Syksyllä 2019 Check Point lopetti versioiden R77.XX tukemisen, ja se oli tarpeen päivittää. Versioiden välisistä eroista, R80:een vaihtamisen eduista ja haitoista on jo puhuttu paljon. Puhutaanpa siitä, kuinka Check Pointin virtuaaliset laitteet päivitetään (CloudGuard for VMware ESXi, Hyper-V, KVM Gateway NGTP) ja mikä voi mennä pieleen.
Meillä oli siis kaksi CCSE-insinööriä, yli tusina Check Point R2 -virtuaaliklusteria, useita pilviä, muutama hotfix-korjaus ja koko meri erilaisia bugeja, vikoja ja kaikkea muuta, kaiken värisiä ja kokoisia, ja myös erittäin tiukat määräajat. Mennään!
Mutta olemme realistisia. Jos tämä riittää pienimmässä kokoonpanossa, niin meillä on, kuten käytäntö osoittaa, yleensä https-tarkastus käytössä, SmartEvent käynnissä tekstiviestillä jne., mikä tietysti vaatii täysin erilaisia kapasiteettia. Mutta yleensä, enintään R77.30.
Mutta vivahteita on. Ja ne liittyvät ennen kaikkea fyysisen muistin kokoon. Monet toiminnot suoraan päivitysprosessin aikana vaativat kiintolevytilaa.
Hallintapalvelimelle vapaan levytilan koko riippuu suuresti nykyisten lokien määrästä (jos haluamme tallentaa ne) ja tallennettujen tietokantaversioiden määrästä, vaikka emme enää tarvitse niitä suuria määriä. Tietenkin klusterisolmuille (ellet tallenna lokeja myös paikallisesti) tällä ei ole väliä. Näin voit tarkistaa, onko sinulla tarvitsemaasi tilaa:
Yhdistämme Smart Management Serveriin ssh:n kautta, siirrymme asiantuntijatilaan ja annamme komennon:
[Expert@cp-sms:0]# df -h
Lähdössä näemme jotain tämän kaltaista kokoonpanoa:
Tiedostojärjestelmän koko Käytetty Saatavuus Käyttö% Kiinnitetty
/dev/mapper/vg_splat-lv_current 30G 7.4G 21G 27% /
/dev/sda1 289M 24M 251M 9% /boot
tmpfs 2.0G 0 2.0G 0% /dev/shm
/dev/mapper/vg_splat-lv_log 243G 177G 53G 78% /var/log
Olemme tällä hetkellä kiinnostuneita osastosta / Var / log
Huomaa, että vanhojen lokitiedostojen tallentamista ja poistamista koskevista käytännöistä sekä viedyn tietokannan koosta riippuen saatat tarvita enemmän tilaa. Jos arkiston luomisen yhteydessä vapaata tilaa on vähemmän kuin lokitiedoston tallennuskäytännössä on määritetty, järjestelmä alkaa poistaa vanhoja lokeja eikä sisällytä niitä arkistoon.
Lisäksi itse päivitysprosessia varten järjestelmä tarvitsee vähintään 13 Gt varaamatonta kiintolevytilaa. Voit tarkistaa sen olemassaolon komennolla:
Kun komento suoritetaan, yhteensopimattomista asetuksista luodaan raportti. Se on saatavilla osoitteessa: /opt/CPsuite-R77/fw1/log/pre_upgrade_verification_report.(xls, html, txt). On kätevämpää ladata se SCP:n kautta ja katsella sitä selaimen kautta.
Voit ratkaista yhteensopimattomat asetukset käyttämällä SK117237.
Suorita sitten pre_upgrade_verifier -apuohjelma uudelleen varmistaaksesi, että kaikki yhteensopimattomuuden syyt on poistettu.
Seuraavaksi keräämme tietoja verkkoliitännöistä, reititystaulukosta ja lataamme GAIA-määritykset: ip a > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
ip r > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
clish -c "näytä asetukset" > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
Lataa tuloksena oleva tiedosto SCP:n kautta.
Otamme tilannekuvan virtualisointitasolla.
Nostamme SSH-istunnon aikakatkaisun 8 tuntiin. Se riippuu tuuristasi: viedyn tietokannan koosta riippuen se voi kestää muutamasta minuutista useisiin tunteihin. Tätä varten: [Expert@HostName]# clish -c "näytä passiivisuuden aikakatkaisu" katso nykyinen aikakatkaisutapahtuma,
[Expert@HostName]# clish -c "set inactivity-timeout 720" määritä uusi aikakatkaisu (minuutteina),
[Expert@HostName]# echo $TMOUT katso nykyinen aikakatkaisun asiantuntijatila,
[Expert@HostName]# vienti TMOUT=3600 määritä uusi aikakatkaisun asiantuntijatila (sekunneissa), jos asetat arvoksi 0, aikakatkaisu poistetaan käytöstä.
Lataamme ja asennamme SMS.iso-asennusotoksen virtuaalikoneeseen.
