Бақылау нүктесін R77.30-дан 80.20-ға дейін жаңарту

2019 жылдың күзінде Check Point R77.XX нұсқаларын қолдауды тоқтатты және жаңарту қажет болды. Нұсқалар арасындағы айырмашылық, R80-ге ауысудың оң және теріс жақтары туралы көп айтылды. Check Point виртуалды құрылғыларын (VMware ESXi, Hyper-V, KVM Gateway NGTP үшін CloudGuard) шын мәнінде қалай жаңартуға болатынын және ненің қате болуы мүмкін екендігі туралы жақсырақ сөйлесейік.

Сонымен, бізде 2 CCSE инженері, оннан астам Check Point R77.30 виртуалды кластерлері, бірнеше бұлттар, бірнеше түзетулер және әртүрлі қателер, ақаулар және барлық түстер мен өлшемдердің барлық теңізі болды. сонымен қатар өте тығыз мерзімдер. Барайық!

Мазмұны:

Дайындау
Басқару серверін жаңарту
Кластерді жаңарту

Виртуалды тексеру нүктесі бар әдеттегі клиенттің бұлттық инфрақұрылымы осылай көрінеді

Дайындау

Бірінші қадам - ​​жаңарту үшін жеткілікті ресурстар бар-жоғын тексеру. R80.20 үшін ұсынылатын ең төменгі талаптар қазіргі уақытта келесідей:

құрал

Орталық Есептеуіш Бөлім

Жедел Жадтау Құрылғысы

HDD

Қауіпсіздік шлюзі

2 ядросы

4 Гб

15 ГБ бастап

қысқаша хабар қызметі

2 ядросы

6 Гб

-

Ұсыныстар құжатта сипатталған CP_R80.20_GA_Release_Notes.

Бірақ біз шынайы боламыз. Егер бұл ең аз конфигурацияда жеткілікті болса, тәжірибе көрсеткендей, бізде әдетте https тексеруі қосылған, SmartEvent SMS арқылы жұмыс істейді және т.б., бұл, әрине, мүлдем басқа мүмкіндіктерді қажет етеді. Бірақ жалпы алғанда, R77.30-дан аспайды.

Бірақ нюанстар бар. Және олар, ең алдымен, физикалық жадының көлеміне қатысты. Жаңарту процесінде тікелей көптеген операциялар қатты дискіде орынды қажет етеді.

Басқару сервері үшін бос дискілік кеңістіктің өлшемі ағымдық журналдардың көлеміне (егер біз оларды сақтағымыз келсе) және сақталған деректер қорының түзетулерінің санына байланысты болады, бірақ олар бізге енді үлкен көлемде қажет болмайды. Әрине, кластер түйіндері үшін (егер сіз журналдарды жергілікті түрде сақтамасаңыз) мұның бәрі маңызды емес. Сізге қажет кеңістіктің бар-жоғын қалай тексеруге болады:

1. Біз Smart Management серверіне ssh арқылы қосыламыз, сараптама режиміне өтіп, пәрменді енгіземіз:

   [Expert@cp-sms:0]# df -сағ

2. Шығу кезінде біз келесі конфигурацияны көреміз:

   Файлдық жүйе        Өлшем  Пайдаланылған Қолдану% Орнатылған
   /dev/mapper/vg_splat-lv_current 30G 7.4G 21G 27% /
   /dev/sda1               289М 24М 251М 9% /жүктеу
   tmpfs           2.0G 0 2.0G 0% /dev/shm
   /dev/mapper/vg_splat-lv_log             243G 177G 53G 78% /var/log

3. Біз қазір бөлімге қызығушылық танытамыз / var / log

Ескі журнал файлдарын сақтау және жою саясатына, сондай-ақ экспортталған дерекқордың өлшеміне байланысты көбірек орын қажет болуы мүмкін екенін ескеріңіз. Мұрағатты жасау кезінде журнал файлын сақтау саясатында көрсетілгеннен бос орын аз болса, жүйе ескі журналдарды өшіре бастайды және оларды мұрағатқа ҚОСЫМАЙДЫ.

