ProHoster > blog > amministrazione > Migrazione da Check Point da R77.30 a R80.10

Migrazione da Check Point da R77.30 a R80.10

Migrazione da Check Point da R77.30 a R80.10

Salve colleghi, benvenuti alla lezione sulla migrazione dei database Check Point R77.30 a R80.10.

Quando si utilizzano i prodotti Check Point, prima o poi si presenta il compito di migrare le regole esistenti e i database di oggetti per i seguenti motivi:

  1. Quando acquisti un nuovo dispositivo, devi migrare il database dal vecchio dispositivo al nuovo dispositivo (alla versione corrente del sistema operativo GAIA o successiva).
  2. Devi aggiornare il tuo dispositivo da una versione del sistema operativo GAIA a una versione superiore sul tuo computer locale.

Per risolvere il primo problema, è adatto solo l'utilizzo di uno strumento chiamato Management Server Migration Tool o semplicemente Migration Tool. Per risolvere il problema n. 2 è possibile utilizzare la soluzione CPUSE o Migration Tool.
Successivamente, considereremo entrambi i metodi in modo più dettagliato.

Aggiorna a un nuovo dispositivo

Migrazione del database prevede l'installazione della versione più recente di Management su una nuova macchina e la migrazione del database dal server di gestione della sicurezza esistente a quello nuovo utilizzando lo strumento di migrazione. Questo metodo riduce al minimo il rischio di aggiornare una configurazione esistente.

Per migrare un database utilizzando lo strumento di migrazione, devi soddisfare requisiti:

  1. Lo spazio libero su disco deve essere 5 volte maggiore della dimensione dell'archivio del database esportato.
  2. Le impostazioni di rete sul server di destinazione devono corrispondere a quelle del server di origine.
  3. Creazione di un backup. Il database deve essere esportato su un server remoto.
    Il sistema operativo GAIA contiene già il Migration Tool; può essere utilizzato durante l'importazione di un database o per la migrazione ad una versione del sistema operativo identica a quella iniziale. Per migrare il database ad una versione superiore del sistema operativo, è necessario scaricare lo strumento di migrazione della versione appropriata dalla sezione “Strumenti” sul sito di supporto di Check Point R80.10:
  4. Backup e migrazione del Server SmartEvent/SmartReporter. Le utilità 'backup' e 'migrazione-esportazione' non includono dati dal database SmartEvent/database SmartReporter.
    Per il backup e la migrazione è necessario utilizzare le utilità "eva_db_backup" o "evs_backup".
    Nota: articolo della Knowledge Base di CheckPoint sk110173.

Diamo un'occhiata a quali funzionalità contiene questo strumento:

Migrazione da Check Point da R77.30 a R80.10

Prima di procedere direttamente alla migrazione dei dati, è necessario decomprimere il Migration Tool scaricato nella cartella “/opt/CPsuite-R77/fw1/bin/upgrade_tools/ ”, l'esportazione del database deve essere eseguita utilizzando i comandi dalla directory in cui è stato decompresso lo strumento.

Prima di eseguire il comando per esportare o importare, chiudere tutti i client SmartConsole o eseguire cpstop su Security Management Server.

Che creare un file di esportazione database di gestione sul server di origine:

  1. Accedi alla modalità esperto.
  2. Esegui il verificatore pre-aggiornamento: pre_upgrade_verifier -p $FWDIR -c R77 -t R80.10. Se ci sono errori, correggili prima di continuare.
  3. Esegui: ./migrate esporta nomefile.tgz. Il comando esporta il contenuto del database di Security Management Server in un file TGZ.
  4. Seguire le istruzioni. Il database viene esportato nel file indicato nel comando. Assicurati di definirlo come TGZ.
  5. Se SmartEvent è installato sul server di origine, esportare il database degli eventi.

Successivamente, importiamo il database del server di sicurezza che abbiamo esportato. Prima di iniziare: installare R80 Security Management Server. Ti ricordo che le impostazioni di rete del nuovo Management Server R80.10 devono corrispondere alle impostazioni del vecchio server.

Che importare la configurazione server di gestione:

  1. Accedi alla modalità esperto.
  2. Trasferisci (tramite FTP, SCP o simili) il file di configurazione esportato sul server remoto, raccolto dalla sorgente al nuovo server.
  3. Disconnettere il server di origine dalla rete.
  4. Trasferisci il file di configurazione dal server remoto al nuovo server.
  5. Calcola l'MD5 per il file trasferito e confrontalo con l'MD5 calcolato sul server originale: # md5sum filename.tgz
  6. Database di importazione: ./migrate import filename.tgz
  7. Controllo dell'aggiornamento.

