ProHoster > Blog > Bestjoer > Fernijing Check Point út R77.30 oan 80.20

Fernijing Check Point út R77.30 oan 80.20

Fernijing Check Point út R77.30 oan 80.20

Yn 'e hjerst fan 2019 stoppe Check Point it stypjen fan ferzjes R77.XX, en it wie nedich om te aktualisearjen. In protte is al sein oer it ferskil tusken de ferzjes, de foar- en neidielen fan oerstap nei de R80. Litte wy better prate oer hoe't jo Check Point-firtuele apparaten eins bywurkje (CloudGuard foar VMware ESXi, Hyper-V, KVM Gateway NGTP) en wat kin ferkeard gean.

Dat, wy hienen 2 CCSE-yngenieurs, mear as in tsiental Check Point R77.30 firtuele klusters, ferskate wolken, in pear hotfixes en in hiele see fan ferskate bugs, glitches en dat alles, fan alle kleuren en maten, en ek hiel strakke deadlines. Litte wy gean!

Ynhâld:

Tarieding fan
It bywurkjen fan de behear tsjinner
It kluster bywurkje

Fernijing Check Point út R77.30 oan 80.20

Dit is hoe't de wolkynfrastruktuer fan in typyske klant mei firtuele Check Point derút sjocht

Tarieding fan

De earste stap is om te kontrolearjen oft d'r genôch boarnen binne foar de fernijing. De oanrikkemandearre minimumeasken foar R80.20 sjogge der op it stuit sa út:

apparaat

CPU

RAAM

HDD

Feiligens Gateway

2 kearn

4 Gb

Fan 15 GB

SMS

2 kearn

6 Gb

-

Oanbefellings wurde beskreaun yn it dokumint CP_R80.20_GA_Release_Notes.

Mar wy sille realistysk wêze. As dit genôch is yn 'e meast minimale konfiguraasje, dan hawwe wy, lykas praktyk docht bliken, gewoanlik https-ynspeksje ynskeakele, SmartEvent rint op SMS, ensfh., Wat fansels folslein oare kapasiteiten fereasket. Mar yn it algemien, net mear as foar R77.30.

Mar der binne nuânses. En se relatearje, earst fan alles, oan 'e grutte fan fysyk ûnthâld. In protte operaasjes direkt tidens it fernijingsproses sille hurde skiifromte fereaskje.

Foar de behearserver sil de grutte fan frije skiifromte in protte ôfhinklik wêze fan it folume fan aktuele logs (as wy se wolle bewarje) en fan it oantal bewarre Database Revisions, hoewol wy se net mear nedich hawwe yn grutte hoemannichten. Fansels, foar klusterknooppunten (útsein as jo ek logs lokaal opslaan) makket dit alles net út. Hjir is hoe't jo kinne kontrolearje as jo de romte hawwe dy't jo nedich binne:

  1. Wy ferbine mei Smart Management Server fia ssh, gean nei ekspertmodus en fier it kommando yn:

    [Expert@cp-sms:0]# df -h

  2. By de útfier sille wy wat sjen as dizze konfiguraasje:

    Triemsysteemgrutte brûkt Beskikber gebrûk% monteard op
    /dev/mapper/vg_splat-lv_current 30G 7.4G 21G 27% /
    /dev/sda1 289M 24M 251M 9% /boot
    tmpfs 2.0G 0 2.0G 0% /dev/shm
    /dev/mapper/vg_splat-lv_log 243G 177G 53G 78% /var/log

  3. Wy binne op it stuit ynteressearre yn de seksje / var / log

Tink derom dat ôfhinklik fan it belied foar it opslaan en wiskjen fan âlde lochbestannen, lykas de grutte fan 'e eksportearre databank, mear romte nedich wêze kin. As d'r by it meitsjen fan in argyf minder frije romte is dan spesifisearre yn it belied foar opslach fan logfiles, sil it systeem begjinne mei it wiskjen fan âlde logs en sil se NET opnimme yn it argyf.

Ek foar it fernijingsproses sels sil it systeem op syn minst 13 GB net-allokearre hurde skiifromte nedich wêze. Jo kinne de oanwêzigens kontrolearje mei it kommando:

[Expert@cp-sms:0]# pvs

Wy sille sa'n ding sjen:

PV VG Fmt Attr PSize PFree
/dev/sda3 vg_splat lvm2 a- 141.69G 43.69G

Yn dit gefal hawwe wy 43 GB. Der binne genôch middels. Jo kinne begjinne te aktualisearjen.

