ProHoster > Blog > administratë > Përditësimi i pikës së kontrollit nga R77.30 në 80.20

Përditësimi i pikës së kontrollit nga R77.30 në 80.20

Përditësimi i pikës së kontrollit nga R77.30 në 80.20

Në vjeshtën e vitit 2019, Check Point ndaloi mbështetjen e versioneve R77.XX dhe ishte e nevojshme të përditësohej. Tashmë është thënë shumë për ndryshimin midis versioneve, të mirat dhe të këqijat e kalimit në R80. Le të flasim për mënyrën e përditësimit të vërtetë të pajisjeve virtuale të Check Point (CloudGuard për VMware ESXi, Hyper-V, KVM Gateway NGTP) dhe çfarë mund të shkojë keq.

Pra, ne kishim 2 inxhinierë CCSE, më shumë se një duzinë grupimesh virtuale Check Point R77.30, disa re, disa rregullime të shpejta dhe një det të tërë me defekte të ndryshme, defekte dhe të gjitha këto, të të gjitha ngjyrave dhe madhësive, dhe gjithashtu afate shumë të ngushta. Shkojme!

PĂ«rmbajtja:

Trajnimi
Përditësimi i serverit të menaxhimit
Përditësimi i grupit

Përditësimi i pikës së kontrollit nga R77.30 në 80.20

Kështu duket infrastruktura tipike cloud e një klienti me Check Point virtuale

Trajnimi

Hapi i parë është të kontrolloni nëse ka burime të mjaftueshme për përditësimin. Kërkesat minimale të rekomanduara për R80.20 aktualisht duken kështu:

pajisje

CPU

RAM

HDD

Porta e Sigurisë

BĂ«rthama 2

4 Gb

Nga 15 GB

SMS

BĂ«rthama 2

6 Gb

-

Rekomandimet përshkruhen në dokument CP_R80.20_GA_Shënime_Release.

Por ne do të jemi realistë. Nëse kjo është e mjaftueshme në konfigurimin më minimal, atëherë, siç tregon praktika, zakonisht kemi të aktivizuar inspektimin https, funksionimin e SmartEvent në SMS, etj., gjë që, natyrisht, kërkon kapacitete krejtësisht të ndryshme. Por në përgjithësi, jo më shumë se për R77.30.

Por ka nuanca. Dhe ato lidhen, para sĂ« gjithash, me madhĂ«sinĂ« e kujtesĂ«s fizike. ShumĂ« operacione direkt gjatĂ« procesit tĂ« pĂ«rditĂ«simit do tĂ« kĂ«rkojnĂ« hapĂ«sirĂ« ​​nĂ« hard disk.

Për serverin e menaxhimit, madhësia e hapësirës së lirë të diskut do të varet shumë nga vëllimi i regjistrave aktualë (nëse duam t'i ruajmë) dhe nga numri i rishikimeve të ruajtura të bazës së të dhënave, megjithëse nuk do të na duhen më në sasi të mëdha. Natyrisht, për nyjet e grupimeve (nëse nuk ruani gjithashtu regjistrat në nivel lokal) e gjithë kjo nuk ka rëndësi. Ja se si të kontrolloni nëse keni hapësirën që ju nevojitet:

  1. Ne lidhemi me Serverin Smart Management përmes ssh, shkojmë në modalitetin e ekspertit dhe futim komandën:

    [Ekspert@cp-sms:0]# df -h

  2. Në dalje do të shohim diçka si ky konfigurim:

    Madhësia e sistemit të skedarit e përdorur Avail Use% Mounted on
    /dev/mapper/vg_splat-lv_current 30G 7.4G 21G 27% /
    /dev/sda1 289M 24M 251M 9% /boot
    tmpfs 2.0G 0 2.0G 0% /dev/shm
    /dev/mapper/vg_splat-lv_log 243G 177G 53G 78% /var/log

  3. Aktualisht jemi të interesuar për seksionin / var / log

Ju lutemi vini re se nĂ« varĂ«si tĂ« politikĂ«s pĂ«r ruajtjen dhe fshirjen e skedarĂ«ve tĂ« vjetĂ«r tĂ« regjistrit, si dhe nga madhĂ«sia e bazĂ«s sĂ« tĂ« dhĂ«nave tĂ« eksportuara, mund tĂ« nevojitet mĂ« shumĂ« hapĂ«sirĂ«. NĂ«se, kur krijoni njĂ« arkiv, ka mĂ« pak hapĂ«sirĂ« ​​tĂ« lirĂ« se sa specifikohet nĂ« politikĂ«n e ruajtjes sĂ« skedarĂ«ve tĂ« regjistrit, sistemi do tĂ« fillojĂ« tĂ« fshijĂ« regjistrat e vjetĂ«r dhe NUK do t'i pĂ«rfshijĂ« ato nĂ« arkiv.

