13관리 서버 특수 시나리오관리 서버 특수 시나리오
표준 설치·업그레이드를 벗어나, 데이터베이스를 옮기고, 백업·복원하고, IP를 바꾸는 상황들이 있습니다. 이 장은 관리 서버(Management Server)에서 일어나는 여러 이전(migration)·구성 시나리오를 Domain 백업·복원, R82 Multi-Domain Server 사이의 Domain Management Server 이전, R82 Security Management Server 사이의 데이터베이스 이전, Security Management Server↔Domain Management Server 사이의 데이터베이스 이전, Multi-Domain Server·Multi-Domain Log Server의 IP 변경, Domain Management Server·Domain Log Server의 IP 변경, 그리고 Multi-Domain 환경에서의 IPS 순서로 빠짐없이 정리합니다. 명령·API·파라미터·표는 원문 그대로 담되, 왜 그렇게 하는지를 함께 풀어 둡니다.
Domain 백업과 복원
Multi-Domain 환경에서는 도메인 단위로 백업하고 나중에 같은 Multi-Domain Server에 복원할 수 있습니다. 여기에는 반드시 지켜야 할 두 가지 전제 가 있습니다.
Domain 백업하기
백업은 다음 API 한 줄로 합니다.
backup-domainAPI 사용법은 Check Point Management API Reference 에서 backup-domain 을 검색하면 됩니다.
Domain 복원하기
복원은 단계가 정해져 있고, 순서를 지키는 것이 중요합니다.
1단계 — 복원이 가능한지 먼저 확인합니다.
Domain을 복원하려면 먼저 현재 Domain을 삭제해야 하는데, 삭제하기 전에 복원이 실제로 가능한지부터 확인 해야 합니다. 그래야 삭제했다가 복원이 안 되는 사고를 막을 수 있습니다. 다음 API를 verify-only 플래그를 붙여 실행합니다.
restore-domainAPI 사용법은 Management API Reference 에서 restore-domain 을 검색하세요.
2단계 — 현재 Domain을 삭제합니다. 복원하기 전에 현재 Domain을 지워야 합니다. 두 가지 방법 중 하나를 씁니다.
- MDS 컨텍스트에 연결한 SmartConsole 에서 삭제
delete domainAPI 로 삭제(자세한 내용은 Management API Reference 참고)
3단계 — Active Domain Management Server를 복원합니다. 다음 API를 실행합니다.
restore-domainAPI 사용법은 Management API Reference 에서 restore-domain 을 검색하세요.
4단계 — Standby Domain Management Server와 Domain Log Server를 복원합니다.
이때 이들 서버는 백업을 받을 당시에 쓰던 것과 똑같은 IP 주소를 가져야 합니다. API 사용법은 Management API Reference에서 set domain 을 검색하세요.
각 Standby Domain Management Server 에 대해 다음 API를 실행합니다.
set-domain name <Name or UID of Domain> servers.add.ip-
address <IP Address of Domain Management Server>
servers.add.name <Name of Domain Management Server>
servers.add.multi-domain-server <Name of Multi-Domain
Server> servers.add.backup-file-path <Full Path to Domain
Backup File>.tgz --format json각 Domain Log Server 에 대해서는 다음 API를 실행합니다(마지막에 type "log server" 가 붙는 점이 다릅니다).
set-domain name <Name or UID of Domain> servers.add.ip-
address <IP Address of Domain Log Server> servers.add.name
<Name of Domain Log Server> servers.add.multi-domain-
server <Name of Multi-Domain Server> servers.add.backup-
file-path <Full Path to Domain Backup File>.tgz --format
json servers.add.type "log server"5단계 — 관리자(Administrators)와 GUI 클라이언트를 다시 구성하고 할당합니다. 복원 뒤에는 Multi-Domain Server의 관리자와 GUI 클라이언트를 처음부터 다시 설정하고 Domain에 할당 해야 합니다.
- 관리자와 GUI 클라이언트 구성:
mdsconfig명령을 실행합니다.- Administrators 를 구성합니다.
- GUI clients 를 구성합니다.
- 관리자와 GUI 클라이언트를 Domain에 할당: R82 Multi-Domain Security Management Administration Guide 의 Managing Domains 장 — Creating a New Domain 절과 Assigning Trusted Clients to Domains 절을 참고합니다.
6단계 — 모든 관리 대상 게이트웨이·클러스터에 정책을 설치합니다.
- SmartConsole로 복원된 Active Domain 에 연결합니다.
