Memperbarui Check Point dari R77.30 menjadi 80.20

Pada musim gugur 2019, Check Point berhenti mendukung versi R77.XX, dan perlu diperbarui. Banyak yang telah dikatakan tentang perbedaan versi, pro dan kontra beralih ke R80. Mari kita bahas lebih baik tentang cara memperbarui peralatan virtual Check Point (CloudGuard untuk VMware ESXi, Hyper-V, KVM Gateway NGTP) dan apa yang salah.

Jadi, kami memiliki 2 insinyur CCSE, lebih dari selusin cluster virtual Check Point R77.30, beberapa cloud, beberapa perbaikan terbaru dan lautan berbagai bug, gangguan, dan sebagainya, dari semua warna dan ukuran, dan juga tenggat waktu yang sangat ketat. Ayo pergi!

Isi:

Latihan
Memperbarui server manajemen
Memperbarui cluster

Seperti inilah infrastruktur cloud klien pada umumnya dengan Check Point virtual

Latihan

Langkah pertama adalah memeriksa apakah ada cukup sumber daya untuk pembaruan. Persyaratan minimum yang disarankan untuk R80.20 saat ini terlihat seperti ini:

alat

CPU

RAM

HDD

Gerbang Keamanan

2 inti

4 Gb

Dari 15 GB

SMS

2 inti

6 Gb

-

Rekomendasi dijelaskan dalam dokumen CP_R80.20_GA_Release_Notes.

Tapi kami akan realistis. Jika ini cukup dalam konfigurasi paling minimal, maka, seperti yang diperlihatkan oleh praktik, kami biasanya mengaktifkan inspeksi https, SmartEvent yang berjalan melalui SMS, dll., yang tentu saja memerlukan kapasitas yang sangat berbeda. Namun secara umum, tidak lebih dari R77.30.

Tapi ada nuansanya. Dan hal ini terutama berkaitan dengan ukuran memori fisik. Banyak operasi langsung selama proses pembaruan akan memerlukan ruang hard disk.

Untuk server manajemen, ukuran ruang disk kosong akan sangat bergantung pada volume log saat ini (jika kita ingin menyimpannya) dan jumlah Revisi Database yang disimpan, meskipun kita tidak lagi membutuhkannya dalam jumlah banyak. Tentu saja, untuk node cluster (kecuali Anda juga menyimpan log secara lokal) semua ini tidak menjadi masalah. Berikut cara memeriksa apakah Anda memiliki ruang yang diperlukan:

1. Kami terhubung ke Server Manajemen Cerdas melalui ssh, masuk ke mode ahli dan masukkan perintah:

   [Pakar@cp-sms:0]# df -h

2. Pada output kita akan melihat konfigurasi seperti ini:

   Ukuran Sistem File Digunakan Tersedia Gunakan% Dipasang
   /dev/mapper/vg_splat-lv_current 30G 7.4G 21G 27% /
   /dev/sda1 289M 24M 251M 9% /boot
   tmpfs 2.0G 0 2.0G 0% /dev/shm
   /dev/mapper/vg_splat-lv_log 243G 177G 53G 78% /var/log

3. Saat ini kami tertarik pada bagian tersebut / var / log

Harap dicatat bahwa tergantung pada kebijakan untuk menyimpan dan menghapus file log lama, serta ukuran database yang diekspor, mungkin diperlukan lebih banyak ruang. Jika, saat membuat arsip, ruang kosong yang ada lebih sedikit dari yang ditentukan dalam kebijakan penyimpanan file log, sistem akan mulai menghapus log lama dan TIDAK akan memasukkannya ke dalam arsip.

Selain itu, untuk proses pembaruan itu sendiri, sistem memerlukan setidaknya 13 GB ruang hard disk yang tidak terisi. Anda dapat memeriksa keberadaannya dengan perintah:

[Pakar@cp-sms:0]# pvs

Kita akan melihat sesuatu seperti ini:

PV VG Fmt Attr PSUkuran PGratis
/dev/sda3 vg_splat lvm2 a- 141.69G 43.69G

Dalam hal ini kami memiliki 43 GB. Ada sumber daya yang cukup. Anda dapat mulai memperbarui.