Gjithashtu, pĂ«r vetĂ« procesin e pĂ«rditĂ«simit, sistemit do t'i nevojiten tĂ« paktĂ«n 13 GB hapĂ«sirĂ« ​​tĂ« pacaktuar nĂ« hard disk. Ju mund tĂ« kontrolloni praninĂ« e tij me komandĂ«n:

[Ekspert@cp-sms:0]# pv

Do të shohim diçka të tillë:

PV VG Fmt Attr PS Madhësia PFree
/dev/sda3 vg_splat lvm2 a- 141.69G 43.69G

Në këtë rast kemi 43 GB. Ka burime të mjaftueshme. Mund të filloni përditësimin.

Përditësimi i serverit të menaxhimit të SMS-ve të Check Point

Para fillimit të punës, duhet të bëni sa më poshtë:

  1. Instaloni paketën Migration Tools në serverin e menaxhimit. Për ta bërë këtë, duhet të shkarkoni imazhin nga portali Kontrollo Point.
  2. Ngarkoni arkivin në serverin e menaxhimit përmes WinSCP në dosje /var/log/UpgradeR77.30_R80.20 (nëse është e nevojshme, krijoni një dosje në fillim).
  3. Lidhuni me serverin e menaxhimit përmes SSH dhe shkoni te dosja me arkivin:cd /var/log/UpgradeR77.30_R80.20/
  4. Zhzip skedarin:tar -zxvf ./<emri i skedarit>.tgz
  5. Ne nisim mjetin pre_upgrade_verifier me komandën: ./pre_upgrade_verifier -p $FWDIR -c R77 -t R80.20
  6. Pas ekzekutimit tĂ« komandĂ«s, do tĂ« gjenerohet njĂ« raport mbi cilĂ«simet e papajtueshme. ËshtĂ« nĂ« dispozicion nĂ«: /opt/CPsuite-R77/fw1/log/pre_upgrade_verification_report.(xls, html, txt). ËshtĂ« mĂ« i pĂ«rshtatshĂ«m ta ngarkoni atĂ« pĂ«rmes SCP dhe ta shikoni atĂ« pĂ«rmes njĂ« shfletuesi.
    Për të zgjidhur çdo cilësim të papajtueshëm, përdorni SK117237.
  7. Më pas ridrejtoni programin pre_upgrade_verifier për t'u siguruar që të gjitha shkaqet e papajtueshmërisë janë eliminuar.
  8. Më pas, ne mbledhim informacion në lidhje me ndërfaqet e rrjetit, tabelën e rrugëtimit dhe ngarkojmë konfigurimin GAIA:
    ip a > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
    ip r > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
    kliko -c "shfaq konfigurimin" > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
  9. Ngarkoni skedarin që rezulton përmes SCP.
  10. Ne bëjmë një fotografi në nivelin e virtualizimit.
  11. E rrisim kohĂ«n e seancĂ«s SSH nĂ« 8 orĂ«. Varet nga fati juaj: nĂ« varĂ«si tĂ« madhĂ«sisĂ« sĂ« bazĂ«s sĂ« tĂ« dhĂ«nave tĂ« eksportuara, mund tĂ« zgjasĂ« nga disa minuta nĂ« disa orĂ«. PĂ«r kĂ«tĂ«: 
    [Expert@HostName]# clish -c "shfaq inactivity-timeout" shikoni përplasjen aktuale të afatit,

    [Expert@HostName]# clish -c "cakto inactivity-timeout 720" specifikoni ndërprerjen e re të kohës (në minuta),

    [Expert@HostName]# jehonë $TMOUT shikoni modalitetin aktual të ekspertit të skadimit,

    [Expert@HostName]# eksporto TMOUT=3600 specifikoni modalitetin e ri të ekspertit të skadimit (në sekonda), nëse e vendosni vlerën në 0, atëherë afati do të çaktivizohet.

  12. Ne shkarkojmë dhe montojmë imazhin e instalimit SMS.iso në makinën virtuale.

    PĂ«rpara hapit tjetĂ«r, SIGURUAR qĂ« tĂ« kontrolloni dy herĂ« nĂ«se keni hapĂ«sirĂ« ​​tĂ« mjaftueshme tĂ« pashpĂ«rndarĂ« nĂ« hard diskun tuaj (mos harroni, ju nevojiten 13 GB). 

