목차/10. 업그레이드 옵션과 사전 준비

10업그레이드 옵션과 사전 준비업그레이드 옵션과 사전 준비

기존 환경을 R82으로 올리는 일은 새 설치보다 까다롭습니다 — 동작 중인 정책·데이터베이스·로그를 지키면서 버전만 바꿔야 하기 때문입니다. 이 장은 관리 서버·Log Server·게이트웨이·Cluster Member를 R82으로 올릴 때 빠뜨리면 안 되는 모든 사전 조건과, R82이 지원하는 업그레이드 방식(Central Deployment·CPUSE·Advanced Upgrade·Migration and Upgrade), 그리고 이를 떠받치는 Contract Verification·Upgrade Tools 를 원문 그대로 빠짐없이 풀어 정리합니다. 어느 항목 하나도 요약으로 넘기지 않으니, 실제 작업 전에 이 장을 점검표처럼 훑어 두세요.

모든 업그레이드에 공통인 출발점

대상이 관리 서버든 게이트웨이든 Mobile Access든, 시작 전에 똑같이 챙겨야 하는 것이 있습니다.

  • 항상 이 문서의 최신 버전을 쓰는지 확인합니다(문서 앞쪽 "Important Information" 페이지의 링크 참조).
  • R82 Release Notes 에서 세 가지를 확인합니다 — 지원되는 업그레이드 경로(Supported upgrade paths), 최소 하드웨어·운영체제 요건, 지원되는 Security Gateway 목록입니다.
  • R82 Known Limitations SK 에서 적용되는 알려진 제한 을 모두 읽어 둡니다.
  • 소스·대상 모든 Check Point 컴퓨터에 유효한 라이선스가 설치 돼 있어야 하고, 소프트웨어 업그레이드와 메이저 릴리스를 포함하는 유효한 Service Contract 가 User Center 계정에 등록돼 있어야 합니다(아래 계약 확인, sk33089). 이 Contract File은 관리 서버에 보관되며, 업그레이드 과정에서 Security Gateway로 내려받아집니다.

가장 중요한 순서 규칙

업그레이드에는 절대 어기면 안 되는 순서 가 있습니다. 관리 서버를 먼저 올린 뒤에야 그것이 관리하는 Security Gateway·Cluster Member를 올릴 수 있습니다. 게이트웨이를 먼저 올리면 관리가 어긋납니다.

전용 서버에도 같은 원칙이 적용됩니다.

  • 관리 서버(Security Management Server·Multi-Domain Server)가 전용 Log Server나 전용 SmartEvent Server를 거느린다면, 이 전용 서버들을 관리 서버와 같은 버전으로 올려야 합니다. 그리고 관리 서버를 먼저 올린 뒤에야 이 전용 서버를 올릴 수 있습니다.
  • Multi-Domain Server가 Multi-Domain Log Server를 거느린다면, Multi-Domain Log Server를 Multi-Domain Server와 같은 버전으로 올려야 하며, 역시 Multi-Domain Server를 먼저 올려야 합니다.

관리 서버·Log Server 업그레이드 전 점검

관리 서버 계열(Security Management Server·Multi-Domain Server·Domain Management Server·Multi-Domain Log Server·Domain Log Server·Log Server·SmartEvent Server)은 점검할 항목이 가장 많습니다. 차례대로 봅니다.

SmartConsole이 R7x 게이트웨이를 거쳐 붙는 경우

올리려는 관리 서버에 SmartConsole이 R7x Security Gateway나 Cluster를 거쳐 연결 된다면, 업그레이드 후에도 통신이 끊기지 않도록 미리 명시적 방화벽 규칙을 넣어 둬야 합니다.

