Check Point päivitetään R77.30:sta 80.20:een

Syksyllä 2019 Check Point lopetti versioiden R77.XX tukemisen, ja se oli tarpeen päivittää. Versioiden välisistä eroista, R80:een vaihtamisen eduista ja haitoista on jo puhuttu paljon. Puhutaanpa siitä, kuinka Check Pointin virtuaaliset laitteet päivitetään (CloudGuard for VMware ESXi, Hyper-V, KVM Gateway NGTP) ja mikä voi mennä pieleen.

Meillä oli siis kaksi CCSE-insinööriä, yli tusina Check Point R2 -virtuaaliklusteria, useita pilviä, muutama hotfix-korjaus ja koko meri erilaisia ​​bugeja, vikoja ja kaikkea muuta, kaiken värisiä ja kokoisia, ja myös erittäin tiukat määräajat. Mennään!

Sisältö:

Koulutus
Hallintapalvelimen päivitys
Päivitetään klusteria

Tältä näyttää tyypillinen asiakkaan pilviinfrastruktuuri virtuaalisella Check Pointilla

Koulutus

Ensimmäinen askel on tarkistaa, onko päivitykseen riittävästi resursseja. R80.20:n suositellut vähimmäisvaatimukset näyttävät tällä hetkellä tältä:

Laite

prosessori

RAM

HDD

Turvayhdyskäytävä

2 core

4 Gb

Alkaen 15 GB

SMS

2 core

6 Gb

-

Suositukset on kuvattu asiakirjassa CP_R80.20_GA_Release_Notes.

Mutta olemme realistisia. Jos tämä riittää pienimmässä kokoonpanossa, niin meillä on, kuten käytäntö osoittaa, yleensä https-tarkastus käytössä, SmartEvent käynnissä tekstiviestillä jne., mikä tietysti vaatii täysin erilaisia ​​​​kapasiteettia. Mutta yleensä, enintään R77.30.

Mutta vivahteita on. Ja ne liittyvät ennen kaikkea fyysisen muistin kokoon. Monet toiminnot suoraan päivitysprosessin aikana vaativat kiintolevytilaa.

Hallintapalvelimelle vapaan levytilan koko riippuu suuresti nykyisten lokien määrästä (jos haluamme tallentaa ne) ja tallennettujen tietokantaversioiden määrästä, vaikka emme enää tarvitse niitä suuria määriä. Tietenkin klusterisolmuille (ellet tallenna lokeja myös paikallisesti) tällä ei ole väliä. Näin voit tarkistaa, onko sinulla tarvitsemaasi tilaa:

1. Yhdistämme Smart Management Serveriin ssh:n kautta, siirrymme asiantuntijatilaan ja annamme komennon:

   [Expert@cp-sms:0]# df -h

2. Lähdössä näemme jotain tämän kaltaista kokoonpanoa:

   Tiedostojärjestelmän koko Käytetty Saatavuus Käyttö% Kiinnitetty
   /dev/mapper/vg_splat-lv_current 30G 7.4G 21G 27% /
   /dev/sda1 289M 24M 251M 9% /boot
   tmpfs 2.0G 0 2.0G 0% /dev/shm
   /dev/mapper/vg_splat-lv_log 243G 177G 53G 78% /var/log

3. Olemme tällä hetkellä kiinnostuneita osastosta / Var / log

Huomaa, että vanhojen lokitiedostojen tallentamista ja poistamista koskevista käytännöistä sekä viedyn tietokannan koosta riippuen saatat tarvita enemmän tilaa. Jos arkiston luomisen yhteydessä vapaata tilaa on vähemmän kuin lokitiedoston tallennuskäytännössä on määritetty, järjestelmä alkaa poistaa vanhoja lokeja eikä sisällytä niitä arkistoon.

Lisäksi itse päivitysprosessia varten järjestelmä tarvitsee vähintään 13 Gt varaamatonta kiintolevytilaa. Voit tarkistaa sen olemassaolon komennolla:

[Expert@cp-sms:0]# pvs

Näemme jotain tämän kaltaista:

PV VG Fmt Attr PSkoko PFree
/dev/sda3 vg_splat lvm2 a- 141.69G 43.69G

Tässä tapauksessa meillä on 43 Gt. Resursseja riittää. Voit aloittaa päivityksen.