MUISTA ennen seuraavaa vaihetta, että kiintolevylläsi on tarpeeksi varaamatonta tilaa (muista, että tarvitset 13 Gt).
Ennen kuin aloitat kokoonpanon viennin, muuta lokitiedosto komennolla: fw lokikytkin
Vie määritykset ja lokit
Lataa kokoonpano suorittamalla migrate_export-apuohjelma. Voit tehdä tämän siirtymällä aiemmin luotuun kansioon: cd /var/log/UpgradeR77.30_R80.20/ ja käytä komentoa: ./migrate export -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz
tai
mene kansioon: cd $FWDIR/bin/upgrade_tools/ и
suorita komento sieltä: ./migrate export -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz
Lataa vastaanotetut tiedostot SCP:n kautta: $RTDIR/bin/<date>-db-backup.backup и $RTDIR/bin/eventiaUpgrade.tar työasemalle.
Päivittää
Mene WebUI GAIA SMS → CPUSE → Näytä kaikki paketit.
Jos CPUSE antaa virheen muodostaessaan yhteyttä Check Point -pilveen, tarkista DGW-, DNS- ja välityspalvelinasetukset.
Jos kaikki on oikein ja virhe ei katoa, sinun on päivitettävä CPUSE manuaalisesti ohjeiden mukaan sk92449.
Lataa kuva ja käy läpi Varmentaja. Tarvittaessa poistamme epäjohdonmukaisuudet.
Tämän seurauksena sinun pitäisi nähdä tämä viesti:
valita R80.20 Uusi asennus ja päivitys tietoturvan hallintaan.
Kun asennat päivityksen, valitse Puhdas asennus. Asennuksen jälkeen järjestelmä käynnistyy uudelleen.
Menemme ohi ensimmäistä kertaa Wizard.
Kun olemme saaneet pääsyn, tarkistamme tilit.
Yhdistämme tekstiviestiin SSH:n kautta ja vaihdamme käyttäjäkuoren muotoon /bin/bash/:
aseta käyttäjä <käyttäjänimi> komentotulkki /bin/bash/
tallenna konfiguraatio (jos haluamme jättää bin/bash/ oletuskuoreksi uudelleenkäynnistyksen jälkeen).
Seuraavaksi muodostamme yhteyden SMS:ään SCP:n kautta ja siirrämme arkiston määrityksillä binaaritilassa SMS_w_logs_export_r77_r80.tgz kansioon /var/log/UpgradeR77.30_R80.20/
Poistamme tarkistussumman arkistosta: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz ja vertaa edelliseen arvoon. Tarkistussumman on oltava sama.
Nostamme SSH-istunnon aikakatkaisun 8 tuntiin. Tätä varten:
[Expert@HostName]# clish -c "näytä passiivisuuden aikakatkaisu" katso nykyinen aikakatkaisutapahtuma,
[Expert@HostName]# clish -c "set inactivity-timeout 720" määritä uusi aikakatkaisu (minuutteina),
[Expert@HostName]# echo $TMOUT katso nykyinen aikakatkaisun asiantuntijatila,
[Expert@HostName]# vienti TMOUT=3600 määritä uusi aikakatkaisun asiantuntijatila (sekunneissa). Jos asetat arvoksi 0, aikakatkaisu poistetaan käytöstä.
Tuo asetukset suorittamalla siirto-tuontiapuohjelma. Voit tehdä tämän siirtymällä kansioon: cd $FWDIR/bin/upgrade_tools/ja suorita tuonti: ./migrate imp
ort -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz
Nautitaan elämästä seuraavat pari tuntia. ÄLÄ IRROTA SSH-ISTUNTOASI toimenpiteen aikana. Siirtoprosessin lopussa näkyy joko onnistumisviesti tai virheilmoitus.
Tarkistuslista päivityksen jälkeen
Resurssien saatavuus.
SIC ja GW.
Lisenssit. Jos lisenssit näkyvät väärin tai eivät näy tekstiviestissä, suorita komento vsec_central_licence lisenssien jakelua varten.
Käytännön asettaminen.
Tuodaan SmartEvent-tietokantaa
Aktivoi SmartEvent-terä.
Yhdistämme WinSCP:n kautta tekstiviestiin ja siirrämme aiemmin ladatut tiedostot binääritilassa <päivämäärä>-db-backup.backup и eventiaUpgrade.tar kansioon /var/log/UpgradeR77.30_R80.20/
Tilan tarkistaminen: watch -n 10 eventiaUpgrade.sh
Lokien tarkistaminen SmartEventissä. UNELMA!
Check Point GW -klusterin päivittäminen (aktiivinen/varmuuskopio)
Ennen työn aloittamista
Tallennamme kunkin klusterin solmun GAIA-määritykset tiedostoon. Käytä tätä komentoa: clish -c "näytä asetukset" > ./<Tiedoston nimi>.txt
Tiedostojen lataaminen WinSCP:n avulla.
Yhdistä molempien solmujen WebUI-käyttöliittymään ja siirry välilehdelle CPUSE → Näytä kaikki paketit.