- 관리 중인 모든 Security Gateway 와 Cluster 에 해당 정책을 설치합니다.
R82 Multi-Domain Server 사이에서 Domain Management Server 옮기기
이 절차는 한 R82 Multi-Domain Server에 있는 Domain Management Server의 전체 관리 데이터베이스를 내보내(export), 다른 R82 Multi-Domain Server로 가져오는(import) 작업입니다.
절차
1. 원본 Multi-Domain Server에서 Domain Management Server를 내보냅니다.
먼저 내보내기 API를 실행합니다.
migrate-export-domainAPI 사용법은 Management API Reference에서 migrate-export-domain 을 검색하세요. 그런 다음 내보낸 파일의 무결성 확인을 위해 MD5 를 계산해 둡니다.
md5sum <Full Path to Export File>2. 내보낸 파일을 대상 Multi-Domain Server로 전송합니다.
원본에서 대상 Multi-Domain Server의 적당한 디렉터리로 파일을 옮깁니다.
전송된 파일이 손상되지 않았는지 확인합니다. 전송본의 MD5를 계산해 원본에서 계산한 값과 같은지 비교 합니다.
md5sum <Full Path to Export File>3. 대상 Multi-Domain Server에서 Domain Management Server를 가져옵니다.
가져오기 API를 실행합니다.
migrate-import-domainAPI 사용법은 Management API Reference에서 migrate-import-domain 을 검색하세요. 가져온 뒤에는 필요한 데몬(FWM, FWD, CPD, CPCA)이 모두 up 상태이고 PID를 표시하는지 확인합니다(pnd 상태도 괜찮습니다).
mdsstat만약 일부 데몬이 down 상태라면 5~10분 기다린 뒤 해당 Domain Management Server를 재시작하고 다시 확인합니다. 다음 세 명령을 차례로 실행합니다.
mdsstop_customer <IP Address or Name of Domain
Management Server>
mdsstart_customer <IP Address or Name of Domain
Management Server>
mdsstat4. 관리자와 GUI 클라이언트를 다시 구성하고 할당합니다.
mdsconfig명령으로 Administrators, GUI clients 를 구성하고 메뉴를 빠져나옵니다(Exit the mdsconfig menu).- 관리자와 GUI 클라이언트를 Domain에 할당합니다(앞서와 같이 Multi-Domain Security Management Administration Guide 참고).
5. 모든 관리 대상 게이트웨이·클러스터에 정책을 설치합니다.
SmartConsole로 이 Domain Management Server가 속한 Active Domain 에 연결한 뒤, 관리 중인 모든 게이트웨이·클러스터에 정책을 설치합니다.
R82 Security Management Server 사이에서 데이터베이스 옮기기
이 절차는 한 R82 Security Management Server의 전체 관리 데이터베이스를 내보내, 다른 R82 Security Management Server로 가져오는 작업입니다.
시작하기 전에
| 단계 | 내용 |
|---|---|
| 1 | 현재 구성을 백업합니다(백업과 복원 참고). |
| 2 | SmartConsole 세션을 점검합니다. SmartConsole로 Security Management Server에 연결 → 왼쪽 탐색 패널 Manage & Settings > Sessions > View Sessions → Changes 열에 0보다 큰 숫자가 있는 세션은 모두 Publish(게시) 또는 Discard(폐기) 해야 합니다(해당 세션을 우클릭해 선택). |
| 3 | 원본 Security Management Server에 연결된 모든 GUI 클라이언트(SmartConsole 앱)를 닫아야 합니다. |
절차
1. 원본 R82 Security Management Server에서 전체 관리 데이터베이스를 내보냅니다.
| 단계 | 내용 |
|---|---|
| 1 | 현재 R82 Security Management Server의 명령줄에 연결합니다. |
| 2 | Expert mode로 로그인합니다. |
| 3 | $FWDIR/scripts/ 디렉터리로 이동: cd $FWDIR/scripts/ |
| 4 | 관리 데이터베이스를 내보냅니다(아래 경우별 명령). |
| 5 | 내보낸 데이터베이스 파일의 MD5 계산: md5sum /<Full Path>/<Name of Database File>.tgz |
| 6 | 내보낸 데이터베이스를 외부 저장소로 전송: /<Full Path>/<Name of Database File>.tgz |
4단계의 내보내기 명령은 Endpoint Policy Management 블레이드의 활성화 여부와 인터넷 연결 여부에 따라 달라집니다.