Check Pointin SMS-hallintapalvelimen päivittäminen

Ennen työn aloittamista sinun on tehtävä seuraavat:

1. Asenna Migration Tools -paketti hallintapalvelimeen. Tätä varten sinun on ladattava kuva portaalista Check Point.
2. Lataa arkisto hallintapalvelimelle WinSCP:n kautta kansioon /var/log/UpgradeR77.30_R80.20 (jos tarpeen, luo ensin kansio).
3. Yhdistä hallintapalvelimeen SSH:n kautta ja siirry kansioon, jossa on arkisto:cd /var/log/UpgradeR77.30_R80.20/
4. Pura tiedosto:tar -zxvf ./<tiedoston nimi>.tgz
5. Käynnistämme pre_upgrade_verifier-apuohjelman komennolla: ./pre_upgrade_verifier -p $FWDIR -c R77 -t R80.20
6. Kun komento suoritetaan, yhteensopimattomista asetuksista luodaan raportti. Se on saatavilla osoitteessa: /opt/CPsuite-R77/fw1/log/pre_upgrade_verification_report.(xls, html, txt). On kätevämpää ladata se SCP:n kautta ja katsella sitä selaimen kautta.
   Voit ratkaista yhteensopimattomat asetukset käyttämällä SK117237.
7. Suorita sitten pre_upgrade_verifier -apuohjelma uudelleen varmistaaksesi, että kaikki yhteensopimattomuuden syyt on poistettu.
8. Seuraavaksi keräämme tietoja verkkoliitännöistä, reititystaulukosta ja lataamme GAIA-määritykset:
   ip a > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
   ip r > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
   clish -c "näytä asetukset" > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
9. Lataa tuloksena oleva tiedosto SCP:n kautta.
10. Otamme tilannekuvan virtualisointitasolla.
11. Nostamme SSH-istunnon aikakatkaisun 8 tuntiin. Se riippuu tuuristasi: viedyn tietokannan koosta riippuen se voi kestää muutamasta minuutista useisiin tunteihin. Tätä varten: 
    [Expert@HostName]# clish -c "näytä passiivisuuden aikakatkaisu" katso nykyinen aikakatkaisutapahtuma,

    [Expert@HostName]# clish -c "set inactivity-timeout 720" määritä uusi aikakatkaisu (minuutteina),

    [Expert@HostName]# echo $TMOUT katso nykyinen aikakatkaisun asiantuntijatila,

    [Expert@HostName]# vienti TMOUT=3600 määritä uusi aikakatkaisun asiantuntijatila (sekunneissa), jos asetat arvoksi 0, aikakatkaisu poistetaan käytöstä.

12. Lataamme ja asennamme SMS.iso-asennusotoksen virtuaalikoneeseen.

    MUISTA ennen seuraavaa vaihetta, että kiintolevylläsi on tarpeeksi varaamatonta tilaa (muista, että tarvitset 13 Gt). 

13. Ennen kuin aloitat kokoonpanon viennin, muuta lokitiedosto komennolla: fw lokikytkin

Vie määritykset ja lokit

1. Lataa kokoonpano suorittamalla migrate_export-apuohjelma. Voit tehdä tämän siirtymällä aiemmin luotuun kansioon: cd /var/log/UpgradeR77.30_R80.20/ ja käytä komentoa: ./migrate export -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

   tai

   mene kansioon: cd $FWDIR/bin/upgrade_tools/ и
   suorita komento sieltä: ./migrate export -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

2. Poistamme tarkistussumman arkistosta: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz
3. Tallenna tuloksena oleva arvo muistilehtiöön.
4. Yhdistämme SMS:ään SCP:n kautta ja lataamme arkiston konfiguraatioineen työasemalle. Muista käyttää tiedostojen siirtoa binäärimuodossa.

Vie SmartEvent-tietokanta

Tässä tarvitsemme esiasennetun SMS-version R80. Mikä tahansa testi käy. 

1. Tekstiviestistä tarvitsemme skriptin, joka sijaitsee täällä:$RTDIR/bin/eva_db_backup.csh
2. Lataa komentosarja SCP:n kautta eva_db_backup.csh kansioon: /var/log/UpgradeR77.30_R80.20/
3. Yhdistä SSH:n kautta tekstiviestiin. Kopioi tiedosto kansioon: cp /var/log/UpgradeR77.30_R80.20/eva_db_backup.csh
   $RTDIR/bin/eva_db_backup.csh
4. Koodauksen vaihtaminen: dos2unix $RTDIR/bin/eva_db_backup.csh
5. Omistajan lisääminen: chown -v admin:root $RTDIR/bin/eva_db_backup.csh
6. Lisää oikeudet: chmod -v 0755 $RTDIR/bin/eva_db_backup.csh
7. Aloitetaan SmartEvent-tietokannan vienti: $RTDIR/bin/eva_db_backup.csh
8. Lataa vastaanotetut tiedostot SCP:n kautta: $RTDIR/bin/<date>-db-backup.backup и $RTDIR/bin/eventiaUpgrade.tar työasemalle.

