БолеПре две године смо писали да се сваки администратор Цхецк Поинт-а пре или касније суочи са проблемом ажурирања на нову верзију. У ово описана је надоградња са верзије Р77.30 на Р80.10. Иначе, у јануару 2020. Р77.30 је постао сертификована верзија ФСТЕЦ-а. Међутим, много тога се променило у Цхецк Поинту за 2 године. У чланку „” описује све иновације, којих има много. Овај чланак ће описати процедуру ажурирања што је детаљније могуће.
Као што знате, постоје 2 опције за имплементацију Цхецк Поинт-а: самостална и дистрибуирана, односно без наменског сервера за управљање и са наменским. Опција Дистрибутед се топло препоручује из неколико разлога:
оптерећење ресурса мрежног пролаза је минимизирано;
Не морате да закажете период одржавања да бисте радили на серверу за управљање;
адекватан рад СмартЕвент-а, јер је мало вероватно да ће радити у самосталној верзији;
Веома је препоручљиво да направите кластер мрежних пролаза у дистрибуираној конфигурацији.
С обзиром на све предности дистрибуиране конфигурације, размотрићемо одвојено надоградњу сервера за управљање и безбедносног гатеваи-а.
Ажурирање сервера за управљање безбедношћу (СМС).
Постоје 2 начина да ажурирате СМС:
преко ЦПУСЕ-а (преко Гаиа Портала)
користећи алате за миграцију (потребна је чиста инсталација - свежа инсталација)
Цхецк Поинт колеге не препоручују ажурирање помоћу ЦПУСЕ-а јер неће ажурирати верзију система датотека и кернел. Међутим, овај метод не захтева миграцију политика и много је бржи и једноставнији од другог метода.
Препоручена метода је чиста инсталација и миграција смерница помоћу алата за миграцију. Поред новог система датотека и ОС кернела, често се дешава да се СМС база података запуши, а чиста инсталација у том погледу је одлично решење за повећање брзине сервера.
1) Први корак у сваком ажурирању је прављење резервних копија и снимака. Ако имате физички сервер за управљање, онда треба направити резервну копију са веб интерфејса Гаиа портала. Идите на картицу Одржавање > Резервна копија система > Резервна копија. Затим одредите локацију за чување резервне копије. Ово може бити СЦП, ФТП, ТФТП сервер или локално на уређају, али ћете касније морати да отпремите ову резервну копију на сервер или рачунар.
Слика 1. Креирање резервне копије у Гаиа Портал
2) Затим би требало да направите снимак на картици Одржавање → Управљање снимцима → Ново. Разлика између резервних копија и снимака је у томе што снимци чувају више информација, укључујући све инсталиране хитне исправке. Међутим, боље је учинити обоје.
Ако је ваш сервер за управљање инсталиран као виртуелна машина, препоручује се да направите резервну копију виртуелне машине помоћу уграђених алата за хипервизор. Једноставно је брже и поузданије.
Слика 2. Креирање снимка у Гаиа Портал
3) Сачувајте конфигурацију уређаја са Гаиа Портала. Можете снимити екран свих картица са подешавањима које се налазе на Гаиа порталу или унети команду са Цлисха сачувајте конфигурацију. Затим пренесите датотеку на рачунар користећи ВинСЦП или други клијент.
Слика 3. Чување конфигурације у текстуалној датотеци)
Приметити: ако вам ВинСЦП не дозвољава да се повежете, промените корисничку шкољку у /бин/басх или у веб интерфејсу на картици Корисници или уносом команде цхсх –с /бин/басх.
Ажурирање помоћу ЦПУСЕ-а
4) Прва 3 корака су обавезна за било коју опцију ажурирања. Ако одлучите да користите једноставнију путању ажурирања, онда у веб интерфејсу идите на картицу Надоградње (ЦПУСЕ) > Статус и радње > Главне верзије > Цхецк Поинт Р80.40 Гаиа Фресх инсталација и надоградња. Кликните десним тастером миша на ово ажурирање и изаберите Верифиер. Процес верификације ће почети неколико минута, након чега ћете видети поруку да се уређај може ажурирати. Ако видите грешке, потребно их је исправити.
