Geekly articles weekly

Perbarui Titik Periksa dari R77.30 hingga 80.20



Pada musim gugur 2019, Check Point berhenti mendukung versi R77.XX, dan perlu diperbarui. Banyak yang telah dikatakan tentang perbedaan antara versi, pro dan kontra dari transisi ke R80. Mari kita bicara tentang cara untuk benar-benar meningkatkan Titik Periksa alat virtual (CloudGuard untuk VMware ESXi, Hyper-V, KVM Gateway NGTP) dan apa yang salah.

Jadi, kami memiliki 2 insinyur CCSE, lebih dari selusin cluster virtual Check Point R77.30, beberapa awan, sedikit perbaikan terbaru dan seluruh lautan berbagai bug, gangguan dan semua itu, semua warna dan ukuran, dan tenggat waktu yang sangat ketat. Ayo pergi!
Konten:

Persiapan
Memperbarui server manajemen
Memperbarui cluster



Inilah infrastruktur infrastruktur klien tipikal dengan virtual Check Point

Persiapan


Pertama-tama, Anda perlu memeriksa kecukupan sumber daya untuk pembaruan. Persyaratan minimum yang disarankan untuk R80.20 sekarang terlihat seperti ini:

Perangkat
CPU
RAM
HDD
Gerbang keamanan
2 inti
4 gb
Mulai 15 GB
SMS
2 inti
6 gb
-

Rekomendasi dijelaskan dalam CP_R80.20_GA_Release_Notes .

Tapi kami akan realistis. Jika ini cukup dalam konfigurasi paling minimal, maka, seperti yang ditunjukkan oleh praktik, biasanya kami mengaktifkan https inspeksi, SmartEvent berfungsi untuk SMS, dll., Yang, tentu saja, membutuhkan kapasitas yang sama sekali berbeda. Namun secara keseluruhan tidak lebih besar dari untuk R77.30.

Namun ada nuansa. Dan mereka memperhatikan, pertama-tama, ukuran memori fisik. Banyak operasi langsung selama proses peningkatan akan membutuhkan ruang hard disk.

Untuk server manajemen, jumlah ruang disk kosong akan sangat tergantung pada volume log saat ini (jika kami ingin menyimpannya) dan pada jumlah Revisi Basis Data yang disimpan, walaupun kami tidak akan membutuhkannya dalam jumlah besar. Tentu saja, untuk node cluster (kecuali Anda menyimpan log secara lokal juga) semua ini tidak masalah. Berikut cara memeriksa apakah Anda memiliki ruang yang tepat:

  1. Kami terhubung ke Smart Management Server melalui ssh, masuk ke mode ahli dan masukkan perintah:

    [Ahli @ cp-sms: 0] # df -h
  2. Pada output, kita akan melihat sesuatu seperti konfigurasi ini:

    Ukuran Sistem File yang Digunakan Penggunaan yang Tersedia% Dipasang di
    / dev / mapper / vg_splat-lv_current 30G 7.4G 21G 27% /
    / dev / sda1 289M 24M 251M 9% / boot
    tmpfs 2.0G 0 2.0G 0% / dev / shm
    / dev / mapper / vg_splat-lv_log 243G 177G 53G 78% / var / log
  3. Kami saat ini tertarik pada bagian / var / log

Perlu diingat bahwa tergantung pada kebijakan menyimpan dan menghapus file log lama, serta ukuran database yang diekspor, lebih banyak ruang mungkin diperlukan. Jika saat membuat arsip, ruang kosong menjadi kurang dari yang ditentukan dalam kebijakan untuk menyimpan file log, sistem akan mulai menghapus log lama dan TIDAK akan memasukkannya ke dalam arsip.

