Pārbaudes punkta atjaunināšana no R77.30 uz 80.20

2019. gada rudenī Check Point pārtrauca atbalstīt versijas R77.XX, un tas bija jāatjaunina. Daudz jau ir runāts par versiju atšķirību, plusiem un mīnusiem, pārejot uz R80. Labāk parunāsim par to, kā faktiski atjaunināt Check Point virtuālās ierīces (CloudGuard for VMware ESXi, Hyper-V, KVM Gateway NGTP) un kas var noiet greizi.

Tātad mums bija 2 CCSE inženieri, vairāk nekā ducis Check Point R77.30 virtuālo kopu, vairāki mākoņi, daži labojumfaili un vesela jūra dažādu kļūdu, kļūmju un visa tā, visās krāsās un izmēros, un arī ļoti saspringti termiņi. Ejam!

Saturs:

Treniņš
Pārvaldības servera atjaunināšana
Klastera atjaunināšana

Šādi izskatās tipiska klienta mākoņa infrastruktūra ar virtuālo Check Point

Treniņš

Pirmais solis ir pārbaudīt, vai atjauninājumam ir pietiekami daudz resursu. Ieteicamās minimālās prasības R80.20 pašlaik izskatās šādi:

Ierīce

CPU

RAM

HDD

Drošības vārteja

2 core

4 Gb

No 15 GB

SMS

2 core

6 Gb

Sākot no

Ieteikumi ir aprakstīti dokumentā CP_R80.20_GA_Release_Notes.

Bet mēs būsim reālisti. Ja ar to pietiek minimālākajā konfigurācijā, tad, kā rāda prakse, mums parasti ir iespējota https pārbaude, SmartEvent darbojas uz SMS utt., kas, protams, prasa pavisam citas jaudas. Bet kopumā ne vairāk kā par R77.30.

Bet ir nianses. Un tie, pirmkārt, attiecas uz fiziskās atmiņas lielumu. Daudzām darbībām tieši atjaunināšanas procesa laikā būs nepieciešama vieta cietajā diskā.

Pārvaldības serverim brīvās diska vietas lielums būs ļoti atkarīgs no pašreizējo žurnālu apjoma (ja vēlamies tos saglabāt) un no saglabāto datu bāzes pārskatījumu skaita, lai gan mums tie vairs nebūs nepieciešami lielos daudzumos. Protams, klasteru mezgliem (ja vien jūs arī neuzglabājat žurnālus lokāli) tam visam nav nozīmes. Lūk, kā pārbaudīt, vai jums ir vajadzīgā vieta.

1. Mēs izveidojam savienojumu ar Smart Management Server, izmantojot ssh, pārejam uz eksperta režīmu un ievadām komandu:

   [Eksperts@cp-sms:0]# df -h

2. Izvadā mēs redzēsim kaut ko līdzīgu šai konfigurācijai:

   Izmantotais failu sistēmas lielums Pieejamība Izmantot % Uzmontēts
   /dev/mapper/vg_splat-lv_current 30G 7.4G 21G 27% /
   /dev/sda1 289M 24M 251M 9% /boot
   tmpfs 2.0G 0 2.0G 0% /dev/shm
   /dev/mapper/vg_splat-lv_log 243G 177G 53G 78% /var/log

3. Šobrīd mūs interesē sadaļa / var / log

Lūdzu, ņemiet vērā, ka atkarībā no veco žurnālfailu glabāšanas un dzēšanas politikas, kā arī eksportētās datu bāzes lieluma var būt nepieciešams vairāk vietas. Ja, veidojot arhīvu, ir mazāk brīvas vietas, nekā norādīts žurnālfailu glabāšanas politikā, sistēma sāks dzēst vecos žurnālus un NETIKS tos iekļaut arhīvā.

