クラスタアップグレードの計画

ベストプラクティス - SmartConsole Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。でセントラルデプロイを使用します。詳細については、R81.10 Security Management Administration Guide > Chapter Managing Gateways > Section Central Deployment of Hotfixes and Version Upgrades を参照してください。

重要 - クラスタ冗長構成で連携する2つ以上のセキュリティゲートウェイ（ハイアベイラビリティまたは負荷分散）をクラスタ化します。・メンバをアップグレードする前に:

ステップ

手順

現在の設定をバックアップします(バックアップと復元を参照)。

アップグレードのオプションと前提条件を参照してください。

管理サーバーとログサーバーをアップグレードします。

必要に応じて、クラスタ・メンバのライセンスをアップグレードします。

ライセンスの操作を参照してください。

VSX 仮想システム拡張。Check Point Security Gatewayおよびその他のネットワークデバイスの仮想抽象化を備えたコンピュータまたはクラスタでホストされるCheckPoint仮想ネットワークソリューション。これらの仮想デバイスは、物理的な対応デバイスと同じ機能を提供します。クラスタをアップグレードする場合は、管理サーバでVSX Cluster オブジェクトの設定をR81.10 にアップグレードする必要があります。

完全なメンテナンス期間をスケジュールして、アップグレード後にすべてのカスタム設定を再度確認できるようにします。

アップグレード・プロセスは、既存のすべてのファイルをデフォルト・ファイルに置き換えます。

クラスタ・メンバにカスタム構成がある場合、それらはアップグレード中に失われます。

その結果、アップグレードされたクラスタで異なる問題が発生する可能性があります。

クラスタ・メンバは相互の検出を停止し、クラスタ・メンバは望ましくない状態に移動し、トラフィックをドロップすることができます。

必要なカーネルパラメータの設定と値がすべてのクラスタ・メンバで同じであることを確認します。

each Cluster Member でExpert モードにログインし、該当するコマンドを実行します(以下を参照)。

注 - 詳細については、sk25977を参照してください。

適用可能なコマンドと必要なカーネルパラメータ

モード

適用コマンドとパラメータ

クラスタメンバクラスタの一部であるセキュリティゲートウェイ。

cphaprob mmagic

"MAC magic" フィールドの値を調べます。

"MAC forward magic" フィールドの値を調べます。

VSX クラスタ・メンバ

fw ctl get int fwha_add_vsid_to_ccp_mac

grep fwha_add_vsid_to_ccp_mac $FWDIR/boot/modules/fwkern.conf

カーネルパラメータfwha_add_vsid_to_ccp_macの値を 1 に設定します。

利用可能なアップグレード方法:

クラスタ・メンバでのアップグレード・プロセスはすべてのCheck Point サービスを停止するため、クラスタを通過する接続を検査および同期するクラスタの機能が中断されます。

使用可能なアップグレード方法を次の表に示します。

アップグレードメソッド	手順	メンテナンスウィンドウ(ダウンタイム)	制限
MVC(Multi-Version Cluster)アップグレード	接続が最大の関心事である場合は、この方法を選択します。接続フェイルオーバーは保証されます- 接続はドロップされません。アップグレード前に開始された接続は、アップグレードされたSecurity Gateway およびクラスタ・メンバと同期されるため、接続はドロップされません。 ClusterXL またはVSX クラスタをアップグレードする場合は、この方法を選択できます。サードパーティクラスタ(Gaia 上のVRRP)をアップグレードする場合は、この方法を選択できます。	このアップグレード方法では、not にダウンタイムウィンドウが必要です。このアップグレードの期間は短い。	このアップグレード方法は、特定のアップグレードパスのみをサポートします。多くのタイプの接続は、not がアップグレードされたクラスタ・メンバへのフェイルオーバー後も存続します。参照: マルチバージョンクラスタでサポートされるバージョンマルチバージョンクラスタの制限.
最小限の作業アップグレード (Simple Upgrade)	ネットワークのダウンタイムを許可する期間がある場合は、この方法を選択します。この方法は、各クラスタ・メンバを独立したSecurity Gateway としてアップグレードできるため、最も簡単です。アップグレード前に開始されたすべての接続は、アップグレード中に削除されます。 ClusterXL またはVSX クラスタをアップグレードする場合は、この方法を選択できます。サードパーティクラスタ(Gaia 上のVRRP)をアップグレードする場合は、この方法を選択できます。	このアップグレード方法では、かなりのダウンタイムウィンドウが必要です。このアップグレードの期間は、すべてのクラスタ・メンバのアップグレードにかかる期間です。	なし
ゼロダウンタイムアップグレード	ネットワークのダウンタイムがなく、接続のドロップ数を最小限に抑えながらアップグレードをすばやく完了する必要がある場合は、この方法を選択します。このタイプのアップグレードでは、トラフィックを処理するアクティブなクラスタ・メンバがクラスタ内に常に1 つ以上存在します。古いバージョンを実行しているクラスタメンバを介して開始されたすべての接続は、そのクラスタメンバを新しいバージョンにアップグレードすると削除されます。これは、異なるCheck Point ソフトウェアバージョンを実行しているクラスタメンバが接続を同期できないためです。ただし、アップグレード中もネットワーク接続は引き続き使用可能であり、アップグレードされたクラスタ・メンバを介して開始された接続はドロップされません。 ClusterXL またはVSX クラスタをアップグレードする場合は、この方法を選択できます。サードパーティクラスタ(Gaia 上のVRRP)をアップグレードする場合は、この方法を選択できます。	このアップグレード方法では、古い接続をドロップするために比較的短いダウンタイムウィンドウが必要です。このアップグレードの期間は比較的短い。	このアップグレード方法では、ダイナミックルーティング接続はサポートされません。