Päivittää

1. Mene WebUI GAIA SMS → CPUSE → Näytä kaikki paketit.
2. Jos CPUSE antaa virheen muodostaessaan yhteyttä Check Point -pilveen, tarkista DGW-, DNS- ja välityspalvelinasetukset.
3. Jos kaikki on oikein ja virhe ei katoa, sinun on päivitettävä CPUSE manuaalisesti ohjeiden mukaan sk92449.
4. Lataa kuva ja käy läpi Varmentaja. Tarvittaessa poistamme epäjohdonmukaisuudet.

   Tämän seurauksena sinun pitäisi nähdä tämä viesti:

   

5. valita R80.20 Uusi asennus ja päivitys tietoturvan hallintaan.
6. Kun asennat päivityksen, valitse Puhdas asennus. Asennuksen jälkeen järjestelmä käynnistyy uudelleen.
7. Menemme ohi ensimmäistä kertaa Wizard.
8. Kun olemme saaneet pääsyn, tarkistamme tilit.
9. Yhdistämme tekstiviestiin SSH:n kautta ja vaihdamme käyttäjäkuoren muotoon /bin/bash/:

   aseta käyttäjä <käyttäjänimi> komentotulkki /bin/bash/

   tallenna konfiguraatio (jos haluamme jättää bin/bash/ oletuskuoreksi uudelleenkäynnistyksen jälkeen).

10. Seuraavaksi muodostamme yhteyden SMS:ään SCP:n kautta ja siirrämme arkiston määrityksillä binaaritilassa SMS_w_logs_export_r77_r80.tgz kansioon /var/log/UpgradeR77.30_R80.20/
    
11. Poistamme tarkistussumman arkistosta: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz ja vertaa edelliseen arvoon. Tarkistussumman on oltava sama.
12. Nostamme SSH-istunnon aikakatkaisun 8 tuntiin. Tätä varten:

    [Expert@HostName]# clish -c "näytä passiivisuuden aikakatkaisu" katso nykyinen aikakatkaisutapahtuma,

    [Expert@HostName]# clish -c "set inactivity-timeout 720" määritä uusi aikakatkaisu (minuutteina),

    [Expert@HostName]# echo $TMOUT katso nykyinen aikakatkaisun asiantuntijatila,

    [Expert@HostName]# vienti TMOUT=3600 määritä uusi aikakatkaisun asiantuntijatila (sekunneissa). Jos asetat arvoksi 0, aikakatkaisu poistetaan käytöstä.

13. Tuo asetukset suorittamalla siirto-tuontiapuohjelma. Voit tehdä tämän siirtymällä kansioon: cd $FWDIR/bin/upgrade_tools/ja suorita tuonti: ./migrate imp
    ort -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

Nautitaan elämästä seuraavat pari tuntia. ÄLÄ IRROTA SSH-ISTUNTOASI toimenpiteen aikana. Siirtoprosessin lopussa näkyy joko onnistumisviesti tai virheilmoitus. 

Tarkistuslista päivityksen jälkeen

1. Resurssien saatavuus.
2. SIC ja GW.
3. Lisenssit. Jos lisenssit näkyvät väärin tai eivät näy tekstiviestissä, suorita komento vsec_central_licence lisenssien jakelua varten.
4. Käytännön asettaminen. 

Tuodaan SmartEvent-tietokantaa

1. Aktivoi SmartEvent-terä.
2. Yhdistämme WinSCP:n kautta tekstiviestiin ja siirrämme aiemmin ladatut tiedostot binääritilassa <päivämäärä>-db-backup.backup и eventiaUpgrade.tar kansioon /var/log/UpgradeR77.30_R80.20/
3. Suoritamme skriptin komennolla: $RTDIR/bin/eventiaUpgrade.sh -upgrade /var/log/UpgradeR77.30_R80.20/eventiaUpgrade.tar
4. Tilan tarkistaminen: watch -n 10 eventiaUpgrade.sh
5. Lokien tarkistaminen SmartEventissä. UNELMA!

Check Point GW -klusterin päivittäminen (aktiivinen/varmuuskopio)

Ennen työn aloittamista

1. Tallennamme kunkin klusterin solmun GAIA-määritykset tiedostoon. Käytä tätä komentoa: clish -c "näytä asetukset" > ./<Tiedoston nimi>.txt
2. Tiedostojen lataaminen WinSCP:n avulla.
3. Yhdistä molempien solmujen WebUI-käyttöliittymään ja siirry välilehdelle CPUSE → Näytä kaikki paketit.
4. Päivityspaketin etsiminen versiolle R80.20 Uusi asennuspainamalla Lataa.
5. Tarkistamme, että CCP-protokolla toimii tilassa Lähettää, tehdä tämä antamalla komento: cphaprob -a jos
   Jos tila on valittu multicast, korvaa se komennolla: cphaconf set_ccp -lähetys (komento suoritetaan jokaisessa solmussa).
6. Asennamme valvontajärjestelmäsi mukana oleville solmuille seisokit.
7. Tarkistamme, että parametrit ovat käytössä virtualisointitasolla MAC-osoitteen muutos и Taotut lähetykset synkronointiverkkoa varten.

