Шалгах цэгийг R77.30-аас 80.20 хүртэл шинэчилж байна

2019 оны намар Check Point R77.XX хувилбаруудыг дэмжихээ больсон тул шинэчлэх шаардлагатай болсон. Хувилбаруудын ялгаа, R80 руу шилжих давуу болон сул талуудын талаар аль хэдийн олон зүйлийг хэлсэн. Check Point виртуал хэрэгслүүдийг (VMware ESXi, Hyper-V, KVM Gateway NGTP-д зориулсан CloudGuard) хэрхэн бодитоор шинэчлэх, юу нь буруу болох талаар ярилцъя.

Тиймээс бид CCSE-ийн 2 инженер, арав гаруй Check Point R77.30 виртуал кластер, хэд хэдэн үүл, хэд хэдэн засвар, янз бүрийн алдаа, алдаа, бүх өнгө, хэмжээ бүхий бүхэл бүтэн далайтай байсан. бас маш хатуу хугацаа. Явцгаая!

Агуулга:

Сургалт
Удирдлагын серверийг шинэчилж байна
Кластерыг шинэчилж байна

Виртуал шалгах цэг бүхий ердийн үйлчлүүлэгчийн үүлэн дэд бүтэц ийм харагдаж байна

Сургалт

Эхний алхам бол шинэчлэлт хийхэд хангалттай нөөц байгаа эсэхийг шалгах явдал юм. R80.20-д санал болгож буй хамгийн бага шаардлага одоогоор дараах байдалтай байна.

төхөөрөмжийн

CPU-ийн

RAM

хатуу диск

Аюулгүй байдлын гарц

2 цөм

4 Гб

15 ГБ-аас

SMS

2 цөм

6 Гб

-

Зөвлөмжийг баримт бичигт тайлбарласан болно CP_R80.20_GA_Хувилбарын_тэмдэглэл.

Гэхдээ бид бодитой байх болно. Хэрэв энэ нь хамгийн бага тохиргоонд хангалттай бол, практикээс харахад бид ихэвчлэн https шалгалтыг идэвхжүүлдэг, SmartEvent SMS дээр ажилладаг гэх мэт байдаг бөгөөд энэ нь мэдээжийн хэрэг огт өөр хүчин чадал шаарддаг. Гэхдээ ерөнхийдөө R77.30-аас хэтрэхгүй.

Гэхдээ нюансууд байдаг. Тэд юуны түрүүнд физик санах ойн хэмжээтэй холбоотой байдаг. Шинэчлэх явцад шууд олон үйлдэл хийхэд хатуу дискний зай шаардагдана.

Удирдлагын серверийн хувьд дискний чөлөөт зайны хэмжээ нь одоогийн бүртгэлийн хэмжээ (хэрэв бид тэдгээрийг хадгалахыг хүсвэл) болон хадгалагдсан мэдээллийн сангийн засварын тооноос ихээхэн хамаарна, гэхдээ бидэнд их хэмжээгээр хэрэггүй болно. Мэдээжийн хэрэг, кластерийн зангилааны хувьд (хэрэв та бүртгэлийг дотооддоо хадгалахгүй бол) энэ бүхэн хамаагүй. Танд хэрэгтэй зай байгаа эсэхийг хэрхэн шалгах вэ:

1. Бид ssh-ээр дамжуулан Ухаалаг удирдлагын серверт холбогдож, шинжээчийн горимд орж дараах тушаалыг оруулна.

   [Expert@cp-sms:0]# df -h

2. Гаралт дээр бид иймэрхүү тохиргоог харах болно:

   Ашигласан файлын системийн хэмжээ Ашигласан%
   /dev/mapper/vg_splat-lv_current 30G 7.4G 21G 27% /
   /dev/sda1 289M 24M 251M 9% /ачаалах
   tmpfs 2.0G 0 2.0G 0% /dev/shm
   /dev/mapper/vg_splat-lv_log 243G 177G 53G 78% /var/log

3. Бид одоогоор энэ хэсгийг сонирхож байна / var / log

Хуучин бүртгэлийн файлуудыг хадгалах, устгах бодлого, мөн экспортолсон мэдээллийн сангийн хэмжээ зэргээс шалтгаалан илүү их зай шаардлагатай болохыг анхаарна уу. Хэрэв архив үүсгэх үед бүртгэлийн файл хадгалах бодлогод зааснаас бага зай байгаа бол систем нь хуучин бүртгэлийг устгаж эхлэх бөгөөд архивт оруулахгүй.