Endpoint Policy Management 블레이드가 비활성화된 경우 — 인터넷에 연결되어 있으면:
./migrate_server export -v R82 [-l | -x]
/<Full Path>/<Name of Exported File>인터넷에 연결되어 있지 않으면 -skip_upgrade_tools_check 를 붙입니다.
./migrate_server export -v R82 -skip_upgrade_
tools_check [-l | -x] /<Full Path>/<Name of
Exported File>Endpoint Policy Management 블레이드가 활성화된 경우 — 인터넷에 연결되어 있으면 --include-uepm-msi-files 옵션을 추가합니다.
./migrate_server export -v R82 [-l | -x] [--
include-uepm-msi-files] /<Full Path>/<Name of
Exported File>인터넷에 연결되어 있지 않으면 -skip_upgrade_tools_check 와 --include-uepm-msi-files 를 함께 씁니다.
./migrate_server export -v R82 -skip_upgrade_
tools_check [-l | -x] [--include-uepm-msi-
files] /<Full Path>/<Name of Exported File>자세한 내용은 R82 CLI Reference Guide 의 Security Management Server Commands 장 — migrate_server 절을 참고하세요.
2. 새 R82 Security Management Server를 설치합니다.
| 단계 | 내용 |
|---|---|
| 1 | 요구 사항은 R82 Release Notes 를 확인합니다. |
| 2 | 다른 컴퓨터에 R82 Security Management Server를 클린 설치(clean install) 합니다(Security Management Server 설치 참고). |
3. R82 Security Management Server에서 데이터베이스를 가져옵니다.
| 단계 | 내용 |
|---|---|
| 1 | R82 Security Management Server의 명령줄에 연결합니다. |
| 2 | Expert mode로 로그인합니다. |
| 3 | 유효한 라이선스가 설치되어 있는지 확인: cplic print — 없으면 지금 유효한 라이선스를 설치합니다. |
| 4 | 외부 저장소에서 데이터베이스를 R82 Security Management Server의 적당한 디렉터리로 전송합니다(바이너리 모드). |
| 5 | 전송본이 손상되지 않았는지 MD5를 계산해 원본 값과 비교: md5sum /<Full Path>/<Name of Database File>.tgz |
| 6 | $FWDIR/scripts/ 디렉터리로 이동: cd $FWDIR/scripts/ |
| 7 | 관리 데이터베이스를 가져옵니다(아래 경우별 명령). |
7단계의 가져오기 명령 — 인터넷에 연결되어 있으면:
./migrate_server import -v R82 [-l | -x]
/<Full Path>/<Name of Exported File>.tgz인터넷에 연결되어 있지 않으면 -skip_upgrade_tools_check 를 붙입니다.
./migrate_server import -v R82 -skip_upgrade_
tools_check [-l | -x] /<Full Path>/<Name of
Exported File>.tgz4. R82 Security Management Server에서 기능을 시험합니다.
SmartConsole로 R82 Security Management Server에 연결한 뒤, 관리 데이터베이스와 구성이 올바르게 업그레이드되었는지 확인합니다.
5. 기존 Security Management Server를 네트워크에서 분리합니다. — 기존 서버의 케이블을 뽑습니다.
6. 새 Security Management Server를 네트워크에 연결합니다. — 새 서버에 케이블을 연결합니다.
R82 Security Management Server에서 R82 Domain Management Server로 데이터베이스 옮기기
이 절차는 R82 Security Management Server의 전체 관리 데이터베이스를 내보내, R82 Multi-Domain Server 안의 한 Domain Management Server로 가져오는 작업입니다. 단일 관리에서 Multi-Domain 환경으로 통합해 들어갈 때 쓰는 길입니다.
원본 Security Management Server의 사전 조건
- 옮기려는 변경 사항을 모두 publish(게시) 했는지 확인합니다.
- 필요한 모든 프로세스가 실행 중인지 확인합니다.
cpwd_admin list의 STAT 열이 모든 프로세스에 대해E(executing)여야 합니다.
cpwd_admin list
- 활성 Security 로그(
$FWDIR/log/fw.log)와 Audit 로그($FWDIR/log/fw.adtlog)를 닫습니다.
fw logswitch
fw logswitch -audit
- 대상 Domain Management Server가 원본 Security Management Server와 다른 IP 를 가져야 한다면, 내보내기 전에 원본 데이터베이스를 미리 손봐야 합니다(아래 SmartConsole 작업).
