2019 年秋季,Check Point 停止支持 R77.XX 版本,需要更新。关于版本之间的差异以及切换到 R80 的优缺点,我们已经说了很多。让我们更好地讨论如何实际更新 Check Point 虚拟设备(适用于 VMware ESXi、Hyper-V、KVM 网关 NGTP 的 CloudGuard)以及可能出现的问题。
因此,我们有 2 位 CCSE 工程师、十多个 Check Point R77.30 虚拟集群、几个云、一些修补程序以及一大堆各种错误、故障等,各种颜色和大小,并且期限也非常紧迫。我们走吧!
内容:
这就是具有虚拟 Check Point 的典型客户云基础设施的样子
训练
第一步是检查是否有足够的资源用于更新。目前推荐的 R80.20 最低要求如下:
设备
中央处理器
内存
硬盘
安全网关
2核心
4千兆
15 GB 起
短信
2核心
6千兆
-
文档中描述了建议
但我们会现实一点。如果这在最低限度的配置中就足够了,那么,正如实践所示,我们通常会启用 https 检查、在 SMS 上运行 SmartEvent 等,当然,这需要完全不同的容量。但总的来说,不超过R77.30。
但也存在细微差别。首先,它们与物理内存的大小有关。更新过程中直接进行的许多操作都需要硬盘空间。
对于管理服务器,可用磁盘空间的大小在很大程度上取决于当前日志的量(如果我们想保存它们)和保存的数据库修订的数量,尽管我们将不再需要它们大量。当然,对于集群节点(除非你也在本地存储日志)这一切都无关紧要。以下是检查是否有所需空间的方法:
- 我们通过 ssh 连接到智能管理服务器,进入专家模式并输入命令:
[专家@cp-sms:0]# df -h
- 在输出中我们将看到类似这样的配置:
文件系统 已用大小 可用 使用% 安装于
/dev/mapper/vg_splat-lv_current 30G 7.4G 21G 27% /
/dev/sda1 289M 24M 251M 9% /boot
tmpfs 2.0G 0 2.0G 0% /dev/shm
/dev/mapper/vg_splat-lv_log 243G 177G 53G 78% /var/log - 我们目前对该部分感兴趣 在/ var /日志
请注意,根据存储和删除旧日志文件的策略以及导出数据库的大小,可能需要更多空间。如果在创建存档时可用空间少于日志文件存储策略中指定的空间,系统将开始删除旧日志并且不会将它们包含在存档中。
此外,对于更新过程本身,系统将需要至少 13 GB 的未分配硬盘空间。您可以使用以下命令检查它的存在:
[专家@cp-sms:0]# pvs
我们会看到这样的东西:
PV VG Fmt 属性 PSize PFree
/dev/sda3 vg_splat lvm2 a- 141.69G 43.69G
在本例中,我们有 43 GB。有足够的资源。就可以开始更新了。
更新 Check Point SMS 管理服务器
在开始工作之前,您需要执行以下操作:
- 在管理服务器上安装迁移工具包。为此,您需要从门户下载图像
检查点 . - 通过WinSCP将存档上传到管理服务器的文件夹中 /var/log/UpgradeR77.30_R80.20 (如有必要,请先创建一个文件夹)。
- 通过 SSH 连接到管理服务器并转到包含存档的文件夹:cd /var/log/UpgradeR77.30_R80.20/
- 解压文件:tar -zxvf ./.tgz
- 我们使用以下命令启动 pre_upgrade_verifier 实用程序: ./pre_upgrade_verifier -p $FWDIR -c R77 -t R80.20
- 执行该命令后,将生成有关不兼容设置的报告。它可以在以下位置获得: /opt/CPsuite-R77/fw1/log/pre_upgrade_verification_report。(xls、html、txt)。 通过SCP上传,通过浏览器观看比较方便。
要解决任何不兼容的设置,请使用SK117237 . - 然后重新运行 pre_upgrade_verifier 实用程序以确保所有不兼容的原因均已消除。
- 接下来,我们收集有关网络接口、路由表的信息并上传 GAIA 配置:
ip a > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
ip r > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
clish -c“显示配置”> /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt - 通过 SCP 上传生成的文件。
- 我们在虚拟化级别拍摄快照。
- 我们将 SSH 会话的超时时间增加到 8 小时。这取决于你的运气:根据导出数据库的大小,它可能会持续几分钟到几个小时。为了这:
[Expert@HostName]# clish -c "显示不活动超时" 查看当前的超时 clish,[Expert@HostName]# clish -c "设置不活动超时 720" 指定新的超时 clish(以分钟为单位),
[专家@主机名]# echo $TMOUT 查看当前超时专家模式,
[专家@主机名]# 导出 TMOUT=3600 指定新的超时专家模式(以秒为单位),如果将该值设置为0,则超时将被禁用。
- 我们下载 SMS.iso 安装映像并将其挂载到虚拟机。
在执行下一步之前,请务必仔细检查硬盘驱动器上是否有足够的未分配空间(请记住,您需要 13 GB)。
