Aktualizace kontrolního bodu z R77.30 na 80.20

Na podzim 2019 Check Point přestal podporovat verze R77.XX a bylo nutné provést aktualizaci. O rozdílu mezi verzemi, výhodách a nevýhodách přechodu na R80 již bylo řečeno mnoho. Pojďme si raději promluvit o tom, jak vlastně aktualizovat virtuální zařízení Check Point (CloudGuard pro VMware ESXi, Hyper-V, KVM Gateway NGTP) a co se může pokazit.

Měli jsme tedy 2 inženýry CCSE, více než tucet virtuálních clusterů Check Point R77.30, několik cloudů, několik oprav hotfix a celé moře různých chyb, závad a všeho toho, všech barev a velikostí a také velmi krátké termíny. Pojďme!

Obsah:

Trénink
Aktualizace serveru pro správu
Aktualizace clusteru

Takto vypadá typická klientská cloudová infrastruktura s virtuálním Check Pointem

Trénink

Prvním krokem je zkontrolovat, zda je dostatek zdrojů pro aktualizaci. Doporučené minimální požadavky pro R80.20 aktuálně vypadají takto:

Přístroj

procesor

RAM

HDD

Bezpečnostní brána

2 jádro

4 Gb

Od 15 GB

SMS

2 jádro

6 Gb

-

Doporučení jsou popsána v dokumentu CP_R80.20_GA_Release_Notes.

Ale budeme realisté. Pokud to stačí v co nejmenší konfiguraci, tak, jak ukazuje praxe, máme většinou povolenou https kontrolu, SmartEvent běžící na SMS atd., což ovšem vyžaduje úplně jiné kapacity. Ale obecně ne více než za R77.30.

Ale jsou tu nuance. A týkají se především velikosti fyzické paměti. Mnoho operací přímo během procesu aktualizace bude vyžadovat místo na pevném disku.

U management serveru bude velikost volného místa na disku velmi záviset na objemu aktuálních logů (pokud je chceme uložit) a na počtu uložených revizí databáze, i když je již nebudeme ve velkém množství potřebovat. Samozřejmě pro uzly clusteru (pokud neukládáte protokoly také lokálně) na tom všem nezáleží. Zde je návod, jak zkontrolovat, zda máte prostor, který potřebujete:

1. Připojíme se k Smart Management Serveru přes ssh, přejdeme do expertního režimu a zadáme příkaz:

   [Expert@cp-sms:0]# df -h

2. Na výstupu uvidíme něco jako tuto konfiguraci:

   Použitá velikost souborového systému Dostupnost Využití % Připojeno
   /dev/mapper/vg_splat-lv_current 30G 7.4G 21G 27 % /
   /dev/sda1 289M 24M 251M 9% /boot
   tmpfs 2.0G 0 2.0G 0% /dev/shm
   /dev/mapper/vg_splat-lv_log 243G 177G 53G 78 % /var/log

3. Aktuálně máme o sekci zájem / var / log

Vezměte prosím na vědomí, že v závislosti na zásadách pro ukládání a mazání starých souborů protokolu a také na velikosti exportované databáze může být zapotřebí více místa. Pokud je při vytváření archivu méně volného místa, než je uvedeno v zásadách ukládání souborů protokolu, systém začne mazat staré protokoly a NEZAhrne je do archivu.

Také pro samotný proces aktualizace bude systém potřebovat alespoň 13 GB nepřiděleného místa na pevném disku. Jeho přítomnost můžete zkontrolovat příkazem:

[Expert@cp-sms:0]# pvs

Uvidíme něco takového:

PV VG Fmt Attr PSize PFree
/dev/sda3 vg_splat lvm2 a- 141.69G 43.69G

V tomto případě máme 43 GB. Zdrojů je dost. Můžete začít s aktualizací.

