Updateverfahren eines UTM-Clusters

notempty

Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!

notempty

Der Artikel für die neueste Version steht hier

notempty

Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Reseller-Preview bezieht

Beschreibung des Updateverfahrens für Securepoint NextGen-UTM-Systeme im Betrieb als Cluster

Letzte Anpassung: 12.4

Neu:

Es kann ein manueller Download der neuesten Firmware ausgelöst werden
Die aktuelle Firmware kann direkt an den Clusterpartner übertragen werden
Hinweis zur Reihenfolge (Hover-Text bei )

notempty

Dieser Artikel bezieht sich auf eine Resellerpreview

11.7

Voraussetzungen

Software

Die Systeme sind immer auf den aktuellen Release-Stand zu halten. Bei einem Update von einem alten Release-Stand kann es zu unvorhersehbaren Verhalten kommen.

Nur in der aktuellen Version sind die neusten Funktionen, Sicherheits-Erweiterungen und Fehlerkorrekturen enthalten.

Changelog

Vor der Durchführung eines Updates sollte das Changelog geprüft werden, da es zu Änderungen der Cluster-Funktionalität kommen kann.
Das Changelog ist unter der folgenden URL zu finden:
http://wiki.securepoint.de/index.php/UTM/Changelog

Fehlerfreiheit

Auf den UTM-Systemen sollten keine Fehler oder Störungen vorliegen.

Im Zweifel den Support vor der Durchführung des Updates kontaktieren.

Test der Cluster-Funktion

Bevor das Update auf dem Cluster-System durchgeführt wird, ist die Funktionsfähigkeit (siehe Beschreibung "Test-Verfahren") mit der aktuellen Version zu prüfen.
Sollte der Test nicht erfolgreich sein kann es zu Störungen im Update-Vorgang kommen.

Den Support zur weiteren Fehleranalyse kontaktieren.

Konfigurationssicherung

Vor dem Update der UTM-Systeme sollte sichergestellt werden, dass aktuelle Konfigurationen vorhanden sind und diese im Notfall importiert werden können.

Durchführung

Die Firmware-Versionen der UTMs in einer Cluster-Konfiguration müssen immer identisch sein. Folgende Hinweise sollten deshalb beachtet werden:

Szenario 1: Online Update

Dieses Szenario setzt voraus das sich beide Systeme die aktuellste Firmware-Version selbständig heruntergeladen haben.

Schritt 1

Das Update muss auf beiden UTM-Systemen zur Aktivierung angeboten werden.
Zunächst wird das Update auf der Spare aktiviert.

Die Installation zunächst auf der Spare ermöglicht z.B. eine Prüfung der Einstellungen und Hardware-Kompatibilität

Falls noch kein Update automatisch verteilt wurde, kann dieses über Schaltfläche Neueste Firmware herunterladen bezogen werden

Neu ab v12.4

Schritt 2

Nachdem das Update auf der Spare installiert wurde, wird das Webinterface der Spare-UTM aufgerufen und geprüft, ob das Update ordnungsgemäß installiert wurde.

Firmware Übertragen: Clusterkonfiguration / Reiter Management

Die soeben installierte Firmware Version kann nun an die Master als Verfügbare Version übertragen werden:
Menü Reiter Management Schaltfläche Firmware synchronisieren

Neu ab v12.4

Schritt 3

Nun kann das Update auf der Master installiert werden. Während der Installation des Updates wird die Master-UTM zwischenzeitlich neu gestartet, hierbei sollte die Spare-UTM die Rolle der aktiven UTM-Firewall im Cluster einnehmen.

Schritt 4

Sobald das Update auf der Master-UTM erfolgreich installiert wurde und diese wieder hochgefahren ist, sollte sie wieder die Rolle der aktiven UTM übernehmen.
Auch hier sollte das Webinterface der Master-UTM aufgerufen werden, um zu überprüfen, ob alle Funktionen ordnungsgemäß funktionieren.

Szenario 2: Offline Update

Diese Variante findet bei Systemen ohne aktive Internet-Verbindung Anwendung.

Schritt 1

Steht das Online-Update nicht zur Verfügung, muss das Update auf der Spare-UTM manuell installiert werden.
Eine Anleitung für das Updaten einer UTM-Firewall ist hier zu finden.

Für das Update kann das Image Interaktive Installation verwendet werden.

Die Images sind immer im Securepoint Reseller Portal zu finden.
Das Reseller Portal ist unter folgender URL zu erreichen: https://my.securepoint.de

Schritt 2

Wie in der Anleitung zu lesen, sollte hierbei auf die Interaktion gewartet werden. Für das Update muss die Option Upgrade ausgewählt werden.
Nachdem das Update auf der Spare-UTM installiert wurde, wird das Webinterface der Spare-UTM aufgerufen und geprüft, ob das Update ordnungsgemäß installiert wurde.

Schritt 3

Nach erfolgreicher Prüfung kann das Update auf der Master-UTM durchgeführt werden.
In der Zeit der Aktualisierung übernimmt die Spare-UTM die Cluster-Funktion.

Schritt 4

Sobald das Update auf der Master-UTM erfolgreich installiert wurde und diese wieder hochgefahren ist, sollte sie wieder die Rolle der aktiven UTM übernehmen.
Auch hier sollte das Webinterface der Master-UTM aufgerufen werden, um zu überprüfen, ob alle Funktionen ordnungsgemäß funktionieren.

Test der Cluster-Funktionalität

Nachdem bei den UTMs das Update installiert wurde, sollte noch die Cluster-Funktionalität bei einem Ausfall der HA-Schnittstellen getestet werden, um sicherzustellen, dass das Cluster sich im Fehlerfall ordnungsgemäß verhält.

Sollten nach dem Update Probleme auftreten, kann ein Rollback auf die vorherige Version durchgeführt werden!

Simulation: Ausfall der Master-UTM

Test: Die Master-UTM ist über die Oberfläche ordnungsgemäß herunterzufahren.
Erwartetes Verhalten: Die Spare-UTM übernimmt die Funktion.

Simulation: Ausfall einer HA-Schnittstelle auf der Master-UTM

Test: Das Netzwerkkabel ist aus einer HA gekennzeichneten Schnittstelle zu entfernen.
Erwartetes Verhalten: Die Spare-UTM übernimmt die Funktion.
Bemerkung: Dieser Test sollte mit jeder HA-Schnittstelle durchgeführt werden.

Synchronisation der Konfiguration

Test: Nach dem erfolgreichen Test ist die Synchronisation der Konfiguration zwischen Master- und Spare-UTM zu testen.
Erwartetes Verhalten: Die Synchronisation der Konfiguration erfolgt ohne Fehler.