Ĝisdatigi Check Point de R77.30 ĝis 80.20

En la aŭtuno de 2019, Check Point ĉesis subteni versiojn R77.XX, kaj estis necese ĝisdatigi. Multo jam estis dirita pri la diferencoj inter la versioj kaj la avantaĝoj kaj malavantaĝoj de ŝanĝi al la R80. Ni parolu pri kiel efektive ĝisdatigi Check Point-virtualajn aparatojn (CloudGuard por VMware ESXi, Hyper-V, KVM Gateway NGTP) kaj kio povas misfunkcii.

Do, ni havis 2 CCSE-inĝenierojn, pli ol dekduon de virtualaj aretoj de Check Point R77.30, plurajn nubojn, kelkajn korektojn kaj tutan maron da diversaj eraroj, misfunkciadoj kaj ĉiuj tiaj aferoj, ĉiuj koloroj kaj grandecoj, kaj ankaŭ tre streĉa limdato. Ni iru!

Enhavo:

Trejnado
Ĝisdatigante la administradan servilon
Ĝisdatigante la areton

Jen kiel aspektas tipa nuba infrastrukturo de kliento kun virtuala Kontrolpunkto

Trejnado

La unua afero, kiun vi devas fari, estas kontroli ĉu vi havas sufiĉe da rimedoj por la ĝisdatigo. La rekomenditaj minimumaj postuloj por R80.20 nun estas:

artefakto

CPU

RAM

HDD

Sekureca Enirejo

2 kerno

4-Gb

De 15 GB

SMS

2 kerno

6-Gb

-

La rekomendoj estas priskribitaj en la dokumento. CP_R80.20_GA_Release_Notes.

Sed ni estu realismaj. Se tio sufiĉas en la plej minimuma agordo, tiam, kiel praktikado montras, ni kutime havas https-inspektadon ebligita, SmartEvent funkcias sur SMS, ktp., kiu, kompreneble, postulas tute malsamajn kapablojn. Sed ĝenerale, ne pli granda ol por R77.30.

Sed estas nuancoj. Kaj ili koncernas, antaŭ ĉio, la grandecon de fizika memoro. Multaj operacioj rekte dum la ĝisdatiga procezo postulos malmolan diskon.

Por la administradservilo, la kvanto de libera diskospaco multe dependos de la volumeno de nunaj protokoloj (se ni volas konservi ilin) ​​kaj de la nombro de konservitaj Datumbazaj Revizioj, kvankam ni ne bezonos ilin en grandaj kvantoj. Kompreneble, por grapolnodoj (krom se vi ankaŭ stokas protokolojn loke) ĉio ĉi ne gravas. Jen kiel kontroli ĉu vi havas la spacon, kiun vi bezonas:

1. Konektu al Smart Management Server per ssh, iru al sperta reĝimo kaj enigu la komandon:

   [Sperto@cp-sms:0]# df -h

2. Ĉe la eligo ni vidos agordon kiel ĉi tion:

   Dosiersistemo Grandeco Uzata Avail Uzo% Montita sur
   /dev/mapper/vg_splat-lv_current 30G 7.4G 21G 27% /
   /dev/sda1 289M 24M 251M 9% /boot
   tmpfs 2.0G 0 2.0G 0% /dev/shm
   /dev/mapper/vg_splat-lv_log 243G 177G 53G 78% /var/log

3. Ni nun interesiĝas pri la sekcio / var / log

Bonvolu noti, ke depende de via politiko pri stokado kaj forigo de malnovaj protokolaj dosieroj, kaj ankaŭ de la grandeco de la eksportita datumbazo, pli da spaco povas esti bezonata. Se, kreante arkivon, la libera spaco fariĝas malpli ol specifita en la protokolo pri konservado de dosieroj, la sistemo komencos forigi malnovajn protokolojn kaj NE inkluzivos ilin en la arkivon.

Ankaŭ, por la ĝisdatiga procezo mem, la sistemo bezonos almenaŭ 13 GB da neasignita spaco sur la malmola disko. Vi povas kontroli ĝian ĉeeston per la komando:

[Sperto@cp-sms:0]# pvs

Ni vidos ion kiel ĉi tiu eligo:

PV VG Fmt Attr PSize PFree
/dev/sda3 vg_splat lvm2 a- 141.69G 43.69G

En ĉi tiu kazo ni havas 43 GB. Estas sufiĉe da rimedoj. Vi povas komenci ĝisdatigon.

