Jeseni 2019 je Check Point prenehal podpirati različice R77.XX, zato je bila potrebna posodobitev. O razliki med različicami, prednostih in slabostih prehoda na R80 je bilo že veliko povedanega. Pogovorimo se o tem, kako dejansko posodobiti virtualne naprave Check Point (CloudGuard za VMware ESXi, Hyper-V, KVM Gateway NGTP) in kaj gre lahko narobe.
Imeli smo torej 2 inženirja CCSE, več kot ducat virtualnih gruč Check Point R77.30, več oblakov, nekaj hitrih popravkov in celo morje raznih hroščev, napak in vsega tega, vseh barv in velikosti, in tudi zelo kratki roki. Pojdimo!
Bomo pa realni. Če je to dovolj v najbolj minimalni konfiguraciji, potem imamo, kot kaže praksa, običajno omogočen pregled https, SmartEvent, ki teče na SMS itd., Kar seveda zahteva popolnoma druge zmogljivosti. Toda na splošno ne več kot za 77.30 R.
Vendar obstajajo nianse. In nanašajo se predvsem na velikost fizičnega pomnilnika. Številne operacije neposredno med postopkom posodabljanja bodo zahtevale prostor na trdem disku.
Pri upravljalnem strežniku bo velikost prostega diskovnega prostora zelo odvisna od količine trenutnih dnevnikov (če jih želimo shraniti) in od števila shranjenih revizij baze podatkov, čeprav jih v velikih količinah ne bomo več potrebovali. Seveda za vozlišča gruče (razen če tudi dnevnike shranjujete lokalno) vse to ni pomembno. Tukaj je opisano, kako preverite, ali imate dovolj prostora:
S strežnikom Smart Management Server se povežemo prek ssh, gremo v strokovni način in vnesemo ukaz:
[Strokovnjak@cp-sms:0]# df -h
Na izhodu bomo videli nekaj podobnega tej konfiguraciji:
Upoštevajte, da bo morda potrebno več prostora, odvisno od pravilnika za shranjevanje in brisanje starih dnevniških datotek ter velikosti izvožene zbirke podatkov. Če je pri ustvarjanju arhiva manj prostega prostora, kot je navedeno v politiki shranjevanja dnevniške datoteke, bo sistem začel brisati stare dnevnike in jih NE bo vključil v arhiv.
Tudi za sam postopek posodabljanja bo sistem potreboval vsaj 13 GB nedodeljenega prostora na trdem disku. Njegovo prisotnost lahko preverite z ukazom:
Po izvedbi ukaza se ustvari poročilo o nezdružljivih nastavitvah. Na voljo je na: /opt/CPsuite-R77/fw1/log/pre_upgrade_verification_report.(xls, html, txt). Bolj priročno ga je naložiti prek SCP in si ga ogledati prek brskalnika.
Če želite odpraviti morebitne nezdružljive nastavitve, uporabite SK117237.
Nato znova zaženite pripomoček pre_upgrade_verifier, da se prepričate, da so odpravljeni vsi vzroki nezdružljivosti.
Nato zberemo informacije o omrežnih vmesnikih, usmerjevalni tabeli in naložimo konfiguracijo GAIA: ip a > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
ip r > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
clish -c "prikaži konfiguracijo" > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
Prenesite nastalo datoteko prek SCP.
Posnamemo posnetek na ravni virtualizacije.
Časovno omejitev seje SSH povečamo na 8 ur. Odvisno od vaše sreče: odvisno od velikosti izvožene baze podatkov lahko traja od nekaj minut do nekaj ur. Za to: [Expert@HostName]# clish -c "prikaži časovno omejitev nedejavnosti" poglejte trenutno časovno omejitev,
[Expert@HostName]# clish -c "set inactivity-timeout 720" določite novo časovno omejitev (v minutah),
[Expert@HostName]# echo $TMOUT poglejte trenutni strokovni način časovne omejitve,
[Expert@HostName]# izvoz TMOUT=3600 določite nov strokovni način časovne omejitve (v sekundah), če nastavite vrednost na 0, bo časovna omejitev onemogočena.
Prenesemo in priklopimo namestitveno sliko SMS.iso na virtualni stroj.
Pred naslednjim korakom OBVEZNO še enkrat preverite, ali imate na trdem disku dovolj nedodeljenega prostora (ne pozabite, potrebujete 13 GB).
