ProHoster > Blog > administratë > Përditësimi i pikës së kontrollit nga R77.30 në 80.20

Përditësimi i pikës së kontrollit nga R77.30 në 80.20

Përditësimi i pikës së kontrollit nga R77.30 në 80.20

Në vjeshtën e vitit 2019, Check Point ndaloi mbështetjen e versioneve R77.XX dhe ishte e nevojshme të përditësohej. Tashmë është thënë shumë për ndryshimin midis versioneve, të mirat dhe të këqijat e kalimit në R80. Le të flasim për mënyrën e përditësimit të vërtetë të pajisjeve virtuale të Check Point (CloudGuard për VMware ESXi, Hyper-V, KVM Gateway NGTP) dhe çfarë mund të shkojë keq.

Pra, ne kishim 2 inxhinierë CCSE, më shumë se një duzinë grupimesh virtuale Check Point R77.30, disa re, disa rregullime të shpejta dhe një det të tërë me defekte të ndryshme, defekte dhe të gjitha këto, të të gjitha ngjyrave dhe madhësive, dhe gjithashtu afate shumë të ngushta. Shkojme!

Përmbajtja:

Trajnimi
Përditësimi i serverit të menaxhimit
Përditësimi i grupit

Përditësimi i pikës së kontrollit nga R77.30 në 80.20

Kështu duket infrastruktura tipike cloud e një klienti me Check Point virtuale

Trajnimi

Hapi i parë është të kontrolloni nëse ka burime të mjaftueshme për përditësimin. Kërkesat minimale të rekomanduara për R80.20 aktualisht duken kështu:

pajisje

CPU

RAM

HDD

Porta e Sigurisë

Bërthama 2

4 Gb

Nga 15 GB

SMS

Bërthama 2

6 Gb

-

Rekomandimet përshkruhen në dokument CP_R80.20_GA_Shënime_Release.

Por ne do të jemi realistë. Nëse kjo është e mjaftueshme në konfigurimin më minimal, atëherë, siç tregon praktika, zakonisht kemi të aktivizuar inspektimin https, funksionimin e SmartEvent në SMS, etj., gjë që, natyrisht, kërkon kapacitete krejtësisht të ndryshme. Por në përgjithësi, jo më shumë se për R77.30.

Por ka nuanca. Dhe ato lidhen, para së gjithash, me madhësinë e kujtesës fizike. Shumë operacione direkt gjatë procesit të përditësimit do të kërkojnë hapësirë ​​në hard disk.

Për serverin e menaxhimit, madhësia e hapësirës së lirë të diskut do të varet shumë nga vëllimi i regjistrave aktualë (nëse duam t'i ruajmë) dhe nga numri i rishikimeve të ruajtura të bazës së të dhënave, megjithëse nuk do të na duhen më në sasi të mëdha. Natyrisht, për nyjet e grupimeve (nëse nuk ruani gjithashtu regjistrat në nivel lokal) e gjithë kjo nuk ka rëndësi. Ja se si të kontrolloni nëse keni hapësirën që ju nevojitet:

  1. Ne lidhemi me Serverin Smart Management përmes ssh, shkojmë në modalitetin e ekspertit dhe futim komandën:

    [Ekspert@cp-sms:0]# df -h

  2. Në dalje do të shohim diçka si ky konfigurim:

    Madhësia e sistemit të skedarit e përdorur Avail Use% Mounted on
    /dev/mapper/vg_splat-lv_current 30G 7.4G 21G 27% /
    /dev/sda1 289M 24M 251M 9% /boot
    tmpfs 2.0G 0 2.0G 0% /dev/shm
    /dev/mapper/vg_splat-lv_log 243G 177G 53G 78% /var/log

  3. Aktualisht jemi të interesuar për seksionin / var / log

Ju lutemi vini re se në varësi të politikës për ruajtjen dhe fshirjen e skedarëve të vjetër të regjistrit, si dhe nga madhësia e bazës së të dhënave të eksportuara, mund të nevojitet më shumë hapësirë. Nëse, kur krijoni një arkiv, ka më pak hapësirë ​​të lirë se sa specifikohet në politikën e ruajtjes së skedarëve të regjistrit, sistemi do të fillojë të fshijë regjistrat e vjetër dhe NUK do t'i përfshijë ato në arkiv.

