セキュリティグループのアップグレードの失敗をロールバックする

ここでは、失敗した Security Group のアップグレードを R81.10 にロールバックする手順を説明します。

一部のセキュリティグループのメンバのみがアップグレードされた場合のロールバックについて

セキュリティグループ閉じた アクティブ/アクティブクラスタ機能を提供するセキュリティアプライアンスの論理グループ。セキュリティグループには 1 つ以上のセキュリティアプライアンスを含めることができます。セキュリティグループは、互いに別々に独立して機能します。本番ネットワークには、セキュリティグループが1つのセキュリティゲートウェイとして表示されます。すべてのセキュリティグループには以下が含まれます。(A) 本番ネットワークが接続されているアップリンクポート、(B) セキュリティアプライアンス(ダウンリンクポートは Quantum Maestro Orchestrator が自動的に決定)、(C) Check Point Management Server が接続されている管理用ポート。内の一部のセキュリティグループメンバだけをアップグレードした場合は、このロールバック手順を使用します。

ステップ

手順

1

Security Groupでコマンドラインに接続します。

2

R81.10にアップグレードしたSecurity Group Memberの1つのコンテキストに移動します。

member <Member ID>

例:

member 1_1

3

デフォルトのシェルが/etc/gclish (Gaia gClish閉じた Check Point Quantum Maestro Orchestrator に接続されているセキュリティアプライアンス用の Check Point Gaia オペレーティングシステムのグローバルコマンドラインシェルの名前。このシェルで実行するコマンドは、セキュリティグループ内のすべてのセキュリティアプライアンスに適用されます。)の場合は、エキスパートモード閉じた CheckPoint Gaiaオペレーティングシステムで完全なシステムルート権限を付与する完全なコマンドラインシェルの名前。にします。

expert

4

アップグレードスクリプトを "revert" パラメータで実行し、画面の指示に従います。

sp_upgrade --revert

5

R81.10にバージョンアップした各セキュリティグループメンバで

5-A

セキュリティグループメンバのコンテキストに移動します。

member <Member ID>

例:

member 1_2

5-B

Gaia Clish閉じた CheckPoint Gaiaオペレーティングシステムのデフォルトのコマンドラインシェルの名前。これは制限付きシェルです(役割ベースの管理は、シェルで使用可能なコマンドの数を制御します)。に移動する(Gaia gClishは使用しない)。

clish

5-C

アップグレード前に自動保存されたGaiaの自動スナップショットを復元します。

set snapshot revert AutoSnapShot_<Original-Version>_<Take>

例:

set snapshot revert AutoSnapShot_AutoSnapShot_R80_30_47

5-D

Security Group Memberの再起動が完了するのを待ちます。

6

Security Groupでコマンドラインに接続します。

7

デフォルトのシェルが/etc/gclish (Gaia gClish)の場合は、エキスパートモードにします。

expert

8

再度、"revert"パラメータを指定してアップグレードスクリプトを実行し、画面の指示に従います。

sp_upgrade --revert

9

ダウングレードが正常に行われたことを確認します。

asg diag verify

セキュリティグループ全体のロールバック - ダウンタイムなし

セキュリティグループ内のすべてのメンバをアップグレードし、現在の接続を維持する必要がある場合に、このロールバック手順を使用します。

重要:

  • この手順では、トラフィックを中断することなく、ダウンタイムも必要ありません

    ただし、この手順は、「セキュリティグループ全体のロールバック - ダウンタイムあり」の手順と比較して、より時間がかかります。

  • このロールバックでは、特定のセキュリティグループに属するアップグレードされたすべてのセキュリティグループメンバを2つの論理グループ(以下、「A」と「B」と表記)に分割します。

    Security Group Membersの1つの論理グループを一度に復帰させることができます。

    もう一方の論理グループであるSecurity Group Membersは、引き続きトラフィックを処理します。

    各論理グループには、できるだけ同じ数のセキュリティグループメンバが含まれている必要があります。

    例 1:

    • Security Groupには8人のSecurity Group Memberがいます。

    • 論理グループAには、1_1~1_4までのセキュリティグループメンバが含まれます。

    • 論理グループBには、1_5から1_8までのセキュリティグループメンバが含まれます。

    例 2:

    • Security Groupには5人のSecurity Group Memberがいます。

    • 論理グループ「A」には、1_1~1_3までのセキュリティグループメンバが含まれます。

    • 論理グループ「B」には、セキュリティグループメンバ1_4と1_5が含まれます。

ステップ

手順

1

Security Groupでコマンドラインに接続します。

2

論理グループ「A」のセキュリティグループメンバの1人のコンテキストに移動します。

member <Member ID>

例:

member 1_1

3

デフォルトのシェルが/etc/gclish (Gaia gClish)の場合は、エキスパートモードにします。

expert

4

アップグレードスクリプトを "revert" パラメータで実行し、画面の指示に従います。

sp_upgrade --revert

5

R81.10にアップグレードした論理グループ「A」の各Security Group Memberで、以下の手順を実行します。

5-A

セキュリティグループメンバのコンテキストに移動します。

member <Member ID>

例:

member 1_2

5-B

Gaia Clishに移動する(Gaia gClishは使用しない)。

clish

5-C

アップグレード前に自動保存されたGaiaの自動スナップショットを復元します。

set snapshot revert AutoSnapShot_<Original-Version>_<Take>

例:

set snapshot revert AutoSnapShot_AutoSnapShot_R80_30_47

5-D

Security Group Memberの再起動が完了するのを待ちます。

6

Security Groupでコマンドラインに接続します。

7

R81.10からダウングレードした論理グループ "A "のセキュリティグループメンバの1つのコンテキストに移動します。

member <Member ID>

例:

member 1_1

8

再度、"revert"パラメータを指定してアップグレードスクリプトを実行し、画面の指示に従います。

sp_upgrade --revert

9

R81.10にアップグレードした論理グループ「B」の各Security Group Memberで、以下の手順を実行します。

9-A

セキュリティグループメンバのコンテキストに移動します。

member <Member ID>

例:

member 1_5

9-B

Gaia Clishに移動する(Gaia gClishは使用しない)。

clish

9-C

アップグレード前に自動保存されたGaiaの自動スナップショットを復元します。

set snapshot revert AutoSnapShot_<Original-Version>_<Take>

例:

set snapshot revert AutoSnapShot_AutoSnapShot_R80_30_47

9-D

Security Group Memberの再起動が完了するのを待ちます。

10

Security Groupでコマンドラインに接続します。

11

デフォルトのシェルが/etc/gclish (Gaia gClish)の場合は、エキスパートモードにします。

expert

12

再度、"revert"パラメータを指定してアップグレードスクリプトを実行し、画面の指示に従います。

sp_upgrade --revert

13

ダウングレードが正常に行われたことを確認します。

asg diag verify

セキュリティグループ全体のロールバック - ダウンタイムあり

セキュリティグループ内のすべてのセキュリティグループメンバをアップグレードし、現在の接続を維持する必要がない場合は、このロールバック手順を使用します。

重要- この手順では、Security Groupを通過するすべてのトラフィックが中断されるため、メンテナンスウィンドウをスケジュールします。

このロールバックは、特定のセキュリティグループ内のアップグレードされたすべてのセキュリティグループメンバを同時に戻すため、時間を節約することができます。

トラフィックを遮断してはいけない場合は、「セキュリティグループ全体のロールバック - ダウンタイムなし」の手順に従ってください。

ステップ

手順

1

Security Groupでコマンドラインに接続します。

2

デフォルトのシェルが/etc/gclish (Gaia gClish)の場合は、エキスパートモードにします。

expert

3

エキスパートモードからGaia gClishへ。

  • デフォルトのシェルが/etc/gclish (Gaia gClish)の場合は、実行します。

    exit

  • デフォルトのシェルが/etc/bash (エキスパートモード)であれば、実行します。

    gclish

4

アップグレード前に自動保存されたGaiaの自動スナップショットを復元します。

set snapshot revert AutoSnapShot_<Original-Version>_<Take>

例:

set snapshot revert AutoSnapShot_AutoSnapShot_R80_30_47

5

Security Group Membersの再起動が完了するのを待ちます。

6

Security Groupでコマンドラインに接続します。

7

デフォルトのシェルが/etc/gclish (Gaia gClish)の場合は、エキスパートモードにします。

expert

8

アップグレードスクリプトを "revert" パラメータで実行し、画面の指示に従います。

sp_upgrade --revert

9

ダウングレードが正常に行われたことを確認します。

asg diag verify