  1. 그 R7x Security Gateway·Cluster를 관리하는 관리 서버에 접속합니다.
  2. 다음과 같은 명시적 Firewall 규칙을 새로 추가 합니다.
항목
SourceSmartConsole Host 오브젝트
DestinationManagement Server 오브젝트
VPNAny Traffic
ServiceTCP 19009
ActionAccept
Install OnR7x Security Gateway 또는 Cluster
  1. 수정한 Firewall Policy를 그 R7x Security Gateway·Cluster에 설치합니다.
  2. 이 R7x 장비를 R80.10 이상으로 올린 뒤에는 이 명시적 규칙을 삭제 합니다.

커스텀 설정 기록 — 옛 파일을 그대로 복사하면 안 된다

업그레이드 과정은 기존 파일을 모두 기본 파일로 덮어쓰므로, 옛 버전의 커스텀 구성 파일을 새 버전에 그대로 복사하면 안 됩니다 — 같은 이름의 파일이라도 버전마다 내용이 다를 수 있기 때문입니다. 그래서 커스텀 변경을 미리 기록해 두고, 업그레이드 후 새 파일에 직접 다시 적용 하는 방식이 원칙입니다.

먼저 Log Exporter 구성을 수집해 두고(sk127653), 다음 프로파일 스크립트에 특히 주의하세요.

$CPDIR/tmp/.CPprofile.csh

커스텀 변경을 적어 둬야 할 디렉터리 목록은 다음과 같습니다.

$FWDIR/conf/
$CVPNDIR/conf/
/opt/CP*/lib/
/opt/CP*/conf/
$MDSDIR/conf/
$MDSDIR/customers/<Name_of_Domain>/CP*/lib/
$MDSDIR/customers/<Name_of_Domain>/CP*/conf/

로그 보존 기간 정하기 — 기본 180일

R81.20부터 관리 서버·Log Server를 새 버전으로 올릴 때, 로그 파일 마이그레이션이 최근 180일치로 제한 됩니다. 이 기간은 30~360일 사이의 정수 로 바꿀 수 있습니다. 방법은 다음과 같습니다.

  1. 해당 서버(Security Management Server·Multi-Domain Server·Multi-Domain Log Server·전용 Log Server·전용 SmartEvent Server)의 명령줄에 접속합니다.
  2. Expert mode 로 들어갑니다.
  3. 필요한 XML 파일을 만듭니다.
   touch $FWDIR/conf/upgradeLogData.xml
   
  1. 이 파일을 편집합니다.
   vi $FWDIR/conf/upgradeLogData.xml
   
  1. 파일에는 다음 내용이 들어가야 하며, NUMBER_OF_DAYS30~360 사이의 정수 로 적습니다.
   <?xml version="1.0"?>
   <config>
   <ImportLogDays>NUMBER_OF_DAYS</ImportLogDays>
   </config>
   
  1. 변경을 저장하고 편집기를 빠져나갑니다.

High Availability 환경의 업그레이드 계획

가용성 구성은 순서를 신중히 잡아야 합니다. 두 서버를 동시에 만지면 데이터베이스 동기화가 어긋날 수 있으므로, 정해진 Action Plan을 따릅니다.

Security Management Server HA 의 업그레이드 계획:

소스 버전절차
R80.20·R80.20.M2 이상1. Primary 를 올린다. 2. 두 서버가 서로 통신하고 SIC가 정상인지 확인한다(sk179794). 3. Secondary 를 올린다.
R80.20.M11. Primary 를 올린다. 2. Secondary 는 clean install 한다. 3. Secondary를 Primary에 연결한다.

Multi-Domain Server HA 의 업그레이드 계획:

소스 버전절차
R80.20·R80.20.M2 이상1. 모든 소스 서버에서 Pre-Upgrade Verifier 를 돌려 발견된 문제를 모두 고친다. 2. Primary에서 Global Domain이 Active 인지 확인한다. 3. Primary Multi-Domain Server 를 올린다. 4. 서버 간 통신·SIC를 확인한다(sk179794). 5. Secondary Multi-Domain Server 를 올린다.
R80.20.M11. 모든 소스 서버에서 Pre-Upgrade Verifier 를 돌려 문제를 고친다. 2. Primary에서 Global Domain이 Active 인지 확인한다. 3. Primary 를 올린다. 4. Secondary 는 clean install 한다. 5. Secondary를 Primary에 연결한다.