Gjithashtu, për vetë procesin e përditësimit, sistemit do t'i nevojiten të paktën 13 GB hapësirë ​​të pacaktuar në hard disk. Ju mund të kontrolloni praninë e tij me komandën:

[Ekspert@cp-sms:0]# pv

Do të shohim diçka të tillë:

PV VG Fmt Attr PS Madhësia PFree
/dev/sda3 vg_splat lvm2 a- 141.69G 43.69G

Në këtë rast kemi 43 GB. Ka burime të mjaftueshme. Mund të filloni përditësimin.

Përditësimi i serverit të menaxhimit të SMS-ve të Check Point

Para fillimit të punës, duhet të bëni sa më poshtë:

  1. Instaloni paketën Migration Tools në serverin e menaxhimit. Për ta bërë këtë, duhet të shkarkoni imazhin nga portali Kontrollo Point.
  2. Ngarkoni arkivin në serverin e menaxhimit përmes WinSCP në dosje /var/log/UpgradeR77.30_R80.20 (nëse është e nevojshme, krijoni një dosje në fillim).
  3. Lidhuni me serverin e menaxhimit përmes SSH dhe shkoni te dosja me arkivin:cd /var/log/UpgradeR77.30_R80.20/
  4. Zhzip skedarin:tar -zxvf ./<emri i skedarit>.tgz
  5. Ne nisim mjetin pre_upgrade_verifier me komandën: ./pre_upgrade_verifier -p $FWDIR -c R77 -t R80.20
  6. Pas ekzekutimit të komandës, do të gjenerohet një raport mbi cilësimet e papajtueshme. Është në dispozicion në: /opt/CPsuite-R77/fw1/log/pre_upgrade_verification_report.(xls, html, txt). Është më i përshtatshëm ta ngarkoni atë përmes SCP dhe ta shikoni atë përmes një shfletuesi.
    Për të zgjidhur çdo cilësim të papajtueshëm, përdorni SK117237.
  7. Më pas ridrejtoni programin pre_upgrade_verifier për t'u siguruar që të gjitha shkaqet e papajtueshmërisë janë eliminuar.
  8. Më pas, ne mbledhim informacion në lidhje me ndërfaqet e rrjetit, tabelën e rrugëtimit dhe ngarkojmë konfigurimin GAIA:
    ip a > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
    ip r > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
    kliko -c "shfaq konfigurimin" > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
  9. Ngarkoni skedarin që rezulton përmes SCP.
  10. Ne bëjmë një fotografi në nivelin e virtualizimit.
  11. E rrisim kohën e seancës SSH në 8 orë. Varet nga fati juaj: në varësi të madhësisë së bazës së të dhënave të eksportuara, mund të zgjasë nga disa minuta në disa orë. Për këtë: 
    [Expert@HostName]# clish -c "shfaq inactivity-timeout" shikoni përplasjen aktuale të afatit,

    [Expert@HostName]# clish -c "cakto inactivity-timeout 720" specifikoni ndërprerjen e re të kohës (në minuta),

    [Expert@HostName]# jehonë $TMOUT shikoni modalitetin aktual të ekspertit të skadimit,

    [Expert@HostName]# eksporto TMOUT=3600 specifikoni modalitetin e ri të ekspertit të skadimit (në sekonda), nëse e vendosni vlerën në 0, atëherë afati do të çaktivizohet.

  12. Ne shkarkojmë dhe montojmë imazhin e instalimit SMS.iso në makinën virtuale.

    Përpara hapit tjetër, SIGURUAR që të kontrolloni dy herë nëse keni hapësirë ​​të mjaftueshme të pashpërndarë në hard diskun tuaj (mos harroni, ju nevojiten 13 GB). 

