チェック ポイントを R77.30 から 80.20 に更新します

2019 年の秋に、Check Point はバージョン R77.XX のサポートを終了し、更新する必要がありました。 バージョン間の違い、R80 への切り替えの長所と短所については、すでに多くのことが言われています。 Check Point 仮想アプライアンス (CloudGuard for VMware ESXi、Hyper-V、KVM Gateway NGTP) を実際に更新する方法と、何が問題になる可能性があるかについて説明します。

そのため、私たちは 2 人の CCSE エンジニア、十数個の Check Point R77.30 仮想クラスター、いくつかのクラウド、いくつかのホットフィックス、そしてあらゆる色とサイズのさまざまなバグ、グリッチ、その他すべての海全体を抱えていました。締め切りも非常に厳しいです。 さあ行こう！

内容：

訓練
管理サーバーのアップデート
クラスターの更新

これは、仮想 Check Point を備えた一般的なクライアントのクラウド インフラストラクチャの様子です。

訓練

最初のステップは、更新に十分なリソースがあるかどうかを確認することです。 現在、R80.20 の推奨最小要件は次のようになります。

デバイス

CPU

RAM

HDD

セキュリティゲートウェイ

2コア

4のGb

15GBから

SMS

2コア

6のGb

-

推奨事項はドキュメントに記載されています CP_R80.20_GA_リリース_ノート.

しかし、私たちは現実的になります。 最も最小限の構成でこれで十分な場合は、実践が示すように、通常は https インスペクションを有効にし、SMS 上で SmartEvent を実行するなどします。もちろん、これにはまったく異なる容量が必要です。 しかし、一般的には 77.30 ランド以上ではありません。

しかし、ニュアンスもあります。 そしてそれらは、まず第一に、物理メモリのサイズに関係します。 更新プロセス中に直接実行される多くの操作では、ハードディスクの空き容量が必要になります。

管理サーバーの場合、空きディスク領域のサイズは、現在のログ (保存する場合) の量と保存されたデータベース リビジョンの数に大きく依存しますが、大量のログは必要なくなります。 もちろん、クラスター ノードの場合は (ログもローカルに保存しない限り)、これはすべて問題ではありません。 必要なスペースがあるかどうかを確認する方法は次のとおりです。

1. SSH 経由で Smart Management Server に接続し、エキスパート モードに移動して次のコマンドを入力します。

   [Expert@cp-sms:0]# df -h

2. 出力には次のような構成が表示されます。

   使用されているファイルシステムのサイズ Avail Use% マウント先
   /dev/mapper/vg_splat-lv_current 30G 7.4G 21G 27% /
   /dev/sda1 289M 24M 251M 9% /boot
   tmpfs 2.0G 0 2.0G 0% /dev/shm
   /dev/mapper/vg_splat-lv_log 243G 177G 53G 78% /var/log

3. 現在このセクションに興味があります / var / log

古いログ ファイルの保存と削除のポリシー、およびエクスポートされたデータベースのサイズによっては、さらに多くのスペースが必要になる場合があることに注意してください。 アーカイブの作成時に、ログ ファイル ストレージ ポリシーで指定された空き容量よりも空きスペースが少ない場合、システムは古いログの消去を開始し、それらのログはアーカイブに含めません。

また、更新プロセス自体のために、システムには少なくとも 13 GB の未割り当てのハード ディスク領域が必要です。 次のコマンドを使用して、その存在を確認できます。