It bywurkjen fan de Check Point SMS-beheartsjinner

Foardat jo wurkje moatte jo it folgjende dwaan:

  1. Ynstallearje it pakket Migration Tools op de behearserver. Om dit te dwaan, moatte jo de ôfbylding downloade fan it portaal Check Point.
  2. Upload it argyf nei de behearserver fia WinSCP yn 'e map /var/log/UpgradeR77.30_R80.20 (as it nedich is, meitsje earst in map oan).
  3. Ferbine mei de behearserver fia SSH en gean nei de map mei it argyf:cd /var/log/UpgradeR77.30_R80.20/
  4. Unzip it bestân:tar -zxvf ./<bestânnamme>.tgz
  5. Wy starte it pre_upgrade_verifier-hulpprogramma mei it kommando: ./pre_upgrade_verifier -p $FWDIR -c R77 -t R80.20
  6. By it útfieren fan it kommando sil in rapport oer ynkompatibele ynstellings oanmakke wurde. It is beskikber by: /opt/CPsuite-R77/fw1/log/pre_upgrade_verification_report.(xls, html, txt). It is handiger om it te uploaden fia SCP en it te besjen fia in browser.
    Om alle ynkompatibele ynstellings op te lossen, brûk SK117237.
  7. Rinne dan it pre_upgrade_verifier-hulpprogramma opnij om te soargjen dat alle oarsaken fan ynkompatibiliteit binne elimineare.
  8. Dêrnei sammelje wy ynformaasje oer netwurkynterfaces, de routingtabel en uploade de GAIA-konfiguraasje:
    ip a > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
    ip r > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
    clish -c "konfiguraasje sjen litte"> /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
  9. Upload de resultearjende triem fia SCP.
  10. Wy nimme in momintopname op it virtualisaasjenivo.
  11. Wy ferheegje de time-out fan 'e SSH-sesje nei 8 oeren. It hinget fan jo gelok ôf: ôfhinklik fan de grutte fan 'e eksportearre databank kin it fan ferskate minuten oant ferskate oeren duorje. Foar dit: 
    [Expert@HostName]# clish -c "show inactivity-timeout" sjoch nei de hjoeddeistige time-out clish,

    [Expert@HostName]# clish -c "set inactivity-timeout 720" spesifisearje de nije time-out clish (yn minuten),

    [Expert@HostName]# echo $TMOUT sjoch nei de hjoeddeistige timeout-ekspertmodus,

    [Expert@HostName]# eksportearje TMOUT=3600 spesifisearje de nije timeout ekspertmodus (yn sekonden), as jo de wearde ynstelle op 0, dan sil timeout útskeakele wurde.

  12. Wy downloade en montearje de ynstallaasjeôfbylding fan SMS.iso op 'e firtuele masine.

    Foardat de folgjende stap, Wês der wis fan dat jo dûbel kontrolearje dat jo genôch net-allokearre romte hawwe op jo hurde skiif (ûnthâld dat jo 13 GB nedich binne). 

  13. Foardat jo begjinne mei it eksportearjen fan de konfiguraasje, feroarje it logbestân mei it kommando: fw logswitch

Eksportearje konfiguraasje en logs

  1. Run it migrate_export-hulpprogramma om de konfiguraasje te downloaden. Om dit te dwaan, gean nei de earder oanmakke map: cd /var/log/UpgradeR77.30_R80.20/ en brûk it kommando: ./migrearje eksportearje -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

    of

    gean nei de map: cd $FWDIR/bin/upgrade_tools/ и
    útfiere it kommando fan dêrút: ./migrearje eksportearje -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

  2. Wy ferwiderje kontrôlesum út it argyf: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz
  3. Bewarje de resultearjende wearde yn notepad.
  4. Wy ferbine mei SMS fia SCP en upload it argyf mei de konfiguraasje nei it wurkstasjon. Wês wis dat jo triemferfier brûke yn Binary-formaat.

Eksportearje SmartEvent databank

Hjir moatte wy de foarynstallearre SMS ferzje R80. Elke test sil dwaan. 

  1. Fan SMS hawwe wy in skript nedich dat hjir stiet:$RTDIR/bin/eva_db_backup.csh
  2. Laad it skript fia SCP eva_db_backup.csh nei map: /var/log/UpgradeR77.30_R80.20/
  3. Ferbine fia SSH nei SMS. Kopiearje triem nei map: cp /var/log/UpgradeR77.30_R80.20/eva_db_backup.csh
    $RTDIR/bin/eva_db_backup.csh
  4. Feroarje de kodearring: dos2unix $RTDIR/bin/eva_db_backup.csh
  5. Eigner tafoegje: chown -v admin:root $RTDIR/bin/eva_db_backup.csh
  6. Rjochten taheakje: chmod -v 0755 $RTDIR/bin/eva_db_backup.csh
  7. Litte wy begjinne mei it eksportearjen fan de SmartEvent-database: $RTDIR/bin/eva_db_backup.csh
  8. Upload de ûntfongen bestannen fia SCP: $RTDIR/bin/<datum>-db-backup.backup и $RTDIR/bin/eventiaUpgrade.tar nei it wurkplak.

