ホットフィックスとバージョンアップの一元的な展開

はじめに

SmartConsoleのCentral Deploymentを使用して、次を一括で展開します。

  • セキュリティゲートウェイおよびクラスタメンバへのJumbo Hotfix AccumulatorとHotfix。

  • セキュリティゲートウェイとクラスタメンバへのUpgrade Package。

HotfixまたはUpgrade Packageの展開は、以下からも実行できます。

APIを通じてセントラル・デプロイメントを使用するにはCheck Point Management API Reference

ベストプラクティス - ターゲットから管理サーバへの接続性が、ターゲットからクラウドへの接続性よりも優れている場合、またはターゲットがトラフィックで過負荷になっている場合は、管理サーバ上のパッケージリポジトリを使用します。

- セキュリティゲートウェイとクラスタメンバは最大30台まで選択できますが、インストールは同時に10台のターゲットにしか行えません。Management Serverは、キューの10番目以上に各ターゲットを入れます。ターゲットの1つでインストールが完了するたびに、Management Serverはキュー内の次のターゲットにインストールを行います。

一部のSecurity Gatewayには、推奨されるHotfixがあります。Gateways & ServersビューのRecommended Jumboカラムを参照してください。

推奨Jumbo Hotfix Accumulatorまたは特定のJumbo Hotfix Accumulator Takeを展開することができます。

事前準備

Central Deploymentを使用するには:

  • 管理者は、管理サーバのSmartUpdate書き込み権限が必要です。

  • 対象のSecurity Gatewayとクラスタメンバに、CPUSE Deployment Agentの最新版がインストールされている必要があります。

  • Management Serverと対象のSecurity Gatewayおよびクラスタメンバとの間で、すでにSICが確立されている必要があります。

  • 対象のセキュリティゲートウェイとクラスタメンバにポリシーがインストールされている必要があります。

  • 展開できるのはフルクラスタのみです(クラスタメンバを1つだけ選択して実行することはできません)。

Check Point Cloudから直接Central Deploymentを使用するには:

  1. Management Serverは、Check Point Cloudに接続できる状態である必要があります。

  2. 対象のセキュリティゲートウェイとクラスタメンバは、Check Point Cloudに接続できる状態である必要があります。

推奨されるJumbo Hotfix Accumulatorを対象のセキュリティゲートウェイおよびクラスタメンバにインストールするには、少なくとも以下のJumbo Hotfix Accumulatorがインストールされている必要があります:

対象バージョン

最低限必要なJumbo Hotfix Accumulator Take

R80.40以降のバージョン

任意のTake

R80.30

Take 76以降

R80.20

Take 118以降

R80.10

Take 245以降

制限事項

  • R80.30、R80.20、R80.10からのアップグレード(これらのバージョンから上位バージョンへのアップグレードには、CPUSEインプレース・アップグレードを使用します。)

  • セントラル・デプロイメントはサポートしていない:

    • SmartConsoleからプロキシサーバを経由してSecurity Management Serverに接続する。
      この場合、該当するAPIコマンドを使用します。

    • ハイアベイラビリティモードのClusterXLは、"Switch to higher priority Cluster Member"として設定されています("Primary Up"として知られています)。

    • ClusterXLを不可共有モードで使用する。

    • VRRPクラスタ。

    • スタンドアロンサーバ。

    • スケーラブルシャーシ 40000 / 60000。

    • Gaia Embeddedオペレーティングシステムを実行するCentrally Managed Quantum Spark Applianceの場合:

      • Quantum Sparkアプライアンスのクラスタ。

        - この機能は、次のバージョンからサポートされます。R81.20 Jumbo Hotfix Accumulatorテイク8

      • Check Point クラウド からパッケージをダウンロードする。必要なパッケージをSecurity Management Serverのパッケージリポジトリに手動で追加する必要があります。

