Pag-update sa Check Point gikan sa R77.30 ngadto sa 80.20

Sa tinghunlak sa 2019, ang Check Point mihunong sa pagsuporta sa mga bersyon R77.XX, ug gikinahanglan nga i-update. Daghan na ang gisulti bahin sa kalainan tali sa mga bersyon, ang mga bentaha ug disbentaha sa pagbalhin sa R80. Mas maayo nga hisgutan kung giunsa ang pag-update sa mga virtual appliances sa Check Point (CloudGuard para sa VMware ESXi, Hyper-V, KVM Gateway NGTP) ug kung unsa ang mahimong sayup.

Busa, kami adunay 2 ka mga inhenyero sa CCSE, labaw sa usa ka dosena nga Check Point R77.30 nga virtual clusters, daghang mga panganod, pipila ka mga hotfix ug usa ka tibuok dagat sa lain-laing mga bug, glitches ug tanan nga, sa tanan nga mga kolor ug gidak-on, ug higpit usab kaayo nga mga deadline. Adto na ta!

Mga Kaundan:

Training
Pag-update sa server sa pagdumala
Pag-update sa cluster

Kini ang hitsura sa usa ka kasagaran nga imprastraktura sa panganod sa kliyente nga adunay virtual nga Check Point

Training

Ang una nga lakang mao ang pagsusi kung adunay igo nga mga kapanguhaan alang sa pag-update. Ang girekomenda nga minimum nga mga kinahanglanon alang sa R80.20 karon tan-awon sama niini:

device

CPU

RAM

HDD

Gateway sa Seguridad

Panguna nga 2

4 Gb

Gikan sa 15 GB

SMS

Panguna nga 2

6 Gb

-

Ang mga rekomendasyon gihulagway sa dokumento CP_R80.20_GA_Release_Notes.

Apan kita mahimong realistiko. Kung kini igo na sa pinakagamay nga pag-configure, nan, ingon sa gipakita sa praktis, kasagaran nga gi-enable ang pag-inspeksyon sa https, ang SmartEvent nga nagdagan sa SMS, ug uban pa, nga, siyempre, nanginahanglan hingpit nga lainlaing mga kapasidad. Apan sa kinatibuk-an, dili mosobra sa R77.30.

Apan adunay mga nuances. Ug kini adunay kalabutan, una sa tanan, sa gidak-on sa pisikal nga panumduman. Daghang mga operasyon nga direkta sa panahon sa proseso sa pag-update magkinahanglan og hard disk space.

Alang sa server sa pagdumala, ang gidak-on sa libre nga espasyo sa disk magdepende kaayo sa gidaghanon sa mga karon nga mga troso (kung gusto namon nga i-save kini) ug sa gidaghanon sa mga na-save nga Mga Pagbag-o sa Database, bisan kung dili na namon kini kinahanglan sa daghang gidaghanon. Siyempre, alang sa mga cluster node (gawas kung magtipig ka usab og mga troso sa lokal) kining tanan dili igsapayan. Ania kung giunsa pagsusi kung naa ka lugar nga kinahanglan nimo:

1. Nagkonektar kami sa Smart Management Server pinaagi sa ssh, adto sa expert mode ug isulod ang command:

   [Expert@cp-sms:0]# df -h

2. Sa output atong makita ang usa ka butang nga sama niini nga configuration:

   Gidak-on sa Filesystem nga Gigamit Magamit ang Paggamit% Gi-mount sa
   /dev/mapper/vg_splat-lv_current 30G 7.4G 21G 27% /
   /dev/sda1 289M 24M 251M 9% /boot
   tmpfs 2.0G 0 2.0G 0% /dev/shm
   /dev/mapper/vg_splat-lv_log 243G 177G 53G 78% /var/log

3. Interesado kami karon sa seksyon / var / log

Palihug timan-i nga depende sa polisiya sa pagtipig ug pagtangtang sa daan nga mga file sa log, ingon man ang gidak-on sa gi-eksport nga database, mahimong gikinahanglan ang dugang nga luna. Kung, kung maghimo usa ka archive, adunay gamay nga libre nga wanang kaysa gitakda sa polisiya sa pagtipig sa file sa log, ang sistema magsugod sa pagtangtang sa mga daan nga troso ug DILI kini iapil sa archive.

