ProHoster > Blog > Administrasi > Ngamutahirkeun Check Point tina R77.30 ka 80.20

Ngamutahirkeun Check Point tina R77.30 ka 80.20

Ngamutahirkeun Check Point tina R77.30 ka 80.20

Dina usum gugur 2019, Check Point dieureunkeun ngadukung versi R77.XX, sareng éta diperyogikeun pikeun ngapdet. Seueur anu parantos nyarios ngeunaan bédana antara versi, pro sareng kontra ngalih ka R80. Hayu urang ngobrol ngeunaan kumaha leres-leres ngamutahirkeun alat virtual Check Point (CloudGuard pikeun VMware ESXi, Hyper-V, KVM Gateway NGTP) sareng naon anu salah.

Janten, kami ngagaduhan 2 insinyur CCSE, langkung ti belasan Check Point R77.30 klaster virtual, sababaraha awan, sababaraha hotfix sareng samudra sagala rupa bug, gangguan sareng sadayana, tina sagala warna sareng ukuran, sareng ogé deadlines ketat pisan. Hayu angkat!

eusi:

palatihan
Ngamutahirkeun server manajemén
Ngamutahirkeun klaster

Ngamutahirkeun Check Point tina R77.30 ka 80.20

Ieu mangrupikeun infrastruktur awan klien biasa sareng Check Point virtual

palatihan

Léngkah munggaran nyaéta mariksa naha aya sumber anu cekap pikeun pembaruan. Sarat minimum anu disarankeun pikeun R80.20 ayeuna sapertos kieu:

pakakas

CPU

Ram

HDD

Gerbang Kaamanan

2 inti

4 GB

Ti 15 GB

SMS

2 inti

6 GB

-

Rekomendasi dijelaskeun dina dokumén CP_R80.20_GA_Release_Notes.

Tapi urang bakal realistis. Upami ieu cukup dina konfigurasi paling minimal, teras, sakumaha prakték nempokeun, urang biasana boga HTTPS inspeksi diaktipkeun, SmartEvent ngajalankeun on SMS, jeung sajabana, nu, tangtosna, merlukeun kapasitas lengkep beda. Tapi sacara umum, teu leuwih ti pikeun R77.30.

Tapi aya nuances. Sareng aranjeunna hubungan, mimitina, kana ukuran mémori fisik. Loba operasi langsung salila prosés update bakal merlukeun spasi hard disk.

Pikeun server manajemén, ukuran rohangan disk bébas bakal pisan gumantung kana volume log ayeuna (upami urang hoyong ngahemat aranjeunna) sareng jumlah révisi Database anu disimpen, sanaos urang henteu peryogi deui dina jumlah anu ageung. Tangtosna, pikeun titik kluster (iwal anjeun ogé nyimpen log lokal) sadayana ieu henteu masalah. Ieu kumaha carana pariksa naha anjeun ngagaduhan rohangan anu anjeun peryogikeun:

  1. Urang nyambung ka Server Manajemén Smart via ssh, lebet kana modeu ahli sareng lebetkeun paréntah:

    [Ahli@cp-sms:0]# df -h

  2. Dina kaluaran urang bakal ningali sapertos konfigurasi ieu:

    Ukuran Filesystem Dipaké Avail Use% Dipasang dina
    /dev/mapper/vg_splat-lv_current 30G 7.4G 21G 27% /
    /dev/sda1 289M 24M 251M 9% /boot
    tmpfs 2.0G 0 2.0G 0% /dev/shm
    /dev/mapper/vg_splat-lv_log 243G 177G 53G 78% /var/log

  3. Urang ayeuna museurkeun bagian / var / log

Punten dicatet yén gumantung kana kabijakan pikeun nyimpen sareng mupus file log lami, ogé ukuran database anu diékspor, langkung seueur rohangan tiasa diperyogikeun. Lamun, nalika nyieun arsip, aya kirang spasi bébas ti dieusian dina kawijakan panyimpen file log, sistem bakal ngawitan mupus log heubeul tur moal kaasup kana arsip.

