ProHoster > Блог > Administracija > Ažuriranje Check Point-a sa R77.30 na 80.20

Ažuriranje Check Point-a sa R77.30 na 80.20

Ažuriranje Check Point-a sa R77.30 na 80.20

U jesen 2019. Check Point je prestao da podržava verzije R77.XX, te je bilo potrebno ažuriranje. Dosta je već rečeno o razlici između verzija, prednostima i nedostacima prelaska na R80. Hajde da razgovaramo o tome kako zapravo ažurirati Check Point virtuelne uređaje (CloudGuard za VMware ESXi, Hyper-V, KVM Gateway NGTP) i šta može poći po zlu.

Dakle, imali smo 2 CCSE inženjera, više od deset virtualnih klastera Check Point R77.30, nekoliko oblaka, nekoliko hitnih popravki i čitavo more raznih bagova, kvarova i svega toga, svih boja i veličina, i takođe veoma kratki rokovi. Idemo!

Sadržaj:

Trening
Ažuriranje servera za upravljanje
Ažuriranje klastera

Ažuriranje Check Point-a sa R77.30 na 80.20

Ovako izgleda infrastruktura oblaka tipične klijenta sa virtuelnim Check Pointom

Trening

Prvi korak je da provjerite da li ima dovoljno resursa za ažuriranje. Preporučeni minimalni zahtjevi za R80.20 trenutno izgledaju ovako:

uređaj

CPU

RAM

HDD

Security Gateway

2 jezgra

4 Gb

Od 15 GB

SMS

2 jezgra

6 Gb

-

Preporuke su opisane u dokumentu CP_R80.20_GA_Release_Notes.

Ali bićemo realni. Ako je to dovoljno u najminimalnijoj konfiguraciji, onda, kao što praksa pokazuje, obično imamo omogućenu https inspekciju, SmartEvent koji radi na SMS-u itd., što, naravno, zahtijeva potpuno drugačije kapacitete. Ali općenito, ne više od R77.30.

Ali postoje nijanse. A odnose se, prije svega, na veličinu fizičke memorije. Mnoge operacije direktno tokom procesa ažuriranja će zahtevati prostor na čvrstom disku.

Za server za upravljanje, veličina slobodnog prostora na disku će u velikoj meri zavisiti od količine trenutnih dnevnika (ako želimo da ih sačuvamo) i od broja sačuvanih revizija baze podataka, iako nam više neće trebati u velikim količinama. Naravno, za čvorove klastera (osim ako ne pohranjujete i dnevnike lokalno) sve ovo nije važno. Evo kako provjeriti imate li prostora koji vam je potreban:

  1. Povezujemo se na Smart Management Server preko ssh-a, idemo u stručni mod i unosimo naredbu:

    [Expert@cp-sms:0]# df -h

  2. Na izlazu ćemo vidjeti nešto poput ove konfiguracije:

    Korištena veličina sistema datoteka Dostupna upotreba % Montirano
    /dev/mapper/vg_splat-lv_current 30G 7.4G 21G 27% /
    /dev/sda1 289M 24M 251M 9% /boot
    tmpfs 2.0G 0 2.0G 0% /dev/shm
    /dev/mapper/vg_splat-lv_log 243G 177G 53G 78% /var/log

  3. Trenutno smo zainteresovani za sekciju / var / log

Imajte na umu da u zavisnosti od pravila za pohranjivanje i brisanje starih datoteka evidencije, kao i veličine izvezene baze podataka, može biti potrebno više prostora. Ako, prilikom kreiranja arhive, ima manje slobodnog prostora nego što je navedeno u politici skladištenja datoteke dnevnika, sistem će početi da briše stare evidencije i NEĆE ih uključiti u arhivu.

Takođe, za sam proces ažuriranja, sistemu će biti potrebno najmanje 13 GB nedodijeljenog prostora na tvrdom disku. Njegovo prisustvo možete provjeriti naredbom:

[Expert@cp-sms:0]# pvs

Vidjet ćemo nešto ovako:

PV VG Fmt Attr PSize PFree
/dev/sda3 vg_splat lvm2 a- 141.69G 43.69G

U ovom slučaju imamo 43 GB. Resursa ima dovoljno. Možete započeti ažuriranje.