Usab, alang sa proseso sa pag-update sa iyang kaugalingon, ang sistema magkinahanglan labing menos 13 GB sa wala gigahin nga hard disk space. Mahimo nimong susihon ang presensya niini gamit ang mando:

[Expert@cp-sms:0]# pvs

Atong makita ang usa ka butang nga sama niini:

PV VG Fmt Attr PS Size PFree
/dev/sda3 vg_splat lvm2 a- 141.69G 43.69G

Sa kini nga kaso kami adunay 43 GB. Adunay igo nga mga kapanguhaan. Mahimo ka magsugod sa pag-update.

Pag-update sa Check Point SMS management server

Sa dili pa magsugod sa trabaho kinahanglan nimo nga buhaton ang mosunod:

1. I-install ang Migration Tools package sa management server. Aron mahimo kini, kinahanglan nimo nga i-download ang imahe gikan sa portal Check Point.
2. I-upload ang archive sa management server pinaagi sa WinSCP ngadto sa folder /var/log/UpgradeR77.30_R80.20 (kon gikinahanglan, paghimo una og folder).
3. Sumpaysumpaya ang management server pinaagi sa SSH ug adto sa folder nga adunay archive:cd /var/log/UpgradeR77.30_R80.20/
4. Unzip ang file:tar -zxvf ./<file name>.tgz
5. Gilunsad namo ang pre_upgrade_verifier utility uban ang sugo: ./pre_upgrade_verifier -p $FWDIR -c R77 -t R80.20
6. Sa pagpatuman sa mando, usa ka report sa dili magkatugma nga mga setting ang mabuhat. Anaa kini sa: /opt/CPsuite-R77/fw1/log/pre_upgrade_verification_report.(xls, html, txt). Mas sayon ​​​​ang pag-upload niini pinaagi sa SCP ug tan-awon kini pinaagi sa usa ka browser.
   Aron masulbad ang bisan unsang dili magkatugma nga mga setting, gamita SK117237.
7. Unya pagdagan pag-usab ang pre_upgrade_verifier utility aron masiguro nga ang tanan nga mga hinungdan sa dili pagkaangay nawagtang.
8. Sunod, gikolekta namo ang impormasyon bahin sa mga interface sa network, ang routing table ug gi-upload ang GAIA configuration:
   ip a > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
   ip r > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
   clish -c "ipakita ang configuration" > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
9. I-upload ang resulta nga file pinaagi sa SCP.
10. Nagkuha kami usa ka snapshot sa lebel sa virtualization.
11. Atong dugangan ang timeout sa SSH session ngadto sa 8 ka oras. Nagdepende kini sa imong swerte: depende sa gidak-on sa gi-eksport nga database, kini molungtad gikan sa pipila ka minuto ngadto sa pipila ka oras. Alang niini: 
    [Expert@HostName]# clish -c "ipakita ang pagkadili aktibo-oras" tan-awa ang karon nga timeout clish,

    [Expert@HostName]# clish -c "set inactivity-timeout 720" ipiho ang bag-ong timeout clish (sa mga minuto),

    [Expert@HostName]# echo $TMOUT tan-awa ang karon nga timeout expert mode,

    [Expert@HostName]# export TMOUT=3600 espesipiko ang bag-ong timeout expert mode (sa mga segundo), kung imong ibutang ang bili sa 0, unya ang timeout ma-disable.

12. Among gi-download ug gi-mount ang imahe sa pag-install sa SMS.iso sa virtual machine.

    Sa dili pa ang sunod nga lakang, SIGURADO pag-double check nga aduna kay igo nga wala gigahin nga luna sa imong hard drive (hinumdomi, kinahanglan nimo ang 13 GB). 

