ProHoster > Блог > адміністрування > Міграція з Check Point з R77.30 на R80.10

Міграція з Check Point з R77.30 на R80.10

Міграція з Check Point з R77.30 на R80.10

Здрастуйте колеги, ласкаво просимо на урок з міграції баз даних Check Point R77.30 на R80.10.

При використанні продуктів компанії Check Point рано чи пізно постає завдання міграції існуючих правил та бази даних об'єктів з наступних причин:

  1. При покупці нового пристрою необхідно мігрувати базу даних зі старого пристрою на новий пристрій (на поточну версію GAIA OS або вище).
  2. Потрібно оновити пристрій з однієї версії GAIA OS на більш високу версію на локальній машині.

Для вирішення першої задачі підходить тільки використання інструменту під назвою Management Server Migration Tool або просто Migration Tool. Для вирішення задачі №2 може використовуватись рішення CPUSE або Migration Tool.
Далі розглянемо більш детально обидва методи.

Оновлення на новий пристрій

Міграція бази даних передбачає встановлення останньої версії Management на нову машину, а потім міграцію бази даних з існуючого сервера керування безпекою на новий за допомогою інструменту Migration Tool. Цей метод мінімізує ризик оновлення існуючої конфігурації.

Для того, щоб змігрувати базу даних за допомогою Migration Tool потрібно відповідати вимогам:

  1. Вільного місця на диску має бути більшим, ніж розмір архіву експортованої бази даних, у 5 разів.
  2. На цільовому сервері налаштування мережі повинні збігатися з сервером джерела.
  3. Створення бекапу. Експорт бази даних необхідно проводити на віддалений сервер.
    В операційній системі GAIA вже стоїть інструмент Migration Tool, його можна використовувати при імпортуванні бази даних або міграції на версію операційної системи ідентичної початкової. Для того, щоб змігрувати базу даних на вищу версію операційної системи, необхідно завантажити Migration Tool відповідної версії з розділу «Інструменти» на сайті підтримки Check Point R80.10:
  4. Бекап та міграція SmartEvent / SmartReporter Server. Утиліти 'backup' та 'migrate export' не включають дані баз SmartEvent database/SmartReporter database.
    Для бекапу та міграції потрібно використовувати утиліти 'eva_db_backup' або 'evs_backup'.
    Примітка: стаття sk110173 у базі знань CheckPoint.

Розглянемо які функції містить цей інструмент:

Міграція з Check Point з R77.30 на R80.10

Перш ніж безпосередньо перейти до міграції даних, необхідно спочатку розархівувати завантажений інструмент Migration Tool у папку “/opt/CPsuite-R77/fw1/bin/upgrade_tools/ ”, експортування бази слід робити, використовуючи команди з каталогу, куди ви розархівували інструмент.

Перш ніж запускати команду для експорту або імпорту, закрийте всі клієнти SmartConsole або запустіть cpstop на сервер керування безпекою.

Щоб створити файл експорту бази даних управління на вихідному сервері:

  1. Увійдіть у режим expert.
  2. Запустіть засіб попередньої перевірки: pre_upgrade_verifier -p $FWDIR -c R77 -t R80.10. Якщо є помилки, виправте їх перед продовженням.
  3. Запустіть: ./migrate export filename.tgz. Команда експортує вміст бази даних Security Management Server у файл TGZ.
  4. Дотримуйтесь інструкцій. База даних експортується до файлу, який ви назвали у команді. Переконайтеся, що ви визначили його як TGZ.
  5. Якщо SmartEvent інстальовано на вихідному сервері, експортуйте базу даних подій.

Далі імпортуємо бази даних сервера безпеки, яку експортували. Перед початком: встановіть R80 Security Management Server. Нагадую, що налаштування мережі нового Management Server R80.10 повинні збігатися з налаштуваннями старого сервера.

