Na podzim 2019 Check Point přestal podporovat verze R77.XX a bylo nutné provést aktualizaci. O rozdílu mezi verzemi, výhodách a nevýhodách přechodu na R80 již bylo řečeno mnoho. Pojďme si raději promluvit o tom, jak vlastně aktualizovat virtuální zařízení Check Point (CloudGuard pro VMware ESXi, Hyper-V, KVM Gateway NGTP) a co se může pokazit.
Měli jsme tedy 2 inženýry CCSE, více než tucet virtuálních clusterů Check Point R77.30, několik cloudů, několik oprav hotfix a celé moře různých chyb, závad a všeho toho, všech barev a velikostí a také velmi krátké termíny. Pojďme!
Ale budeme realisté. Pokud to stačí v co nejmenší konfiguraci, tak, jak ukazuje praxe, máme většinou povolenou https kontrolu, SmartEvent běžící na SMS atd., což ovšem vyžaduje úplně jiné kapacity. Ale obecně ne více než za R77.30.
Ale jsou tu nuance. A týkají se především velikosti fyzické paměti. Mnoho operací přímo během procesu aktualizace bude vyžadovat místo na pevném disku.
U management serveru bude velikost volného místa na disku velmi záviset na objemu aktuálních logů (pokud je chceme uložit) a na počtu uložených revizí databáze, i když je již nebudeme ve velkém množství potřebovat. Samozřejmě pro uzly clusteru (pokud neukládáte protokoly také lokálně) na tom všem nezáleží. Zde je návod, jak zkontrolovat, zda máte prostor, který potřebujete:
Připojíme se k Smart Management Serveru přes ssh, přejdeme do expertního režimu a zadáme příkaz:
[Expert@cp-sms:0]# df -h
Na výstupu uvidíme něco jako tuto konfiguraci:
Použitá velikost souborového systému Dostupnost Využití % Připojeno
/dev/mapper/vg_splat-lv_current 30G 7.4G 21G 27 % /
/dev/sda1 289M 24M 251M 9% /boot
tmpfs 2.0G 0 2.0G 0% /dev/shm
/dev/mapper/vg_splat-lv_log 243G 177G 53G 78 % /var/log
Aktuálně máme o sekci zájem / var / log
Vezměte prosím na vědomí, že v závislosti na zásadách pro ukládání a mazání starých souborů protokolu a také na velikosti exportované databáze může být zapotřebí více místa. Pokud je při vytváření archivu méně volného místa, než je uvedeno v zásadách ukládání souborů protokolu, systém začne mazat staré protokoly a NEZAhrne je do archivu.
Také pro samotný proces aktualizace bude systém potřebovat alespoň 13 GB nepřiděleného místa na pevném disku. Jeho přítomnost můžete zkontrolovat příkazem:
Po provedení příkazu se vygeneruje zpráva o nekompatibilním nastavení. Je k dispozici na adrese: /opt/CPsuite-R77/fw1/log/pre_upgrade_verification_report.(xls, html, txt). Pohodlnější je nahrát to přes SCP a sledovat přes prohlížeč.
Chcete-li vyřešit všechna nekompatibilní nastavení, použijte SK117237.
Poté znovu spusťte obslužný program pre_upgrade_verifier, abyste se ujistili, že byly odstraněny všechny příčiny nekompatibility.
Dále shromažďujeme informace o síťových rozhraních, směrovací tabulce a nahráváme konfiguraci GAIA: ip a > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
ip r > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
clish -c "zobrazit konfiguraci" > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
Nahrajte výsledný soubor přes SCP.
Pořídíme snímek na úrovni virtualizace.
Prodlužujeme časový limit relace SSH na 8 hodin. Záleží na vašem štěstí: v závislosti na velikosti exportované databáze může trvat několik minut až několik hodin. Pro tohle: [Expert@HostName]# clish -c "zobrazit časový limit nečinnosti" podívejte se na aktuální časový limit,
[Expert@HostName]# clish -c "set inactivity-timeout 720" zadejte nový časový limit (v minutách),
[Expert@HostName]# echo $TMOUT podívejte se na aktuální časový limit expertního režimu,
[Expert@HostName]# export TMOUT=3600 zadejte nový expertní režim časového limitu (v sekundách), pokud nastavíte hodnotu na 0, časový limit bude deaktivován.