Concluso il punto 7 riassumiamo che la migrazione del database è andata a buon fine utilizzando il Migration Tool; in caso di fallimento è sempre possibile riaccendere il server di origine, per cui il lavoro non verrà in alcun modo pregiudicato.

Vale la pena notare che la migrazione da un server autonomo non è supportata.

Aggiornamento locale

CPUSE (motore del servizio di aggiornamento Check Point) Abilita gli aggiornamenti automatici dei prodotti Check Point per il sistema operativo Gaia. I pacchetti di aggiornamento software sono suddivisi in categorie: versioni principali, versioni minori e hotfix. Gaia trova e visualizza automaticamente i pacchetti di aggiornamento software e le immagini disponibili correlati alla versione del sistema operativo Gaia a cui puoi eseguire l'aggiornamento. Utilizzando CPUSE, puoi eseguire un'installazione pulita di una nuova versione del sistema operativo GAIA o eseguire un aggiornamento del sistema con la migrazione del database.

Per eseguire l'aggiornamento a una versione superiore o eseguire un'installazione pulita utilizzando CPUSE, la macchina deve disporre di spazio libero (non allocato) sufficiente, almeno pari alla dimensione della partizione root.

L'aggiornamento alla nuova versione viene eseguito su una nuova partizione del disco rigido e la "vecchia" partizione viene convertita in Gaia Snapshot (il nuovo spazio della partizione viene preso dallo spazio non allocato sul disco rigido). Inoltre, prima di aggiornare il sistema, sarebbe corretto scattare uno snapshot e caricarlo su un server remoto.

Processo di aggiornamento:

  1. Verifica il pacchetto di aggiornamento (se non lo hai già fatto) - controlla se questo pacchetto può essere installato senza conflitti: fai clic con il pulsante destro del mouse sul pacchetto - fai clic su "Verificatore".

    Il risultato dovrebbe essere qualcosa del genere:

    • L'installazione è consentita
    • L'aggiornamento è consentito
  2. Installa il pacchetto: fai clic con il pulsante destro del mouse sul pacchetto e fai clic su "Aggiorna":
    CPUSE mostra il seguente avviso in Gaia Portal: Dopo questo aggiornamento, ci sarà un riavvio automatico (le impostazioni del sistema operativo esistente e il database Check Point verranno conservati).
  3. Vedrai l'avanzamento della migrazione dei dati corrispondente dopo l'aggiornamento alla R80.10:
    • Aggiornamento dei prodotti
    • Importazione del database
    • Configurazione dei prodotti
    • Creazione di dati SIC
    • Arresto dei processi
    • Processi di avvio
    • Installato, test automatico superato
  4. Il sistema si riavvierà automaticamente
  5. Installazione di una policy in SmartConsole

Come puoi vedere, tutto è molto semplice; se si verifica un problema, puoi ripristinare le vecchie impostazioni utilizzando lo snapshot che hai scattato.

Pratica

La videolezione presentata contiene una parte teorica e pratica. La prima metà del video duplica la parte teorica descritta e l'esempio pratico mostra la migrazione dei dati utilizzando entrambi i metodi.

conclusione

In questa lezione abbiamo esaminato le soluzioni Check Point per l'aggiornamento e la migrazione dei database di oggetti e regole. Nel caso di un nuovo dispositivo non esistono altre soluzioni oltre all'utilizzo del Migration Tool. Se desideri aggiornare il sistema operativo GAIA e hai il desiderio e la capacità di ridistribuire la macchina, la nostra azienda consiglia, in base all'esperienza esistente, di migrare il database utilizzando lo strumento di migrazione. Questo metodo riduce al minimo il rischio di aggiornamento a una configurazione esistente rispetto a CPUSE. Inoltre, durante l'aggiornamento tramite CPUSE, molti vecchi file non necessari vengono archiviati sul disco e per rimuoverli è necessario uno strumento aggiuntivo, il che comporta passaggi aggiuntivi e nuovi rischi.

Se non vuoi perdere le lezioni future, iscriviti al nostro gruppo VK, Youtube и Telegram. Se per qualsiasi motivo non sei riuscito a trovare il documento richiesto o a risolvere il tuo problema con Check Point, puoi tranquillamente contattarci нам.

Fonte: habr.com

Aggiungi un commento