  13. Para se të filloni të eksportoni konfigurimin, ndryshoni skedarin e regjistrit me komandën: ndërprerës fw

Eksporto konfigurimin dhe regjistrat

  1. Ekzekutoni programin migrate_export për të shkarkuar konfigurimin. Për ta bërë këtë, shkoni te dosja e krijuar më parë: cd /var/log/UpgradeR77.30_R80.20/ dhe përdorni komandën: ./migrate eksport -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

    ose

    shkoni te dosja: cd $FWDIR/bin/upgrade_tools/ и
    ekzekutoni komandën nga atje: ./migrate eksport -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

  2. Ne heqim kontrollin nga arkivi: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz
  3. Ruajeni vlerën që rezulton në bllokun e shënimeve.
  4. Ne lidhemi me SMS përmes SCP dhe ngarkojmë arkivin me konfigurimin në stacionin e punës. Sigurohuni që të përdorni transferimin e skedarëve në formatin Binar.

Eksporto bazën e të dhënave SmartEvent

Këtu na duhet versioni i para-instaluar i SMS-ve R80. Çdo test do të bëjë. 

  1. Nga SMS na duhet një skript i vendosur këtu:$RTDIR/bin/eva_db_backup.csh
  2. Ngarkoni skriptin përmes SCP eva_db_backup.csh në dosje: /var/log/UpgradeR77.30_R80.20/
  3. Lidhuni përmes SSH me SMS. Kopjo skedarin në dosje: cp /var/log/UpgradeR77.30_R80.20/eva_db_backup.csh
    $RTDIR/bin/eva_db_backup.csh
  4. Ndryshimi i kodimit: dos2unix $RTDIR/bin/eva_db_backup.csh
  5. Shtimi i pronarit: chown -v admin:root $RTDIR/bin/eva_db_backup.csh
  6. Shtoni të drejtat: chmod -v 0755 $RTDIR/bin/eva_db_backup.csh
  7. Le të fillojmë eksportimin e bazës së të dhënave SmartEvent: $RTDIR/bin/eva_db_backup.csh
  8. Ngarkoni skedarët e marrë përmes SCP: $RTDIR/bin/<date>-db-backup.backup и $RTDIR/bin/eventiaUpgrade.tar në stacionin e punës.

Update

  1. Shkoni në WebUI GAIA SMS → CPUSE → Shfaq të gjitha paketat.
  2. Nëse CPUSE jep një gabim në lidhjen me renë e pikës së kontrollit, kontrolloni cilësimet e DGW, DNS dhe Proxy.
  3. Nëse gjithçka është e saktë dhe gabimi nuk zhduket, atëherë duhet të përditësoni CPUSE manualisht, të udhëhequr nga sk92449.
  4. Shkarkoni imazhin dhe kaloni Verifikues. Nëse është e nevojshme, ne eliminojmë mospërputhjet.

    Si rezultat, duhet të shihni këtë mesazh:

    Përditësimi i pikës së kontrollit nga R77.30 në 80.20

  5. zgjedh R80.20 Instalim dhe përditësim i ri për menaxhimin e sigurisë.
  6. Kur instaloni përditësimin, zgjidhni Clean Install. Pas instalimit, sistemi do të rindizet.
  7. Kalojmë për herë të parë Wizard.
  8. Pasi të kemi akses, ne kontrollojmë llogaritë.
  9. Ne lidhemi me SMS përmes SSH dhe ndryshojmë guaskën e përdoruesit tonë në /bin/bash/:

    vendos përdoruesin <username> shell /bin/bash/

    ruaj konfigurimin (në rast se duam ta lëmë bin/bash/ si predhë të paracaktuar pas rindezjes).

  10. Tjetra, ne lidhemi me SMS përmes SCP dhe transferojmë arkivin me konfigurimin në modalitetin Binary SMS_w_logs_export_r77_r80.tgz në dosje /var/log/UpgradeR77.30_R80.20/
  11. Ne heqim kontrollin nga arkivi: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz dhe krahasoni me vlerën e mëparshme. Shuma e kontrollit duhet të përputhet.
  12. E rrisim kohën e seancës SSH në 8 orë. Për këtë:

    [Expert@HostName]# clish -c "shfaq inactivity-timeout" shikoni përplasjen aktuale të afatit,

    [Expert@HostName]# clish -c "cakto inactivity-timeout 720" specifikoni ndërprerjen e re të kohës (në minuta),

    [Expert@HostName]# jehonë $TMOUT shikoni modalitetin aktual të ekspertit të skadimit,

    [Expert@HostName]# eksporto TMOUT=3600 specifikoni modalitetin e ri të ekspertit (në sekonda). Nëse e vendosni vlerën në 0, atëherë afati do të çaktivizohet.