Слика 4. Ажурирање преко ЦПУСЕ-а
5) Ажурирајте на најновију верзију ЦДТ-а (Централ Деплоимент Тоол) – услужног програма који ради на серверу за управљање и омогућава вам да инсталирате ажурирања, сервисне пакете, управљате резервним копијама, снимцима, скриптама и још много тога. Застарела ЦДТ верзија може да изазове проблеме са ажурирањем. ЦДТ можете преузети на .
6) Након постављања преузете архиве на СМС у било који директоријум преко ВинСЦП-а, повежите се преко ССХ-а на СМС и уђите у стручни режим. Дозволите ми да вас подсетим да ВинСЦП корисник мора да има љуску / бин / басх!
7) Унесите команде:
цд /сомепатхтоЦДТ/
тар -зквф .тгз
рпм -Ухв —форце ЦПцдт-00-00.и386.рпм
Слика 5. Инсталирање централног алата за примену (ЦДТ)
8) Следећи корак је инсталирање слике Р80.40. Десни клик на ажурирање Преузми, онда Инсталирај. Имајте на уму да ће ажурирање трајати 20-30 минута и да ће сервер за управљање бити недоступан неко време. Стога има смисла договорити сервисни прозор.
9) Све лиценце и безбедносне политике су сачуване, тако да следеће треба да преузмете нову .
10) Повежите се на СМС нову СмартЦонсоле и поставите безбедносне политике. Дугме Политика инсталације у горњем левом углу.
11) Ваш СМС је ажуриран, па би требало да инсталирате најновију хитну исправку. У картици Надоградње (ЦПУСЕ) > Статус и радње > Хитне исправке кликните на десни тастер миша Верифиер, онда Инсталирај ажурирање. Уређај ће се поново покренути након инсталирања ажурирања.
Слика 6. Инсталирање најновије хитне исправке преко ЦПУСЕ-а
Ажурирање помоћу алата за миграцију
4) Прво, такође треба да ажурирате на најновију верзију ЦДТ-а - тачке 5, 6, 7 из одељка „Ажурирај помоћу ЦПУСЕ-а.“
5) Инсталирајте пакет алата за миграцију потребан за миграцију смерница са сервера за управљање. Према овоме можете пронаћи Алатке за миграцију за верзије: Р80.20, Р80.20 М1, Р80.20 М2, Р80.30, Р80.40. Требало би да преузмете Алатке за миграцију верзије на који желите да ажурирате, а не овај који сада имате! У нашем случају то је Р80.40.
6) Затим у СМС веб интерфејсу идите на картицу Надоградње (ЦПУСЕ) > Статус и радње > Увези пакет > Прегледај > Изаберите преузету датотеку > Увези.
Слика 7. Увоз алата за миграцију
7) Из стручног режима на СМС-у проверите да ли је пакет алата за миграцију инсталиран помоћу команде (излаз команде мора да одговара броју у називу архиве алата за миграцију):
цппрод_утил ЦППРОД_ГетВалуе ЦПупграде-тоолс-Р80.40 БуилдНумбер 1
Слика 8. Провера инсталације алата за миграцију
8) Идите у фасциклу $ФВДИР/сцриптс на серверу за управљање:
цд $ФВДИР/сцриптс
9) Покрените верификатор пре надоградње користећи команду (ако постоје грешке, исправите их пре даљих корака):
./миграте_сервер верифи -в Р80.40
Приметити: ако видите грешку „Преузимање пакета алата за надоградњу није успело“, али сте проверили да ли је архива успешно увезена (погледајте тачку 4), користите команду:
./миграте_сервер верифи -в Р80.40 -скип_упграде_тоолс_цхецк
Слика 9. Покретање скрипте за верификацију
10) Извезите безбедносне политике користећи команду:
./миграте_сервер екпорт -в Р80.40 / / .тгз
Слика 10. Извоз безбедносне политике
Приметити: ако видите грешку „Преузимање пакета алата за надоградњу није успело“, али сте проверили да ли је архива успешно увезена (корак 7), користите команду:
./миграте_сервер екпорт -скип_упграде_тоолс_цхецк -в Р80.40 / / .тгз
11) Израчунајте МД5 хеш суму и сачувајте излаз команде:
мд5сум / / .тгз
Слика 11. Израчунавање МД5 хеш суме
12) Користећи ВинСЦП, преместите ову датотеку на свој рачунар.