Сондай-ақ, жаңарту процесінің өзі үшін жүйеге кемінде 13 ГБ бөлінбеген қатты диск кеңістігі қажет болады. Оның болуын пәрмен арқылы тексеруге болады:

[Expert@cp-sms:0]# pvs

Біз келесідей нәрсені көреміз:

PV     VG   Fmt   Attr PSize   PFree
/dev/sda3 vg_splat lvm2 a- 141.69G 43.69G

Бұл жағдайда бізде 43 ГБ бар. Ресурстар жеткілікті. Жаңартуды бастауға болады.

Check Point SMS басқару серверін жаңарту

Жұмысты бастамас бұрын келесі әрекеттерді орындау керек:

1. Тасымалдау құралдары бумасын басқару серверіне орнатыңыз. Ол үшін порталдан суретті жүктеп алу керек Check Point.
2. Мұрағатты WinSCP арқылы басқару серверіне қалтаға жүктеңіз /var/log/UpgradeR77.30_R80.20 (қажет болса, алдымен қалтаны жасаңыз).
3. SSH арқылы басқару серверіне қосылып, мұрағаты бар қалтаға өтіңіз:cd /var/log/UpgradeR77.30_R80.20/
4. Файлды ашыңыз:tar -zxvf ./.tgz
5. Біз pre_upgrade_verifier утилитасын пәрменмен іске қосамыз: ./pre_upgrade_verifier -p $FWDIR -c R77 -t R80.20
6. Пәрменді орындағаннан кейін сәйкес келмейтін параметрлер туралы есеп жасалады. Ол мына жерде қолжетімді: /opt/CPsuite-R77/fw1/log/pre_upgrade_verification_report.(xls, html, txt). Оны SCP арқылы жүктеп алып, браузер арқылы қарау ыңғайлырақ.
   Кез келген үйлесімсіз параметрлерді шешу үшін пайдаланыңыз SK117237.
7. Содан кейін үйлесімсіздіктің барлық себептері жойылғанына көз жеткізу үшін pre_upgrade_verifier утилитасын қайта іске қосыңыз.
8. Содан кейін біз желі интерфейстері, маршруттау кестесі туралы ақпаратты жинаймыз және GAIA конфигурациясын жүктейміз:
   ip a > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
   ip r > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
   clish -c «конфигурацияны көрсету» > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
9. Алынған файлды SCP арқылы жүктеңіз.
10. Виртуализация деңгейінде суретке түсіреміз.
11. SSH сеансының күту уақытын 8 сағатқа дейін арттырамыз. Бұл сіздің сәттілікке байланысты: экспортталған дерекқордың көлеміне байланысты ол бірнеше минуттан бірнеше сағатқа дейін созылуы мүмкін. Осыған: 
    [Expert@HostName]# clish -c "әрекетсіздікті көрсету уақыты" ағымдағы күту уақытын қараңыз,

    [Expert@HostName]# clish -c "қозғалыссыз 720 күту уақытын орнату" жаңа күту уақытын көрсетіңіз (минуттармен),

    [Expert@HostName]# жаңғырық $TMOUT ағымдағы күту уақытының сарапшы режимін қараңыз,

    [Expert@HostName]# экспорттау TMOUT=3600 жаңа күту уақытының сарапшы режимін (секундтармен) көрсетіңіз, егер мәнді 0-ге орнатсаңыз, күту уақыты өшіріледі.

12. Біз SMS.iso орнату кескінін виртуалды машинаға жүктеп алып, орнатамыз.

    Келесі қадамды бастамас бұрын, қатты дискіде жеткілікті бөлінбеген орын бар-жоғын екі рет тексеріңіз (есіңізде болсын, сізге 13 ГБ қажет). 

