最小限のダウンタイムでMaestro環境をアップグレードする

ここでは、Maestro 環境 (Quantum Maestro Orchestrator および Security Groups) を CPUSE閉じた Gaiaオペレーティングシステム用の Check Point アップグレードサービスエンジン。CPUSEを使用すると、GaiaOSおよびGaiaOS自体のCheckPoint製品を自動的に更新できます。詳細については、sk92449 を参照してください。 でアップグレードする手順について説明します。

この手順では、Security Groupsのこれらのアップグレードパスのみをサポートします。

  • R81からR81.10へ

  • R80.30SPからR81.10へ

  • R80.20SPからR81.10へ

重要- これらのロールバック手順を参照してください。

Quantum Maestro Orchestratorに関する重要な注意事項。

セキュリティグループに関する重要な注:。

  • Security Groupsをアップグレードする前に、Security Groupsを管理するManagement Server閉じた Check Point シングルドメインセキュリティ管理サーバまたはマルチドメインセキュリティ管理サーバ。をアップグレードする必要があります。

    R81.10 Installation and Upgrade Guide参照してください。

    重要- VSX閉じた 仮想システム拡張。Check Point Security Gatewayおよびその他のネットワークデバイスの仮想抽象化を備えたコンピュータまたはクラスタでホストされるCheckPoint仮想ネットワークソリューション。これらの仮想デバイスは、物理的な対応デバイスと同じ機能を提供します。モードのセキュリティグループが少なくとも1つある場合、管理サーバはR81.10 Jumbo Hotfix Accumulator Take 61以降を実行する必要があります。

  • この手順は、ゲートウェイモードとVSXモードのセキュリティグループに適用されます。

    VSX モードでは、すべてのコマンドを VS0 のコンテキストで実行する必要があります。

  • アップグレード作業中、です。

    • アップグレード手順に明示的に示されていない限り、Security Groupにポリシーをインストールすることは禁じられています。

    • セキュリティグループメンバの再起動は、アップグレード手順で明示されていない限り禁止されています。

    • セキュリティグループとそのセキュリティグループメンバの設定を変更することは禁止されています。

    • チェック・ポイントのサポートまたは R&D が明示的に指示した場合を除き、セキュリティ・グループ・メンバに Hotfix をインストールすることは禁じられています。

    • チェック・ポイントのサポートまたはR&Dから明示的に指示がない限り、Jumbo Hotfix Accumulatorをセキュリティグループメンバにインストールすることは禁じられています。

  • ダウンタイムを防ぐため、特定の Security Group に属するすべての Security Group Members を同時にアップグレードしないでください。

  • このアップグレード手順では、特定のセキュリティグループに属するすべてのセキュリティグループメンバを、2つ以上の論理グループに分割します。

    以下の手順では、2つの論理グループ(以下、ABと表記)を使用します。

    Security Group Membersの論理グループ1つを一度にアップグレードします。

    セキュリティグループメンバの他の論理グループは、引き続きトラフィックを処理します。

    各論理グループには、できるだけ同じ数のセキュリティグループメンバが含まれている必要があります。

    環境

    説明

    シングルサイト

    • Security Groupには8人のSecurity Group Memberがいます。

    • 論理グループAには、1_1~1_4までのセキュリティグループメンバが含まれます。

    • 論理グループBには、1_5から1_8までのセキュリティグループメンバが含まれます。

    シングルサイト

    • Security Groupには5人のSecurity Group Memberがいます。

    • 論理グループ「A」には、1_1~1_3までのセキュリティグループメンバが含まれます。

    • 論理グループ「B」には、1_4から1_5までのセキュリティグループメンバが含まれます。

    デュアルサイト

    • Security Groupには4人のSecurity Group Memberがいます(各Siteにいます)。

    • 論理グループ「A」には、サイト1の1_1~1_4までのセキュリティグループメンバが含まれます。

    • 論理グループ「B」には、サイト2の2_1~2_4までのセキュリティグループメンバが含まれます。

  • Dual Site環境において。

    • 1つのSiteでSecurity Groupに属するすべてのSecurity Group Memberをアップグレードし、次のSiteで同じSecurity Groupに属するすべてのSecurity Group Memberをアップグレードすることをお勧めします。