Arī pašam atjaunināšanas procesam sistēmai būs nepieciešami vismaz 13 GB nepiešķirtas vietas cietajā diskā. Jūs varat pārbaudīt tā klātbūtni ar komandu:

[Expert@cp-sms:0]# pvs

Mēs redzēsim kaut ko līdzīgu:

PV VG Fmt Attr PS izmērs PFbez
/dev/sda3 vg_splat lvm2 a- 141.69G 43.69G

Šajā gadījumā mums ir 43 GB. Resursu pietiek. Varat sākt atjaunināšanu.

Check Point SMS pārvaldības servera atjaunināšana

Pirms darba uzsākšanas jums jāveic šādas darbības:

1. Pārvaldības serverī instalējiet migrācijas rīku pakotni. Lai to izdarītu, jums ir nepieciešams lejupielādēt attēlu no portāla Check Point.
2. Augšupielādējiet arhīvu mapē pārvaldības serverī, izmantojot WinSCP /var/log/UpgradeR77.30_R80.20 (ja nepieciešams, vispirms izveidojiet mapi).
3. Izveidojiet savienojumu ar pārvaldības serveri, izmantojot SSH, un dodieties uz mapi ar arhīvu:cd /var/log/UpgradeR77.30_R80.20/
4. Izpakojiet failu:tar -zxvf ./<faila nosaukums>.tgz
5. Mēs palaižam utilītu pre_upgrade_verifier ar komandu: ./pre_upgrade_verifier -p $FWDIR -c R77 -t R80.20
6. Pēc komandas izpildes tiks ģenerēts ziņojums par nesaderīgiem iestatījumiem. Tas ir pieejams: /opt/CPsuite-R77/fw1/log/pre_upgrade_verification_report.(xls, html, txt). Ērtāk to augšupielādēt, izmantojot SCP, un skatīties caur pārlūkprogrammu.
   Lai atrisinātu nesaderīgos iestatījumus, izmantojiet SK117237.
7. Pēc tam atkārtoti palaidiet utilītu pre_upgrade_verifier, lai pārliecinātos, ka ir novērsti visi nesaderības cēloņi.
8. Tālāk mēs apkopojam informāciju par tīkla saskarnēm, maršrutēšanas tabulu un augšupielādējam GAIA konfigurāciju:
   ip a > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
   ip r > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
   clish -c "rādīt konfigurāciju" > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
9. Augšupielādējiet iegūto failu, izmantojot SCP.
10. Mēs uzņemam momentuzņēmumu virtualizācijas līmenī.
11. Mēs palielinām SSH sesijas taimautu līdz 8 stundām. Tas ir atkarīgs no jūsu veiksmes: atkarībā no eksportētās datu bāzes lieluma tas var ilgt no vairākām minūtēm līdz vairākām stundām. Priekš šī: 
    [Expert@HostName]# clish -c "rādīt neaktivitātes taimautu" apskatīt pašreizējo taimauta sadursmi,

    [Expert@HostName]# clish -c "set inactivity-timeout 720" norādiet jauno taimauta sadursmi (minūtēs),

    [Expert@HostName]# echo $TMOUT apskatīt pašreizējo taimauta eksperta režīmu,

    [Expert@HostName]# eksportēt TMOUT=3600 norādiet jauno taimauta eksperta režīmu (sekundēs), ja iestatāt vērtību uz 0, taimauts tiks atspējots.

12. Mēs lejupielādējam un uzstādām SMS.iso instalācijas attēlu virtuālajā mašīnā.

    Pirms nākamās darbības NOTEIKTI vēlreiz pārbaudiet, vai jūsu cietajā diskā ir pietiekami daudz nepiešķirtas vietas (atcerieties, jums ir nepieciešami 13 GB). 