SmartConsole에서 할 일(IP가 달라지는 경우):
- 대상 Domain Management Server의 새 IP 주소로 Host 오브젝트를 새로 만듭니다.
- 각 Security Policy에, 새 IP의 Host 오브젝트에서 관리 대상 게이트웨이·클러스터로 가는 특정 트래픽을 허용하는 Access Control 규칙 을 추가합니다. 규칙은 대략 다음과 같이 만듭니다.
| 항목 | 값 |
|---|---|
| No | 1 |
| Name | Traffic from new Domain Management Server to managed Gateways |
| Source | 새 IP 주소를 가진 Host 오브젝트 |
| Destination | 관리 대상 Security Gateway·Cluster의 해당 오브젝트들 |
| VPN | Any |
| Services & Applications | FW1, FW1_CPRID, CPD |
| Action | Accept |
| Track | None |
| Install On | Policy Targets |
- 갱신한 모든 Access Control 정책을 설치합니다.
대상 Multi-Domain Server의 사전 조건
- 여유 디스크 공간이 내보낼 데이터베이스 파일 크기의 최소 5배 이상이어야 합니다.
- 현재 Multi-Domain Server를 백업합니다.
- 대상 Multi-Domain Server에 새 Domain Management Server를 미리 만들지 마세요. 이 절차가 자동으로 만들어 줍니다.
- 필요한 라이선스를 설치합니다.
절차
1. 원본 R82 Security Management Server에서 데이터베이스를 내보냅니다.
내보내기 API를 실행합니다(Management API Reference에서 migrate-export-domain 검색).
migrate-export-domain예시:
mgmt_cli -d "System Data" migrate-export-domain file-
path "/var/log/SecMgmtServer_Export.tgz" include-logs
"false"내보낸 파일의 MD5를 계산합니다.
md5sum <Full Path to Export File>.tgz2. 내보낸 파일을 대상 R82 Multi-Domain Server로 전송합니다.
원본에서 대상 Multi-Domain Server의 적당한 디렉터리로 옮깁니다.
전송본의 MD5를 계산해 원본 값과 비교합니다.
md5sum <Full Path to Export File>.tgz3. 대상 Multi-Domain Server에서 Security Management Server 데이터베이스를 Domain Management Server로 가져옵니다.
충분한 라이선스가 있는지 확인한 뒤, 가져오기 API를 실행합니다(Management API Reference에서 migrate-import-domain 검색). 만들 Domain의 이름이 기존 Domain 이름과 충돌하지 않도록 주의합니다.
migrate-import-domain예시:
mgmt_cli -d "System Data" migrate-import-domain domain-
name "MyDomain3" domain-server-name "MyDomainServer3"
domain-ip-address "192.168.20.30" file-path
"/var/log/SecMgmtServer_Export.tgz" include-logs "false"가져온 뒤 필요한 데몬(FWM, FWD, CPD, CPCA)이 모두 up 상태로 PID를 표시하는지 확인합니다(pnd 도 허용).
mdsstatdown 상태인 데몬이 있으면 5~10분 기다린 뒤 재시작하고 다시 확인합니다.
mdsstop_customer <IP Address or Name of Domain
Management Server>
mdsstart_customer <IP Address or Name of Domain
Management Server>
mdsstat4. 관리자와 GUI 클라이언트를 다시 구성하고 할당합니다.
mdsconfig 로 Administrators, GUI clients 를 구성하고 메뉴를 빠져나온 뒤, 새 Domain에 할당합니다.
5. 원본 R82 Security Management Server를 멈춥니다. 원본 명령줄에 연결해 옮긴 서버를 정지합니다.
cpstop6. R82 Domain Management Server에서 기능을 시험합니다. SmartConsole로 Domain Management Server에 연결해 데이터베이스·구성이 올바르게 가져와졌는지 확인합니다.
7. 모든 관리 대상 게이트웨이·클러스터에 정책을 설치합니다.
8. 원본 R82 Security Management Server를 분리합니다. — 원본 서버를 네트워크에서 끊습니다.
9. 이전 전에 추가한 특수 Access Control 규칙을 삭제합니다.
- SmartConsole로 대상 Domain Management Server에 연결합니다.
- 각 Security Policy에서 이전 전에 추가했던 새 Host 오브젝트가 든 Access Control 규칙을 삭제합니다.
- 추가했던 Host 오브젝트도 삭제합니다.
- 모든 관리 대상 게이트웨이·클러스터에 정책을 설치합니다.
