ProHoster > Blog > Adminisztráció > A Check Point frissítése R77.30-ról 80.20-ra

A Check Point frissítése R77.30-ról 80.20-ra

A Check Point frissítése R77.30-ról 80.20-ra

2019 őszén a Check Point leállította az R77.XX verziók támogatását, ezért frissítésre volt szükség. Sok szó esett már a verziók közötti különbségről, az R80-ra váltás előnyeiről és hátrányairól. Inkább beszéljünk arról, hogyan frissíthetjük ténylegesen a Check Point virtuális készülékeket (CloudGuard for VMware ESXi, Hyper-V, KVM Gateway NGTP), és mi hibázhat.

Tehát volt 2 CCSE mérnökünk, több mint egy tucat Check Point R77.30 virtuális fürt, több felhő, néhány gyorsjavítás és rengeteg különféle hiba, hiba és minden, minden színben és méretben, és nagyon szoros határidők is. Gyerünk!

Tartalom:

Edzés
A felügyeleti szerver frissítése
A fürt frissítése

A Check Point frissítése R77.30-ról 80.20-ra

Így néz ki egy tipikus kliens felhő infrastruktúra virtuális Check Pointtal

Edzés

Az első lépés annak ellenőrzése, hogy van-e elegendő erőforrás a frissítéshez. Az R80.20 ajánlott minimális követelményei jelenleg így néznek ki:

eszköz

CPU

RAM

HDD

Biztonsági átjáró

2 core

4 Gb

15 GB-tól

SMS

2 core

6 Gb

-

Az ajánlások leírása a dokumentumban található CP_R80.20_GA_Release_Notes.

De realisták leszünk. Ha ez a legminimálisabb konfigurációban is elég, akkor, ahogy a gyakorlat mutatja, nálunk általában engedélyezve van a https ellenőrzés, SMS-en fut a SmartEvent stb., amihez persze teljesen más kapacitások szükségesek. De általában nem több, mint R77.30.

De vannak árnyalatok. És mindenekelőtt a fizikai memória méretéhez kapcsolódnak. Sok művelet közvetlenül a frissítési folyamat során igényel helyet a merevlemezen.

A felügyeleti szervernél a szabad lemezterület nagysága nagymértékben függ az aktuális naplók mennyiségétől (ha el akarjuk menteni) és az elmentett adatbázis-revíziók számától, bár nagy mennyiségben már nem lesz szükségünk rájuk. Természetesen a fürt csomópontjainál (hacsak nem helyben is tárolod a naplókat) mindez nem számít. Így ellenőrizheti, hogy rendelkezik-e a szükséges helyekkel:

  1. Ssh-n keresztül csatlakozunk a Smart Management Server-hez, lépünk szakértői módba, és írjuk be a parancsot:

    [Expert@cp-sms:0]# df -h

  2. A kimeneten valami ehhez hasonló konfigurációt fogunk látni:

    Fájlrendszer Használt méret Elérhetőség Felhasználás % Felszerelve
    /dev/mapper/vg_splat-lv_current 30G 7.4G 21G 27% /
    /dev/sda1 289M 24M 251M 9% /boot
    tmpfs 2.0G 0 2.0G 0% /dev/shm
    /dev/mapper/vg_splat-lv_log 243G 177G 53G 78% /var/log

  3. Jelenleg érdeklődünk a szekció iránt / Var / log

Felhívjuk figyelmét, hogy a régi naplófájlok tárolására és törlésére vonatkozó szabályzattól, valamint az exportált adatbázis méretétől függően több helyre lehet szükség. Ha az archívum létrehozásakor kevesebb szabad hely áll rendelkezésre, mint a naplófájl tárolási szabályzatában meghatározott, a rendszer elkezdi törölni a régi naplókat, és NEM veszi fel őket az archívumba.

Ezenkívül a frissítési folyamathoz a rendszernek legalább 13 GB le nem osztott merevlemez-területre lesz szüksége. A jelenlétét a következő paranccsal ellenőrizheti:

[Expert@cp-sms:0]# pvs

Valami ilyesmit fogunk látni:

PV VG Fmt Attr PSméret PFree
/dev/sda3 vg_splat lvm2 a- 141.69G 43.69G

Ebben az esetben 43 GB-unk van. Van elég forrás. Elkezdheti a frissítést.