13) Унесите команду дф -х и уштедите себи проценат директоријума на основу заузетог простора.
Слика 12. Проценат именика по СМС-у
КСНУМКС) У случају да имате прави СМС
14.1.1) Коришћење креира се УСБ флеш диск са сликом за покретање .
14.1.2) Препоручујем да припремите најмање 2 флеш диска за покретање, јер се дешава да флеш диск није увек читљив.
14.1.3) Као администратор на свом рачунару, покрените ИСОморпхиц.еке. У кораку 1 изаберите преузету слику Гаиа Р80.40, у кораку 4 флеш диск. Промените тачке 2 и 3 нема потребе!
Слика 13. Креирање УСБ флеш диска за покретање
14.1.4) Изаберите ставку „Инсталирај аутоматски без потврде“ и важно је да наведете модел вашег сервера за управљање. У случају СМС-а, треба да изаберете ред 3 или 4.
Слика 14. Избор модела уређаја за креирање УСБ флеш диска за покретање
14.1.5) Затим, искључите уплине, убаците флеш диск у УСБ порт, повежете кабл конзоле преко ЦОМ порта на уређај и омогућите СМС. Процес инсталације се дешава аутоматски. Подразумевана ИП адреса - 192.168.1.1/24, и информације за пријаву админ / админ.
14.1.6) Следећи корак је повезивање на веб интерфејс на Гаиа Портал (подразумевана адреса ), где пролазите кроз иницијализацију уређаја. Током иницијализације у основи притиснете Следеће, јер се скоро сва подешавања могу променити у будућности. Међутим, можете одмах променити ИП адресу, ДНС подешавања и име хоста.
КСНУМКС) У случају да имате виртуелни СМС
14.2.1) Ни у ком случају не треба да бришете стари СМС са истим ресурсима (ЦПУ, РАМ, ХДД) и истом ИП адресом. Узгред, можете додати РАМ и ХДД, пошто је верзија Р80.40 мало захтевнија. Да бисте избегли сукобе ИП адреса, искључите стари СМС и почните да инсталирате нови.
14.2.2) Током инсталације Гаиа-е, конфигуришите тренутну ИП адресу и изаберите директоријум / Роот адекватну количину простора. Проценат директоријума који имате требало би да буде приближно преживети, користите излаз дф -х.
15) У тренутку избора врсте инсталације „Тип инсталације“ изаберите прву опцију, пошто највероватније немате МДС (Мулти-Домаин Сервер). Ако је МДС, онда сте истовремено управљали многим доменима из различитих СМС ентитета. У овом случају, требало би да изаберете другу опцију.
Слика 15. Избор типа инсталације Гаиа
16) Најважнија ствар која се не може исправити без поновне инсталације је избор ентитета. Треба изабрати Управљање безбедношћу и кликните Следећа. Све остало је подразумевано.
Слика 16. Избор типа ентитета приликом инсталирања Гаиа-е
17) Када се уређај поново покрене, повежите се на веб интерфејс помоћу или другу ИП адресу ако сте је променили.
18) Пренесите подешавања са снимака екрана на све картице Гаиа Портала у којима је нешто конфигурисано или покрените команду из цлисх-а конфигурацију оптерећења .ткт. Ова конфигурациона датотека мора се прво отпремити у СМС.
Приметити: Због чињенице да је ОС нов, ВинСЦП вам неће дозволити да се повежете као администратор, промените корисничку шкољку у /бин/басх било у веб интерфејсу на картици Корисници или уносом команде цхсх –с /бин/басх или креирајте новог корисника.