Selain itu, untuk proses pembaruan itu sendiri, sistem akan membutuhkan ruang kosong minimum 13 GB pada hard drive. Anda dapat memeriksa keberadaannya dengan perintah:

[Ahli @ cp-sms: 0] # pvs

Kita akan melihat kira-kira kesimpulan berikut:

PV VG Fmt Attr PSize PFree
/ dev / sda3 vg_splat lvm2 a- 141.69G 43.69G

Dalam hal ini, kami memiliki 43 GB. Ada sumber daya yang cukup. Anda dapat mulai memperbarui.

Memperbarui Titik Periksa Server Manajemen SMS


Sebelum mulai bekerja, lakukan hal berikut:

  1. Instal paket Alat Migrasi di server manajemen. Untuk melakukan ini, Anda harus mengunggah gambar dari portal Check Point .
  2. Unduh arsip ke server manajemen melalui WinSCP di folder /var/log/UpgradeR77.30_R80.20 (jika perlu, buat folder terlebih dahulu).
  3. Kami terhubung ke server manajemen melalui SSH dan pergi ke folder arsip: cd /var/log/UpgradeR77.30_R80.20/
  4. Buka zip file: tar -zxvf ./ <nama file> .tgz
  5. Kami memulai utilitas pre_upgrade_verifier dengan perintah: ./pre_upgrade_verifier -p $ FWDIR -c R77 -t R80.20
  6. Setelah menyelesaikan perintah, laporan tentang pengaturan yang tidak kompatibel akan dihasilkan. Ini tersedia di /opt/CPsuite-R77/fw1/log/pre_upgrade_verification_report.(xls, html, txt). Lebih mudah membongkar melalui SCP dan menonton melalui browser.
    Untuk menghilangkan semua pengaturan yang tidak kompatibel, gunakan SK117237 .
  7. Kemudian jalankan kembali utilitas pre_upgrade_verifier untuk memverifikasi bahwa semua penyebab ketidakcocokan telah diselesaikan.
  8. Selanjutnya, kami mengumpulkan informasi tentang antarmuka jaringan, tabel perutean, dan mengunggah konfigurasi GAIA:
    ip a> /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
    ip r> /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
    clish -c "tampilkan konfigurasi"> /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
  9. Unggah file yang diterima melalui SCP.
  10. Kami melakukan snapshot di tingkat virtualisasi.
  11. Kami meningkatkan batas waktu sesi SSH menjadi 8 jam. Begini beruntungnya: tergantung pada ukuran pangkalan yang diekspor, ini bisa bertahan dari beberapa menit hingga beberapa jam. Untuk melakukan ini:
    [Expert @ HostName] # clish -c "tampilkan tidak aktif-batas waktu" tonton clish batas waktu saat ini,

    [Expert @ HostName] # clish -c "set tidak aktif-timeout 720" tentukan clish batas waktu baru (dalam menit),

    [Expert @ HostName] # echo $ TMOUT lihat mode pakar timeout saat ini,

    [Expert @ HostName] # export TMOUT = 3600 tentukan mode pakar batas waktu baru (dalam detik), jika Anda menetapkan nilainya ke 0, maka batas waktu akan dimatikan.
  12. Kami memuat dan memasang gambar instalasi SMS.iso ke mesin virtual.

    Sebelum langkah berikutnya, pastikan untuk memeriksa lagi bahwa Anda memiliki cukup ruang yang tidak terisi pada hard drive Anda (saya ingatkan Anda membutuhkan 13 GB).
  13. Sebelum memulai ekspor konfigurasi, kami mengubah file log dengan perintah: fw logswitch

Konfigurasi ekspor dan log

  1. Jalankan utilitas migrate_export untuk membongkar konfigurasi. Untuk melakukan ini, buka folder yang dibuat sebelumnya: cd /var/log/UpgradeR77.30_R80.20/ dan gunakan perintah: ./migrate export -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

    juga

    buka folder: cd $ FWDIR / bin / upgrade_tools / dan
    jalankan perintah dari sana: ./migrate export -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

    Jika basis yang diekspor besar, maka prosedur mungkin memakan waktu beberapa jam.
    JANGAN PUTUSKAN SESI SSH selama prosedur.

