PÄrbaudes punkta atjauninÄÅ”ana no R77.30 uz 80.20
2019. gada rudenÄ« Check Point pÄrtrauca atbalstÄ«t versijas R77.XX, un tas bija jÄatjaunina. Daudz jau ir runÄts par versiju atŔķirÄ«bu, plusiem un mÄ«nusiem, pÄrejot uz R80. LabÄk parunÄsim par to, kÄ faktiski atjauninÄt Check Point virtuÄlÄs ierÄ«ces (CloudGuard for VMware ESXi, Hyper-V, KVM Gateway NGTP) un kas var noiet greizi.
TÄtad mums bija 2 CCSE inženieri, vairÄk nekÄ ducis Check Point R77.30 virtuÄlo kopu, vairÄki mÄkoÅi, daži labojumfaili un vesela jÅ«ra dažÄdu kļūdu, kļūmju un visa tÄ, visÄs krÄsÄs un izmÄros, un arÄ« ļoti saspringti termiÅi. Ejam!
Bet mÄs bÅ«sim reÄlisti. Ja ar to pietiek minimÄlÄkajÄ konfigurÄcijÄ, tad, kÄ rÄda prakse, mums parasti ir iespÄjota https pÄrbaude, SmartEvent darbojas uz SMS utt., kas, protams, prasa pavisam citas jaudas. Bet kopumÄ ne vairÄk kÄ par R77.30.
Bet ir nianses. Un tie, pirmkÄrt, attiecas uz fiziskÄs atmiÅas lielumu. DaudzÄm darbÄ«bÄm tieÅ”i atjauninÄÅ”anas procesa laikÄ bÅ«s nepiecieÅ”ama vieta cietajÄ diskÄ.
PÄrvaldÄ«bas serverim brÄ«vÄs diska vietas lielums bÅ«s ļoti atkarÄ«gs no paÅ”reizÄjo žurnÄlu apjoma (ja vÄlamies tos saglabÄt) un no saglabÄto datu bÄzes pÄrskatÄ«jumu skaita, lai gan mums tie vairs nebÅ«s nepiecieÅ”ami lielos daudzumos. Protams, klasteru mezgliem (ja vien jÅ«s arÄ« neuzglabÄjat žurnÄlus lokÄli) tam visam nav nozÄ«mes. LÅ«k, kÄ pÄrbaudÄ«t, vai jums ir vajadzÄ«gÄ vieta.
MÄs izveidojam savienojumu ar Smart Management Server, izmantojot ssh, pÄrejam uz eksperta režīmu un ievadÄm komandu:
[Eksperts@cp-sms:0]# df -h
IzvadÄ mÄs redzÄsim kaut ko lÄ«dzÄ«gu Å”ai konfigurÄcijai:
LÅ«dzu, Åemiet vÄrÄ, ka atkarÄ«bÄ no veco žurnÄlfailu glabÄÅ”anas un dzÄÅ”anas politikas, kÄ arÄ« eksportÄtÄs datu bÄzes lieluma var bÅ«t nepiecieÅ”ams vairÄk vietas. Ja, veidojot arhÄ«vu, ir mazÄk brÄ«vas vietas, nekÄ norÄdÄ«ts žurnÄlfailu glabÄÅ”anas politikÄ, sistÄma sÄks dzÄst vecos žurnÄlus un NETIKS tos iekļaut arhÄ«vÄ.
ArÄ« paÅ”am atjauninÄÅ”anas procesam sistÄmai bÅ«s nepiecieÅ”ami vismaz 13 GB nepieŔķirtas vietas cietajÄ diskÄ. JÅ«s varat pÄrbaudÄ«t tÄ klÄtbÅ«tni ar komandu:
Å ajÄ gadÄ«jumÄ mums ir 43 GB. Resursu pietiek. Varat sÄkt atjauninÄÅ”anu.
Check Point SMS pÄrvaldÄ«bas servera atjauninÄÅ”ana
Pirms darba uzsÄkÅ”anas jums jÄveic Å”Ädas darbÄ«bas:
PÄrvaldÄ«bas serverÄ« instalÄjiet migrÄcijas rÄ«ku pakotni. Lai to izdarÄ«tu, jums ir nepiecieÅ”ams lejupielÄdÄt attÄlu no portÄla Check Point.
