主持人 > 博客 > 管理 > 将检查点从 R77.30 更新到 80.20

将检查点从 R77.30 更新到 80.20

将检查点从 R77.30 更新到 80.20

2019 年秋季,Check Point 停止支持 R77.XX 版本,需要更新。关于版本之间的差异以及切换到 R80 的优缺点,我们已经说了很多。让我们更好地讨论如何实际更新 Check Point 虚拟设备(适用于 VMware ESXi、Hyper-V、KVM 网关 NGTP 的 CloudGuard)以及可能出现的问题。

因此,我们有 2 位 CCSE 工程师、十多个 Check Point R77.30 虚拟集群、几个云、一些修补程序以及一大堆各种错误、故障等,各种颜色和大小,并且期限也非常紧迫。我们走吧!

内容:

训练
更新管理服务器
更新集群

将检查点从 R77.30 更新到 80.20

这就是具有虚拟 Check Point 的典型客户云基础设施的样子

训练

第一步是检查是否有足够的资源用于更新。目前推荐的 R80.20 最低要求如下:

设备

中央处理器

内存

硬盘

安全网关

2核心

4千兆

15 GB 起

短信

2核心

6千兆

-

文档中描述了建议 CP_R80.20_GA_Release_Notes CP_RXNUMX_GA_Release_Notes.

但我们会现实一点。如果这在最低限度的配置中就足够了,那么,正如实践所示,我们通常会启用 https 检查、在 SMS 上运行 SmartEvent 等,当然,这需要完全不同的容量。但总的来说,不超过R77.30。

但也存在细微差别。首先,它们与物理内存的大小有关。更新过程中直接进行的许多操作都需要硬盘空间。

对于管理服务器,可用磁盘空间的大小在很大程度上取决于当前日志的量(如果我们想保存它们)和保存的数据库修订的数量,尽管我们将不再需要它们大量。当然,对于集群节点(除非你也在本地存储日志)这一切都无关紧要。以下是检查是否有所需空间的方法:

  1. 我们通过 ssh 连接到智能管理服务器,进入专家模式并输入命令:

    [专家@cp-sms:0]# df -h

  2. 在输出中我们将看到类似这样的配置:

    文件系统        已用大小 可用 使用% 安装于
    /dev/mapper/vg_splat-lv_current 30G 7.4G 21G 27% /
    /dev/sda1 289M 24M 251M 9% /boot
    tmpfs 2.0G 0 2.0G 0% /dev/shm
    /dev/mapper/vg_splat-lv_log 243G 177G 53G 78% /var/log

  3. 我们目前对该部分感兴趣 在/ var /日志

请注意,根据存储和删除旧日志文件的策略以及导出数据库的大小,可能需要更多空间。如果在创建存档时可用空间少于日志文件存储策略中指定的空间,系统将开始删除旧日志并且不会将它们包含在存档中。

此外,对于更新过程本身,系统将需要至少 13 GB 的未分配硬盘空间。您可以使用以下命令检查它的存在:

[专家@cp-sms:0]# pvs

我们会看到这样的东西:

PV VG Fmt 属性 PSize PFree
/dev/sda3 vg_splat lvm2 a- 141.69G 43.69G

在本例中,我们有 43 GB。有足够的资源。就可以开始更新了。

更新 Check Point SMS 管理服务器

在开始工作之前,您需要执行以下操作:

  1. 在管理服务器上安装迁移工具包。为此,您需要从门户下载图像 检查点.
  2. 通过WinSCP将存档上传到管理服务器的文件夹中 /var/log/UpgradeR77.30_R80.20 (如有必要,请先创建一个文件夹)。
  3. 通过 SSH 连接到管理服务器并转到包含存档的文件夹:cd /var/log/UpgradeR77.30_R80.20/
  4. 解压文件:tar -zxvf ./.tgz
  5. 我们使用以下命令启动 pre_upgrade_verifier 实用程序: ./pre_upgrade_verifier -p $FWDIR -c R77 -t R80.20
  6. 执行该命令后,将生成有关不兼容设置的报告。它可以在以下位置获得: /opt/CPsuite-R77/fw1/log/pre_upgrade_verification_report。(xls、html、txt)。 通过SCP上传,通过浏览器观看比较方便。
    要解决任何不兼容的设置,请使用 SK117237.
  7. 然后重新运行 pre_upgrade_verifier 实用程序以确保所有不兼容的原因均已消除。
  8. 接下来,我们收集有关网络接口、路由表的信息并上传 GAIA 配置:
    ip a > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
    ip r > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
    clish -c“显示配置”> /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
  9. 通过 SCP 上传生成的文件。
  10. 我们在虚拟化级别拍摄快照。
  11. 我们将 SSH 会话的超时时间增加到 8 小时。这取决于你的运气:根据导出数据库的大小,它可能会持续几分钟到几个小时。为了这: 
    [Expert@HostName]# clish -c "显示不活动超时" 查看当前的超时 clish,