13. Sa dili pa magsugod sa pag-eksport sa configuration, usba ang log file gamit ang command: fw logswitch

Pag-export sa configuration ug mga log

1. Pagdalagan ang migrate_export utility aron ma-download ang configuration. Aron mahimo kini, adto sa kaniadto nga gihimo nga folder: cd /var/log/UpgradeR77.30_R80.20/ ug gamita ang command: ./migrate export -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

   o

   adto sa folder: cd $FWDIR/bin/upgrade_tools/ и
   pagdagan ang command gikan didto: ./migrate export -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

2. Gikuha namo ang checksum gikan sa archive: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz
3. I-save ang resulta nga kantidad sa notepad.
4. Nagkonektar kami sa SMS pinaagi sa SCP ug gi-upload ang archive nga adunay configuration sa workstation. Siguruha nga gamiton ang pagbalhin sa file sa format nga Binary.

I-export ang database sa SmartEvent

Dinhi atong gikinahanglan ang pre-installed SMS nga bersyon R80. Ang bisan unsang pagsulay mahimo. 

1. Gikan sa SMS kinahanglan namon ang usa ka script nga nahimutang dinhi:$RTDIR/bin/eva_db_backup.csh
2. I-load ang script pinaagi sa SCP eva_db_backup.csh sa folder: /var/log/UpgradeR77.30_R80.20/
3. Sumpaysumpaya pinaagi sa SSH ngadto sa SMS. Kopyaha ang file sa folder: cp /var/log/UpgradeR77.30_R80.20/eva_db_backup.csh
   $RTDIR/bin/eva_db_backup.csh
4. Pagbag-o sa pag-encode: dos2unix $RTDIR/bin/eva_db_backup.csh
5. Pagdugang sa tag-iya: chown -v admin:root $RTDIR/bin/eva_db_backup.csh
6. Idugang ang mga katungod: chmod -v 0755 $RTDIR/bin/eva_db_backup.csh
7. Magsugod kita sa pag-eksport sa database sa SmartEvent: $RTDIR/bin/eva_db_backup.csh
8. I-upload ang nadawat nga mga file pinaagi sa SCP: $RTDIR/bin/<petsa>-db-backup.backup и $RTDIR/bin/eventiaUpgrade.tar ngadto sa workstation.

Pag-update

1. Adto sa WebUI GAIA SMS → CPUSE → Ipakita ang tanan nga mga pakete.
2. Kung ang CPUSE naghatag usa ka sayup sa pagkonektar sa Check Point nga panganod, susiha ang mga setting sa DGW, DNS ug Proxy.
3. Kung ang tanan husto, ug ang sayup dili mawala, nan kinahanglan nimo nga i-update ang CPUSE nga mano-mano, gigiyahan ni sk92449.
4. I-download ang hulagway ug adto Tigpamatuod. Kon gikinahanglan, atong wagtangon ang inconsistencies.

   Ingon usa ka sangputanan, kinahanglan nimo nga makita kini nga mensahe:

   

5. Pagpili R80.20 Bag-ong Pag-instalar ug Pag-upgrade alang sa Pagdumala sa Seguridad.
6. Kung gi-install ang update, pilia ang Clean Install. Human sa pag-instalar, ang sistema mag-reboot.
7. Naglabay mi sa First Time Wizard.
8. Human maka-access, among gisusi ang mga account.
9. Nagkonektar kami sa SMS pinaagi sa SSH ug giusab ang kabhang sa among user ngadto sa /bin/bash/:

   ibutang ang user <username> shell /bin/bash/

   save config (kung gusto namon nga biyaan ang bin / bash / ingon default nga kabhang pagkahuman sa pag-reboot).

10. Sunod, magkonektar kami sa SMS pinaagi sa SCP ug ibalhin ang archive nga adunay configuration sa Binary mode SMS_w_logs_export_r77_r80.tgz sa folder /var/log/UpgradeR77.30_R80.20/
    
11. Gikuha namo ang checksum gikan sa archive: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz ug itandi sa miaging bili. Kinahanglan nga magkatugma ang checksum.
12. Atong dugangan ang timeout sa SSH session ngadto sa 8 ka oras. Alang niini:

    [Expert@HostName]# clish -c "ipakita ang pagkadili aktibo-oras" tan-awa ang karon nga timeout clish,

    [Expert@HostName]# clish -c "set inactivity-timeout 720" ipiho ang bag-ong timeout clish (sa mga minuto),

    [Expert@HostName]# echo $TMOUT tan-awa ang karon nga timeout expert mode,

    [Expert@HostName]# export TMOUT=3600 ipiho ang bag-ong timeout expert mode (sa mga segundo). Kung imong gibutang ang kantidad sa 0, unya ang timeout ma-disable.