Ĝisdatigante Check Point SMS Management Server

Antaŭ ol komenci laboron, vi devas fari la jenajn:

1. Instalu la pakaĵon de Migraj Iloj sur la administrada servilo. Por fari tion, vi devas elŝuti la bildon de la portalo Kontroli Punkton.
2. Alŝutu la arkivon al la administra servilo per WinSCP en la dosierujo /var/log/UpgradeR77.30_R80.20 (se necese, unue kreu dosierujon).
3. Konektu al la administra servilo per SSH kaj iru al la dosierujo kun la arkivo:cd /var/log/UpgradeR77.30_R80.20/
4. Malfermu la dosieron:tar -zxvf ./<dosiernomo>.tgz
5. Rulu la ilon pre_upgrade_verifier per la komando: ./pre_upgrade_verifier -p $FWDIR -c R77 -t R80.20
6. Post ekzekuto de la komando, raporto pri nekongruaj agordoj estos generita. Ĝi estas havebla ĉe: /opt/CPsuite-R77/fw1/log/pre_upgrade_verification_report.(xls, html, txt). Estas pli oportune elŝuti ĝin per SCP kaj vidi ĝin per retumilo.
   Por forigi ĉiujn nekongruajn agordojn, uzu SK117237.
7. Poste, refunkciigu la ilon pre_upgrade_verifier por certigi, ke ĉiuj kaŭzoj de nekongrueco estis solvitaj.
8. Poste ni kolektas informojn pri retaj interfacoj, la envojiga tablo, kaj malŝarĝas la GAIA-agordon:
   ip a > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
   ip r > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
   clish -c "montri agordon" > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
9. Ni alŝutas la ricevitan dosieron per SCP.
10. Ni faras momentfoton ĉe la virtualiga nivelo.
11. Pliigu SSH-sesiotempon al 8 horoj. Ĝi dependas de sorto: depende de la grandeco de la eksportita datumbazo, ĝi povas daŭri de kelkaj minutoj ĝis pluraj horoj. Por fari tion: 
    [Sperto@Gastignomo]# clish -c "montri senaktivecon-tempon" rigardu la nunan timeout-kolizion,

    [Sperto@Gastignomo]# clish -c "starigis senaktivecon-tempon 720" ni specifigas novan timeout-klish (en minutoj),

    [Sperto@Gastignomo]# eĥo $TMOUT rigardu la nunan tempon-ekspertan reĝimon,

    [Sperto@Gastignomo]# eksporto TMOUT=3600 ni specifas novan tempo-ekspertan reĝimon (en sekundoj), se vi agordas la valoron al 0, tiam tempo-tempo estos malŝaltita.

12. Ni elŝutas kaj muntas la instalan bildon SMS.iso al la virtuala maŝino.

    Antaŭ la sekva paŝo, bonvolu kontroli, ke vi havas sufiĉe da neasignita spaco sur via malmola disko (memoru, ke vi bezonas 13 GB). 

13. Antaŭ ol komenci la agordan eksportadon, ŝanĝu la protokoldosieron per la komando: fw ŝtipŝaltilo

Eksportu agordon kaj protokolojn

1. Ni lanĉas la ilon migrate_export por malŝarĝi la agordon. Por fari tion, iru al la antaŭe kreita dosierujo: cd /var/log/UpgradeR77.30_R80.20/ kaj uzu la komandon: ./migrate export -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

   aŭ

   iru al la dosierujo: cd $FWDIR/bin/upgrade_tools/ и
   ni rulas la komandon de tie: ./migrate export -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

2. Ni forigas kontrolsumon el la arkivo: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz
3. Ni konservas la akiritan valoron en notbloko.
4. Ni konektas al SMS per SCP kaj elŝutas la arkivon kun la agordo al la laborstacio. Estas devige uzi Binaran dosieran translokigon.

Eksportu SmartEvent-datumbazon

Ĉi tie ni bezonos antaŭinstalitan SMS-version R80. Ajna provo utilos. 

1. De SMS ni bezonas skripton situantan ĉi tie:$RTDIR/bin/eva_db_backup.csh
2. Ni elŝutas la skripton per SCP eva_db_backup.csh al dosierujo: /var/log/UpgradeR77.30_R80.20/
3. Konektante al SMS per SSH. Kopiu dosieron al dosierujo: cp /var/log/UpgradeR77.30_R80.20/eva_db_backup.csh
   $RTDIR/bin/eva_db_backup.csh
4. Ŝanĝu la kodigon: dos2unix $RTDIR/bin/eva_db_backup.csh
5. Aldonu la posedanton: chown -v admin:root $RTDIR/bin/eva_db_backup.csh
6. Aldonante rajtojn: chmod -v 0755 $RTDIR/bin/eva_db_backup.csh
7. Ni komencu eksporti la SmartEvent-datumbazon: $RTDIR/bin/eva_db_backup.csh
8. Ni alŝutas la ricevitajn dosierojn per SCP: $RTDIR/bin/<date>-db-backup.backup и $RTDIR/bin/eventiaUpgrade.tar al la laborstacio.

