対象環境
- Check Point:Security Management
- バージョン R80.20 以降
管理サーバの移行について
Check Point アプライアンスの管理サーバ(Security Management)について機器をリプレイスする場合、管理データベース(SmartConsole で設定されたポリシーやオブジェクトなどの設定情報)をどうやって新機器へ移行するかという問題があります。
旧機器と新機器の型番、バージョン、パッチ適用状況が全く同じであれば、旧機器の Gaia のシステムバックアップをインプットとして新機器でリストアをすることで、管理データベース含めて復元することが可能です。
一方で、新機器で型番やバージョンを変更する場合はシステムバックアップからのリストアは不可能なため、標準機能である migrate_server または migrate コマンドによって、管理データベースのエクスポートおよびインポートを行う必要があります。
ここでは、migrate_server および migrate コマンドの使用方法について記載します。
Upgrade Tools と migrate_server について
Upgrade Tools は管理サーバの移行およびアップグレードを行うためのツール群です。
migrate_server および migrate はともに Upgrade Tools に含まれるツールです。
migrate_server
migrate_server
管理サーバがインターネット接続できる環境であれば、アップグレードパッケージは自動で取得されます。
インターネット接続できない場合は手動でインストールすることも可能ですが、パッケージを入手するためにはサポート契約が必要であり機器ベンダなどに依頼する必要があります。
手動でのインストール手順についてはサポートページを参照してください。
migrate_server と migrate の使い分け
- 移行元と移行先のバージョンが異なる場合は
migrate_serverを使用します- 移行先の方がバージョンが高い前提です
- 移行元と移行先のバージョンが同じ場合は
migrateを使用します
migrate_server の使い方
migrate_server はよりバージョンの高い管理サーバへ管理データベースを移行するために使用します。
移行の手順は以下の通りです。
- 移行元管理サーバで移行先バージョンへの移行が可能か確認を行う (verify)
- 移行元管理サーバで管理データベースをエクスポートする
- 移行先管理サーバへ 1. でエクスポートしたファイルを格納する
- 移行先管理サーバで 2. で格納したファイルをインポートする
migrate_server の格納先
migrate_server
$FWDIR/scriptsmigrate_server
[Expert@CP8040-MNG:0]# cd $FWDIR/scripts
[Expert@CP8040-MNG:0]# ls -l migrate_server
-rwxr-xr-x 1 admin bin 14767 Jul 17 09:59 migrate_serververify の実行
移行元管理サーバにて、現状のコンフィグが移行先バージョンのコンフィグへ変換可能かどうかを確認します。
$FWDIR/scripts に移動した上で、以下コマンドを実行します。
./migrate_server verify -v <移行先バージョン> [-skip_upgrade_tools_check]-v:移行先バージョンを指定- 例:R80.40、R81
-skip_upgrade_tools_check:デフォルトでは、Upgrade Tools の最新バージョンを確認するために Check Point クラウドに接続しようしますが、これをさせない場合に指定
以下のように表示されれば、verify は成功です。
[Expert@CP8040-MNG:0]# ./migrate_server verify -v R81
The verify operation finished successfully.
Notes:
1. It is recommended to use the latest upgrade tools package. The latest package is installed automatically on online environments, for upgrade of offline environments refer to sk135172.
2. Only latest revision will be upgraded. It is recommended to publish important changes before upgrade. Unpublished changes will be lost.
3. Run the upgrade verification on all servers in your environment before you upgrade.何らかの問題がある場合はその旨のメッセージが表示されます。その場合はメッセージ内容に従い修正を行います。
エクスポート方法
管理データベースをエクスポートするためは、$FWDIR/scripts に移動した上で、以下コマンドを実行します。
./migrate_server export -v <移行先バージョン> [-l] <フルパスの出力ファイル名>[-skip_upgrade_tools_check]-v:移行先バージョンを指定- 例:R80.40、R81
-l:$FWDIR/log/ディレクトリのログ(ログインデックス無し)含めてエクスポートする場合に指定-skip_upgrade_tools_check:デフォルトでは、Upgrade Tools の最新バージョンを確認するために Check Point クラウドに接続しようしますが、これをさせない場合に指定- ファイル名は、拡張子「.tgz」を含めて指定します
コマンドを実行すると、実行確認されるため y を押下して続行します。エクスポート処理には時間がかかるため完了まで待ちます。
[Expert@CP8040-MNG:0]# ./migrate_server export -v R81 -l /home/admin/migrate_server_export_R81.tgz
The export operation will eventually stop all Check Point services (cpstop; cpwd_admin kill). Do you want to continue (yes/no) [n]? yes
Exporting the Management Database
Operation started at Sat Jul 17 12:11:11 JST 2021
[==================================================] 100% Done
Detailed upgrade report is available at /opt/CPsuite-R80.40/fw1/log/upgrade_report-2021.07.17_12.18.11.html
The export operation completed successfully. Do you wish to start Check Point services (yes/no) [y]?
Starting Check Point services ...
The export operation finished successfully.
Exported data to: /home/admin/migrate_server_export_R81.tgz.
Collecting debug logs ...