Ažuriranje Check Point SMS servera za upravljanje

Prije početka rada potrebno je uraditi sljedeće:

  1. Instalirajte paket alata za migraciju na server za upravljanje. Da biste to učinili, morate preuzeti sliku s portala Check Point.
  2. Učitajte arhivu na server za upravljanje preko WinSCP-a u folder /var/log/UpgradeR77.30_R80.20 (ako je potrebno, prvo kreirajte folder).
  3. Povežite se sa serverom za upravljanje preko SSH-a i idite u fasciklu sa arhivom:cd /var/log/UpgradeR77.30_R80.20/
  4. Raspakujte fajl:tar -zxvf ./<ime datoteke>.tgz
  5. Pokrećemo uslužni program pre_upgrade_verifier sa naredbom: ./pre_upgrade_verifier -p $FWDIR -c R77 -t R80.20
  6. Nakon izvršenja naredbe, biće generisan izvještaj o nekompatibilnim postavkama. Dostupan je na: /opt/CPsuite-R77/fw1/log/pre_upgrade_verification_report.(xls, html, txt). Pogodnije je uploadati ga putem SCP-a i gledati kroz pretraživač.
    Da biste riješili sve nekompatibilne postavke, koristite SK117237.
  7. Zatim ponovo pokrenite uslužni program pre_upgrade_verifier da biste bili sigurni da su svi uzroci nekompatibilnosti eliminirani.
  8. Zatim prikupljamo informacije o mrežnim sučeljima, tablici usmjeravanja i prenosimo GAIA konfiguraciju:
    ip a > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
    ip r > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
    clish -c "prikaži konfiguraciju" > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
  9. Prenesite rezultujuću datoteku putem SCP-a.
  10. Napravimo snimak na nivou virtuelizacije.
  11. Timeout SSH sesije povećavamo na 8 sati. Zavisi od vaše sreće: ovisno o veličini izvezene baze podataka, može trajati od nekoliko minuta do nekoliko sati. Za ovo: 
    [Expert@HostName]# clish -c "prikaži neaktivnost-vremensko ograničenje" pogledajte trenutni tajmaut sukob,

    [Expert@HostName]# clish -c "podesite neaktivnost-timeout 720" odredite novi kliš vremena čekanja (u minutama),

    [Expert@HostName]# echo $TMOUT pogledajte trenutni stručni mod za vremensko ograničenje,

    [Expert@HostName]# izvoz TMOUT=3600 odredite novi stručni mod za vremensko ograničenje (u sekundama), ako postavite vrijednost na 0, tada će timeout biti onemogućen.

  12. Preuzimamo i montiramo instalacijsku sliku SMS.iso na virtuelnu mašinu.

    Prije sljedećeg koraka, OBAVEZNO provjerite da li imate dovoljno nedodijeljenog prostora na tvrdom disku (zapamtite, potrebno vam je 13 GB). 

  13. Prije nego počnete izvoziti konfiguraciju, promijenite datoteku dnevnika naredbom: fw logswitch

Izvoz konfiguracije i dnevnika

  1. Pokrenite uslužni program migrate_export da preuzmete konfiguraciju. Da biste to učinili, idite na prethodno kreiranu mapu: cd /var/log/UpgradeR77.30_R80.20/ i koristite naredbu: ./migrate export -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

    ili

    idi u folder: cd $FWDIR/bin/upgrade_tools/ и
    pokrenite naredbu odatle: ./migrate export -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

  2. Uklanjamo kontrolni zbroj iz arhive: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz
  3. Sačuvajte rezultirajuću vrijednost u notes.
  4. Povezujemo se na SMS preko SCP-a i učitavamo arhivu sa konfiguracijom na radnu stanicu. Obavezno koristite prijenos datoteka u binarnom formatu.

Izvezite SmartEvent bazu podataka

Ovdje nam treba unaprijed instalirana SMS verzija R80. Bilo koji test će poslužiti. 

  1. Od SMS-a nam je potrebna skripta koja se nalazi ovdje:$RTDIR/bin/eva_db_backup.csh
  2. Učitajte skriptu putem SCP-a eva_db_backup.csh u folder: /var/log/UpgradeR77.30_R80.20/
  3. Povežite se putem SSH na SMS. Kopiraj fajl u folder: cp /var/log/UpgradeR77.30_R80.20/eva_db_backup.csh
    $RTDIR/bin/eva_db_backup.csh
  4. Promjena kodiranja: dos2unix $RTDIR/bin/eva_db_backup.csh
  5. Dodavanje vlasnika: chown -v admin: root $RTDIR/bin/eva_db_backup.csh
  6. Dodajte prava: chmod -v 0755 $RTDIR/bin/eva_db_backup.csh
  7. Počinjemo s izvozom SmartEvent baze podataka: $RTDIR/bin/eva_db_backup.csh
  8. Prenesite primljene fajlove putem SCP-a: $RTDIR/bin/<datum>-db-backup.backup и $RTDIR/bin/eventiaUpgrade.tar na radnu stanicu.

