ProHoster > بلوق > إدارة > تحديث نقطة التفتيش من R77.30 إلى 80.20

تحديث نقطة التفتيش من R77.30 إلى 80.20

تحديث نقطة التفتيش من R77.30 إلى 80.20

في خريف عام 2019، توقفت Check Point عن دعم الإصدارات R77.XX، وكان من الضروري تحديثها. لقد قيل الكثير بالفعل عن الفرق بين الإصدارات وإيجابيات وسلبيات التحول إلى R80. دعونا نتحدث بشكل أفضل عن كيفية تحديث أجهزة Check Point الافتراضية (CloudGuard for VMware ESXi وHyper-V وKVM Gateway NGTP) وما يمكن أن يحدث من خطأ.

لذلك، كان لدينا مهندسين CCSE، وأكثر من اثنتي عشرة مجموعة افتراضية من Check Point R2، والعديد من السحابات، وبعض الإصلاحات العاجلة وبحر كامل من الأخطاء المختلفة ومواطن الخلل وكل ذلك، من جميع الألوان والأحجام، و أيضا مواعيد نهائية ضيقة للغاية. دعنا نذهب!

المحتويات:

تدريب
تحديث خادم الإدارة
تحديث الكتلة

تحديث نقطة التفتيش من R77.30 إلى 80.20

هذا هو ما تبدو عليه البنية التحتية السحابية النموذجية للعميل مع Check Point الافتراضية

تدريب

الخطوة الأولى هي التحقق مما إذا كانت هناك موارد كافية للتحديث. يبدو الحد الأدنى الموصى به لمتطلبات R80.20 حاليًا كما يلي:

جهاز

وحدة المعالجة المركزية‏:

رامات

HDD

بوابة الأمان

2 الأساسية

4 جيجابايت

من 15 جيجابايت

SMS

2 الأساسية

6 جيجابايت

-

يتم وصف التوصيات في الوثيقة CP_R80.20_GA_Release_Notes.

لكننا سنكون واقعيين. إذا كان هذا كافيًا في الحد الأدنى من التكوين، فكما تظهر الممارسة، عادةً ما يتم تمكين فحص https، وتشغيل SmartEvent على الرسائل القصيرة، وما إلى ذلك، الأمر الذي يتطلب بالطبع قدرات مختلفة تمامًا. لكن بشكل عام لا يزيد عن 77.30 ريالاً.

ولكن هناك فروق دقيقة. وهي تتعلق في المقام الأول بحجم الذاكرة الفعلية. ستتطلب العديد من العمليات مباشرة أثناء عملية التحديث مساحة على القرص الثابت.

بالنسبة لخادم الإدارة، سيعتمد حجم مساحة القرص الحرة إلى حد كبير على حجم السجلات الحالية (إذا أردنا حفظها) وعلى عدد مراجعات قاعدة البيانات المحفوظة، على الرغم من أننا لن نحتاج إليها بكميات كبيرة بعد الآن. بالطبع، بالنسبة لعقد المجموعة (ما لم تقم أيضًا بتخزين السجلات محليًا) كل هذا لا يهم. إليك كيفية التحقق مما إذا كان لديك المساحة التي تحتاجها:

  1. نحن نتصل بخادم الإدارة الذكية عبر SSH، وننتقل إلى وضع الخبراء وندخل الأمر:

    [Expert@cp-sms:0]# df -h

  2. في الإخراج سوف نرى شيئا من هذا القبيل التكوين:

    حجم نظام الملفات المستخدم، الاستخدام المتوفر٪ المثبتة على
    /dev/mapper/vg_splat-lv_current 30G 7.4G 21G 27% /
    /dev/sda1 289M 24M 251M 9% /boot
    tmpfs 2.0G 0 2.0G 0% /dev/shm
    /dev/mapper/vg_splat-lv_log 243G 177G 53G 78% /var/log

  3. نحن مهتمون حاليا بهذا القسم / فار / السجل

يرجى ملاحظة أنه اعتمادًا على سياسة تخزين وحذف ملفات السجل القديمة، بالإضافة إلى حجم قاعدة البيانات المصدرة، قد تكون هناك حاجة إلى مساحة أكبر. إذا كانت هناك مساحة خالية أقل من تلك المحددة في سياسة تخزين ملف السجل، عند إنشاء أرشيف، فسيبدأ النظام في مسح السجلات القديمة ولن يقوم بتضمينها في الأرشيف.