Мөн шинэчлэлтийн процессын хувьд системд хамгийн багадаа 13 ГБ хатуу дискний хуваарилагдаагүй зай хэрэгтэй болно. Та түүний байгаа эсэхийг дараах тушаалаар шалгаж болно.

[Expert@cp-sms:0]# pvs

Бид иймэрхүү зүйлийг харах болно:

PV VG Fmt Attr PSize PFree
/dev/sda3 vg_splat lvm2 a- 141.69G 43.69G

Энэ тохиолдолд бидэнд 43 ГБ байна. Хангалттай нөөц бий. Та шинэчилж эхлэх боломжтой.

Check Point SMS удирдлагын серверийг шинэчилж байна

Ажил эхлэхийн өмнө та дараахь зүйлийг хийх хэрэгтэй.

1. Удирдлагын сервер дээр Migration Tools багцыг суулгана уу. Үүнийг хийхийн тулд та зургийг порталаас татаж авах хэрэгтэй Шалгах цэг.
2. Архивыг WinSCP-ээр дамжуулан удирдлагын сервер рүү хавтас руу байршуулна уу /var/log/UpgradeR77.30_R80.20 (шаардлагатай бол эхлээд хавтас үүсгэнэ үү).
3. SSH-ээр удирдлагын серверт холбогдож архивтай хавтас руу очно уу:cd /var/log/UpgradeR77.30_R80.20/
4. Файлыг задлах:tar -zxvf ./<файлын нэр>.tgz
5. Бид pre_upgrade_verifier хэрэгслийг дараах тушаалаар ажиллуулна. ./pre_upgrade_verifier -p $FWDIR -c R77 -t R80.20
6. Тушаалыг гүйцэтгэсний дараа таарахгүй тохиргооны тухай тайлан гарна. Үүнийг дараах хаягаар авах боломжтой: /opt/CPsuite-R77/fw1/log/pre_upgrade_verification_report.(xls, html, txt). Үүнийг SCP-ээр дамжуулан байршуулж, хөтөчөөр дамжуулан үзэх нь илүү тохиромжтой.
   Тохиромжгүй тохиргоог шийдэхийн тулд ашиглана уу SK117237.
7. Дараа нь үл нийцэх бүх шалтгааныг арилгасан эсэхийг шалгахын тулд pre_upgrade_verifier хэрэгслийг дахин ажиллуулна уу.
8. Дараа нь бид сүлжээний интерфейс, чиглүүлэлтийн хүснэгтийн талаарх мэдээллийг цуглуулж, GAIA тохиргоог байршуулна.
   ip a > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
   ip r > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
   clish -c "тохиргоог харуулах" > ​​/var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
9. Үүссэн файлыг SCP-ээр дамжуулан байршуулна уу.
10. Бид виртуалчлалын түвшинд агшин зуурын зургийг авдаг.
11. Бид SSH сессийн хугацааг 8 цаг хүртэл нэмэгдүүлдэг. Энэ нь таны азаас хамаарна: экспортолсон мэдээллийн сангийн хэмжээнээс хамааран хэдэн минутаас хэдэн цаг хүртэл үргэлжилж болно. Үүний тулд: 
    [Expert@HostName]# clish -c "идэвхгүй байдлыг харуулах" Одоогийн завсарлагааныг хараарай,

    [Expert@HostName]# clish -c "идэвхгүй байх хугацаа 720-г тохируулах" шинэ хугацаа дуусах хугацааг зааж өгөх (минутаар),

    [Expert@HostName]# цуурай $TMOUT одоогийн хугацаа хэтэрсэн шинжээчийн горимыг харах,

    [Expert@HostName]# экспорт TMOUT=3600 шинэ завсарлагааны шинжээчийн горимыг (секундэд) зааж өгвөл хэрэв та утгыг 0 болгож тохируулбал завсарлага идэвхгүй болно.

12. Бид SMS.iso суулгацын зургийг виртуал машинд татаж аваад суулгадаг.

    Дараагийн алхамын өмнө хатуу диск дээрээ хангалттай хуваарилагдаагүй зай байгаа эсэхийг дахин шалгаарай (танд 13 ГБ хэрэгтэй гэдгийг санаарай). 