A Check Point SMS-kezelő szerver frissítése

A munka megkezdése előtt a következőket kell tennie:

  1. Telepítse a Migration Tools csomagot a felügyeleti kiszolgálóra. Ehhez le kell töltenie a képet a portálról Check Point.
  2. Töltse fel az archívumot a felügyeleti kiszolgálóra WinSCP-n keresztül a mappába /var/log/UpgradeR77.30_R80.20 (ha szükséges, először hozzon létre egy mappát).
  3. Csatlakozzon a felügyeleti szerverhez SSH-n keresztül, és lépjen az archívumot tartalmazó mappába:cd /var/log/UpgradeR77.30_R80.20/
  4. Csomagolja ki a fájlt:tar -zxvf ./<fájlnév>.tgz
  5. Elindítjuk a pre_upgrade_verifier segédprogramot a következő paranccsal: ./pre_upgrade_verifier -p $FWDIR -c R77 -t R80.20
  6. A parancs végrehajtása után jelentés készül az inkompatibilis beállításokról. Elérhető: /opt/CPsuite-R77/fw1/log/pre_upgrade_verification_report.(xls, html, txt). Kényelmesebb SCP-n keresztül feltölteni és böngészőn keresztül nézni.
    Az inkompatibilis beállítások megoldásához használja a SK117237.
  7. Ezután futtassa újra a pre_upgrade_verifier segédprogramot, hogy megbizonyosodjon arról, hogy az inkompatibilitás minden okát megszüntette.
  8. Ezután információkat gyűjtünk a hálózati interfészekről, az útválasztási táblázatról, és feltöltjük a GAIA konfigurációt:
    ip a > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
    ip r > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
    clish -c "konfiguráció megjelenítése" > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
  9. Töltse fel a kapott fájlt SCP-n keresztül.
  10. Pillanatképet készítünk a virtualizáció szintjén.
  11. Az SSH munkamenet időtúllépését 8 órára növeljük. Ez a szerencsén múlik: az exportált adatbázis méretétől függően több perctől több óráig is tarthat. Ezért: 
    [Expert@HostName]# clish -c "show inactivity-timeout" nézd meg az aktuális időtúllépési összecsapást,

    [Expert@HostName]# clish -c "set inactivity-timeout 720" adja meg az új időtúllépési ütközést (percben),

    [Expert@HostName]# echo $TMOUT nézze meg az aktuális időtúllépési szakértői módot,

    [Expert@HostName]# export TMOUT=3600 adja meg az új időtúllépési szakértői módot (másodpercben), ha az értéket 0-ra állítja, akkor az időtúllépés letiltásra kerül.

  12. Letöltjük és felcsatoljuk az SMS.iso telepítőképet a virtuális gépre.

    A következő lépés előtt BIZTOSAN ellenőrizze, hogy van-e elegendő szabad hely a merevlemezen (ne feledje, 13 GB-ra van szüksége). 

  13. A konfiguráció exportálása előtt módosítsa a naplófájlt a következő paranccsal: fw logswitch

Konfiguráció és naplók exportálása

  1. Futtassa a migrate_export segédprogramot a konfiguráció letöltéséhez. Ehhez lépjen a korábban létrehozott mappába: cd /var/log/UpgradeR77.30_R80.20/ és használja a parancsot: ./migrate export -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

    vagy

    menj a mappába: cd $FWDIR/bin/upgrade_tools/ и
    futtassa a parancsot onnan: ./migrate export -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

  2. Az ellenőrző összeget eltávolítjuk az archívumból: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz
  3. Mentse el a kapott értéket a jegyzettömbbe.
  4. SCP-n keresztül csatlakozunk az SMS-hez, és feltöltjük az archívumot a konfigurációval a munkaállomásra. Ügyeljen arra, hogy a fájlátvitelt bináris formátumban használja.

Exportálja a SmartEvent adatbázist

Itt az előre telepített SMS R80-as verzióra van szükségünk. Bármilyen teszt megteszi. 

  1. Az SMS-ből egy szkriptre van szükségünk, amely itt található:$RTDIR/bin/eva_db_backup.csh
  2. Töltse be a szkriptet SCP-n keresztül eva_db_backup.csh mappába: /var/log/UpgradeR77.30_R80.20/
  3. Csatlakozás SSH-n keresztül SMS-hez. Fájl másolása a mappába: cp /var/log/UpgradeR77.30_R80.20/eva_db_backup.csh
    $RTDIR/bin/eva_db_backup.csh
  4. A kódolás megváltoztatása: dos2unix $RTDIR/bin/eva_db_backup.csh
  5. A tulajdonos hozzáadása: chown -v admin:root $RTDIR/bin/eva_db_backup.csh
  6. Jogok hozzáadása: chmod -v 0755 $RTDIR/bin/eva_db_backup.csh
  7. Kezdjük el a SmartEvent adatbázis exportálását: $RTDIR/bin/eva_db_backup.csh
  8. Töltse fel a fogadott fájlokat SCP-n keresztül: $RTDIR/bin/<date>-db-backup.backup и $RTDIR/bin/eventiaUpgrade.tar a munkaállomásra.

frissítés

  1. Menj WebUI GAIA SMS → CPUSE → Összes csomag megjelenítése.
  2. Ha a CPUSE hibát jelez a Check Point felhőhöz való csatlakozáskor, ellenőrizze a DGW, DNS és Proxy beállításokat.
  3. Ha minden rendben van, és a hiba nem tűnik el, akkor manuálisan kell frissítenie a CPUSE-t, az utasítások alapján sk92449.
  4. Töltse le a képet és menjen végig Ellenőrző. Ha szükséges, kiküszöböljük a következetlenségeket.