أيضًا، بالنسبة لعملية التحديث نفسها، سيحتاج النظام إلى 13 جيجابايت على الأقل من مساحة القرص الثابت غير المخصصة. يمكنك التحقق من وجوده باستخدام الأمر:

[Expert@cp-sms:0]# pvs

سنرى شيئا مثل هذا:

PV VG Fmt Attr PSize PFree
/dev/sda3 vg_splat lvm2 أ- ​​141.69 جيجا 43.69 جيجا

في هذه الحالة لدينا 43 جيجابايت. هناك موارد كافية. يمكنك البدء في التحديث.

تحديث خادم إدارة Check Point SMS

قبل البدء في العمل عليك القيام بما يلي:

  1. قم بتثبيت حزمة أدوات الترحيل على خادم الإدارة. للقيام بذلك، تحتاج إلى تنزيل الصورة من البوابة نقطة تفتيش.
  2. قم بتحميل الأرشيف إلى خادم الإدارة عبر WinSCP في المجلد /var/log/UpgradeR77.30_R80.20 (إذا لزم الأمر، قم بإنشاء مجلد أولاً).
  3. اتصل بخادم الإدارة عبر SSH وانتقل إلى المجلد الذي يحتوي على الأرشيف:مؤتمر نزع السلاح /var/log/UpgradeR77.30_R80.20/
  4. قم بفك ضغط الملف:القطران -zxvf ./<اسم الملف>.tgz
  5. نقوم بتشغيل الأداة المساعدة pre_upgrade_verifier باستخدام الأمر: ./pre_upgrade_verifier -p $FWDIR -c R77 -t R80.20
  6. عند تنفيذ الأمر، سيتم إنشاء تقرير حول الإعدادات غير المتوافقة. وهي متوفرة في: /opt/CPsuite-R77/fw1/log/pre_upgrade_verification_report.(xls, html, txt). يعد تحميله عبر SCP ومشاهدته من خلال المتصفح أكثر ملاءمة.
    لحل أي إعدادات غير متوافقة، استخدم SK117237.
  7. ثم أعد تشغيل الأداة المساعدة pre_upgrade_verifier للتأكد من إزالة جميع أسباب عدم التوافق.
  8. بعد ذلك، نقوم بجمع معلومات حول واجهات الشبكة وجدول التوجيه وتحميل تكوين GAIA:
    الملكية الفكرية أ> /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
    الملكية الفكرية ص> /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
    clish -c "إظهار التكوين" > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
  9. قم بتحميل الملف الناتج عبر SCP.
  10. نحن نأخذ لقطة على مستوى المحاكاة الافتراضية.
  11. نقوم بزيادة مهلة جلسة SSH إلى 8 ساعات. يعتمد ذلك على حظك: اعتمادًا على حجم قاعدة البيانات المصدرة، يمكن أن يستمر من عدة دقائق إلى عدة ساعات. لهذا: 
    [Expert@HostName]# clish -c "إظهار مهلة عدم النشاط" انظر إلى كليش المهلة الحالية،

    [Expert@HostName]# clish -c "ضبط مهلة عدم النشاط على 720" تحديد كليش المهلة الجديدة (بالدقائق)،

    [Expert@HostName]# echo $TMOUT انظر إلى وضع الخبراء الحالي للمهلة،

    [Expert@HostName]# تصدير TMOUT=3600 حدد وضع خبير المهلة الجديد (بالثواني)، إذا قمت بتعيين القيمة على 0، فسيتم تعطيل المهلة.

  12. نقوم بتنزيل وتثبيت صورة تثبيت SMS.iso على الجهاز الظاهري.

    قبل الخطوة التالية، تأكد من التحقق جيدًا من وجود مساحة كافية غير مخصصة على محرك الأقراص الثابتة (تذكر أنك تحتاج إلى 13 جيجابايت). 

