マルチバージョンクラスタアップグレード手順- ゲートウェイモード

Note - ClusterXL およびVRRP Cluster の手順は次のとおりです。VSX閉じた 仮想システム拡張。Check Point Security Gatewayおよびその他のネットワークデバイスの仮想抽象化を備えたコンピュータまたはクラスタでホストされるCheckPoint仮想ネットワークソリューション。これらの仮想デバイスは、物理的な対応デバイスと同じ機能を提供します。 クラスタ閉じた 冗長構成で連携する2つ以上のセキュリティゲートウェイ(ハイアベイラビリティまたは負荷分散)をクラスタ化します。については、マルチバージョンクラスタアップグレード手順- VSX モード を参照してください。

重要 - クラスタをアップグレードする前に:

ステップ

手順

1

現在の設定をバックアップします(バックアップと復元を参照)。

2

アップグレードのオプションと前提条件を参照してください。

3

管理サーバーとログサーバーをアップグレードします。

4

クラスタアップグレードの計画 の計画を参照してください。

5

完全なメンテナンス期間をスケジュールして、アップグレード後にすべてのカスタム設定を再度確認できるようにします。

Note - MVC は、異なるGaia カーネルエディション(R81.10 64 ビットおよびR77.30 / R80.10 32 ビット)を持つクラスタメンバーをサポートします。

以下に説明する手順は、3 つのクラスタメンバM1、M2、およびM3 を持つクラスタの例に基づいています。

ただし、2 つ以上で構成されるクラスタには使用できます。

行動計画:

  1. SmartConsole閉じた Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。 で、クラスタオブジェクトのバージョンをR81.10 に変更します。

  2. クラスタメンバM3:

    1. R81.10へのアップグレード

      Note - R81.10 のクリーンインストール閉じた コンピュータにCheck Pointオペレーティングシステムを最初からインストールすること。を実行する場合は、このクラスタメンバを使用してSmartConsole でSIC閉じた Secure Internal Communication。安全な通信のために、CheckPointソフトウェアを実行するCheckPointコンピュータがSSLを介して相互に認証するCheckPoint独自のメカニズム。この認証は、ICAがCheck Point Management Serverで発行した証明書に基づいています。 を確立する必要があります。

    2. MVC を有効にする

  3. SmartConsole で、クラスタメンバM3 にアクセス制御ポリシーをインストールします。

  4. 次のクラスタメンバM2:

    1. R81.10へのアップグレード

      Note - R81.10 のクリーンインストールを実行する場合は、このクラスタメンバを使用してSmartConsole でSIC を確立する必要があります。

    2. MVC を有効にする

  5. SmartConsole で、クラスタメンバM3 およびM2 にアクセス制御ポリシーをインストールします。

  6. 残りのクラスタメンバM1:

    • R81.10へのアップグレード

      Note - R81.10 のクリーンインストールを実行する場合は、このクラスタメンバを使用してSmartConsole でSIC を確立する必要があります。

  7. SmartConsole で、クラスタオブジェクトにアクセス制御ポリシーと脅威防御ポリシーをインストールします。

手順:

  1. ステップ

    手順

    1

    SmartConsole を使用して、このクラスタを管理するR81.10 Security Management Server閉じた Check Pointソフトウェアを実行して、単一の管理ドメイン内のCheck Point環境のオブジェクトとポリシーを管理する専用Check Pointサーバ。同義語:単一ドメインセキュリティ管理サーバ。 またはDomain Management Server閉じた Check Point シングルドメインセキュリティ管理サーバまたはマルチドメインセキュリティ管理サーバ。 に接続します。

    2

    左側のナビゲーションパネルでGateways & Serversをクリックします。

    3

    Cluster オブジェクトを開きます。

    4

    左のツリーでGeneral Propertiesページ をクリックします。

    5

    Platform セクション> Version フィールドで、R81.10 を選択します。

    6

    OKをクリックします。 Gateway Cluster Properties ウィンドウを閉じます。

  2. 重要 - アップグレードまたはクリーンインストールの後にクラスタ・メンバを再起動する必要があります。

    設置方法

    手順

    CPUSE閉じた Gaiaオペレーティングシステム用の Check Point アップグレードサービスエンジン。CPUSEを使用すると、GaiaOSおよびGaiaOS自体のCheckPoint製品を自動的に更新できます。詳細については、sk92449 を参照してください。を使用したR81.10へのアップグレード