  13. Para se të filloni të eksportoni konfigurimin, ndryshoni skedarin e regjistrit me komandën: ndërprerës fw

Eksporto konfigurimin dhe regjistrat

  1. Ekzekutoni programin migrate_export për të shkarkuar konfigurimin. Për ta bërë këtë, shkoni te dosja e krijuar më parë: cd /var/log/UpgradeR77.30_R80.20/ dhe përdorni komandën: ./migrate eksport -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

    ose

    shkoni te dosja: cd $FWDIR/bin/upgrade_tools/ Đž
    ekzekutoni komandën nga atje: ./migrate eksport -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

  2. Ne heqim kontrollin nga arkivi: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz
  3. Ruajeni vlerën që rezulton në bllokun e shënimeve.
  4. Ne lidhemi me SMS përmes SCP dhe ngarkojmë arkivin me konfigurimin në stacionin e punës. Sigurohuni që të përdorni transferimin e skedarëve në formatin Binar.

Eksporto bazën e të dhënave SmartEvent

KĂ«tu na duhet versioni i para-instaluar i SMS-ve R80. Çdo test do tĂ« bĂ«jĂ«. 

  1. Nga SMS na duhet një skript i vendosur këtu:$RTDIR/bin/eva_db_backup.csh
  2. Ngarkoni skriptin përmes SCP eva_db_backup.csh në dosje: /var/log/UpgradeR77.30_R80.20/
  3. Lidhuni përmes SSH me SMS. Kopjo skedarin në dosje: cp /var/log/UpgradeR77.30_R80.20/eva_db_backup.csh
    $RTDIR/bin/eva_db_backup.csh
  4. Ndryshimi i kodimit: dos2unix $RTDIR/bin/eva_db_backup.csh
  5. Shtimi i pronarit: chown -v admin:root $RTDIR/bin/eva_db_backup.csh
  6. Shtoni të drejtat: chmod -v 0755 $RTDIR/bin/eva_db_backup.csh
  7. Le të fillojmë eksportimin e bazës së të dhënave SmartEvent: $RTDIR/bin/eva_db_backup.csh
  8. Ngarkoni skedarët e marrë përmes SCP: $RTDIR/bin/<date>-db-backup.backup О $RTDIR/bin/eventiaUpgrade.tar në stacionin e punës.

Update

  1. Shkoni nĂ« WebUI GAIA SMS → CPUSE → Shfaq tĂ« gjitha paketat.
  2. Nëse CPUSE jep një gabim në lidhjen me renë e pikës së kontrollit, kontrolloni cilësimet e DGW, DNS dhe Proxy.
  3. Nëse gjithçka është e saktë dhe gabimi nuk zhduket, atëherë duhet të përditësoni CPUSE manualisht, të udhëhequr nga sk92449.
  4. Shkarkoni imazhin dhe kaloni Verifikues. Nëse është e nevojshme, ne eliminojmë mospërputhjet.

    Si rezultat, duhet të shihni këtë mesazh:

    Përditësimi i pikës së kontrollit nga R77.30 në 80.20

  5. zgjedh R80.20 Instalim dhe përditësim i ri për menaxhimin e sigurisë.
  6. Kur instaloni përditësimin, zgjidhni Clean Install. Pas instalimit, sistemi do të rindizet.
  7. Kalojmë për herë të parë Wizard.
  8. Pasi të kemi akses, ne kontrollojmë llogaritë.
  9. Ne lidhemi me SMS përmes SSH dhe ndryshojmë guaskën e përdoruesit tonë në /bin/bash/:

    vendos përdoruesin <username> shell /bin/bash/

    ruaj konfigurimin (në rast se duam ta lëmë bin/bash/ si predhë të paracaktuar pas rindezjes).

