VSX クラスタのゼロダウンタイムアップグレード

以下の手順では、3 つのVSX クラスタ・メンバM1、M2、M3 を持つVSX クラスタの例を説明します。

ただし、2 つ以上のクラスタ・メンバで構成されるクラスタに使用できます。

手順:

1. 管理サーバーで、VSX Cluster オブジェクトの設定をR81.10 にアップグレードします。

   ステップ	手順
   1	このVSX クラスタを管理するSecurity Management Server Check Pointソフトウェアを実行して、単一の管理ドメイン内のCheck Point環境のオブジェクトとポリシーを管理する専用Check Pointサーバ。同義語:単一ドメインセキュリティ管理サーバ。 またはMulti-Domain Server CheckPointソフトウェアを実行して、ドメイン管理サーバと呼ばれる仮想セキュリティ管理サーバをホストする専用Check Pointサーバ。同義語:マルチドメインセキュリティ管理サーバ。頭字語：MDS のコマンドラインに接続します。
   2	エキスパートモード CheckPoint Gaiaオペレーティングシステムで完全なシステムルート権限を付与する完全なコマンドラインシェルの名前。にログインします。
   3	Multi-Domain Server で、このVSX Cluster オブジェクトを管理するMain Domain Management Server Check Point シングルドメインセキュリティ管理サーバまたはマルチドメインセキュリティ管理サーバ。 のコンテキストに移動します。 mdsenv <IP Address or Name of Main Domain Management Server>
   4	VSX Cluster オブジェクトの設定をR81.10 にアップグレードします。 vsx_util upgrade このコマンドはインタラクティブです。
   	管理データベースにログインするには、次の詳細を入力します。 Security Management Server のIP アドレス、またはこのVSX クラスタを管理するMain ドメイン管理サーバ 管理サーバー管理者のユーザー名 管理サーバー管理者のパスワード
   	VSX クラスタを選択します。
   	R81.10を選択します。
   	監査のために、vsx_util ログファイルを保存します。 Security Management Server。 /opt/CPsuite-R81.10/fw1/log/vsx_util_YYYYMMDD_HH_MM.log マルチドメインサーバ: /opt/CPmds-R81.10/customers/<Name_of_Domain>/CPsuite-R81.10/fw1/log/vsx_util_YYYYMMDD_HH_MM.log
   5	SmartConsole を使用してR81.10 Security Management Server またはこのVSX クラスタを管理するMain ドメイン管理サーバに接続します。
   6	左側のナビゲーションパネルでGateways & Serversをクリックします。
   7	VSX Cluster オブジェクトを開きます。
   8	左のツリーでGeneral Propertiesページ をクリックします。
   9	Platform セクションで、Version フィールドにR81.10 が表示されていることを確認します。
   10	Cancel をクリックします(not click OK)。 Note - OK をクリックすると、管理サーバはVSX 設定をVSX クラスタにプッシュします。VSX クラスタはまだアップグレードされていないため、この操作は失敗します。

2. VSX クラスタ・メンバごとに、CCP モードをブロードキャストに変更します。

   重要 - このステップでは、not がLinux カーネル3.10 のR80.30 に適用されます("uname -r" コマンドを実行します)。

   ベストプラクティス - アップグレード中にクラスタ周辺のスイッチで発生する可能性のある問題を回避するには、Cluster Control Protocol(CCP)(CCP)モードをBroadcast(ブロードキャスト)に変更することをお勧めします。

   ステップ	手順
   1	各VSXクラスタメンバのコマンドラインに接続します。
   2	エキスパートモードにログインします。
   3	CCP モードをブロードキャストに変更します。 cphaconf set_ccp broadcast 注: この変更では、再起動は必要ありません。 この変更はただちに適用され、再起動後も存続します。
   4	CCP モードがBroadcast に設定されていることを確認します。 cphaprob -a if