Ažuriraj

  1. Idi WebUI GAIA SMS → CPUSE → Prikaži sve pakete.
  2. Ako CPUSE daje grešku pri povezivanju sa Check Point oblakom, provjerite DGW, DNS i proxy postavke.
  3. Ako je sve ispravno, a greška ne nestane, morate ručno ažurirati CPUSE, vođeni sk92449.
  4. Preuzmite sliku i prođite Verifier. Ako je potrebno, otklanjamo nedosljednosti.

    Kao rezultat, trebali biste vidjeti ovu poruku:

    Ažuriranje Check Point-a sa R77.30 na 80.20

  5. Odaberite R80.20 Nova instalacija i nadogradnja za upravljanje sigurnošću.
  6. Kada instalirate ažuriranje, izaberite Čista instalacija. Nakon instalacije, sistem će se ponovo pokrenuti.
  7. Prolazimo prvi put Čarobnjak.
  8. Nakon dobijanja pristupa, provjeravamo račune.
  9. Povezujemo se na SMS preko SSH-a i mijenjamo shell našeg korisnika u /bin/bash/:

    postaviti korisnika <korisničko ime> shell /bin/bash/

    sačuvaj konfiguraciju (u slučaju da želimo da ostavimo bin/bash/ kao podrazumevanu ljusku nakon ponovnog pokretanja).

  10. Zatim se povezujemo na SMS preko SCP-a i prenosimo arhivu s konfiguracijom u binarnom načinu rada SMS_w_logs_export_r77_r80.tgz u folder /var/log/UpgradeR77.30_R80.20/
  11. Uklanjamo kontrolni zbroj iz arhive: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz i uporedi sa prethodnom vrednošću. Kontrolni zbir se mora podudarati.
  12. Timeout SSH sesije povećavamo na 8 sati. Za ovo:

    [Expert@HostName]# clish -c "prikaži neaktivnost-vremensko ograničenje" pogledajte trenutni tajmaut sukob,

    [Expert@HostName]# clish -c "podesite neaktivnost-timeout 720" odredite novi kliš vremena čekanja (u minutama),

    [Expert@HostName]# echo $TMOUT pogledajte trenutni stručni mod za vremensko ograničenje,

    [Expert@HostName]# izvoz TMOUT=3600 odredite novi stručni mod za vremensko ograničenje (u sekundama). Ako postavite vrijednost na 0, timeout će biti onemogućen.

  13. Da uvezete postavke, pokrenite uslužni program za uvoz migriranja. Da biste to učinili, idite u folder: cd $FWDIR/bin/upgrade_tools/i pokrenite uvoz: ./migrate imp
    ort -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

Uživajmo u životu narednih nekoliko sati. NEMOJTE ISKLJUČITI SVOJ SSH SESIJU tokom procedure. Na kraju, proces migracije će prikazati poruku o uspjehu ili grešku. 

Kontrolna lista nakon ažuriranja

  1. Dostupnost resursa.
  2. SIC sa GW.
  3. Licence. Ako se licence ne prikazuju ispravno ili se ne prikazuju na SMS-u, pokrenite naredbu vsec_central_licence za distribuciju licence.
  4. Postavljanje politike. 

Uvoz SmartEvent baze podataka

  1. Aktivirajte SmartEvent blade.
  2. Povezujemo se preko WinSCP-a na SMS i prenosimo prethodno preuzete fajlove u binarnom modu <datum>-db-backup.backup и eventiaUpgrade.tar u folder /var/log/UpgradeR77.30_R80.20/
  3. Pokrećemo skriptu sa naredbom: $RTDIR/bin/eventiaUpgrade.sh -upgrade /var/log/UpgradeR77.30_R80.20/eventiaUpgrade.tar
  4. Provjera statusa: gledati -n 10 eventiaUpgrade.sh
  5. Provjera logova u SmartEventu. DREAM!

Ažuriranje Check Point GW klastera (aktivno/rezervno kopiranje)

Prije početka rada

  1. Spremamo GAIA konfiguraciju iz svakog čvora klastera u datoteku, da biste to učinili koristite naredbu: clish -c "prikaži konfiguraciju" > ./<ime datoteke>.txt
  2. Prijenos datoteka pomoću WinSCP-a.
  3. Povežite se na WebUI oba čvora i idite na karticu CPUSE → Prikaži sve pakete.
  4. Pronalaženje paketa ažuriranja za verziju R80.20 Nova instalacija, pritisnite Skinuti.
  5. Provjeravamo da CCP protokol radi u načinu rada Broadcast, da biste to učinili, unesite naredbu: cphaprob -a ako
    Ako je odabran način rada Multicast, zamijenite ga naredbom: cphaconf set_ccp emitiranje (naredba se izvršava na svakom čvoru).
  6. Instaliramo zastoje za uključene čvorove u vašem sistemu za nadzor.
  7. Provjeravamo da li su parametri omogućeni na nivou virtuelizacije Promjena MAC adrese и Forged Transmits za mrežu za sinhronizaciju.