  10. Tjetra, ne lidhemi me SMS përmes SCP dhe transferojmë arkivin me konfigurimin në modalitetin Binary SMS_w_logs_export_r77_r80.tgz në dosje /var/log/UpgradeR77.30_R80.20/
  11. Ne heqim kontrollin nga arkivi: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz dhe krahasoni me vlerën e mëparshme. Shuma e kontrollit duhet të përputhet.
  12. E rrisim kohën e seancës SSH në 8 orë. Për këtë:

    [Expert@HostName]# clish -c "shfaq inactivity-timeout" shikoni përplasjen aktuale të afatit,

    [Expert@HostName]# clish -c "cakto inactivity-timeout 720" specifikoni ndërprerjen e re të kohës (në minuta),

    [Expert@HostName]# jehonĂ« $TMOUT shikoni modalitetin aktual tĂ« ekspertit tĂ« skadimit,

    [Expert@HostName]# eksporto TMOUT=3600 specifikoni modalitetin e ri të ekspertit (në sekonda). Nëse e vendosni vlerën në 0, atëherë afati do të çaktivizohet.

  13. Për të importuar cilësimet, ekzekutoni programin e migrimit të importit. Për ta bërë këtë, shkoni te dosja: cd $FWDIR/bin/upgrade_tools/dhe ekzekutoni importin: ./migrate imp
    ort -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

Le tĂ« shijojmĂ« jetĂ«n pĂ«r dy orĂ«t e ardhshme. MOS SHKYQNI SESIONIN TUAJ SSH gjatĂ« procedurĂ«s. NĂ« fund, procesi i migrimit ose do tĂ« shfaqĂ« njĂ« mesazh suksesi ose njĂ« gabim. 

Lista e kontrollit pas përditësimit

  1. Disponueshmëria e burimeve.
  2. SIC me GW.
  3. Licencat. Nëse licencat shfaqen gabimisht ose nuk shfaqen në SMS, ekzekutoni komandën vsec_central_licence për shpërndarjen e licencës.
  4. Vendosja e politikĂ«s. 

Importimi i bazës së të dhënave SmartEvent

  1. Aktivizoni tehun SmartEvent.
  2. Ne lidhemi përmes WinSCP me SMS dhe transferojmë skedarët e shkarkuar më parë në modalitetin binar <date>-db-backup.backup О eventiaPërmirëso.tar në dosje /var/log/UpgradeR77.30_R80.20/
  3. Ne ekzekutojmë skriptin me komandën: $RTDIR/bin/eventiaUpgrade.sh -përmirëso /var/log/UpgradeR77.30_R80.20/eventiaUpgrade.tar
  4. Kontrollimi i statusit: shiko -n 10 eventiaUpgrade.sh
  5. Kontrollimi i regjistrave nĂ« SmartEvent. ËNDËRr!

Përditësimi i grupit Check Point GW (Aktiv/Rezervë)

Para fillimit të punës

  1. Ne ruajmë konfigurimin GAIA nga çdo nyje grupi në një skedar, për ta bërë këtë përdorni komandën: kliko -c "shfaq konfigurimin" > ./<Emri i skedarit>.txt
  2. Ngarkimi i skedarëve duke përdorur WinSCP.
  3. Lidhu me WebUI tĂ« tĂ« dy nyjeve dhe shko te skeda CPUSE → Shfaq tĂ« gjitha paketat.
  4. Gjetja e paketës së përditësimit për versionin R80.20 Instalim i ri, shtypni Shkarko.
  5. Ne kontrollojmë që protokolli CCP po funksionon në modalitet Transmetimi, për ta bërë këtë, futni komandën: cphaprob -a nëse
    Nëse zgjidhet modaliteti multicast, zëvendësojeni me komandën: transmetim cphaconf set_ccp (komandimi ekzekutohet në secilën nyje).
  6. Ne instalojmë Jountime për nyjet e përfshira në sistemin tuaj të monitorimit.
  7. Ne kontrollojmë që parametrat të jenë aktivizuar në nivelin e virtualizimit Ndryshimi i adresës MAC О Transmetimet e falsifikuara për një rrjet sinkronizimi.

