Security Gateway クラスタのダウンタイム・アップグレードのゼロ

ベストプラクティス - SmartConsole閉じた Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。 でセントラルデプロイを使用します。詳細については、R81.10 Security Management Administration Guide > Chapter Managing Gateways > Section Central Deployment of Hotfixes and Version Upgrades を参照してください。

重要 - クラスタ閉じた 冗長構成で連携する2つ以上のセキュリティゲートウェイ(ハイアベイラビリティまたは負荷分散)をクラスタ化します。をアップグレードする前に:

ステップ

手順

1

現在の設定をバックアップします(バックアップと復元を参照)。

2

アップグレードのオプションと前提条件を参照してください。

3

管理サーバーとログサーバーをアップグレードします。

4

クラスタアップグレードの計画 の計画を参照してください。

5

完全なメンテナンス期間をスケジュールして、アップグレード後にすべてのカスタム設定を再度確認できるようにします。

以下の手順は、3 つのクラスタ・メンバM1、M2、M3 を持つクラスタの例に基づいています。

ただし、2 つ以上のクラスタ・メンバで構成されるクラスタに使用できます。

手順:

  1. 重要 - このステップでは、not がLinux カーネル3.10 のR80.30 に適用されます("uname -r" コマンドを実行します)。

    ベストプラクティス - アップグレード中にクラスタ周辺のスイッチで発生する可能性のある問題を回避するには、Cluster Control Protocol(CCP)(CCP)モードをBroadcast(ブロードキャスト)に変更することをお勧めします。

    ステップ

    手順

    1

    各クラスタメンバのコマンドラインに接続します。

    2

    エキスパートモード閉じた CheckPoint Gaiaオペレーティングシステムで完全なシステムルート権限を付与する完全なコマンドラインシェルの名前。にログインします。

    3

    CCP モードをブロードキャストに変更します。

    cphaconf set_ccp broadcast

    注:

    • この変更では、再起動は必要ありません。

    • この変更はただちに適用され、再起動後も存続します。

    4

    CCP モードがBroadcast に設定されていることを確認します。

    cphaprob -a if

  2. 重要 - アップグレードまたはクリーンインストール閉じた コンピュータにCheck Pointオペレーティングシステムを最初からインストールすること。の後にクラスタ・メンバを再起動する必要があります。

    設置方法

    手順

    CPUSE閉じた Gaiaオペレーティングシステム用の Check Point アップグレードサービスエンジン。CPUSEを使用すると、GaiaOSおよびGaiaOS自体のCheckPoint製品を自動的に更新できます。詳細については、sk92449 を参照してください。を使用したR81.10へのアップグレード

    Gaiaへのソフトウェアパッケージのインストールへのソフトウェアパッケージのインストール」を参照してください。

    ローカルまたはセントラルインストールに適用されるアクションプランに従います。

    ローカルインストールで、R81.10 パッケージを選択し、Upgrade を実行します。詳細な手順については、sk92449 を参照してください。

    CPUSEによるR81.10のクリーンインストール

    Gaiaへのソフトウェアパッケージのインストールへのソフトウェアパッケージのインストール」を参照してください。

    ローカルまたはセントラルインストールに適用されるアクションプランに従います。

    ローカルインストールで、R81.10 パッケージを選択し、Clean Install を実行します。詳細な手順については、sk92449 を参照してください。

    重要 - Gaia First Time Configuration Wizard のManagement Connection IP アドレスは、以前のクラスタ・メンバで使用されていたのと同じIP アドレスを使用する必要があります(アップグレード前)。

    R81.10のクリーンインストール

    ClusterXL クラスタのインストール - 手順"Install the Cluster Members" のみに従います。

    重要 - Gaia First Time Configuration Wizard のManagement Connection IP アドレスは、以前のクラスタ・メンバで使用されていたのと同じIP アドレスを使用する必要があります(アップグレード前)。

    VRRP クラスタのインストール - 手順"Install the VRRP Cluster Members" のみに従います。

    重要 - Gaia First Time Configuration Wizard のManagement Connection IP アドレスは、以前のVRRP Cluster Member で使用されていたのと同じIP アドレスを使用する必要があります(アップグレード前)。

    VSX クラスタのインストール - 手順"Install the VSX Cluster Members" のみに従います。

    重要 - Gaia First Time Configuration Wizard のManagement Connection IP アドレスは、以前のVSX閉じた 仮想システム拡張。Check Point Security Gatewayおよびその他のネットワークデバイスの仮想抽象化を備えたコンピュータまたはクラスタでホストされるCheckPoint仮想ネットワークソリューション。これらの仮想デバイスは、物理的な対応デバイスと同じ機能を提供します。 Cluster Member で使用されていたのと同じIP アドレスを使用する必要があります(アップグレード前)。

