ProHoster > blogg > administration > Uppdaterar Check Point från R77.30 till 80.20

Uppdaterar Check Point från R77.30 till 80.20

Uppdaterar Check Point från R77.30 till 80.20

Hösten 2019 slutade Check Point att stödja versionerna R77.XX och det var nödvändigt att uppdatera. Mycket har redan sagts om skillnaden mellan versionerna, för- och nackdelarna med att byta till R80. Låt oss prata om hur man faktiskt uppdaterar Check Point virtuella apparater (CloudGuard för VMware ESXi, Hyper-V, KVM Gateway NGTP) och vad som kan gå fel.

Så vi hade 2 CCSE-ingenjörer, mer än ett dussin Check Point R77.30 virtuella kluster, flera moln, några snabbkorrigeringar och ett helt hav av olika buggar, fel och allt det där, i alla färger och storlekar, och också mycket snäva deadlines. Nu går vi!

Innehåll:

Utbildning
Uppdaterar hanteringsservern
Uppdaterar klustret

Uppdaterar Check Point från R77.30 till 80.20

Så här ser en typisk klients molninfrastruktur med virtuell Check Point ut

Utbildning

Det första steget är att kontrollera om det finns tillräckligt med resurser för uppdateringen. De rekommenderade minimikraven för R80.20 ser för närvarande ut så här:

Anordning

CPU

RAM

HDD

Säkerhetsgateway

2 kärna

4 Gb

Från 15 GB

SMS

2 kärna

6 Gb

-

Rekommendationer beskrivs i dokumentet CP_R80.20_GA_Release_Notes.

Men vi kommer att vara realistiska. Om detta räcker i den mest minimala konfigurationen, så har vi, som praxis visar, vanligtvis https-inspektion aktiverad, SmartEvent körs på SMS, etc., vilket naturligtvis kräver helt andra kapaciteter. Men i allmänhet inte mer än för R77.30.

Men det finns nyanser. Och de relaterar först och främst till storleken på fysiskt minne. Många operationer direkt under uppdateringsprocessen kräver hårddiskutrymme.

För hanteringsservern kommer storleken på ledigt diskutrymme mycket att bero på volymen av aktuella loggar (om vi vill spara dem) och på antalet sparade databasrevisioner, även om vi inte längre kommer att behöva dem i stora mängder. Naturligtvis spelar allt detta ingen roll för klusternoder (såvida du inte också lagrar loggar lokalt). Så här kontrollerar du om du har det utrymme du behöver:

  1. Vi ansluter till Smart Management Server via ssh, går till expertläge och anger kommandot:

    [Expert@cp-sms:0]# df -h

  2. Vid utgången kommer vi att se något i stil med denna konfiguration:

    Filsystem Storlek använd Tillgänglig användning% monterad på
    /dev/mapper/vg_splat-lv_current 30G 7.4G 21G 27% /
    /dev/sda1 289M 24M 251M 9% /boot
    tmpfs 2.0G 0 2.0G 0% /dev/shm
    /dev/mapper/vg_splat-lv_log 243G 177G 53G 78% /var/log

  3. Vi är just nu intresserade av avsnittet / Var / log

Observera att beroende på policyn för att lagra och ta bort gamla loggfiler, samt storleken på den exporterade databasen, kan mer utrymme behövas. Om, när du skapar ett arkiv, det finns mindre ledigt utrymme än vad som anges i loggfillagringspolicyn, kommer systemet att börja radera gamla loggar och kommer INTE att inkludera dem i arkivet.

Dessutom kommer systemet att behöva minst 13 GB oallokerat hårddiskutrymme för själva uppdateringsprocessen. Du kan kontrollera dess närvaro med kommandot:

[Expert@cp-sms:0]# pvs

Vi kommer att se något sånt här:

PV VG Fmt Attr PSize PFree
/dev/sda3 vg_splat lvm2 a- 141.69G 43.69G

I det här fallet har vi 43 GB. Det finns tillräckligt med resurser. Du kan börja uppdatera.

