreichend getestet wurden.


Was ist zu tun?

Für die App-Connector-Gruppen

  1. Erstellen Sie in der ZPA Admin GUI neue App-Connector-Gruppen und provisioning keys für jede Location
  2. Während eines Wartungsfensters oder ausserhalb der Betriebszeiten:
    1. Einspielen des provisioning keys und Konfiguration gemäss Deployment Guides (https://help.zscaler.com/zpa/app-connector-management/app-connector-deployment-guides-supported-platforms)
    2. Sobald die neuen App-Connector-Gruppen korrekt aufgesetzt sind, fügen Sie diese jeder jeweiligen Servergruppe in der ZPA Admin GUI hinzu.
  3. Nach angemessener Test-Phase:
    1. Deaktivieren Sie in der ZPA Admin GUI die alten App-Connector-Gruppen, sobald die neuen App-Connectoren deployed wurden und betriebsbereit sind. Wir empfehlen das Deaktivieren während eines Wartungsfensters oder ausserhalb der Betriebszeiten.
    2. Nach einer angemessenen Zeit: Rückbau der alten Komponenten und Bereinigung der alten App-Connector-Gruppen in der ZPA Admin GUI

Weitere Informationen können diesem Beitrag und dem Migrationspfad und Deployment Guide von Zscaler, welche in den Quelle / Weiterführende Links verlinkt sind, entnommen werden.


Aktueller Stand

In diesem Abschnitt werden wir Sie regelmässig über Updates und Anpassungen informieren.
Wir empfehlen Ihnen diesen Abschnitt ggf. gelegentlich zu prüfen.

Tabelle zuletzt aktualisiert am: 2024-07-18

Format/Image Deployment date schedule Status
RPM (for REL) 4th Week of May 2024 Getestet / OK
VMware OVA 2nd Week of June 2024 Getestet / OK
AWS AMI 2nd Week of June 2024 ungetestet
Docker 2nd Week of June 2024 Getestet / OK
KVM 2nd Week of June 2024 Gestestet / OK
Disk muss als IDE gemounted werden
Azure 2nd Week of June 2024 Getestet / OK
Nutanix AHV n/a Nicht verfügbar
Import OVA wurde gestet und funktioniert prinzipell
Disk muss als IDE gemounted werden
Hyper V none

no plans for now or in the future to support Hyper V Image
→ Install RPM (for REL)

2024-07-10:  Meldung bei yum update

Beim ausführen des Befehls "yum update" kann es bei einigen Images zur Meldung kommen, dass "This system is not registered with an entitlement server. You can use "rhc" or "subscription-manager" to register."
Diese Meldung kann ignoriert werden und hat keinen Einfluss auf das System. Zscaler verwendet seine eigenen, unabhängigen Repos.
vgl. "The error message you see when doing a YUM update is erroneous and can be safely ignored. We have an embedded license from Red Hat and run our own delta mirror for security packages."


2024-07-10: Rückmeldung es käme ein gehärtetes Image vom App Connector (no root access)
Zscaler wird auf lange Sicht noch gehärtete Images veröffentlichen, bei welchen die Console nur limitierte Zugriffe auf das Root OS gestatten wird.
Dieses Image soll auch fully managed sein und keine manuellen Updates auf OS Ebene mehr benötigen.
Aktuell gibt es aber kein ETA und das Image ist auf der roadmap


2024-07-10: Update des Basis OS
Weiterhin muss das Basis OS (RedHat Enterprise Linux) in regelmässigen Abständen manuell geupdated und das System ggf. neu gestartet werden.
Einen Update Cronjob wird derzeit nicht von uns angeboten. Bitte planen Sie entsprechende Update zyklen selbständig ein.


AVANTEC hilft gerne.

Sollten Sie Unterstützung bei der Migration benötigen, so helfen wir Ihnen gerne im Rahmen eines Changes bzw. Projektes.

Öffnen Sie doch hierzu gerne bei unseren Support ein Ticket via Email.

Bitte verwenden Sie hierzu folgende Informationen:
Empfänger: support@avantec.ch
Betreff: ZPA – App Connector Migration