13. Тохиргоог экспортлохын өмнө дараах тушаалаар лог файлыг өөрчилнө үү. fw бүртгэлийн унтраалга

Тохиргоо болон бүртгэлийг экспортлох

1. Тохиргоог татаж авахын тулд migrate_export хэрэгслийг ажиллуулна уу. Үүнийг хийхийн тулд өмнө нь үүсгэсэн хавтас руу очно уу: cd /var/log/UpgradeR77.30_R80.20/ мөн тушаалыг ашиглана уу: ./экспортыг шилжүүлэх -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

   болон

   хавтас руу очих: cd $FWDIR/bin/upgrade_tools/ и
   тэндээс тушаалыг ажиллуулна уу: ./экспортыг шилжүүлэх -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

2. Бид архиваас шалгах дүнг устгана: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz
3. Үүссэн утгыг тэмдэглэлийн дэвтэрт хадгална.
4. Бид SCP-ээр SMS-тэй холбогдож, архивыг тохиргооны хамт ажлын станц руу байршуулна. Хоёртын форматаар файл дамжуулалтыг ашиглахаа мартуузай.

SmartEvent мэдээллийн санг экспортлох

Энд бидэнд урьдчилан суулгасан SMS хувилбар R80 хэрэгтэй. Ямар ч шалгалт хийх болно. 

1. SMS-ээс бидэнд энд байрлах скрипт хэрэгтэй:$RTDIR/bin/eva_db_backup.csh
2. Скриптийг SCP-ээр ачаална уу eva_db_backup.csh хавтас руу: /var/log/UpgradeR77.30_R80.20/
3. SMS руу SSH-ээр холбогдоно уу. Файлыг хавтас руу хуулах: cp /var/log/UpgradeR77.30_R80.20/eva_db_backup.csh
   $RTDIR/bin/eva_db_backup.csh
4. Кодчлолыг өөрчлөх: dos2unix $RTDIR/bin/eva_db_backup.csh
5. Эзэмшигчийг нэмж байна: chown -v админ: root $RTDIR/bin/eva_db_backup.csh
6. Эрх нэмэх: chmod -v 0755 $RTDIR/bin/eva_db_backup.csh
7. SmartEvent мэдээллийн санг экспортлож эхэлцгээе: $RTDIR/bin/eva_db_backup.csh
8. Хүлээн авсан файлуудыг SCP-ээр байршуулах: $RTDIR/bin/<date>-db-backup.backup и $RTDIR/bin/eventiaUpgrade.tar ажлын станц руу.

Шинэчлэх

1. Руу явах WebUI GAIA SMS → CPUSE → Бүх багцыг харуулах.
2. Хэрэв CPUSE нь Check Point үүлэнд холбогдоход алдаа гарвал DGW, DNS болон Proxy тохиргоог шалгана уу.
3. Хэрэв бүх зүйл зөв бөгөөд алдаа арилахгүй бол та CPUSE-ийг гараар шинэчлэх хэрэгтэй. sk92449.
4. Зургийг татаж аваад үзээрэй Баталгаажуулагч. Шаардлагатай бол бид зөрчилдөөнийг арилгадаг.

   Үүний үр дүнд та энэ мессежийг харах ёстой:

   

5. Бид сонгоно уу R80.20 Аюулгүй байдлын менежментийн шинэ суулгац болон сайжруулалт.
6. Шинэчлэлтийг суулгахдаа Цэвэр суулгалтыг сонгоно уу. Суулгасны дараа систем дахин ачаалах болно.
7. Бид анх удаагаа давж байна Илбэчин.
8. Хандалт авсны дараа бид дансуудыг шалгана.
9. Бид SSH-ээр SMS-тэй холбогдож, хэрэглэгчийн бүрхүүлээ /bin/bash/ болгож өөрчилдөг:

   хэрэглэгчийг тохируулах <хэрэглэгчийн нэр> бүрхүүл /bin/bash/

   тохиргоог хадгалах (хэрэв бид дахин ачаалсны дараа bin/bash/-г анхдагч бүрхүүл болгон үлдээхийг хүсвэл).

10. Дараа нь бид SCP-ээр SMS-тэй холбогдож архивыг хоёртын горимд тохиргоогоор дамжуулна SMS_w_logs_export_r77_r80.tgz хавтас руу /var/log/UpgradeR77.30_R80.20/
    
11. Бид архиваас шалгах дүнг устгана: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz мөн өмнөх утгатай харьцуулна. Шалгах нийлбэр таарч байх ёстой.
12. Бид SSH сессийн хугацааг 8 цаг хүртэл нэмэгдүүлдэг. Үүний тулд:

    [Expert@HostName]# clish -c "идэвхгүй байдлыг харуулах" Одоогийн завсарлагааныг хараарай,

    [Expert@HostName]# clish -c "идэвхгүй байх хугацаа 720-г тохируулах" шинэ хугацаа дуусах хугацааг зааж өгөх (минутаар),

    [Expert@HostName]# цуурай $TMOUT одоогийн хугацаа хэтэрсэн шинжээчийн горимыг харах,

    [Expert@HostName]# экспорт TMOUT=3600 шинэ хугацаа дуусах шинжээчийн горимыг (секундэд) зааж өгнө. Хэрэв та утгыг 0 гэж тохируулбал завсарлага идэвхгүй болно.