    • アップグレード中にサイト間でフェイルオーバーが発生しないように、以下の手順を推奨します。

      1. 現在のDual SiteActive/Standby モードを取得します。

        show chassis high-availability mode

        利用可能なモード

        モードID

        モード名

        モード説明

        0

        Active/Standby - Active Up

        プライマリサイトはありません。

        現在アクティブなサイトは、それがダウンしない限り、またはスタンバイサイトがより高いサイト品質グレードを持っている場合、アクティブなままになります。

        1

        Active/Standby - Primary Up

        アクティブなサイトは、それがダウンしない限り、またはスタンバイサイトがより高いサイト品質グレードを持っている場合、常にアクティブなままになります。

        2

        使用不可

        対応していません。

        3

        Standby Chassis VSLS Mode

        VSXでは、Virtual System Load Sharingを提供します。

      2. どのサイトがアクティブかを決定します。

      3. Dual SiteActive/Standby モードを "Primary Up "に変更する。

        set chassis high-availability mode 1

      4. サイトの優先順位を変更する(現在アクティブなサイトの番号を入力する)。

        set chassis high-availability vs chassis_priority {1 | 2}

      5. スタンバイサイトのセキュリティグループメンバをすべてアップグレードする。

      6. アップグレードしたサイトでDual SiteActive/Standby モードを "Primary Up" に変更します。

        set chassis high-availability mode 1

      7. アップグレードされたサイトでサイトの優先順位を変更します(現在アクティブなサイトの番号を入力します)。

        set chassis high-availability vs chassis_priority {1 | 2}

      8. 新しい「スタンバイ」サイト(旧「アクティブ」サイト)のすべてのセキュリティグループメンバをアップグレードする。

      9. Dual SiteActive/Standby モードを以前のモードに変更する。

  • GatewayモードのSecurity Group R80.30SPをMobile Access Software Blade閉じた 特定のセキュリティソリューション (モジュール):(1) セキュリティゲートウェイでは、各ソフトウェアブレードがトラフィックの特定の特性を検査します (2) 管理サーバでは、各ソフトウェアブレードで異なる管理機能を使用できます。でバージョンアップする場合は、sk175087の説明に従ってMobile Accessの設定を保存してください。アップグレード完了後にMobile Accessの設定を復元するには、バックアップされたファイルの内容を既存のファイルに手動でマージする必要があります。

重要 - R81.10 Jumbo Hotfix Accumulator 、アップグレードの手順がすべて完了してからインストールすることができます。インストールする前に、Gaia gClish閉じた Check Point Quantum Maestro Orchestrator に接続されているセキュリティアプライアンス用の Check Point Gaia オペレーティングシステムのグローバルコマンドラインシェルの名前。このシェルで実行するコマンドは、セキュリティグループ内のすべてのセキュリティアプライアンスに適用されます。のすべてのセッションからログアウトする必要があります。

必要なソフトウェアパッケージ

必要なソフトウェアパッケージをsk173363からダウンロードしてください。

  1. Jumbo Hotfixアキュムレータの必要Take数

  2. Quantum Maestro Orchestratorに必要なCPUSE Deployment Agentは以下の通りです。

  3. 必要な CPUSE Deployment Agent for Scalable Platform は以下のとおりです。

  4. スケーラブルプラットフォームのためのR81.10アップグレードパッケージ

ワークフロー:

  1. 管理サーバで - R81.10 Security Groupを管理できる必要なバージョンにアップグレードします(sk113113を参照してください)。

  2. Orchestrator上 - R81.10にアップグレードし、必要なCPUSE Deployment Agentをインストールします。

  3. Security Groupについて - Pre-Upgrade Verifierを実行し、Security Groupのアップグレードが可能であることを確認します。

  4. Mobile Access Software Bladeを使用したゲートウェイモードのSecurity Group R80.30SPにおいて、 - Mobile Accessの設定ファイルをバックアップします。

  5. Security Groupに-必要なJumbo Hotfix Accumulator閉じた ホットフィックスのコレクションが 1 つのパッケージにまとめらたもの。頭字語:JHA、JHF、JHFA。をインストールします(2つの論理グループのSecurity Group Memberを使用します)。

  6. Security Group上 - Security Groupに必要なCPUSE Deployment Agentパッケージをインストールします。

  7. Security Groupで-R81.10にアップグレードする(Security Group Memberの2つの論理グループを使用する)。

  8. 管理サーバ - VSXモードのSecurity Groupについて、必要な属性"scalable_platform"を設定する。

  9. SmartConsole閉じた Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。で、ポリシーをインストールします。

  10. Mobile Access Software Bladeを使用したゲートウェイモードのSecurity Groupで、-Mobile Accessの設定を復元します。

手順:

管理サーバをR81.10 Security Groupを管理できる必要なバージョンにアップグレードします(R81.10 Release Notes を参照)。

ステップ

手順

A

Orchestrator が R80.20SP で動作している場合、R80.20SP Jumbo Hotfixアキュムレータ Take 326 以降を Orchestrator にインストールしてください。

B

OrchestratorのGaia Portal閉じた Check Point Gaiaオペレーティングシステム用のWebインタフェース。で、左側のツリーから、Upgrades (CPUSE) > Status and Actions にアクセスします。

C

右上のセクションで、Import Package をクリックします。

D

Browseをクリックします。。

E

sk173363R81.10 Upgrade Package for Scalable Platforms を入れたフォルダに移動します。

F

R81.10 Upgrade Package for Scalable Platforms を選択します。

G

Openをクリックします。。

H

Importをクリックします。。

I

パッケージ一覧の上、ヘルプアイコンの近くにある、現在 "Showing Recommended packages" と表示されているフィルターボタンをクリックし、 "All" をクリックします。

フィルターは"Showing All packages"に変更する必要があります。

J

インポートしたR81.10 CPUSE Offline Packageを右クリックし、Verify Update をクリックします。

K

インポートしたR81.10 CPUSE Offline Packageを右クリックし、Upgrade をクリックします。

重要:

  • を必ずクリックしてください。 Upgrade

    (Install をクリックしないでください。クリーンインストールが実行され、すべての設定が削除され、すべてのセキュリティグループメンバが再起動します)。

  • アップグレード終了後、Orchestratorは自動的に再起動します。

CPUSE Deployment Agentは、Gaia Portal(推奨)またはGaia Clish閉じた CheckPoint Gaiaオペレーティングシステムのデフォルトのコマンドラインシェルの名前。これは制限付きシェルです(役割ベースの管理は、シェルで使用可能なコマンドの数を制御します)。のOrchestratorにインストールすることができます。

ステップ

手順

A

Webブラウザで、Gaia Portal に接続します:

https://<IP address of Gaia Management Interface>

B

左側のツリーから、Upgrades (CPUSE) > Status and Actionsをクリックします。

C

右上のセクションで、Install DA をクリックします。

D

Browseをクリックします。。

E

sk173363 の Deployment Agent TGZ パッケージを置いたフォルダに移動します。

F

Deployment Agent TGZ パッケージを選択します。

G

Openをクリックします。。

H

Installをクリックします。。

I

画面上の指示に従ってください。

ステップ

手順

A

Deployment Agent TGZ パッケージ (sk173363) を Orchestrator に転送し、どこかのディレクトリ (たとえば/var/log/) に配置します。

B

Orchestratorのコマンドラインに接続します。

C

エキスパートモード閉じた CheckPoint Gaiaオペレーティングシステムで完全なシステムルート権限を付与する完全なコマンドラインシェルの名前。にログインします。

D

Deployment Agent TGZ パッケージのあるディレクトリに移動します。

cd /<path to>/<directory>/

例:

cd /var/log

E

TGZパッケージを解凍すると、RPMパッケージが展開されます。

tar -zxvf <Name of CPUSE Deployment Agent Package>

例:

tar -zxvf DeploymentAgent_XXXXXXXXX.tgz

F

現在の RPM パッケージをアップグレードします。

ls -l

rpm -Uhv --force CPda-00-00.i386.rpm‎

G

実行中のGaia Clishデーモンをすべて終了させる(自動的に再起動する)。

killall -v clish clishd

H

Gaia ConfDデーモンを再起動する。

tellpm process:confd

tellpm process:confd t

I

CPUSEエージェントを手動で起動します。

$DADIR/bin/dastart

ステップ

手順

A

このスクリプトをコンピュータにダウンロードしてください。

https://supportcenter.checkpoint.com/file_download?id=124062

B

このスクリプトをコンピュータからSecurity Groupにコピーしてください。

スクリプトをどこかのディレクトリ(例えば、/var/log/ )にコピーします。

C

Security Groupでコマンドラインに接続します。

D

エキスパートモードにログインします。

E

以下の順序でコマンドを実行します。

cd /var/log/

chmod +x pre_upgrade_verifier.sh

./pre_upgrade_verifier.sh

:この手順は、セキュリティグループがVSXモードで動作する場合にのみ適用されます。

ステップ

手順

A

スクリプト "vsx_util_upgrade_verifier.sh" をコンピュータにダウンロードします。

https://supportcenter.checkpoint.com/file_download?id=123847

B

このスクリプトをコンピュータから、VSXモードでこのSecurity Groupを管理する管理サーバにコピーします。

スクリプトをどこかのディレクトリ(例えば、/var/log/ )にコピーします。

C

管理サーバのコマンドラインに接続します。

D

エキスパートモードにログインします。

E

マルチドメインサーバで、VSXモードでこのセキュリティグループを管理する該当するドメイン管理サーバのコンテキストに移動する。

mdsenv <IP Address or Name of Domain Management Server>

F

管理データベースのVSX Gatewayオブジェクトのバージョンをアップグレードします。

警告- この管理サーバに接続しているすべてのSmartConsoleクライアントを必ず終了してください。

vsx_util upgrade [-s <Mgmt Server>] [-u <UserName>]

詳細は、R81.10 VSX Administration Guide > Chapter "Command Line Reference"> Section "vsx_util "を参照してください。

G

管理サーバの管理者認証情報でログインします。

H

このセキュリティグループのVSXゲートウェイ閉じた 物理ネットワークデバイスの機能を提供するすべての仮想デバイスを含む、VSX仮想ネットワークをホストする物理サーバ。VS0と呼ばれる少なくとも1つの仮想システムを保持します。オブジェクトを選択します。

I

バージョンをR81.10に変更する。

J

先ほどコピーしたスクリプトを実行し、"vsx_util upgrade" コマンドが必要な変更を行ったことを確認します。

以下の順序でコマンドを実行します。

cd /var/log/

chmod +x vsx_util_upgrade_verifier.sh

./vsx_util_upgrade_verifier.sh <Name of the VSX Gateway object> R81.10

Mobile Access Software Bladeを有効にしてGatewayモードのSecurity GroupR80.30SPをアップグレードする場合は、Security Group上のMobile Accessの設定ファイルをバックアップしてください。

ステップ

手順

A

Security Groupでコマンドラインに接続します。

B

デフォルトのシェルが/etc/gclish (Gaia gClish)の場合は、エキスパートモードにします。

expert

C

Mobile Accessの設定ファイルを格納するディレクトリを作成します。

mkdir /var/log/MAB

D

Mobile Accessの設定ファイルを新しいディレクトリにコピーします。

収集する必要があるファイルの一覧は、sk175087を参照してください。

cp -v /<Path>/<File> /var/log/MAB/<Path>-<File>

例:

cp -v $CVPNDIR/conf/ReverseProxy_conf/ReverseProxyConf.xml /var/log/MAB/CVPNDIR-conf-ReverseProxy_conf-ReverseProxyConf.xml

E

Mobile Accessの設定ファイルがあるディレクトリを圧縮します。

tar cvf /var/log/MAB.tar /var/log/MAB

F

Security GroupからTARファイルをコンピュータに転送する。

重要:必要なJumbo Hotfix Accumulatorは、Security Groupに属するすべての Security Group Memberにインストールする必要があります。

以下の手順に従って、sk173363から必要なJumbo Hotfixアキュムレータをインストールしてください。

セキュリティグループのメンバにHotfixパッケージをインストールする。

重要- Security Groupのロールバック手順の後に再度アップグレードする場合でも、この手順を実行する必要があります。

ステップ

手順

A

CPUSE Deployment Agent for Scalable Platforms パッケージ(sk173363)を Security Group に転送します(/var/log/ などのディレクトリに転送します)。

B

Security Groupでコマンドラインに接続します。

C

デフォルトのシェルが/etc/gclish (Gaia gClish)の場合は、エキスパートモードにします。

expert

D

CPUSE Deployment Agentパッケージが存在することを確認します。

ls -l /<Full Path>/<Name of CPUSE Deployment Agent Package>

E

CPUSE Deployment Agentをアップグレードします。

update_sp_da /<Full Path>/<Name of CPUSE Deployment Agent Package>

例:

update_sp_da /var/log/DeploymentAgent_XXXXXXXXX.tgz

F

エキスパートモードからGaia gClishへ。

  • デフォルトのシェルが/bin/bash (エキスパートモード)であれば、実行します。

    gclish

  • デフォルトのシェルが/etc/gclish (Gaia gClish)の場合は、実行します。

    exit

G

すべてのセキュリティグループメンバに同じビルドのCPUSE Deployment Agentがあることを確認します。

show installer status build

ステップ

手順

A

該当するCPUSE Offlineパッケージがあることを確認してください。

R81.10 スケーラブルプラットフォーム用アップグレードパッケージ

B

CPUSE OfflineパッケージをSecurity Groupに転送します(/var/log/ などのディレクトリに転送します)。

C

Security Groupでコマンドラインに接続します。

D

デフォルトのシェルが/bin/bash (エキスパートモード)の場合、Gaia gClishにアクセスしてください。

gclish

E

ハードディスクから CPUSE Offline パッケージをインポートします。

installer import local /<Full Path>/<Name of the CPUSE Offline Package>

例:

[Global] HostName-ch01-01 > installer import local /var/log/Check_Point_R81.10_SP_Install_and_Upgrade.tar

F

インポートされた CPUSE パッケージを表示します。

show installer packages imported

G

インポートしたCPUSEパッケージがこのSecurity Groupにインストールできることを確認します。

installer verify [Press Tab]

installer verify <Number of CPUSE Package>

例:

[Global] HostName-ch01-01 > installer verify 2
... ...
Update Service Engine
+-----------------------------------------------------------+
|Member ID    |Status                                       |
+-----------------------------------------------------------+
|1_01 (local) |Upgrade is allowed.                     |
|1_02         |Upgrade is allowed.                     |
|1_03         |Upgrade is allowed.                     |
|1_04         |Upgrade is allowed.                     |
|1_05         |Upgrade is allowed.                     |
|1_06         |Upgrade is allowed.                     |
|1_07         |Upgrade is allowed.                     |
|1_08         |Upgrade is allowed.                     |
+-----------------------------------------------------------+
[Global] HostName-ch01-01 >

ステップ

手順

A

いずれかの方法で接続します。

  • コンソールから論理グループ「A」のセキュリティグループメンバのいずれかに接続します。

  • 論理グループ「B」のセキュリティグループメンバのいずれかにSSHで接続します。

B

論理グループ「A」のセキュリティグループメンバの1人のコンテキストに移動します。

member <Member ID>

例:

member 1_1

C

デフォルトのシェルが/etc/gclish (Gaia gClish)の場合は、エキスパートモードにします。

expert

D

論理グループ「A」のセキュリティグループメンバを状態「DOWN 」に設定します。

g_clusterXL_admin –b <SGM IDs in Group "A"> down

例:

[Expert@HostName-ch0x-0x:0]# g_clusterXL_admin -b 1_1-1_4 down

E

エキスパートモードからGaia gClishへ。

  • デフォルトのシェルが/bin/bash (エキスパートモード)であれば、実行します。

    gclish

  • デフォルトのシェルが/etc/gclish (Gaia gClish)の場合は、実行します。

    exit

F

論理グループ "A "のセキュリティグループメンバをアップグレードする。

installer upgrade [Press the Tab key]

installer upgrade <Number of CPUSE Package> member_ids <SGM IDs in Group "A">

例:

[Global] HostName-ch01-01 > installer upgrade 2 member_ids 1_1-1_4
... ...
Update Service Engine
+-----------------------------------------------------------+
|Member ID    |Status                                       |
+-----------------------------------------------------------+
|1_01 (local) |Package is ready for installation            |
|1_02         |Package is ready for installation            |
|1_03         |Package is ready for installation            |
|1_04         |Package is ready for installation            |
+-----------------------------------------------------------+
The machines (1_02,1_02,1_03,1_04) will automatically reboot after upgrade.
Do you want to continue? ([y]es / [n]o) y
[Global] HostName-ch01-01 >

G

Gaia gClishからExpertモードへ。

  • デフォルトのシェルが/bin/bash (エキスパートモード)であれば、実行します。

    exit

  • デフォルトのシェルが/etc/gclish (Gaia gClish)の場合は、実行します。

    expert

H

論理グループ "A "のセキュリティグループメンバが起動するまでモニタしてください。

asg monitor

重要- 設計上、これらのセキュリティグループメンバは「Down」状態で起動します。これは、これらのCritical Devicesがその状態を「problem 」と報告するためです(「cphaprob state 」コマンドを実行します)。