Ažuriraj

  1. Povezujemo se preko ssh-a na aktivni čvor i pokrećemo naredbu za praćenje statusa klastera: gledati -n 2 cphaprob stat
  2. Vratite se na karticu WebUI Stanby čvorovi CPUSE i za odabrani paket R80.20 Nova instalacija lansiranje Verifier.
  3. Hajde da analiziramo izveštaj Verifikatora. Ako je instalacija dozvoljena, nastavite dalje.
  4. Odaberite paket R80.20 Nova instalacija i lansirati nadogradnja. Tokom procesa nadogradnje, sistem će se ponovo pokrenuti. GAIA postavke su sačuvane. U trenutku ponovnog pokretanja pratimo stanje klastera. Nakon učitavanja, status ažuriranog čvora trebao bi se promijeniti u READY. U brojnim slučajevima naišli smo na trenutak kada je čvor koji još nije bio ažuriran prešao u status Aktivne pažnje i prestao da prikazuje status ažuriranog čvora. Nemojte se uznemiravati - ova opcija je također prihvatljiva.
  5. Kada se ažuriranje završi, otvorite SmartDashboard.
  6. Otvorite objekt klastera i promijenite verziju klastera sa R77.30 na R80.20. Kliknite OK. Ako se pojavi greška prilikom spremanja promjena:
    Došlo je do interne greške. (Kôd: 0x8003001D, Nije moguće pristupiti datoteci za operaciju pisanja),
    pratiti SK119973. Nakon toga, sačuvajte promjene i kliknite Politika instalacije.
  7. U postavkama poništite izbor opcije Za klastere pristupnika, ako instalacija na članu klastera ne uspije, nemojte instalirati na taj klaster.
  8. Mi postavljamo politiku. Sistem će generirati grešku za aktivni čvor koji još nije ažuriran.
  9. Povezujemo se na ažurirani čvor preko ssh-a i pokrećemo naredbu za praćenje stanja klastera: gledati -n 2 cphaprob stat
  10. Povežite se na WebUI Active čvor i idite na karticu CPUSE → Prikaži sve pakete.Pronalaženje paketa ažuriranja za verziju R80.20 Nova instalacija, kliknite Skinuti.
  11. Instaliramo zastoje za uključene čvorove u vašem sistemu za nadzor.
  12. Vratite se na karticu WebUI Active nodes CPUSE i za odabrani paket R80.20 Nova instalacija lansiranje Verifier.
  13. Hajde da analiziramo izveštaj Verifikatora. Ako je instalacija dozvoljena, nastavite dalje.
  14. Odaberite paket R80.20 Nova instalacija i lansirati Upgrade. Tokom procesa nadogradnje, sistem će se ponovo pokrenuti. GAIA postavke su sačuvane. U trenutku ponovnog pokretanja, pratimo stanje klastera na već ažuriranom čvoru. Nakon ponovnog pokretanja, stanje klastera na ažuriranom čvoru će se promijeniti iz READY u ACTIVE.
  15. Kada je proces nadogradnje završen, pokrenite SmartDashboard i instalirajte politiku.

Kontrolna lista nakon ažuriranja

  • Evidencije događaja u SmartLog-u, status VPN tunela.
  • GAIA postavke.
  • Vraćanje klastera nakon probnog napuštanja greške.
  • Licence i ugovori. Ako se licence ne prikazuju ispravno ili se ne prikazuju na SMS-u, pokrenite naredbu. vsec_central_licence za distribuciju licence.
  • CoreXL.
  • SecureXL.
  • Hotfix i CPinfo na dva čvora.

zaključak

Općenito, to je sve u ovom trenutku - ažurirani ste.

Kod nas je cijeli proces u prosjeku trajao od 6 do 12 sati, ovisno o veličini izvezenih baza podataka. Rad je obavljen tokom dvije noći: jedna za ažuriranje SMS-a, druga za klaster.

Zastoja u saobraćaju nije bilo, uprkos činjenici da smo sve gore navedene greške provjerili na sebi.

Naravno, ponekad se mogu pojaviti potpuno nove poteškoće tokom procesa ažuriranja, ali ovo je Check Point, a kao što svi znamo, uvijek postoji hitna ispravka!

Sretne crne i ružičaste noći i ažuriranja!

izvor: www.habr.com

Dodajte komentar