- 在开始导出配置之前,请使用以下命令更改日志文件: 固件日志开关
导出配置和日志
- 运行 migrate_export 实用程序以下载配置。为此,请转到之前创建的文件夹: cd /var/log/UpgradeR77.30_R80.20/ 并使用命令: ./migrate 导出-l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz
或
转到文件夹: cd $FWDIR/bin/upgrade_tools/ и
从那里运行命令: ./migrate 导出-l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz - 我们从存档中删除校验和: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz
- 将结果值保存到记事本。
- 我们通过 SCP 连接到 SMS 并将包含配置的存档上传到工作站。请务必使用二进制格式的文件传输。
导出安全事件监控数据库
这里我们需要预装的短信版本R80。任何测试都可以。
- 对于短信,我们需要一个位于此处的脚本:$RTDIR/bin/eva_db_backup.csh
- 通过SCP加载脚本 eva_db_backup.csh 到文件夹: /var/log/UpgradeR77.30_R80.20/
- 通过 SSH 连接到 SMS。将文件复制到文件夹: cp /var/log/UpgradeR77.30_R80.20/eva_db_backup.csh
$RTDIR/bin/eva_db_backup.csh - 更改编码: dos2unix $RTDIR/bin/eva_db_backup.csh
- 添加所有者: chown -v admin:root $RTDIR/bin/eva_db_backup.csh
- 添加权限: chmod -v 0755 $RTDIR/bin/eva_db_backup.csh
- 让我们开始导出 SmartEvent 数据库: $RTDIR/bin/eva_db_backup.csh
- 通过SCP上传收到的文件: $RTDIR/bin/-db-backup.backup и $RTDIR/bin/eventiaUpgrade.tar 到工作站。
更新
- 去吧 WebUI GAIA SMS → CPUUSE → 显示所有包。
- 如果 CPUUSE 连接到 Check Point 云时出错,请检查 DGW、DNS 和代理设置。
- 如果一切正确,并且错误没有消失,那么您需要手动更新 CPUSE,指导如下
sk92449 . - 下载图像并浏览 验证者。 如有必要,我们会消除不一致之处。
结果,您应该看到以下消息:
- 选择 R80.20 安全管理全新安装和升级。
- 安装更新时,选择全新安装。安装后,系统将重新启动。
- 我们第一次通过 向导。
- 获得访问权限后,我们检查帐户。
- 我们通过 SSH 连接到 SMS 并将用户的 shell 更改为 /bin/bash/:
设置用户 shell /bin/bash/
保存配置 (如果我们想在重新启动后将 bin/bash/ 保留为默认 shell)。
- 接下来,我们通过 SCP 连接到 SMS 并使用二进制模式的配置传输存档 SMS_w_logs_export_r77_r80.tgz 到文件夹 /var/log/UpgradeR77.30_R80.20/
- 我们从存档中删除校验和: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz 并与之前的值进行比较。校验和必须匹配。
- 我们将 SSH 会话的超时时间增加到 8 小时。为了这:
[Expert@HostName]# clish -c "显示不活动超时" 查看当前的超时 clish,
[Expert@HostName]# clish -c "设置不活动超时 720" 指定新的超时 clish(以分钟为单位),
[专家@主机名]# echo $TMOUT 查看当前超时专家模式,
[专家@主机名]# 导出 TMOUT=3600 指定新的超时专家模式(以秒为单位)。如果将该值设置为 0,则将禁用超时。
- 要导入设置,请运行迁移导入实用程序。为此,请转到文件夹: cd $FWDIR/bin/upgrade_tools/并运行导入: ./迁移小鬼
ort -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz
让我们享受接下来的几个小时的生活吧。在此过程中请勿断开您的 SSH 会话。最后,迁移过程将显示成功消息或错误。
更新后的清单
- 资源的可用性。
- SIC 与 GW。
- 许可证。如果许可证显示不正确或短信上未显示许可证,请运行命令 vsec_central_licence 用于许可证分发。
- 制定政策。
导入 SmartEvent 数据库
- 激活 SmartEvent 刀片。
- 我们通过 WinSCP 连接到 SMS 并以二进制模式传输以前下载的文件 -db-backup.backup и eventia升级.tar 到文件夹 /var/log/UpgradeR77.30_R80.20/
- 我们使用以下命令运行脚本: $RTDIR/bin/eventiaUpgrade.sh -upgrade /var/log/UpgradeR77.30_R80.20/eventiaUpgrade.tar
- 检查状态: watch -n 10 eventiaUpgrade.sh
- 检查 SmartEvent 中的日志。 梦!