13. Pirms konfigurācijas eksportēšanas nomainiet žurnāla failu ar komandu: fw logswitch

Eksportēt konfigurāciju un žurnālus

1. Palaidiet utilītu migrate_export, lai lejupielādētu konfigurāciju. Lai to izdarītu, dodieties uz iepriekš izveidoto mapi: cd /var/log/UpgradeR77.30_R80.20/ un izmantojiet komandu: ./migrate export -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

   vai

   dodieties uz mapi: cd $FWDIR/bin/upgrade_tools/ и
   palaidiet komandu no turienes: ./migrate export -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

2. Mēs noņemam kontrolsummu no arhīva: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz
3. Saglabājiet iegūto vērtību piezīmju grāmatiņā.
4. Mēs pieslēdzamies SMS caur SCP un augšupielādējam arhīvu ar konfigurāciju darbstacijā. Noteikti izmantojiet failu pārsūtīšanu binārajā formātā.

Eksportēt SmartEvent datu bāzi

Šeit mums ir nepieciešama iepriekš instalēta SMS versija R80. Derēs jebkurš tests. 

1. No SMS mums ir nepieciešams skripts, kas atrodas šeit:$RTDIR/bin/eva_db_backup.csh
2. Ielādējiet skriptu, izmantojot SCP eva_db_backup.csh uz mapi: /var/log/UpgradeR77.30_R80.20/
3. Izveidojiet savienojumu ar SMS, izmantojot SSH. Kopēt failu mapē: cp /var/log/UpgradeR77.30_R80.20/eva_db_backup.csh
   $RTDIR/bin/eva_db_backup.csh
4. Kodējuma maiņa: dos2unix $RTDIR/bin/eva_db_backup.csh
5. Īpašnieka pievienošana: chown -v admin:root $RTDIR/bin/eva_db_backup.csh
6. Pievienot tiesības: chmod -v 0755 $RTDIR/bin/eva_db_backup.csh
7. Sāksim eksportēt SmartEvent datubāzi: $RTDIR/bin/eva_db_backup.csh
8. Augšupielādējiet saņemtos failus, izmantojot SCP: $RTDIR/bin/<date>-db-backup.backup и $RTDIR/bin/eventiaUpgrade.tar uz darbstaciju.

Modernizēt

1. Iet uz WebUI GAIA SMS → CPUSE → Rādīt visas pakotnes.
2. Ja CPUSE rada kļūdu, veidojot savienojumu ar Check Point mākoni, pārbaudiet DGW, DNS un starpniekservera iestatījumus.
3. Ja viss ir pareizi un kļūda nepazūd, jums ir jāatjaunina CPUSE manuāli, vadoties pēc sk92449.
4. Lejupielādējiet attēlu un ejiet cauri Verificētājs. Ja nepieciešams, mēs novēršam neatbilstības.

   Rezultātā jums vajadzētu redzēt šo ziņojumu:

   

5. atlasīt R80.20 Jauna instalēšana un jaunināšana drošības pārvaldībai.
6. Instalējot atjauninājumu, atlasiet Clean Install. Pēc instalēšanas sistēma tiks restartēta.
7. Mēs izturam pirmo reizi Wizard.
8. Pēc piekļuves iegūšanas mēs pārbaudām kontus.
9. Mēs izveidojam savienojumu ar SMS, izmantojot SSH, un mainām sava lietotāja apvalku uz /bin/bash/:

   iestatīt lietotāja <lietotājvārds> čaulu /bin/bash/

   saglabāt konfigurāciju (ja mēs vēlamies atstāt bin/bash/ kā noklusējuma apvalku pēc pārstartēšanas).

10. Tālāk mēs izveidojam savienojumu ar SMS, izmantojot SCP, un pārsūtām arhīvu ar konfigurāciju binārajā režīmā SMS_w_logs_export_r77_r80.tgz uz mapi /var/log/UpgradeR77.30_R80.20/
    
11. Mēs noņemam kontrolsummu no arhīva: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz un salīdziniet ar iepriekšējo vērtību. Kontrolsummai ir jāsakrīt.
12. Mēs palielinām SSH sesijas taimautu līdz 8 stundām. Priekš šī:

    [Expert@HostName]# clish -c "rādīt neaktivitātes taimautu" apskatīt pašreizējo taimauta sadursmi,

    [Expert@HostName]# clish -c "set inactivity-timeout 720" norādiet jauno taimauta sadursmi (minūtēs),

    [Expert@HostName]# echo $TMOUT apskatīt pašreizējo taimauta eksperta režīmu,

    [Expert@HostName]# eksportēt TMOUT=3600 norādiet jauno taimauta eksperta režīmu (sekundēs). Ja iestatāt vērtību uz 0, taimauts tiks atspējots.