Aktualizace serveru pro správu SMS Check Point

Před zahájením práce musíte provést následující:

1. Nainstalujte balíček Nástroje pro migraci na server pro správu. Chcete-li to provést, musíte si stáhnout obrázek z portálu Check Point.
2. Nahrajte archiv na management server přes WinSCP do složky /var/log/UpgradeR77.30_R80.20 (v případě potřeby nejprve vytvořte složku).
3. Připojte se k serveru pro správu přes SSH a přejděte do složky s archivem:cd /var/log/UpgradeR77.30_R80.20/
4. Rozbalte soubor:tar -zxvf ./<název souboru>.tgz
5. Nástroj pre_upgrade_verifier spustíme příkazem: ./pre_upgrade_verifier -p $FWDIR -c R77 -t R80.20
6. Po provedení příkazu se vygeneruje zpráva o nekompatibilním nastavení. Je k dispozici na adrese: /opt/CPsuite-R77/fw1/log/pre_upgrade_verification_report.(xls, html, txt). Pohodlnější je nahrát to přes SCP a sledovat přes prohlížeč.
   Chcete-li vyřešit všechna nekompatibilní nastavení, použijte SK117237.
7. Poté znovu spusťte obslužný program pre_upgrade_verifier, abyste se ujistili, že byly odstraněny všechny příčiny nekompatibility.
8. Dále shromažďujeme informace o síťových rozhraních, směrovací tabulce a nahráváme konfiguraci GAIA:
   ip a > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
   ip r > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
   clish -c "zobrazit konfiguraci" > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
9. Nahrajte výsledný soubor přes SCP.
10. Pořídíme snímek na úrovni virtualizace.
11. Prodlužujeme časový limit relace SSH na 8 hodin. Záleží na vašem štěstí: v závislosti na velikosti exportované databáze může trvat několik minut až několik hodin. Pro tohle: 
    [Expert@HostName]# clish -c "zobrazit časový limit nečinnosti" podívejte se na aktuální časový limit,

    [Expert@HostName]# clish -c "set inactivity-timeout 720" zadejte nový časový limit (v minutách),

    [Expert@HostName]# echo $TMOUT podívejte se na aktuální časový limit expertního režimu,

    [Expert@HostName]# export TMOUT=3600 zadejte nový expertní režim časového limitu (v sekundách), pokud nastavíte hodnotu na 0, časový limit bude deaktivován.

12. Stáhneme a připojíme instalační obraz SMS.iso na virtuální stroj.

    Před dalším krokem UJISTĚTE dvakrát zkontrolovat, zda máte na pevném disku dostatek nepřiděleného místa (nezapomeňte, že potřebujete 13 GB). 

13. Před zahájením exportu konfigurace změňte soubor protokolu příkazem: fw logswitch

Export konfigurace a protokolů

1. Spusťte obslužný program migrate_export ke stažení konfigurace. Chcete-li to provést, přejděte do dříve vytvořené složky: cd /var/log/UpgradeR77.30_R80.20/ a použijte příkaz: ./migrate export -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

   nebo

   přejděte do složky: cd $FWDIR/bin/upgrade_tools/ и
   spusťte příkaz odtud: ./migrate export -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

2. Odebereme kontrolní součet z archivu: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz
3. Výslednou hodnotu uložte do poznámkového bloku.
4. Přes SCP se připojíme k SMS a nahrajeme archiv s konfigurací na pracovní stanici. Ujistěte se, že používáte přenos souborů v binárním formátu.

Export databáze SmartEvent

Zde potřebujeme předinstalovanou SMS verzi R80. Bude stačit jakýkoli test. 

1. Z SMS potřebujeme skript umístěný zde:$RTDIR/bin/eva_db_backup.csh
2. Načtěte skript přes SCP eva_db_backup.csh do složky: /var/log/UpgradeR77.30_R80.20/
3. Připojte se přes SSH k SMS. Zkopírujte soubor do složky: cp /var/log/UpgradeR77.30_R80.20/eva_db_backup.csh
   $RTDIR/bin/eva_db_backup.csh
4. Změna kódování: dos2unix $RTDIR/bin/eva_db_backup.csh
5. Přidání vlastníka: chown -v admin:root $RTDIR/bin/eva_db_backup.csh
6. Přidat práva: chmod -v 0755 $RTDIR/bin/eva_db_backup.csh
7. Začneme exportovat databázi SmartEvent: $RTDIR/bin/eva_db_backup.csh
8. Nahrajte přijaté soubory přes SCP: $RTDIR/bin/<datum>-db-backup.backup и $RTDIR/bin/eventiaUpgrade.tar na pracovní stanici.