アップグレード
メソッド

手順

メンテナンス
ウィンドウ(ダウンタイム)

制限

MVC(Multi-Version Cluster)アップグレード

接続が最大の関心事である場合は、この方法を選択します。

接続フェイルオーバーは保証されます- 接続はドロップされません。

アップグレード前に開始された接続は、アップグレードされたSecurity Gateway およびクラスタ・メンバと同期されるため、接続はドロップされません。

ClusterXL またはVSX クラスタをアップグレードする場合は、この方法を選択できます。

サードパーティクラスタ(Gaia 上のVRRP)をアップグレードする場合は、この方法を選択できます。

このアップグレード方法では、not にダウンタイムウィンドウが必要です。

このアップグレードの期間は短い。

このアップグレード方法は、特定のアップグレードパスのみをサポートします。

多くのタイプの接続は、not がアップグレードされたクラスタ・メンバへのフェイルオーバー後も存続します。

参照:

最小限の作業アップグレード (Simple Upgrade)

ネットワークのダウンタイムを許可する期間がある場合は、この方法を選択します。

この方法は、各クラスタ・メンバを独立したSecurity Gateway としてアップグレードできるため、最も簡単です。

アップグレード前に開始されたすべての接続は、アップグレード 中に削除されます。

ClusterXL またはVSX クラスタをアップグレードする場合は、この方法を選択できます。

サードパーティクラスタ(Gaia 上のVRRP)をアップグレードする場合は、この方法を選択できます。

このアップグレード方法では、かなりのダウンタイムウィンドウが必要です。

このアップグレードの期間は、すべてのクラスタ・メンバのアップグレードにかかる期間です。

なし

ゼロダウンタイムアップグレード

ネットワークのダウンタイムがなく、接続のドロップ数を最小限に抑えながらアップグレードをすばやく完了する必要がある場合は、この方法を選択します。

このタイプのアップグレードでは、トラフィックを処理するアクティブなクラスタ・メンバがクラスタ内に常に1 つ以上存在します。

古いバージョンを実行しているクラスタメンバを介して開始されたすべての接続は、そのクラスタメンバを新しいバージョンにアップグレードすると削除されます。これは、異なるCheck Point ソフトウェアバージョンを実行しているクラスタメンバが接続を同期できないためです。

ただし、アップグレード中もネットワーク接続は引き続き使用可能であり、アップグレードされたクラスタ・メンバを介して開始された接続はドロップされません。

ClusterXL またはVSX クラスタをアップグレードする場合は、この方法を選択できます。

サードパーティクラスタ(Gaia 上のVRRP)をアップグレードする場合は、この方法を選択できます。

このアップグレード方法では、古い接続をドロップするために比較的短いダウンタイムウィンドウが必要です。

このアップグレードの期間は比較的短い。

このアップグレード方法では、ダイナミックルーティング接続はサポートされません。

クラスタの状態" Ready" クラスタのアップグレード中

Note - Multi-Version Cluster (MVC) メカニズムが無効になっている場合にのみ適用されます(MVC(Multi-Version Cluster)アップグレードを参照)。

異なるバージョンのクラスタ・メンバが同じネットワーク上にある場合、新しい(アップグレードされた)バージョンのクラスタ・メンバはReady の状態のままになり、以前のバージョンのクラスタ・メンバはActive Attention の状態のままになります。

状態Readyのクラスタ・メンバはトラフィックを処理せず、他のクラスタ・メンバと同期しません。

クラスタ・メンバが"Ready"状態にならないようにするには:

オプション

手順

以下の手順を実行します。

コンソールを介してクラスタ・メンバに接続します。
クラスタ・メンバをネットワークから物理的に切断します(すべてのケーブルを切断します)。

以下の手順を実行します。

コンソールを介してクラスタ・メンバに接続します。
Gaia Clish CheckPoint Gaiaオペレーティングシステムのデフォルトのコマンドラインシェルの名前。これは制限付きシェルです（役割ベースの管理は、シェルで使用可能なコマンドの数を制御します）。にログインします。。
すべてのインタフェースをシャットダウンします。
set interface <Name of Interface> state off

詳細については、sk42096を参照してください。