13. Lai importētu iestatījumus, palaidiet migrēšanas importēšanas utilītu. Lai to izdarītu, dodieties uz mapi: cd $FWDIR/bin/upgrade_tools/un palaist importēšanu: ./migrēt imp
    ort -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

Baudīsim dzīvi turpmākās pāris stundas. Procedūras laikā NEATvienojiet SSH SESIJU. Beigās migrēšanas procesa laikā tiks parādīts veiksmes ziņojums vai kļūda. 

Kontrolsaraksts pēc atjaunināšanas

1. Resursu pieejamība.
2. SIC ar GW.
3. Licences. Ja licences tiek parādītas nepareizi vai netiek rādītas īsziņā, palaidiet komandu vsec_central_licence licenču izplatīšanai.
4. Politikas iestatīšana. 

SmartEvent datu bāzes importēšana

1. Aktivizējiet SmartEvent asmeni.
2. Mēs savienojam ar WinSCP ar SMS un pārsūtām iepriekš lejupielādētos failus binārajā režīmā <date>-db-backup.backup и eventiaUpgrade.tar uz mapi /var/log/UpgradeR77.30_R80.20/
3. Mēs palaižam skriptu ar komandu: $RTDIR/bin/eventiaUpgrade.sh -upgrade /var/log/UpgradeR77.30_R80.20/eventiaUpgrade.tar
4. Statusa pārbaude: skatīties -n 10 eventiaUpgrade.sh
5. Logu pārbaude programmā SmartEvent. SAPNIS!

Check Point GW klastera atjaunināšana (aktīva/dublēta)

Pirms darba uzsākšanas

1. Mēs saglabājam GAIA konfigurāciju no katra klastera mezgla failā, lai to izdarītu, izmantojiet komandu: clish -c "rādīt konfigurāciju" > ./<Faila nosaukums>.txt
2. Failu augšupielāde, izmantojot WinSCP.
3. Izveidojiet savienojumu ar abu mezglu WebUI un dodieties uz cilni CPUSE → Rādīt visas pakotnes.
4. Atjaunināšanas pakotnes atrašana versijai R80.20 Jauna uzstādīšana, nospiediet Lejupielādēt.
5. Mēs pārbaudām, vai CCP protokols darbojas režīmā Raidījums, lai to izdarītu, ievadiet komandu: cphaprob -a ja
   Ja ir izvēlēts režīms Multicast, aizstājiet to ar komandu: cphaconf set_ccp pārraide (komanda tiek izpildīta katrā mezglā).
6. Mēs instalējam dīkstāvi iesaistītajiem mezgliem jūsu uzraudzības sistēmā.
7. Mēs pārbaudām, vai parametri ir iespējoti virtualizācijas līmenī MAC adreses maiņa и Kalti pārraides sinhronizācijas tīklam.

