Mises à jour manuelles

Les étapes de mise à niveau manuelle suivantes peuvent être utilisées en cas d'échec de la mise à niveau automatique.

1. Mise à niveau manuelle pour PANW

Les composants opérationnels suivants sont mis à niveau lors de cette étape.

Champ d'application Composants actionnables
Infrastructure PANW

Cette mise à niveau entraîne des interruptions de trafic minimales pour les connexions externes, avec un temps d'arrêt d'environ une minute. Ces mises à niveau sont manuelles. PANW fonctionne en mode haute disponibilité (HA).

1.1. Définitions

Les versions du logiciel de pare-feu Palo Alto sont indiquées au format X.Y.Z.

Version logicielle Format
Version FONCTION X.Y
Version de MAINTENANCE DE BASE X.Y.0
DERNIÈRE VERSION DE MAINTENANCE pour une version de fonctionnalité donnée X.Y.Z : Z est la dernière version de maintenance pour la future version X.Y.

1.2. Procédure de mise à niveau

1.2.1. Chemin de mise à niveau

Avant de continuer, identifiez le cas qui décrit vos besoins : cas 1, cas 2 ou cas 3 :

  • Cas 1 : X.Y est la version ciblée.
  • Cas de figure 2 : X.Y n'est pas la version ciblée.
  • Cas 3 : La version du pare-feu est X.Y, où X.Y est la dernière version de FONCTIONNALITÉ pour X.

Les descriptions suivantes des cas 1, cas 2 et cas 3 indiquent les chemins de mise à niveau correspondants.

Cas Description et action
Cas 1
X.Y est la version vers laquelle vous souhaitez effectuer la mise à niveau (et non la version cible).
Téléchargez et installez la version de MAINTENANCE ciblée pour X.Y : X.Y(Z2).
Cas 2
X.Y n'est pas la version vers laquelle vous souhaitez effectuer la mise à niveau (il ne s'agit pas de la version cible).
Téléchargez et installez la DERNIÈRE version de maintenance pour X.Y : X.Y.Z1
Téléchargez la version BASE MAINTENANCE : X.(Y+1).0

Si X.(Y+1) est la version FEATURE ciblée,
Si X.(Y+1) n'est pas la version FEATURE ciblée,
  • Si X.(Y+1) est la dernière version FEATURE pour X, passez à la Cas 3.
Cas 3
La version du pare-feu est X.Y, où X.Y correspond à la dernière version de FONCTIONNALITÉ pour X.
Téléchargez la version BASE MAINTENANCE : (X+1).0.0
Revenez à l'étape 1.

Pour en savoir plus sur la procédure de mise à niveau, en plus des informations fournies ici, consultez https://www.paloaltonetworks.com/.

1.2.2. Configurer la mise à niveau

Distributed Cloud utilise deux pare-feu. Avant de commencer une mise à niveau, vérifiez que les deux pare-feu sont de la même version. Si ce n'est pas le cas, effectuez les mises à niveau nécessaires pour que leurs versions soient identiques avant de commencer une mise à niveau des deux vers la prochaine version cible. Effectuez cette opération chaque fois que vous prévoyez d'effectuer une mise à niveau.

  1. Assurez-vous que les deux pare-feu fonctionnent correctement :
    1. Dans le tableau de bord, vérifiez que la haute disponibilité (HA) est indiquée en vert.
    2. Vérifiez qu'aucun lien n'est indisponible sur le réseau.

  2. Sauvegardez les configurations sur les deux pare-feu.

  3. Accédez à Appareil > Haute disponibilité.

  4. Recherchez l'onglet Commandes opérationnelles au début de la page Appareil, puis cliquez dessus.

    1. Dans le volet de navigation, recherchez Haute disponibilité, puis cliquez dessus.
    2. Lorsque l'option Suspendre l'appareil local pour la haute disponibilité s'affiche, cliquez dessus.

    Suspendre l'appareil local pour la haute disponibilité

    Figure 1 : Suspendre la haute disponibilité

  5. Vérifiez que l'état renvoyé du pare-feu local est suspended.

    Valider

    Figure 2. Vérifier que le pare-feu est suspendu

  6. Mettez à niveau le pare-feu.

  7. Récupérer l'état suspended : cliquez sur Rendre l'appareil local disponible pour la haute disponibilité.

    Rendre la haute disponibilité disponible

    Figure 3. Rendre la haute disponibilité disponible

    Revenez à la première étape et répétez la procédure pour le deuxième pare-feu, en suivant votre chemin de mise à niveau.

1.3. Exemple de détails de la procédure de mise à niveau

  1. Vérifiez la version actuelle de PAN-OS.

    show system info | match sw-version

    Si le PAN-OS n'est pas sur la version logicielle ciblée, mettez à niveau l'appareil.

  2. Suivez la procédure de mise à niveau spécifique au chemin d'accès fournie.

  3. Pour vérifier votre chemin de mise à niveau, consultez-le sur le site Web paloaltonetworks.com à l'adresse https://docs.paloaltonetworks.com/pan-os/10-1/pan-os-upgrade/upgrade-pan-os/upgrade-the-firewall-pan-os/determine-the-upgrade-path.html depuis votre ordinateur local avant de continuer.