3. VSX Cluster Member M2 で、CPUSE を使用してR81.10 にアップグレードするか、R81.10 のクリーンインストールを実行します。

   重要 - アップグレードまたはクリーンインストール コンピュータにCheck Pointオペレーティングシステムを最初からインストールすること。後にVSX Cluster Member を再起動する必要があります。

   設置方法	手順
   CPUSE Gaiaオペレーティングシステム用の Check Point アップグレードサービスエンジン。CPUSEを使用すると、GaiaOSおよびGaiaOS自体のCheckPoint製品を自動的に更新できます。詳細については、sk92449 を参照してください。を使用したR81.10へのアップグレード	「Gaiaへのソフトウェアパッケージのインストールへのソフトウェアパッケージのインストール」を参照してください。 ローカルまたはセントラルインストールに適用されるアクションプランに従います。 ローカルインストールで、R81.10 パッケージを選択し、Upgrade を実行します。詳細な手順については、sk92449 を参照してください。
   CPUSEによるR81.10のクリーンインストール	以下の手順に従います。 「Gaiaへのソフトウェアパッケージのインストールへのソフトウェアパッケージのインストール」を参照してください。 ローカルまたはセントラルインストールに適用されるアクションプランに従います。 ローカルインストールで、R81.10 パッケージを選択し、Clean Install を実行します。詳細な手順については、sk92449 を参照してください。 重要 - Gaia First Time Configuration Wizard のManagement Connection IP アドレスは、以前のVSX Cluster Member で使用されていたのと同じIP アドレスを使用する必要があります(アップグレード前)。 管理サーバーで"vsx_util reconfigure" コマンドを実行し、VSX 構成をこのVSX クラスタメンバーにプッシュします。 R81.10 VSX Administration Guide > Chapter Command Line Reference > Section vsx_util > Section vsx_util reconfigure を参照してください。 Important -このVSX クラスタ・メンバのGaia 初期設定ウィザードで入力したのと同じアクティベーション・キーを入力する必要があります。 このVSX Cluster Member で必要な設定を構成します。 OS 設定(DNS、NTP、DHCP、ダイナミックルーティング、DHCP リレーなど)。 設定は、さまざまな設定ファイルで手動で定義します。 適用可能なCheck Point 設定ファイル。
   R81.10のクリーンインストール	以下の手順に従います。 VSX クラスタのインストール - 手順"Install the VSX Cluster Members" のみに従います。 重要 - Gaia First Time Configuration Wizard のManagement Connection IP アドレスは、以前のVSX Cluster Member で使用されていたのと同じIP アドレスを使用する必要があります(アップグレード前)。 管理サーバーで"vsx_util reconfigure" コマンドを実行し、VSX 構成をこのVSX クラスタメンバーにプッシュします。 R81.10 VSX Administration Guide > Chapter Command Line Reference > Section vsx_util > Section vsx_util reconfigure を参照してください。 Important -このVSX クラスタ・メンバのGaia 初期設定ウィザードで入力したのと同じアクティベーション・キーを入力する必要があります。 このVSX Cluster Member で必要な設定を構成します。 OS 設定(DNS、NTP、DHCP、ダイナミックルーティング、DHCP リレーなど)。 設定は、さまざまな設定ファイルで手動で定義します。 適用可能なCheck Point 設定ファイル。