    Dalam prosesnya, GAIA akan menampilkan pesan ini:

    Anda dapat minum kopi dan makan siang dengan aman.

    Setelah kami melihat pesan kesalahan seperti ini:



    Atau pesan tentang keberhasilan penyelesaian operasi:



    Jika proses telah berlangsung selama beberapa jam, maka Anda dapat memeriksanya. Tanpa memutuskan sesi saat ini, atur sesi paralel melalui ssh dan masukkan perintah atas. Di antara proses tersebut, proses migrasi harus ditampilkan .

    Jika tanpa memutuskan sesi SSH dengan cara apa pun, gunakan: ya | nohup ./migrate export -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

    Dalam hal ini, Anda dapat memutuskan sesi, tetapi akan tidak nyaman untuk memantau kemajuan: Anda harus memeriksa penyelesaian proses dengan perintah teratas, dan jika ada masalah tidak akan ada pesan kesalahan. Karena itu, kami sangat merekomendasikan opsi ini.
  2. Hapus checksum dari arsip: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz
  3. Kami menyimpan nilai yang diterima dalam buku catatan.
  4. Kami terhubung ke SMS melalui SCP dan mengunggah arsip dengan konfigurasi ke workstation. Pastikan untuk menggunakan transfer file dalam format Biner.

Ekspor SmartEvent Database

Di sini kita memerlukan versi SMS pra-instal R80. Tes apa pun akan dilakukan.

  1. Dari SMS, kita memerlukan skrip yang terletak di sini: $ RTDIR / bin / eva_db_backup.csh
  2. Melalui SCP, muat skrip eva_db_backup.csh ke folder: /var/log/UpgradeR77.30_R80.20/
  3. Kami terhubung melalui SSH ke SMS. Salin file ke folder: cp /var/log/UpgradeR77.30_R80.20/eva_db_backup.csh
    $ RTDIR / bin / eva_db_backup.csh
  4. Ubah pengkodean: dos2unix $ RTDIR / bin / eva_db_backup.csh
  5. Tambahkan pemilik: chown -v admin: root $ RTDIR / bin / eva_db_backup.csh
  6. Tambahkan izin: chmod -v 0755 $ RTDIR / bin / eva_db_backup.csh
  7. Kami mulai mengekspor basis SmartEvent: $ RTDIR / bin / eva_db_backup.csh
  8. Kami mengunggah file yang diterima melalui SCP: $ RTDIR / bin / <date> -db-backup.backup dan $ RTDIR / bin / eventiaUpgrade.tar ke workstation.

Perbarui

  1. Buka WebUI GAIA SMS → CPUSE → Tampilkan semua paket.
  2. Jika CPUSE menghasilkan kesalahan koneksi cloud Connect Point, kami memeriksa pengaturan DGW, DNS, dan Proxy.
  3. Jika semuanya benar, tetapi kesalahan tetap ada, maka Anda perlu memperbarui CPUSE secara manual, dipandu oleh sk92449 .
  4. Unduh gambar dan buka Verifier. Jika perlu, hilangkan ketidakkonsistenan.

    Akibatnya, Anda akan melihat pesan ini:

  5. Pilih R80.20 Instalasi Baru dan Tingkatkan untuk Manajemen Keamanan.
  6. Saat menginstal pembaruan, pilih Bersihkan Instal. Setelah instalasi, sistem akan reboot.
  7. Kami melewati Wisaya Pertama Kali .
  8. Setelah mendapatkan akses, kami memverifikasi akun.
  9. Kami terhubung ke SMS melalui SSH dan mengubah shell pengguna kami ke / bin / bash /:

    setel pengguna <username> shell / bin / bash /

    save config (jika kita ingin meninggalkan bin / bash / sebagai shell default dan setelah reboot).
  10. Selanjutnya, kami terhubung ke SMS melalui SCP dan dalam mode Biner kami mentransfer arsip dengan konfigurasi SMS_w_logs_export_r77_r80.tgz ke folder /var/log/UpgradeR77.30_R80.20/
  11. Kami menghapus checksum dari arsip: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz dan membandingkannya dengan nilai sebelumnya. Checksum harus cocok.
  12. Kami meningkatkan batas waktu sesi SSH menjadi 8 jam. Untuk melakukan ini:

    [Expert @ HostName] # clish -c "tampilkan tidak aktif-batas waktu" tonton clish batas waktu saat ini,

    [Expert @ HostName] # clish -c "set tidak aktif-timeout 720" tentukan clish batas waktu baru (dalam menit),

    [Expert @ HostName] # echo $ TMOUT lihat mode pakar timeout saat ini,

    [Expert @ HostName] # export TMOUT = 3600 tentukan mode pakar timeout baru (dalam detik). Jika Anda menetapkan nilai ke 0, maka batas waktu akan dimatikan.
  13. Untuk mengimpor pengaturan, jalankan utilitas impor migrasi. Untuk melakukan ini, buka folder: cd $ FWDIR / bin / upgrade_tools / dan jalankan import: ./migrate imp
    ort-l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

Nikmati hidup selama beberapa jam ke depan. JANGAN PUTUSKAN SESI SSH selama prosedur. Pada akhirnya, proses migrasi akan mengembalikan pesan sukses atau kesalahan.

Daftar periksa setelah pembaruan

  1. Ketersediaan sumber daya.
  2. SIC dengan GW.
  3. Lisensi Jika lisensi ditampilkan secara salah atau tidak ditampilkan pada SMS, jalankan perintah vsec_central_licence untuk mendistribusikan lisensi.
  4. Pengaturan kebijakan.

Impor SmartEvent Database

  1. Aktifkan Blade SmartEvent.
  2. Kami terhubung melalui WinSCP ke SMS dan dalam mode biner mentransfer file <date> -db-backup.backup yang telah diunduh sebelumnya dan file eventiaUpgrade.tar ke folder /var/log/UpgradeR77.30_R80.20/
  3. Kami memulai skrip dengan perintah: $ RTDIR / bin / eventiaUpgrade.sh -upgrade /var/log/UpgradeR77.30_R80.20/eventiaUpgrade.tar
  4. Memeriksa status: watch -n 10 eventiaUpgrade.sh
  5. Periksa log di SmartEvent. MIMPI!

Perbarui Cluster Check Point GW (Aktif / Cadangan)


Sebelum mulai bekerja

  1. Kami menyimpan konfigurasi GAIA dari setiap node cluster ke file. Untuk melakukan ini, gunakan perintah: clish -c "show configuration"> ./ <File name> .txt
  2. Kami mengunggah file menggunakan WinSCP.
  3. Kami terhubung ke WebUI dari kedua node dan pergi ke CPUSE → Tampilkan semua tab paket.
  4. Kami menemukan paket layanan untuk versi R80.20 Fresh Install , klik Unduh.
  5. Kami memeriksa bahwa protokol CCP bekerja dalam mode Broadcast , untuk ini kita masukkan perintah: cphaprob -a if
    Jika mode Multicast dipilih, ubahlah dengan perintah: cphaconf set_ccp broadcast (perintah dijalankan pada setiap node).
  6. Set Downtime untuk node yang terlibat dalam sistem pemantauan Anda.
  7. Kami memverifikasi bahwa pada tingkat virtualisasi, parameter Perubahan Alamat MAC dan Transmisi yang Dipalsukan untuk jaringan sinkronisasi diaktifkan.