13. Aron ma-import ang mga setting, padagana ang migrate import utility. Aron mahimo kini, adto sa folder: cd $FWDIR/bin/upgrade_tools/ug pagdagan ang import: ./migrate imp
    ort -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

Atong lingawon ang kinabuhi sa sunod nga duha ka oras. AYAW I-DICONNECT ANG IMONG SSH SESSION atol sa procedure. Sa katapusan, ang proseso sa pagbalhin magpakita sa usa ka mensahe sa kalampusan o usa ka sayup. 

Checklist pagkahuman sa pag-update

1. Pagkabaton sa mga kahinguhaan.
2. SIC uban sa GW.
3. Mga lisensya. Kung ang mga lisensya dili husto nga gipakita o wala gipakita sa SMS, padagana ang mando vsec_central_licence alang sa pag-apod-apod sa lisensya.
4. Pagtakda sa polisiya. 

Pag-import sa database sa SmartEvent

1. I-aktibo ang blade sa SmartEvent.
2. Nagkonektar kami pinaagi sa WinSCP ngadto sa SMS ug ibalhin ang na-download nga mga file sa binary mode <petsa>-db-backup.backup и eventiaUpgrade.tar sa folder /var/log/UpgradeR77.30_R80.20/
3. Gipadagan namo ang script gamit ang command: $RTDIR/bin/eventiaUpgrade.sh -upgrade /var/log/UpgradeR77.30_R80.20/eventiaUpgrade.tar
4. Pagsusi sa kahimtang: tan-awa -n 10 eventiaUpgrade.sh
5. Pagsusi sa mga log sa SmartEvent. DAMGO!

Pag-update sa Check Point GW cluster (Aktibo/Backup)

Sa dili pa magsugod sa trabaho

1. Gitipigan namo ang configuration sa GAIA gikan sa matag cluster node ngadto sa usa ka file, aron mahimo kini gamita ang command: clish -c "ipakita ang configuration" > ./<File name>.txt
2. Pag-upload sa mga file gamit ang WinSCP.
3. Sumpaysumpaya ang WebUI sa duha ka mga node ug adto sa tab CPUSE → Ipakita ang tanan nga mga pakete.
4. Pagpangita sa update nga pakete alang sa bersyon R80.20 Bag-ong Pag-instalari-klik Pag-download.
5. Atong susihon nga ang CCP protocol nagtrabaho sa mode Sibya, sa pagbuhat niini, isulod ang sugo: cphaprob -a kon
   Kung gipili ang mode Multicast, pulihan kini sa sugo: cphaconf set_ccp broadcast (ang sugo gipatuman sa matag node).
6. Gi-install namo ang Downtime para sa mga nalambigit nga node sa imong monitoring system.
7. Gisusi namon nga ang mga parameter gipalihok sa lebel sa virtualization Pagbag-o sa MAC Address и Gipeke nga mga Transmit alang sa usa ka sync network.