13. Конфигурацияны экспорттауды бастамас бұрын, журнал файлын пәрменмен өзгертіңіз: fw журнал коммутаторы

Конфигурация мен журналдарды экспорттау

1. Конфигурацияны жүктеп алу үшін migrate_export утилитасын іске қосыңыз. Ол үшін бұрын жасалған қалтаға өтіңіз: cd /var/log/UpgradeR77.30_R80.20/ және пәрменді пайдаланыңыз: ./экспорттау -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

   немесе

   қалтаға өтіңіз: CD $FWDIR/bin/upgrade_tools/ и
   пәрменді сол жерден іске қосыңыз: ./экспорттау -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

2. Мұрағаттан бақылау сомасын алып тастаймыз: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz
3. Алынған мәнді блокнотқа сақтаңыз.
4. Біз SCP арқылы SMS-ке қосыламыз және мұрағатты конфигурациямен жұмыс станциясына жүктейміз. Екілік пішімде файлдарды тасымалдауды пайдалануды ұмытпаңыз.

SmartEvent дерекқорын экспорттау

Мұнда бізге алдын ала орнатылған SMS R80 нұсқасы қажет. Кез келген сынақ орындалады. 

1. SMS-тен бізге осы жерде орналасқан сценарий қажет:$RTDIR/bin/eva_db_backup.csh
2. Сценарийді SCP арқылы жүктеңіз eva_db_backup.csh қалтаға: /var/log/UpgradeR77.30_R80.20/
3. SSH арқылы SMS-ке қосылыңыз. Файлды қалтаға көшіру: cp /var/log/UpgradeR77.30_R80.20/eva_db_backup.csh
   $RTDIR/bin/eva_db_backup.csh
4. Кодтауды өзгерту: dos2unix $RTDIR/bin/eva_db_backup.csh
5. Иесін қосу: chown -v admin:root $RTDIR/bin/eva_db_backup.csh
6. Құқықтарды қосу: chmod -v 0755 $RTDIR/bin/eva_db_backup.csh
7. SmartEvent дерекқорын экспорттауды бастайық: $RTDIR/bin/eva_db_backup.csh
8. Алынған файлдарды SCP арқылы жүктеп салыңыз: $RTDIR/bin/-db-backup.backup и $RTDIR/bin/eventiaUpgrade.tar жұмыс станциясына.

Жаңарту

1. Бару WebUI GAIA SMS → CPUSE → Барлық пакеттерді көрсету.
2. Егер CPUSE Check Point бұлтына қосылу қатесін берсе, DGW, DNS және Proxy параметрлерін тексеріңіз.
3. Егер бәрі дұрыс болса және қате жойылмаса, CPUSE-ді қолмен жаңарту керек sk92449.
4. Суретті жүктеп алып, өтіңіз Тексерушісі. Қажет болса, сәйкессіздіктерді жоямыз.

   Нәтижесінде сіз мына хабарды көруіңіз керек:

   

5. Біз таңдаймыз R80.20 Қауіпсіздікті басқару үшін жаңа орнату және жаңарту.
6. Жаңартуды орнату кезінде Таза орнатуды таңдаңыз. Орнатқаннан кейін жүйе қайта жүктеледі.
7. Бірінші рет өтеміз Сиқыршы.
8. Қол жеткізгеннен кейін біз шоттарды тексереміз.
9. Біз SMS-ке SSH арқылы қосыламыз және пайдаланушының қабығын /bin/bash/ етіп өзгертеміз:

   пайдаланушыны орнату shell /bin/bash/

   конфигурацияны сақтау (қайта жүктегеннен кейін bin/bash/ әдепкі қабықша ретінде қалдырғымыз келсе).

10. Әрі қарай, біз SCP арқылы SMS-ке қосылып, мұрағатты конфигурациямен екілік режимде тасымалдаймыз SMS_w_logs_export_r77_r80.tgz қалтаға /var/log/UpgradeR77.30_R80.20/
    
11. Мұрағаттан бақылау сомасын алып тастаймыз: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz және алдыңғы мәнмен салыстырыңыз. Бақылау сомасы сәйкес болуы керек.
12. SSH сеансының күту уақытын 8 сағатқа дейін арттырамыз. Осыған:

    [Expert@HostName]# clish -c "әрекетсіздікті көрсету уақыты" ағымдағы күту уақытын қараңыз,

    [Expert@HostName]# clish -c "қозғалыссыз 720 күту уақытын орнату" жаңа күту уақытын көрсетіңіз (минуттармен),

    [Expert@HostName]# жаңғырық $TMOUT ағымдағы күту уақытының сарапшы режимін қараңыз,

    [Expert@HostName]# экспорттау TMOUT=3600 жаңа күту уақыты сарапшы режимін (секундпен) көрсетіңіз. Мәнді 0-ге орнатсаңыз, күту уақыты өшіріледі.