Ogé, pikeun prosés update sorangan, sistem bakal peryogi sahenteuna 13 GB rohangan hard disk unallocated. Anjeun tiasa pariksa ayana ku paréntah:

[Ahli@cp-sms:0]# pvs

Urang bakal ningali sapertos kieu:

PV VG Fmt Attr PS Ukuran PFree
/dev/sda3 vg_splat lvm2 a- 141.69G 43.69G

Dina hal ieu kami boga 43 GB. Aya cukup sumberdaya. Anjeun tiasa ngamimitian ngamutahirkeun.

Ngamutahirkeun server manajemén SMS Check Point

Sateuacan ngamimitian damel, anjeun kedah ngalakukeun ieu:

  1. Pasang pakét Alat Migrasi dina server manajemén. Jang ngalampahkeun ieu, anjeun kudu ngundeur gambar ti portal teh Pariksa Point.
  2. Unggah arsip ka server manajemén via WinSCP kana polder /var/log/UpgradeR77.30_R80.20 (upami perlu, jieun polder heula).
  3. Sambungkeun ka server manajemén via SSH sareng lebet kana polder nganggo arsip:cd /var/log/UpgradeR77.30_R80.20/
  4. Buka zip filena:tar -zxvf ./<ngaran koropak>.tgz
  5. Urang ngajalankeun utilitas pre_upgrade_verifier kalayan paréntah: ./pre_upgrade_verifier -p $FWDIR -c R77 -t R80.20
  6. Saatos palaksanaan paréntah, laporan ngeunaan setélan anu teu cocog bakal dibangkitkeun. Éta sayogi di: /opt/CPsuite-R77/fw1/log/pre_upgrade_verification_report.(xls, html, txt). Éta langkung merenah pikeun ngamuat éta via SCP sareng nontonna ngalangkungan browser.
    Pikeun ngabéréskeun setélan anu teu cocog, paké SK117237.
  7. Teras jalankeun deui utilitas pre_upgrade_verifier pikeun mastikeun yén sadaya panyabab teu cocog parantos dileungitkeun.
  8. Salajengna, urang ngumpulkeun informasi ngeunaan interfaces jaringan, tabel routing sarta unggah konfigurasi GAIA:
    ip a > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
    ip r > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
    clish -c "tunjukkeun konfigurasi"> /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
  9. Unggah file anu dihasilkeun via SCP.
  10. Kami nyandak snapshot dina tingkat virtualisasi.
  11. Kami ningkatkeun waktos sési SSH janten 8 jam. Éta gumantung kana tuah anjeun: gumantung kana ukuran database anu diékspor, éta tiasa salami sababaraha menit dugi ka sababaraha jam. Kanggo ieu: 
    [Ahli@HostName]# clish -c "nembongkeun inactivity-timeout" Tingali dina clish timeout ayeuna,

    [Expert@HostName]# clish -c "set inactivity-timeout 720" tangtukeun clish timeout anyar (dina menit),

    [Ahli@HostName]# gema $TMOUT tingali dina modeu ahli timeout ayeuna,

    [Ahli@HostName]# ékspor TMOUT=3600 tangtukeun mode ahli seep anyar (dina detik), mun anjeun nyetel nilai ka 0, lajeng seep bakal ditumpurkeun.

  12. Urang ngundeur tur masang gambar instalasi SMS.iso kana mesin virtual.

    Sateuacan lengkah satuluyna, PASTI pikeun mariksa dua kali yén anjeun gaduh cukup rohangan anu henteu ditempatkeun dina hard drive anjeun (inget, anjeun peryogi 13 GB). 