4. VSX Cluster Member M3 で、CPUSE を使用してR81.10 にアップグレードするか、R81.10 のクリーンインストールを実行します。

   重要 - アップグレードまたはクリーンインストール後にVSX Cluster Member を再起動する必要があります。

   設置方法	手順
   CPUSEを使用したR81.10へのアップグレード	「Gaiaへのソフトウェアパッケージのインストールへのソフトウェアパッケージのインストール」を参照してください。 ローカルまたはセントラルインストールに適用されるアクションプランに従います。 ローカルインストールで、R81.10 パッケージを選択し、Upgrade を実行します。詳細な手順については、sk92449 を参照してください。
   CPUSEによるR81.10のクリーンインストール	以下の手順に従います。 「Gaiaへのソフトウェアパッケージのインストールへのソフトウェアパッケージのインストール」を参照してください。 ローカルまたはセントラルインストールに適用されるアクションプランに従います。 ローカルインストールで、R81.10 パッケージを選択し、Clean Install を実行します。詳細な手順については、sk92449 を参照してください。 重要 - Gaia First Time Configuration Wizard のManagement Connection IP アドレスは、以前のVSX Cluster Member で使用されていたのと同じIP アドレスを使用する必要があります(アップグレード前)。 管理サーバーで"vsx_util reconfigure" コマンドを実行し、VSX 構成をこのVSX クラスタメンバーにプッシュします。 R81.10 VSX Administration Guide > Chapter Command Line Reference > Section vsx_util > Section vsx_util reconfigure を参照してください。 Important -このVSX クラスタ・メンバのGaia 初期設定ウィザードで入力したのと同じアクティベーション・キーを入力する必要があります。 このVSX Cluster Member で必要な設定を構成します。 OS 設定(DNS、NTP、DHCP、ダイナミックルーティング、DHCP リレーなど)。 設定は、さまざまな設定ファイルで手動で定義します。 適用可能なCheck Point 設定ファイル。
   R81.10のクリーンインストール	以下の手順に従います。 VSX クラスタのインストール - 手順"Install the VSX Cluster Members" のみに従います。 重要 - Gaia First Time Configuration Wizard のManagement Connection IP アドレスは、以前のVSX Cluster Member で使用されていたのと同じIP アドレスを使用する必要があります(アップグレード前)。 管理サーバーで"vsx_util reconfigure" コマンドを実行し、VSX 構成をこのVSX クラスタメンバーにプッシュします。 R81.10 VSX Administration Guide > Chapter Command Line Reference > Section vsx_util > Section vsx_util reconfigure を参照してください。 Important -このVSX クラスタ・メンバのGaia 初期設定ウィザードで入力したのと同じアクティベーション・キーを入力する必要があります。 このVSX Cluster Member で必要な設定を構成します。 OS 設定(DNS、NTP、DHCP、ダイナミックルーティング、DHCP リレーなど)。 設定は、さまざまな設定ファイルで手動で定義します。 適用可能なCheck Point 設定ファイル。

5. SmartConsole で、アクセス制御ポリシーをインストールします。

   ステップ	手順
   1	SmartConsole を使用してR81.10 Security Management Server またはこのVSX クラスタを管理するMain ドメイン管理サーバに接続します。
   2	左側のナビゲーションパネルでGateways & Serversをクリックします。
   3	Install Policyをクリックします。
   4	Install Policyウィンドウで： Policy フィールドで、このVSX Cluster オブジェクトのデフォルトポリシーを選択します。 このポリシーは以下と呼ばれます。 <Name of VSX Cluster object>_VSX Install Mode セクションで、次の2 つのオプションを設定します。 Install on each selected gateway independentlyを選択します。 For gateway clusters, if installation on a cluster member fails, do not install on that clusterをクリアします。 Installをクリックします。。
   5	ポリシーのインストール: upgraded VSX Cluster Members M2 およびM3 で成功しました。 old VSX Cluster Member M1 で警告が発生しました。この警告は無視します。

6. 各VSX Cluster Member で、VSX 構成とクラスタ状態を調べます。

   ステップ	手順
   1	各VSXクラスタメンバのコマンドラインに接続します。
   2	エキスパートモードにログインします。
   3	VSX 設定を確認します。 vsx stat -v 重要： 設定済みの仮想デバイスがすべてロードされていることを確認します。 すべてのバーチャル・システムとバーチャル・ルータにSIC Secure Internal Communication。安全な通信のために、CheckPointソフトウェアを実行するCheckPointコンピュータがSSLを介して相互に認証するCheckPoint独自のメカニズム。この認証は、ICAがCheck Point Management Serverで発行した証明書に基づいています。の信頼とポリシーがあることを確認します。
   4	次のいずれかの方法でクラスタの状態を確認します。 Gaia Clish CheckPoint Gaiaオペレーティングシステムのデフォルトのコマンドラインシェルの名前。これは制限付きシェルです（役割ベースの管理は、シェルで使用可能なコマンドの数を制御します）。 (R80.20 以上) では、以下を実行します。 set virtual-system 0 show cluster state エキスパートモード: vsenv 0 cphaprob state 重要： アップグレードされたVSX Cluster Members M2 およびM3 のクラスタ状態はReady です。 古いVSX Cluster Member M1 のクラスタ状態は次のようになります。 R80.20 以降- Active(!)。 R80.10 以下では- Active Attention。