AugÅ”upielÄdÄjiet arhÄ«vu mapÄ pÄrvaldÄ«bas serverÄ«, izmantojot WinSCP /var/log/UpgradeR77.30_R80.20 (ja nepiecieÅ”ams, vispirms izveidojiet mapi).
Izveidojiet savienojumu ar pÄrvaldÄ«bas serveri, izmantojot SSH, un dodieties uz mapi ar arhÄ«vu:cd /var/log/UpgradeR77.30_R80.20/
PÄc komandas izpildes tiks Ä£enerÄts ziÅojums par nesaderÄ«giem iestatÄ«jumiem. Tas ir pieejams: /opt/CPsuite-R77/fw1/log/pre_upgrade_verification_report.(xls, html, txt). ÄrtÄk to augÅ”upielÄdÄt, izmantojot SCP, un skatÄ«ties caur pÄrlÅ«kprogrammu.
Lai atrisinÄtu nesaderÄ«gos iestatÄ«jumus, izmantojiet SK117237.
PÄc tam atkÄrtoti palaidiet utilÄ«tu pre_upgrade_verifier, lai pÄrliecinÄtos, ka ir novÄrsti visi nesaderÄ«bas cÄloÅi.
TÄlÄk mÄs apkopojam informÄciju par tÄ«kla saskarnÄm, marÅ”rutÄÅ”anas tabulu un augÅ”upielÄdÄjam GAIA konfigurÄciju: ip a > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
ip r > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
clish -c "rÄdÄ«t konfigurÄciju" > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
AugÅ”upielÄdÄjiet iegÅ«to failu, izmantojot SCP.
[Expert@HostName]# eksportÄt TMOUT=3600 norÄdiet jauno taimauta eksperta režīmu (sekundÄs), ja iestatÄt vÄrtÄ«bu uz 0, taimauts tiks atspÄjots.
MÄs lejupielÄdÄjam un uzstÄdÄm SMS.iso instalÄcijas attÄlu virtuÄlajÄ maŔīnÄ.
Pirms nÄkamÄs darbÄ«bas NOTEIKTI vÄlreiz pÄrbaudiet, vai jÅ«su cietajÄ diskÄ ir pietiekami daudz nepieŔķirtas vietas (atcerieties, jums ir nepiecieÅ”ami 13 GB).
Pirms konfigurÄcijas eksportÄÅ”anas nomainiet žurnÄla failu ar komandu: fw logswitch
EksportÄt konfigurÄciju un žurnÄlus
Palaidiet utilÄ«tu migrate_export, lai lejupielÄdÄtu konfigurÄciju. Lai to izdarÄ«tu, dodieties uz iepriekÅ” izveidoto mapi: cd /var/log/UpgradeR77.30_R80.20/ un izmantojiet komandu: ./migrate export -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz
vai
dodieties uz mapi: cd $FWDIR/bin/upgrade_tools/ Šø
palaidiet komandu no turienes: ./migrate export -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz
MÄs noÅemam kontrolsummu no arhÄ«va: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz
MÄs pieslÄdzamies SMS caur SCP un augÅ”upielÄdÄjam arhÄ«vu ar konfigurÄciju darbstacijÄ. Noteikti izmantojiet failu pÄrsÅ«tÄ«Å”anu binÄrajÄ formÄtÄ.
EksportÄt SmartEvent datu bÄzi
Å eit mums ir nepiecieÅ”ama iepriekÅ” instalÄta SMS versija R80. DerÄs jebkurÅ” tests.
No SMS mums ir nepiecieŔams skripts, kas atrodas Ŕeit:$RTDIR/bin/eva_db_backup.csh
IelÄdÄjiet skriptu, izmantojot SCP eva_db_backup.csh uz mapi: /var/log/UpgradeR77.30_R80.20/
Izveidojiet savienojumu ar SMS, izmantojot SSH. KopÄt failu mapÄ: cp /var/log/UpgradeR77.30_R80.20/eva_db_backup.csh
$RTDIR/bin/eva_db_backup.csh
TÄlÄk mÄs izveidojam savienojumu ar SMS, izmantojot SCP, un pÄrsÅ«tÄm arhÄ«vu ar konfigurÄciju binÄrajÄ režīmÄ SMS_w_logs_export_r77_r80.tgz uz mapi /var/log/UpgradeR77.30_R80.20/
MÄs noÅemam kontrolsummu no arhÄ«va: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz un salÄ«dziniet ar iepriekÅ”Äjo vÄrtÄ«bu. Kontrolsummai ir jÄsakrÄ«t.