19) Отпремите датотеку са извезеним политикама са старог сервера за управљање у било који директоријум. Затим идите на конзолу у стручном режиму и проверите да ли МД5 хеш количина одговара претходном. У супротном, извоз би требало да се изврши поново:
мдКСНУМКСсум / / .тгз
20) Поновите корак 6 и инсталирајте Алатке за надоградњу на нови СМС на Гаиа Портал на картици Надоградње (ЦПУСЕ) > Статус и радње.
21) Унесите команду у стручном режиму:
./миграте_сервер импорт -в Р80.40 -скип_упграде_тоолс_цхецк / / .тгз
Слика 17. Увоз безбедносне политике у нови СМС
22) Омогућите услуге командом цпстарт.
23) Преузмите нову и повежите се са сервером за управљање. Иди на Мени > Управљање лиценцама и пакетима (СмартУпдате) и проверите да ли још увек имате лиценцу.
Слика 18. Провера инсталираних лиценци
24) Подесите безбедносну политику на мрежном пролазу или кластеру - Политика инсталације.
Ажурирање безбедносног пролаза (СГ).
Безбедносни пролаз се може ажурирати преко ЦПУСЕ-а, баш као и сервер за управљање, или поново инсталирати - свежа инсталација. Из мог искуства, у 99% случајева, сви поново инсталирају Сецурити Гатеваи због чињенице да је потребно скоро исто време као и ажурирање преко ЦПУСЕ-а, али добијате чист, ажуриран ОС без грешака.
По аналогији са СМС-ом, прво морате да направите резервну копију и снимак, као и да сачувате подешавања са Гаиа Портала. Погледајте тачке 1, 2 и 3 у одељку „Ажурирање сервера за управљање безбедношћу“.
Ажурирање помоћу ЦПУСЕ-а
Ажурирање безбедносног мрежног пролаза преко ЦПУСЕ-а је потпуно исто као и ажурирање сервера за управљање безбедношћу, па погледајте почетак чланка.
Важна тачка: СГ ажурирање захтева поновно покретање! Стога, ажурирајте током периода одржавања. Ако имате кластер, прво надоградите пасивни чвор, затим промените улоге и надоградите други чвор. У случају кластера, периоди одржавања се могу избећи.
Инсталирање нове верзије ОС-а на Сецурити Гатеваи
1.1) У случају да имате прави СГ
1.1.1) Коришћење креира се УСБ флеш диск са сликом за покретање . Слика је иста као на СМС-у, али процедура за креирање флеш диска за покретање изгледа мало другачије.
1.1.2) Препоручујем да припремите најмање 2 флеш диска за покретање, јер се дешава да флеш диск није увек читљив.
1.1.3) Као администратор на свом рачунару, покрените ИСОморпхиц.еке. У кораку 1 изаберите преузету слику Гаиа Р80.40, у кораку 4 флеш диск. Промените тачке 2 и 3 нема потребе!
Слика 19. Креирање УСБ флеш диска за покретање
1.1.4) Изаберите ставку „Инсталирај аутоматски без потврде“, и важно је да наведете модел вашег безбедносног пролаза - линије 2 или 3. Ако је ово физички сандбок (СандБласт Апплианце), изаберите ред 5.
Слика 20. Избор модела уређаја за креирање УСБ флеш диска за покретање
1.1.5) Затим искључите уплине, убаците флеш диск у УСБ порт, повежите кабл конзоле преко ЦОМ порта на уређај и укључите гатеваи. Процес инсталације се дешава аутоматски. Подразумевана ИП адреса - 192.168.1.1/24, и информације за пријаву админ / админ. Прво би требало да ажурирате пасивни чвор, затим инсталирајте политику на њега, промените улоге и ажурирајте други чвор. Највероватније ће вам требати прозор за одржавање.
1.1.6) Следећи корак је повезивање са веб интерфејсом на Гаиа порталу, где пролазите кроз прву иницијализацију уређаја. Током иницијализације у основи притиснете Следеће, јер се скоро сва подешавања могу променити у будућности. Међутим, можете одмах променити ИП адресу, ДНС подешавања и име хоста.