13. Параметрлерді импорттау үшін импорттауды тасымалдау утилитасын іске қосыңыз. Мұны істеу үшін қалтаға өтіңіз: CD $FWDIR/bin/upgrade_tools/және импортты іске қосыңыз: ./миграция имп
    ort -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

Келесі екі сағатта өмірден ләззат алайық. Процедура барысында SSH СЕССИЯСЫН АЖЫРАТПАҢЫЗ. Соңында тасымалдау процесі сәтті хабарды немесе қатені көрсетеді. 

Жаңартқаннан кейін тексеру тізімі

1. Ресурстардың болуы.
2. GW бар SIC.
3. Лицензиялар. Лицензиялар қате көрсетілсе немесе SMS-те көрсетілмесе, пәрменді іске қосыңыз vsec_central_licence лицензияны тарату үшін.
4. Саясатты орнату. 

SmartEvent дерекқорын импорттау

1. SmartEvent пышағын іске қосыңыз.
2. Біз WinSCP арқылы SMS-ке қосылып, бұрын жүктелген файлдарды екілік режимде тасымалдаймыз -db-backup.backup и eventiaUpgrade.tar қалтаға /var/log/UpgradeR77.30_R80.20/
3. Біз сценарийді пәрменмен іске қосамыз: $RTDIR/bin/eventiaUpgrade.sh -upgrade /var/log/UpgradeR77.30_R80.20/eventiaUpgrade.tar
4. Күйді тексеру: watch -n 10 eventiaUpgrade.sh
5. SmartEvent ішіндегі журналдарды тексеру. АРМАН!

Check Point GW кластерін жаңарту (белсенді/сақтық көшірме)

Жұмысты бастамас бұрын

1. Әрбір кластер түйінінен GAIA конфигурациясын файлға сақтаймыз, ол үшін пәрменді пайдаланыңыз: clish -c "конфигурацияны көрсету" > ./.txt
2. WinSCP көмегімен файлдарды жүктеп салу.
3. Екі түйіннің WebUI интерфейсіне қосылып, қойындыға өтіңіз CPUSE → Барлық бумаларды көрсету.
4. Нұсқа үшін жаңарту бумасын табу R80.20 Жаңа орнатубіз басамыз Жүктеу.
5. Біз CCP протоколының режимде жұмыс істеп тұрғанын тексереміз Хабар тарату, мұны істеу үшін пәрменді енгізіңіз: cphaprob -а егер
   Егер режим таңдалса Мультикаст, оны пәрменмен ауыстырыңыз: cphaconf set_ccp таратылымы (әрбір түйінде команда орындалады).
6. Біз сіздің бақылау жүйеңіздегі тартылған түйіндер үшін тоқтау уақытын орнатамыз.
7. Параметрлердің виртуализация деңгейінде қосылғанын тексереміз MAC мекенжайын өзгерту и Жалған трансмиссиялар синхрондау желісі үшін.

