Check Point - Миграция на новую ОС

Поскольку компания Check Point старательно развивает свою продукцию, в определенный момент у любого пользователя возникает необходимость в использовании нового устройства или обновлении текущей операционной системы до последней версии. Необходимо «перетащить» все данные и политики безопасности, чтобы не создавать все заново.

Для этого имеются несколько решений, среди них – средство миграции, а также CPUSE.

Обновление

При приобретении устройства для мигрирования баз данных есть соответствующее средство. На данное «железо» устанавливается современная версия сервера управления, а затем – при помощи инструмента для миграции, все необходимые файлы с конфигурациями и базы данных «переходят» на другое устройство. Для этого всего лишь необходимо выполнить ряд требований:

1. Наличие большого количества свободного места, примерно в пять раз больше, чем объем архива с экспортируемыми данными.
2. Все настройки сети на обоих устройствах должны совпадать.
3. Первым делом необходимо создание резервной копии переносимых данных на какой-либо удаленный сервер.
4. При мигрировании блейда SmartEvent необходимо использование дополнительных утилит, таких как ‘eva_db_backup’ или ‘evs_backup’.

Дополнительно инструмент по миграции содержит в себе и другие функции:

Таким образом, перед началом миграции, необходимо распаковать используемый для этого инструмент в указанный путь: «…./opt/CPsuite-R77/fw1/bin/upgrade_tools/…». После этого экспорт будет происходить посредством команд из раздела, где было сохранено используемое решение.

Дополнительно заранее необходимо закрыть Смарт-консоль.

Для создания экспортируемого файла необходимо:

1. Воспользоваться режимом эксперта.
2. Предварительно проверить наличие ошибок в экспортируемых файлах.
3. Воспользоваться командой «./migrate export filename.tgz», которая собирает все файлы Сервера управления в файл с расширением tgz.
4. Далее необходимо следовать указанным инструкциям.
5. При наличии блейда SmartEvent необходимо также создать экспорт баз данных событий.

После ряда указанных действий можно переходить к импорту.

Для начала, конечно же, необходимо установить обновленный (версии R80) сервер управления.

В режиме «эксперт» провести ряд действий:

1. Отправить конфиг с экспортируемыми файлами с одного сервера (например, FTP) на удаленный.
2. Выключить старый сервер.
3. Отправить экспортируемые файлы на пустой новый сервер.
4. Используя команду: # md5sum filename.tgz необходимо вычислить MD5 для нового сервера и сравнить со старым значением.
5. Импорт происходит благодаря следующей команде: /migrate import filename.tgz.

В конце еще необходимо проверить наличие обновлений.

После всех этих действий, миграция должна быть успешной. Но даже если это не так, исходный сервер все это время находился лишь в выключенном состоянии, при этом необходимые данные с него никуда не исчезли. Важно иметь в виду, что при топологии отдельно стоящего сервера передача экспортируемых данных недоступна.

Обновление

Ранее уже был упомянут инструмент CPUSE, предназначенный для автоматического обновления продукции Check Point.

Обновления разделены на категории по важности, а Gaia в автоматическом режиме находит их и образы для них. Инструмент CPUSE при этом позволяет совершить «накатку» обновленной версии на чистое устройство, либо выполнить простой апдейт с использованием миграции.

Одним из требований к миграции является наличие большого количества свободного места в корневом разделе. При переходе необходим неиспользуемый неразделенный раздел харда, при этом старый раздел становится неким бэкап-ом.

Процесс заключается в следующем:

1. Проверка обновлений.
2. Установка пакета с последующей перезагрузкой.
3. Должен отобразиться список продуктов, подлежащих миграции после обновления.
4. Перезагрузка системы.
5. Установка политики в Смарт-консоли.

Опять же, в случае, если что-то пошло не так, можно воспользоваться бэкапом.

Резюмируя данную работу, хочется сказать, что миграция данных – несложный процесс, а за счет использования инструмента для миграции все становится еще проще. При использовании CPUSE стоит иметь в виду, что могут остаться ненужные файлы, удаление которых возможно только через дополнительные программы.