R82 Domain Management Server에서 R82 Security Management Server로 데이터베이스 옮기기
이 절차는 앞과 반대로, R82 Multi-Domain Server의 한 Domain Management Server에 있는 전체 데이터베이스를 내보내, R82 Security Management Server로 가져오는 작업입니다. 한 도메인을 떼어 독립 관리 서버로 만들 때 쓰는 길입니다.
원본 Domain Management Server의 사전 조건
- 현재 Multi-Domain Server를 백업합니다.
- 옮기려는 변경 사항을 모두 publish 했는지 확인합니다.
- 활성 Security 로그·Audit 로그를 닫습니다(먼저
mdsenv로 해당 컨텍스트로 들어간 뒤).
mdsenv <Name or IP Address of Domain Management Server>
fw logswitch
fw logswitch -audit
- 대상 Security Management Server가 원본 Domain Management Server와 다른 IP 를 가져야 한다면, 내보내기 전에 원본 데이터베이스를 미리 손봐야 합니다(아래 SmartConsole 작업).
SmartConsole에서 할 일(IP가 달라지는 경우):
- 대상 Security Management Server의 새 IP로 Host 오브젝트를 새로 만듭니다.
- 각 Security Policy에 새 IP의 Host 오브젝트에서 관리 대상 게이트웨이·클러스터로 가는 트래픽을 허용하는 Access Control 규칙을 추가합니다.
| 항목 | 값 |
|---|---|
| No | 1 |
| Name | Traffic from new Security Management Server to managed Gateways |
| Source | 새 IP 주소를 가진 Host 오브젝트 |
| Destination | 관리 대상 Security Gateway·Cluster의 해당 오브젝트들 |
| VPN | Any |
| Services & Applications | FW1, FW1_CPRID, CPD |
| Action | Accept |
| Track | None |
| Install On | Policy Targets |
- 갱신한 모든 Access Control 정책을 설치합니다.
대상 Security Management Server의 사전 조건
- R82 Security Management Server를 클린 설치 합니다(Security Management Server 설치 — 단독 또는 관리 HA의 Primary 참고).
- 필요한 라이선스를 설치합니다.
절차
1. 원본 R82 Multi-Domain Server에서 Domain Management Server를 내보냅니다.
내보내기 API를 실행합니다(Management API Reference에서 migrate-export-domain 검색).
migrate-export-domain예시:
mgmt_cli -d "System Data" migrate-export-domain domain
"MyDomain3" file-path "/var/log/MyDomain3_Export.tgz"
include-logs "false"내보낸 파일의 MD5를 계산합니다.
md5sum /<Full Path to Export File>.tgz2. 내보낸 파일을 대상 R82 Security Management Server로 전송합니다.
원본 Multi-Domain Server에서 대상 Security Management Server의 적당한 디렉터리로 옮깁니다(바이너리 모드). 전송본의 MD5를 계산해 원본 값과 비교합니다.
md5sum /<Full Path>/<Name of Exported File>.tgz3. 대상 R82 Security Management Server에서 Domain Management Server 데이터베이스를 가져옵니다.
| 단계 | 내용 |
|---|---|
| 1 | 대상 Security Management Server의 명령줄에 연결합니다. |
| 2 | Expert mode로 로그인합니다. |
| 3 | $MDS_FWDIR/scripts/ 디렉터리로 이동: cd $MDS_FWDIR/scripts/ |
| 4 | 관리 데이터베이스를 가져옵니다(아래 경우별 명령). |
| 5 | 필요한 데몬 상태 확인: cpwd_admin list (아래 설명). |
4단계의 가져오기 명령 — 인터넷에 연결되어 있으면:
./migrate_server migrate_import_domain -v R82
[-l | -x] /<Full Path>/<Name of Exported
File>.tgz인터넷에 연결되어 있지 않으면 -skip_upgrade_tools_check 를 붙입니다.
./migrate_server migrate_import_domain -v R82
-skip_upgrade_tools_check [-l | -x] /<Full
Path>/<Name of Exported File>.tgz자세한 내용은 R82 CLI Reference Guide 의 Security Management Server Commands 장 — migrate_server 절을 참고하세요.
5단계에서는 필요한 데몬(FWM, FWD, CPD, CPM)이 모두 E 상태로 PID를 표시하는지 확인합니다.
cpwd_admin listT 상태인 데몬이 있으면 5~10분 기다린 뒤 서버를 재시작하고 다시 확인합니다.
cpstart4. 관리자와 GUI 클라이언트를 다시 구성하고 할당합니다.
