【Check Point R8X】管理サーバ間でのデータベースの移行方法【Upgrade Tools】

ファイアウォール(UTM)
2021.07.17

対象環境

  • Check Point:Security Management
    • バージョン R80.20 以降

管理サーバの移行について

Check Point アプライアンスの管理サーバ(Security Management)について機器をリプレイスする場合、管理データベース(SmartConsole で設定されたポリシーやオブジェクトなどの設定情報)をどうやって新機器へ移行するかという問題があります。

旧機器と新機器の型番、バージョン、パッチ適用状況が全く同じであれば、旧機器の Gaia のシステムバックアップをインプットとして新機器でリストアをすることで、管理データベース含めて復元することが可能です。

一方で、新機器で型番やバージョンを変更する場合はシステムバックアップからのリストアは不可能なため、標準機能である migrate_server または migrate コマンドによって、管理データベースのエクスポートおよびインポートを行う必要があります。

ここでは、migrate_server および migrate コマンドの使用方法について記載します。

migrate_server および migrate コマンドでエクスポート/インポートできる範囲は管理データベース(SmartConsole で設定された設定情報)だけであり、Gaia の設定は含まれません。

Upgrade Tools と migrate_server について

Upgrade Tools は管理サーバの移行およびアップグレードを行うためのツール群です。

migrate_server および migrate はともに Upgrade Tools に含まれるツールです。

migrate_server については Check Point R80.20 以降から追加されたツールであり、管理サーバをよりバージョンの高い機器へ移行させるときに使用します。

移行先管理サーバの方がバージョンが低い場合は使用できません。

migrate_server は R80.20 以降の管理サーバにデフォルトで組み込まれていますが、移行先のバージョンについてのアップグレードパッケージが必要となります。

管理サーバがインターネット接続できる環境であれば、アップグレードパッケージは自動で取得されます。

インターネット接続できない場合は手動でインストールすることも可能ですが、パッケージを入手するためにはサポート契約が必要であり機器ベンダなどに依頼する必要があります。

手動でのインストール手順についてはサポートページを参照してください。

migrate_server と migrate の使い分け

  • 移行元と移行先のバージョンが異なる場合migrate_server を使用します
    • 移行先の方がバージョンが高い前提です
  • 移行元と移行先のバージョンが同じ場合migrate を使用します

migrate_server の使い方

migrate_server はよりバージョンの高い管理サーバへ管理データベースを移行するために使用します。

移行の手順は以下の通りです。

  1. 移行元管理サーバで移行先バージョンへの移行が可能か確認を行う (verify)
  2. 移行元管理サーバで管理データベースをエクスポートする
  3. 移行先管理サーバへ 1. でエクスポートしたファイルを格納する
  4. 移行先管理サーバで 2. で格納したファイルをインポートする

migrate_server の格納先

migrate_server コマンドは以下ディレクトリに格納されています。

$FWDIR/scripts

migrate_server コマンドを実行する際は、このディレクトリに移動してから実行します。

[Expert@CP8040-MNG:0]# cd $FWDIR/scripts
[Expert@CP8040-MNG:0]# ls -l migrate_server
-rwxr-xr-x 1 admin bin 14767 Jul 17 09:59 migrate_server

verify の実行

移行元管理サーバにて、現状のコンフィグが移行先バージョンのコンフィグへ変換可能かどうかを確認します。

$FWDIR/scripts に移動した上で、以下コマンドを実行します。

  • ./migrate_server verify -v <移行先バージョン> [-skip_upgrade_tools_check]
    • -v:移行先バージョンを指定
      • 例:R80.40、R81
    • -skip_upgrade_tools_check:デフォルトでは、Upgrade Tools の最新バージョンを確認するために Check Point クラウドに接続しようしますが、これをさせない場合に指定

verify 実行時に以下のようなメッセージが表示される場合は、移行先バージョンのアップグレードパッケージがインストールされていません。

[Expert@CP8040-MNG:0]# ./migrate_server verify -v R81
No upgrade tools package is installed for R81 version. To download the package manually, refer to sk135172. Restart verify process using -skip_upgrade_tools_check flag.

この場合は、Gaia ポータルの CPUSE でアップデートのチェックを行うか、手動でパッケージをインストールしてください。

移行先バージョンのアップグレードパッケージがインストールされているかどうかは以下コマンドで確認できます。

  • cpprod_util CPPROD_GetValue CPupgrade-tools-<バージョン> BuildNumber 1
[Expert@CP8040-MNG:0]# cpprod_util CPPROD_GetValue CPupgrade-tools-R81 BuildNumber 1
995000519

上のようにビルド No. が表示されればインストールされています。

以下のように表示された場合はインストールされていません。

[Expert@CP8040-MNG:0]# cpprod_util CPPROD_GetValue CPupgrade-tools-R81 BuildNumber 1
Failed to find the value

以下のように表示されれば、verify は成功です。

[Expert@CP8040-MNG:0]# ./migrate_server verify -v R81
The verify operation finished successfully.