Päivittää

1. Yhdistämme ssh:n kautta aktiiviseen solmuun ja suoritamme komennon seurataksesi klusterin tilaa: watch -n 2 cphaprob stat
2. Palaa WebUI Stanby -solmut -välilehteen CPUSE ja valitulle paketille R80.20 Uusi asennus tuoda markkinoille Varmentaja.
3. Analysoidaan Verifier-raporttia. Jos asennus on sallittu, siirry eteenpäin.
4. Valitse paketti R80.20 Uusi asennus ja juosta parantaa. Päivitysprosessin aikana järjestelmä käynnistyy uudelleen. GAIA-asetukset tallennetaan. Uudelleenkäynnistyksen yhteydessä seuraamme klusterin tilaa. Latauksen jälkeen päivitetyn solmun tilan pitäisi muuttua VALMIS. Useissa tapauksissa törmäsimme hetkeen, jolloin solmu, jota ei ollut vielä päivitetty, siirtyi Active Attention -tilaan ja lakkasi näyttämästä päivitetyn solmun tilaa. Älä huolestu - tämä vaihtoehto on myös hyväksyttävä.
5. Kun päivitys on valmis, avaa SmartDashboard.
6. Avaa klusteriobjekti ja muuta klusterin versio R77.30:sta R80.20:ksi. Napsauta OK. Jos muutoksia tallennettaessa tulee virheilmoitus:
   Tapahtui sisäinen virhe. (Koodi: 0x8003001D, tiedostoa ei voitu käyttää kirjoitustoimintoa varten),
   seuraa SK119973. Tallenna sen jälkeen muutokset ja napsauta Asenna käytäntö.
7. Poista asetuksista valinta Jos yhdyskäytäväklusterien asennus epäonnistuu, älä asenna kyseiseen klusteriin.
8. Asetamme politiikan. Järjestelmä luo virheen aktiiviselle solmulle, jota ei ole vielä päivitetty.
9. Yhdistämme päivitettyyn solmuun ssh:n kautta ja suoritamme komennon seurataksesi klusterin tilaa: watch -n 2 cphaprob stat
10. Muodosta yhteys WebUI Active -solmuun ja siirry välilehdelle CPUSE → Näytä kaikki paketit.Päivityspaketin etsiminen versiolle R80.20 Uusi asennus, Lehdistö Lataa.
11. Asennamme valvontajärjestelmäsi mukana oleville solmuille seisokit.
12. Palaa WebUI Active solmut -välilehteen CPUSE ja valitulle paketille R80.20 Uusi asennus tuoda markkinoille Varmentaja.
13. Analysoidaan Verifier-raporttia. Jos asennus on sallittu, siirry eteenpäin.
14. Valitse paketti R80.20 Uusi asennus ja juosta Päivittää. Päivitysprosessin aikana järjestelmä käynnistyy uudelleen. GAIA-asetukset tallennetaan. Uudelleenkäynnistyksen yhteydessä seuraamme klusterin tilaa jo päivitetyssä solmussa. Uudelleenkäynnistyksen jälkeen päivitetyn solmun klusterin tila muuttuu READY-tilasta ACTIVE-tilaan.
15. Kun päivitysprosessi on valmis, käynnistä SmartDashboard ja asenna käytäntö.

Tarkistuslista päivityksen jälkeen

• Tapahtumalokit SmartLogissa, VPN-tunnelien tila.
• GAIA-asetukset.
• Klusterin palauttaminen testivirheen jälkeen.
• Lisenssit ja sopimukset. Jos lisenssit näkyvät väärin tai eivät näy tekstiviestissä, suorita komento. vsec_central_licence lisenssien jakelua varten.
• CoreXL.
• SecureXL.
• Hotfix ja CPinfo kahdessa solmussa.

Johtopäätös

Yleisesti ottaen tässä on kaikki tässä vaiheessa - olet päivitetty.

Meillä koko prosessi kesti keskimäärin 6-12 tuntia, riippuen vietyjen tietokantojen koosta. Töitä tehtiin kahden yön aikana: yksi SMS-päivitys, toinen klusteri.

Liikennekatkoksia ei ollut, vaikka tarkistimme kaikki yllä mainitut virheet itse.

Tietysti päivitysprosessin aikana saattaa ilmetä joskus täysin uusia vaikeuksia, mutta tämä on Check Point, ja kuten me kaikki tiedämme, siihen on aina korjaus!

Mukavia musta-vaaleanpunaisia ​​öitä ja päivityksiä!

Lähde: will.com