Geekly articles weekly

将检查点从R77.30更新到80.20



在2019年秋天,Check Point停止支持R77.XX版本,并且需要更新。 关于版本之间的差异,向R80过渡的优缺点已经说了很多。 让我们讨论一下如何实际升级虚拟设备Check Point(适用于VMware ESXi的CloudGuard,Hyper-V,KVM网关NGTP)以及可能出问题的地方。

因此,我们有2位CCSE工程师,十几个虚拟集群Check Point R77.30,几朵云,一些修补程序以及各种各样的错误,故障以及所有这些,所有颜色和大小以及非常紧迫的截止日期。 走吧
内容:

准备工作
更新管理服务器
更新集群



这就是带有虚拟Check Point的典型客户端云基础架构的样子

准备工作


首先,您需要检查更新的资源是否充足。 R80.20的建议最低要求现在如下所示:

装置
中央处理器
内存
硬碟
安全网关
2芯
4 GB
从15 GB
简讯
2芯
6 GB
--

建议在CP_R80.20_GA_Release_Notes中进行了描述。

但是我们将是现实的。 如果这在最小的配置中就足够了,那么正如实践所示,通常我们会打开https检查,SmartEvent适用于SMS等,当然,这需要完全不同的功能。 但总体上不大于R77.30。

但是有细微差别。 他们首先关注的是物理内存的大小。 升级过程中直接进行的许多操作都将需要硬盘空间。

对于管理服务器,可用磁盘空间的大小在很大程度上取决于当前日志的数量(如果我们要保存它们)和所保存的数据库修订的数量,尽管我们不需要大量。 当然,对于群集节点(除非您也将日志存储在本地),这一切都没有关系。 以下是检查空间是否正确的方法:

  1. 我们通过ssh连接到Smart Management Server,进入专家模式并输入命令:

    [专家@ cp-sms:0]#df -h
  2. 在输出中,我们将看到类似以下配置的内容:

    已使用的文件系统大小可用百分比已安装在
    / dev / mapper / vg_splat-lv_current 30G 7.4G 21G 27%/
    / dev / sda1 289M 24M 251M 9%/引导
    tmpfs 2.0G 0 2.0G 0%/ dev / shm
    / dev /映射器/ vg_splat-lv_log 243G 177G 53G 78%/ var / log
  3. 我们目前对/ var / log部分感兴趣

请记住,根据存储和删除旧日志文件的策略以及导出数据库的大小,可能需要更多空间。 如果在创建归档文件时可用空间少于存储日志文件的策略所指示的空间,则系统将开始删除旧日志,并且不会将它们包括在归档文件中。

另外,对于更新过程本身,系统将在硬盘驱动器上至少需要13 GB的未分配空间。 您可以使用以下命令检查其是否存在:

[专家@ cp-sms:0]#pvs

我们将大致看到以下结论:

光伏VG Fmt Attr PSize PFree
/ dev / sda3 vg_splat lvm2 a- 141.69G 43.69G

在这种情况下,我们有43 GB。 有足够的资源。 您可以开始更新。

更新Check Point SMS管理服务器


开始工作之前,请执行以下操作:

  1. 在管理服务器上安装迁移工具软件包。 为此,您必须从Check Point门户上传图像。
  2. 通过WinSCP将存档下载到/var/log/UpgradeR77.30_R80.20文件夹中(如果需要,请首先创建一个文件夹)。
  3. 我们通过SSH连接到管理服务器,然后转到存档文件夹: cd /var/log/UpgradeR77.30_R80.20/
  4. 解压缩文件: tar -zxvf ./ <文件名> .tgz
  5. 我们使用以下命令启动pre_upgrade_verifier实用程序: ./pre_upgrade_verifier -p $ FWDIR -c R77 -t R80.20
  6. 命令完成后,将生成有关不兼容设置的报告。 该文件位于/opt/CPsuite-R77/fw1/log/pre_upgrade_verification_report。(xls、html、txt)。 通过SCP卸载它并通过浏览器观看更为方便。
    要消除所有不兼容的设置,请使用SK117237
  7. 然后,重新运行pre_upgrade_verifier实用工具,以验证是否解决了所有不兼容的原因。
  8. 接下来,我们收集有关网络接口,路由表的信息,并上传GAIA配置:
    ip a> /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
    ip r> /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
    clish -c“显示配置”> /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
  9. 通过SCP上传接收到的文件。
  10. 我们在虚拟化级别上做快照。
  11. 我们将SSH会话的超时时间增加到8小时。 幸运的是,这取决于导出的库的大小,可以持续几分钟到几小时。 为此:
    [专家@主机名]#clish -c“ show inactivity-timeout”观看当前超时clish,

    [专家@主机名]#clish -c“ set inactivity-timeout 720”指定一个新的超时clish(以分钟为单位),

    [Expert @ HostName]#echo $ TMOUT查看当前超时专家模式,

    [Expert @ HostName]#export TMOUT = 3600指定新的超时专家模式(以秒为单位),如果将该值设置为0,则超时将被关闭。
  12. 我们将SMS.iso安装映像加载并安装到虚拟机。