  • Fullsync

  • during_upgrade

  • DSD

警告 この手順は、アップグレードの途中でチェック・ポイントのサポートまたは R&D から特定のセキュリティ・グループに特定のHotfix をインストールするように明示的に指示された場合のみ適用されます。

例えば、セキュリティ・グループが特定の問題を解決するために、特定のHotfixやJumbo Hotfix Accumulator Takeを必要とする場合があります。

論理グループ「A」のセキュリティグループメンバの1人に接続されたまま、エキスパートモードで作業している状態です。

ステップ

手順

A

現在の$SMODIR/bin/sp_upgrade スクリプトをホームディレクトリにバックアップします。

cp -v $SMODIR/bin/sp_upgrade ~

ls -l ~/sp_upgrade

B

このHotfixのCPUSEパッケージをSecurity Groupに転送します(/var/log/ などのディレクトリに転送します)。

C

エキスパートモードからGaia gClishへ。

  • デフォルトのシェルが/bin/bash (エキスパートモード)であれば、実行します。

    gclish

  • デフォルトのシェルが/etc/cli.sh (Gaia Clish)であれば、実行します。

    exit

D

ハードディスクから CPUSE パッケージをインポートします。

installer import local /<Full Path>/<Name of the CPUSE Offline Package>

E

インポートされた CPUSE パッケージを表示します。

show installer packages imported

F

インポートしたCPUSEパッケージがこのSecurity Groupにインストールできることを確認します。

installer verify [Press Tab]

installer verify <Number of CPUSE Package>

G

論理グループ "A "のSecurity Group MembersにCPUSEパッケージをインストールします。

installer install [Press the Tab key]

installer install <Number of CPUSE Package> member_ids <SGM IDs in Group "A">

H

Gaia gClishからExpertモードへ。

  • デフォルトのシェルが/bin/bash (エキスパートモード)であれば、実行します。

    exit

  • デフォルトのシェルが/etc/cli.sh (Gaia Clish)であれば、実行します。

    expert

I

ホームディレクトリに移動します。

cd ~

pwd

J

アップグレードの手順を続行します。

./sp_upgrade

ステップ

手順

A

論理グループ「A」のセキュリティグループメンバのいずれかにコンソールから接続します。

B

デフォルトのシェルが/etc/gclish (Gaia gClish)の場合は、エキスパートモードにします。

expert

C

アップグレードスクリプトを実行し、以下の手順を実行してください。

sp_upgrade

- この手順は、ゲートウェイモードのSecurity Groupにのみ適用されます。

VSXモードでは、先に"vsx_util upgrade"コマンドでオブジェクトのバージョンを変更しました。

ステップ

手順

A

このセキュリティグループを管理している管理サーバにSmartConsoleで接続します。

B

左側のナビゲーションパネルでGateways & Serversします。

C

この Security Group の Security Gateway オブジェクトをダブルクリックします。

D

左側のツリーから、Generalをクリックします。

E

Versionフィールドで、R81.10を選択します。

F

OKをクリックします。。

G

セッションを公開する(ポリシーはインストールしない)。

H

シェルスクリプトセッション「sp_upgrade 」で、「y 」または「yes 」を入力して確認します。

重要- この手順は、ゲートウェイモードのSecurity Groupにのみ適用されます。

VSXモードでは、「vsx_util upgrade 」コマンドで必要なポリシーを先にインストールします。

ステップ

手順

A

管理サーバのコマンドラインに接続します。

B

エキスパートモードにログインします。

expert

C

"install-policy" API を実行します(Check Point Management API Reference - search forinstall-policy を参照)。

 

Security Management Serverで、次を実行:

mgmt_cli -d "SMC User" --format json install-policy policy-package <Name of Policy Package> --sync false targets <Name of Security Gateway Object> prepare-only true [--port <Apache Gaia Port>]

注:

  • "SMC User" は Domain の必須名である。

  • 管理サーバのApache Gaiaのデフォルトのポートは443です。

    別のポートを設定した場合は、構文で明示的に指定する必要があります。

    設定されたポートを確認するには、エキスパートモードでこのコマンドを実行します。

    api status | grep "APACHE Gaia Port"

  • このAPIは、ログインを要求します。管理サーバの管理者認証情報を使用します。

例:

mgmt_cli -d "SMC User" --format json install-policy policy-package MyPolicyPackage --sync false targets MySecurityGroup prepare-only true --port 443

 

