Posodobitev Check Pointa iz R77.30 na 80.20

Jeseni 2019 je Check Point prenehal podpirati različice R77.XX, zato je bila potrebna posodobitev. O razliki med različicami, prednostih in slabostih prehoda na R80 je bilo že veliko povedanega. Pogovorimo se o tem, kako dejansko posodobiti virtualne naprave Check Point (CloudGuard za VMware ESXi, Hyper-V, KVM Gateway NGTP) in kaj gre lahko narobe.

Imeli smo torej 2 inženirja CCSE, več kot ducat virtualnih gruč Check Point R77.30, več oblakov, nekaj hitrih popravkov in celo morje raznih hroščev, napak in vsega tega, vseh barv in velikosti, in tudi zelo kratki roki. Pojdimo!

Vsebina:

Izobraževanje
Posodabljanje strežnika za upravljanje
Posodabljanje gruče

Tako je videti tipična odjemalčeva infrastruktura v oblaku z virtualno Check Point

Izobraževanje

Prvi korak je preveriti, ali je dovolj virov za posodobitev. Priporočene minimalne zahteve za R80.20 trenutno izgledajo takole:

Device

CPU

RAM

HDD

Varnostni prehod

2 jedro

4 Gb

Od 15 GB

SMS

2 jedro

6 Gb

-

Priporočila so opisana v dokumentu CP_R80.20_GA_Opombe_izdaje.

Bomo pa realni. Če je to dovolj v najbolj minimalni konfiguraciji, potem imamo, kot kaže praksa, običajno omogočen pregled https, SmartEvent, ki teče na SMS itd., Kar seveda zahteva popolnoma druge zmogljivosti. Toda na splošno ne več kot za 77.30 R.

Vendar obstajajo nianse. In nanašajo se predvsem na velikost fizičnega pomnilnika. Številne operacije neposredno med postopkom posodabljanja bodo zahtevale prostor na trdem disku.

Pri upravljalnem strežniku bo velikost prostega diskovnega prostora zelo odvisna od količine trenutnih dnevnikov (če jih želimo shraniti) in od števila shranjenih revizij baze podatkov, čeprav jih v velikih količinah ne bomo več potrebovali. Seveda za vozlišča gruče (razen če tudi dnevnike shranjujete lokalno) vse to ni pomembno. Tukaj je opisano, kako preverite, ali imate dovolj prostora:

1. S strežnikom Smart Management Server se povežemo prek ssh, gremo v strokovni način in vnesemo ukaz:

   [Strokovnjak@cp-sms:0]# df -h

2. Na izhodu bomo videli nekaj podobnega tej konfiguraciji:

   Uporabljena velikost datotečnega sistema Razpoložljiva uporaba % Nameščeno
   /dev/mapper/vg_splat-lv_current 30G 7.4G 21G 27% /
   /dev/sda1 289M 24M 251M 9% /boot
   tmpfs 2.0G 0 2.0G 0% /dev/shm
   /dev/mapper/vg_splat-lv_log 243G 177G 53G 78% /var/log

3. Trenutno nas zanima rubrika / var / log

Upoštevajte, da bo morda potrebno več prostora, odvisno od pravilnika za shranjevanje in brisanje starih dnevniških datotek ter velikosti izvožene zbirke podatkov. Če je pri ustvarjanju arhiva manj prostega prostora, kot je navedeno v politiki shranjevanja dnevniške datoteke, bo sistem začel brisati stare dnevnike in jih NE bo vključil v arhiv.

Tudi za sam postopek posodabljanja bo sistem potreboval vsaj 13 GB nedodeljenega prostora na trdem disku. Njegovo prisotnost lahko preverite z ukazom:

[Expert@cp-sms:0]# pvs

Videli bomo nekaj takega:

PV VG Fmt Attr PSize PFree
/dev/sda3 vg_splat lvm2 a- 141.69G 43.69G

V tem primeru imamo 43 GB. Sredstev je dovolj. Lahko začnete posodabljati.