    Gaiaへのソフトウェアパッケージのインストールへのソフトウェアパッケージのインストール」を参照してください。

    ローカルまたはセントラルインストールに適用されるアクションプランに従います。

    ローカルインストールで、R81.10 パッケージを選択し、Upgrade を実行します。詳細な手順については、sk92449 を参照してください。

    CPUSEによるR81.10のクリーンインストール

    Gaiaへのソフトウェアパッケージのインストールへのソフトウェアパッケージのインストール」を参照してください。

    ローカルまたはセントラルインストールに適用されるアクションプランに従います。

    ローカルインストールで、R81.10 パッケージを選択し、Clean Install を実行します。詳細な手順については、sk92449 を参照してください。

    重要 - Gaia First Time Configuration Wizard のManagement Connection IP アドレスは、以前のクラスタ・メンバで使用されていたのと同じIP アドレスを使用する必要があります(アップグレード前)。

    R81.10のクリーンインストール

    クラスタ・メンバのインストール

    ClusterXL クラスタのインストール - 手順"Install the Cluster Members" のみに従います。

    重要 - Gaia First Time Configuration Wizard のManagement Connection IP アドレスは、以前のクラスタ・メンバで使用されていたのと同じIP アドレスを使用する必要があります(アップグレード前)。

    VRRP クラスタ・メンバのインストール

    VRRP クラスタのインストール - 手順"Install the VRRP Cluster Members" のみに従います。

    重要 - Gaia First Time Configuration Wizard のManagement Connection IP アドレスは、以前のVRRP Cluster Member で使用されていたのと同じIP アドレスを使用する必要があります(アップグレード前)。

  3. 重要 - この手順は、このクラスタ・メンバでR81.10 のクリーン・インストールを実行した場合にのみ必要です。

    ステップ

    手順

    1

    SmartConsole を使用してR81.10 Security Management Server またはこのクラスタを管理するMain ドメイン管理サーバに接続します。

    2

    左側のナビゲーションパネルでGateways & Serversをクリックします。

    3

    クラスタオブジェクトを開きます。

    4

    左側のツリーから、Cluster Members をクリックします。

    5

    このクラスタ・メンバのオブジェクトを選択します。

    6

    Editをクリックします。。

    7

    General タブで、Communication ボタンをクリックします。

    8

    Resetをクリックします。。

    9

    One-time password フィールドに、クラスタ・メンバの初期設定ウィザードで入力したのと同じアクティベーション・キーを入力します。

    10

    Confirm one-time password フィールドに、同じアクティベーションキーを再度入力します。

    33

    Initializeをクリックします。。

    12

    Trust state フィールドはTrust established を表示する必要があります。

    13

    Closeをクリックします。 Communication ウィンドウを閉じます。

    14

    OKをクリックします。 Cluster Member Properties ウィンドウを閉じます。

    2346

    SmartConsoleセッションを公開する。

  4. ステップ

    手順

    1

    クラスタメンバのコマンドラインに接続します。

    2

    MVC メカニズムを有効にします。

    3

    MVC メカニズムの状態を確認します。

    • Gaia Clish:

      show cluster members mvc

    • エキスパートモード:

      cphaprob mvc

  5. ステップ

    手順

    1

    Install Policyをクリックします。

    2

    Install Policyウィンドウで:

    1. Policy フィールドで、該当するアクセスコントロールポリシーを選択します。

    2. Install Mode セクションで、次の2 つのオプションを選択します。

      • Install on each selected gateway independentlyを選択します。

      • For gateway clusters, if installation on a cluster member fails, do not install on that clusterをクリアします。

    3. Installをクリックします。。

    3

    アクセスコントロールポリシーのインストール:

    • upgraded Cluster Member M3 で成功しました。

    • old Cluster Members M1 およびM2 に警告で失敗します。この警告は無視します。

  6. ステップ

    手順

    1

    各クラスタメンバのコマンドラインに接続します。

    2

    次のいずれかの方法でクラスタの状態を確認します。

    • Gaia Clish

      show cluster state

    • エキスパートモード:

      cphaprob state

    重要:

    • High Availability モードでは、アップグレードされたクラスタメンバー(M2 またはM3) のいずれかがクラスタ状態をActive に変更します。

      他のアップグレードされたクラスタメンバ(M2 またはM3) は、クラスタの状態をStandby に変更します。

    • 負荷共有モードでは、すべてのクラスタメンバがActive 状態である必要があります。

  7. 重要 - アップグレードまたはクリーンインストールの後にクラスタ・メンバを再起動する必要があります。

    設置方法

    手順

    CPUSEを使用したR81.10へのアップグレード

    Gaiaへのソフトウェアパッケージのインストールへのソフトウェアパッケージのインストール」を参照してください。

    ローカルまたはセントラルインストールに適用されるアクションプランに従います。

    ローカルインストールで、R81.10 パッケージを選択し、Upgrade を実行します。詳細な手順については、sk92449 を参照してください。

    CPUSEによるR81.10のクリーンインストール

    Gaiaへのソフトウェアパッケージのインストールへのソフトウェアパッケージのインストール」を参照してください。

    ローカルまたはセントラルインストールに適用されるアクションプランに従います。

    ローカルインストールで、R81.10 パッケージを選択し、Clean Install を実行します。詳細な手順については、sk92449 を参照してください。

    重要 - Gaia First Time Configuration Wizard のManagement Connection IP アドレスは、以前のクラスタ・メンバで使用されていたのと同じIP アドレスを使用する必要があります(アップグレード前)。