    [Expert@HostName]# clish -c "设置不活动超时 720" 指定新的超时 clish(以分钟为单位),

    [专家@主机名]# echo $TMOUT 查看当前超时专家模式,

    [专家@主机名]# 导出 TMOUT=3600 指定新的超时专家模式(以秒为单位),如果将该值设置为0,则超时将被禁用。

  12. 我们下载 SMS.iso 安装映像并将其挂载到虚拟机。

    在执行下一步之前,请务必仔细检查硬盘驱动器上是否有足够的未分配空间(请记住,您需要 13 GB)。 

  13. 在开始导出配置之前,请使用以下命令更改日志文件: 固件日志开关

导出配置和日志

  1. 运行 migrate_export 实用程序以下载配置。为此,请转到之前创建的文件夹: cd /var/log/UpgradeR77.30_R80.20/ 并使用命令: ./migrate 导出-l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

    转到文件夹: cd $FWDIR/bin/upgrade_tools/ и
    从那里运行命令: ./migrate 导出-l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

  2. 我们从存档中删除校验和: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz
  3. 将结果值保存到记事本。
  4. 我们通过 SCP 连接到 SMS 并将包含配置的存档上传到工作站。请务必使用二进制格式的文件传输。

导出安全事件监控数据库

这里我们需要预装的短信版本R80。任何测试都可以。 

  1. 对于短信,我们需要一个位于此处的脚本:$RTDIR/bin/eva_db_backup.csh
  2. 通过SCP加载脚本 eva_db_backup.csh 到文件夹: /var/log/UpgradeR77.30_R80.20/
  3. 通过 SSH 连接到 SMS。将文件复制到文件夹: cp /var/log/UpgradeR77.30_R80.20/eva_db_backup.csh
    $RTDIR/bin/eva_db_backup.csh
  4. 更改编码: dos2unix $RTDIR/bin/eva_db_backup.csh
  5. 添加所有者: chown -v admin:root $RTDIR/bin/eva_db_backup.csh
  6. 添加权限: chmod -v 0755 $RTDIR/bin/eva_db_backup.csh
  7. 让我们开始导出 SmartEvent 数据库: $RTDIR/bin/eva_db_backup.csh
  8. 通过SCP上传收到的文件: $RTDIR/bin/-db-backup.backup и $RTDIR/bin/eventiaUpgrade.tar 到工作站。

更新

  1. 去吧 WebUI GAIA SMS → CPUUSE → 显示所有包。
  2. 如果 CPUUSE 连接到 Check Point 云时出错,请检查 DGW、DNS 和代理设置。
  3. 如果一切正确,并且错误没有消失,那么您需要手动更新 CPUSE,指导如下 sk92449.
  4. 下载图像并浏览 验证者。 如有必要,我们会消除不一致之处。

    结果,您应该看到以下消息:

    将检查点从 R77.30 更新到 80.20

  5. 选择 R80.20 安全管理全新安装和升级。
  6. 安装更新时,选择全新安装。安装后,系统将重新启动。
  7. 我们第一次通过 向导。
  8. 获得访问权限后,我们检查帐户。
  9. 我们通过 SSH 连接到 SMS 并将用户的 shell 更改为 /bin/bash/:

    设置用户 shell /bin/bash/

    保存配置 (如果我们想在重新启动后将 bin/bash/ 保留为默认 shell)。

  10. 接下来,我们通过 SCP 连接到 SMS 并使用二进制模式的配置传输存档 SMS_w_logs_export_r77_r80.tgz 到文件夹 /var/log/UpgradeR77.30_R80.20/
  11. 我们从存档中删除校验和: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz 并与之前的值进行比较。校验和必须匹配。
  12. 我们将 SSH 会话的超时时间增加到 8 小时。为了这:

    [Expert@HostName]# clish -c "显示不活动超时" 查看当前的超时 clish,

    [Expert@HostName]# clish -c "设置不活动超时 720" 指定新的超时 clish(以分钟为单位),

    [专家@主机名]# echo $TMOUT 查看当前超时专家模式,

    [专家@主机名]# 导出 TMOUT=3600 指定新的超时专家模式(以秒为单位)。如果将该值设置为 0,则将禁用超时。

  13. 要导入设置,请运行迁移导入实用程序。为此,请转到文件夹: cd $FWDIR/bin/upgrade_tools/并运行导入: ./迁移小鬼
    ort -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

让我们享受接下来的几个小时的生活吧。在此过程中请勿断开您的 SSH 会话。最后,迁移过程将显示成功消息或错误。 

更新后的清单

  1. 资源的可用性。
  2. SIC 与 GW。
  3. 许可证。如果许可证显示不正确或短信上未显示许可证,请运行命令 vsec_central_licence 用于许可证分发。
  4. 制定政策。 

