Procédure de mise à niveau pour le cloud privé de terminaux sécurisés AirGapped (virtuel et appareil)
Contenu
Introduction
Conditions préalables Conditions requises Components Used Configuration
Étape 1. Télécharger la mise à jour ISO Pour Windows :
Pour Linux (CentOS)
Étape 2. Prendre la sauvegarde Étape 3 - Montez l'ISO
Cloud privé virtuel
Appliance de cloud privé
Étape 4 - Mettez à niveau le cloud privé Télécharger la mise à jour Delta
Instructions de montage ISO héritées Appliance de cloud privé
Pour la version 3.1.x du logiciel de l'appliance - 3.2.x
Guide de l'utilisateur des terminaux sécurisés pour le cloud privé
Introduction
Ce document décrit le processus de mise à niveau du cloud privé Secure Endpoint vers la dernière version 3.6.0.
Conditions préalables
Conditions requises
Cisco vous recommande de prendre connaissance des rubriques suivantes : Secure Endpoint VPC dans la version 3.0.2 sans protectionDB importée
●
SSD d'environ 1 To relié au VPC
●
Système Windows 10 pour générer la mise à jour/mise à niveau ISO, utiliser Cygwin avec l'utilitaire amp-sync installé
●
Facultatif: WinSCP pour transférer l'ISO du système de fenêtres vers l'appliance Secure Endpoint ou le VPC Secure Endpoint (nous pouvons également monter l'appliance ISO vers Secure Endpoint via l'accès CIMC de l'appliance Secure Endpoint)
●
Connaissance de base des systèmes de fichiers et des commandes Linux telles que mount, umount, df, lsblk.
●
Components Used
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Secure Endpoint VPC version 3.0.2
●
Fenêtre 10 VM
●
WinSCP
●
Utilitaire amp-sync qui peut être téléchargé à partir de Operation > Update Device dans l'appliance Secure Endpoint ou l'interface utilisateur graphique de l'administrateur VPC
●
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Configuration
Étape 1. Télécharger la mise à jour ISO
Utilisation de l'outil amp-sync sur Windows et la plate-forme Linux pour télécharger les paquets requis et les regrouper dans un fichier ISO.
Document de référence : https://docs.amp.cisco.com/AMPPrivateCloudAdminGuide-latest.pdf Pour Windows :
1. Téléchargez l'application Cygwin à l'adresse : https://cygwin.com/index.html Remarque : Cygwin est une application tierce pour les machines Windows.
2. Démarrez l'installation et sélectionnez les paquets suivants sur Cygwin : curl, genisoimage et xmlstarlet.
3. Téléchargez le script amp-sync à partir de la page d'administration VPC Secure Endpoint : Operations > Update Device, comme illustré dans l'image.
4. Copiez l'amp-sync dans le répertoire.
C:\cygwin\home\%username%\ Example: C:\cygwin64\home\sumram-amp-window
5. Cygwin64 a été utilisé ici dans ce scénario pour générer l'ISO de mise à jour/mise à niveau.
6. Afin d'afficher l'aide de amp-sync.
./amp-sync -h
7. Afin de télécharger toutes les mises à jour, vérifiez-les, et mettez-les dans une ISO.
./amp-sync all
Cette étape est requise pour le déploiement nouveau ou actuel. Vous pouvez utiliser l'option delta
pour réduire la taille de l'ISO.
8. Étant donné que amp-sync vérifie d'abord les ressources locales avant le téléchargement des packages à partir du référentiel Cisco, il est recommandé d'utiliser amp-sync ultérieurement pour les futures mises à niveau, sur une machine qui a été utilisée précédemment pour générer la mise à jour ISO afin d'éviter tout retard (incrémentiel par nature).
9. Après le téléchargement complet des packages et des mises à jour requis, l'ISO est générée et enregistrée dans C:\cygwin\home\%username%\.
C:\cygwin\home\%username%\
Pour Linux (CentOS)
1. Afin d'activer la référence EPEL.
wget http://download.fedoraproject.org/pub/epel/6/x86_64/epelrelease-6-8.noarch.rpm
2. Si l'URL ne fonctionne pas, utilisez les autres URL.
https://centos.pkgs.org/6/centos-extras-i386/epel-release-6-8.noarch.rpm.html
3. Vous pouvez également installer l'EPEL dans la cmd.
yum install epel-release
4. Installer d'autres dépendances via yum.
yum install curl yum install genisoimage yum install xmlstarlet
5. Téléchargez amp-sync à partir de votre périphérique de cloud privé et transférez-le sur votre hôte de mise à jour. Sur votre hôte de mise à jour, exécutez la commande suivante.
chmod 700 amp-sync
6. Afin d'afficher l'aide amp-sync.
./amp-sync -h
7. Afin de télécharger toutes les mises à jour, vérifiez-les, et mettez-les dans une ISO.
./amp-sync all
8. Vous devez exécuter amp-sync all lors de la première installation du périphérique de cloud privé en mode autonome afin de recevoir la base de données Protect.