Memperbarui server manajemen SMS Check Point

Sebelum mulai bekerja, Anda perlu melakukan hal berikut:

1. Instal paket Alat Migrasi di server manajemen. Untuk melakukan ini, Anda perlu mengunduh gambar dari portal Check Point.
2. Unggah arsip ke server manajemen melalui WinSCP ke dalam folder /var/log/UpgradeR77.30_R80.20 (bila perlu buat folder terlebih dahulu).
3. Hubungkan ke server manajemen melalui SSH dan buka folder dengan arsip:cd /var/log/UpgradeR77.30_R80.20/
4. Buka zip file:tar -zxvf ./<nama file>.tgz
5. Kami meluncurkan utilitas pre_upgrade_verifier dengan perintah: ./pre_upgrade_verifier -p $FWDIR -c R77 -t R80.20
6. Setelah menjalankan perintah, laporan tentang pengaturan yang tidak kompatibel akan dibuat. Ini tersedia di: /opt/CPsuite-R77/fw1/log/pre_upgrade_verification_report.(xls, html, txt). Lebih mudah mengunggahnya melalui SCP dan menontonnya melalui browser.
   Untuk mengatasi pengaturan yang tidak kompatibel, gunakan SK117237.
7. Kemudian jalankan kembali utilitas pre_upgrade_verifier untuk memastikan bahwa semua penyebab ketidakcocokan telah dihilangkan.
8. Selanjutnya, kami mengumpulkan informasi tentang antarmuka jaringan, tabel perutean, dan mengunggah konfigurasi GAIA:
   ip a > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
   ip r > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
   clish -c "tampilkan konfigurasi" > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
9. Unggah file yang dihasilkan melalui SCP.
10. Kami mengambil snapshot di tingkat virtualisasi.
11. Kami menambah batas waktu sesi SSH menjadi 8 jam. Tergantung pada keberuntungan Anda: tergantung pada ukuran database yang diekspor, ini dapat berlangsung dari beberapa menit hingga beberapa jam. Untuk ini: 
    [Expert@HostName]# clish -c "show inactivity-timeout" lihat klise batas waktu saat ini,

    [Expert@HostName]# clish -c "setel batas waktu tidak aktif 720" tentukan klise batas waktu baru (dalam menit),

    [Pakar@HostName]# echo $TMOUT lihat mode ahli batas waktu saat ini,

    [Expert@HostName]# ekspor TMOUT=3600 tentukan mode ahli batas waktu baru (dalam detik), jika Anda menetapkan nilai ke 0, maka batas waktu akan dinonaktifkan.

12. Kami mengunduh dan memasang gambar instalasi SMS.iso ke mesin virtual.

    Sebelum langkah berikutnya, PASTIKAN untuk memeriksa ulang apakah Anda memiliki cukup ruang yang tidak terisi pada hard drive Anda (ingat, Anda memerlukan 13 GB). 

13. Sebelum mulai mengekspor konfigurasi, ubah file log dengan perintah: fw logswitch.dll

Ekspor konfigurasi dan log

1. Jalankan utilitas migrasi_ekspor untuk mengunduh konfigurasi. Untuk melakukan ini, buka folder yang dibuat sebelumnya: cd /var/log/UpgradeR77.30_R80.20/ dan gunakan perintah: ./migrasi ekspor -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

   atau

   buka foldernya: cd $FWDIR/bin/upgrade_tools/ и
   jalankan perintah dari sana: ./migrasi ekspor -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

2. Kami menghapus checksum dari arsip: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz
3. Simpan nilai yang dihasilkan ke notepad.
4. Kami terhubung ke SMS melalui SCP dan mengunggah arsip dengan konfigurasi ke workstation. Pastikan untuk menggunakan transfer file dalam format Biner.

Ekspor basis data SmartEvent

Di sini kita memerlukan SMS pra-instal versi R80. Tes apa pun bisa dilakukan. 

1. Dari SMS kita memerlukan skrip yang terletak di sini:$RTDIR/bin/eva_db_backup.csh
2. Muat skrip melalui SCP eva_db_backup.csh ke folder: /var/log/PeningkatanR77.30_R80.20/
3. Terhubung melalui SSH ke SMS. Salin file ke folder: cp /var/log/UpgradeR77.30_R80.20/eva_db_backup.csh
   $RTDIR/bin/eva_db_backup.csh
4. Mengubah pengkodean: dos2unix $RTDIR/bin/eva_db_backup.csh
5. Menambahkan pemilik: chown -v admin:root $RTDIR/bin/eva_db_backup.csh
6. Tambahkan hak: chmod -v 0755 $RTDIR/bin/eva_db_backup.csh
7. Mari mulai mengekspor database SmartEvent: $RTDIR/bin/eva_db_backup.csh
8. Unggah file yang diterima melalui SCP: $RTDIR/bin/<tanggal>-db-backup.backup и $RTDIR/bin/eventiaUpgrade.tar ke stasiun kerja.