Uppdaterar Check Point SMS-hanteringsserver

Innan du börjar arbeta måste du göra följande:

  1. Installera Migration Tools-paketet på hanteringsservern. För att göra detta måste du ladda ner bilden från portalen Check Point.
  2. Ladda upp arkivet till hanteringsservern via WinSCP till mappen /var/log/UpgradeR77.30_R80.20 (om nödvändigt, skapa en mapp först).
  3. Anslut till hanteringsservern via SSH och gå till mappen med arkivet:cd /var/log/UpgradeR77.30_R80.20/
  4. Packa upp filen:tar -zxvf ./<filnamn>.tgz
  5. Vi startar pre_upgrade_verifier-verktyget med kommandot: ./pre_upgrade_verifier -p $FWDIR -c R77 -t R80.20
  6. Vid körning av kommandot kommer en rapport om inkompatibla inställningar att genereras. Den finns på: /opt/CPsuite-R77/fw1/log/pre_upgrade_verification_report.(xls, html, txt). Det är bekvämare att ladda upp det via SCP och titta på det via en webbläsare.
    För att lösa eventuella inkompatibla inställningar, använd SK117237.
  7. Kör sedan om verktyget pre_upgrade_verifier för att se till att alla orsaker till inkompatibilitet elimineras.
  8. Därefter samlar vi in ​​information om nätverksgränssnitt, routingtabellen och laddar upp GAIA-konfigurationen:
    ip a > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
    ip r > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
    clish -c "visa konfiguration" > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
  9. Ladda upp den resulterande filen via SCP.
  10. Vi tar en ögonblicksbild på virtualiseringsnivå.
  11. Vi ökar timeouten för SSH-sessionen till 8 timmar. Det beror på din tur: beroende på storleken på den exporterade databasen kan den pågå från flera minuter till flera timmar. För detta: 
    [Expert@HostName]# clish -c "visa timeout för inaktivitet" titta på den aktuella timeout-clishen,

    [Expert@HostName]# clish -c "set inactivity-timeout 720" ange den nya timeout clish (i minuter),

    [Expert@HostName]# eko $TMOUT titta på det aktuella expertläget för timeout,

    [Expert@HostName]# export TMOUT=3600 ange det nya expertläget för timeout (i sekunder), om du ställer in värdet till 0, kommer timeout att inaktiveras.

  12. Vi laddar ner och monterar SMS.iso installationsbilden till den virtuella maskinen.

    Innan nästa steg, SE till att dubbelkolla att du har tillräckligt med oallokerat utrymme på din hårddisk (kom ihåg att du behöver 13 GB). 

  13. Innan du börjar exportera konfigurationen, ändra loggfilen med kommandot: fw loggbrytare

Exportera konfiguration och loggar

  1. Kör verktyget migrate_export för att ladda ner konfigurationen. För att göra detta, gå till den tidigare skapade mappen: cd /var/log/UpgradeR77.30_R80.20/ och använd kommandot: ./migrate export -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

    eller

    gå till mappen: cd $FWDIR/bin/upgrade_tools/ и
    kör kommandot därifrån: ./migrate export -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

  2. Vi tar bort checksumma från arkivet: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz
  3. Spara det resulterande värdet i anteckningsblocket.
  4. Vi ansluter till SMS via SCP och laddar upp arkivet med konfigurationen till arbetsstationen. Se till att använda filöverföring i binärt format.

Exportera SmartEvent-databas

Här behöver vi den förinstallerade SMS-versionen R80. Alla test duger. 

  1. Från SMS behöver vi ett skript som finns här:$RTDIR/bin/eva_db_backup.csh
  2. Ladda skriptet via SCP eva_db_backup.csh till mapp: /var/log/UpgradeR77.30_R80.20/
  3. Anslut via SSH till SMS. Kopiera fil till mapp: cp /var/log/UpgradeR77.30_R80.20/eva_db_backup.csh
    $RTDIR/bin/eva_db_backup.csh
  4. Ändra kodningen: dos2unix $RTDIR/bin/eva_db_backup.csh
  5. Lägga till ägaren: chown -v admin:root $RTDIR/bin/eva_db_backup.csh
  6. Lägg till rättigheter: chmod -v 0755 $RTDIR/bin/eva_db_backup.csh
  7. Låt oss börja exportera SmartEvent-databasen: $RTDIR/bin/eva_db_backup.csh
  8. Ladda upp de mottagna filerna via SCP: $RTDIR/bin/<datum>-db-backup.backup и $RTDIR/bin/eventiaUpgrade.tar till arbetsstationen.