Étape 2. Prendre la sauvegarde
1. Effectuez la sauvegarde du VPC 3.0.2 actuel en mode Airgap.
[root@fireamp ~]# rpm -qa | grep Pri AMP-PrivateCloud-content-3.0.2.20181206114527-0.x86_64 AMP- PrivateCloud-V-3.0.2_1544122167-0.x86_64 [root@fireamp ~]#
2. Accédez à Opérations > Sauvegardes, comme illustré dans l'image.
3. Le fichier de sauvegarde se trouve dans le répertoire suivant.
[root@fireamp ~]# ll -h /data/backups/ total 4.9G -rw-r--r--. 1 root root 707M Nov 10 00:00 amp- backup-20201110-0000.02.bak -rw-r--r--. 1 root root 707M Nov 11 00:00 amp-backup-20201111- 0000.02.bak -rw-r--r--. 1 root root 707M Nov 12 00:00 amp-backup-20201112-0000.02.bak -rw-r--r-- . 1 root root 707M Nov 13 00:00 amp-backup-20201113-0000.02.bak -rw-r--r--. 1 root root 707M Feb 21 00:00 amp-backup-20210221-0000.02.bak -rw-r--r--. 1 root root 707M Mar 3 02:32 amp-backup- 20210303-0232.09.bak -rw-r--r--. 1 root root 707M Mar 4 00:00 amp-backup-20210304-0000.03.bak [root@fireamp ~]# [root@fireamp ~]#
4. Enregistrez le fichier de sauvegarde dans un référentiel externe.
5. Assurez-vous que le périphérique VPC Secure Endpoint répond aux exigences matérielles.
L'exemple ci-dessous montre une notification de redimensionnement sur la page admin, comme le montre l'image.
Étape 3 - Montez l'ISO
Cloud privé virtuel
Montage d'une ISO via vSphere
1. Téléchargez votre fichier ISO dans le stockage de vSphere accessible par votre machine virtuelle
2. Accédez à votre machine virtuelle et ouvrez le menu Modifier les paramètres
3. Dans le menu déroulant à droite de « lecteur CD/DVD 1 », basculez pour utiliser « Fichier ISO du data store »
4. Accédez au fichier ISO téléchargé dans vSphere à l'étape 1 et sélectionnez-le.
5. Une fois le fichier ISO sélectionné, assurez-vous que la case “ Connected ” à côté de la liste déroulante “ Datastore ISO file ” est cochée, ainsi que la case “ Connect at Power On ” à droite de Status. Appuyez sur OK pour confirmer le montage ISO.
6. Ouvrez un interpréteur de commandes et accédez à distance à votre appliance de cloud privé.
7. Exécutez amp-ctl iso -m.
8. Vérifiez deux fois les informations de montage ISO avec amp-ctl iso -i, ce qui devrait montrer que l'ISO se trouve sur /dev/sr0.
Utilisez la commande lsblk pour vérifier deux fois.
Avant montage :
Après montage :
9. L'appliance peut désormais être vérifiée pour les mises à niveau et mises à niveau.
Montage d'une ISO via NFS
Remarque : cette méthode n'est disponible que sur le logiciel Private Cloud Standalone Airgap version 3.3 ou ultérieure.
Télécharger votre fichier ISO sur un serveur NFS 1.
Monter l'ISO, soit via le portail d'administration, soit via l'interpréteur de commandes distant Via le portail Administration (Méthode préférée) : Accédez à Opérations > Monter ISO.
Choisissez le type de montage, renseignez les informations Partage à distance et Fichier ISO distant, puis cliquez sur Monter, comme illustré dans l'image.Par le biais du shell distant : Ouvrez un interpréteur de commandes et accédez à distance à votre appliance de cloud privé. Exécutez amp-ctl iso -m -t file_server_uri iso_file, où file_server_uri est l'URI du partage distant, et iso_file est le nom du fichier ISO. Exemple :
2.
L'appliance peut désormais être vérifiée pour les mises à niveau et mises à niveau.
Appliance de cloud privé
1. Si vous disposez d'un appareil AMP, vous pouvez également monter l'ISO via l'accès CIMC, comme illustré dans l'image.
Procédez au montage de l'ISO avec amp-ctl iso -m dans le shell distant, ou via la page ISO de montage comme indiqué ci-dessus dans les instructions « Montage d'une ISO via NFS ».