Update

  1. Gean nei WebUI GAIA SMS → CPUSE → Lit alle pakketten sjen.
  2. As CPUSE jout in flater ferbinen mei de Check Point wolk, kontrolearje DGW, DNS en Proxy ynstellings.
  3. As alles goed is en de flater net ferdwynt, dan moatte jo CPUSE manuell bywurkje, begelaat troch sk92449.
  4. Download de ôfbylding en gean troch Verifier. As it nedich is, eliminearje wy inkonsistinsjes.

    As resultaat moatte jo dit berjocht sjen:

    Fernijing Check Point út R77.30 oan 80.20

  5. Kies R80.20 Fresh Ynstallearje en Upgrade foar Feiligens Management.
  6. By it ynstallearjen fan de fernijing, selektearje Clean Install. Nei ynstallaasje sil it systeem opnij starte.
  7. Wy passe First Time Wizard.
  8. Nei it krijen fan tagong, kontrolearje wy de akkounts.
  9. Wy ferbine mei SMS fia SSH en feroarje de shell fan ús brûker nei /bin/bash/:

    set brûker <brûkersnamme> shell /bin/bash/

    bewarje konfiguraasje (yn gefal wy bin / bash / wolle ferlitte as standert shell nei herstart).

  10. Dêrnei ferbine wy ​​mei SMS fia SCP en ferpleatse it argyf mei de konfiguraasje yn binêre modus SMS_w_logs_export_r77_r80.tgz oan map /var/log/UpgradeR77.30_R80.20/
  11. Wy ferwiderje kontrôlesum út it argyf: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz en ferlykje mei de foarige wearde. Checksum moat oerienkomme.
  12. Wy ferheegje de time-out fan 'e SSH-sesje nei 8 oeren. Foar dit:

    [Expert@HostName]# clish -c "show inactivity-timeout" sjoch nei de hjoeddeistige time-out clish,

    [Expert@HostName]# clish -c "set inactivity-timeout 720" spesifisearje de nije time-out clish (yn minuten),

    [Expert@HostName]# echo $TMOUT sjoch nei de hjoeddeistige timeout-ekspertmodus,

    [Expert@HostName]# eksportearje TMOUT=3600 spesifisearje de nije timeout saakkundige modus (yn sekonden). As jo ​​​​de wearde ynstelle op 0, dan sil timeout útskeakele wurde.

  13. Om ynstellings te ymportearjen, útfiere it migrearje ymportprogramma. Om dit te dwaan, gean nei de map: cd $FWDIR/bin/upgrade_tools/en fier de ymport út: ./migrearje imp
    ort -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

Lit ús de kommende pear oeren fan it libben genietsje. NET DISCONNECT YOUR SSH SESSION tidens de proseduere. Oan 'e ein sil it migraasjeproses in súksesberjocht as in flater werjaan. 

Checklist nei it bywurkjen

  1. Beskikberens fan middels.
  2. SIC mei GW.
  3. Lisinsjes. As lisinsjes ferkeard werjûn wurde of net werjûn wurde op SMS, fier dan it kommando út vsec_central_licence foar lisinsje distribúsje.
  4. It ynstellen fan it belied. 

It ymportearjen fan SmartEvent databank

  1. Aktivearje it SmartEvent-blêd.
  2. Wy ferbine fia WinSCP oan SMS en oerdrage earder ynladen bestannen yn binêre modus <datum> -db-backup.backup и eventiaUpgrade.tar oan map /var/log/UpgradeR77.30_R80.20/
  3. Wy rinne it skript mei it kommando: $RTDIR/bin/eventiaUpgrade.sh -upgrade /var/log/UpgradeR77.30_R80.20/eventiaUpgrade.tar
  4. Kontrolearje de status: watch -n 10 eventiaUpgrade.sh
  5. Kontrolearje de logs yn SmartEvent. DREAM!

It bywurkjen fan it Check Point GW-kluster (aktyf / reservekopy)

Foardat it wurk begjint

  1. Wy bewarje de GAIA-konfiguraasje fan elke klusterknoop nei in bestân, om dit te dwaan, brûk it kommando: clish -c "konfiguraasje sjen litte"> ./<Triemnamme>.txt
  2. It opladen fan triemmen mei WinSCP.
  3. Ferbine mei de WebUI fan beide knopen en gean nei it ljepblêd CPUSE → Lit alle pakketten sjen.
  4. It fernijingspakket fine foar de ferzje R80.20 Fresh Ynstallearje, drukke Download.
  5. Wy kontrolearje dat it CCP-protokol yn 'e modus wurket Útstjoere, om dit te dwaan, fier it kommando yn: cphaprob -a as
    As de modus is selektearre Multicast, ferfange it mei it kommando: cphaconf set_ccp útstjoering (it kommando wurdt útfierd op elke knooppunt).
  6. Wy ynstallearje Downtime foar de belutsen knopen yn jo tafersjochsysteem.
  7. Wy kontrolearje dat de parameters binne ynskeakele op it virtualisaasjenivo MAC-adres feroarje и Forged Transmits foar in syngronisaasje netwurk.