更新 Check Point GW 集群(主用/备份)
开始工作之前
- 我们将每个集群节点的 GAIA 配置保存到一个文件中,为此,请使用以下命令: clish -c "显示配置" > ./.txt
- 使用 WinSCP 上传文件。
- 连接两个节点的WebUI并进入选项卡 CPUSE → 显示所有包。
- 找到对应版本的更新包 R80.20全新安装按 下载。
- 我们检查CCP协议是否工作在该模式下 播送,为此,请输入命令: cphaprob -a 如果
如果选择了模式 多播,将其替换为命令: cphaconf set_ccp 广播 (该命令在每个节点上执行)。 - 我们为您的监控系统中涉及的节点安装停机时间。
- 我们检查参数是否在虚拟化级别启用 MAC 地址更改 и 锻造发射机 用于同步网络。
更新
- 我们通过 ssh 连接到活动节点并运行命令来监控集群的状态: watch -n 2 cphaprob 统计数据
- 返回 WebUI 备用节点选项卡 中央处理器 对于所选的包 R80.20全新安装 发射 验证者。
- 我们来分析一下Verifier报告。如果允许安装,请继续。
- 选择套餐 R80.20全新安装 并启动 升级。升级过程中,系统将重新启动。 GAIA 设置已保存。重新启动时,我们监视集群的状态。加载后,更新节点的状态应更改为 READY。在很多情况下,我们遇到过这样的情况:尚未更新的节点切换到 Active Attention 状态并停止显示更新节点的状态。不要惊慌 - 这个选项也是可以接受的。
- 更新完成后,打开 智能仪表板。
- 打开集群对象并将集群版本从 R77.30 更改为 R80.20。单击“确定”。如果保存更改时出现错误:
发生了一个内部的错误。 (代码:0x8003001D,无法访问文件进行写操作),
跟随SK119973 。之后,保存更改并单击 安装策略。 - 在设置中,取消选中该选项 对于网关集群,如果在集群成员上安装失败,请勿在该集群上安装。
- 我们制定了政策。系统将为尚未更新的活动节点生成错误。
- 我们通过 ssh 连接到更新后的节点并运行命令来监视集群的状态: watch -n 2 cphaprob 统计数据
- 连接到 WebUI Active 节点并转到选项卡 CPUSE → 显示所有包。找到对应版本的更新包 R80.20全新安装, 点击 下载。
- 我们为您的监控系统中涉及的节点安装停机时间。
- 返回到 WebUI 活动节点选项卡 中央处理器 对于所选的包 R80.20全新安装 发射 验证者。
- 我们来分析一下Verifier报告。如果允许安装,请继续。
- 选择套餐 R80.20全新安装 并启动 升级。 升级过程中,系统将重新启动。 GAIA 设置已保存。重新启动时,我们监视已更新节点上的集群状态。重新启动后,更新节点上的集群状态将从 READY 更改为 ACTIVE。
- 升级过程完成后,启动 SmartDashboard 并设置策略。
更新后的清单
- SmartLog 中的事件日志、VPN 隧道的状态。
- 盖亚设置。
- 测试故障转移后恢复集群。
- 许可证和合同。如果License显示不正确或者短信上未显示License,请执行以下命令。 vsec_central_licence 用于许可证分发。
- 核心XL。
- 安全XL。
- 两个节点上的 Hotfix 和 CPinfo。
结论
总的来说,这就是全部了——你已经更新了。
对于我们来说,整个过程平均需要 6 到 12 小时,具体取决于导出数据库的大小。这项工作花了两个晚上进行:一个晚上更新短信,第二个晚上更新集群。
尽管我们自己检查了所有上述错误,但并没有出现交通中断。
当然,有时更新过程中可能会出现全新的困难,但这是 Check Point,众所周知,总有修补程序!
黑色和粉红色的夜晚和更新快乐!
来源: habr.com