Posodabljanje strežnika za upravljanje SMS Check Point

Pred začetkom dela morate narediti naslednje:

1. Namestite paket orodij za selitev na strežnik za upravljanje. Če želite to narediti, morate prenesti sliko s portala Check Point.
2. Prek WinSCP v mapo naložite arhiv na strežnik za upravljanje /var/log/UpgradeR77.30_R80.20 (če je potrebno, najprej ustvarite mapo).
3. Povežite se s strežnikom za upravljanje prek SSH in pojdite v mapo z arhivom:cd /var/log/UpgradeR77.30_R80.20/
4. Razpakirajte datoteko:tar -zxvf ./<ime datoteke>.tgz
5. Pripomoček pre_upgrade_verifier zaženemo z ukazom: ./pre_upgrade_verifier -p $FWDIR -c R77 -t R80.20
6. Po izvedbi ukaza se ustvari poročilo o nezdružljivih nastavitvah. Na voljo je na: /opt/CPsuite-R77/fw1/log/pre_upgrade_verification_report.(xls, html, txt). Bolj priročno ga je naložiti prek SCP in si ga ogledati prek brskalnika.
   Če želite odpraviti morebitne nezdružljive nastavitve, uporabite SK117237.
7. Nato znova zaženite pripomoček pre_upgrade_verifier, da se prepričate, da so odpravljeni vsi vzroki nezdružljivosti.
8. Nato zberemo informacije o omrežnih vmesnikih, usmerjevalni tabeli in naložimo konfiguracijo GAIA:
   ip a > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
   ip r > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
   clish -c "prikaži konfiguracijo" > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
9. Prenesite nastalo datoteko prek SCP.
10. Posnamemo posnetek na ravni virtualizacije.
11. Časovno omejitev seje SSH povečamo na 8 ur. Odvisno od vaše sreče: odvisno od velikosti izvožene baze podatkov lahko traja od nekaj minut do nekaj ur. Za to: 
    [Expert@HostName]# clish -c "prikaži časovno omejitev nedejavnosti" poglejte trenutno časovno omejitev,

    [Expert@HostName]# clish -c "set inactivity-timeout 720" določite novo časovno omejitev (v minutah),

    [Expert@HostName]# echo $TMOUT poglejte trenutni strokovni način časovne omejitve,

    [Expert@HostName]# izvoz TMOUT=3600 določite nov strokovni način časovne omejitve (v sekundah), če nastavite vrednost na 0, bo časovna omejitev onemogočena.

12. Prenesemo in priklopimo namestitveno sliko SMS.iso na virtualni stroj.

    Pred naslednjim korakom OBVEZNO še enkrat preverite, ali imate na trdem disku dovolj nedodeljenega prostora (ne pozabite, potrebujete 13 GB). 

13. Preden začnete izvažati konfiguracijo, spremenite dnevniško datoteko z ukazom: fw logswitch

Izvoz konfiguracije in dnevnikov

1. Zaženite pripomoček migrate_export, da prenesete konfiguracijo. Če želite to narediti, pojdite v predhodno ustvarjeno mapo: cd /var/log/UpgradeR77.30_R80.20/ in uporabite ukaz: ./migrate export -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

   ali

   pojdi v mapo: cd $FWDIR/bin/upgrade_tools/ и
   od tam zaženite ukaz: ./migrate export -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

2. Iz arhiva odstranimo kontrolno vsoto: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz
3. Dobljeno vrednost shranite v beležnico.
4. Na SMS se povežemo preko SCP in naložimo arhiv s konfiguracijo na delovno postajo. Prepričajte se, da uporabljate prenos datotek v binarni obliki.

Izvoz baze podatkov SmartEvent

Tukaj potrebujemo vnaprej nameščeno različico SMS R80. Vsak test bo zadostoval. 

1. Iz SMS-a potrebujemo skript, ki se nahaja tukaj:$RTDIR/bin/eva_db_backup.csh
2. Naložite skript prek SCP eva_db_backup.csh v mapo: /var/log/UpgradeR77.30_R80.20/
3. Povežite se prek SSH na SMS. Kopiraj datoteko v mapo: cp /var/log/UpgradeR77.30_R80.20/eva_db_backup.csh
   $RTDIR/bin/eva_db_backup.csh
4. Spreminjanje kodiranja: dos2unix $RTDIR/bin/eva_db_backup.csh
5. Dodajanje lastnika: chown -v admin:root $RTDIR/bin/eva_db_backup.csh
6. Dodajanje pravic: chmod -v 0755 $RTDIR/bin/eva_db_backup.csh
7. Začnemo z izvozom podatkovne baze SmartEvent: $RTDIR/bin/eva_db_backup.csh
8. Prejete datoteke naložite prek SCP: $RTDIR/bin/<datum>-db-backup.backup и $RTDIR/bin/eventiaUpgrade.tar na delovno postajo.