Perbarui

  1. Kami terhubung melalui ssh ke simpul aktif dan menjalankan perintah untuk memantau status cluster: watch -n 2 cphaprob stat
  2. Kami kembali ke node Stan WebUI pada tab CPUSE dan menjalankan Verifier untuk paket Instalasi Segar R80.20 yang dipilih .
  3. Kami menganalisis laporan Verifier. Jika instalasi diizinkan, lanjutkan.
  4. Pilih paket R80.20 Instalasi Baru dan jalankan Peningkatan . Selama proses peningkatan, sistem akan reboot. Pengaturan GAIA disimpan. Pada saat reboot, kami memantau keadaan cluster. Setelah memuat, status node yang diperbarui harus berubah menjadi SIAP. Dalam beberapa kasus, kami memiliki momen ketika simpul yang belum diperbarui masuk ke status Perhatian Aktif dan berhenti menampilkan status simpul yang diperbarui. Jangan khawatir - opsi ini juga valid.
  5. Setelah menyelesaikan pembaruan, buka SmartDashboard.
  6. Buka objek kluster dan ubah versi klaster dari R77.30 ke R80.20. Klik OK. Jika terjadi kesalahan saat menyimpan perubahan:
    Kesalahan internal telah terjadi. (Kode: 0x8003001D, Tidak dapat mengakses file untuk operasi penulisan),
    ikuti SK119973 . Setelah itu, simpan perubahan dan klik Instal Kebijakan.
  7. Di pengaturan, hapus centang parameter Untuk gateway cluster, jika instalasi pada anggota cluster gagal, jangan instal pada cluster itu.
  8. Kami menetapkan kebijakan. Sistem akan memberikan kesalahan untuk simpul Aktif, yang belum diperbarui.
  9. Kami terhubung ke node yang diperbarui melalui ssh dan menjalankan perintah untuk memantau status cluster: watch -n 2 cphaprob stat
  10. Kami terhubung ke node Aktif WebUI dan pergi ke CPUSE → Tampilkan semua tab paket. Kami menemukan paket layanan untuk versi R80.20 Fresh Install , klik Unduh.
  11. Set Downtime untuk node yang terlibat dalam sistem pemantauan Anda.
  12. Kami kembali ke node Aktif WebUI pada tab CPUSE dan menjalankan Verifier untuk paket Instalasi Segar R80.20 yang dipilih .
  13. Kami menganalisis laporan Verifier. Jika instalasi diizinkan, lanjutkan.
  14. Pilih paket R80.20 Instalasi Baru dan jalankan Peningkatan. Selama proses peningkatan, sistem akan reboot. Pengaturan GAIA disimpan. Pada saat reboot, kami memantau keadaan cluster pada node yang sudah diperbarui. Setelah reboot, status gugus pada simpul yang diperbarui akan berubah dari SIAP ke AKTIF.
  15. Ketika proses Upgrade selesai, luncurkan SmartDashboard dan instal kebijakan.

Daftar periksa setelah pembaruan

  • Log peristiwa di SmartLog, status terowongan VPN.
  • Pengaturan GAIA.
  • Pemulihan cluster setelah kegagalan uji.
  • Lisensi dan kontrak. Jika lisensi ditampilkan salah atau tidak ditampilkan pada SMS, jalankan perintah. vsec_central_licence untuk distribusi lisensi.
  • CoreXL.
  • SecureXL.
  • Perbaikan terbaru dan CPinfo pada dua node.

Kesimpulan

Secara umum, pada titik ini, semuanya - Anda telah diperbarui.

Seluruh proses kami memakan waktu rata-rata 6 hingga 12 jam, tergantung pada ukuran basis data yang diekspor. Pekerjaan itu dilakukan selama dua malam: satu untuk memperbarui SMS, yang kedua untuk cluster.

Tidak ada downtime lalu lintas, meskipun kami memeriksa sendiri semua kesalahan di atas.

Tentu saja, kadang-kadang kesulitan yang sama sekali baru mungkin muncul selama proses pembaruan, tetapi ini adalah Titik Periksa, dan, seperti yang kita semua tahu, selalu ada perbaikan terbaru!

Semoga berhasil dengan malam dan pembaruan pink dan pink Anda!

Source: https://habr.com/ru/post/id484170/

More articles:


All Articles