Stáhneme a připojíme instalační obraz SMS.iso na virtuální stroj.
Před dalším krokem UJISTĚTE dvakrát zkontrolovat, zda máte na pevném disku dostatek nepřiděleného místa (nezapomeňte, že potřebujete 13 GB).
Před zahájením exportu konfigurace změňte soubor protokolu příkazem: fw logswitch
Export konfigurace a protokolů
Spusťte obslužný program migrate_export ke stažení konfigurace. Chcete-li to provést, přejděte do dříve vytvořené složky: cd /var/log/UpgradeR77.30_R80.20/ a použijte příkaz: ./migrate export -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz
nebo
přejděte do složky: cd $FWDIR/bin/upgrade_tools/ и
spusťte příkaz odtud: ./migrate export -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz
Odebereme kontrolní součet z archivu: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz
Výslednou hodnotu uložte do poznámkového bloku.
Přes SCP se připojíme k SMS a nahrajeme archiv s konfigurací na pracovní stanici. Ujistěte se, že používáte přenos souborů v binárním formátu.
Export databáze SmartEvent
Zde potřebujeme předinstalovanou SMS verzi R80. Bude stačit jakýkoli test.
Z SMS potřebujeme skript umístěný zde:$RTDIR/bin/eva_db_backup.csh
Načtěte skript přes SCP eva_db_backup.csh do složky: /var/log/UpgradeR77.30_R80.20/
Připojte se přes SSH k SMS. Zkopírujte soubor do složky: cp /var/log/UpgradeR77.30_R80.20/eva_db_backup.csh
$RTDIR/bin/eva_db_backup.csh
Změna kódování: dos2unix $RTDIR/bin/eva_db_backup.csh
uložit konfiguraci (v případě, že chceme po restartu ponechat bin/bash/ jako výchozí shell).
Dále se připojíme k SMS přes SCP a přeneseme archiv s konfigurací v Binárním režimu SMS_w_logs_export_r77_r80.tgz do složky /var/log/UpgradeR77.30_R80.20/
Odebereme kontrolní součet z archivu: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz a porovnat s předchozí hodnotou. Kontrolní součet se musí shodovat.
Prodlužujeme časový limit relace SSH na 8 hodin. Pro tohle:
[Expert@HostName]# clish -c "zobrazit časový limit nečinnosti" podívejte se na aktuální časový limit,
[Expert@HostName]# clish -c "set inactivity-timeout 720" zadejte nový časový limit (v minutách),
[Expert@HostName]# echo $TMOUT podívejte se na aktuální časový limit expertního režimu,
[Expert@HostName]# export TMOUT=3600 zadejte nový expertní režim časového limitu (v sekundách). Pokud nastavíte hodnotu na 0, časový limit bude deaktivován.
Chcete-li importovat nastavení, spusťte nástroj pro migraci importu. Chcete-li to provést, přejděte do složky: cd $FWDIR/bin/upgrade_tools/a spusťte import: ./migrace imp
ort -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz
Užívejme si života dalších pár hodin. NEODPOJUJTE SVOU relaci SSH během procedury. Na konci proces migrace zobrazí zprávu o úspěchu nebo chybu.
Kontrolní seznam po aktualizaci
Dostupnost zdrojů.
SIC s GW.
licence. Pokud se licence zobrazují nesprávně nebo se nezobrazují na SMS, spusťte příkaz vsec_central_licence pro distribuci licencí.
Nastavení zásad.
Import databáze SmartEvent
Aktivujte čepel SmartEvent.
Připojujeme se přes WinSCP k SMS a přenášíme dříve stažené soubory v binárním režimu <datum>-db-backup.backup и eventiaUpgrade.tar do složky /var/log/UpgradeR77.30_R80.20/
Aktualizace clusteru Check Point GW (aktivní/zálohování)
Před zahájením práce
Uložíme konfiguraci GAIA z každého uzlu clusteru do souboru, k tomu použijte příkaz: clish -c "zobrazit konfiguraci" > ./<název souboru>.txt
Nahrávání souborů pomocí WinSCP.
Připojte se k WebUI obou uzlů a přejděte na kartu CPUSE → Zobrazit všechny balíčky.
Hledání aktualizačního balíčku pro verzi Nová instalace R80.20klikněte Stáhnout.