    R81.10のクリーンインストール

    クラスタ・メンバのインストール

    ClusterXL クラスタのインストール - 手順"Install the Cluster Members" のみに従います。

    重要 - Gaia First Time Configuration Wizard のManagement Connection IP アドレスは、以前のクラスタ・メンバで使用されていたのと同じIP アドレスを使用する必要があります(アップグレード前)。

    VRRP クラスタ・メンバのインストール

    VRRP クラスタのインストール - 手順"Install the VRRP Cluster Members" のみに従います。

    重要 - Gaia First Time Configuration Wizard のManagement Connection IP アドレスは、以前のVRRP Cluster Member で使用されていたのと同じIP アドレスを使用する必要があります(アップグレード前)。

  8. 重要 - この手順は、このクラスタ・メンバでR81.10 のクリーン・インストールを実行した場合にのみ必要です。

    ステップ

    手順

    1

    SmartConsole を使用してR81.10 Security Management Server またはこのクラスタを管理するMain ドメイン管理サーバに接続します。

    2

    左側のナビゲーションパネルでGateways & Serversをクリックします。

    3

    クラスタオブジェクトを開きます。

    4

    左側のツリーから、Cluster Members をクリックします。

    5

    このクラスタ・メンバのオブジェクトを選択します。

    6

    Editをクリックします。。

    7

    General タブで、Communication ボタンをクリックします。

    8

    Resetをクリックします。。

    9

    One-time password フィールドに、クラスタ・メンバの初期設定ウィザードで入力したのと同じアクティベーション・キーを入力します。

    10

    Confirm one-time password フィールドに、同じアクティベーションキーを再度入力します。

    33

    Initializeをクリックします。。

    12

    Trust state フィールドはTrust established を表示する必要があります。

    13

    Closeをクリックします。 Communication ウィンドウを閉じます。

    14

    OKをクリックします。 Cluster Member Properties ウィンドウを閉じます。

    2346

    SmartConsoleセッションを公開する。

  9. ステップ

    手順

    1

    クラスタメンバのコマンドラインに接続します。

    2

    MVC メカニズムを有効にします。

    • Gaia Clish:

      set cluster member mvc on

    • エキスパートモード:

      cphaconf mvc on

    3

    MVC メカニズムの状態を確認します。

    • Gaia Clish:

      show cluster members mvc

    • エキスパートモード:

      cphaprob mvc

  10. ステップ

    手順

    1

    Install Policyをクリックします。

    2

    Install Policyウィンドウで:

    1. Policy フィールドで、該当するアクセスコントロールポリシーを選択します。

    2. Install Mode セクションで、次の2 つのオプションを選択します。

      • Install on each selected gateway independentlyを選択します。

      • For gateway clusters, if installation on a cluster member fails, do not install on that clusterをクリアします。

    3. Installをクリックします。。

    3

    アクセスコントロールポリシーのインストール:

    • upgraded Cluster Members M3 およびM2 で成功しました。

    • old Cluster Member M1 で警告が発生しました。この警告は無視します。

  11. ステップ

    手順

    1

    各クラスタメンバのコマンドラインに接続します。

    2

    次のいずれかの方法でクラスタの状態を確認します。

    • Gaia Clish

      show cluster state

    • エキスパートモード:

      cphaprob state

    重要:

    • High Availability モードでは、アップグレードされたクラスタメンバー(M2 またはM3) のいずれかがクラスタ状態をActive に変更します。

      他のアップグレードされたクラスタメンバ(M2 またはM3) は、クラスタの状態をStandby に変更します。

    • 負荷共有モードでは、すべてのクラスタメンバがActive 状態である必要があります。

  12. 重要 - アップグレードまたはクリーンインストールの後にクラスタ・メンバを再起動する必要があります。

    設置方法

    手順

    CPUSEを使用したR81.10へのアップグレード

    Gaiaへのソフトウェアパッケージのインストールへのソフトウェアパッケージのインストール」を参照してください。

    ローカルまたはセントラルインストールに適用されるアクションプランに従います。

    ローカルインストールで、R81.10 パッケージを選択し、Upgrade を実行します。詳細な手順については、sk92449 を参照してください。

    CPUSEによるR81.10のクリーンインストール

    Gaiaへのソフトウェアパッケージのインストールへのソフトウェアパッケージのインストール」を参照してください。

    ローカルまたはセントラルインストールに適用されるアクションプランに従います。

    ローカルインストールで、R81.10 パッケージを選択し、Clean Install を実行します。詳細な手順については、sk92449 を参照してください。

    重要 - Gaia First Time Configuration Wizard のManagement Connection IP アドレスは、以前のクラスタ・メンバで使用されていたのと同じIP アドレスを使用する必要があります(アップグレード前)。