7. 古いVSX クラスタ・メンバM1 で、すべてのCheck Point サービスを停止します。

   ステップ	手順
   1	VSX Cluster Member M1 のコマンドラインに接続します。
   2	すべてのチェック・ポイント・サービスを停止します。 cpstop 注: これにより、古いVSX Cluster Member M1 からアップグレードされたVSX Cluster Members の1 つに、制御されたクラスタ・フェイルオーバーが強制的に実行されます。 現時点では、古いVSX Cluster Member M1 を介して開始されたすべての接続がドロップされます(これは、異なるソフトウェアバージョンを持つVSX Cluster Members は同期できないためです)。

8. アップグレードされたVSX クラスタ・メンバM2 およびM3 で、クラスタ状態を調べます。

   ステップ	手順
   1	each Cluster Member M2 およびM3 のコマンドラインに接続します。
   2	次のいずれかの方法でクラスタの状態を確認します。 Gaia Clish show cluster state エキスパートモード: cphaprob state 重要： VSX クラスタメンバ(M2 またはM3) のいずれかが、クラスタ状態をActive に変更します。 他のVSX クラスタメンバ(M2 またはM3) は、クラスタの状態をStandby に変更します。

9. 古いVSX クラスタ・メンバM1 で、CPUSE を使用してR81.10 にアップグレードするか、R81.10 のクリーン・インストールを実行します。

   重要 - アップグレードまたはクリーンインストール後にVSX Cluster Member を再起動する必要があります。

   設置方法	手順
   CPUSEを使用したR81.10へのアップグレード	「Gaiaへのソフトウェアパッケージのインストールへのソフトウェアパッケージのインストール」を参照してください。 ローカルまたはセントラルインストールに適用されるアクションプランに従います。 ローカルインストールで、R81.10 パッケージを選択し、Upgrade を実行します。詳細な手順については、sk92449 を参照してください。
   CPUSEによるR81.10のクリーンインストール	以下の手順に従います。 「Gaiaへのソフトウェアパッケージのインストールへのソフトウェアパッケージのインストール」を参照してください。 ローカルまたはセントラルインストールに適用されるアクションプランに従います。 ローカルインストールで、R81.10 パッケージを選択し、Clean Install を実行します。詳細な手順については、sk92449 を参照してください。 重要 - Gaia First Time Configuration Wizard のManagement Connection IP アドレスは、以前のVSX Cluster Member で使用されていたのと同じIP アドレスを使用する必要があります(アップグレード前)。 管理サーバーで"vsx_util reconfigure" コマンドを実行し、VSX 構成をこのVSX クラスタメンバーにプッシュします。 R81.10 VSX Administration Guide > Chapter Command Line Reference > Section vsx_util > Section vsx_util reconfigure を参照してください。 Important -このVSX クラスタ・メンバのGaia 初期設定ウィザードで入力したのと同じアクティベーション・キーを入力する必要があります。 このVSX Cluster Member で必要な設定を構成します。 OS 設定(DNS、NTP、DHCP、ダイナミックルーティング、DHCP リレーなど)。 設定は、さまざまな設定ファイルで手動で定義します。 適用可能なCheck Point 設定ファイル。
   R81.10のクリーンインストール	以下の手順に従います。 VSX クラスタのインストール - 手順"Install the VSX Cluster Members" のみに従います。 重要 - Gaia First Time Configuration Wizard のManagement Connection IP アドレスは、以前のVSX Cluster Member で使用されていたのと同じIP アドレスを使用する必要があります(アップグレード前)。 管理サーバーで"vsx_util reconfigure" コマンドを実行し、VSX 構成をこのVSX クラスタメンバーにプッシュします。 R81.10 VSX Administration Guide > Chapter Command Line Reference > Section vsx_util > Section vsx_util reconfigure を参照してください。 Important -このVSX クラスタ・メンバのGaia 初期設定ウィザードで入力したのと同じアクティベーション・キーを入力する必要があります。 このVSX Cluster Member で必要な設定を構成します。 OS 設定(DNS、NTP、DHCP、ダイナミックルーティング、DHCP リレーなど)。 設定は、さまざまな設定ファイルで手動で定義します。 適用可能なCheck Point 設定ファイル。