Collected debug logs to /var/log/upgrade-export.17Jul2021-121103.tgzエクスポート完了後は Check Point サービスをスタートするか聞かれるためデフォルトの y のまま Enter を押下してスタートします。
処理完了後、エクスポートされたファイルを確認します。
[Expert@CP8040-MNG:0]# ls -l /home/admin
total 45388
-rw-rw---- 1 admin root 46473986 Jul 17 12:18 migrate_server_export_R81.tgzこの後は TFTP などでエクスポートされたファイルを外部へ転送して、移行先管理サーバへ格納します。
インポート方法
管理データベースをインポートするためは、$FWDIR/scripts
./migrate_server import -v <移行先バージョン>[-l] <フルパスのファイル名>[-skip_upgrade_tools_check]-v:移行先バージョンを指定- 例:R80.40、R81
-l:$FWDIR/log/ディレクトリのログ(ログインデックス無し)含めてインポートする場合に指定-skip_upgrade_tools_check:デフォルトでは、Upgrade Tools の最新バージョンを確認するために Check Point クラウドに接続しようしますが、これをさせない場合に指定- 移行元でエクスポートしたファイルを、拡張子「.tgz」を含めて指定します
コマンドを実行すると確認無しでインポートが開始されます。インポート処理には時間がかかるため完了まで待ちます。
[Expert@CP81-MNG:0]# ./migrate_server import -v R81 -l /home/admin/migrate_server_export_R81.tgz
Importing the Management Database
Operation started at Sat Jul 17 12:31:33 JST 2021
[==================================================] 100% Done
Detailed upgrade report is available at /opt/CPsuite-R81/fw1/log/upgrade_report-2021.07.17_12.53.40.html
The import operation finished successfully.
Collecting debug logs ...
Collected debug logs to /var/log/upgrade-import.17Jul2021-123130.tgzThe import operation finished successfully. と表示されたことを確認できればインポート完了です。
migrate の使い方
migrate は同じバージョンの管理サーバ間で管理データベースを移行するために使用します。
移行の手順は以下の通りです。
- 移行元管理サーバで管理データベースをエクスポートする
- 移行先管理サーバへ 1. でエクスポートしたファイルを格納する
- 移行先管理サーバで 2. で格納したファイルをインポートする
migrate の格納先
migrate コマンドは以下ディレクトリに格納されています。
$FWDIR/bin/upgrade_toolsmigrate コマンドを実行する際は、このディレクトリに移動してから実行します。
[Expert@CP81-MNG:0]# cd $FWDIR/bin/upgrade_tools/
[Expert@CP81-MNG:0]# ls -l migrate
-rwxr-x--- 1 admin bin 15800448 Oct 22 2020 migrateverify の実行
./pre_upgrade_verifier -p $FWDIR -c <移行元バージョン> -t <移行先バージョン>
[Expert@CP81-MNG:0]# ./pre_upgrade_verifier -p $FWDIR -c R81 -t R81.10
No errors found by the Pre Upgrade Verifier.エクスポート方法
管理データベースをエクスポートするためは、$FWDIR/bin/upgrade_tools に移動した上で、以下コマンドを実行します。
./migrate export [-l] <フルパスの出力ファイル名>-l:$FWDIR/log/ディレクトリのログ(ログインデックス無し)含めてエクスポートする場合に指定- 指定したファイル名に対して自動で拡張子「.tgz」が付加されます
コマンドを実行すると、実行確認されるため y を押下して続行します。また、ログの切り替えをするかどうかを聞かれるため、切り替える場合は y を指定、切り替えない場合はデフォルトの n のまま Enter を押下します。(切り替えない場合、最新のログがエクスポートされない場合があります。)
[Expert@CP81-MNG:0]# ./migrate export -l /home/admin/migrate_export_R81
You are required to close all clients to Security Management Server
or execute 'cpstop' before the Export operation begins.
Do you want to continue? (y/n) [n]? y
To copy the most recent logs, a log switch is done.
Do you approve the log switch? If not, most recent logs may not be exported. (y/n) [n]?
Copying required files...
Compressing files...
The operation completed successfully.
Location of archive with exported database: /home/admin/migrate_export_R81.tgz処理完了後、エクスポートされたファイルを確認します。
[Expert@CP81-MNG:0]# ls -l /home/admin
total 74732
-rw-rw---- 1 admin root 76525228 Jul 17 11:27 migrate_export_R81.tgzこの後は TFTP などでエクスポートされたファイルを外部へ転送して、移行先管理サーバへ格納します。
インポート方法
管理データベースをインポートするためは、$FWDIR/bin/upgrade_tools に移動した上で、以下コマンドを実行します。
./migrate import [-l] <フルパスのファイル名>-l:$FWDIR/log/ディレクトリのログ(ログインデックス無し)含めてインポートする場合に指定- 移行元でエクスポートしたファイルを、拡張子「.tgz」を含めて指定します
コマンドを実行すると、実行確認されるため y を押下して続行します。
[Expert@CP81-MNG:0]# ./migrate import /home/admin/migrate_export_R81.tgz
The import operation will eventually stop all Check Point services (cpstop).
Do you want to continue? (y/n) [n]? y
Extracting the database...
Stopping all Check Point services (cpstop)...
(途中略)
Importing files...
The import operation completed successfully.
Do you wish to start Check Point services? (y/n) [y]? yインポート完了後は Check Point サービスをスタートするか聞かれるため y を押下してスタートします。
参考資料