  3. 重要 - アップグレードまたはクリーンインストールの後にクラスタ・メンバを再起動する必要があります。

    設置方法

    手順

    CPUSEを使用したR81.10へのアップグレード

    Gaiaへのソフトウェアパッケージのインストールへのソフトウェアパッケージのインストール」を参照してください。

    ローカルまたはセントラルインストールに適用されるアクションプランに従います。

    ローカルインストールで、R81.10 パッケージを選択し、Upgrade を実行します。詳細な手順については、sk92449 を参照してください。

    CPUSEによるR81.10のクリーンインストール

    Gaiaへのソフトウェアパッケージのインストールへのソフトウェアパッケージのインストール」を参照してください。

    ローカルまたはセントラルインストールに適用されるアクションプランに従います。

    ローカルインストールで、R81.10 パッケージを選択し、Clean Install を実行します。詳細な手順については、sk92449 を参照してください。

    重要 - Gaia First Time Configuration Wizard のManagement Connection IP アドレスは、以前のクラスタ・メンバで使用されていたのと同じIP アドレスを使用する必要があります(アップグレード前)。

    R81.10のクリーンインストール

    ClusterXL クラスタのインストール - 手順"Install the Cluster Members" のみに従います。

    重要 - Gaia First Time Configuration Wizard のManagement Connection IP アドレスは、以前のクラスタ・メンバで使用されていたのと同じIP アドレスを使用する必要があります(アップグレード前)。

    VRRP クラスタのインストール - 手順"Install the VRRP Cluster Members" のみに従います。

    重要 - Gaia First Time Configuration Wizard のManagement Connection IP アドレスは、以前のVRRP Cluster Member で使用されていたのと同じIP アドレスを使用する必要があります(アップグレード前)。

    VSX クラスタのインストール - 手順"Install the VSX Cluster Members" のみに従います。

    重要 - Gaia First Time Configuration Wizard のManagement Connection IP アドレスは、以前のVSX Cluster Member で使用されていたのと同じIP アドレスを使用する必要があります(アップグレード前)。

  4. ステップ

    手順

    1

    SmartConsole を使用して、このクラスタを管理するR81.10 Security Management Server閉じた Check Pointソフトウェアを実行して、単一の管理ドメイン内のCheck Point環境のオブジェクトとポリシーを管理する専用Check Pointサーバ。同義語:単一ドメインセキュリティ管理サーバ。 またはDomain Management Server閉じた Check Point シングルドメインセキュリティ管理サーバまたはマルチドメインセキュリティ管理サーバ。 に接続します。

    2

    左側のナビゲーションパネルでGateways & Serversをクリックします。

    3

    Cluster オブジェクトを開きます。

    4

    左のツリーでGeneral Propertiesページ をクリックします。

    5

    Platform セクション> Version フィールドで、R81.10 を選択します。

    6

    OKをクリックします。 Gateway Cluster Properties ウィンドウを閉じます。

  5. ステップ

    手順

    1

    Install Policyをクリックします。

    2

    Install Policyウィンドウで:

    1. Policy フィールドで、該当するアクセスコントロールポリシーを選択します。

    2. Install Mode セクションで、次の2 つのオプションを設定します。

      • Install on each selected gateway independentlyを選択します。

      • For gateway clusters, if installation on a cluster member fails, do not install on that clusterをクリアします。

    3. Installをクリックします。。

    3

    アクセスコントロールポリシーのインストール:

    • upgraded Cluster Members M2 およびM3 で成功しました。

    • old Cluster Member M1 で警告が発生しました。この警告は無視します。

  6. ステップ

    手順

    1

    各クラスタメンバのコマンドラインに接続します。

    2

    次のいずれかの方法でクラスタの状態を確認します。

    重要:

    • アップグレードされたクラスタ・メンバM2 およびM3 のクラスタ状態はReady です。

    • 古いクラスタ・メンバM1のクラスタ状態は次のようになります。

      • R80.20 以降- Active(!)

      • R80.10 以下では- Active Attention

  7. ステップ

    手順

    1

    クラスタメンバのコマンドラインに接続します。

    2

    すべてのチェック・ポイント・サービスを停止します。

    cpstop

    注:

    • これにより、古いクラスタ・メンバM1 からアップグレードされたクラスタ・メンバの1 つへの制御されたクラスタ・フェイルオーバーが強制的に実行されます。

    • 現時点では、古いクラスタ・メンバM1を介して開始されたすべての接続が削除されます(これは、異なるソフトウェア・バージョンを持つクラスタ・メンバは同期できないためです)。

  8. ステップ

    手順

    1

    各クラスタメンバのコマンドラインに接続します。

    2

    次のいずれかの方法でクラスタの状態を確認します。

    • Gaia Clish

      show cluster state

    • エキスパートモード:

      cphaprob state

    重要:

    • High Availability モードでは、アップグレードされたクラスタメンバー(M2 またはM3) のいずれかがクラスタ状態をActive に変更します。