  13. Sateuacan ngamimitian ngékspor konfigurasi, robih file log kalayan paréntah: fw logswitch

Konfigurasi ékspor sareng log

  1. Jalankeun utilitas migrate_export pikeun ngunduh konfigurasi. Jang ngalampahkeun ieu, buka folder saméméhna dijieun: cd /var/log/UpgradeR77.30_R80.20/ sareng nganggo paréntah: ./migrasi ékspor -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

    atawa

    buka folder: cd $FWDIR/bin/upgrade_tools/ и
    ngajalankeun paréntah ti dinya: ./migrasi ékspor -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

  2. Kami ngahapus checksum tina arsip: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz
  3. Simpen nilai hasilna kana notepad.
  4. Urang nyambung ka SMS via SCP jeung unggah arsip jeung konfigurasi ka workstation nu. Pastikeun ngagunakeun transfer file dina format binér.

Ékspor database SmartEvent

Di dieu urang peryogi versi SMS anu tos dipasang R80. Sakur tés bakal dilakukeun. 

  1. Tina SMS urang peryogi naskah anu aya di dieu:$RTDIR/bin/eva_db_backup.csh
  2. Muat naskah via SCP eva_db_backup.csh kana folder: /var/log/UpgradeR77.30_R80.20/
  3. Sambungkeun via SSH ka SMS. Salin file kana folder: cp /var/log/UpgradeR77.30_R80.20/eva_db_backup.csh
    $RTDIR/bin/eva_db_backup.csh
  4. Ngarobah encoding: dos2unix $RTDIR/bin/eva_db_backup.csh
  5. Nambahkeun nu boga: chown -v admin: akar $ RTDIR / bin / eva_db_backup.csh
  6. Tambahkeun hak: chmod -v 0755 $ RTDIR / bin / eva_db_backup.csh
  7. Hayu urang mimitian ngekspor database SmartEvent: $RTDIR/bin/eva_db_backup.csh
  8. Unggah file anu ditampi ngalangkungan SCP: $ RTDIR / bin / <tanggal> -db-backup.backup и $ RTDIR / bin / eventiaUpgrade.tar ka workstation.

Apdet

  1. Pindah ka WebUI GAIA SMS → CPUSE → Témbongkeun sakabéh bungkusan.
  2. Upami CPUSE masihan kasalahan nalika nyambungkeun ka awan Check Point, pariksa setélan DGW, DNS sareng Proxy.
  3. Upami sadayana leres, sareng kasalahanna henteu ngaleungit, maka anjeun kedah ngapdet CPUSE sacara manual, dipandu ku sk92449.
  4. Ngundeur gambar jeung ngaliwatan Verifier. Upami diperlukeun, urang ngaleungitkeun inconsistencies.

    Hasilna, anjeun kedah ningali pesen ieu:

    Ngamutahirkeun Check Point tina R77.30 ka 80.20

  5. Pilih R80.20 seger Pasang sarta Ngaronjatkeun pikeun Manajemén Kaamanan.
  6. Nalika masang apdet, pilih Pasang Bersih. Saatos instalasi, sistem bakal reboot.
  7. Urang lulus First Time Wizard.
  8. Sanggeus meunang aksés, urang pariksa rekening.
  9. Urang nyambung ka SMS via SSH sarta ngarobah cangkang pamaké urang kana /bin/bash/:

    set pamaké <ngaran pamaké> cangkang / bin / bash /

    nyimpen config (bisi urang rék ninggalkeun bin / bash / salaku cangkang standar sanggeus reboot).

  10. Salajengna, urang sambungkeun ka SMS via SCP sarta mindahkeun arsip jeung konfigurasi dina modeu Binér SMS_w_logs_export_r77_r80.tgz kana map /var/log/UpgradeR77.30_R80.20/
  11. Kami ngahapus checksum tina arsip: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz tur dibandingkeun jeung nilai saméméhna. Checksum kedah cocog.
  12. Kami ningkatkeun waktos sési SSH janten 8 jam. Kanggo ieu:

    [Ahli@HostName]# clish -c "nembongkeun inactivity-timeout" Tingali dina clish timeout ayeuna,

    [Expert@HostName]# clish -c "set inactivity-timeout 720" tangtukeun clish timeout anyar (dina menit),

    [Ahli@HostName]# gema $TMOUT tingali dina modeu ahli timeout ayeuna,

    [Ahli@HostName]# ékspor TMOUT=3600 tangtukeun mode ahli seep anyar (dina detik). Upami anjeun ngeset nilaina ka 0, maka timeout bakal ditumpurkeun.