导入 SmartEvent 数据库

  1. 激活 SmartEvent 刀片。
  2. 我们通过 WinSCP 连接到 SMS 并以二进制模式传输以前下载的文件 -db-backup.backup и eventia升级.tar 到文件夹 /var/log/UpgradeR77.30_R80.20/
  3. 我们使用以下命令运行脚本: $RTDIR/bin/eventiaUpgrade.sh -upgrade /var/log/UpgradeR77.30_R80.20/eventiaUpgrade.tar
  4. 检查状态: watch -n 10 eventiaUpgrade.sh
  5. 检查 SmartEvent 中的日志。 梦!

更新 Check Point GW 集群(主用/备份)

开始工作之前

  1. 我们将每个集群节点的 GAIA 配置保存到一个文件中,为此,请使用以下命令: clish -c "显示配置" > ./.txt
  2. 使用 WinSCP 上传文件。
  3. 连接两个节点的WebUI并进入选项卡 CPUSE → 显示所有包。
  4. 找到对应版本的更新包 R80.20全新安装下载。
  5. 我们检查CCP协议是否工作在该模式下 播送,为此,请输入命令: cphaprob -a 如果
    如果选择了模式 多播,将其替换为命令: cphaconf set_ccp 广播 (该命令在每个节点上执行)。
  6. 我们为您的监控系统中涉及的节点安装停机时间。
  7. 我们检查参数是否在虚拟化级别启用 MAC 地址更改 и 锻造发射机 用于同步网络。

更新

  1. 我们通过 ssh 连接到活动节点并运行命令来监控集群的状态: watch -n 2 cphaprob 统计数据
  2. 返回 WebUI 备用节点选项卡 中央处理器 对于所选的包 R80.20全新安装 发射 验证者。
  3. 我们来分析一下Verifier报告。如果允许安装,请继续。
  4. 选择套餐 R80.20全新安装 并启动 升级。升级过程中,系统将重新启动。 GAIA 设置已保存。重新启动时,我们监视集群的状态。加载后,更新节点的状态应更改为 READY。在很多情况下,我们遇到过这样的情况:尚未更新的节点切换到 Active Attention 状态并停止显示更新节点的状态。不要惊慌 - 这个选项也是可以接受的。
  5. 更新完成后,打开 智能仪表板。
  6. 打开集群对象并将集群版本从 R77.30 更改为 R80.20。单击“确定”。如果保存更改时出现错误:
    发生了一个内部的错误。 (代码:0x8003001D,无法访问文件进行写操作),
    跟随 SK119973。之后,保存更改并单击 安装策略。
  7. 在设置中,取消选中该选项 对于网关集群,如果在集群成员上安装失败,请勿在该集群上安装。
  8. 我们制定了政策。系统将为尚未更新的活动节点生成错误。
  9. 我们通过 ssh 连接到更新后的节点并运行命令来监视集群的状态: watch -n 2 cphaprob 统计数据
  10. 连接到 WebUI Active 节点并转到选项卡 CPUSE → 显示所有包。找到对应版本的更新包 R80.20全新安装, 点击 下载。
  11. 我们为您的监控系统中涉及的节点安装停机时间。
  12. 返回到 WebUI 活动节点选项卡 中央处理器 对于所选的包 R80.20全新安装 发射 验证者。
  13. 我们来分析一下Verifier报告。如果允许安装,请继续。
  14. 选择套餐 R80.20全新安装 并启动 升级。 升级过程中,系统将重新启动。 GAIA 设置已保存。重新启动时,我们监视已更新节点上的集群状态。重新启动后,更新节点上的集群状态将从 READY 更改为 ACTIVE。
  15. 升级过程完成后,启动 SmartDashboard 并设置策略。

更新后的清单

  • SmartLog 中的事件日志、VPN 隧道的状态。
  • 盖亚设置。
  • 测试故障转移后恢复集群。
  • 许可证和合同。如果License显示不正确或者短信上未显示License,请执行以下命令。 vsec_central_licence 用于许可证分发。
  • 核心XL。
  • 安全XL。
  • 两个节点上的 Hotfix 和 CPinfo。

结论

总的来说,这就是全部了——你已经更新了。

对于我们来说,整个过程平均需要 6 到 12 小时,具体取决于导出数据库的大小。这项工作花了两个晚上进行:一个晚上更新短信,第二个晚上更新集群。

尽管我们自己检查了所有上述错误,但并没有出现交通中断。

当然,有时更新过程中可能会出现全新的困难,但这是 Check Point,众所周知,总有修补程序!

黑色和粉红色的夜晚和更新快乐!

来源: habr.com

添加评论