  13. قبل البدء في تصدير التكوين، قم بتغيير ملف السجل باستخدام الأمر: مهاجم سجل

تصدير التكوين والسجلات

  1. قم بتشغيل الأداة المساعدة migrate_export لتنزيل التكوين. للقيام بذلك، انتقل إلى المجلد الذي تم إنشاؤه مسبقًا: مؤتمر نزع السلاح /var/log/UpgradeR77.30_R80.20/ واستخدم الأمر: ./ترحيل التصدير -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

    أو

    انتقل إلى المجلد: مؤتمر نزع السلاح $FWDIR/bin/upgrade_tools/ и
    قم بتشغيل الأمر من هناك: ./ترحيل التصدير -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

  2. نقوم بإزالة المجموع الاختباري من الأرشيف: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz
  3. احفظ القيمة الناتجة في المفكرة.
  4. نقوم بالاتصال بالرسائل النصية القصيرة عبر SCP ونقوم بتحميل الأرشيف مع التكوين إلى محطة العمل. تأكد من استخدام نقل الملفات بتنسيق ثنائي.

تصدير قاعدة بيانات SmartEvent

نحتاج هنا إلى إصدار الرسائل القصيرة R80 المثبت مسبقًا. أي اختبار سيفي بالغرض. 

  1. من الرسائل القصيرة نحتاج إلى برنامج نصي موجود هنا:$RTDIR/bin/eva_db_backup.csh
  2. قم بتحميل البرنامج النصي عبر SCP eva_db_backup.csh إلى المجلد: /var/log/UpgradeR77.30_R80.20/
  3. الاتصال عبر SSH إلى الرسائل القصيرة. نسخ الملف إلى المجلد: cp /var/log/UpgradeR77.30_R80.20/eva_db_backup.csh
    $RTDIR/bin/eva_db_backup.csh
  4. تغيير الترميز: dos2unix $RTDIR/bin/eva_db_backup.csh
  5. إضافة المالك: chown -v admin:root $RTDIR/bin/eva_db_backup.csh
  6. إضافة الحقوق: chmod -v 0755 $RTDIR/bin/eva_db_backup.csh
  7. لنبدأ بتصدير قاعدة بيانات SmartEvent: $RTDIR/bin/eva_db_backup.csh
  8. تحميل الملفات المستلمة عبر SCP: $RTDIR/bin/<date>-db-backup.backup и $RTDIR/bin/eventiaUpgrade.tar إلى محطة العمل.

تحديث

  1. اذهب إلى WebUI GAIA SMS → CPUSE → عرض جميع الحزم.
  2. إذا أعطى CPUSE خطأً في الاتصال بسحابة Check Point، فتحقق من إعدادات DGW وDNS والوكيل.
  3. إذا كان كل شيء صحيحًا، ولم يختفي الخطأ، فأنت بحاجة إلى تحديث وحدة المعالجة المركزية CPUSE يدويًا، مسترشدًا بذلك sk92449.
  4. قم بتنزيل الصورة وتصفحها المدقق. إذا لزم الأمر، فإننا نزيل التناقضات.

    ونتيجة لذلك، يجب أن تشاهد هذه الرسالة:

    تحديث نقطة التفتيش من R77.30 إلى 80.20

  5. اختر R80.20 التثبيت والترقية الجديدة لإدارة الأمن.
  6. عند تثبيت التحديث، حدد التثبيت النظيف. بعد التثبيت، سيتم إعادة تشغيل النظام.
  7. نحن نمر المرة الأولى ساحر.
  8. بعد الوصول، نقوم بفحص الحسابات.
  9. نتصل بالرسائل النصية القصيرة عبر SSH ونغير غلاف المستخدم إلى /bin/bash/:

    قم بتعيين المستخدم <username> shell /bin/bash/

    حفظ التكوين (في حالة أردنا ترك bin/bash/ كصدفة افتراضية بعد إعادة التشغيل).

  10. بعد ذلك، نقوم بالاتصال بالرسائل النصية القصيرة عبر SCP ونقل الأرشيف بالتكوين في الوضع الثنائي SMS_w_logs_export_r77_r80.tgz إلى مجلد /var/log/UpgradeR77.30_R80.20/
  11. نقوم بإزالة المجموع الاختباري من الأرشيف: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz ومقارنتها بالقيمة السابقة . يجب أن يتطابق المجموع الاختباري.
  12. نقوم بزيادة مهلة جلسة SSH إلى 8 ساعات. لهذا:

    [Expert@HostName]# clish -c "إظهار مهلة عدم النشاط" انظر إلى كليش المهلة الحالية،

    [Expert@HostName]# clish -c "ضبط مهلة عدم النشاط على 720" تحديد كليش المهلة الجديدة (بالدقائق)،

    [Expert@HostName]# echo $TMOUT انظر إلى وضع الخبراء الحالي للمهلة،

    [Expert@HostName]# تصدير TMOUT=3600 حدد وضع خبير المهلة الجديد (بالثواني). إذا قمت بتعيين القيمة إلى 0، فسيتم تعطيل المهلة.