[Expert@HostName]# eksportÄt TMOUT=3600 norÄdiet jauno taimauta eksperta režīmu (sekundÄs). Ja iestatÄt vÄrtÄ«bu uz 0, taimauts tiks atspÄjots.
Lai importÄtu iestatÄ«jumus, palaidiet migrÄÅ”anas importÄÅ”anas utilÄ«tu. Lai to izdarÄ«tu, dodieties uz mapi: cd $FWDIR/bin/upgrade_tools/un palaist importÄÅ”anu: ./migrÄt imp
ort -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz
BaudÄ«sim dzÄ«vi turpmÄkÄs pÄris stundas. ProcedÅ«ras laikÄ NEATvienojiet SSH SESIJU. BeigÄs migrÄÅ”anas procesa laikÄ tiks parÄdÄ«ts veiksmes ziÅojums vai kļūda.
Kontrolsaraksts pÄc atjauninÄÅ”anas
Resursu pieejamība.
SIC ar GW.
Licences. Ja licences tiek parÄdÄ«tas nepareizi vai netiek rÄdÄ«tas Ä«sziÅÄ, palaidiet komandu vsec_central_licence licenÄu izplatÄ«Å”anai.
Politikas iestatīŔana.
SmartEvent datu bÄzes importÄÅ”ana
AktivizÄjiet SmartEvent asmeni.
MÄs savienojam ar WinSCP ar SMS un pÄrsÅ«tÄm iepriekÅ” lejupielÄdÄtos failus binÄrajÄ režīmÄ <date>-db-backup.backup Šø eventiaUpgrade.tar uz mapi /var/log/UpgradeR77.30_R80.20/
MÄs palaižam skriptu ar komandu: $RTDIR/bin/eventiaUpgrade.sh -upgrade /var/log/UpgradeR77.30_R80.20/eventiaUpgrade.tar
Check Point GW klastera atjauninÄÅ”ana (aktÄ«va/dublÄta)
Pirms darba uzsÄkÅ”anas
MÄs saglabÄjam GAIA konfigurÄciju no katra klastera mezgla failÄ, lai to izdarÄ«tu, izmantojiet komandu: clish -c "rÄdÄ«t konfigurÄciju" > ./<Faila nosaukums>.txt
Failu augÅ”upielÄde, izmantojot WinSCP.
Izveidojiet savienojumu ar abu mezglu WebUI un dodieties uz cilni CPUSE ā RÄdÄ«t visas pakotnes.
AtjauninÄÅ”anas pakotnes atraÅ”ana versijai R80.20 Jauna uzstÄdÄ«Å”ana, nospiediet LejupielÄdÄt.
MÄs pÄrbaudÄm, vai CCP protokols darbojas režīmÄ RaidÄ«jums, lai to izdarÄ«tu, ievadiet komandu: cphaprob -a ja
Ja ir izvÄlÄts režīms Multicast, aizstÄjiet to ar komandu: cphaconf set_ccp pÄrraide (komanda tiek izpildÄ«ta katrÄ mezglÄ).
MÄs pÄrbaudÄm, vai parametri ir iespÄjoti virtualizÄcijas lÄ«menÄ« MAC adreses maiÅa Šø Kalti pÄrraides sinhronizÄcijas tÄ«klam.
ModernizÄt
MÄs izveidojam savienojumu, izmantojot ssh, ar Active mezglu un palaižam komandu, lai pÄrraudzÄ«tu klastera statusu: skatÄ«ties -n 2 cphaprob stat
Atgriezties uz WebUI gaidstÄves mezglu cilni CPUSE un izvÄlÄtajai paketei R80.20 Jauna uzstÄdÄ«Å”ana palaist VerificÄtÄjs.
AnalizÄsim verificÄtÄja pÄrskatu. Ja instalÄÅ”ana ir atļauta, turpiniet.