  13. Pikeun ngimpor setélan, jalankeun utilitas impor migrasi. Jang ngalampahkeun ieu, buka folder: cd $FWDIR/bin/upgrade_tools/sareng ngajalankeun impor: ./migrasi imp
    ort -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

Hayu urang ngarasakeun hirup pikeun sababaraha jam ka hareup. Ulah megatkeun sambungan sési SSH anjeun salila prosedur. Dina tungtungna, prosés migrasi bakal nunjukkeun pesen suksés atanapi kasalahan. 

Daptar pariksa sanggeus ngamutahirkeun

  1. Kasadiaan sumberdaya.
  2. SIC kalawan GW.
  3. Lisénsi. Upami lisénsi ditampilkeun teu leres atanapi henteu ditampilkeun dina SMS, jalankeun paréntahna vsec_central_licence pikeun distribusi lisénsi.
  4. Netepkeun kawijakan. 

Ngimpor database SmartEvent

  1. Aktipkeun sabeulah SmartEvent.
  2. Urang sambungkeun via WinSCP ka SMS sareng nransferkeun file anu diunduh sateuacana dina modeu binér <tanggal>-db-backup.backup и eventiaUpgrade.tar kana map /var/log/UpgradeR77.30_R80.20/
  3. Urang ngajalankeun skrip kalayan paréntah: $RTDIR/bin/eventiaUpgrade.sh -upgrade /var/log/UpgradeR77.30_R80.20/eventiaUpgrade.tar
  4. Mariksa status: lalajo -n 10 eventiaUpgrade.sh
  5. Mariksa log di SmartEvent. NGIMPI!

Ngamutahirkeun gugusan Check Point GW (Aktif/Nyadangkeun)

Méméh ngamimitian gawé

  1. Urang simpen konfigurasi GAIA ti unggal titik klaster kana file, pikeun ngalakukeun ieu ngagunakeun paréntah: clish -c "acara konfigurasi"> ./<Ngaran koropak>.txt
  2. Unggah file nganggo WinSCP.
  3. Sambungkeun ka WebUI duanana titik sareng angkat ka tab CPUSE → Tampilkeun sadaya bungkusan.
  4. Manggihan pakét update pikeun versi R80.20 seger Pasangmalik Unduh.
  5. Kami pariksa yén protokol CCP berpungsi dina modeu Siaran, pikeun ngalakukeun ieu, lebetkeun paréntah: cphaprob -a lamun
    Upami modeu dipilih Multicast, ganti ku paréntah: cphaconf set_ccp siaran (Paréntah dieksekusi dina unggal titik).
  6. Kami masang Downtime pikeun titik anu aub dina sistem ngawaskeun anjeun.
  7. Kami pariksa yén parameter diaktipkeun dina tingkat virtualisasi Robah Alamat MAC и Transmits palsu pikeun jaringan singkronisasi.