Notes:
 1. It is recommended to use the latest upgrade tools package. The latest package is installed automatically on online environments, for upgrade of offline environments refer to sk135172.
 2. Only latest revision will be upgraded. It is recommended to publish important changes before upgrade. Unpublished changes will be lost.
 3. Run the upgrade verification on all servers in your environment before you upgrade.

何らかの問題がある場合はその旨のメッセージが表示されます。その場合はメッセージ内容に従い修正を行います。

エクスポート方法

管理データベースをエクスポートするためは、$FWDIR/scripts に移動した上で、以下コマンドを実行します。

  • ./migrate_server export -v <移行先バージョン> [-l] <フルパスの出力ファイル名> [-skip_upgrade_tools_check]
    • -v:移行先バージョンを指定
      • 例:R80.40、R81
    • -l$FWDIR/log/ ディレクトリのログ(ログインデックス無し)含めてエクスポートする場合に指定
    • -skip_upgrade_tools_check:デフォルトでは、Upgrade Tools の最新バージョンを確認するために Check Point クラウドに接続しようしますが、これをさせない場合に指定
    • ファイル名は、拡張子「.tgz」を含めて指定します

コマンドを実行すると、実行確認されるため y を押下して続行します。エクスポート処理には時間がかかるため完了まで待ちます。

エクスポート実行中は Check Point サービスが停止される点に注意してください。

[Expert@CP8040-MNG:0]# ./migrate_server export -v R81 -l /home/admin/migrate_server_export_R81.tgz
The export operation will eventually stop all Check Point services (cpstop; cpwd_admin kill). Do you want to continue (yes/no) [n]? yes

Exporting the Management Database
Operation started at Sat Jul 17 12:11:11 JST 2021

[==================================================] 100% Done
Detailed upgrade report is available at /opt/CPsuite-R80.40/fw1/log/upgrade_report-2021.07.17_12.18.11.html

The export operation completed successfully. Do you wish to start Check Point services (yes/no) [y]?
Starting Check Point services ...
The export operation finished successfully.
Exported data to: /home/admin/migrate_server_export_R81.tgz.
Collecting debug logs ...
Collected debug logs to /var/log/upgrade-export.17Jul2021-121103.tgz

エクスポート完了後は Check Point サービスをスタートするか聞かれるためデフォルトの y のまま Enter を押下してスタートします。

処理完了後、エクスポートされたファイルを確認します。

[Expert@CP8040-MNG:0]# ls -l /home/admin
total 45388
-rw-rw---- 1 admin root 46473986 Jul 17 12:18 migrate_server_export_R81.tgz

この後は TFTP などでエクスポートされたファイルを外部へ転送して、移行先管理サーバへ格納します。

インポート方法

管理データベースをインポートするためは、$FWDIR/scripts に移動した上で、以下コマンドを実行します。

  • ./migrate_server import -v <移行先バージョン> [-l] <フルパスのファイル名> [-skip_upgrade_tools_check]
    • -v:移行先バージョンを指定
      • 例:R80.40、R81
    • -l$FWDIR/log/ ディレクトリのログ(ログインデックス無し)含めてインポートする場合に指定
    • -skip_upgrade_tools_check:デフォルトでは、Upgrade Tools の最新バージョンを確認するために Check Point クラウドに接続しようしますが、これをさせない場合に指定
    • 移行元でエクスポートしたファイルを、拡張子「.tgz」を含めて指定します

コマンドを実行すると確認無しでインポートが開始されます。インポート処理には時間がかかるため完了まで待ちます。

[Expert@CP81-MNG:0]# ./migrate_server import -v R81 -l /home/admin/migrate_server_export_R81.tgz

Importing the Management Database
Operation started at Sat Jul 17 12:31:33 JST 2021

[==================================================] 100% Done
Detailed upgrade report is available at /opt/CPsuite-R81/fw1/log/upgrade_report-2021.07.17_12.53.40.html

The import operation finished successfully.
Collecting debug logs ...
Collected debug logs to /var/log/upgrade-import.17Jul2021-123130.tgz