  13. لاستيراد الإعدادات، قم بتشغيل الأداة المساعدة لاستيراد الترحيل. للقيام بذلك، انتقل إلى المجلد: مؤتمر نزع السلاح $FWDIR/bin/upgrade_tools/وقم بتشغيل الاستيراد: ./ترحيل عفريت
    ort -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

دعونا نستمتع بالحياة في الساعتين القادمتين. لا تقم بفصل جلسة SSH الخاصة بك أثناء الإجراء. في النهاية، ستعرض عملية الترحيل إما رسالة نجاح أو خطأ. 

قائمة المراجعة بعد التحديث

  1. توافر الموارد.
  2. SIC مع غيغاواط.
  3. التراخيص. إذا تم عرض التراخيص بشكل غير صحيح أو لم يتم عرضها على الرسائل القصيرة، قم بتشغيل الأمر vsec_central_licence لتوزيع الترخيص.
  4. تحديد السياسة. 

استيراد قاعدة بيانات SmartEvent

  1. قم بتنشيط شفرة SmartEvent.
  2. نقوم بالاتصال عبر WinSCP بالرسائل النصية القصيرة وننقل الملفات التي تم تنزيلها مسبقًا في الوضع الثنائي <تاريخ>-ديسيبل-backup.backup и EventiaUpgrade.tar إلى مجلد /var/log/UpgradeR77.30_R80.20/
  3. نقوم بتشغيل البرنامج النصي باستخدام الأمر: $RTDIR/bin/eventiaUpgrade.sh -upgrade /var/log/UpgradeR77.30_R80.20/eventiaUpgrade.tar
  4. التحقق من الحالة: شاهد -n 10 eventsiaUpgrade.sh
  5. التحقق من السجلات في SmartEvent. حلم!

تحديث مجموعة Check Point GW (نشطة/احتياطية)

قبل البدء بالعمل

  1. نقوم بحفظ تكوين GAIA من كل عقدة نظام المجموعة إلى ملف، للقيام بذلك استخدم الأمر: clish -c "إظهار التكوين" > ./<اسم الملف>.txt
  2. رفع الملفات باستخدام WinSCP.
  3. اتصل بواجهة WebUI لكلا العقدتين وانتقل إلى علامة التبويب CPUSE → عرض كافة الحزم.
  4. العثور على حزمة التحديث للإصدار R80.20 تثبيت جديد، يضعط تحميل.
  5. نتحقق من أن بروتوكول CCP يعمل في الوضع إذاعةللقيام بذلك، أدخل الأمر: cphaprob - إذا
    إذا تم تحديد الوضع الإرسال المتعدد، استبدله بالأمر: بث cphaconf set_ccp (يتم تنفيذ الأمر على كل عقدة).
  6. نقوم بتثبيت وقت التوقف عن العمل للعقد المعنية في نظام المراقبة الخاص بك.
  7. نتحقق من تمكين المعلمات على مستوى المحاكاة الافتراضية تغيير عنوان MAC и عمليات نقل مزورة لشبكة المزامنة.