    在进行下一步之前,请确保再次检查硬盘驱动器上是否有足够的未分配空间(我提醒您需要13 GB)。
  13. 在开始导出配置之前,我们使用以下命令更改日志文件: fw logswitch

导出配置和日志

  1. 运行migrate_export实用程序以卸载配置。 为此,请转到先前创建的文件夹: cd /var/log/UpgradeR77.30_R80.20/并使用以下命令: ./migrate export -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

    要么

    转到文件夹: cd $ FWDIR / bin / upgrade_tools /
    从那里运行命令: ./migrate export -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

    如果导出的库很大,则该过程可能需要几个小时。
    在此过程中,请勿断开SSH会话的连接。

    在此过程中,GAIA将显示以下消息:

    您可以安全地喝咖啡和午餐。

    在我们看到这样的错误消息之后:



    或有关操作成功完成的消息:



    如果该过程已经进行了几个小时,则可以进行检查。 在不断开当前会话的情况下,通过ssh设置并行会话,然后输入top命令 在这些过程中,应显示迁移过程

    如果没有以任何方式断开SSH会话的连接,请使用: yes | nohup ./migrate export -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

    在这种情况下,您可以断开会话的连接,但是监视进度很不方便:您必须使用top命令检查过程的完成,并且在出现问题的情况下将不会出现错误消息。 因此,我们强烈建议您使用此选项。
  2. 从存档中删除校验和: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz
  3. 我们将收到的值保存在笔记本中。
  4. 我们通过SCP连接到SMS,并将带有配置的存档上传到工作站。 确保使用二进制格式的文件传输。

导出SmartEvent数据库

在这里,我们需要预装的SMS版本R80。 任何测试都可以。

  1. 通过SMS,我们需要一个位于此处的脚本: $ RTDIR / bin / eva_db_backup.csh
  2. 通过SCP,将eva_db_backup.csh脚本加载到以下文件夹中: /var/log/UpgradeR77.30_R80.20/
  3. 我们通过SSH连接到SMS。 将文件复制到以下文件夹: cp /var/log/UpgradeR77.30_R80.20/eva_db_backup.csh
    $ RTDIR / bin / eva_db_backup.csh
  4. 更改编码: dos2unix $ RTDIR / bin / eva_db_backup.csh
  5. 添加所有者: chown -v管理员:root $ RTDIR / bin / eva_db_backup.csh
  6. 添加权限: chmod -v 0755 $ RTDIR / bin / eva_db_backup.csh
  7. 我们开始导出SmartEvent基础: $ RTDIR / bin / eva_db_backup.csh
  8. 我们通过SCP将收到的文件上载: $ RTDIR / bin / <date> -db-backup.backup$ RTDIR / bin / eventiaUpgrade.tar到工作站。

更新资料

  1. 转到WebUI GAIA SMS→CPUSE→显示所有软件包。
  2. 如果CPUSE生成连接点云连接错误,我们将检查DGW,DNS和代理设置。
  3. 如果一切正确,但错误仍然存​​在,则需要在sk92449的指导下手动更新CPUSE
  4. 下载图像并通过验证程序。 如有必要,请消除不一致之处。

    结果,您应该看到以下消息:

  5. 选择“ R80.20全新安装和升级”以进行安全性管理。
  6. 安装更新时,选择“全新安装”。 安装后,系统将重新启动。
  7. 我们通过了首次向导。
  8. 获得访问权限后,我们验证帐户。
  9. 我们通过SSH连接到SMS,并将用户shell更改为/ bin / bash /:

    设置用户<用户名> shell / bin / bash /

    保存配置 (以防万一我们想将bin / bash /保留为默认外壳,并在重启后)。
  10. 接下来,我们通过SCP连接到SMS,然后在Binary模式下,将配置SMS_w_logs_export_r77_r80.tgz的档案传输到/var/log/UpgradeR77.30_R80.20/文件夹
  11. 我们从档案中删除校验和: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz并将其与以前的值进行比较。 校验和必须匹配。
  12. 我们将SSH会话的超时时间增加到8小时。 为此:

    [专家@主机名]#clish -c“ show inactivity-timeout”观看当前超时clish,

    [专家@主机名]#clish -c“ set inactivity-timeout 720”指定一个新的超时clish(以分钟为单位),

    [Expert @ HostName]#echo $ TMOUT查看当前超时专家模式,

    [Expert @ HostName]#export TMOUT = 3600指定新的超时专家模式(以秒为单位)。 如果将该值设置为0,则超时将关闭。
  13. 要导入设置,请运行迁移导入实用程序。 为此,请转到以下文件夹: cd $ FWDIR / bin / upgrade_tools /并运行导入: ./migrate imp
    ort -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