Aktualizovat

1. Jít do WebUI GAIA SMS → CPUSE → Zobrazit všechny balíčky.
2. Pokud CPUSE zobrazí chybu při připojování ke cloudu Check Point, zkontrolujte nastavení DGW, DNS a Proxy.
3. Pokud je vše v pořádku a chyba nezmizí, musíte CPUSE aktualizovat ručně podle pokynů sk92449.
4. Stáhněte si obrázek a projděte Ověřovatel. V případě potřeby odstraníme nesrovnalosti.

   V důsledku toho byste měli vidět tuto zprávu:

   

5. vybrat R80.20 Nová instalace a upgrade pro správu zabezpečení.
6. Při instalaci aktualizace vyberte možnost Čistá instalace. Po instalaci se systém restartuje.
7. Procházíme Poprvé Kouzelník.
8. Po získání přístupu zkontrolujeme účty.
9. Připojíme se k SMS přes SSH a změníme shell našeho uživatele na /bin/bash/:

   nastavit uživatele <uživatelské jméno> shell /bin/bash/

   uložit konfiguraci (v případě, že chceme po restartu ponechat bin/bash/ jako výchozí shell).

10. Dále se připojíme k SMS přes SCP a přeneseme archiv s konfigurací v Binárním režimu SMS_w_logs_export_r77_r80.tgz do složky /var/log/UpgradeR77.30_R80.20/
    
11. Odebereme kontrolní součet z archivu: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz a porovnat s předchozí hodnotou. Kontrolní součet se musí shodovat.
12. Prodlužujeme časový limit relace SSH na 8 hodin. Pro tohle:

    [Expert@HostName]# clish -c "zobrazit časový limit nečinnosti" podívejte se na aktuální časový limit,

    [Expert@HostName]# clish -c "set inactivity-timeout 720" zadejte nový časový limit (v minutách),

    [Expert@HostName]# echo $TMOUT podívejte se na aktuální časový limit expertního režimu,

    [Expert@HostName]# export TMOUT=3600 zadejte nový expertní režim časového limitu (v sekundách). Pokud nastavíte hodnotu na 0, časový limit bude deaktivován.

13. Chcete-li importovat nastavení, spusťte nástroj pro migraci importu. Chcete-li to provést, přejděte do složky: cd $FWDIR/bin/upgrade_tools/a spusťte import: ./migrace imp
    ort -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

Užívejme si života dalších pár hodin. NEODPOJUJTE SVOU relaci SSH během procedury. Na konci proces migrace zobrazí zprávu o úspěchu nebo chybu. 

Kontrolní seznam po aktualizaci

1. Dostupnost zdrojů.
2. SIC s GW.
3. licence. Pokud se licence zobrazují nesprávně nebo se nezobrazují na SMS, spusťte příkaz vsec_central_licence pro distribuci licencí.
4. Nastavení zásad. 

Import databáze SmartEvent

1. Aktivujte čepel SmartEvent.
2. Připojujeme se přes WinSCP k SMS a přenášíme dříve stažené soubory v binárním režimu <datum>-db-backup.backup и eventiaUpgrade.tar do složky /var/log/UpgradeR77.30_R80.20/
3. Skript spustíme příkazem: $RTDIR/bin/eventiaUpgrade.sh -upgrade /var/log/UpgradeR77.30_R80.20/eventiaUpgrade.tar
4. Kontrola stavu: sledujte -n 10 eventiaUpgrade.sh
5. Kontrola protokolů ve SmartEvent. SEN!

Aktualizace clusteru Check Point GW (aktivní/zálohování)

Před zahájením práce

1. Uložíme konfiguraci GAIA z každého uzlu clusteru do souboru, k tomu použijte příkaz: clish -c "zobrazit konfiguraci" > ./<název souboru>.txt
2. Nahrávání souborů pomocí WinSCP.
3. Připojte se k WebUI obou uzlů a přejděte na kartu CPUSE → Zobrazit všechny balíčky.
4. Hledání aktualizačního balíčku pro verzi Nová instalace R80.20klikněte Stáhnout.
5. Zkontrolujeme, že protokol CCP funguje v režimu PřenosChcete-li to provést, zadejte příkaz: cphaprob -a pokud
   Pokud je zvolen režim multicast, nahraďte jej příkazem: cphaconf set_ccp vysílání (příkaz se provede na každém uzlu).
6. Nainstalujeme dobu výpadku pro zapojené uzly do vašeho monitorovacího systému.
7. Zkontrolujeme, zda jsou parametry povoleny na úrovni virtualizace Změna MAC adresy и Kované převodovky pro synchronizační síť.