이번에는 Security Management Server이므로 mdsconfig 가 아니라 cpconfig 를 씁니다.
cpconfig명령을 실행합니다.- Administrators 를 구성합니다.
- GUI clients 를 구성합니다.
cpconfig메뉴를 빠져나옵니다.
5. 원본 R82 Domain Management Server를 멈춥니다. 원본 Multi-Domain Server의 명령줄에 연결해 옮긴 Domain Management Server를 정지합니다.
mdsstop_customer <IP address or Name of Domain
Management Server>6. 대상 R82 Security Management Server에서 기능을 시험합니다. SmartConsole로 대상 Security Management Server에 연결해 데이터베이스·구성이 올바르게 가져와졌는지 확인합니다.
7. 모든 관리 대상 게이트웨이·클러스터에 정책을 설치합니다.
8. 원본 R82 Domain Management Server를 삭제합니다. Multi-Domain Server를 백업했는지 다시 확인한 뒤(백업),
- SmartConsole로 원본 Multi-Domain Server의 MDS 컨텍스트 에 연결합니다.
- 왼쪽 탐색 패널 Multi Domain > Domains 를 클릭합니다.
- 옮긴 Domain Management Server 오브젝트를 우클릭하고 Delete 를 선택합니다.
9. 이전 전에 추가한 특수 Access Control 규칙을 삭제합니다.
- SmartConsole로 대상 Security Management Server에 연결합니다.
- 각 Security Policy에서 추가했던 새 Host 오브젝트가 든 규칙을 삭제합니다.
- 추가했던 Host 오브젝트도 삭제합니다.
- 모든 관리 대상 게이트웨이·클러스터에 정책을 설치합니다.
Multi-Domain Server·Multi-Domain Log Server의 IP 변경
이 절차는 Multi-Domain Server나 Multi-Domain Log Server의 현재 IP 주소를 바꾸는 작업입니다. IP는 관리 환경 전체의 통신·SIC·라이선스와 얽혀 있으므로, 여러 파일과 데이터베이스를 일관되게 고쳐야 합니다.
절차
1. 현재 R82 Multi-Domain Server / Multi-Domain Log Server를 백업합니다. (백업과 복원 참고)
2. 해당 인터페이스의 IP 주소를 바꿉니다.
3. 새 IP에 대한 새 라이선스를 설치합니다.
| 단계 | 내용 |
|---|---|
| 1 | Check Point User Center 계정에 접속합니다. |
| 2 | 서버의 새 IP에 대한 새 라이선스를 발급합니다. |
| 3 | 새 라이선스와 Support Contract 를 받습니다. |
| 4 | 서버의 MDS 컨텍스트 에서 새 라이선스와 Support Contract를 설치합니다(Working with Licenses 참고). |
4. 명령줄에 연결합니다.
| 단계 | 내용 |
|---|---|
| 1 | SSH 또는 시리얼 콘솔로 접속합니다. |
| 2 | superuser 자격으로 로그인합니다. |
| 3 | Expert mode로 로그인합니다. |
| 4 | MDS 컨텍스트로 이동: mdsenv |
5. MDS 컨텍스트의 모든 프로세스를 멈춥니다.
mdsstop -m모든 프로세스가 멈췄는지 확인합니다(데몬 FWM, FWD, CPD, CPCA 가 모두 down 이어야 함).
mdsstat -m6. MDS 데이터베이스의 IP 주소를 바꿉니다.
IP를 변경합니다.
$MDSDIR/bin/mdscmd change-mds-ip <Current IP
Address> <New IP Address> ipv4 -x예시:
$MDSDIR/bin/mdscmd change-mds-ip 192.168.20.30
172.30.40.50 ipv4 -x이어서 dleobjectderef_data 데이터베이스에 IP가 반영되었는지 확인합니다.
psql_client -c "select fwset from
dleobjectderef_data where cpmitable='mdss' and
not deleted and dlesession=0" -o
/tmp/dleobject.txt cpm postgrescat /tmp/dleobject.txt | egrep -w 'name|ipaddr'출력 예:
:name (My_MDS_Server)
:ipaddr (172.30.40.50)다음으로 cpnetworkobject_data 데이터베이스도 확인합니다.
psql_client -c "select name, ipaddress4 from
cpnetworkobject_data where not deleted and
dlesession=0" -o /tmp/cpnetworkobject.txt cpm
postgrescat /tmp/cpnetworkobject.txt출력 예:
name | ipaddress4
--------------+--------------
My_MDS_Server | 172.30.40.507. $MDSDIR/conf/external.if 파일을 수정합니다.