接下来的几个小时享受生活。 在此过程中,请勿断开SSH会话的连接。 最后,迁移过程将返回成功消息或错误。

更新后的清单

  1. 资源的可用性。
  2. 与GW的SIC。
  3. 执照 如果许可证显示不正确或未在SMS上显示,请运行vsec_central_licence命令来分发许可证。
  4. 策略设置。

导入SmartEvent数据库

  1. 启用S​​martEvent刀片服务器。
  2. 我们通过WinSCP连接到SMS,并以二进制模式将先前下载的<date> -db-backup.backupeventiaUpgrade.tar文件传输到/var/log/UpgradeR77.30_R80.20/文件夹
  3. 我们使用以下命令启动脚本: $ RTDIR / bin / eventiaUpgrade.sh -upgrade /var/log/UpgradeR77.30_R80.20/eventiaUpgrade.tar
  4. 检查状态: 观看-n 10 eventiaUpgrade.sh
  5. 检查SmartEvent中的日志。 梦!

更新群集Check Point GW(活动/备份)


开始工作之前

  1. 我们将GAIA配置从集群的每个节点保存到一个文件中。为此,请使用以下命令: clish -c“ show configuration”> ./ <文件名> .txt
  2. 我们使用WinSCP上传文件。
  3. 我们连接到两个节点的WebUI,然后转到CPUSE→显示所有软件包选项卡
  4. 我们找到R80.20版本的Service Pack 全新安装 ,单击“ 下载”。
  5. 我们检查CCP协议是否在广播模式下工作,为此,我们输入命令: cphaprob -a if
    如果选择了“ 多播”模式,请使用以下命令进行更改: cphaconf set_ccp broadcast (在每个节点上执行该命令)。
  6. 为监视系统中涉及的节点设置停机时间。
  7. 我们确认在虚拟化级别上,已启用同步网络的MAC地址更改伪造的传输参数。

更新资料

  1. 我们通过ssh连接到Active节点,然后运行命令以监视集群状态: watch -n 2 cphaprob stat
  2. 我们返回到CPUSE选项卡上的WebUI Stanby节点,并为选定的R80.20 Fresh Install软件包运行Verifier。
  3. 我们分析验证者报告。 如果允许安装,请继续。
  4. 选择软件包R80.20 Fresh Install并运行Upgrade 。 在升级过程中,系统将重新启动。 GAIA设置已保存。 在重新引导时,我们监视群集的状态。 加载后,更新后的节点的状态应更改为READY。 在某些情况下,我们有一会儿尚未更新的节点进入“活动注意”状态并停止显示更新后的节点的状态。 不要惊慌-此选项也有效。
  5. 更新完成后,打开SmartDashboard。
  6. 打开群集对象,并将群集版本从R77.30更改为R80.20。 单击确定。 如果在保存更改时发生错误:
    发生内部错误。 (代码:0x8003001D,无法访问文件进行写操作),
    遵循SK119973 。 之后,保存更改并单击“ 安装策略”。
  7. 在设置中,取消选中“ 对于网关群集”参数,如果在群集成员上的安装失败,请不要在该群集上安装。
  8. 我们制定政策。 系统将为活动节点提供一个错误,该错误尚未更新。
  9. 我们通过ssh连接到更新的节点,并运行命令以监视集群状态: watch -n 2 cphaprob stat
  10. 我们连接到WebUI Active节点,然后转到CPUSE→显示所有软件包选项卡 我们找到R80.20版本的Service Pack 全新安装 ,单击“ 下载”。
  11. 为监视系统中涉及的节点设置停机时间。
  12. 我们返回到CPUSE选项卡上的WebUI Active节点,并为所选的R80.20 Fresh Install软件包运行Verifier。
  13. 我们分析验证者报告。 如果允许安装,请继续。
  14. 选择软件包R80.20全新安装并运行升级。 在升级过程中,系统将重新启动。 GAIA设置已保存。 在重新引导时,我们在一个已更新的节点上监视群集的状态。 重新引导后,更新后的节点上的群集状态将从“就绪”更改为“活动”。
  15. 升级过程完成后,启动SmartDashboard并安装策略。

更新后的清单

  • SmartLog中的事件日志,VPN隧道的状态。
  • GAIA设置。
  • 测试故障转移后的群集恢复。
  • 许可证和合同。 如果许可证显示不正确或未在SMS上显示,请运行命令。 vsec_central_licence用于许可证分发。
  • CoreXL。
  • SecureXL。
  • 两个节点上的修补程序和CPinfo。

结论

总的来说,到此为止,一切都已更新。

根据导出数据库的大小,我们的整个过程平均需要6到12个小时。 该工作进行了两个晚上:一个晚上用于更新SMS,第二个晚上用于群集。

尽管我们亲自检查了以上所有错误,但没有出现流量中断的情况。

当然,有时在更新过程中可能会出现全新的困难,但这就是Check Point,并且众所周知,总有修复程序!

祝您在粉红色和粉红色的夜晚和更新中好运!

Source: https://habr.com/ru/post/zh-CN484170/

More articles:


All Articles