10. SmartConsole で、ポリシーをインストールします。

    ステップ	手順
    1	SmartConsole を使用してR81.10 Security Management Server またはこのVSX クラスタを管理するMain ドメイン管理サーバに接続します。
    2	左側のナビゲーションパネルでGateways & Serversをクリックします。
    3	VSX Cluster オブジェクトにデフォルトポリシーをインストールします。 Install Policyをクリックします。 Policy フィールドで、このVSX Cluster オブジェクトのデフォルトポリシーを選択します。 このポリシーは以下と呼ばれます。 <Name of VSX Cluster object>_VSX Install Mode セクションで、次の2 つのオプションを選択します。 Install on each selected gateway independently For gateway clusters, if installation on a cluster member fails, do not install on that cluster Installをクリックします。。 デフォルトのポリシーは、すべてのVSXクラスタ・メンバに正常にインストールされます。
    4	VSX クラスタオブジェクトにThreat Prevention Policy をインストールします。 Install Policyをクリックします。 Policy フィールドで、このVSX クラスタオブジェクトに適用可能なThreat Prevention Policy を選択します。 Installをクリックします。。 Threat Prevention Policy は、すべてのVSX クラスタ・メンバに正常にインストールする必要があります。

11. 各VSX Cluster Member で、VSX 構成とクラスタ状態を調べます。

    ステップ	手順
    1	各VSXクラスタメンバのコマンドラインに接続します。
    2	エキスパートモードにログインします。
    3	VSX 設定を確認します。 vsx stat -v 重要： 設定済みの仮想デバイスがすべてロードされていることを確認します。 すべてのバーチャル・システムとバーチャル・ルータにSICの信頼とポリシーがあることを確認します。
    4	次のいずれかの方法でクラスタの状態を確認します。 Gaia Clish set virtual-system 0 show cluster state エキスパートモード: vsenv 0 cphaprob state 重要： すべてのVSX クラスタメンバは、すべてのVSX クラスタメンバの状態について同じ情報を表示する必要があります。 高可用性モードでは、1 つのVSX クラスタメンバがActive 状態でなければならず、他のすべてのVSX クラスタメンバがStandby 状態でなければなりません。 バーチャル・システム負荷共有モードでは、すべてのVSXクラスタメンバがActive 状態である必要があります。 すべてのバーチャル・システムは、すべてのバーチャル・システムの状態について同じ情報を表示する必要があります。
    5	次のいずれかの方法でクラスタインタフェースを確認します。 Gaia Clish set virtual-system 0 show cluster members interfaces all エキスパートモード: vsenv 0 cphaprob -a if

12. 機能をテストする

    ステップ	手順
    1	SmartConsole を使用してR81.10 Security Management Server またはこのVSX クラスタ上のバーチャル・システムを管理する各Target ドメイン管理サーバに接続します。
    2	左側のナビゲーションパネルでLogs & Monitor > Logsをクリックします。
    3	このVSX クラスタのバーチャル・システムのログを調べて、トラフィックが予想どおりに検査されていることを確認します。

詳細については、次を参照してください。

• R81.10 VSX Administration Guide。

• R81.10 CLI Reference Guide。