| 단계 | 내용 |
|---|---|
| 1 | 현재 파일 백업: cp -v $MDSDIR/conf/external.if{,_BKP} |
| 2 | 편집: vi $MDSDIR/conf/external.if |
| 3 | 현재 인터페이스 이름을, 메인 IPv4 주소를 구성한 주 인터페이스 이름 으로 바꿉니다. |
| 4 | 변경을 저장하고 vi를 빠져나옵니다. |
| 5 | 각 기존 Domain Management Server 컨텍스트로 이동: mdsenv <IP Address or Name of Domain Management Server> |
| 6 | vip_index.conf 백업: cp -v $FWDIR/conf/vip_index.conf{,_BKP} |
| 7 | 편집: vi $FWDIR/conf/vip_index.conf |
| 8 | 현재 인터페이스 이름을 주 인터페이스 이름으로 바꿉니다. |
| 9 | 변경을 저장하고 vi를 빠져나옵니다. |
8. $MDSDIR/conf/LeadingIP 파일을 수정합니다.
| 단계 | 내용 |
|---|---|
| 1 | 백업: cp -v $MDSDIR/conf/LeadingIP{,_BKP} |
| 2 | 편집: vi $MDSDIR/conf/LeadingIP |
| 3 | 현재 IP를 새 IP로 바꿉니다. |
| 4 | 저장하고 편집기를 빠져나옵니다. |
9. $MDSDIR/conf/mdsdb/mdss.C 파일을 수정합니다.
| 단계 | 내용 |
|---|---|
| 1 | 백업: cp -v $MDSDIR/conf/mdsdb/mdss.C{,_BKP} |
| 2 | 편집: vi $MDSDIR/conf/mdsdb/mdss.C |
| 3 | 현재 IP를 가진 서버 오브젝트를 찾습니다. |
| 4 | 오브젝트의 IP를 새 IP로 바꿉니다. |
| 5 | 오브젝트의 이름은 바꾸지 않습니다. |
| 6 | 저장하고 편집기를 빠져나옵니다. |
10. $SMARTLOGDIR/smartlog_settings.txt 파일을 수정합니다.
| 단계 | 내용 |
|---|---|
| 1 | 백업: cp -v $SMARTLOGDIR/smartlog_settings.txt{,_BKP} |
| 2 | 편집: vi $SMARTLOGDIR/smartlog_settings.txt |
| 3 | 아래 파라미터에서 현재 IP를 새 IP로 바꿉니다. |
| 4 | 저장하고 편집기를 빠져나옵니다. |
3단계에서 바꿀 위치는 다음과 같습니다.
- 파라미터
:server_port () :connections>:domain>:management> 파라미터:name ():connections>:domain>:log_servers> 파라미터:name ()
11. $INDEXERDIR/log_indexer_custom_settings.conf 파일을 수정합니다.
| 단계 | 내용 |
|---|---|
| 1 | 백업: cp -v $INDEXERDIR/log_indexer_custom_settings.conf{,_BKP} |
| 2 | 편집: vi $INDEXERDIR/log_indexer_custom_settings.conf |
| 3 | 위 10단계와 같은 파라미터(:server_port (), :management의 :name (), :log_servers의 :name ())에서 IP를 새 IP로 바꿉니다. |
| 4 | 저장하고 편집기를 빠져나옵니다. |
12. MDS 컨텍스트의 모든 프로세스를 시작합니다.
mdsstart -m모든 프로세스가 시작되었는지 확인합니다(데몬 FWM, FWD, CPD, CPCA 가 모두 up 이고 PID 표시).
mdsstat -m13. 모든 기존 Domain Management Server와 Domain Log Server의 IP를 바꿉니다. 아래 Domain Management Server·Domain Log Server의 IP 변경 절차를 따릅니다.
알아 둘 점
Domain Management Server·Domain Log Server의 IP 변경
이 절차는 다음의 현재 IP 주소를 바꿉니다.
- Multi-Domain Server에 있는 Domain Management Server
- Multi-Domain Log Server에 있는 Domain Log Server
절차
1. 현재 R82 Multi-Domain Server / Multi-Domain Log Server를 백업합니다. (백업과 복원 참고)
2. 모든 SmartConsole 애플리케이션을 닫습니다. — 해당 서버에 연결된 모든 GUI 클라이언트를 닫아야 합니다.