1.2) У случају да имате виртуелни СГ
1.2.1) Направите нову виртуелну машину са истим ресурсима (ЦПУ, РАМ, ХДД) или више, пошто је верзија Р80.40 мало захтевнија. Да бисте избегли сукоб ИП адреса, искључите стари мрежни пролаз и почните да инсталирате нови са истом ИП адресом. Стари СГ се може безбедно избрисати, пошто на њему нема ништа вредно, јер се све најважније ствари - безбедносна политика - налазе на серверу за управљање.
1.2.2) Током инсталације ОС-а, конфигуришите тренутну ИП адресу и изаберите директоријум / Роот адекватну количину простора.
3) Повежите се са мрежним пролазом преко ХТТПС порта и започните процес иницијализације. У тренутку избора врсте инсталације „Тип инсталације“ изаберите прву опцију - Сецурити Гатеваи и/или Сецурити Манагемент.
Слика 21. Избор типа инсталације Гаиа
4) Најважнија тачка је избор ентитета (Производи). Треба изабрати Сецурити Гатеваи и, ако имате кластер, означите поље „Јединица је део кластера, типа: ЦлустерКСЛ“. Ако имате ВРРП кластер, изаберите овај тип, али је мало вероватно.
Слика 22. Избор типа ентитета приликом инсталирања Гаиа-е
5) У следећем кораку поставите једнократну лозинку за СИЦ да бисте успоставили поверење са сервером за управљање. Користећи ову лозинку, генерише се сертификат и сервер за управљање ће комуницирати са мрежним пролазом преко шифрованог комуникационог канала. Квачица „Повежите се са својим менаџментом као услугом“ треба подесити ако се сервер за управљање налази у облаку. Недавно смо писали о овоме и колико је сервер за управљање облаком згодан и једноставан.
Слика 23. Креирање СИЦ-а
6) Покрените процес иницијализације на следећој картици. Чим се уређај поново покрене, повежите се са веб интерфејсом и пренесите подешавања са снимака екрана на све картице Гаиа Портала у којима је нешто конфигурисано или покрените команду из цлисх-а конфигурацију оптерећења .ткт. Ова конфигурациона датотека мора прво да се отпреми на безбедносни гатеваи.
Приметити: Због чињенице да је ОС нов, ВинСЦП вам неће дозволити да се повежете као администратор, промените корисничку шкољку у /бин/басх било у веб интерфејсу на картици Корисници или уносом команде цхсх –с /бин/басх или креирајте новог корисника са овом љуском.
7) Отвори и идите у објекат Сецурити Гатеваи који сте управо поново инсталирали. Отворите картицу Општа својства > Комуникација > Ресетуј СИЦ и унесите лозинку наведену у кораку 5.
Слика 24: Успостављање поверења са новим безбедносним пролазом
8) Гаиа верзија објекта би требало да се промени, ако се не промени, промените је ручно. Затим инсталирајте полису на мрежни пролаз.
9) У Гаиа Порталу идите на картицу Надоградње (ЦПУСЕ) > Статус и радње > Хитне исправке и инсталирајте најновију хитну исправку. Уређај ће ући у рестарт током инсталације!
10) У случају кластера, промените улоге чворова и урадите исте кораке за други чвор.
Закључак
Покушао сам да направим најјаснији и најсвеобухватнији водич за надоградњу са верзије Р80.20/Р80.30 на тренутну Р80.40, пошто се много тога променило. Верзија већ се појавио у демо режиму, али процедура ажурирања остаје мање-више идентична. Вођен службеним из Цхецк Поинт-а, можете сами да схватите све детаље.
За сва питања можете нас контактирати. Бићемо срећни да вам помогнемо са најсложенијим ажурирањима и случајевима као део наше техничке подршке . Такође на нашем могуће је наручити ревизију подешавања Цхецк Поинт-а или је оставити бесплатно за технички случај.
. Будите у току (, , , , ).
Извор: ввв.хабр.цом