Apdet

  1. Urang sambungkeun via ssh ka titik Aktif sareng ngajalankeun paréntah pikeun ngawas status kluster: lalajo -n 2 cphaprob stat
  2. Balik deui ka tab titik WebUI Stanby CPUSE sareng kanggo pakét anu dipilih R80.20 seger Pasang ngaluncurkeun Verifier.
  3. Hayu urang analisa laporan Verifier. Upami pamasangan diidinan, teraskeun.
  4. Pilih pakét R80.20 seger Pasang jeung peluncuran pamutahiran. Salila prosés Ngaronjatkeun, sistem bakal reboot. Setelan GAIA disimpen. Dina waktos reboot, urang ngawas kaayaan klaster. Saatos ngamuat, status node anu diropéa kedah robih janten READY. Dina sababaraha kasus, urang sapatemon momen nalika titik nu teu acan diropéa switched kana status Perhatian Aktif tur dieureunkeun mintonkeun status tina titik diropéa. Entong hariwang - pilihan ieu ogé tiasa ditampi.
  5. Saatos apdet parantos réngsé, buka SmartDashboard.
  6. Buka objék klaster sarta ngarobah versi klaster tina R77.30 mun R80.20. Pencét OK. Upami aya kasalahan nalika nyimpen parobahan:
    Aya kasalahan internal. (Kode: 0x8003001D, Teu bisa ngakses file pikeun operasi nulis),
    nuturkeun SK119973. Sanggeus éta, simpen parobahanana teras klik Kawijakan Pasang.
  7. Dina setélan, pupus centang pilihan Pikeun klaster gateway, lamun instalasi dina anggota klaster gagal, ulah install dina klaster éta.
  8. Urang nyetel kawijakan. Sistim bakal ngahasilkeun kasalahan pikeun titik Active nu teu acan diropéa.
  9. Urang sambungkeun kana titik anu diropéa via ssh sareng ngajalankeun paréntah pikeun ngawas kaayaan kluster: lalajo -n 2 cphaprob stat
  10. Sambungkeun ka titik WebUI Active sareng angkat ka tab CPUSE → Tampilkeun sadaya bungkusan.Manggihan pakét update pikeun versi R80.20 seger Pasang, klik Unduh.
  11. Kami masang Downtime pikeun titik anu aub dina sistem ngawaskeun anjeun.
  12. Balik deui ka tab titik WebUI Active CPUSE sareng kanggo pakét anu dipilih R80.20 seger Pasang ngaluncurkeun Verifier.
  13. Hayu urang analisa laporan Verifier. Upami pamasangan diidinan, teraskeun.
  14. Pilih pakét R80.20 seger Pasang jeung peluncuran Ningkatkeun. Salila prosés Ngaronjatkeun, sistem bakal reboot. Setelan GAIA disimpen. Dina waktos reboot, urang ngawas kaayaan klaster dina titik anu parantos diropéa. Saatos reboot, kaayaan klaster dina node anu diropéa bakal robih tina SIAP ka AKTIF.
  15. Nalika prosés Ngaronjatkeun parantos réngsé, peluncuran SmartDashboard sareng pasang kawijakan.

Daptar pariksa sanggeus ngamutahirkeun

  • Log acara di SmartLog, status torowongan VPN.
  • Setélan GAIA.
  • Malikkeun klaster sanggeus Failover test.
  • Lisensi jeung kontrak. Upami lisénsi ditampilkeun teu leres atanapi henteu ditampilkeun dina SMS, jalankeun paréntahna. vsec_central_licence pikeun distribusi lisénsi.
  • CoreXL.
  • SecureXL.
  • Hotfix sareng CPinfo dina dua titik.

kacindekan

Sacara umum, éta sadayana dina waktos ieu - anjeun parantos diropéa.

Pikeun urang, sakabéh prosés nyandak rata-rata ti 6 nepi ka 12 jam, gumantung kana ukuran tina database diékspor. Pagawean dilumangsungkeun salila dua peuting: hiji keur ngamutahirkeun SMS, kadua pikeun klaster.

Henteu aya downtime lalu lintas, sanaos kanyataan yén urang pariksa sagala kasalahan anu disebatkeun di luhur dina diri urang sorangan.

Tangtu, kadang kasusah lengkep anyar bisa timbul salila prosés update, tapi ieu téh Check Point, sarta sakumaha urang sadayana terang, sok aya hotfix a!

Senang peuting hideung pink jeung apdet!

sumber: www.habr.com

Tambahkeun komentar