Päivityspaketin etsiminen versiolle R80.20 Uusi asennuspainamalla Lataa.
Tarkistamme, että CCP-protokolla toimii tilassa Lähettää, tehdä tämä antamalla komento: cphaprob -a jos
Jos tila on valittu multicast, korvaa se komennolla: cphaconf set_ccp -lähetys (komento suoritetaan jokaisessa solmussa).
Asennamme valvontajärjestelmäsi mukana oleville solmuille seisokit.
Tarkistamme, että parametrit ovat käytössä virtualisointitasolla MAC-osoitteen muutos и Taotut lähetykset synkronointiverkkoa varten.
Päivittää
Yhdistämme ssh:n kautta aktiiviseen solmuun ja suoritamme komennon seurataksesi klusterin tilaa: watch -n 2 cphaprob stat
Palaa WebUI Stanby -solmut -välilehteen CPUSE ja valitulle paketille R80.20 Uusi asennus tuoda markkinoille Varmentaja.
Analysoidaan Verifier-raporttia. Jos asennus on sallittu, siirry eteenpäin.
Valitse paketti R80.20 Uusi asennus ja juosta parantaa. Päivitysprosessin aikana järjestelmä käynnistyy uudelleen. GAIA-asetukset tallennetaan. Uudelleenkäynnistyksen yhteydessä seuraamme klusterin tilaa. Latauksen jälkeen päivitetyn solmun tilan pitäisi muuttua VALMIS. Useissa tapauksissa törmäsimme hetkeen, jolloin solmu, jota ei ollut vielä päivitetty, siirtyi Active Attention -tilaan ja lakkasi näyttämästä päivitetyn solmun tilaa. Älä huolestu - tämä vaihtoehto on myös hyväksyttävä.
Kun päivitys on valmis, avaa SmartDashboard.
Avaa klusteriobjekti ja muuta klusterin versio R77.30:sta R80.20:ksi. Napsauta OK. Jos muutoksia tallennettaessa tulee virheilmoitus: Tapahtui sisäinen virhe. (Koodi: 0x8003001D, tiedostoa ei voitu käyttää kirjoitustoimintoa varten),
seuraa SK119973. Tallenna sen jälkeen muutokset ja napsauta Asenna käytäntö.
Poista asetuksista valinta Jos yhdyskäytäväklusterien asennus epäonnistuu, älä asenna kyseiseen klusteriin.
Asetamme politiikan. Järjestelmä luo virheen aktiiviselle solmulle, jota ei ole vielä päivitetty.
Yhdistämme päivitettyyn solmuun ssh:n kautta ja suoritamme komennon seurataksesi klusterin tilaa: watch -n 2 cphaprob stat
Muodosta yhteys WebUI Active -solmuun ja siirry välilehdelle CPUSE → Näytä kaikki paketit.Päivityspaketin etsiminen versiolle R80.20 Uusi asennus, Lehdistö Lataa.
Asennamme valvontajärjestelmäsi mukana oleville solmuille seisokit.
Palaa WebUI Active solmut -välilehteen CPUSE ja valitulle paketille R80.20 Uusi asennus tuoda markkinoille Varmentaja.
Analysoidaan Verifier-raporttia. Jos asennus on sallittu, siirry eteenpäin.
Valitse paketti R80.20 Uusi asennus ja juosta Päivittää. Päivitysprosessin aikana järjestelmä käynnistyy uudelleen. GAIA-asetukset tallennetaan. Uudelleenkäynnistyksen yhteydessä seuraamme klusterin tilaa jo päivitetyssä solmussa. Uudelleenkäynnistyksen jälkeen päivitetyn solmun klusterin tila muuttuu READY-tilasta ACTIVE-tilaan.
Kun päivitysprosessi on valmis, käynnistä SmartDashboard ja asenna käytäntö.
Tarkistuslista päivityksen jälkeen
Tapahtumalokit SmartLogissa, VPN-tunnelien tila.
GAIA-asetukset.
Klusterin palauttaminen testivirheen jälkeen.
Lisenssit ja sopimukset. Jos lisenssit näkyvät väärin tai eivät näy tekstiviestissä, suorita komento. vsec_central_licence lisenssien jakelua varten.
CoreXL.
SecureXL.
Hotfix ja CPinfo kahdessa solmussa.
Johtopäätös
Yleisesti ottaen tässä on kaikki tässä vaiheessa - olet päivitetty.
Meillä koko prosessi kesti keskimäärin 6-12 tuntia, riippuen vietyjen tietokantojen koosta. Töitä tehtiin kahden yön aikana: yksi SMS-päivitys, toinen klusteri.
Liikennekatkoksia ei ollut, vaikka tarkistimme kaikki yllä mainitut virheet itse.
Tietysti päivitysprosessin aikana saattaa ilmetä joskus täysin uusia vaikeuksia, mutta tämä on Check Point, ja kuten me kaikki tiedämme, siihen on aina korjaus!
Mukavia musta-vaaleanpunaisia öitä ja päivityksiä!