      • SmartConsole Central デプロイメントを使用して、Quantum Sparkアプライアンスに既にインストールされているファームウェアパッケージよりも低いビルド番号の同じバージョンのファームウェアパッケージをインストールする場合、"Verify "アクションはファームウェアのビルド番号を比較しません。そのため、SmartConsoleは「パッケージはインストールに有効です」と表示しますが、実際にはインストールは失敗します。

    • スタンバイSecurity Management Server。

    • マルチドメインサーバでは、SmartConsoleはグローバルドメイン、またはマルチドメインサーバのコンテキストに接続されていました。

    • ログサーバ。

    • SmartEventサーバ。

インストール

  1. 左側のナビゲーションパネルでManage & Settingsをクリックします。

  2. 左側のツリーから、Package Repository をクリックします。

  3. Newをクリックして、次のオプションのいずれかを選択します。

    • Download from cloud- Check Point クラウドからパッケージリポジトリにパッケージをダウンロードするには、パッケージの CPUSE 識別子を貼り付けて、Download をクリックします。

    • Upload from local- デバイスからパッケージリポジトリにパッケージをアップロードするには、該当するパッケージをブラウズし、Open をクリックします。

    ダウンロードまたはアップロードが完了すると、SmartConsole >Package Repository ビューのManage & Settings ウィンドウにパッケージが表示されます。

注:

  • 一度に1つのパッケージをリポジトリに追加する。

  • Gaia Embedded OSR80.20.xx以降を実行するQuantum Spark Applianceの場合、特別なTAR パッケージ(ファームウェアイメージと必要な設定ファイルhf.config を含む)をダウンロードし、"Upload from localコンテナ" オプションを使用する必要があります。

警告- Gaia Embedded OS を実行する Quantum Spark アプライアンスにファームウェアをインス トールする前に、USB ポートから外部ストレージを取り外す必要があります(最低限、外部スト レージに Quantum Spark アプライアンス用のファームウェアイメージが含まれていないことを確認 してください)。

ベストプラクティス-HotfixやアップグレードパッケージをSecurity Management Serverに集中的にデプロイメントする場合、管理下のGaiaサーバからのステータスレポートに依存します。そのため、Hotfixやアップグレードパッケージをインストールする前に、Gaiaサーバが起動してから2分間待つことをお勧めします。

  1. 左側のナビゲーションパネルでGateways & Serversをクリックします。

  2. 展開先のセキュリティゲートウェイまたはクラスタメンバを選択します。

    対象を複数選択する場合は、CTRLキーを長押しして選択します。

    クラスタメンバをアップグレードするには、クラスタオブジェクトを選択します。

  3. ツールバーのメニューから、Actions をクリックし、以下のオプションのいずれかを選択する:

    • Install Hotfix/Jumbo

    • Version Upgrade

    Install Hotfix またはVersion Upgrade ウィンドウが開き、選択したターゲットと対応する推奨Hotfixまたはアップグレードパッケージに関する情報が表示されます。

    • Install the Recommended Hotfix/Jumbo

      または

    • Install a Specific Hotfix/Jumbo

      - 選択したターゲットに推奨されるJumbo Hotfix Accumulatorがない場合、このオプションはグレーアウトされます。推奨されるJumbo Hotfix Accumulatorが選択された一部のターゲットにのみ適用される場合、それらのターゲットに対してのみデプロイメントが行われます。

      1. Hotfixファイル名を入力してください。

        該当するSKアーティクルからHotfixファイル名をコピーして、Install Specific Hotfixテキストボックスに入力することができます。

        -Gaia Embedded OSInstall a Specific Hotfix/JumboR80.20.xx以降を実行するQuantum SparkApplianceにファームウェアパッケージをインストールするには、""フィールドを使用します。管理サーバは、同じメインバージョンに基づくファームウェアパッケージをJumbo Hotfixと見なします。例えば、すべてのファームウェア・パッケージR81.10.XXは、メイン・バージョンR81.10をベースにしている。

        セキュリティゲートウェイの例R80.20:

      2. テキストボックスの横にある検索アイコンをクリックして、利用可能なパッケージを検索します。

    • Upgrade to the Recommended Major Version

      または

    • Upgrade to a Specific Major Version

      1. バージョン番号を入力する。

      2. テキストボックスの横にある検索アイコンをクリックして、利用可能なパッケージを検索します。

  5. Gateways セクションには、パッケージをインストールするために選択したターゲットが表示されます。

  6. Settings ]セクションで、ハイアベイラビリティクラスタに該当するオプションを選択します:

    • Install on all cluster members- 選択したパッケージをこのクラスタのすべてのメンバ (アクティブおよびスタンバイ) にインストールします。これはフェイルオーバーをクラスター化し、トラフィックを中断させる可能性がある。

    • Install on non-active members only- 選択したパッケージをスタンバイ・クラスタ・メンバーにのみインストールします。

      • Once installation is complete, turn non-active member to active- スタンバイ・クラスタ・メンバーのクラスタ状態をアクティブに変更します。

  7. Advanced セクションで、セキュリティゲートウェイがダウンロードするパッケージを選択します:

    • Automatic- パッケージがパッケージリポジトリにある場合、管理サーバはパッケージをセキュリティゲートウェイに転送する。パッケージリポジトリにパッケージが存在しない場合、セキュリティゲートウェイはCheck Pointクラウドからパッケージをダウンロードします。

    • Gateway- セキュリティゲートウェイは、Check Pointクラウドからパッケージをダウンロードします。セキュリティゲートウェイはインターネットに接続されている必要があります。

    • Management- セキュリティゲートウェイがManagement サーバからパッケージをダウンロードする。

  8. 一番下で、Verify をクリックします。

    検証が始まる。検証プロセスでは、選択したHotfixまたはアップグレードパッケージがターゲットにインストールできることを確認します。検証プロセスでは、このパッケージがインストールされている他のHotfixを上書きしないこと、およびプロセスが完了するまでに十分な空きディスク容量があることを確認します。

    検証プロセスの進行状況を確認するには、SmartConsoleの左下にあるTasksのビューを開き、Detailsをクリックします。

    例:

  9. クリックInstall

  10. Central デプロイメントは、Access Control Policyがインストールされていることを確認する。

  11. インストールが完了したら、対象のセキュリティゲートウェイおよびクラスタに該当する脅威対策ポリシーをインストールする必要があります。

  • ターゲットによって推奨されるHotfixまたはアップグレードパッケージが異なる場合は、各ターゲットに該当する推奨されるHotfixまたはアップグレードパッケージが適用されます。

  • Gaia Embeddedオペレーティングシステムを実行するQuantum Sparkアプライアンスにファームウェアをインストールする前に、USBポートから外部ストレージを取り外す必要があります(最低限、Quantum Sparkアプライアンス用のファームウェアイメージが含まれていないことを確認してください)。

セントラルデプロイメントによるクラスタのアップグレード方法

セントラルデプロイメントを使用して、ハイアベイラビリティモードのClusterXLまたはVSXクラスタ(非VSLS)のすべてのメンバにソフトウェアパッケージをインストールする場合、セントラルデプロイメントは次の手順に従います:

  1. クラスタメンバの状態が有効であることを確認します(アクティブとスタンバイ)。

  2. クラスタのアクセスコントロールポリシーを準備します。

    1. クラスタオブジェクトのバージョンを変更します。

    2. 該当するコンフィギュレーション設定とアクセスコントロールポリシーを変更します。

  3. スタンバイクラスタメンバを新しいバージョンにアップグレードします。

  4. マルチバージョンクラスタ(MVC)を実行します。

    1. アップグレードされたクラスタメンバがスタンバイまたはレディ状態であることを確認します。

    2. アップグレードされたクラスタメンバのいずれかにクラスタフェイルオーバーを実行します。

  5. アクティブだったクラスタメンバをアップグレードします。

  6. クラスタメンバの状態が有効であることを確認します(アクティブとスタンバイ)。