Étape 4 - Mettez à niveau le cloud privé
1. Opadmin Portal avant la mise à niveau, comme l'illustre l'image.
2. Opadmin Portal après la sélection de Check Update ISO.
3. Les mises à jour de contenu/protectionDB/logiciel peuvent être effectuées à l'aide de la commande amp-ctl.
Remarque : reportez-vous au Guide de l'utilisateur : Guide de l'utilisateur des terminaux sécurisés pour le cloud privé.
4. Pour mettre à niveau le contenu, le mode de maintenance doit être désactivé sur VPC 5. Une fois que vous avez cliqué sur le contenu de mise à jour.
[root@fireamp ~]# rpm -qa | grep -i Private AMP-PrivateCloud-content-20210228231625-0.x86_64 AMP-PrivateCloud-V-3.0.2_1544122167-0.x86_64 [root@fireamp ~]#
6. Une fois que Import Protected DB est sélectionné, tcela met le périphérique en mode maintenance, comme le montrent les images.
7. Une fois Update Software sélectionné, le périphérique doit être en mode maintenance.
[root@fireamp ~]# rpm -qa | grep -i Priv AMP-PrivateCloud-V-3.3.0_202102032120-0.x86_64 AMP- PrivateCloud-content-20210228231625-0.x86_64 [root@fireamp ~]#
Note : Comme la taille de la mise à niveau ISO était d'environ 280 G, un disque externe au VPC a été ajouté/monté et transféré à la mise à niveau/mise à jour ISO, afin d'éviter toute épuisement de l'espace disque.
Télécharger la mise à jour Delta
Afin de télécharger les mises à jour delta à partir de Protect DB et de Content, commencez par découvrir la version Protect DB actuelle installée dans votre appliance de cloud privé. Ces informations sont disponibles dans Opadmin Portal > Update Device.
La version Protect DB installée de cet exemple est 20210405-2045, les mises à jour de téléchargement démarrent sur cette version.
./amp-sync all -X -M 20210405-2045
Le répertoire par défaut de la commande amp-sync est /home/<user>/amp-sync-data. Vous pouvez modifier ce paramètre par la commande export AMP_SYNC_DATA_DIR=</dir_you_want>.
Si le répertoire non par défaut est utilisé, vous devez définir l'emplacement de sortie (ISO).
./amp-sync all -X -M 20210405-2045 -o /run/media/pc_protectdb/pc_delta.iso
Instructions de montage ISO héritées
Avertissement : ne suivez pas ces instructions pour les versions de cloud privé ultérieures à la version 3.5, car ces instructions antérieures à la version 3.5 provoquent l'échec de la mise à niveau logicielle.
1. Transférez la dernière ISO générée avec amp-sync au VPC.
/data/tmp
Remarque : étant donné que le processus de mise à niveau peut prendre un certain temps, il est recommandé d'utiliser une clé USB ou un disque dur connecté localement au VPC ou de transférer l'ISO sur le chemin spécifié, afin d'éviter toute interruption due au réseau.
2. Montez le fichier ISO sur le chemin suivant.
/data/updates/
3. Avant montage :
4. Après montage :
mount /data/tmp/PrivateCloud-3.0.2-Updates-2021-03-01-prod.iso /data/updates/
Appliance de cloud privé
Pour la version 3.1.x du logiciel de l'appliance - 3.2.x
Méthode A
1. Copiez l'ISO sur l'appareil avec SCP.
scp PrivateCloud-3.1.0-Updates-2020-08-12-qa.iso root@
2. Connectez-vous à la console de l'appliance et montez l'ISO dans /data/update et /data/iso.
[root@fireamp ~]# mount -o loop -r -t udf /other/PrivateCloud-3.1.0-Updates-2020-08-12-qa.iso /data/updates [root@fireamp ~]# mount -o loop -r -t udf /other/PrivateCloud-3.1.0-Updates-2020- 08-12-qa.iso /data/iso
3. Accédez à opdamin UI pour effectuer la mise à jour Operations > Update Device > Cliquez sur Check update ISO.
Note: Une fois la mise à jour terminée, montez iso et supprimez l'ISO locale.
[root@fireamp ~]# umount /data/updates/ [root@fireamp ~]# umount /data/iso/
[root@fireamp ~]# rm -f /other/PrivateCloud*iso Méthode B
1. Si vous disposez d'un appareil AMP, vous pouvez également monter l'ISO via l'accès CIMC, comme illustré dans l'image.