    R81.10のクリーンインストール

    クラスタ・メンバのインストール

    ClusterXL クラスタのインストール - 手順"Install the Cluster Members" のみに従います。

    重要 - Gaia First Time Configuration Wizard のManagement Connection IP アドレスは、以前のクラスタ・メンバで使用されていたのと同じIP アドレスを使用する必要があります(アップグレード前)。

    VRRP クラスタ・メンバのインストール

    VRRP クラスタのインストール - 手順"Install the VRRP Cluster Members" のみに従います。

    重要 - Gaia First Time Configuration Wizard のManagement Connection IP アドレスは、以前のVRRP Cluster Member で使用されていたのと同じIP アドレスを使用する必要があります(アップグレード前)。

  13. 重要 - この手順は、このクラスタ・メンバでR81.10 のクリーン・インストールを実行した場合にのみ必要です。

    ステップ

    手順

    1

    SmartConsole を使用してR81.10 Security Management Server またはこのクラスタを管理するMain ドメイン管理サーバに接続します。

    2

    左側のナビゲーションパネルでGateways & Serversをクリックします。

    3

    クラスタオブジェクトを開きます。

    4

    左側のツリーから、Cluster Members をクリックします。

    5

    このクラスタ・メンバのオブジェクトを選択します。

    6

    Editをクリックします。。

    7

    General タブで、Communication ボタンをクリックします。

    8

    Resetをクリックします。。

    9

    One-time password フィールドに、クラスタ・メンバの初期設定ウィザードで入力したのと同じアクティベーション・キーを入力します。

    10

    Confirm one-time password フィールドに、同じアクティベーションキーを再度入力します。

    33

    Initializeをクリックします。。

    12

    Trust state フィールドはTrust established を表示する必要があります。

    13

    Closeをクリックします。 Communication ウィンドウを閉じます。

    14

    OKをクリックします。 Cluster Member Properties ウィンドウを閉じます。

    2346

    SmartConsoleセッションを公開する。

  14. ステップ

    手順

    1

    SmartConsole を使用して、このクラスタを管理するR81.10 Security Management Server またはDomain Management Server に接続します。

    2

    左側のナビゲーションパネルでGateways & Serversをクリックします。

    3

    アクセスコントロールポリシーをインストールします。

    1. Install Policyをクリックします。

    2. Policy フィールドで、該当するアクセスコントロールポリシーを選択します。

    3. Install Mode セクションで、次の2 つのオプションを選択します。

      • Install on each selected gateway independently

      • For gateway clusters, if installation on a cluster member fails, do not install on that cluster

    4. Installをクリックします。。

    5. アクセス制御ポリシーは、すべてのクラスタ・メンバに正常にインストールする必要があります。

    4

    脅威防御ポリシーをインストールします。

    1. Install Policyをクリックします。

    2. Policy フィールドで、該当する脅威防御ポリシーを選択します。

    3. Installをクリックします。。

    4. Threat Prevention Policy は、すべてのクラスタ・メンバに正常にインストールする必要があります。

  15. ステップ

    手順

    1

    各クラスタメンバのコマンドラインに接続します。

    2

    次のいずれかの方法でクラスタの状態を確認します。

    • Gaia Clish

      show cluster state

    • エキスパートモード:

      cphaprob state

    重要:

    • すべてのクラスタメンバは、すべてのクラスタメンバの状態について同じ情報を表示する必要があります。

    • High Availability モードでは、1 つのクラスタメンバがActive 状態で、他のすべてのクラスタメンバがStandby 状態である必要があります。

    • 負荷共有モードでは、すべてのクラスタメンバがActive 状態である必要があります。

  16. ステップ

    手順

    1

    各クラスタメンバのコマンドラインに接続します。

    2

    MVC メカニズムを無効にします。

    • Gaia Clish:

      set cluster member mvc off

    • エキスパートモード:

      cphaconf mvc off

    3

    MVC メカニズムの状態を確認します。

    • Gaia Clish:

      show cluster members mvc

    • エキスパートモード:

      cphaprob mvc

  17. ステップ

    手順

    1

    SmartConsole を使用して、このクラスタを管理するR81.10 Security Management Server またはDomain Management Server に接続します。

    2

    左側のナビゲーションパネルでLogs & Monitor > Logsをクリックします。

    3

    このクラスタのログを調べて、トラフィックが期待どおりに検査されていることを確認します。

詳細については、次を参照してください。