Multi-Domain Server 업그레이드 최적화 작업

Multi-Domain Server를 올리기 전에는 업그레이드 과정을 빠르고 깔끔하게 만드는 사전 작업이 권장됩니다(sk142432). 두 단계입니다.

  1. Global Domain에서 쓰지 않는 Threat Prevention Profile을 모두 삭제 합니다 — SmartConsole로 Global Domain에 접속해 Security Policies 로 들어가, 각 정책을 열고 상단의 Threat Prevention, 하단 Custom Policy ToolsProfiles 에서 쓰지 않는 프로파일을 지운 뒤 세션을 Publish하고 SmartConsole을 닫습니다.
  2. IPS protection의 Staging Mode를 끕니다 — 각 Domain에 접속해 같은 경로로 Profiles 까지 들어간 뒤 각 프로파일을 편집하고, 왼쪽 트리에서 IPS > Updates 를 열어 Set activation as staging mode (Detect) 체크를 해제 하고 OK, 세션 Publish 후 닫습니다.

그 밖의 사전 점검들

  • 업그레이드·마이그레이션을 시작하기 전에, Check Point 컴퓨터에 연결된 모든 GUI 클라이언트(SmartConsole)를 닫 아야 합니다.
  • 다시 강조하면, Security Gateway·Cluster Member를 올리기 전에 반드시 관리 서버를 먼저 올립니다.
  • Smart-1 어플라이언스 에 Multi-Domain Server·Multi-Domain Log Server가 설치돼 있고 Mgmt가 아닌 다른 인터페이스를 Leading interface로 설정 했다면, 업그레이드·clean install(CPUSE) 과정이 Leading interface를 자동으로 Mgmt로 바꿔 버립니다. 업그레이드 후 다른 인터페이스를 다시 Leading으로 지정하려면 sk107336을 참고하세요.

외부 저장 장치가 연결된 경우

관리 서버·Log Server에 외부 저장 장치(external storage device)가 연결 돼 있으면 sk66003에 따라 다음 순서를 지킵니다.

  1. 외부 저장 장치를 unmount 하고 분리합니다.
  2. 서버를 R82으로 올립니다.
  3. SOLR 프로세스를 멈춥니다.
  4. 외부 저장 장치를 서버에 다시 연결·mount합니다.
  5. 외부 저장 장치에서 로그 인덱스를 유지하기 위한 설정 을 구성합니다.
  6. SOLR 프로세스를 다시 시작 합니다.

디스크 공간과 IP 구성 요건

  • 대상 서버의 /var/log/ 파티션은 소스 서버 /var/log/ 의 최소 25% 이상 이어야 합니다.
  • Advanced UpgradeMigration 이라면, 대상 서버의 하드 디스크가 내보낸 데이터베이스(exported database) 크기의 최소 5배 여야 합니다.
  • 소스 Security Management Server가 IPv4만(또는 IPv6만) 쓴다면, 대상 서버도 같은 IP 주소 구성 을 써야 합니다. 단, 업그레이드·마이그레이션 후에는 이 구성을 바꿀 수 있습니다.

게이트웨이·Cluster Member 업그레이드 전 점검

게이트웨이 계열도 공통 출발점(최신 문서·Release Notes·Known Limitations·라이선스/계약)을 똑같이 따르고, 관리 서버를 먼저 올린 뒤에야 게이트웨이를 올린다 는 규칙을 지킵니다. 추가로, 게이트웨이·Cluster Member에서도 커스텀 구성을 기록해 두고 업그레이드 후 새 파일에 다시 적용 해야 합니다(업그레이드가 모든 파일을 기본 파일로 덮어쓰기 때문입니다).