[Expert@cp-sms:0]# PV

次のようなものが表示されます。

PV VG Fmt 属性 PSize PFree
/dev/sda3 vg_splat lvm2 a- 141.69G 43.69G

この場合、43 GB があります。 リソースは十分にあります。 アップデートを開始できます。

Check Point SMS 管理サーバーの更新

作業を開始する前に、次のことを行う必要があります。

1. 移行ツール パッケージを管理サーバーにインストールします。 これを行うには、ポータルからイメージをダウンロードする必要があります チェックポイント.
2. WinSCP 経由でアーカイブを管理サーバーのフォルダーにアップロードします。 /var/log/UpgradeR77.30_R80.20 (必要に応じて、最初にフォルダーを作成します)。
3. SSH 経由で管理サーバーに接続し、アーカイブのあるフォルダーに移動します。cd /var/log/UpgradeR77.30_R80.20/
4. ファイルを解凍します。tar -zxvf ./<ファイル名>.tgz
5. 次のコマンドを使用して pre_upgrade_verifier ユーティリティを起動します。 ./pre_upgrade_verifier -p $FWDIR -c R77 -t R80.20
6. コマンドを実行すると、互換性のない設定に関するレポートが生成されます。 以下で入手可能です。 /opt/CPsuite-R77/fw1/log/pre_upgrade_verification_report.(xls、html、txt)。 SCP経由でアップロードしてブラウザ経由で見る方が便利です。
   互換性のない設定を解決するには、次を使用します。 SK117237.
7. 次に、pre_upgrade_verifier ユーティリティを再実行して、非互換性の原因がすべて取り除かれたことを確認します。
8. 次に、ネットワーク インターフェイスとルーティング テーブルに関する情報を収集し、GAIA 構成をアップロードします。
   ip a > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
   ip r > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
   clish -c "設定の表示" > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
9. 結果のファイルを SCP 経由でアップロードします。
10. 仮想化レベルでスナップショットを取得します。
11. SSH セッションのタイムアウトを 8 時間に増やします。 運次第です。エクスポートされたデータベースのサイズに応じて、数分から数時間かかる場合があります。 このために： 
    [Expert@HostName]# clish -c "show inactivity-timeout" 現在のタイムアウトの衝突を見て、

    [Expert@HostName]# clish -c "set inactivity-timeout 720" 新しいタイムアウト時間 (分単位) を指定します。

    [エキスパート@ホスト名]# echo $TMOUT 現在のタイムアウトエキスパートモードを見てください。

    [エキスパート@ホスト名]#エクスポート TMOUT=3600 新しいタイムアウト エキスパート モード (秒単位) を指定します。値を 0 に設定すると、タイムアウトが無効になります。

12. SMS.iso インストール イメージをダウンロードして仮想マシンにマウントします。

    次のステップに進む前に、ハード ドライブに十分な未割り当て領域があることを必ず再確認してください (13 GB が必要であることに注意してください)。 

13. 構成のエクスポートを開始する前に、次のコマンドを使用してログ ファイルを変更します。 FWログスイッチ

設定とログをエクスポートする

1. mitigate_export ユーティリティを実行して構成をダウンロードします。 これを行うには、以前に作成したフォルダーに移動します。 cd /var/log/UpgradeR77.30_R80.20/ そして次のコマンドを使用します。 ./移行エクスポート -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

   または

   フォルダーに移動します: cd $FWDIR/bin/upgrade_tools/ и
   そこからコマンドを実行します。 ./移行エクスポート -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

2. アーカイブからチェックサムを削除します。 md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz
3. 結果の値をメモ帳に保存します。
4. SCP 経由で SMS に接続し、構成を含むアーカイブをワークステーションにアップロードします。 必ずバイナリ形式でのファイル転送を使用してください。

SmartEvent データベースのエクスポート

ここでは、プリインストールされた SMS バージョン R80 が必要です。 どんなテストでも大丈夫です。 

1. SMS からは、次の場所にあるスクリプトが必要です。$RTDIR/bin/eva_db_backup.csh
2. SCP経由でスクリプトをロードします eva_db_backup.csh フォルダへ: /var/log/アップグレードR77.30_R80.20/
3. SSH 経由で SMS に接続します。 ファイルをフォルダーにコピーします: cp /var/log/UpgradeR77.30_R80.20/eva_db_backup.csh
   $RTDIR/bin/eva_db_backup.csh
4. エンコーディングを変更する: dos2unix $RTDIR/bin/eva_db_backup.csh
5. 所有者の追加: chown -v admin:root $RTDIR/bin/eva_db_backup.csh
6. 権限を追加します。 chmod -v 0755 $RTDIR/bin/eva_db_backup.csh
7. SmartEvent データベースのエクスポートを開始しましょう。 $RTDIR/bin/eva_db_backup.csh
8. 受信したファイルを SCP 経由でアップロードします。 $RTDIR/bin/<日付>-db-backup.backup и $RTDIR/bin/eventiaUpgrade.tar ワークステーションに。