IzvÄlieties paketi R80.20 Jauna uzstÄdÄ«Å”ana un palaist Upgrade. JauninÄÅ”anas procesa laikÄ sistÄma tiks restartÄta. GAIA iestatÄ«jumi ir saglabÄti. AtsÄknÄÅ”anas laikÄ mÄs uzraugÄm klastera stÄvokli. PÄc ielÄdes atjauninÄtÄ mezgla statusam vajadzÄtu mainÄ«ties uz READY. VairÄkos gadÄ«jumos mÄs saskÄrÄmies ar brÄ«di, kad mezgls, kas vÄl nebija atjauninÄts, pÄrslÄdzÄs uz Active Attention statusu un pÄrtrauca rÄdÄ«t atjauninÄtÄ mezgla statusu. Nebaidieties ā arÄ« Ŕī iespÄja ir pieÅemama.
Kad atjauninÄÅ”ana ir pabeigta, atveriet SmartDashboard.
Atveriet klastera objektu un mainiet klastera versiju no R77.30 uz R80.20. NoklikŔķiniet uz Labi. Ja, saglabÄjot izmaiÅas, tiek parÄdÄ«ta kļūda: RadÄs iekÅ”Äja kļūda. (Kods: 0x8003001D, nevarÄja piekļūt failam rakstÄ«Å”anas darbÄ«bai),
sekot SK119973. PÄc tam saglabÄjiet izmaiÅas un noklikŔķiniet uz InstalÄÅ”anas politika.
IestatÄ«jumos noÅemiet atzÄ«mi no opcijas VÄrtejas klasteriem, ja instalÄÅ”ana klastera loceklÄ« neizdodas, neinstalÄjiet Å”ajÄ klasterÄ«.
MÄs nosakÄm politiku. SistÄma Ä£enerÄs kļūdu aktÄ«vam mezglam, kas vÄl nav atjauninÄts.
MÄs izveidojam savienojumu ar atjauninÄto mezglu, izmantojot ssh, un palaižam komandu, lai pÄrraudzÄ«tu klastera stÄvokli: skatÄ«ties -n 2 cphaprob stat
Izveidojiet savienojumu ar WebUI Active mezglu un dodieties uz cilni CPUSE ā RÄdÄ«t visas pakotnes.AtjauninÄÅ”anas pakotnes atraÅ”ana versijai R80.20 Jauna uzstÄdÄ«Å”ana, nospiediet LejupielÄdÄt.
Atgriezieties cilnÄ WebUI Active mezgli CPUSE un izvÄlÄtajai paketei R80.20 Jauna uzstÄdÄ«Å”ana palaist VerificÄtÄjs.
AnalizÄsim verificÄtÄja pÄrskatu. Ja instalÄÅ”ana ir atļauta, turpiniet.
IzvÄlieties paketi R80.20 Jauna uzstÄdÄ«Å”ana un palaist JauninÄt. JauninÄÅ”anas procesa laikÄ sistÄma tiks restartÄta. GAIA iestatÄ«jumi ir saglabÄti. AtsÄknÄÅ”anas laikÄ mÄs uzraugÄm klastera stÄvokli jau atjauninÄtajÄ mezglÄ. PÄc atsÄknÄÅ”anas klastera stÄvoklis atjauninÄtajÄ mezglÄ mainÄ«sies no READY uz AKTÄŖVS.
Kad jauninÄÅ”anas process ir pabeigts, palaidiet SmartDashboard un iestatiet politiku.
Licences un lÄ«gumi. Ja licences tiek parÄdÄ«tas nepareizi vai netiek rÄdÄ«tas Ä«sziÅÄ, palaidiet komandu. vsec_central_licence licences izplatÄ«Å”anai.
CoreXL.
SecureXL.
Labojumfails un CPinfo divos mezglos.
SecinÄjums
KopumÄ Å”obrÄ«d tas ir viss ā jÅ«s esat atjauninÄts.
Mums viss process aizÅÄma vidÄji no 6 lÄ«dz 12 stundÄm atkarÄ«bÄ no eksportÄjamo datu bÄzu lieluma. Darbs tika veikts divÄs naktÄ«s: vienu SMS atjauninÄÅ”anai, otru klasterim.
Satiksmes dÄ«kstÄves nebija, neskatoties uz to, ka visas iepriekÅ” minÄtÄs kļūdas pÄrbaudÄ«jÄm paÅ”i.
Protams, dažreiz atjauninÄÅ”anas procesÄ var rasties pilnÄ«gi jaunas grÅ«tÄ«bas, taÄu tas ir Check Point, un, kÄ mÄs visi zinÄm, vienmÄr ir kÄds labojumfails!