- マルチドメインサーバ:

mgmt_cli -d "<IP Address or Name of Domain Management Server that manages this Security Gateway Object>" --format json install-policy policy-package <Name of Policy Package> --sync false targets <Name of Security Gateway Object> prepare-only true [--port <Apache Gaia Port>]

注:

  • 管理サーバのApache Gaiaのデフォルトのポートは443です。

    別のポートを設定した場合は、構文で明示的に指定する必要があります。

    設定されたポートを確認するには、エキスパートモードでこのコマンドを実行します。

    api status | grep "APACHE Gaia Port"

  • このAPIは、ログインを要求します。ドメイン管理サーバの管理者認証情報を使用します。

例:

mgmt_cli -d "MyDomainServer" --format json install-policy policy-package MyPolicyPackage --sync false targets MySecurityGroup prepare-only true --port 443

D

シェルスクリプトセッション「sp_upgrade 」で、「y 」または「yes 」を入力して確認します。

sp_upgrade' シェルスクリプトセッションで、y またはyes を入力し、論理グループ「B」のセキュリティグループメンバから論理グループ「A」のセキュリティグループメンバへのクラスタ閉じた 冗長構成で連携する2つ以上のセキュリティゲートウェイ(ハイアベイラビリティまたは負荷分散)をクラスタ化します。フェイルオーバーを確認します。

- SSHセクションが閉じてしまった場合は、再度接続して実行してください。

sp_upgrade --continue

- 論理グループ「B」のセキュリティグループメンバをDOWNの状態に設定する必要はありません。これは、sp_upgradeシェルスクリプトですでにこの変更が行われているためです。

ステップ

手順

A

いずれかの方法で接続します。

  • コンソールから論理グループ「B」のセキュリティグループメンバのいずれかに接続します。

  • 論理グループ「A」のセキュリティグループメンバのいずれかにSSHで接続します。

B

論理グループ "B "のセキュリティグループメンバのコンテキストに移動します。

member <Member ID>

例:

member 1_5

C

デフォルトのシェルが/bin/bash (エキスパートモード)の場合、Gaia gClishにアクセスしてください。

gclish

D

論理グループ "B "のセキュリティグループメンバをアップグレードする。

installer upgrade [Press the Tab key]

installer upgrade <Number of CPUSE Package> member_ids <SGM IDs in Group "B">

例:

[Global] HostName-ch01-01 > installer upgrade 2 member_ids 1_5-1_8
... ...
Update Service Engine
+-----------------------------------------------------------+
|Member ID    |Status                                       |
+-----------------------------------------------------------+
|1_05 (local) |Package is ready for installation            |
|1_06         |Package is ready for installation            |
|1_07         |Package is ready for installation            |
|1_08         |Package is ready for installation            |
+-----------------------------------------------------------+
The machines (1_05,1_06,1_07,1_08) will automatically reboot after upgrade.
Do you want to continue? ([y]es / [n]o) y
[Global] HostName-ch01-01 >

E

Gaia gClishからExpertモードへ。

  • デフォルトのシェルが/bin/bash (エキスパートモード)であれば、実行します。

    exit

  • デフォルトのシェルが/etc/gclish (Gaia gClish)の場合は、実行します。

    expert

F

論理グループ "B "のセキュリティグループメンバが起動するまでモニタしてください。

asg monitor

警告 この手順は、アップグレードの途中でチェック・ポイントのサポートまたは R&D から特定のセキュリティ・グループに特定のHotfix をインストールするように明示的に指示された場合のみ適用されます。

例えば、セキュリティ・グループが特定の問題を解決するために、特定のHotfixやJumbo Hotfix Accumulator Takeを必要とする場合があります。

論理グループA内のセキュリティグループメンバに特定のHotfixをインストールした場合は、論理グループB内のセキュリティグループメンバにも同じHotfixをインストールする必要があります。