アップデート

1. に行く WebUI GAIA SMS → CPUSE → すべてのパッケージを表示。
2. CPUSE で Check Point クラウドへの接続エラーが発生した場合は、DGW、DNS、およびプロキシ設定を確認してください。
3. すべてが正しく、エラーが消えない場合は、次の手順に従って CPUSE を手動で更新する必要があります。 sk92449.
4. 画像をダウンロードして実行してください 検証者。 必要に応じて、矛盾を解消します。

   その結果、次のメッセージが表示されるはずです。

   

5. 選択します セキュリティ管理のための R80.20 の新規インストールとアップグレード。
6. アップデートをインストールするときは、クリーン インストールを選択します。 インストール後、システムが再起動します。
7. 初めて合格します ウィザード
8. アクセスを取得した後、アカウントを確認します。
9. SSH 経由で SMS に接続し、ユーザーのシェルを /bin/bash/ に変更します。

   ユーザー <ユーザー名> シェル /bin/bash/ を設定します

   設定を保存 (再起動後に bin/bash/ をデフォルトのシェルとして残しておきたい場合)。

10. 次に、SCP 経由で SMS に接続し、バイナリ モードの構成でアーカイブを転送します。 SMS_w_logs_export_r77_r80.tgz フォルダに /var/log/アップグレードR77.30_R80.20/
    
11. アーカイブからチェックサムを削除します。 md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz そして前の値と比較します。 チェックサムは一致する必要があります。
12. SSH セッションのタイムアウトを 8 時間に増やします。 このために：

    [Expert@HostName]# clish -c "show inactivity-timeout" 現在のタイムアウトの衝突を見て、

    [Expert@HostName]# clish -c "set inactivity-timeout 720" 新しいタイムアウト時間 (分単位) を指定します。

    [エキスパート@ホスト名]# echo $TMOUT 現在のタイムアウトエキスパートモードを見てください。

    [エキスパート@ホスト名]#エクスポート TMOUT=3600 新しいタイムアウト エキスパート モードを指定します (秒単位)。 値を 0 に設定すると、タイムアウトは無効になります。

13. 設定をインポートするには、移行インポート ユーティリティを実行します。 これを行うには、次のフォルダーに移動します。 cd $FWDIR/bin/upgrade_tools/そしてインポートを実行します。 ./移行インプ
    ort -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

これから数時間、人生を楽しみましょう。 手順中は SSH セッションを切断しないでください。 最後に、移行プロセスでは成功メッセージまたはエラーが表示されます。 

アップデート後のチェックリスト

1. リソースの可用性。
2. GWのあるSIC。
3. ライセンス。 ライセンスが正しく表示されない場合、または SMS に表示されない場合は、次のコマンドを実行します。 vsec_central_licence ライセンス配布のため。
4. ポリシーの設定。 

SmartEvent データベースのインポート

1. SmartEvent ブレードをアクティブ化します。
2. WinSCP 経由で SMS に接続し、以前にダウンロードしたファイルをバイナリ モードで転送します <日付>-db-backup.backup и イベントアアップグレード.tar フォルダに /var/log/アップグレードR77.30_R80.20/
3. 次のコマンドでスクリプトを実行します。 $RTDIR/bin/eventiaUpgrade.sh -upgrade /var/log/UpgradeR77.30_R80.20/eventiaUpgrade.tar
4. ステータスの確認: watch -n 10eventiaUpgrade.sh
5. SmartEvent でログを確認します。 夢！

Check Point GW クラスターの更新 (アクティブ/バックアップ)

仕事を始める前に

1. 各クラスター ノードの GAIA 構成をファイルに保存します。これを行うには、次のコマンドを使用します。 clish -c "設定の表示" > ./<ファイル名>.txt
2. WinSCP を使用したファイルのアップロード。
3. 両方のノードの WebUI に接続し、タブに移動します CPUSE → すべてのパッケージを表示します。
4. 該当バージョンのアップデートパッケージを見つける R80.20 新規インストール、 プレス ダウンロードしてください。
5. CCP プロトコルがモードで動作していることを確認します。 放送これを行うには、次のコマンドを入力します。 cphaprob -a if
   モードを選択した場合 マルチキャストの場合は、次のコマンドに置き換えます。 cphaconf set_ccp ブロードキャスト (コマンドは各ノードで実行されます)。
6. 監視システム内の関連ノードにダウンタイムをインストールします。
7. パラメータが仮想化レベルで有効になっていることを確認します MACアドレスの変更 и 鍛造トランスミット 同期ネットワーク用。