  4. Assurez-vous que l'appareil est enregistré et dispose d'une licence.

  5. Recherchez le dernier micrologiciel à extraire :

    gdcloud artifacts tree ${ARTIFACTS_ROOT}/oci | grep "gdch-firewall"

    Le nom du fichier contient la version de compilation. Exemple de résultat :

    │   │   └── gdch-firewall/os:1.10.0-gdch.1426

    Dans l'exemple précédent, la version de compilation est 1.10.0-gdch.1426.

  6. Copiez le nom du fichier et extrayez le micrologiciel. Exemple :

    1. Copiez gdch-firewall/os:1.10.0-gdch.1426 comme nom de fichier. Utilisez cette valeur pour remplacer FIRMWARE_FILENAME dans la commande suivante :

      export FW_FIRMWARE_TAR_FILENAME=FIRMWARE_FILENAME

    2. Extrayez le micrologiciel de l'image OCI :

      gdcloud artifacts extract ${ARTIFACTS_ROOT}/oci firmware \
    --image-name=${FW_FIRMWARE_TAR_FILENAME:?}

      Remplacez FW_FIRMWARE_TAR_FILENAME par le nom du fichier tar du micrologiciel du pare-feu.

    3. Extrayez le micrologiciel :

      tar -xvf firmware/gdch-firewall/os.tar.gz

  7. Rassemblez le fichier de mise à niveau de l'OS et importez-le sur le pare-feu pour commencer la mise à niveau.

Console

  1. Établissez une connectivité IP avec le pare-feu et votre ordinateur local, puis accédez à l'interface utilisateur.

  2. Pour importer le logiciel dans le pare-feu, sélectionnez Device > Software (Appareil > Logiciel), puis cliquez sur Upload (Importer) en bas de la page.

    Importer des mises à jour dynamiques

    Figure 4. Importer des mises à jour logicielles

  3. Une fois le logiciel importé, il apparaît comme disponible dans le tableau et une action permettant de l'installer s'affiche.

  4. Téléchargez les dernières mises à jour dynamiques depuis la catégorie Applications (menu déroulant) sur https://support.paloaltonetworks.com/Updates/DynamicUpdates.

  5. Importez les mises à jour dynamiques dans le pare-feu en cliquant sur Importer. Vous n'aurez peut-être à effectuer cette étape qu'une seule fois.

  6. Installez le contenu importé depuis le fichier : cliquez sur Installer à partir du fichier.

    Installer à partir d'un fichier

    Figure 5. Sélectionnez "Installer à partir du fichier".

  7. Repérez la colonne intitulée ACTION dans la Figure 6. Dans cette colonne, sélectionnez Installer pour installer le logiciel. Le pare-feu redémarre.

    Mis à niveau

    Figure 6. Colonne "Action" affichant la possibilité d'installer

  8. Accédez à la page TABLEAU DE BORD pour afficher le volet Informations générales. Recherchez Version du logiciel et vérifiez que la valeur associée a changé par rapport à la valeur de la version d'origine. Cela permet de vérifier le changement de version.

    Valider sur le tableau de bord

    Figure 7. La version du logiciel indique un changement

  9. Répétez ces étapes si nécessaire en fonction du chemin de mise à niveau.

kubectl

Suivez les instructions de ligne de commande ci-dessous pour mettre à niveau PAN-OS lorsque vous n'avez pas accès à Internet :

  1. SCP le micrologiciel :

    scp import software from ubuntu@<host>:/home/ubuntu/gdcloud_v8/images/PanOS_5200-XX.XX.XX

  2. Demandez la version du logiciel système dont vous avez besoin :

    request system software install version XX.XX.XX

    Cela génère l'ID de tâche à utiliser à l'étape suivante. Voici un exemple de message de résultat :

    Software install job enqueued with jobid 2. Run 'show jobs id 2' to monitor its
status. Please reboot the device after the installation is done.

  3. Surveillez l'état du job :

    show jobs id 2

  4. Redémarrez PAN-OS après l'installation :

    request restart system

    Si vous ne parvenez pas à mettre à jour PAN-OS sans avoir commis d'erreur, concédez une licence à PAN-OS et effectuez la mise à jour avec les mises à jour dynamiques. Assurez-vous que les clés de licence se trouvent dans le fichier ou répertoire cell.yaml. Consultez Vérifier les configurations.

  5. Pour installer une mise à jour dynamique, recherchez la dernière version de la mise à jour dynamique dans le portail PAN ou dans l'emplacement du lecteur.

  6. SCP le contenu du pare-feu :

    # scp import content from
ubuntu@<host_ip>::/home/ubuntu/gdcloud_v8/images/panupv2-all-contents-8580-7429

  7. Installez le contenu :

    request content upgrade install  skip-content-validity-check yes file panupv2-all-contents-8580-7429

  8. Importez PAN-OS sur la machine hôte :

    1. Connectez votre ordinateur portable au commutateur de gestion situé dans le même rack que la machine hôte.
    2. Attribuez une adresse IP à votre ordinateur portable à partir du réseau de gestion vlan97.