Zkontrolujeme, že protokol CCP funguje v režimu PřenosChcete-li to provést, zadejte příkaz: cphaprob -a pokud
Pokud je zvolen režim multicast, nahraďte jej příkazem: cphaconf set_ccp vysílání (příkaz se provede na každém uzlu).
Nainstalujeme dobu výpadku pro zapojené uzly do vašeho monitorovacího systému.
Zkontrolujeme, zda jsou parametry povoleny na úrovni virtualizace Změna MAC adresy и Kované převodovky pro synchronizační síť.
Aktualizovat
Připojíme se přes ssh k Active node a spustíme příkaz pro sledování stavu clusteru: sledovat -n 2 cphaprob stat
Návrat na kartu WebUI Stanby nodes CPUSE a pro vybraný balíček Nová instalace R80.20 zahájení Ověřovatel.
Pojďme analyzovat sestavu Verifier. Pokud je instalace povolena, pokračujte.
Vyberte balíček Nová instalace R80.20 a běžet Aktualizujte. Během procesu upgradu se systém restartuje. Nastavení GAIA se uloží. V době restartu sledujeme stav clusteru. Po načtení by se měl stav aktualizovaného uzlu změnit na PŘIPRAVENO. V řadě případů jsme se setkali s momentem, kdy dosud neaktualizovaný uzel přešel do stavu Aktivní pozornost a přestal zobrazovat stav aktualizovaného uzlu. Nelekejte se – tato možnost je také přijatelná.
Po dokončení aktualizace otevřete SmartDashboard.
Otevřete objekt clusteru a změňte verzi clusteru z R77.30 na R80.20. Klepněte na tlačítko OK. Pokud se při ukládání změn objeví chyba: Vyskytla se vnitřní chyba. (Kód: 0x8003001D, Nelze získat přístup k souboru pro operaci zápisu),
následovat SK119973. Poté uložte změny a klikněte Instalovat zásady.
V nastavení zrušte zaškrtnutí možnosti V případě klastrů brány, pokud se instalace na člen klastru nezdaří, neinstalujte do tohoto klastru.
Nastavili jsme politiku. Systém vygeneruje chybu pro aktivní uzel, který ještě nebyl aktualizován.
Připojíme se k aktualizovanému uzlu přes ssh a spustíme příkaz pro sledování stavu clusteru: sledovat -n 2 cphaprob stat
Připojte se k uzlu WebUI Active a přejděte na kartu CPUSE → Zobrazit všechny balíčky.Hledání aktualizačního balíčku pro verzi Nová instalace R80.20, stiskneme Stáhnout.
Nainstalujeme dobu výpadku pro zapojené uzly do vašeho monitorovacího systému.
Vraťte se na kartu WebUI Active nodes CPUSE a pro vybraný balíček Nová instalace R80.20 zahájení Ověřovatel.
Pojďme analyzovat sestavu Verifier. Pokud je instalace povolena, pokračujte.
Vyberte balíček Nová instalace R80.20 a běžet Vylepšit. Během procesu upgradu se systém restartuje. Nastavení GAIA se uloží. V době restartu sledujeme stav clusteru na již aktualizovaném uzlu. Po restartu se stav clusteru na aktualizovaném uzlu změní z PŘIPRAVENO na AKTIVNÍ.
Po dokončení procesu upgradu spusťte SmartDashboard a nastavte zásady.
Kontrolní seznam po aktualizaci
Protokoly událostí ve SmartLogu, stav VPN tunelů.
Nastavení GAIA.
Obnovení clusteru po testovacím převzetí služeb při selhání.
Licence a smlouvy. Pokud se licence zobrazují nesprávně nebo se nezobrazují na SMS, spusťte příkaz. vsec_central_licence pro distribuci licencí.
CoreXL.
SecureXL.
Hotfix a CPinfo na dvou uzlech.
Závěr
Obecně je v tomto bodě vše – byli jste aktualizováni.
U nás trval celý proces v průměru od 6 do 12 hodin v závislosti na velikosti exportovaných databází. Práce probíhaly dvě noci: jedna pro aktualizaci SMS, druhá pro cluster.
Nedošlo k žádnému výpadku provozu, přestože jsme všechny výše uvedené chyby kontrolovali sami na sobě.
Samozřejmě se někdy mohou během procesu aktualizace objevit zcela nové potíže, ale toto je Check Point a jak všichni víme, vždy existuje oprava hotfix!