アップデート

1. SSH 経由でアクティブ ノードに接続し、コマンドを実行してクラスターのステータスを監視します。 watch -n 2 cphaprob 統計
2. WebUIのスタンバイノードタブに戻る CPUSE そして選択したパッケージについて R80.20 新規インストール 打ち上げ 検証者。
3. Verifier レポートを分析してみましょう。 インストールが許可されている場合は、次に進みます。
4. パッケージを選択してください R80.20 新規インストール そして走る アップグレード。 アップグレード プロセス中に、システムが再起動します。 GAIA 設定が保存されます。 再起動時に、クラスターの状態を監視します。 ロード後、更新されたノードのステータスが READY に変わるはずです。 多くの場合、まだ更新されていないノードがアクティブ アテンション ステータスに切り替わり、更新されたノードのステータスが表示されなくなる瞬間が発生しました。 心配しないでください。このオプションも使用できます。
5. アップデートが完了したら、開きます スマートダッシュボード。
6. クラスター オブジェクトを開き、クラスターのバージョンを R77.30 から R80.20 に変更します。 「OK」をクリックします。 変更を保存するときにエラーが表示された場合:
   内部エラーが発生しました。 (コード: 0x8003001D、書き込み操作のためにファイルにアクセスできませんでした)、
   フォローする SK119973。 その後、変更を保存して、 ポリシーをインストールします。
7. 設定で、オプションのチェックを外します ゲートウェイ クラスターの場合、クラスター メンバーへのインストールが失敗した場合は、そのクラスターにはインストールしないでください。
8. 方針を定めました。 システムは、まだ更新されていないアクティブ ノードに対してエラーを生成します。
9. SSH 経由で更新されたノードに接続し、クラスターの状態を監視するコマンドを実行します。 watch -n 2 cphaprob 統計
10. WebUI アクティブ ノードに接続し、タブに移動します CPUSE → すべてのパッケージを表示します。該当バージョンのアップデートパッケージを見つける R80.20 新規インストール、 クリック ダウンロードしてください。
11. 監視システム内の関連ノードにダウンタイムをインストールします。
12. WebUI の [アクティブ ノード] タブに戻る CPUSE そして選択したパッケージについて R80.20 新規インストール 打ち上げ 検証者。
13. Verifier レポートを分析してみましょう。 インストールが許可されている場合は、次に進みます。
14. パッケージを選択してください R80.20 新規インストール そして走る アップグレードしてください。 アップグレード プロセス中に、システムが再起動します。 GAIA 設定が保存されます。 再起動時に、すでに更新されているノード上のクラスターの状態を監視します。 再起動後、更新されたノードのクラスター状態は READY から ACTIVE に変わります。
15. アップグレード プロセスが完了したら、SmartDashboard を起動してポリシーを設定します。

アップデート後のチェックリスト

• SmartLog のイベント ログ、VPN トンネルのステータス。
• ガイア設定。
• テストフェイルオーバー後のクラスターの復元。
• ライセンスと契約。 ライセンスが正しく表示されない場合、または SMS に表示されない場合は、コマンドを実行します。 ライセンス配布用の vsec_central_licence。
• コアXL。
• セキュアXL。
• XNUMX つのノード上のホットフィックスと CPinfo。

まとめ

一般に、この時点ではこれですべてです。アップデートは完了です。

私たちの場合、エクスポートされたデータベースのサイズに応じて、プロセス全体に平均 6 ～ 12 時間かかりました。 作業は XNUMX 晩かけて行われ、XNUMX 回目は SMS の更新、XNUMX 回目はクラスターの更新でした。

上記のエラーをすべて自分たちでチェックしたにもかかわらず、トラフィックのダウンタイムは発生しませんでした。

もちろん、更新プロセス中にまったく新しい問題が発生する場合もありますが、これは Check Point であり、周知のとおり、ホットフィックスは常に存在します。

ハッピーブラックアンドピンクナイトと最新情報!

出所： habr.com