Щоб імпортувати конфігурацію сервера управління:

  1. Увійдіть у режим expert.
  2. Передайте (з FTP, SCP або аналогічний) експортований конфігураційний файл на віддалений сервер, зібраний з джерела на новий сервер.
  3. Вимкніть вихідний сервер від мережі.
  4. Надайте файл конфігурації з віддаленого сервера на новий сервер.
  5. Розрахуйте MD5 для перенесеного файлу та порівняйте з MD5, який був розрахований на вихідному сервері: # md5sum filename.tgz
  6. Імпортувати базу даних: ./migrate import filename.tgz
  7. Перевірка поновлення.

По завершенню 7 пункту резюмуємо, що міграція бази даних пройшла успішно за допомогою Migration Tool, у разі невдачі можна завжди включити вихідний сервер, внаслідок чого робота ніяк не постраждає.

Варто зазначити, що міграція зі standalone сервера не підтримується.

Локальне оновлення

CPUSE (Check Point Upgrade Service Engine) дозволяє автоматично оновлювати продукти Check Point для Gaia. Пакети оновлення програмного забезпечення розділені за категоріями, зокрема major releases, minor releases and Hotfixes. Gaia автоматично знаходить і показує доступні пакети оновлень програмного забезпечення та образи, що стосуються версії операційної системи Gaia, на яку можна оновитись. За допомогою CPUSE можна зробити чисте встановлення нової версії GAIA OS, так і виконати оновлення системи з міграцією бази даних.

Щоб оновитись на вищу версію або виконати чисту установку з використанням CPUSE, на машині має бути достатньо вільного (нерозподіленого) місця – як мінімум у розмірі кореневого розділу.

Перехід на нову версію виконується на новому розділі жорсткого диска, а старий розділ перетворюється на Gaia Snapshot (новий простір розділу береться з нерозподіленого простору на жорсткому диску). Також перед оновленням системи буде правильно зробити snapshot та завантажити його на віддалений сервер.

Процес оновлення:

  1. Перевірте пакет оновлення (якщо ви цього ще не зробили) — перевірте, чи можна встановити цей пакет без конфліктів: клацніть правою кнопкою миші на пакеті — натисніть «Verifier».

    Результат має бути приблизно такий:

    • Installation is allowed
    • Upgrade is allowed
  2. Встановіть пакет: клацніть правою кнопкою миші пакет та натисніть «Upgrade»:
    CPUSE показує наступне попередження в Gaia Portal: Після цього оновлення, вони будуть автоматично перероблені (Existing OS settings and Check Point Database are preserved).
  3. Ви побачите відповідний прогрес міграції даних після оновлення до R80.10:
    • Upgrading Products
    • Importing Database
    • Налаштування продуктів
    • Creating SIC Data
    • Stopping Processes
    • Starting Processes
    • Installed, self-test passed
  4. Система автоматично перезавантажиться
  5. Інсталювання політики у SmartConsole

Як бачите, все проходить дуже просто, у разі виникнення проблеми можна зробити відкат на старі налаштування за допомогою зробленого snapshot.

Практика

У представленому відео уроці міститься теоретична та практична частина. Перша половина відео дублює описану теоретичну частину, а практичному прикладі показано міграція даних з допомогою обох методів.

Висновок

У цьому уроці ми розглянули рішення компанії Check Point щодо завдання оновлення та міграції баз даних об'єктів та правил. У випадку нового пристрою немає інших рішень, крім використання інструменту Migration Tool. Якщо ви хочете провести оновлення GAIA OS і у вас є бажання і можливість знову розгорнути машину, наша компанія радить, ґрунтуючись на існуючому досвіді, змігрувати базу даних за допомогою Migration Tool. Цей метод мінімізує ризик оновлення для існуючої конфігурації порівняно з CPUSE. Також при оновленні через CPUSE багато непотрібних старих файлів зберігаються на диску, і щоб їх видалити потрібен додатковий інструмент, що тягне за собою додаткові дії та нові ризики.

Якщо не хочете пропустити майбутні уроки, підписуйтесь до нашої групи VK, Youtube и Telegram. Якщо ж ви з якоїсь причини не змогли знайти потрібний документ або вирішити свою проблему з Check Point, можете сміливо звертатися до нам.

Джерело: habr.com

Додати коментар або відгук