Aktualizovat

1. Připojíme se přes ssh k Active node a spustíme příkaz pro sledování stavu clusteru: sledovat -n 2 cphaprob stat
2. Návrat na kartu WebUI Stanby nodes CPUSE a pro vybraný balíček Nová instalace R80.20 zahájení Ověřovatel.
3. Pojďme analyzovat sestavu Verifier. Pokud je instalace povolena, pokračujte.
4. Vyberte balíček Nová instalace R80.20 a běžet Aktualizujte. Během procesu upgradu se systém restartuje. Nastavení GAIA se uloží. V době restartu sledujeme stav clusteru. Po načtení by se měl stav aktualizovaného uzlu změnit na PŘIPRAVENO. V řadě případů jsme se setkali s momentem, kdy dosud neaktualizovaný uzel přešel do stavu Aktivní pozornost a přestal zobrazovat stav aktualizovaného uzlu. Nelekejte se – tato možnost je také přijatelná.
5. Po dokončení aktualizace otevřete SmartDashboard.
6. Otevřete objekt clusteru a změňte verzi clusteru z R77.30 na R80.20. Klepněte na tlačítko OK. Pokud se při ukládání změn objeví chyba:
   Vyskytla se vnitřní chyba. (Kód: 0x8003001D, Nelze získat přístup k souboru pro operaci zápisu),
   následovat SK119973. Poté uložte změny a klikněte Instalovat zásady.
7. V nastavení zrušte zaškrtnutí možnosti V případě klastrů brány, pokud se instalace na člen klastru nezdaří, neinstalujte do tohoto klastru.
8. Nastavili jsme politiku. Systém vygeneruje chybu pro aktivní uzel, který ještě nebyl aktualizován.
9. Připojíme se k aktualizovanému uzlu přes ssh a spustíme příkaz pro sledování stavu clusteru: sledovat -n 2 cphaprob stat
10. Připojte se k uzlu WebUI Active a přejděte na kartu CPUSE → Zobrazit všechny balíčky.Hledání aktualizačního balíčku pro verzi Nová instalace R80.20, stiskneme Stáhnout.
11. Nainstalujeme dobu výpadku pro zapojené uzly do vašeho monitorovacího systému.
12. Vraťte se na kartu WebUI Active nodes CPUSE a pro vybraný balíček Nová instalace R80.20 zahájení Ověřovatel.
13. Pojďme analyzovat sestavu Verifier. Pokud je instalace povolena, pokračujte.
14. Vyberte balíček Nová instalace R80.20 a běžet Vylepšit. Během procesu upgradu se systém restartuje. Nastavení GAIA se uloží. V době restartu sledujeme stav clusteru na již aktualizovaném uzlu. Po restartu se stav clusteru na aktualizovaném uzlu změní z PŘIPRAVENO na AKTIVNÍ.
15. Po dokončení procesu upgradu spusťte SmartDashboard a nastavte zásady.

Kontrolní seznam po aktualizaci

• Protokoly událostí ve SmartLogu, stav VPN tunelů.
• Nastavení GAIA.
• Obnovení clusteru po testovacím převzetí služeb při selhání.
• Licence a smlouvy. Pokud se licence zobrazují nesprávně nebo se nezobrazují na SMS, spusťte příkaz. vsec_central_licence pro distribuci licencí.
• CoreXL.
• SecureXL.
• Hotfix a CPinfo na dvou uzlech.

Závěr

Obecně je v tomto bodě vše – byli jste aktualizováni.

U nás trval celý proces v průměru od 6 do 12 hodin v závislosti na velikosti exportovaných databází. Práce probíhaly dvě noci: jedna pro aktualizaci SMS, druhá pro cluster.

Nedošlo k žádnému výpadku provozu, přestože jsme všechny výše uvedené chyby kontrolovali sami na sobě.

Samozřejmě se někdy mohou během procesu aktualizace objevit zcela nové potíže, ale toto je Check Point a jak všichni víme, vždy existuje oprava hotfix!

Veselé černé a růžové noci a aktualizace!

Zdroj: www.habr.com