Memperbarui

1. Pergi ke WebUI GAIA SMS → CPUSE → Tampilkan semua paket.
2. Jika CPUSE memberikan kesalahan saat menyambung ke cloud Check Point, periksa pengaturan DGW, DNS, dan Proxy.
3. Jika semuanya sudah benar dan kesalahan tidak hilang, maka Anda perlu memperbarui CPUSE secara manual, dipandu oleh sk92449.
4. Unduh gambarnya dan lalui Pemverifikasi. Jika perlu, kami menghilangkan inkonsistensi.

   Hasilnya, Anda akan melihat pesan ini:

   

5. memilih R80.20 Instalasi Baru dan Peningkatan untuk Manajemen Keamanan.
6. Saat menginstal pembaruan, pilih Clean Install. Setelah instalasi, sistem akan reboot.
7. Kami melewati Pertama Kalinya Wisaya.
8. Setelah mendapatkan akses, kami memeriksa akun.
9. Kami terhubung ke SMS melalui SSH dan mengubah shell pengguna kami menjadi /bin/bash/:

   atur pengguna <nama pengguna> shell /bin/bash/

   simpan konfigurasi (jika kita ingin membiarkan bin/bash/ sebagai shell default setelah reboot).

10. Selanjutnya kita terhubung ke SMS melalui SCP dan mentransfer arsip dengan konfigurasi dalam mode Biner SMS_w_logs_export_r77_r80.tgz ke folder /var/log/PeningkatanR77.30_R80.20/
    
11. Kami menghapus checksum dari arsip: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz dan bandingkan dengan nilai sebelumnya. Checksum harus cocok.
12. Kami menambah batas waktu sesi SSH menjadi 8 jam. Untuk ini:

    [Expert@HostName]# clish -c "show inactivity-timeout" lihat klise batas waktu saat ini,

    [Expert@HostName]# clish -c "setel batas waktu tidak aktif 720" tentukan klise batas waktu baru (dalam menit),

    [Pakar@HostName]# echo $TMOUT lihat mode ahli batas waktu saat ini,

    [Expert@HostName]# ekspor TMOUT=3600 tentukan mode ahli batas waktu baru (dalam hitungan detik). Jika Anda menyetel nilainya ke 0, maka batas waktu akan dinonaktifkan.

13. Untuk mengimpor pengaturan, jalankan utilitas migrasi impor. Untuk melakukan ini, buka folder: cd $FWDIR/bin/upgrade_tools/dan jalankan impor: ./migrate imp
    ort -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

Mari nikmati hidup selama beberapa jam ke depan. JANGAN PUTUSKAN SESI SSH ANDA selama prosedur. Pada akhirnya, proses migrasi akan menampilkan pesan sukses atau kesalahan. 

Daftar periksa setelah diperbarui

1. Ketersediaan sumber daya.
2. SIC dengan GW.
3. Lisensi. Jika lisensi tidak ditampilkan dengan benar atau tidak ditampilkan di SMS, jalankan perintah vsec_central_licence untuk distribusi izin.
4. Menetapkan kebijakan. 

Mengimpor basis data SmartEvent

1. Aktifkan bilah SmartEvent.
2. Kami terhubung melalui WinSCP ke SMS dan mentransfer file yang diunduh sebelumnya dalam mode biner <tanggal>-db-backup.backup и eventiaUpgrade.tar ke folder /var/log/PeningkatanR77.30_R80.20/
3. Kami menjalankan skrip dengan perintah: $RTDIR/bin/eventiaUpgrade.sh -upgrade /var/log/UpgradeR77.30_R80.20/eventiaUpgrade.tar
4. Memeriksa status: tonton -n 10 eventiaUpgrade.sh
5. Memeriksa log di SmartEvent. MIMPI!

Memperbarui cluster Check Point GW (Aktif/Cadangan)

Sebelum mulai bekerja

1. Kami menyimpan konfigurasi GAIA dari setiap node cluster ke file, untuk melakukannya gunakan perintah: clish -c "tampilkan konfigurasi" > ./<Nama file>.txt
2. Mengunggah file menggunakan WinSCP.
3. Hubungkan ke WebUI kedua node dan buka tab CPUSE → Tampilkan semua paket.
4. Menemukan paket pembaruan untuk versi tersebut R80.20 Instal Baruklik Download.
5. Kami memeriksa apakah protokol CCP berfungsi dalam mode tersebut Siaran, untuk melakukan ini, masukkan perintah: cphaprob -a jika
   Jika mode dipilih Multicast, ganti dengan perintah: siaran cphaconf set_ccp (perintah dijalankan pada setiap node).
6. Kami menginstal Waktu Henti untuk node yang terlibat dalam sistem pemantauan Anda.
7. Kami memeriksa apakah parameter diaktifkan pada tingkat virtualisasi Perubahan Alamat MAC и Transmisi Palsu untuk jaringan sinkronisasi.