Update

  1. Wy ferbine fia ssh mei de aktive knooppunt en fiere it kommando om de status fan it kluster te kontrolearjen: watch -n 2 cphaprob stat
  2. Werom nei WebUI Stanby knooppunten ljepper CPUSE en foar it selektearre pakket R80.20 Fresh Ynstallearje lansearje Verifier.
  3. Litte wy it Verifier-rapport analysearje. As ynstallaasje is tastien, gean fierder.
  4. Selektearje in pakket R80.20 Fresh Ynstallearje en lansearje upgrade. Tidens it Upgradeproses sil it systeem opnij starte. GAIA-ynstellingen wurde bewarre. Op it momint fan 'e nij opstarte kontrolearje wy de steat fan it kluster. Nei it laden moat de status fan it bywurke knooppunt feroarje nei READY. Yn in oantal gefallen, wy tsjinkaam in momint doe't in knooppunt dat wie noch net bywurke oerstapt nei de Aktive Attention status en stoppe werjaan fan de status fan de bywurke knooppunt. Wês net bang - dizze opsje is ek akseptabel.
  5. As de fernijing foltôge is, iepenje SmartDashboard.
  6. Iepenje de kluster foarwerp en feroarje de kluster ferzje fan R77.30 oan R80.20. Klik OK. As in flater ferskynt by it bewarjen fan wizigingen:
    Der is in ynterne flater bard. (Koade: 0x8003001D, Koe gjin tagong krije ta triem foar skriuwoperaasje),
    folgje SK119973. Dêrnei bewarje de wizigingen en klikje Ynstallearje Policy.
  7. Untselektearje de opsje yn 'e ynstellings Foar gatewayklusters, as ynstallaasje op in klusterlid mislearret, ynstallearje net op dat kluster.
  8. Wy stelle it belied. It systeem sil in flater generearje foar in Aktive knooppunt dat noch net bywurke is.
  9. Wy ferbine mei it bywurke knooppunt fia ssh en rinne it kommando om de tastân fan it kluster te kontrolearjen: watch -n 2 cphaprob stat
  10. Ferbine mei de WebUI Aktive knooppunt en gean nei it ljepblêd CPUSE → Lit alle pakketten sjen.It fernijingspakket fine foar de ferzje R80.20 Fresh Ynstallearje, klik Download.
  11. Wy ynstallearje Downtime foar de belutsen knopen yn jo tafersjochsysteem.
  12. Werom nei it ljepblêd Aktive knooppunten fan WebUI CPUSE en foar it selektearre pakket R80.20 Fresh Ynstallearje lansearje Verifier.
  13. Litte wy it Verifier-rapport analysearje. As ynstallaasje is tastien, gean fierder.
  14. Selektearje in pakket R80.20 Fresh Ynstallearje en lansearje Upgrade. Tidens it Upgradeproses sil it systeem opnij starte. GAIA-ynstellingen wurde bewarre. Op it momint fan 'e nij opstarte, kontrolearje wy de steat fan it kluster op it al bywurke knooppunt. Nei it herstarten sil de klusterstatus op 'e bywurke knooppunt feroarje fan READY nei AKTYF.
  15. As it Upgradeproses foltôge is, start SmartDashboard en set it belied yn.

Checklist nei it bywurkjen

  • Event logs yn SmartLog, status fan VPN-tunnels.
  • GAIA Ynstellings.
  • Herstellen fan in kluster nei in test Failover.
  • Lisinsjes en kontrakten. As lisinsjes ferkeard werjûn wurde of net werjûn wurde op SMS, fier dan it kommando út. vsec_central_licence foar lisinsje distribúsje.
  • CoreXL.
  • SecureXL.
  • Hotfix en CPinfo op twa knopen.

konklúzje

Yn 't algemien is dat alles op dit punt - jo binne bywurke.

Foar ús naam it hiele proses gemiddeld fan 6 oant 12 oeren, ôfhinklik fan de grutte fan 'e eksportearre databases. It wurk is oer twa nachten útfierd: ien foar it bywurkjen fan SMS, de twadde foar it kluster.

Der wie gjin ferkearsstop, nettsjinsteande it feit dat wy alle boppeneamde flaters op ússels kontrolearre hawwe.

Fansels kinne soms folslein nije swierrichheden ûntstean tidens it fernijingsproses, mar dit is Check Point, en lykas wy allegear witte, is d'r altyd in hotfix!

Lokkige swarte en roze nachten en updates!

Boarne: www.habr.com

Add a comment