Pag-update

1. Nagkonektar kami pinaagi sa ssh sa Active node ug gipadagan ang command aron mamonitor ang status sa cluster: pagbantay -n 2 cphaprob stat
2. Balik sa WebUI Stanby nodes tab CPUSE ug alang sa pinili nga pakete R80.20 Bag-ong Pag-instalar paglusad Tigpamatuod.
3. Atong analisahon ang report sa Verifier. Kung gitugotan ang pag-instalar, padayon.
4. Pagpili og usa ka pakete R80.20 Bag-ong Pag-instalar ug paglansad upgrade. Atol sa proseso sa Pag-upgrade, ang sistema mag-reboot. Ang mga setting sa GAIA gitipigan. Sa panahon sa pag-reboot, among gimonitor ang kahimtang sa cluster. Human sa loading, ang status sa updated node kinahanglan nga mausab ngadto sa READY. Sa ubay-ubay nga mga kaso, nasugatan namo ang usa ka higayon sa dihang ang usa ka node nga wala pa ma-update gibalhin ngadto sa status sa Active Attention ug mihunong sa pagpakita sa status sa updated nga node. Ayaw pagkabalaka - kini nga kapilian madawat usab.
5. Kung kompleto na ang pag-update, ablihi SmartDashboard.
6. Ablihi ang cluster object ug usba ang cluster version gikan sa R77.30 ngadto sa R80.20. I-klik ang OK. Kung adunay usa ka sayup nga makita kung gitipigan ang mga pagbag-o:
   Usa ka internal nga sayup ang nahitabo. (Code: 0x8003001D, Dili ma-access ang file para sa operasyon sa pagsulat),
   mosunod SK119973. Pagkahuman niana, i-save ang mga pagbag-o ug i-klik I-install ang Polisiya.
7. Sa mga setting, i-uncheck ang opsyon Para sa gateway clusters, kung ang pag-install sa usa ka cluster member mapakyas, ayaw pag-install sa cluster.
8. Gitakda namo ang polisiya. Ang sistema maghimo usa ka sayup alang sa usa ka Aktibo nga node nga wala pa ma-update.
9. Gikonektar namo ang na-update nga node pinaagi sa ssh ug gipadagan ang command aron mamonitor ang estado sa cluster: pagbantay -n 2 cphaprob stat
10. Sumpaysumpaya ang WebUI Active node ug adto sa tab CPUSE → Ipakita ang tanan nga mga pakete.Pagpangita sa update nga pakete alang sa bersyon R80.20 Bag-ong Pag-instalar, pag-klik Pag-download.
11. Gi-install namo ang Downtime para sa mga nalambigit nga node sa imong monitoring system.
12. Balik sa tab sa WebUI Active nodes CPUSE ug alang sa pinili nga pakete R80.20 Bag-ong Pag-instalar paglusad Tigpamatuod.
13. Atong analisahon ang report sa Verifier. Kung gitugotan ang pag-instalar, padayon.
14. Pagpili og usa ka pakete R80.20 Bag-ong Pag-instalar ug paglansad Pag-upgrade. Atol sa proseso sa Pag-upgrade, ang sistema mag-reboot. Ang mga setting sa GAIA gitipigan. Sa panahon sa pag-reboot, among gimonitor ang kahimtang sa cluster sa na-update na nga node. Human sa reboot, ang cluster state sa updated node mausab gikan sa READY ngadto sa ACTIVE.
15. Kung nahuman na ang proseso sa Pag-upgrade, ilunsad ang SmartDashboard ug i-install ang palisiya.

Checklist pagkahuman sa pag-update

• Mga log sa panghitabo sa SmartLog, status sa VPN tunnels.
• Mga Setting sa GAIA.
• Pagpasig-uli sa usa ka cluster human sa usa ka pagsulay Failover.
• Mga lisensya ug kontrata. Kung ang mga lisensya dili husto nga gipakita o wala gipakita sa SMS, padagana ang mando. vsec_central_licence para sa pag-apod-apod sa lisensya.
• CoreXL.
• SecureXL.
• Hotfix ug CPinfo sa duha ka node.

konklusyon

Sa kinatibuk-an, kana ang tanan sa kini nga punto - na-update ka.

Alang kanamo, ang tibuok proseso mikuha sa aberids gikan sa 6 ngadto sa 12 ka oras, depende sa gidak-on sa gi-eksport nga mga database. Ang trabaho gihimo sulod sa duha ka gabii: usa alang sa pag-update sa SMS, ang ikaduha alang sa cluster.

Wala’y downtime sa trapiko, bisan pa sa kamatuoran nga among gisusi ang tanan nga nahisgutan nga mga sayup sa among kaugalingon.

Siyempre, usahay ang bug-os nga bag-ong mga kalisdanan mahimong motumaw sa panahon sa proseso sa pag-update, apan kini ang Check Point, ug ingon sa nahibal-an namong tanan, kanunay adunay usa ka hotfix!

Malipayon nga itom ug pink nga mga gabii ug mga update!

Source: www.habr.com