    Ennek eredményeként ezt az üzenetet kell látnia:

    A Check Point frissítése R77.30-ról 80.20-ra

  5. választ R80.20 Friss telepítés és frissítés a biztonságkezeléshez.
  6. A frissítés telepítésekor válassza a Tiszta telepítés lehetőséget. A telepítés után a rendszer újraindul.
  7. Első alkalommal átmegyünk Varázsló.
  8. A hozzáférés megszerzése után ellenőrizzük a számlákat.
  9. SSH-n keresztül csatlakozunk az SMS-hez, és módosítjuk a felhasználói shellünket a /bin/bash/ értékre:

    set user <felhasználónév> shell /bin/bash/

    mentse a konfigurációt (abban az esetben, ha újraindítás után a bin/bash/-t akarjuk alapértelmezett shellként hagyni).

  10. Ezután SCP-n keresztül csatlakozunk az SMS-hez, és bináris módban továbbítjuk az archívumot a konfigurációval SMS_w_logs_export_r77_r80.tgz mappába /var/log/UpgradeR77.30_R80.20/
  11. Az ellenőrző összeget eltávolítjuk az archívumból: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz és hasonlítsa össze az előző értékkel. Az ellenőrző összegnek meg kell egyeznie.
  12. Az SSH munkamenet időtúllépését 8 órára növeljük. Ezért:

    [Expert@HostName]# clish -c "show inactivity-timeout" nézd meg az aktuális időtúllépési összecsapást,

    [Expert@HostName]# clish -c "set inactivity-timeout 720" adja meg az új időtúllépési ütközést (percben),

    [Expert@HostName]# echo $TMOUT nézze meg az aktuális időtúllépési szakértői módot,

    [Expert@HostName]# export TMOUT=3600 adja meg az új időtúllépési szakértői módot (másodpercben). Ha az értéket 0-ra állítja, az időtúllépés le lesz tiltva.

  13. A beállítások importálásához futtassa a migrate import segédprogramot. Ehhez lépjen a mappába: cd $FWDIR/bin/upgrade_tools/és futtassa az importálást: ./migrate imp
    ort -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

Élvezzük az életet a következő pár órában. NE SZABADÍTSA LE AZ SSH SESSION-T az eljárás során. A végén az áttelepítési folyamat sikeres üzenetet vagy hibát jelenít meg. 

Ellenőrző lista frissítés után

  1. Az erőforrások elérhetősége.
  2. SIC GW-vel.
  3. Licencek. Ha a licencek helytelenül jelennek meg, vagy nem jelennek meg az SMS-ben, futtassa a parancsot vsec_central_licence licencelosztáshoz.
  4. A házirend beállítása. 

SmartEvent adatbázis importálása

  1. Aktiválja a SmartEvent pengét.
  2. WinSCP-n keresztül csatlakozunk az SMS-hez, és bináris módban továbbítjuk a korábban letöltött fájlokat <date>-db-backup.backup и eventiaUpgrade.tar mappába /var/log/UpgradeR77.30_R80.20/
  3. A szkriptet a következő paranccsal futtatjuk: $RTDIR/bin/eventiaUpgrade.sh -upgrade /var/log/UpgradeR77.30_R80.20/eventiaUpgrade.tar
  4. Állapot ellenőrzése: watch -n 10 eventiaUpgrade.sh
  5. A naplók ellenőrzése a SmartEventben. ÁLOM!

A Check Point GW-fürt frissítése (aktív/Biztonsági mentés)

A munka megkezdése előtt

  1. A GAIA konfigurációt minden fürtcsomópontról egy fájlba mentjük, ehhez használja a parancsot: clish -c "konfiguráció megjelenítése" > ./<Fájlnév>.txt
  2. Fájlok feltöltése WinSCP használatával.
  3. Csatlakozzon mindkét csomópont WebUI-jához, és lépjen a lapra CPUSE → Összes csomag megjelenítése.
  4. A verzió frissítési csomagjának megkeresése R80.20 Friss telepítés, nyomja meg Letöltés.
  5. Ellenőrizzük, hogy a CCP protokoll működik-e az üzemmódban Adás, ehhez írja be a következő parancsot: cphaprob -a ha
    Ha a módot választja Multicast, cserélje ki a következő paranccsal: cphaconf set_ccp broadcast (a parancs minden csomóponton végrehajtódik).
  6. Leállási időt telepítünk a felügyeleti rendszer érintett csomópontjaira.
  7. Ellenőrizzük, hogy a paraméterek engedélyezve vannak-e virtualizációs szinten MAC-cím változás и Kovácsolt távadók szinkronizálási hálózathoz.