The import operation finished successfully. と表示されたことを確認できればインポート完了です。

migrate の使い方

migrate は同じバージョンの管理サーバ間で管理データベースを移行するために使用します。

移行の手順は以下の通りです。

  1. 移行元管理サーバで管理データベースをエクスポートする
  2. 移行先管理サーバへ 1. でエクスポートしたファイルを格納する
  3. 移行先管理サーバで 2. で格納したファイルをインポートする

migrate の格納先

migrate コマンドは以下ディレクトリに格納されています。

$FWDIR/bin/upgrade_tools

migrate コマンドを実行する際は、このディレクトリに移動してから実行します。

[Expert@CP81-MNG:0]# cd $FWDIR/bin/upgrade_tools/
[Expert@CP81-MNG:0]# ls -l migrate
-rwxr-x--- 1 admin bin 15800448 Oct 22  2020 migrate

verify の実行

  • ./pre_upgrade_verifier -p $FWDIR -c <移行元バージョン> -t <移行先バージョン>
[Expert@CP81-MNG:0]# ./pre_upgrade_verifier -p $FWDIR -c R81 -t R81.10
No errors found by the Pre Upgrade Verifier.

エクスポート方法

管理データベースをエクスポートするためは、$FWDIR/bin/upgrade_tools に移動した上で、以下コマンドを実行します。

  • ./migrate export [-l] <フルパスの出力ファイル名>
    • -l$FWDIR/log/ ディレクトリのログ(ログインデックス無し)含めてエクスポートする場合に指定
    • 指定したファイル名に対して自動で拡張子「.tgz」が付加されます

コマンドを実行すると、実行確認されるため y を押下して続行します。また、ログの切り替えをするかどうかを聞かれるため、切り替える場合は y を指定、切り替えない場合はデフォルトの n のまま Enter を押下します。(切り替えない場合、最新のログがエクスポートされない場合があります。)

[Expert@CP81-MNG:0]# ./migrate export -l /home/admin/migrate_export_R81


You are required to close all clients to Security Management Server
or execute 'cpstop' before the Export operation begins.

Do you want to continue? (y/n) [n]? y

To copy the most recent logs, a log switch is done.

Do you approve the log switch? If not, most recent logs may not be exported. (y/n) [n]?


Copying required files...
Compressing files...

The operation completed successfully.

Location of archive with exported database: /home/admin/migrate_export_R81.tgz

処理完了後、エクスポートされたファイルを確認します。

[Expert@CP81-MNG:0]# ls -l /home/admin
total 74732
-rw-rw---- 1 admin root 76525228 Jul 17 11:27 migrate_export_R81.tgz

この後は TFTP などでエクスポートされたファイルを外部へ転送して、移行先管理サーバへ格納します。

インポート方法

管理データベースをインポートするためは、$FWDIR/bin/upgrade_tools に移動した上で、以下コマンドを実行します。

  • ./migrate import [-l] <フルパスのファイル名>
    • -l$FWDIR/log/ ディレクトリのログ(ログインデックス無し)含めてインポートする場合に指定
    • 移行元でエクスポートしたファイルを、拡張子「.tgz」を含めて指定します

コマンドを実行すると、実行確認されるため y を押下して続行します。

[Expert@CP81-MNG:0]# ./migrate import /home/admin/migrate_export_R81.tgz
The import operation will eventually stop all Check Point services (cpstop).
Do you want to continue? (y/n) [n]? y


Extracting the database...
Stopping all Check Point services (cpstop)...

(途中略)

Importing files...

The import operation completed successfully.
Do you wish to start Check Point services? (y/n) [y]? y

インポート完了後は Check Point サービスをスタートするか聞かれるため y を押下してスタートします。

参考資料

Support, Support Requests, Training, Documentation, and Knowledge base for Check Point products and services
supportcenter.checkpoint.com
migrate_server
sc1.checkpoint.com
migrate
sc1.checkpoint.com
【Check Point】管理サーバ移行ツールを解説【バージョン別】
Check Point ファイアウォールの管理サーバの移行 Check Point のファイアウォールでは、ゲートウェイと管理サーバの2つに役割が分かれています。このうち、ポリシー設定を管理する管理サーバは重要な存在といえます。 この管理サ...
nwengblog.com
2022.04.20
Check Point アプライアンス設定用情報まとめ
基礎知識 【LT 風】Check Point アプライアンス構築ロードマップ ※以下は公式マニュアル等の内容のまとめ 【Check Point R80.40】構築用メモ【基礎知識】【Check Point R80.40】インターフェース設定...
nwengblog.com
2021.05.10

スポンサーリンク
タイトルとURLをコピーしました