Preden začnete izvažati konfiguracijo, spremenite dnevniško datoteko z ukazom: fw logswitch
Izvoz konfiguracije in dnevnikov
Zaženite pripomoček migrate_export, da prenesete konfiguracijo. Če želite to narediti, pojdite v predhodno ustvarjeno mapo: cd /var/log/UpgradeR77.30_R80.20/ in uporabite ukaz: ./migrate export -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz
ali
pojdi v mapo: cd $FWDIR/bin/upgrade_tools/ и
od tam zaženite ukaz: ./migrate export -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz
Iz arhiva odstranimo kontrolno vsoto: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz
Dobljeno vrednost shranite v beležnico.
Na SMS se povežemo preko SCP in naložimo arhiv s konfiguracijo na delovno postajo. Prepričajte se, da uporabljate prenos datotek v binarni obliki.
Izvoz baze podatkov SmartEvent
Tukaj potrebujemo vnaprej nameščeno različico SMS R80. Vsak test bo zadostoval.
Iz SMS-a potrebujemo skript, ki se nahaja tukaj:$RTDIR/bin/eva_db_backup.csh
Naložite skript prek SCP eva_db_backup.csh v mapo: /var/log/UpgradeR77.30_R80.20/
Povežite se prek SSH na SMS. Kopiraj datoteko v mapo: cp /var/log/UpgradeR77.30_R80.20/eva_db_backup.csh
$RTDIR/bin/eva_db_backup.csh
shrani konfiguracijo (v primeru, da želimo pustiti bin/bash/ kot privzeto lupino po ponovnem zagonu).
Nato se povežemo s SMS prek SCP in prenesemo arhiv s konfiguracijo v binarnem načinu SMS_w_logs_export_r77_r80.tgz v mapo /var/log/UpgradeR77.30_R80.20/
Iz arhiva odstranimo kontrolno vsoto: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz in primerjajte s prejšnjo vrednostjo. Kontrolna vsota se mora ujemati.
Časovno omejitev seje SSH povečamo na 8 ur. Za to:
[Expert@HostName]# clish -c "set inactivity-timeout 720" določite novo časovno omejitev (v minutah),
[Expert@HostName]# echo $TMOUT poglejte trenutni strokovni način časovne omejitve,
[Expert@HostName]# izvoz TMOUT=3600 določite nov strokovni način časovne omejitve (v sekundah). Če nastavite vrednost na 0, bo časovna omejitev onemogočena.
Za uvoz nastavitev zaženite pripomoček za selitev uvoza. Če želite to narediti, pojdite v mapo: cd $FWDIR/bin/upgrade_tools/in zaženite uvoz: ./migrate imp
ort -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz
Uživajmo življenje naslednjih nekaj ur. Med postopkom NE PREKINITE SEJE SSH. Na koncu bo postopek selitve prikazal sporočilo o uspehu ali napako.
Kontrolni seznam po posodobitvi
Razpoložljivost virov.
SIC z GW.
Licence. Če so licence prikazane nepravilno ali niso prikazane na SMS-u, zaženite ukaz vsec_centralna_licenca za distribucijo licenc.
Nastavitev pravilnika.
Uvoz baze podatkov SmartEvent
Aktivirajte rezilo SmartEvent.
Preko WinSCP se povežemo s SMS-om in prenesemo predhodno prenesene datoteke v binarnem načinu <datum>-db-backup.backup и eventiaUpgrade.tar v mapo /var/log/UpgradeR77.30_R80.20/
Skript zaženemo z ukazom: $RTDIR/bin/eventiaUpgrade.sh -upgrade /var/log/UpgradeR77.30_R80.20/eventiaUpgrade.tar
Preverjanje stanja: watch -n 10 eventiaUpgrade.sh
Preverjanje dnevnikov v SmartEvent. SANJE!
Posodabljanje gruče Check Point GW (aktivno/varnostno)
Pred začetkom dela
Konfiguracijo GAIA iz vsakega vozlišča gruče shranimo v datoteko, za to uporabite ukaz: clish -c "prikaži konfiguracijo" > ./<ime datoteke>.txt
Nalaganje datotek z uporabo WinSCP.
Povežite se s spletnim uporabniškim vmesnikom obeh vozlišč in pojdite na zavihek CPUSE → Pokaži vse pakete.
Iskanje posodobitvenega paketa za različico R80.20 Nova namestitev, pritisnite Prenesti.