Memperbarui

1. Kami terhubung melalui ssh ke node Aktif dan menjalankan perintah untuk memantau status cluster: tonton -n 2 status cphaprob
2. Kembali ke tab node WebUI Stanby CPUSE dan untuk paket yang dipilih R80.20 Instal Baru meluncurkan Pemverifikasi.
3. Mari kita menganalisis laporan Verifikator. Jika instalasi diperbolehkan, lanjutkan.
4. Pilih paket R80.20 Instal Baru dan lari Meningkatkan. Selama proses Peningkatan, sistem akan reboot. Setelan GAIA disimpan. Pada saat reboot, kami memantau keadaan cluster. Setelah memuat, status node yang diperbarui akan berubah menjadi READY. Dalam beberapa kasus, kami menemui momen ketika sebuah node yang belum diperbarui beralih ke status Perhatian Aktif dan berhenti menampilkan status node yang diperbarui. Jangan khawatir - opsi ini juga dapat diterima.
5. Setelah pembaruan selesai, buka Dasbor Cerdas.
6. Buka objek cluster dan ubah versi cluster dari R77.30 menjadi R80.20. Klik Oke. Jika kesalahan muncul saat menyimpan perubahan:
   Kesalahan internal telah terjadi. (Kode: 0x8003001D, Tidak dapat mengakses file untuk operasi penulisan),
   mengikuti SK119973. Setelah itu simpan perubahannya dan klik Instal Kebijakan.
7. Di pengaturan, hapus centang opsi Untuk klaster gateway, jika instalasi pada anggota klaster gagal, jangan instal pada klaster tersebut.
8. Kami menetapkan kebijakan. Sistem akan menghasilkan kesalahan untuk node Aktif yang belum diperbarui.
9. Kami terhubung ke node yang diperbarui melalui ssh dan menjalankan perintah untuk memantau status cluster: tonton -n 2 status cphaprob
10. Hubungkan ke node Aktif WebUI dan buka tab CPUSE → Tampilkan semua paket.Menemukan paket pembaruan untuk versi tersebut R80.20 Instal Baru, tekan Download.
11. Kami menginstal Waktu Henti untuk node yang terlibat dalam sistem pemantauan Anda.
12. Kembali ke tab Node aktif WebUI CPUSE dan untuk paket yang dipilih R80.20 Instal Baru meluncurkan Pemverifikasi.
13. Mari kita menganalisis laporan Verifikator. Jika instalasi diperbolehkan, lanjutkan.
14. Pilih paket R80.20 Instal Baru dan lari Meningkatkan. Selama proses Peningkatan, sistem akan reboot. Setelan GAIA disimpan. Pada saat reboot, kami memantau keadaan cluster pada node yang sudah diperbarui. Setelah reboot, status cluster pada node yang diperbarui akan berubah dari READY menjadi ACTIVE.
15. Ketika proses Peningkatan selesai, luncurkan SmartDashboard dan tetapkan kebijakannya.

Daftar periksa setelah diperbarui

• Log peristiwa di SmartLog, status terowongan VPN.
• Pengaturan GAIA.
• Memulihkan cluster setelah pengujian Failover.
• Lisensi dan kontrak. Jika lisensi tidak ditampilkan dengan benar atau tidak ditampilkan di SMS, jalankan perintah. vsec_central_licence untuk distribusi lisensi.
• CoreXL.
• AmanXL.
• Perbaikan terbaru dan CPinfo pada dua node.

Kesimpulan

Secara umum, itu saja pada saat ini – Anda telah diperbarui.

Bagi kami, seluruh proses memakan waktu rata-rata 6 hingga 12 jam, bergantung pada ukuran database yang diekspor. Pengerjaan dilakukan selama dua malam: malam pertama untuk update SMS, malam kedua untuk cluster.

Tidak ada waktu henti lalu lintas, meskipun faktanya kami memeriksa sendiri semua kesalahan yang disebutkan di atas.

Tentu saja, terkadang kesulitan baru mungkin muncul selama proses pembaruan, tapi ini adalah Check Point, dan seperti yang kita semua tahu, selalu ada perbaikan terbaru!

Selamat malam hitam dan merah muda dan pembaruan!

Sumber: www.habr.com