기록해 둘 가장 중요한 디렉터리 (알파벳 순):

$FWDIR/boot/modules/
$FWDIR/conf/
$FWDIR/database/
$FWDIR/lib/
$PPKDIR/boot/modules/
/var/ace/

기록해 둘 가장 중요한 파일 (알파벳 순):

$FWDIR/boot/modules/fwkern.conf
$FWDIR/conf/cpha_bond_ls_config.conf
$FWDIR/conf/cpha_specific_vlan_data.conf   (sk92784)
$FWDIR/conf/discntd.if
$FWDIR/conf/fw_fast_accel_export_configuration.conf   (sk156672)
$FWDIR/conf/fwaffinity.conf
$FWDIR/conf/fwauthd.conf
$FWDIR/conf/hsm_configuration.C
$FWDIR/conf/identity_broker.C
$FWDIR/conf/ipassignment.conf
$FWDIR/conf/local.arp   (sk30197)
$FWDIR/conf/malware_config
$FWDIR/conf/prioq.conf   (sk105762)
$FWDIR/conf/rad_conf.C
$FWDIR/conf/synatk.conf
$FWDIR/conf/te.conf
$FWDIR/conf/thresholds.conf
$FWDIR/conf/trac_client_1.ttm
$FWDIR/conf/vsaffinity_exception.conf
$PPKDIR/conf/simkern.conf
/var/ace/sdconf.rec
/var/ace/sdopts.rec
/var/ace/sdstatus.12
/var/ace/securid

게이트웨이도 라이선스·Service Contract 요건은 동일합니다 — 소스·대상 모든 컴퓨터에 유효한 라이선스, 그리고 소프트웨어 업그레이드·메이저 릴리스를 포함하는 유효한 Service Contract 가 User Center에 등록돼 있어야 합니다(sk33089).

Mobile Access Software Blade 업그레이드 전 점검

공통 사전 조건(최신 문서·Release Notes·Known Limitations·관리 서버 먼저·라이선스/계약)을 모두 충족한 뒤, 다음 절차를 따릅니다.

  1. 관리 서버에서 다음 파일들을 열어 모든 커스텀 변경을 적어 둡 니다.
대상파일
Mobile Access 구성$CVPNDIR/conf/cvpnd.C
Apache 구성$CVPNDIR/conf/httpd.conf, $CVPNDIR/conf/includes/*
로컬 인증서$CVPNDIR/var/ssl/ca-bundle/*
DynamicID — SMS OTP — 로컬 전화 목록$CVPNDIR/conf/SmsPhones.lst
RSA 구성/var/ace/sdconf.rec

Mobile Access Gaia Portal 구성 파일은 Expert mode에서 다음 명령으로 찾습니다.

   find $CVPNDIR/ -name *.php -type f -exec ls {} \;
   find $CVPNDIR/ -name *.gif -type f -exec ls {} \;
   find $CVPNDIR/ -name *.jpg -type f -exec ls {} \;
   
  1. 지원되는 방식 중 하나로 관리 서버를 R82으로 업그레이드 합니다(아래 업그레이드 방식).
  2. Mobile Access Endpoint Compliance 를 갱신합니다 — SmartConsole의 Security Policies > Shared Policies 에서 Mobile Access > Open Mobile Access Policy in SmartDashboard 를 열고, SmartDashboard의 Mobile Access 탭에서 Endpoint Security on Demand > Endpoint Compliance Updates > Update Databases Now 를 누른 뒤 SmartDashboard를 닫습니다.
  3. 올린 관리 서버의 기본 파일을 직접 편집해 1단계에서 적어 둔 커스텀 변경을 다시 넣 습니다.

업그레이드 방식 — 어느 길을 고를까

대상에 따라 쓸 수 있는 방식이 다릅니다.