Жаңарту

1. Біз ssh арқылы Белсенді түйінге қосыламыз және кластердің күйін бақылау үшін пәрменді орындаймыз: watch -n 2 cphaprob stat
2. WebUI күту режиміндегі түйіндер қойындысына оралыңыз CPUSE және таңдалған бума үшін R80.20 Жаңа орнату іске қосу Тексерушісі.
3. Verifier есебін талдап көрейік. Орнатуға рұқсат етілсе, жалғастырыңыз.
4. Пакетті таңдаңыз R80.20 Жаңа орнату және жүгіріңіз жаңарту. Жаңарту процесі кезінде жүйе қайта жүктеледі. GAIA параметрлері сақталады. Қайта жүктеу кезінде біз кластердің күйін бақылаймыз. Жүктелгеннен кейін жаңартылған түйіннің күйі ДАЙЫН күйіне өзгеруі керек. Бірқатар жағдайларда біз әлі жаңартылмаған түйін Белсенді назар күйіне ауысып, жаңартылған түйіннің күйін көрсетуді тоқтатқан сәтке тап болдық. Алаңдамаңыз - бұл опция да қолайлы.
5. Жаңарту аяқталғаннан кейін ашыңыз SmartDashboard.
6. Кластер нысанын ашыңыз және кластер нұсқасын R77.30-дан R80.20-ға өзгертіңіз. OK түймесін басыңыз. Өзгерістерді сақтау кезінде қате пайда болса:
   Ішкі қате орын алды. (Код: 0x8003001D, жазу әрекеті үшін файлға кіру мүмкін болмады),
   орындаңыз SK119973. Осыдан кейін өзгертулерді сақтап, басыңыз Орнату саясаты.
7. Параметрлерде опцияның құсбелгісін алып тастаңыз Шлюз кластерлері үшін кластер мүшесіне орнату сәтсіз болса, сол кластерге орнатпаңыз.
8. Біз саясатты белгілейміз. Жүйе әлі жаңартылмаған Белсенді түйін үшін қате жасайды.
9. Біз жаңартылған түйінге ssh арқылы қосыламыз және кластердің күйін бақылау үшін пәрменді орындаймыз: watch -n 2 cphaprob stat
10. WebUI Active түйініне қосылып, қойындыға өтіңіз CPUSE → Барлық бумаларды көрсету.Нұсқа үшін жаңарту бумасын табу R80.20 Жаңа орнатубіз басамыз Жүктеу.
11. Біз сіздің бақылау жүйеңіздегі тартылған түйіндер үшін тоқтау уақытын орнатамыз.
12. WebUI белсенді түйіндер қойындысына оралыңыз CPUSE және таңдалған бума үшін R80.20 Жаңа орнату іске қосу Тексерушісі.
13. Verifier есебін талдап көрейік. Орнатуға рұқсат етілсе, жалғастырыңыз.
14. Пакетті таңдаңыз R80.20 Жаңа орнату және жүгіріңіз Жаңартыңыз. Жаңарту процесі кезінде жүйе қайта жүктеледі. GAIA параметрлері сақталады. Қайта жүктеу кезінде біз жаңартылған түйіндегі кластердің күйін бақылаймыз. Қайта жүктеуден кейін жаңартылған түйіндегі кластер күйі ДАЙЫН күйден БЕЛСЕНДІ күйге өзгереді.
15. Жаңарту процесі аяқталғанда, SmartDashboard бағдарламасын іске қосып, саясатты орнатыңыз.

Жаңартқаннан кейін тексеру тізімі

• SmartLog ішіндегі оқиғалар журналдары, VPN туннельдерінің күйі.
• GAIA параметрлері.
• Сынақтан кейін кластерді қалпына келтіру.
• Лицензиялар мен келісім-шарттар. Лицензиялар қате көрсетілсе немесе SMS-те көрсетілмесе, пәрменді іске қосыңыз. лицензияны таратуға арналған vsec_central_licence.
• CoreXL.
• SecureXL.
• Түзету және екі түйіндегі CPinfo.

қорытынды

Тұтастай алғанда, бәрі осы сәтте - сіз жаңартылдыңыз.

Біз үшін бүкіл процесс экспортталған дерекқорлардың көлеміне байланысты орта есеппен 6-дан 12 сағатқа дейін созылды. Жұмыс екі түнде жүргізілді: бірі SMS жаңартуға, екіншісі кластерге арналған.

Жоғарыда аталған қателердің барлығын өзіміз тексергенімізге қарамастан, көлік қозғалысының тоқтап қалуы болған жоқ.

Әрине, кейде жаңарту процесінде мүлдем жаңа қиындықтар туындауы мүмкін, бірақ бұл Check Point және бәріміз білетіндей, әрқашан түзету бар!

Қара және қызғылт түндер мен жаңартулар құтты болсын!

Ақпарат көзі: www.habr.com