Ĝisdatigu

1. Iru al WebUI GAIA SMS → CPUSE → Montri ĉiujn pakaĵojn.
2. Se CPUSE donas eraron pri konektado al la Check Point-nubo, kontrolu la agordojn de DGW, DNS kaj Proxy.
3. Se ĉio estas ĝusta, sed la eraro ne malaperas, tiam vi devas ĝisdatigi CPUSE permane, sekvante sk92449.
4. Elŝutu la bildon kaj trarigardu ĝin Kontrolilo. Se necese, ni forigas discrepancojn.

   Kiel rezulto, vi devus vidi mesaĝon kiel ĉi tio:

   

5. Elektu R80.20 Freŝa Instalado kaj Ĝisdatigo por Sekureca Administrado.
6. Instalante la ĝisdatigon, elektu Puran Instalon. Post instalado, la sistemo rekomencos.
7. Ni trapasas Unuan fojon Sorĉisto.
8. Post akiri aliron, ni kontrolas la kontojn.
9. Ni konektas al SMS per SSH kaj ŝanĝas la ŝelon de nia uzanto al /bin/bash/:

   agordi uzanton <uzantnomo> shell /bin/bash/

   konservi agordon (kaze ni volas lasi bin/bash/ kiel la defaŭltan ŝelon post rekomenco).

10. Poste, ni konektas al SMS per SCP kaj en Binara reĝimo ni translokigas la arkivon kun la agordo SMS_w_logs_export_r77_r80.tgz al dosierujo /var/log/UpgradeR77.30_R80.20/
    
11. Ni forigas kontrolsumon el la arkivo: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz kaj komparu kun la antaŭa valoro. Kontrolsumoj devas kongrui.
12. Pliigu SSH-sesiotempon al 8 horoj. Por fari tion:

    [Sperto@Gastignomo]# clish -c "montri senaktivecon-tempon" rigardu la nunan timeout-kolizion,

    [Sperto@Gastignomo]# clish -c "starigis senaktivecon-tempon 720" ni specifigas novan timeout-klish (en minutoj),

    [Sperto@Gastignomo]# eĥo $TMOUT rigardu la nunan tempon-ekspertan reĝimon,

    [Sperto@Gastignomo]# eksporto TMOUT=3600 ni specifigas novan tempon-ekspertan reĝimon (en sekundoj). Se vi agordas la valoron al 0, la tempodaŭro estos malŝaltita.

13. Por importi agordojn, rulu la ilon de migra importado. Por fari tion, iru al la dosierujo: cd $FWDIR/bin/upgrade_tools/kaj rulu la importon: ./migri imp
    ort -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

Ni ĝuu la vivon dum la sekvaj du horoj. NE MALKONTU VIA SSH-SESIONO dum la proceduro. Ĉe la fino, la migra procezo aŭ resendos sukcesan mesaĝon aŭ eraron. 

Kontrollisto post-ĝisdatigo

1. Havebleco de rimedoj.
2. SIC kun GW.
3. Licencoj. Se permesiloj estas montritaj malĝuste aŭ ne estas montrataj en SMS, rulu la komandon vsec_centra_licenco por distribuado de licencoj.
4. Agordi la politikon. 

Importu SmartEvent-datumbazon

1. Aktivigu la SmartEvent-klingon.
2. Ni konektas per WinSCP al SMS kaj en binara reĝimo ni translokigas antaŭe elŝutitajn dosierojn <dato>-db-backup.backup и eventiaUpgrade.tar al dosierujo /var/log/UpgradeR77.30_R80.20/
3. Rulu la skripton per la komando: $RTDIR/bin/eventiaUpgrade.sh -upgrade /var/log/UpgradeR77.30_R80.20/eventiaUpgrade.tar
4. Kontrolante la staton: watch -n 10 eventiaUpgrade.sh
5. Kontrolante protokolojn en SmartEvent. SONĜO!

Ĝisdatigi Check Point GW Cluster (Aktiva/Sekurkopio)

Antaŭ ol komenci laboron

1. Ni konservas la agordon de GAIA de ĉiu clusternodo al dosiero, por tio ni uzas la komandon: clish -c "montri agordon" > ./<Dosiernomo>.txt
2. Ni alŝutas dosierojn per WinSCP.
3. Konektu al la WebUI de ambaŭ nodoj kaj iru al la langeto CPUSE → Montru ĉiujn pakaĵojn.
4. Trovu la ĝisdatigpakaĵon por la versio R80.20 Freŝa Instalo, premu Elŝuti.
5. Ni kontrolas, ke la CCP-protokolo funkcias en reĝimo Roadcast, por fari tion, enigu la komandon: cphaprob -a if
   Se la reĝimo estas elektita Multicast, ŝanĝu ĝin per la komando: cphaconf set_ccp elsendo (la komando estas ekzekutita sur ĉiu nodo).
6. Agordu Malfunkcion por la implikitaj nodoj en via monitora sistemo.
7. Ni kontrolas, ke la parametroj estas ebligitaj ĉe la virtualiga nivelo Ŝanĝo de MAC-adreso и Forĝitaj Transdonas por sinkroniga reto.