Update

  1. Ne lidhemi nëpërmjet ssh me nyjen Active dhe ekzekutojmë komandën për të monitoruar gjendjen e grupit: orë -n 2 cphaprob stat
  2. Kthehu te skeda e nyjeve të gatishmërisë WebUI CPUSE dhe për paketën e përzgjedhur R80.20 Instalim i ri Nisja Verifikues.
  3. Le të analizojmë raportin e Verifikuesit. Nëse instalimi lejohet, vazhdoni.
  4. Zgjidhni një paketë R80.20 Instalim i ri dhe vraponi upgrade. Gjatë procesit të përmirësimit, sistemi do të rindizet. Cilësimet GAIA janë ruajtur. Në kohën e rindezjes, ne monitorojmë gjendjen e grupit. Pas ngarkimit, statusi i nyjës së përditësuar duhet të ndryshojë në GATI. Në një numër rastesh, kemi hasur në një moment kur një nyje që ende nuk ishte përditësuar kaloi në statusin e vëmendjes aktive dhe ndaloi shfaqjen e statusit të nyjes së përditësuar. Mos u shqetësoni - ky opsion është gjithashtu i pranueshëm.
  5. Pasi të përfundojë përditësimi, hapeni Tabela inteligjente.
  6. Hapni objektin e grupit dhe ndryshoni versionin e grupit nga R77.30 në R80.20. Klikoni OK. Nëse shfaqet një gabim gjatë ndryshimeve të ruajtjes:
    Ka ndodhur një gabim i brendshëm. (Kodi: 0x8003001D, Nuk mund të qasja në skedar për funksionimin e shkrimit),
    ndjekin SK119973. Pas kësaj, ruani ndryshimet dhe klikoni Instaloni Politikën.
  7. Në cilësimet, zgjidhni opsionin Për grupimet e portës, nëse instalimi në një anëtar grupi dështon, mos e instaloni në atë grup.
  8. Ne vendosëm politikën. Sistemi do të gjenerojë një gabim për një nyje aktive që nuk është përditësuar ende.
  9. Ne lidhemi me nyjen e përditësuar përmes ssh dhe ekzekutojmë komandën për të monitoruar gjendjen e grupit: orë -n 2 cphaprob stat
  10. Lidhu me nyjen WebUI Active dhe shko te skeda CPUSE → Shfaq tĂ« gjitha paketat.Gjetja e paketĂ«s sĂ« pĂ«rditĂ«simit pĂ«r versionin R80.20 Instalim i ri, shtypni Shkarko.
  11. Ne instalojmë Jountime për nyjet e përfshira në sistemin tuaj të monitorimit.
  12. Kthehuni te skeda WebUI Active Nodes CPUSE dhe për paketën e përzgjedhur R80.20 Instalim i ri Nisja Verifikues.
  13. Le të analizojmë raportin e Verifikuesit. Nëse instalimi lejohet, vazhdoni.
  14. Zgjidhni një paketë R80.20 Instalim i ri dhe vraponi Upgrade. Gjatë procesit të përmirësimit, sistemi do të rindizet. Cilësimet GAIA janë ruajtur. Në kohën e rindezjes, ne monitorojmë gjendjen e grupit në nyjen tashmë të përditësuar. Pas rindezjes, gjendja e grupit në nyjen e përditësuar do të ndryshojë nga GATI në AKTIVE.
  15. Kur të përfundojë procesi i Përmirësimit, hapni SmartDashboard dhe vendosni politikën.

Lista e kontrollit pas përditësimit

  • Regjistrimet e ngjarjeve nĂ« SmartLog, statusi i tuneleve VPN.
  • CilĂ«simet e GAIA.
  • Rivendosja e njĂ« grupi pas njĂ« dĂ«shtimi provĂ«.
  • Licencat dhe kontratat. NĂ«se licencat shfaqen gabimisht ose nuk shfaqen nĂ« SMS, ekzekutoni komandĂ«n. vsec_central_licence pĂ«r shpĂ«rndarjen e licencĂ«s.
  • CoreXL.
  • SecureXL.
  • Hotfix dhe CPinfo nĂ« dy nyje.

PĂ«rfundim

Në përgjithësi, kjo është e gjitha në këtë pikë - ju jeni përditësuar.

Për ne, i gjithë procesi zgjati mesatarisht nga 6 deri në 12 orë, në varësi të madhësisë së bazave të të dhënave të eksportuara. Puna u krye gjatë dy netëve: njëra për përditësimin e SMS-ve, e dyta për grupin.

Nuk kishte ndërprerje të trafikut, pavarësisht se ne i kontrolluam vetë të gjitha gabimet e lartpërmendura.

Sigurisht, ndonjëherë mund të lindin vështirësi krejtësisht të reja gjatë procesit të përditësimit, por kjo është Check Point, dhe siç e dimë të gjithë, ka gjithmonë një rregullim të drejtpërdrejtë!

Gëzuar netët e zeza dhe rozë dhe përditësimet!

Burimi: www.habr.com

Bleni njĂ« host tĂ« besueshĂ«m pĂ«r faqet me mbrojtje DDoS, serverĂ« VPS VDS đŸ”„ Bleni hosting tĂ« besueshĂ«m tĂ« faqeve tĂ« internetit me mbrojtje DDoS, servera VPS VDS | ProHoster