Uppdatera

  1. Gå till WebUI GAIA SMS → CPUSE → Visa alla paket.
  2. Om CPUSE ger ett fel vid anslutning till Check Point-molnet, kontrollera DGW, DNS och proxyinställningar.
  3. Om allt är korrekt och felet inte försvinner, måste du uppdatera CPUSE manuellt, guidad av sk92449.
  4. Ladda ner bilden och gå igenom Bekräftare. Vid behov eliminerar vi inkonsekvenser.

    Som ett resultat bör du se detta meddelande:

    Uppdaterar Check Point från R77.30 till 80.20

  5. Välj R80.20 Nyinstallation och uppgradering för säkerhetshantering.
  6. När du installerar uppdateringen väljer du Ren installation. Efter installationen kommer systemet att starta om.
  7. Vi passerar First Time Trollkarl.
  8. Efter att ha fått tillgång kontrollerar vi kontona.
  9. Vi ansluter till SMS via SSH och ändrar vår användares skal till /bin/bash/:

    ställ in användar <användarnamn> skal /bin/bash/

    spara konfiguration (om vi vill lämna bin/bash/ som standardskal efter omstart).

  10. Därefter ansluter vi till SMS via SCP och överför arkivet med konfigurationen i binärt läge SMS_w_logs_export_r77_r80.tgz till en mapp /var/log/UpgradeR77.30_R80.20/
  11. Vi tar bort checksumma från arkivet: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz och jämför med föregående värde. Kontrollsumman måste matcha.
  12. Vi ökar timeouten för SSH-sessionen till 8 timmar. För detta:

    [Expert@HostName]# clish -c "visa timeout för inaktivitet" titta på den aktuella timeout-clishen,

    [Expert@HostName]# clish -c "set inactivity-timeout 720" ange den nya timeout clish (i minuter),

    [Expert@HostName]# eko $TMOUT titta på det aktuella expertläget för timeout,

    [Expert@HostName]# export TMOUT=3600 ange det nya expertläget för timeout (i sekunder). Om du ställer in värdet till 0, kommer timeout att inaktiveras.

  13. För att importera inställningar, kör verktyget migrera import. För att göra detta, gå till mappen: cd $FWDIR/bin/upgrade_tools/och kör importen: ./migrera imp
    ort -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

Låt oss njuta av livet de kommande timmarna. KOPPLA INTE ifrån din SSH-SESSION under proceduren. I slutet kommer migreringsprocessen antingen att visa ett framgångsrikt meddelande eller ett fel. 

Checklista efter uppdatering

  1. Tillgänglighet av resurser.
  2. SIC med GW.
  3. Licenser. Om licenser visas felaktigt eller inte visas på SMS, kör kommandot vsec_central_licence för licensdistribution.
  4. Fastställer policyn. 

Importerar SmartEvent-databas

  1. Aktivera SmartEvent-bladet.
  2. Vi ansluter via WinSCP till SMS och överför tidigare nedladdade filer i binärt läge <datum>-db-backup.backup и eventiaUpgrade.tar till en mapp /var/log/UpgradeR77.30_R80.20/
  3. Vi kör skriptet med kommandot: $RTDIR/bin/eventiaUpgrade.sh -upgrade /var/log/UpgradeR77.30_R80.20/eventiaUpgrade.tar
  4. Kontrollera status: titta -n 10 eventiaUpgrade.sh
  5. Kontrollerar loggarna i SmartEvent. DRÖM!

Uppdatering av Check Point GW-klustret (aktiv/backup)

Innan du börjar arbeta

  1. Vi sparar GAIA-konfigurationen från varje klusternod till en fil, för att göra detta använder vi kommandot: clish -c "visa konfiguration" > ./<Filnamn>.txt
  2. Ladda upp filer med WinSCP.
  3. Anslut till webbgränssnittet för båda noderna och gå till fliken CPUSE → Visa alla paket.
  4. Hitta uppdateringspaketet för versionen R80.20 Nyinstallerad, Tryck Hämta.
  5. Vi kontrollerar att CCP-protokollet fungerar i läget Utsända, för att göra detta, skriv in kommandot: cphaprob -a if
    Om läget är valt multicast, ersätt det med kommandot: cphaconf set_ccp sändning (kommandot exekveras på varje nod).
  6. Vi installerar Downtime för de inblandade noderna i ditt övervakningssystem.
  7. Vi kontrollerar att parametrarna är aktiverade på virtualiseringsnivå Ändra MAC-adress и Smidda sändningar för ett synknätverk.