  13. Për të importuar cilësimet, ekzekutoni programin e migrimit të importit. Për ta bërë këtë, shkoni te dosja: cd $FWDIR/bin/upgrade_tools/dhe ekzekutoni importin: ./migrate imp
    ort -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

Le të shijojmë jetën për dy orët e ardhshme. MOS SHKYQNI SESIONIN TUAJ SSH gjatë procedurës. Në fund, procesi i migrimit ose do të shfaqë një mesazh suksesi ose një gabim. 

Lista e kontrollit pas përditësimit

  1. Disponueshmëria e burimeve.
  2. SIC me GW.
  3. Licencat. Nëse licencat shfaqen gabimisht ose nuk shfaqen në SMS, ekzekutoni komandën vsec_central_licence për shpërndarjen e licencës.
  4. Vendosja e politikës. 

Importimi i bazës së të dhënave SmartEvent

  1. Aktivizoni tehun SmartEvent.
  2. Ne lidhemi përmes WinSCP me SMS dhe transferojmë skedarët e shkarkuar më parë në modalitetin binar <date>-db-backup.backup и eventiaPërmirëso.tar në dosje /var/log/UpgradeR77.30_R80.20/
  3. Ne ekzekutojmë skriptin me komandën: $RTDIR/bin/eventiaUpgrade.sh -përmirëso /var/log/UpgradeR77.30_R80.20/eventiaUpgrade.tar
  4. Kontrollimi i statusit: shiko -n 10 eventiaUpgrade.sh
  5. Kontrollimi i regjistrave në SmartEvent. ËNDËRr!

Përditësimi i grupit Check Point GW (Aktiv/Rezervë)

Para fillimit të punës

  1. Ne ruajmë konfigurimin GAIA nga çdo nyje grupi në një skedar, për ta bërë këtë përdorni komandën: kliko -c "shfaq konfigurimin" > ./<Emri i skedarit>.txt
  2. Ngarkimi i skedarëve duke përdorur WinSCP.
  3. Lidhu me WebUI të të dy nyjeve dhe shko te skeda CPUSE → Shfaq të gjitha paketat.
  4. Gjetja e paketës së përditësimit për versionin R80.20 Instalim i ri, shtypni Shkarko.
  5. Ne kontrollojmë që protokolli CCP po funksionon në modalitet Transmetimi, për ta bërë këtë, futni komandën: cphaprob -a nëse
    Nëse zgjidhet modaliteti multicast, zëvendësojeni me komandën: transmetim cphaconf set_ccp (komandimi ekzekutohet në secilën nyje).
  6. Ne instalojmë Jountime për nyjet e përfshira në sistemin tuaj të monitorimit.
  7. Ne kontrollojmë që parametrat të jenë aktivizuar në nivelin e virtualizimit Ndryshimi i adresës MAC и Transmetimet e falsifikuara për një rrjet sinkronizimi.