13. Тохиргоог импортлохын тулд шилжүүлэх импортын хэрэгслийг ажиллуулна уу. Үүнийг хийхийн тулд хавтас руу очно уу: cd $FWDIR/bin/upgrade_tools/болон импортыг ажиллуулна уу: ./migrate imp
    ort -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

Дараагийн хоёр цагийн турш амьдралаас таашаал авцгаая. Процедурын явцад SSH СЕССИЙГ БҮҮ салга. Төгсгөлд нь шилжүүлэх үйл явц амжилттай эсвэл алдааг харуулах болно. 

Шинэчлэгдсэний дараа шалгах хуудас

1. Нөөцийн хүртээмж.
2. GW-тэй SIC.
3. Лицензүүд. Хэрэв лицензийг буруу харуулсан эсвэл SMS дээр харуулахгүй бол тушаалыг ажиллуулна уу vsec_central_licence лиценз түгээх зориулалттай.
4. Бодлогыг тохируулах. 

SmartEvent мэдээллийн санг импортлож байна

1. SmartEvent ирийг идэвхжүүлнэ үү.
2. Бид WinSCP-ээр SMS руу холбогдож, өмнө нь татаж авсан файлуудыг хоёртын горимд шилжүүлдэг <огноо>-db-backup.backup и eventiaUpgrade.tar хавтас руу /var/log/UpgradeR77.30_R80.20/
3. Бид скриптийг дараах тушаалаар ажиллуулна: $RTDIR/bin/eventiaUpgrade.sh -upgrade /var/log/UpgradeR77.30_R80.20/eventiaUpgrade.tar
4. Статусыг шалгаж байна: watch -n 10 eventiaUpgrade.sh
5. SmartEvent дахь бүртгэлийг шалгаж байна. МӨРӨӨДӨЛ!

Check Point GW кластерийг шинэчилж байна (Идэвхтэй/Нөөц)

Ажил эхлэхийн өмнө

1. Бид кластерийн зангилаа бүрээс GAIA тохиргоог файлд хадгалдаг бөгөөд үүнийг хийхийн тулд дараах тушаалыг ашиглана: clish -c "тохиргоог харуулах" > ​​./<Файлын нэр>.txt
2. WinSCP ашиглан файлуудыг байршуулж байна.
3. Хоёр зангилааны WebUI-д холбогдож, таб руу очно уу CPUSE → Бүх багцыг харуулах.
4. Хувилбарын шинэчлэлтийн багцыг хайж байна R80.20 Шинэ суулгацдарна уу Татаж авах.
5. Бид CCP протокол горимд ажиллаж байгаа эсэхийг шалгана Нэвтрүүлэг, үүнийг хийхийн тулд тушаалыг оруулна уу: cphaprob -a if
   Хэрэв горим сонгосон бол Мультикаст, үүнийг тушаалаар солино уу: cphaconf set_ccp нэвтрүүлэг (командыг зангилаа бүр дээр гүйцэтгэдэг).
6. Бид таны хяналтын системд холбогдох зангилааны Сул зогсолтыг суулгадаг.
7. Бид виртуалчлалын түвшинд параметрүүдийг идэвхжүүлсэн эсэхийг шалгадаг MAC хаягийг өөрчлөх и Хуурамч дамжуулалт синхрончлолын сүлжээнд зориулагдсан.