Posodobiti

1. Pojdi do WebUI GAIA SMS → CPUSE → Pokaži vse pakete.
2. Če CPUSE povzroči napako pri povezovanju z oblakom Check Point, preverite nastavitve DGW, DNS in proxy.
3. Če je vse pravilno in napaka ne izgine, morate CPUSE posodobiti ročno, vodeno z sk92449.
4. Prenesite sliko in pojdite skozi Verifikator. Po potrebi odpravimo neskladja.

   Posledično bi morali videti to sporočilo:

   

5. Izberite R80.20 Nova namestitev in nadgradnja za upravljanje varnosti.
6. Ko nameščate posodobitev, izberite Čista namestitev. Po namestitvi se bo sistem znova zagnal.
7. Mimo Prvič Čarovnik.
8. Po pridobitvi dostopa preverimo račune.
9. Na SMS se povežemo prek SSH in uporabniško lupino spremenimo v /bin/bash/:

   nastavite uporabniško <uporabniško ime> lupino /bin/bash/

   shrani konfiguracijo (v primeru, da želimo pustiti bin/bash/ kot privzeto lupino po ponovnem zagonu).

10. Nato se povežemo s SMS prek SCP in prenesemo arhiv s konfiguracijo v binarnem načinu SMS_w_logs_export_r77_r80.tgz v mapo /var/log/UpgradeR77.30_R80.20/
    
11. Iz arhiva odstranimo kontrolno vsoto: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz in primerjajte s prejšnjo vrednostjo. Kontrolna vsota se mora ujemati.
12. Časovno omejitev seje SSH povečamo na 8 ur. Za to:

    [Expert@HostName]# clish -c "prikaži časovno omejitev nedejavnosti" poglejte trenutno časovno omejitev,

    [Expert@HostName]# clish -c "set inactivity-timeout 720" določite novo časovno omejitev (v minutah),

    [Expert@HostName]# echo $TMOUT poglejte trenutni strokovni način časovne omejitve,

    [Expert@HostName]# izvoz TMOUT=3600 določite nov strokovni način časovne omejitve (v sekundah). Če nastavite vrednost na 0, bo časovna omejitev onemogočena.

13. Za uvoz nastavitev zaženite pripomoček za selitev uvoza. Če želite to narediti, pojdite v mapo: cd $FWDIR/bin/upgrade_tools/in zaženite uvoz: ./migrate imp
    ort -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

Uživajmo življenje naslednjih nekaj ur. Med postopkom NE PREKINITE SEJE SSH. Na koncu bo postopek selitve prikazal sporočilo o uspehu ali napako. 

Kontrolni seznam po posodobitvi

1. Razpoložljivost virov.
2. SIC z GW.
3. Licence. Če so licence prikazane nepravilno ali niso prikazane na SMS-u, zaženite ukaz vsec_centralna_licenca za distribucijo licenc.
4. Nastavitev pravilnika. 

Uvoz baze podatkov SmartEvent

1. Aktivirajte rezilo SmartEvent.
2. Preko WinSCP se povežemo s SMS-om in prenesemo predhodno prenesene datoteke v binarnem načinu <datum>-db-backup.backup и eventiaUpgrade.tar v mapo /var/log/UpgradeR77.30_R80.20/
3. Skript zaženemo z ukazom: $RTDIR/bin/eventiaUpgrade.sh -upgrade /var/log/UpgradeR77.30_R80.20/eventiaUpgrade.tar
4. Preverjanje stanja: watch -n 10 eventiaUpgrade.sh
5. Preverjanje dnevnikov v SmartEvent. SANJE!

Posodabljanje gruče Check Point GW (aktivno/varnostno)

Pred začetkom dela

1. Konfiguracijo GAIA iz vsakega vozlišča gruče shranimo v datoteko, za to uporabite ukaz: clish -c "prikaži konfiguracijo" > ./<ime datoteke>.txt
2. Nalaganje datotek z uporabo WinSCP.
3. Povežite se s spletnim uporabniškim vmesnikom obeh vozlišč in pojdite na zavihek CPUSE → Pokaži vse pakete.
4. Iskanje posodobitvenega paketa za različico R80.20 Nova namestitev, pritisnite Prenesti.
5. Preverimo, ali protokol CCP deluje v načinu Oddaja, če želite to narediti, vnesite ukaz: cphaprob -a če
   Če je izbran način Multicast, ga nadomestite z ukazom: oddajanje cphaconf set_ccp (ukaz se izvede na vsakem vozlišču).
6. Za vključena vozlišča v vašem nadzornem sistemu namestimo izpade.
7. Preverimo, ali so parametri omogočeni na ravni virtualizacije Sprememba naslova MAC и Kovani prenosi za sinhronizacijsko omrežje.