Ĝisdatigu

1. Ni konektas per ssh al la Aktiva nodo kaj rulas la komandon por kontroli la staton de la cluster: watch -n 2 cphaprob stat
2. Reiru al la langeto de la nodo WebUI Stanby CPUSO kaj por la elektita pako R80.20 Freŝa Instalo lanĉo Kontrolilo.
3. Ni analizas la raporton de Verifier. Se la instalado estas permesita, ni pluiru.
4. Elektu pakon R80.20 Freŝa Instalo mi bedaŭras ĝisdatigo. Dum la ĝisdatiga procezo, la sistemo rekomencos. GAIA-agordoj estas konservitaj. En la momento de rekomenco, ni kontrolas la staton de la cluster. Post ŝarĝo, la stato de la ĝisdatigita nodo devus ŝanĝiĝi al PRETA. En kelkaj kazoj, ni havis momenton, kiam nodo, kiu ankoraŭ ne estis ĝisdatigita, eniris en Aktiva Atento-statuson kaj ĉesis montri la staton de ĝisdatigita nodo. Ne maltrankviliĝu - ankaŭ ĉi tiu opcio estas akceptebla.
5. Post kiam la ĝisdatigo estas kompleta, malfermu ĝin SmartDashboard.
6. Malfermu la aretobjekton kaj ŝanĝu la grapolversion de R77.30 al R80.20. Klaku OK. Se eraro okazas dum konservado de ŝanĝoj:
   Interna eraro okazis. (Kodo: 0x8003001D, Ne eblis aliri dosieron por skriba operacio),
   sekvu SK119973. Post tio, konservu la ŝanĝojn kaj alklaku Instali Politikon.
7. En la agordoj, malmarku la parametron Por enirejgrupoj, se instalo sur clustermembro malsukcesas, ne instalu sur tiu areto.
8. Ni establas politikon. La sistemo resendos eraron por Aktiva nodo kiu ankoraŭ ne estis ĝisdatigita.
9. Ni konektas al la ĝisdatigita nodo per ssh kaj rulas la komandon por kontroli la staton de la cluster: watch -n 2 cphaprob stat
10. Konektu al la WebUI Aktiva nodo kaj iru al la langeto CPUSE → Montru ĉiujn pakaĵojn.Trovu la ĝisdatigpakaĵon por la versio R80.20 Freŝa Instalo, klaku Elŝuti.
11. Agordu Malfunkcion por la implikitaj nodoj en via monitora sistemo.
12. Revenu al la langeto de Aktivaj nodoj de WebUI CPUSO kaj por la elektita pako R80.20 Freŝa Instalo lanĉo Kontrolilo.
13. Ni analizas la raporton de Verifier. Se la instalado estas permesita, ni pluiru.
14. Elektu pakon R80.20 Freŝa Instalo mi bedaŭras Altgradigon. Dum la ĝisdatiga procezo, la sistemo rekomencos. GAIA-agordoj estas konservitaj. En la momento de rekomenco, ni kontrolas la staton de la areto sur la jam ĝisdatigita nodo. Post rekomenco, la grapolstato sur la ĝisdatigita nodo ŝanĝiĝos de PRETA al AKTIVA.
15. Post kiam la ĝisdatiga procezo finiĝas, lanĉu SmartDashboard kaj instalu la politikon.

Kontrollisto post-ĝisdatigo

• Eventaj protokoloj en SmartLog, VPN-tunela stato.
• GAIA agordoj.
• Reakiro de areto post prova Malsukceso.
• Licencoj kaj kontraktoj. Se la permesiloj estas montritaj malĝuste aŭ ne estas montritaj en la SMS, rulu la komandon. vsec_central_licence por distribuado de permesiloj.
• CoreXL.
• SecureXL.
• Hotfix kaj CPinfo sur du nodoj.

konkludo

Esence, je ĉi tiu punkto, jen ĝi - vi estis ĝisdatigita.

Por ni, la tuta procezo daŭris averaĝe de 6 ĝis 12 horoj, depende de la grandeco de la eksportitaj datumbazoj. La laboro estis efektivigita dum du noktoj: unu por ĝisdatigi SMS, la dua por la areto.

Ne estis trafika malfunkcio, malgraŭ la fakto, ke ni mem provis ĉiujn supre menciitajn erarojn.

Kompreneble, foje tute novaj malfacilaĵoj povas aperi dum la ĝisdatiga procezo, sed ĉi tio estas Check Point, kaj kiel ni ĉiuj scias, ĉiam estas varmigo!

Havu bonegan nigran kaj rozan nokton kaj renovigon!

fonto: www.habr.com