Шинэчлэх

1. Бид ssh-ээр дамжуулан Идэвхтэй зангилаа руу холбогдож кластерийн төлөвийг хянах командыг ажиллуулна: watch -n 2 cphaprob stat
2. WebUI Stanby nodes таб руу буцах CPUSE болон сонгосон багцын хувьд R80.20 Шинэ суулгац zapuskaem Баталгаажуулагч.
3. Verifier тайланд дүн шинжилгээ хийцгээе. Хэрэв суулгахыг зөвшөөрвөл үргэлжлүүлнэ үү.
4. Багц сонгоно уу R80.20 Шинэ суулгац мөн гүйх шинэчлэх. Шинэчлэх явцад систем дахин ачаалах болно. GAIA тохиргоог хадгалсан. Дахин ачаалах үед бид кластерийн төлөвийг хянадаг. Ачаалсны дараа шинэчлэгдсэн зангилааны статус READY болж өөрчлөгдөх ёстой. Хэд хэдэн тохиолдолд бид хараахан шинэчлэгдээгүй зангилаа идэвхтэй анхаарлын төлөв рүү шилжиж, шинэчлэгдсэн зангилааны статусыг харуулахаа больсон мөчтэй тулгарсан. Санаа зовох хэрэггүй - энэ сонголтыг бас хүлээн зөвшөөрөх боломжтой.
5. Шинэчлэлт дууссаны дараа нээнэ үү SmartDashboard.
6. Кластер объектыг нээж, кластерийн хувилбарыг R77.30-аас R80.20 болгон өөрчил. OK дарна уу. Хэрэв өөрчлөлтийг хадгалахад алдаа гарвал:
   Дотоод алдаа гарлаа. (Код: 0x8003001D, бичих үйлдэл хийх файлд нэвтэрч чадсангүй),
   дага SK119973. Үүний дараа өөрчлөлтүүдийг хадгалаад дарна уу Бодлого суулгах.
7. Тохиргоо дотроос сонголтыг арилгана уу Гарцын кластеруудын хувьд кластерын гишүүн дээр суулгалт амжилтгүй болвол тэр кластер дээр бүү суулгаарай.
8. Бид бодлогоо тогтоодог. Систем нь шинэчлэгдээгүй байгаа Идэвхтэй зангилаанд алдаа гаргах болно.
9. Бид шинэчлэгдсэн зангилаа руу ssh-ээр холбогдож кластерийн төлөвийг хянах командыг ажиллуулна: watch -n 2 cphaprob stat
10. WebUI идэвхтэй зангилаа руу холбогдож, таб руу очно уу CPUSE → Бүх багцыг харуулах.Хувилбарын шинэчлэлтийн багцыг хайж байна R80.20 Шинэ суулгац, товшино уу Татаж авах.
11. Бид таны хяналтын системд холбогдох зангилааны Сул зогсолтыг суулгадаг.
12. WebUI Active nodes таб руу буцна уу CPUSE болон сонгосон багцын хувьд R80.20 Шинэ суулгац zapuskaem Баталгаажуулагч.
13. Verifier тайланд дүн шинжилгээ хийцгээе. Хэрэв суулгахыг зөвшөөрвөл үргэлжлүүлнэ үү.
14. Багц сонгоно уу R80.20 Шинэ суулгац мөн гүйх Upgrade. Шинэчлэх явцад систем дахин ачаалах болно. GAIA тохиргоог хадгалсан. Дахин ачаалах үед бид аль хэдийн шинэчлэгдсэн зангилаа дээрх кластерийн төлөвийг хянадаг. Дахин ачаалсны дараа шинэчлэгдсэн зангилааны кластерийн төлөв READY-аас ИДЭВХТЭЙ болж өөрчлөгдөнө.
15. Шинэчлэх процесс дууссаны дараа SmartDashboard-г ажиллуулж, бодлогыг тохируулна уу.

Шинэчлэгдсэний дараа шалгах хуудас

• SmartLog дахь үйл явдлын бүртгэл, VPN хонгилын төлөв.
• GAIA тохиргоо.
• Туршилтын алдааны дараа кластерыг сэргээж байна.
• Лиценз ба гэрээ. Хэрэв лицензийг буруу харуулсан эсвэл SMS дээр харуулахгүй бол тушаалыг ажиллуулна уу. лиценз түгээх vsec_central_licence.
• CoreXL.
• SecureXL.
• Хоёр зангилаа дээрх Hotfix болон CPinfo.

дүгнэлт

Ерөнхийдөө энэ нь яг одоо байна - та шинэчлэгдсэн.

Бидний хувьд экспортолсон мэдээллийн сангийн хэмжээнээс хамааран бүх процесс дунджаар 6-12 цаг үргэлжилдэг. Ажил хоёр шөнийн турш явагдсан: нэг нь SMS шинэчлэх, хоёр дахь нь кластер.

Дээр дурдсан бүх алдааг бид өөрсдөө шалгаж үзсэн ч замын хөдөлгөөний саатал гарсангүй.

Мэдээжийн хэрэг, шинэчлэлтийн явцад заримдаа цоо шинэ бэрхшээлүүд гарч ирж магадгүй, гэхдээ энэ бол Check Point бөгөөд бидний мэдэж байгаагаар засвар үргэлж байдаг!

Аз жаргалтай хар, ягаан шөнө, шинэчлэлтүүд!

Эх сурвалж: www.habr.com