frissítés

  1. Ssh-n keresztül csatlakozunk az aktív csomóponthoz, és futtatjuk a parancsot a fürt állapotának figyeléséhez: watch -n 2 cphaprob stat
  2. Térjen vissza a WebUI készenléti csomópontok lapjára CPUSE és a kiválasztott csomaghoz R80.20 Friss telepítés dob Ellenőrző.
  3. Elemezzük a Verifier jelentést. Ha a telepítés engedélyezett, lépjen tovább.
  4. Válasszon ki egy csomagot R80.20 Friss telepítés és indítsa el frissítés. A frissítési folyamat során a rendszer újraindul. A GAIA beállítások mentésre kerülnek. Az újraindításkor figyeljük a fürt állapotát. A betöltés után a frissített csomópont állapotának READY-re kell változnia. Számos esetben találkoztunk olyan pillanattal, amikor egy még nem frissített csomópont aktív figyelem állapotra vált, és leállította a frissített csomópont állapotának megjelenítését. Ne ijedjen meg – ez a lehetőség is elfogadható.
  5. A frissítés befejezése után nyissa meg SmartDashboard.
  6. Nyissa meg a fürt objektumot, és módosítsa a fürt verzióját R77.30-ról R80.20-ra. Kattintson az OK gombra. Ha hiba jelenik meg a változtatások mentésekor:
    Belső hiba történt. (Kód: 0x8003001D, Nem sikerült elérni a fájlt írási művelethez),
    kövesse SK119973. Ezután mentse el a módosításokat, és kattintson a gombra Telepítse a házirendet.
  7. A beállításoknál törölje a jelölést az opcióból Átjárófürtök esetén, ha a fürttag telepítése sikertelen, ne telepítse az adott fürtre.
  8. Mi határoztuk meg a házirendet. A rendszer hibát generál a még nem frissített aktív csomóponthoz.
  9. Ssh-n keresztül csatlakozunk a frissített csomóponthoz, és futtatjuk a parancsot a fürt állapotának figyeléséhez: watch -n 2 cphaprob stat
  10. Csatlakozzon a WebUI Active csomóponthoz, és lépjen a lapra CPUSE → Összes csomag megjelenítése.A verzió frissítési csomagjának megkeresése R80.20 Friss telepítés, kattintson Letöltés.
  11. Leállási időt telepítünk a felügyeleti rendszer érintett csomópontjaira.
  12. Térjen vissza a WebUI Active csomópontok lapra CPUSE és a kiválasztott csomaghoz R80.20 Friss telepítés dob Ellenőrző.
  13. Elemezzük a Verifier jelentést. Ha a telepítés engedélyezett, lépjen tovább.
  14. Válasszon ki egy csomagot R80.20 Friss telepítés és indítsa el Frissítés. A frissítési folyamat során a rendszer újraindul. A GAIA beállítások mentésre kerülnek. Az újraindításkor figyeljük a fürt állapotát a már frissített csomóponton. Az újraindítás után a frissített csomóponton a fürt állapota READY-ról AKTÍV-ra változik.
  15. Amikor a frissítési folyamat befejeződött, indítsa el a SmartDashboardot, és állítsa be a házirendet.

Ellenőrző lista frissítés után

  • Eseménynaplók a SmartLogban, a VPN alagutak állapota.
  • GAIA beállítások.
  • Fürt visszaállítása egy teszt feladatátvétel után.
  • Licencek és szerződések. Ha a licencek helytelenül jelennek meg, vagy nem jelennek meg az SMS-ben, futtassa a parancsot. vsec_central_licence licencelosztáshoz.
  • CoreXL.
  • SecureXL.
  • Gyorsjavítás és CPinfo két csomóponton.

Következtetés

Általánosságban elmondható, hogy ezen a ponton ennyi – frissítve lett.

Nálunk a teljes folyamat átlagosan 6-12 órát vett igénybe, az exportált adatbázisok méretétől függően. A munka két éjszakán keresztül zajlott: az egyik az SMS frissítése, a másik a klaszteré.

Forgalmi leállás nem volt, annak ellenére, hogy a fent említett hibákat magunkon ellenőriztük.

Természetesen néha teljesen új nehézségek adódhatnak a frissítési folyamat során, de ez a Check Point, és mint tudjuk, mindig van gyorsjavítás!

Boldog fekete és rózsaszín éjszakákat és frissítéseket!

Forrás: will.com

Hozzászólás