Міграцыя з Check Point з R77.30 на R80.10

Добры дзень калегі, сардэчна запрашаем на ўрок па міграцыі баз даных Check Point R77.30 на R80.10.

Пры выкарыстанні прадуктаў кампаніі Check Point рана ці позна ўстае задача міграцыі існуючых правіл і базы дадзеных аб'ектаў па наступных прычынах:

1. Пры куплі новай прылады, неабходна міграваць базу дадзеных са старой прылады на новую прыладу (на бягучую версію GAIA OS або вышэй).
2. Неабходна абнавіць прыладу з адной версіі GAIA OS на больш высокую версію на лакальнай машыне.

Для рашэння першай задачы падыходзіць толькі выкарыстанне прылады пад назвай Management Server Migration Tool ці ж проста Migration Tool. Для рашэння задачы №2 можа выкарыстоўвацца рашэнне CPUSE ці Migration Tool.
Далей разгледзім больш дэталёва абодва метады.

Абнаўленне на новую прыладу

Міграцыя базы дадзеных мяркуе ўсталёўку апошняй версіі Management на новую машыну, а затым міграцыю базы дадзеных з існага сервера кіравання бяспекай на новы з дапамогай прылады Migration Tool. Гэты метад мінімізуе рызыку абнаўлення для наяўнай канфігурацыі.

Для таго каб зміграваць базу дадзеных з дапамогай Migration Tool трэба адпавядаць патрабаванням:

1. Вольнага месца на дыску павінна быць больш, чым памер архіва экспартаванай базы даных, у 5 разоў.
2. На мэтавым серверы сеткавыя наладкі павінны супадаць з серверам крыніцы.
3. Стварэнне бэкапу. Экспарт базы даных трэба вырабляць на выдалены сервер.
   У аперацыйнай сістэме GAIA ужо варта прылада Migration Tool, яго можна выкарыстоўваць пры імпартаванні базы дадзеных ці для міграцыі на версію аперацыйнай сістэмы ідэнтычнай пачатковай. Для таго каб зміграваць базу дадзеных на больш высокую версію аперацыйнай сістэмы неабходна загрузіць Migration Tool адпаведнай версіі з падзелу "Інструменты" на сайце падтрымкі Check Point R80.10:
4. Бэкап і міграцыя SmartEvent / SmartReporter Server. Утыліты 'backup' і 'migrate export' не ўключаюць дадзеныя баз SmartEvent database / SmartReporter database.
   Для бэкапу і міграцыі трэба выкарыстоўваць утыліты 'eva_db_backup' ці 'evs_backup'.
   Заўвага: артыкул sk110173 у базе ведаў CheckPoint.

Разгледзім якія функцыі ўтрымоўвае дадзеную прыладу:

Перш чым непасрэдна перайсці да міграцыі дадзеных, неабходна спачатку разархіваваць скачаны інструмент Migration Tool у тэчку “/opt/CPsuite-R77/fw1/bin/upgrade_tools/ ”, экспартаванне базы трэба рабіць, выкарыстоўваючы каманды з каталога, куды вы разархівавалі інструмент.

Перш чым запускаць каманду для экспарту або імпарту, зачыніце ўсе кліенты SmartConsole або запусціце cpstop на сервер кіравання бяспекай.

Каб стварыць файл экспарту базы дадзеных кіравання на зыходным серверы:

1. Увайдзіце ў рэжым expert.
2. Запусціце сродак папярэдняй праверкі: pre_upgrade_verifier -p $FWDIR -c R77 -t R80.10. Калі ёсць памылкі, выпраўце іх перад працягам.
3. Запусціце: ./migrate export filename.tgz. Каманда экспартуе змест базы дадзеных Security Management Server у файл TGZ.
4. Выконвайце інструкцыі. База даных экспартуецца ў файл, які вы назвалі ў камандзе. Пераканайцеся, што вы вызначылі яго як TGZ.
5. Калі SmartEvent усталяваны на зыходным сэрвэры, экспартуйце базу дадзеных падзей.

Далей імпартуем базы даных сервера бяспекі, якую экспартавалі. Перш чым пачаць: усталюйце R80 Security Management Server. Нагадваю, што сеткавыя налады новага Management Server R80.10 павінны супадаць з наладамі старога сервера.

Каб імпартаваць канфігурацыю сервера кіравання:

1. Увайдзіце ў рэжым expert.
2. Перадайце (з FTP, SCP ці аналагічны) экспартаваны файл канфігурацыі на выдалены сервер, сабраны з крыніцы на новы сервер.
3. Адключыце зыходны сервер ад сеткі.
4. Перадайце файл канфігурацыі з выдаленага сервера на новы сервер.
5. Разлічыце MD5 для перанесенага файла і параўнайце з MD5, які быў разлічаны на зыходным серверы: # md5sum filename.tgz
6. Імпартаваць базу дадзеных: ./migrate import filename.tgz
7. Праверка абнаўлення.