      他のアップグレードされたクラスタメンバ(M2 またはM3) は、クラスタの状態をStandby に変更します。

    • 負荷共有モードでは、すべてのクラスタメンバがActive 状態である必要があります。

  9. 重要 - アップグレードまたはクリーンインストールの後にクラスタ・メンバを再起動する必要があります。

    設置方法

    手順

    CPUSEを使用したR81.10へのアップグレード

    Gaiaへのソフトウェアパッケージのインストールへのソフトウェアパッケージのインストール」を参照してください。

    ローカルまたはセントラルインストールに適用されるアクションプランに従います。

    ローカルインストールで、R81.10 パッケージを選択し、Upgrade を実行します。詳細な手順については、sk92449 を参照してください。

    CPUSEによるR81.10のクリーンインストール

    Gaiaへのソフトウェアパッケージのインストールへのソフトウェアパッケージのインストール」を参照してください。

    ローカルまたはセントラルインストールに適用されるアクションプランに従います。

    ローカルインストールで、R81.10 パッケージを選択し、Clean Install を実行します。詳細な手順については、sk92449 を参照してください。

    重要 - Gaia First Time Configuration Wizard のManagement Connection IP アドレスは、以前のクラスタ・メンバで使用されていたのと同じIP アドレスを使用する必要があります(アップグレード前)。

    R81.10のクリーンインストール

    ClusterXL クラスタのインストール - 手順"Install the Cluster Members" のみに従います。

    重要 - Gaia First Time Configuration Wizard のManagement Connection IP アドレスは、以前のクラスタ・メンバで使用されていたのと同じIP アドレスを使用する必要があります(アップグレード前)。

    VRRP クラスタのインストール - 手順"Install the VRRP Cluster Members" のみに従います。

    重要 - Gaia First Time Configuration Wizard のManagement Connection IP アドレスは、以前のVRRP Cluster Member で使用されていたのと同じIP アドレスを使用する必要があります(アップグレード前)。

    VSX クラスタのインストール - 手順"Install the VSX Cluster Members" のみに従います。

    重要 - Gaia First Time Configuration Wizard のManagement Connection IP アドレスは、以前のVSX Cluster Member で使用されていたのと同じIP アドレスを使用する必要があります(アップグレード前)。

  10. 重要 - この手順は、このクラスタ・メンバM1 でR81.10 のクリーン・インストールを実行した場合にのみ必要です。

    ステップ

    手順

    1

    SmartConsole を使用してR81.10 Security Management Server またはこのクラスタを管理するMain ドメイン管理サーバに接続します。

    2

    左側のナビゲーションパネルでGateways & Serversをクリックします。

    3

    クラスタオブジェクトを開きます。

    4

    左側のツリーから、Cluster Members をクリックします。

    5

    Cluster Member M1のオブジェクトを選択します。

    6

    Editをクリックします。。

    7

    General タブで、Communication ボタンをクリックします。

    8

    Resetをクリックします。。

    9

    One-time password フィールドに、クラスタ・メンバの初期設定ウィザードで入力したのと同じアクティベーション・キーを入力します。

    10

    Confirm one-time password フィールドに、同じアクティベーションキーを再度入力します。

    33

    Initializeをクリックします。。

    12

    Trust state フィールドはTrust established を表示する必要があります。

    13

    Closeをクリックします。 Communication ウィンドウを閉じます。

    14

    OKをクリックします。 Cluster Member Properties ウィンドウを閉じます。

  11. ステップ

    手順

    1

    SmartConsole を使用して、このクラスタを管理するR81.10 Security Management Server またはDomain Management Server に接続します。

    2

    左側のナビゲーションパネルでGateways & Serversをクリックします。

    3

    アクセスコントロールポリシーをインストールします。

    1. Install Policyをクリックします。

    2. Policy フィールドで、該当するアクセスコントロールポリシーを選択します。

    3. Install Mode セクションで、次の2 つのオプションを選択します。

      • Install on each selected gateway independently

      • For gateway clusters, if installation on a cluster member fails, do not install on that cluster

    4. Installをクリックします。。

    5. アクセス制御ポリシーは、すべてのクラスタ・メンバに正常にインストールする必要があります。

    4

    脅威防御ポリシーをインストールします。

    1. Install Policyをクリックします。

    2. Policy フィールドで、該当する脅威防御ポリシーを選択します。

    3. Installをクリックします。。

    4. Threat Prevention Policy は、すべてのクラスタ・メンバに正常にインストールする必要があります。

  12. ステップ

    手順

    1

    各クラスタメンバのコマンドラインに接続します。

    2

    次のいずれかの方法でクラスタの状態を確認します。

    • Gaia Clish

      show cluster state

    • エキスパートモード:

      cphaprob state

    重要:

    • すべてのクラスタメンバは、すべてのクラスタメンバの状態について同じ情報を表示する必要があります。

    • High Availability モードでは、1 つのクラスタメンバがActive 状態で、他のすべてのクラスタメンバがStandby 状態である必要があります。

    • 負荷共有モードでは、すべてのクラスタメンバがActive 状態である必要があります。

  13. ステップ

    手順

    1

    SmartConsole を使用して、このクラスタを管理するR81.10 Security Management Server またはDomain Management Server に接続します。

    2

    左側のナビゲーションパネルでLogs & Monitor > Logsをクリックします。

    3

    このクラスタのログを調べて、トラフィックが期待どおりに検査されていることを確認します。

詳細:

R81.10 ClusterXL Administration Guide参照してください。