Posodobiti

1. Prek ssh se povežemo z aktivnim vozliščem in zaženemo ukaz za spremljanje statusa gruče: watch -n 2 cphaprob stat
2. Vrnitev na zavihek vozlišč v pripravljenosti WebUI CPUSE in za izbrani paket R80.20 Nova namestitev kosilo Verifikator.
3. Analizirajmo poročilo Verifierja. Če je namestitev dovoljena, nadaljujte.
4. Izberite paket R80.20 Nova namestitev in teči nadgradnja. Med postopkom nadgradnje se bo sistem znova zagnal. Nastavitve GAIA so shranjene. V času ponovnega zagona spremljamo stanje gruče. Po nalaganju se mora stanje posodobljenega vozlišča spremeniti v PRIPRAVLJENO. V številnih primerih smo naleteli na trenutek, ko je vozlišče, ki še ni bilo posodobljeno, preklopilo v status Active Attention in prenehalo prikazovati stanje posodobljenega vozlišča. Naj vas ne skrbi – tudi ta možnost je sprejemljiva.
5. Ko je posodobitev končana, odprite SmartDashboard.
6. Odprite objekt gruče in spremenite različico gruče iz R77.30 v R80.20. Kliknite OK. Če se pri shranjevanju sprememb pojavi napaka:
   Prišlo je do notranje napake. (Koda: 0x8003001D, Ni bilo mogoče dostopati do datoteke za operacijo pisanja),
   slediti SK119973. Po tem shranite spremembe in kliknite Namestitev pravilnika.
7. V nastavitvah počistite možnost Za gruče prehodov: če namestitev na člana gruče ne uspe, ne namestite v to gručo.
8. Mi določamo politiko. Sistem bo ustvaril napako za aktivno vozlišče, ki še ni bilo posodobljeno.
9. Na posodobljeno vozlišče se povežemo prek ssh in zaženemo ukaz za spremljanje stanja gruče: watch -n 2 cphaprob stat
10. Povežite se z vozliščem WebUI Active in pojdite na zavihek CPUSE → Pokaži vse pakete.Iskanje posodobitvenega paketa za različico R80.20 Nova namestitev, kliknite Prenesti.
11. Za vključena vozlišča v vašem nadzornem sistemu namestimo izpade.
12. Vrnite se na zavihek Aktivna vozlišča WebUI CPUSE in za izbrani paket R80.20 Nova namestitev kosilo Verifikator.
13. Analizirajmo poročilo Verifierja. Če je namestitev dovoljena, nadaljujte.
14. Izberite paket R80.20 Nova namestitev in teči Nadgraditi. Med postopkom nadgradnje se bo sistem znova zagnal. Nastavitve GAIA so shranjene. Ob ponovnem zagonu spremljamo stanje gruče na že posodobljenem vozlišču. Po ponovnem zagonu se bo stanje gruče na posodobljenem vozlišču spremenilo iz READY v ACTIVE.
15. Ko je postopek nadgradnje končan, zaženite SmartDashboard in nastavite pravilnik.

Kontrolni seznam po posodobitvi

• Dnevniki dogodkov v SmartLog, stanje tunelov VPN.
• Nastavitve GAIA.
• Obnovitev gruče po preizkusnem samodejnem preklopu.
• Licence in pogodbe. Če so licence prikazane nepravilno ali niso prikazane na SMS-u, zaženite ukaz. vsec_central_licence za distribucijo licenc.
• CoreXL.
• SecureXL.
• Hitri popravek in CPinfo na dveh vozliščih.

Zaključek

Na splošno je to vse - posodobljeni ste.

Pri nas je celoten proces v povprečju trajal od 6 do 12 ur, odvisno od velikosti izvoženih podatkovnih baz. Delo je potekalo dve noči: ena za posodobitev SMS, druga za gručo.

Zastojev v prometu ni bilo, kljub temu, da smo vse omenjene napake preverili sami.

Seveda se včasih med postopkom posodabljanja lahko pojavijo popolnoma nove težave, vendar to je Check Point in kot vsi vemo, vedno obstaja hitri popravek!

Vesele črno-rožnate noči in posodobitve!

Vir: www.habr.com