게이트웨이·Cluster Member 가 쓸 수 있는 방식:

방식적용 대상설명
Gateway Central Deployment (권장)Security Gateway, VSX Gateway, Cluster MemberSmartConsole에서 패키지를 배포
Central Deployment Tool동일관리 서버의 명령줄 도구(sk111158)
CPUSE동일각 Gaia에서 직접

관리 서버·Log Server 가 쓸 수 있는 방식은 세 갈래이며, 대상별로 모두 동일하게 적용됩니다.

서버CPUSEAdvanced UpgradeMigration and Upgrade
Security Management Server, Endpoint Security Management Server, CloudGuard ControllerOOO
Multi-Domain ServerOOO
Multi-Domain Log ServerOOO
전용 Log Server, Endpoint Policy ServerOOO
전용 SmartEvent ServerOOO

세 방식의 차이는 이렇습니다.

  • CPUSE 는 현재 Gaia에서 도는 컴퓨터를 같은 자리에서 그대로 올립 니다(가장 단순, sk92449). 단, CPUSE는 현재 Gaia Operating System에서 도는 경우에만 쓸 수 있습니다.
  • Advanced Upgrade 는 같은 컴퓨터에서 R82 Management Server Migration Tool로 데이터베이스를 export한 뒤, Gaia면 업그레이드·다른 OS면 clean install하고 다시 import 합니다.
  • Migration and Upgrade 는 소스에서 데이터베이스를 export해, 별도의 새 R82 컴퓨터에 import 합니다.

OS를 바꾸거나 하드웨어를 옮긴다면 CPUSE 대신 Advanced Upgrade나 Migration 을 택합니다.

이 표 옆에 붙은 중요 규칙도 다시 정리해 둡니다.

Central Deployment — SmartConsole에서 배포

Central Deployment 를 쓰면 SmartConsole에서 소프트웨어 패키지를 보내 Security Gateway·Cluster Member를 업그레이드하거나 clean install할 수 있습니다. Hotfix·Upgrade 패키지는 두 곳에서 배포합니다.

  • Check Point Cloud 에서.
  • 관리 서버의 Package Repository 에서(먼저 해당 패키지를 Repository에 업로드해야 합니다).

자세한 내용은 R82 Security Management Administration Guide의 Managing Gateways > Central Deployment of Hotfixes and Version Upgrades 절을 참고하세요.

Central Deployment Tool — 관리 서버의 명령줄 도구

관리 서버의 Central Deployment Tool 로도 패키지를 설치해 Security Gateway·Cluster Member를 업그레이드하거나 clean install할 수 있습니다. 자세한 내용은 sk111158을 참고하세요.

CPUSE — 같은 자리에서 올리기

CPUSE 로는 Gaia Operating System에서 도는 Check Point 컴퓨터 에 패키지를 설치해 업그레이드·clean install합니다(sk92449). 관리 서버·Log Server의 CPUSE 업그레이드 상세 절차는 대상별로 본 가이드의 해당 장에 있습니다 — 관리 서버 업그레이드부터 Multi-Domain Server, Multi-Domain Log Server, Endpoint Security Management Server까지.

Advanced Upgrade — 같은 컴퓨터, export 후 import

같은 Check Point 컴퓨터에서 다음 순서로 진행합니다.

단계내용
1현재 컴퓨터의 전체 백업과 스냅샷 을 뜬다.
2R82 Management Server Migration Tool 로 전체 관리 데이터베이스를 export한다.
3R82 컴퓨터를 준비한다 — 현재 Gaia면 R82로 업그레이드, Gaia가 아닌 OS면 R82를 clean install 한다.
4전체 관리 데이터베이스를 import한다.

Migration and Upgrade — 소스에서 export, 새 서버에 import

소스 컴퓨터와 별도의 대상 컴퓨터에서 다음 순서로 진행합니다.

단계내용
1소스 Check Point 컴퓨터 에서 R82 Management Server Migration Tool 로 전체 관리 데이터베이스를 export한다.
2별도의 새 R82 Check Point 컴퓨터 를 설치한다.
3새 R82 컴퓨터에 전체 관리 데이터베이스를 import한다.