تحديث

  1. نتصل عبر ssh بالعقدة النشطة ونقوم بتشغيل الأمر لمراقبة حالة المجموعة: مشاهدة -n 2 cphaprob القانون
  2. ارجع إلى علامة تبويب عقد WebUI Stanby وحدة المعالجة المركزية وللحزمة المختارة R80.20 تثبيت جديد يطلق المدقق.
  3. دعونا نحلل تقرير المدقق. إذا كان التثبيت مسموحًا، فانتقل.
  4. حدد الحزمة R80.20 تثبيت جديد وإطلاق إرفع مستوى باقتك. أثناء عملية الترقية، سيتم إعادة تشغيل النظام. يتم حفظ إعدادات GAIA. في وقت إعادة التشغيل، نراقب حالة الكتلة. بعد التحميل، يجب أن تتغير حالة العقدة المحدثة إلى جاهز. في عدد من الحالات، واجهنا لحظة عندما تحولت العقدة التي لم يتم تحديثها بعد إلى حالة الانتباه النشط وتوقفت عن عرض حالة العقدة المحدثة. لا تنزعج - هذا الخيار مقبول أيضًا.
  5. بمجرد اكتمال التحديث، افتح لوحة القيادة الذكية.
  6. افتح كائن الكتلة وقم بتغيير إصدار المجموعة من R77.30 إلى R80.20. انقر فوق موافق. إذا ظهر خطأ عند حفظ التغييرات:
    حدث خطأ داخلي. (الرمز: 0x8003001D، تعذر الوصول إلى الملف لعملية الكتابة)،
    يتبع SK119973. بعد ذلك، قم بحفظ التغييرات وانقر فوق تثبيت السياسة.
  7. في الإعدادات، قم بإلغاء تحديد الخيار بالنسبة لمجموعات العبّارة، إذا فشل التثبيت على أحد أعضاء المجموعة، فلا تقم بالتثبيت على تلك المجموعة.
  8. لقد وضعنا السياسة. سيقوم النظام بإنشاء خطأ للعقدة النشطة التي لم يتم تحديثها بعد.
  9. نتصل بالعقدة المحدثة عبر ssh ونقوم بتشغيل الأمر لمراقبة حالة المجموعة: مشاهدة -n 2 cphaprob القانون
  10. اتصل بعقدة WebUI Active وانتقل إلى علامة التبويب CPUSE → عرض كافة الحزم.العثور على حزمة التحديث للإصدار R80.20 تثبيت جديد، انقر تحميل.
  11. نقوم بتثبيت وقت التوقف عن العمل للعقد المعنية في نظام المراقبة الخاص بك.
  12. ارجع إلى علامة التبويب عقد WebUI النشطة وحدة المعالجة المركزية وللحزمة المختارة R80.20 تثبيت جديد يطلق المدقق.
  13. دعونا نحلل تقرير المدقق. إذا كان التثبيت مسموحًا، فانتقل.
  14. حدد الحزمة R80.20 تثبيت جديد وإطلاق تطوير. أثناء عملية الترقية، سيتم إعادة تشغيل النظام. يتم حفظ إعدادات GAIA. في وقت إعادة التشغيل، نقوم بمراقبة حالة المجموعة على العقدة المحدثة بالفعل. بعد إعادة التشغيل، ستتغير حالة المجموعة على العقدة المحدثة من جاهز إلى نشط.
  15. عند اكتمال عملية الترقية، قم بتشغيل SmartDashboard وقم بتعيين السياسة.

قائمة المراجعة بعد التحديث

  • سجلات الأحداث في SmartLog، وحالة أنفاق VPN.
  • إعدادات غايا.
  • استعادة الكتلة بعد فشل الاختبار.
  • التراخيص والعقود. إذا تم عرض التراخيص بشكل غير صحيح أو لم يتم عرضها على الرسائل القصيرة، قم بتشغيل الأمر. vsec_central_licence لتوزيع الترخيص.
  • كور XL.
  • SecureXL.
  • الإصلاح العاجل وCPinfo على عقدتين.

اختتام

بشكل عام، هذا كل شيء في هذه المرحلة – لقد تم تحديثك.

بالنسبة لنا، استغرقت العملية بأكملها في المتوسط ​​من 6 إلى 12 ساعة، اعتمادًا على حجم قواعد البيانات المصدرة. تم تنفيذ العمل على مدار ليلتين: واحدة لتحديث الرسائل النصية القصيرة والثانية للمجموعة.

لم يكن هناك توقف في حركة المرور، على الرغم من أننا قمنا بفحص جميع الأخطاء المذكورة أعلاه بأنفسنا.

بالطبع، في بعض الأحيان قد تنشأ صعوبات جديدة تمامًا أثناء عملية التحديث، ولكن هذه هي نقطة التفتيش، وكما نعلم جميعًا، هناك دائمًا إصلاح عاجل!

ليالي وتحديثات سعيدة باللونين الأسود والوردي!

المصدر: www.habr.com

إضافة تعليق