Миграция с Check Point с R77.30 на R80.10

Habrahabr 2

image

Здравствуйте коллеги, добро пожаловать на урок по миграции баз данных Check Point R77.30 на R80.10.

При использовании продуктов компании Check Point рано или поздно встает задача миграции существующих правил и базы данных объектов по следующим причинам:

  1. При покупке нового устройства, необходимо мигрировать базу данных со старого устройства на новое устройство(на текущую версию GAIA OS или выше).
  2. Необходимо обновить устройство с одной версии GAIA OS на более высокую версию на локальной машине.
Для решения первой задачи подходит только использование инструмента под названием Management Server Migration Tool или же просто Migration Tool. Для решения задачи №2 может использоваться решение CPUSE или Migration Tool. Далее рассмотрим более детально оба метода.

Обновление на новое устройство

Database Migration предполагает установку последней версии Management на новую машину, а затем миграцию базы данных с существующего сервера управления безопасностью на новый с помощью инструмента Migration Tool. Этот метод минимизирует риск обновления для существующей конфигурации.

Для того чтобы смигрировать базу данных посредством Migration Tool нужно соответствовать требованиям:

  1. Свободного места на диске должно быть больше, чем размер архива экспортированной базы данных, в 5 раз.
  2. На целевом сервере сетевые настройки должны совпадать с сервером источника.
  3. Создание бэкапа. Экспорт базы данных нужно производить на удаленный сервер. В операционной системе GAIA уже стоит инструмент Migration Tool, его можно использовать при импортировании базы данных или для миграции на версию операционной системы идентичной начальной. Для того чтобы смигрировать базу данных на более высокую версию операционной системы необходимо загрузить Migration Tool соответствующей версии из раздела «Инструменты» на сайте поддержки Check Point R80.10:
  4. Бэкап и миграция SmartEvent / SmartReporter Server. Утилиты ‘backup’ и ‘migrate export’ не включают данные баз SmartEvent database / SmartReporter database. Для бэкапа и миграции нужно использовать утилиты ‘eva_db_backup’ или ‘evs_backup’. Примечание: статья sk110173 в базе знаний CheckPoint.
Рассмотрим какие функции содержит данный инструмент:

image

Прежде чем непосредственно перейти к миграции данных, необходимо сначала разархивировать скаченный инструмент Migration Tool в папку “/opt/CPsuite-R77/fw1/bin/upgrade_tools/ <your_folder>”, экспортирование базы следует делать, используя команды из каталога, куда вы разархивировали инструмент.

Прежде чем запускать команду для экспорта или импорта, закройте все клиенты SmartConsole или запустите cpstop на Сервер управления безопасностью.

Чтобы создать файл экспорта базы данных управления на исходном сервере:

  1. Войдите в режим expert.
  2. Запустите средство предварительной проверки: pre_upgrade_verifier -p $FWDIR -c R77 -t R80.10. Если есть ошибки, исправьте их перед продолжением.
  3. Запустите: ./migrate export filename.tgz. Команда экспортирует содержимое базы данных Security Management Server в файл TGZ.
  4. Следуйте инструкциям. База данных экспортируется в файл, который вы назвали в команде. Убедитесь, что вы определили его как TGZ.
  5. Если SmartEvent установлен на исходном сервере, экспортируйте базу данных событий.
Далее импортируем базы данных сервера безопасности, которую экспортировали. Прежде чем начать: установите R80 Security Management Server. Напоминаю, что сетевые настройки нового Management Server R80.10 должны совпадать с настройками старого сервера.

Чтобы импортировать конфигурацию сервера управления:

  1. Войдите в режим expert.
  2. Передайте (с FTP, SCP или аналогичный) экспортированный файл конфигурации на удаленный сервер, собранный из источника на новый сервер.
  3. Отключите исходный сервер от сети.
  4. Передайте файл конфигурации с удаленного сервера на новый сервер.
  5. Рассчитайте MD5 для перенесенного файла и сравните с MD5, который был рассчитан на исходном сервере: # md5sum filename.tgz
  6. Импортировать базу данных: ./migrate import filename.tgz
  7. Проверка обновления.
По завершению 7 пункта резюмируем что миграция базы данных прошла успешно с помощью Migration Tool, в случае неудачи можно всегда включить исходный сервер, в результате чего работа никак не пострадает.

Стоит отметить что миграция со standalone сервера не поддерживается.

Локальное обновление

CPUSE(Check Point Upgrade Service Engine) позволяет автоматически обновлять продукты Check Point для ОС Gaia. Пакеты обновления программного обеспечения разделены по категориям, а именно major releases, minor releases and Hotfixes. Gaia автоматически находит и показывает доступные пакеты обновлений программного обеспечения и образы, имеющие отношение к версии операционной системы Gaia, на которую можно обновиться. С помощью CPUSE можно сделать чистую установку новой версии GAIA OS, так и выполнить обновление системы с миграцией базы данных.

Чтобы обновиться на более высокую версию или выполнить чистую установку с использованием CPUSE, на машине должно быть достаточно свободного (нераспределенного) места — как минимум в размере корневого раздела.

Переход на новую версию выполняется на новом разделе жесткого диска, а «старый» раздел преобразуется в Gaia Snapshot (новое пространство раздела берется из нераспределенного пространства на жестком диске). Также перед обновлением системы будет правильно сделать snapshot и загрузить его на удаленный сервер.

Процесс обновления:

  1. Проверьте пакет обновления (если вы еще этого не сделали) — проверьте, можно ли установить этот пакет без конфликтов: щелкните правой кнопкой мыши на пакете — нажмите «Verifier».

    Результат должен быть примерно такой:

    • Installation is allowed
    • Upgrade is allowed
  2. Установите пакет: щелкните правой кнопкой мыши пакет и нажмите «Upgrade»: CPUSE показывает следующее предупреждение в Gaia Portal: After this upgrade, there will be an automatic reboot(Existing OS settings and the Check Point Database are preserved).
  3. Вы увидите соответствующий прогресс по миграции данных после обновления до R80.10:
    • Upgrading Products
    • Importing Database
    • Configuring Products
    • Creating SIC Data
    • Stopping Processes
    • Starting Processes
    • Installed, self-test passed
  4. Система автоматически перезагрузится
  5. Инсталлирование политики в SmartConsole
Как видите все проходит весьма просто, в случае возникновения проблемы можно сделать откат на старые настройки с помощью сделанного snapshot.

Практика

В представленном видео уроке содержится теоретическая и практическая часть. Первая половина видео дублирует описанную теоретическую часть, а в практическом примере показана миграция данных с помощью обоих методов.

Заключение

В данном уроке мы рассмотрели решения компании Check Point по задаче обновления и миграции баз данных объектов и правил. В случае нового устройства нет иных решений кроме как использование инструмента Migration Tool. Если вы хотите провести обновление GAIA OS и у вас есть желание и возможность развернуть заново машину, наша компания советует, основываясь на существующем опыте, смигрировать базу данных с помощью Migration Tool. Этот метод минимизирует риск обновления для существующей конфигурации по сравнению с CPUSE. Также при обновлении через CPUSE многие ненужные старые файлы сохраняются на диске, и чтобы их удалить требуется дополнительный инструмент, что влечет за собой дополнительные действия и новые риски.

Если не хотите пропустить будущие уроки, то подписывайтесь в нашу группу VK, Youtube и Telegram. Если же вы по какой-либо причине не смогли найти нужный документ или решить свою проблему с Check Point, то можете смело обращаться к нам.