Uppdatera

  1. Vi ansluter via ssh till den aktiva noden och kör kommandot för att övervaka klustrets status: titta -n 2 cphaprob stat
  2. Återgå till fliken WebUI Stanby noder CPUSE och för det valda paketet R80.20 Nyinstallerad lansera Bekräftare.
  3. Låt oss analysera Verifier-rapporten. Om installationen är tillåten, gå vidare.
  4. Välj ett paket R80.20 Nyinstallerad och lansera Uppgradera. Under uppgraderingsprocessen kommer systemet att starta om. GAIA-inställningarna sparas. Vid tidpunkten för omstart övervakar vi klustrets tillstånd. Efter laddning bör statusen för den uppdaterade noden ändras till READY. I ett antal fall stötte vi på ett ögonblick då en nod som ännu inte hade uppdaterats bytte till statusen Active Attention och slutade visa statusen för den uppdaterade noden. Var inte orolig - det här alternativet är också acceptabelt.
  5. Öppna när uppdateringen är klar Smart Dashboard.
  6. Öppna klusterobjektet och ändra klusterversionen från R77.30 till R80.20. Klicka på OK. Om ett fel visas när ändringarna sparas:
    Ett internt fel har uppstått. (Kod: 0x8003001D, kunde inte komma åt filen för skrivoperation),
    Följ SK119973. Efter det, spara ändringarna och klicka Installationspolicy.
  7. Avmarkera alternativet i inställningarna För gateway-kluster, om installationen på en klustermedlem misslyckas, installera inte på det klustret.
  8. Vi sätter policyn. Systemet kommer att generera ett fel för en aktiv nod som ännu inte har uppdaterats.
  9. Vi ansluter till den uppdaterade noden via ssh och kör kommandot för att övervaka klustrets tillstånd: titta -n 2 cphaprob stat
  10. Anslut till WebUI Active-noden och gå till fliken CPUSE → Visa alla paket.Hitta uppdateringspaketet för versionen R80.20 Nyinstallerad, Tryck Hämta.
  11. Vi installerar Downtime för de inblandade noderna i ditt övervakningssystem.
  12. Återgå till fliken WebUI Active nodes CPUSE och för det valda paketet R80.20 Nyinstallerad lansera Bekräftare.
  13. Låt oss analysera Verifier-rapporten. Om installationen är tillåten, gå vidare.
  14. Välj ett paket R80.20 Nyinstallerad och lansera Uppgradera. Under uppgraderingsprocessen kommer systemet att starta om. GAIA-inställningarna sparas. Vid tidpunkten för omstart övervakar vi klustrets tillstånd på den redan uppdaterade noden. Efter omstarten kommer klustertillståndet på den uppdaterade noden att ändras från READY till ACTIVE.
  15. När uppgraderingsprocessen är klar, starta SmartDashboard och installera policyn.

Checklista efter uppdatering

  • Händelseloggar i SmartLog, status för VPN-tunnlar.
  • GAIA-inställningar.
  • Återställer ett kluster efter ett testfailover.
  • Licenser och kontrakt. Om licenser visas felaktigt eller inte visas på SMS, kör kommandot. vsec_central_licence för licensdistribution.
  • CoreXL.
  • SecureXL.
  • Snabbkorrigering och CPinfo på två noder.

Slutsats

I allmänhet är det allt vid det här laget - du har blivit uppdaterad.

För oss tog hela processen i genomsnitt från 6 till 12 timmar, beroende på storleken på de exporterade databaserna. Arbetet genomfördes under två nätter: en för uppdatering av SMS, den andra för klustret.

Det blev ingen trafikstopp, trots att vi kontrollerat alla ovan nämnda fel på oss själva.

Självklart kan det ibland uppstå helt nya svårigheter under uppdateringsprocessen, men det här är Check Point, och som vi alla vet finns det alltid en snabbfix!

Glada svarta och rosa nätter och uppdateringar!

Källa: will.com

Lägg en kommentar