3. 명령줄에 연결합니다.
| 단계 | 내용 |
|---|---|
| 1 | SSH 또는 시리얼 콘솔로 접속합니다. |
| 2 | superuser 자격으로 로그인합니다. |
| 3 | Expert mode로 로그인합니다. |
| 4 | MDS 컨텍스트로 이동: mdsenv |
4. 해당 Domain Management Server / Domain Log Server를 멈춥니다.
서비스를 멈춥니다.
mdsstop_customer <Name or IP of Domain Management
Server or Domain Log Server>해당 컨텍스트에서 서비스가 멈췄는지 확인합니다(데몬 FWM, FWD, CPD, CPCA 가 모두 down).
mdsstat5. MDS 데이터베이스의 IP 주소를 바꿉니다.
$MDS_TEMPLATE/scripts/change_cma_ip.sh -n <Name of
Domain Management Server or Domain Log Server
object> -i <New IP Address>예시:
$MDS_TEMPLATE/scripts/change_cma_ip.sh -n My_
Domain_Server -i 172.30.40.55여러 Domain Management Server나 Domain Log Server의 IP를 한 명령으로 한꺼번에 바꿀 수도 있습니다.
- 해당하는 모든 컨텍스트에서 서비스가 멈춰 있는지 확인합니다.
- 서버 이름과 새 IPv4 주소 쌍을(쉼표로 구분) 담은 평문 파일을 만듭니다. 예:
MyDomainManagementServer_1, 172.30.40.51
MyDomainManagementServer_2, 172.30.40.52
MyDomainManagementServer_3, 172.30.40.53
- 다음 명령을 실행합니다.
$MDS_TEMPLATE/scripts/change_cma_ip.sh -f
/<Path To>/<File>
6. $SMARTLOGDIR/smartlog_settings.txt 파일을 수정합니다.
| 단계 | 내용 |
|---|---|
| 1 | 해당 컨텍스트로 이동: mdsenv <Name or IP of Domain Management Server or Domain Log Server> |
| 2 | 백업: cp -v $SMARTLOGDIR/smartlog_settings.txt{,_BKP} |
| 3 | 편집: vi $SMARTLOGDIR/smartlog_settings.txt |
| 4 | 아래 파라미터에서 IP를 새 IP로 바꿉니다. |
| 5 | 저장하고 편집기를 빠져나옵니다. |
바꿀 위치는 :server_port (), :connections > :domain > :management > :name (), :connections > :domain > :log_servers > :name () 입니다.
7. $INDEXERDIR/log_indexer_custom_settings.conf 파일을 수정합니다.
| 단계 | 내용 |
|---|---|
| 1 | 해당 컨텍스트로 이동: mdsenv <Name or IP of Domain Management Server or Domain Log Server> |
| 2 | 백업: cp -v $INDEXERDIR/log_indexer_custom_settings.conf{,_BKP} |
| 3 | 편집: vi $INDEXERDIR/log_indexer_custom_settings.conf |
| 4 | 위 6단계와 같은 파라미터(:server_port (), :management의 :name (), :log_servers의 :name ())에서 IP를 새 IP로 바꿉니다. |
| 5 | 저장하고 편집기를 빠져나옵니다. |
8. 해당 Domain Management Server / Domain Log Server를 시작합니다.
서비스를 시작합니다.
mdsstart_customer <Name or IP of Domain Management
Server or Domain Log Server>필요한 데몬(FWM, FWD, CPD, CPCA)이 모두 up 이고 PID를 표시하는지 확인합니다(pnd 도 허용).
mdsstatdown 인 데몬이 있으면 5~10분 기다린 뒤 재시작하고 다시 확인합니다.
mdsstop_customer <IP Address or Name or IP of
Domain Management Server or Domain Log Server>
mdsstart_customer <IP Address or Name or IP of
Domain Management Server or Domain Log Server>
mdsstat알아 둘 점
Multi-Domain Server 환경의 IPS
Multi-Domain Server를 R7x에서 R82로 업그레이드하면, 처음 Global Policy를 할당하는 순간 이전 Domain IPS 구성이 덮어써집니다. Global Domain과 각 Domain의 IPS 구성이 어떻게 맞물리는지를 미리 이해해 두어야 합니다.
이런 작업들은 대개 일회성·고위험이라, 반드시 백업을 먼저 받고 진행하세요. 다음은 게이트웨이 쪽의 특수 배포 — Monitor·Bridge Mode입니다.