Update

  1. Ne lidhemi nëpërmjet ssh me nyjen Active dhe ekzekutojmë komandën për të monitoruar gjendjen e grupit: orë -n 2 cphaprob stat
  2. Kthehu te skeda e nyjeve të gatishmërisë WebUI CPUSE dhe për paketën e përzgjedhur R80.20 Instalim i ri Nisja Verifikues.
  3. Le të analizojmë raportin e Verifikuesit. Nëse instalimi lejohet, vazhdoni.
  4. Zgjidhni një paketë R80.20 Instalim i ri dhe vraponi upgrade. Gjatë procesit të përmirësimit, sistemi do të rindizet. Cilësimet GAIA janë ruajtur. Në kohën e rindezjes, ne monitorojmë gjendjen e grupit. Pas ngarkimit, statusi i nyjës së përditësuar duhet të ndryshojë në GATI. Në një numër rastesh, kemi hasur në një moment kur një nyje që ende nuk ishte përditësuar kaloi në statusin e vëmendjes aktive dhe ndaloi shfaqjen e statusit të nyjes së përditësuar. Mos u shqetësoni - ky opsion është gjithashtu i pranueshëm.
  5. Pasi të përfundojë përditësimi, hapeni Tabela inteligjente.
  6. Hapni objektin e grupit dhe ndryshoni versionin e grupit nga R77.30 në R80.20. Klikoni OK. Nëse shfaqet një gabim gjatë ndryshimeve të ruajtjes:
    Ka ndodhur një gabim i brendshëm. (Kodi: 0x8003001D, Nuk mund të qasja në skedar për funksionimin e shkrimit),
    ndjekin SK119973. Pas kësaj, ruani ndryshimet dhe klikoni Instaloni Politikën.
  7. Në cilësimet, zgjidhni opsionin Për grupimet e portës, nëse instalimi në një anëtar grupi dështon, mos e instaloni në atë grup.
  8. Ne vendosëm politikën. Sistemi do të gjenerojë një gabim për një nyje aktive që nuk është përditësuar ende.
  9. Ne lidhemi me nyjen e përditësuar përmes ssh dhe ekzekutojmë komandën për të monitoruar gjendjen e grupit: orë -n 2 cphaprob stat
  10. Lidhu me nyjen WebUI Active dhe shko te skeda CPUSE → Shfaq të gjitha paketat.Gjetja e paketës së përditësimit për versionin R80.20 Instalim i ri, shtypni Shkarko.
  11. Ne instalojmë Jountime për nyjet e përfshira në sistemin tuaj të monitorimit.
  12. Kthehuni te skeda WebUI Active Nodes CPUSE dhe për paketën e përzgjedhur R80.20 Instalim i ri Nisja Verifikues.
  13. Le të analizojmë raportin e Verifikuesit. Nëse instalimi lejohet, vazhdoni.
  14. Zgjidhni një paketë R80.20 Instalim i ri dhe vraponi Upgrade. Gjatë procesit të përmirësimit, sistemi do të rindizet. Cilësimet GAIA janë ruajtur. Në kohën e rindezjes, ne monitorojmë gjendjen e grupit në nyjen tashmë të përditësuar. Pas rindezjes, gjendja e grupit në nyjen e përditësuar do të ndryshojë nga GATI në AKTIVE.
  15. Kur të përfundojë procesi i Përmirësimit, hapni SmartDashboard dhe vendosni politikën.

Lista e kontrollit pas përditësimit

  • Regjistrimet e ngjarjeve në SmartLog, statusi i tuneleve VPN.
  • Cilësimet e GAIA.
  • Rivendosja e një grupi pas një dështimi provë.
  • Licencat dhe kontratat. Nëse licencat shfaqen gabimisht ose nuk shfaqen në SMS, ekzekutoni komandën. vsec_central_licence për shpërndarjen e licencës.
  • CoreXL.
  • SecureXL.
  • Hotfix dhe CPinfo në dy nyje.

Përfundim

Në përgjithësi, kjo është e gjitha në këtë pikë - ju jeni përditësuar.

Për ne, i gjithë procesi zgjati mesatarisht nga 6 deri në 12 orë, në varësi të madhësisë së bazave të të dhënave të eksportuara. Puna u krye gjatë dy netëve: njëra për përditësimin e SMS-ve, e dyta për grupin.

Nuk kishte ndërprerje të trafikut, pavarësisht se ne i kontrolluam vetë të gjitha gabimet e lartpërmendura.

Sigurisht, ndonjëherë mund të lindin vështirësi krejtësisht të reja gjatë procesit të përditësimit, por kjo është Check Point, dhe siç e dimë të gjithë, ka gjithmonë një rregullim të drejtpërdrejtë!

Gëzuar netët e zeza dhe rozë dhe përditësimet!

Burimi: www.habr.com

Shto një koment