Preverimo, ali protokol CCP deluje v načinu Oddaja, če želite to narediti, vnesite ukaz: cphaprob -a če
Če je izbran način Multicast, ga nadomestite z ukazom: oddajanje cphaconf set_ccp (ukaz se izvede na vsakem vozlišču).
Za vključena vozlišča v vašem nadzornem sistemu namestimo izpade.
Preverimo, ali so parametri omogočeni na ravni virtualizacije Sprememba naslova MAC и Kovani prenosi za sinhronizacijsko omrežje.
Posodobiti
Prek ssh se povežemo z aktivnim vozliščem in zaženemo ukaz za spremljanje statusa gruče: watch -n 2 cphaprob stat
Vrnitev na zavihek vozlišč v pripravljenosti WebUI CPUSE in za izbrani paket R80.20 Nova namestitev kosilo Verifikator.
Analizirajmo poročilo Verifierja. Če je namestitev dovoljena, nadaljujte.
Izberite paket R80.20 Nova namestitev in teči nadgradnja. Med postopkom nadgradnje se bo sistem znova zagnal. Nastavitve GAIA so shranjene. V času ponovnega zagona spremljamo stanje gruče. Po nalaganju se mora stanje posodobljenega vozlišča spremeniti v PRIPRAVLJENO. V številnih primerih smo naleteli na trenutek, ko je vozlišče, ki še ni bilo posodobljeno, preklopilo v status Active Attention in prenehalo prikazovati stanje posodobljenega vozlišča. Naj vas ne skrbi – tudi ta možnost je sprejemljiva.
Ko je posodobitev končana, odprite SmartDashboard.
Odprite objekt gruče in spremenite različico gruče iz R77.30 v R80.20. Kliknite OK. Če se pri shranjevanju sprememb pojavi napaka: Prišlo je do notranje napake. (Koda: 0x8003001D, Ni bilo mogoče dostopati do datoteke za operacijo pisanja),
slediti SK119973. Po tem shranite spremembe in kliknite Namestitev pravilnika.
V nastavitvah počistite možnost Za gruče prehodov: če namestitev na člana gruče ne uspe, ne namestite v to gručo.
Mi določamo politiko. Sistem bo ustvaril napako za aktivno vozlišče, ki še ni bilo posodobljeno.
Na posodobljeno vozlišče se povežemo prek ssh in zaženemo ukaz za spremljanje stanja gruče: watch -n 2 cphaprob stat
Povežite se z vozliščem WebUI Active in pojdite na zavihek CPUSE → Pokaži vse pakete.Iskanje posodobitvenega paketa za različico R80.20 Nova namestitev, kliknite Prenesti.
Za vključena vozlišča v vašem nadzornem sistemu namestimo izpade.
Vrnite se na zavihek Aktivna vozlišča WebUI CPUSE in za izbrani paket R80.20 Nova namestitev kosilo Verifikator.
Analizirajmo poročilo Verifierja. Če je namestitev dovoljena, nadaljujte.
Izberite paket R80.20 Nova namestitev in teči Nadgraditi. Med postopkom nadgradnje se bo sistem znova zagnal. Nastavitve GAIA so shranjene. Ob ponovnem zagonu spremljamo stanje gruče na že posodobljenem vozlišču. Po ponovnem zagonu se bo stanje gruče na posodobljenem vozlišču spremenilo iz READY v ACTIVE.
Ko je postopek nadgradnje končan, zaženite SmartDashboard in nastavite pravilnik.
Kontrolni seznam po posodobitvi
Dnevniki dogodkov v SmartLog, stanje tunelov VPN.
Nastavitve GAIA.
Obnovitev gruče po preizkusnem samodejnem preklopu.
Licence in pogodbe. Če so licence prikazane nepravilno ali niso prikazane na SMS-u, zaženite ukaz. vsec_central_licence za distribucijo licenc.
CoreXL.
SecureXL.
Hitri popravek in CPinfo na dveh vozliščih.
Zaključek
Na splošno je to vse - posodobljeni ste.
Pri nas je celoten proces v povprečju trajal od 6 do 12 ur, odvisno od velikosti izvoženih podatkovnih baz. Delo je potekalo dve noči: ena za posodobitev SMS, druga za gručo.
Zastojev v prometu ni bilo, kljub temu, da smo vse omenjene napake preverili sami.
Seveda se včasih med postopkom posodabljanja lahko pojavijo popolnoma nove težave, vendar to je Check Point in kot vsi vemo, vedno obstaja hitri popravek!