Modernizēt

1. Mēs izveidojam savienojumu, izmantojot ssh, ar Active mezglu un palaižam komandu, lai pārraudzītu klastera statusu: skatīties -n 2 cphaprob stat
2. Atgriezties uz WebUI gaidstāves mezglu cilni CPUSE un izvēlētajai paketei R80.20 Jauna uzstādīšana palaist Verificētājs.
3. Analizēsim verificētāja pārskatu. Ja instalēšana ir atļauta, turpiniet.
4. Izvēlieties paketi R80.20 Jauna uzstādīšana un palaist Upgrade. Jaunināšanas procesa laikā sistēma tiks restartēta. GAIA iestatījumi ir saglabāti. Atsāknēšanas laikā mēs uzraugām klastera stāvokli. Pēc ielādes atjauninātā mezgla statusam vajadzētu mainīties uz READY. Vairākos gadījumos mēs saskārāmies ar brīdi, kad mezgls, kas vēl nebija atjaunināts, pārslēdzās uz Active Attention statusu un pārtrauca rādīt atjauninātā mezgla statusu. Nebaidieties – arī šī iespēja ir pieņemama.
5. Kad atjaunināšana ir pabeigta, atveriet SmartDashboard.
6. Atveriet klastera objektu un mainiet klastera versiju no R77.30 uz R80.20. Noklikšķiniet uz Labi. Ja, saglabājot izmaiņas, tiek parādīta kļūda:
   Radās iekšēja kļūda. (Kods: 0x8003001D, nevarēja piekļūt failam rakstīšanas darbībai),
   sekot SK119973. Pēc tam saglabājiet izmaiņas un noklikšķiniet uz Instalēšanas politika.
7. Iestatījumos noņemiet atzīmi no opcijas Vārtejas klasteriem, ja instalēšana klastera loceklī neizdodas, neinstalējiet šajā klasterī.
8. Mēs nosakām politiku. Sistēma ģenerēs kļūdu aktīvam mezglam, kas vēl nav atjaunināts.
9. Mēs izveidojam savienojumu ar atjaunināto mezglu, izmantojot ssh, un palaižam komandu, lai pārraudzītu klastera stāvokli: skatīties -n 2 cphaprob stat
10. Izveidojiet savienojumu ar WebUI Active mezglu un dodieties uz cilni CPUSE → Rādīt visas pakotnes.Atjaunināšanas pakotnes atrašana versijai R80.20 Jauna uzstādīšana, nospiediet Lejupielādēt.
11. Mēs instalējam dīkstāvi iesaistītajiem mezgliem jūsu uzraudzības sistēmā.
12. Atgriezieties cilnē WebUI Active mezgli CPUSE un izvēlētajai paketei R80.20 Jauna uzstādīšana palaist Verificētājs.
13. Analizēsim verificētāja pārskatu. Ja instalēšana ir atļauta, turpiniet.
14. Izvēlieties paketi R80.20 Jauna uzstādīšana un palaist Jaunināt. Jaunināšanas procesa laikā sistēma tiks restartēta. GAIA iestatījumi ir saglabāti. Atsāknēšanas laikā mēs uzraugām klastera stāvokli jau atjauninātajā mezglā. Pēc atsāknēšanas klastera stāvoklis atjauninātajā mezglā mainīsies no READY uz AKTĪVS.
15. Kad jaunināšanas process ir pabeigts, palaidiet SmartDashboard un iestatiet politiku.

Kontrolsaraksts pēc atjaunināšanas

• SmartLog notikumu žurnāli, VPN tuneļu statuss.
• GAIA iestatījumi.
• Klastera atjaunošana pēc testa kļūmjpārlēces.
• Licences un līgumi. Ja licences tiek parādītas nepareizi vai netiek rādītas īsziņā, palaidiet komandu. vsec_central_licence licences izplatīšanai.
• CoreXL.
• SecureXL.
• Labojumfails un CPinfo divos mezglos.

Secinājums

Kopumā šobrīd tas ir viss — jūs esat atjaunināts.

Mums viss process aizņēma vidēji no 6 līdz 12 stundām atkarībā no eksportējamo datu bāzu lieluma. Darbs tika veikts divās naktīs: vienu SMS atjaunināšanai, otru klasterim.

Satiksmes dīkstāves nebija, neskatoties uz to, ka visas iepriekš minētās kļūdas pārbaudījām paši.

Protams, dažreiz atjaunināšanas procesā var rasties pilnīgi jaunas grūtības, taču tas ir Check Point, un, kā mēs visi zinām, vienmēr ir kāds labojumfails!

Priecīgas melnās un rozā naktis un jaunumus!

Avots: www.habr.com