論理グループ "B "のセキュリティグループメンバの1人に接続したまま、エキスパートモードで作業しています。

ステップ

手順

A

現在の$SMODIR/bin/sp_upgrade スクリプトをホームディレクトリにバックアップします。

cp -v $SMODIR/bin/sp_upgrade ~

ls -l ~/sp_upgrade

B

このHotfixのCPUSEパッケージをSecurity Groupに転送します(/var/log/ などのディレクトリに転送します)。

C

エキスパートモードからGaia gClishへ。

  • デフォルトのシェルが/bin/bash (エキスパートモード)であれば、実行します。

    gclish

  • デフォルトのシェルが/etc/cli.sh (Gaia Clish)であれば、実行します。

    exit

D

ハードディスクから CPUSE パッケージをインポートします。

installer import local /<Full Path>/<Name of the CPUSE Offline Package>

E

インポートされた CPUSE パッケージを表示します。

show installer packages imported

F

インポートしたCPUSEパッケージがこのSecurity Groupにインストールできることを確認します。

installer verify [Press Tab]

installer verify <Number of CPUSE Package>

G

論理グループ「B」のSecurity GroupメンバにCPUSEパッケージをインストールします。

installer install [Press the Tab key]

installer install <Number of CPUSE Package> member_ids <SGM IDs in Group "B">

H

Gaia gClishからExpertモードへ。

  • デフォルトのシェルが/bin/bash (エキスパートモード)であれば、実行します。

    exit

  • デフォルトのシェルが/etc/cli.sh (Gaia Clish)であれば、実行します。

    expert

I

ホームディレクトリに移動します。

cd ~

pwd

J

アップグレードの手順を続行します。

./sp_upgrade

sp_upgrade' シェルスクリプトセッションで、y またはyes を入力し、アップグレードを確認します。

- SSHセクションが閉じてしまった場合は、再度接続して実行してください。

sp_upgrade --continue

:この手順は、セキュリティグループがVSXモードで動作する場合にのみ適用されます。

ステップ

手順

A

SmartConsoleのウィンドウをすべて閉じます。

念のため、Security Management Server閉じた Check Pointソフトウェアを実行して、単一の管理ドメイン内のCheck Point環境のオブジェクトとポリシーを管理する専用Check Pointサーバ。同義語:単一ドメインセキュリティ管理サーバ。 /Domain Management Server のコンテキストで "cpstat mg" コマンドを実行します。

B

このSecurity Groupを管理するSecurity Management Server / Domain Management ServerにDatabase Tool (GuiDBEdit Tool) で接続します。

C

左上のペインで、Table > Network Objects > network_objects

D

右上のペインで、この Security Group の VSX Gateway オブジェクトを選択します。

E

CTRL+F キーを押す(またはSearch メニュー> Find )> ペーストscalable_platform > クリックFind Next.

例:

F

下のペインでscalable_platform 属性> を右クリックEdit... > を選択 "true"> をクリックOK.

例:

G

変更を保存する:File メニュー> をクリックし、Save All

H

このVSX Gatewayに設定されている各バーチャルシステムのオブジェクトについて、ステップD~Gを繰り返します。

I

データベースツール(GuiDBEdit Tool)を閉じます。

- 次のステップでポリシーをインストールします。

ステップ

手順

A

このセキュリティグループを管理している管理サーバにSmartConsoleで接続します。

B

この Security Group の Security Gateway オブジェクトに、適用可能な Access Control ポリシーをインストールします。

この Security Group が VSX モードで設定されている場合、各 Virtual System に該当する Access Control Policy をインストールする必要があります。

C

Security Group の 'sp_upgrade' シェルスクリプトセッションで、yまたはyesを入力して確定します。

ステップ

手順

A

Security Groupでコマンドラインに接続します。

B

デフォルトのシェルが/etc/gclish (Gaia gClish)の場合は、エキスパートモードにします。

expert

C

次を実行します:

asg diag verify

Mobile Access Software Bladeを有効にしてGatewayモードでSecurity GroupR80.30SPをアップグレードした場合、Mobile Accessの設定を復元するには、バックアップしたファイルの内容をSecurity Group上の既存のファイルに手動で結合する必要があります。

ステップ

手順

A

Security Groupでコマンドラインに接続します。

B

デフォルトのシェルが/etc/cli.sh (Gaia Clish)の場合、エキスパートモードにします。

expert

C

該当するファイルを編集する。

vi /<Path>/<File>

重要- アップグレードした Security Group には、バックアップしたファイルをコピーしないでくださ い。ファイルの構文や内容はバージョンによって変わります。

D

変更内容をファイルに保存し、エディタを終了します。

E

変更したファイルを他のセキュリティ グループ メンバにコピーします。

asg_cp2blades /<Path>/<File>

例:

asg_cp2blades $CVPNDIR/conf/ReverseProxy_conf/ReverseProxyConf.xml

F

Mobile Accessのサービスを再起動します。

cvpnrestart