Па завяршэнні 7 пункта які рэзюмуецца што міграцыя базы дадзеных прайшла паспяхова з дапамогай Migration Tool, у выпадку няўдачы можна заўсёды ўлучыць зыходны сервер, у выніку чаго праца ніяк не папакутуе.

Варта адзначыць, што міграцыя са standalone сервера не падтрымліваецца.

Лакальнае абнаўленне

CPUSE(Check Point Upgrade Service Engine) дазваляе аўтаматычна абнаўляць прадукты Check Point для АС Gaia. Пакеты абнаўлення праграмнага забеспячэння падзелены па катэгорыях, а менавіта major releases, minor releases and Hotfixes. Gaia аўтаматычна знаходзіць і паказвае даступныя пакеты абнаўленняў праграмнага забеспячэння і выявы, якія маюць дачыненне да версіі аперацыйнай сістэмы Gaia, на якую можна абнавіцца. З дапамогай CPUSE можна зрабіць чыстую ўстаноўку новай версіі GAIA OS, так і выканаць абнаўленне сістэмы з міграцыяй базы дадзеных.

Каб абнавіцца на больш высокую версію або выканаць чыстую ўстаноўку з выкарыстаннем CPUSE, на машыне павінна быць дастаткова вольнага (неразмеркаванага) месца - як мінімум у памеры каранёвай часткі.

Пераход на новую версію выконваецца на новай частцы цвёрдай кружэлкі, а "стары" частка пераўтворыцца ў Gaia Snapshot (новая прастора часткі бярэцца з неразмеркаванай прасторы на цвёрдай кружэлцы). Таксама перад абнаўленнем сістэмы будзе правільна зрабіць snapshot і загрузіць яго на выдалены сервер.

Працэс абнаўлення:

1. Праверце пакет абнаўлення (калі вы яшчэ гэтага не зрабілі) - праверце, ці можна ўсталяваць гэты пакет без канфліктаў: ​​пстрыкніце правай кнопкай мышы на пакеце - націсніце "Verifier".

   Вынік павінен быць прыкладна такі:

   • Installation is allowed
   • Upgrade is allowed
2. Усталюйце пакет: пстрыкніце правай кнопкай мышы пакет і націсніце "Upgrade":
   CPUSE паказвае наступнае папярэджанне ў Gaia Portal: Пасля гэтага паляпшэння, яны будуць аўтаматычна правяраць (Existing OS settings and Check Point Database are preserved).
3. Вы ўбачыце адпаведны прагрэс па міграцыі дадзеных пасля абнаўлення да R80.10:
   • Upgrading Products
   • Importing Database
   • Configuring Products
   • Creating SIC Data
   • Прыпынак працэсаў
   • Starting Processes
   • Installed, self-test passed
4. Сістэма аўтаматычна перазагрузіцца
5. Усталяванне палітыкі ў SmartConsole

Як бачыце ўсё праходзіць вельмі проста, у выпадку ўзнікнення праблемы можна зрабіць адкат на старыя наладкі з дапамогай зробленага snapshot.

Практыка

У прадстаўленым відэа ўроку змяшчаецца тэарэтычная і практычная частка. Першая палова відэа дублюе апісаную тэарэтычную частку, а ў практычным прыкладзе паказана міграцыя дадзеных з дапамогай абодвух метадаў.

Заключэнне

У дадзеным уроку мы разгледзелі рашэнні кампаніі Check Point па задачы абнаўлення і міграцыі баз дадзеных аб'ектаў і кіраваў. У выпадку новай прылады няма іншых рашэнняў акрамя як выкарыстанне прылады Migration Tool. Калі вы жадаеце правесці абнаўленне GAIA OS і ў вас ёсць жаданне і магчымасць разгарнуць нанава машыну, наша кампанія раіць, засноўваючыся на існым досведзе, зміграваць базу дадзеных з дапамогай Migration Tool. Гэты метад мінімізуе рызыку абнаўлення для наяўнай канфігурацыі ў параўнанні з CPUSE. Таксама пры абнаўленні праз CPUSE шматлікія непатрэбныя старыя файлы захоўваюцца на дыску, і каб іх выдаліць патрабуецца дадатковая прылада, што цягне за сабой дадатковыя дзеянні і новыя рызыкі.

Калі не жадаеце прапусціць будучыя ўрокі, то падпісвайцеся ў нашу групу VK, Youtube и Тэлеграма. Калі ж вы па якой-небудзь прычыне не змаглі знайсці патрэбны дакумент ці вырашыць сваю праблему з Check Point, то можаце смела звяртацца да нам.

Крыніца: habr.com