계약 확인 — Contract Verification

관리 서버를 R82으로 올리기 전에 소프트웨어 업그레이드·메이저 릴리스를 포함하는 유효한 Support Contract가 User Center 계정에 등록 돼 있어야 합니다. User Center로 상태를 확인하는 이 Contract File 덕분에 현재 Check Point 라이선스 기준에 부합한 상태를 유지할 수 있습니다. 여기서도 관리 서버(Security Management Server·Multi-Domain Server)를 게이트웨이보다 먼저 올린다는 순서는 그대로입니다.

업그레이드 과정은 Contract File 이 이미 있는지 확인합니다. 없으면 나중에 User Center에서 수동으로 받아 import할 수 있습니다. 계약이 관리 서버를 덮지 않으면 "업그레이드 자격 없음" 메시지 가 뜹니다.

Contract File을 받는 세 가지 선택지:

선택지내용
Download a contract file from the User Center인터넷이 되고 유효한 User Center 계정이 있다면, 계정에서 Contract File을 곧바로 내려받는다.
Import a local contract file관리 서버에 인터넷이 없을 때 — 인터넷 되는 컴퓨터에서 User Center에 로그인해 Assets/Info > Download Contract File 로 받아, 관리 서버로 옮긴 뒤 이 옵션을 골라 파일의 전체 경로 를 입력한다.
Continue without contract information나중에 유효한 Contract File을 받아 설치할 작정이라면 선택. 단, 이 시점에 관리되는 Security Gateway는 엄밀히는 업그레이드 자격이 없 으며, 업그레이드 마지막 메시지처럼 라이선스 계약 위반 상태일 수 있다.

Upgrade Tools — Pre-Upgrade Verifier와 migrate_server

업그레이드를 떠받치는 도구가 Upgrade Tools 입니다.

내려받는 방식은 인터넷 연결 여부에 달려 있습니다.

  • 관리 서버·Log Server가 인터넷에 연결돼 있고 "Allow Download" 동의 플래그가 켜져 있으면, 서버가 자동으로 최신 Upgrade Tools를 받아 설치 합니다(sk111080). 이 플래그는 Gaia First Time Configuration Wizard에서 Automatically download Blade Contracts, new software, and other important data 를 골랐거나, SmartConsole의 Menu > Global properties > Security Management 에서 Automatically download Contracts and other important data 를 골랐을 때 켜집니다.
  • 인터넷에 연결돼 있지 않으면, 최신 Upgrade Tools를 수동으로 설치 해야 합니다.

이 도구가 하는 일은 두 가지입니다 — 현재 관리 데이터베이스를 문제없이 올릴 수 있는지 검사(Pre-Upgrade Verifier)하고, 업그레이드를 실패시킬 수 있는 문제 목록을 담은 업그레이드 보고서를 생성 합니다. 보고서의 메시지는 세 갈래로 나뉩니다.

메시지 분류내용
Action items before the upgrade업그레이드 전에 반드시 고쳐야 할 에러 와, 미리 고칠지 판단이 필요한 경고. 잘못된 정책 이름 이 반드시 고쳐야 할 에러의 예다.
Action items after the upgrade업그레이드 후에 고쳐야 할 에러·경고.
Information messages알아 두면 좋은 항목. 예컨대 상위 버전에서 지원하지 않는 오브젝트 타입 이 데이터베이스에 있어 업그레이드 중 변환되는 경우.

Upgrade Tools 패키지에서 가장 중요한 파일은 다음과 같습니다.

파일내용
migrate_server관리 데이터베이스와 해당 Check Point 구성을 export·import 한다. 자세히는 R82 CLI Reference Guide의 Security Management Server Commands > migrate_server 절 참고.
migrate.confAdvanced Upgrade·Database Migration 의 구성 설정을 담는다.

사전 준비를 마쳤으니, 이제 대상별 실제 업그레이드로 들어갑니다 — 먼저 관리 서버 업그레이드부터입니다.