    3. Copiez le fichier PAN-OS SCP depuis l'ordinateur portable vers la machine hôte :

      scp ~/Downloads/Pan* ubuntu@10.251.243.79:~
Warning: Permanently added '10.251.243.79' (ED25519) to the list of known hosts.
ubuntu@10.251.243.79's password:

2. Déclencher la mise à niveau automatique pour le HSM

Les composants opérationnels suivants sont mis à niveau lors de cette étape.

Champ d'application Composants actionnables
Infrastructure HSM

La mise à niveau du HSM nécessite la création d'un HSMUpgradeRequest et la vérification régulière de l'état de la demande de mise à niveau.

Une ou plusieurs CTMClusterUpgradeRequests sont générées automatiquement pour mettre à niveau chaque HSMCluster vers la version de micrologiciel suivante du chemin de mise à niveau afin d'atteindre la version de micrologiciel cible. La mise à niveau du HSM est une opération non disruptive qui prend environ deux heures.

La durée de l'indisponibilité pour cette mise à niveau dépend de l'intégration. Un HSM configuré avec plusieurs adresses peut faire l'objet de mises à jour continues sans interruption.

  1. Définissez KUBECONFIG sur le fichier kubeconfig du cluster d'administrateur racine.

    export KUBECONFIG=ROOT_ADMIN_KUBECONFIG

  2. Créez une ressource personnalisée HSMUpgradeRequest. Créez un hsmupgrade.yaml et incluez CurrentGDCHVersion et TargetGDCHVersion.

    Exemple de ressource personnalisée :

    apiVersion: "upgrade.private.gdc.goog/v1alpha1"
kind: HSMUpgradeRequest
metadata:
   name:  HSM_UPGRADE_REQUEST_NAME
   namespace: gpc-system
spec:
   currentGDCHVersion: "1.10.X-gdch-xxx"
   targetGDCHVersion: "1.11.y-gdch.yyyy"

  3. Appliquez la nouvelle ressource personnalisée :

    kubectl --kubeconfig=${KUBECONFIG:?} apply -f hsmupgrade.yaml

  4. Surveillez la mise à niveau du HSM en examinant le Status des ressources HSMUpgradeRequest et CTMClusterUpgradeRequest créées.

    kubectl --kubeconfig=${KUBECONFIG:?} describe HSMUpgradeRequest HSM_UPGRADE_REQUEST_NAME -n gpc-system

    Exemple de résultat Status d'un HSMUpgradeRequest terminé :

    Status:
Conditions:
 Last Transition Time:  2023-08-03T18:20:50Z
 Message:
 Observed Generation:   1
 Reason:                PullFirmwareImages
 Status:                True
 Type:                  FirmwareImagesPulled
 Last Transition Time:  2023-08-03T18:20:50Z
 Message:               CTM upgrade request to version:2_12_0 is in progress
 Observed Generation:   1
 Reason:                CTMClusterUpgradeInProgress
 Status:                True
 Type:                  InProgress
 Last Transition Time:  2023-08-03T18:41:54Z
 Message:               CTM upgrade request to target version:2_12_0 completed
 Observed Generation:   1
 Reason:                AllCTMClusterUpgradeRequestsCompleted
 Status:                True
 Type:                  AllComplete

    kubectl --kubeconfig=${KUBECONFIG:?} get ctmclusterupgraderequests -n gpc-system

    kubectl --kubeconfig=${KUBECONFIG:?} describe ctmclusterupgraderequests CTM_CLUSTER_UPGRADE_REQUEST_NAME -n gpc-system

    Exemple de résultat Status d'un CTMClusterUpgradeRequest terminé :

    Status:
Conditions:
 Last Transition Time:  2023-09-11T18:08:25Z
 Message:               CTM pre upgrade checks succeed. The system is eligible to upgrade.
 Observed Generation:   1
 Reason:                CTMPreUpgradeChecksReady
 Status:                True
 Type:                  PreUpgradeCheckCompleted
 Last Transition Time:  2023-09-11T18:18:31Z
 Message:               HSM backup completed. The system is ready to upgrade.
 Observed Generation:   2
 Reason:                HSMBackupCompleted
 Status:                True
 Type:                  BackupCompleted
 Last Transition Time:  2023-09-11T18:18:31Z
 Message:               Starting HSM upgrades for cluster.
 Observed Generation:   2
 Reason:                hsmclusterClusterUpgradeInProgress
 Status:                True
 Type:                  ClusterUpgradeInProgress
 Last Transition Time:  2023-09-11T19:46:22Z
 Message:
 Observed Generation:   2
 Reason:                ReconcileCompleted
 Status:                True
 Type:                  AllComplete

3. Mise à niveau manuelle d'ONTAP

Si vous effectuez une mise à niveau manuelle sur un système avec un cluster de stockage existant, suivez les étapes ci-dessous :

Récupérez l'image de mise à niveau de l'OS à l'aide de la méthode 12.4.1 ou de la méthode 12.4.2. Le numéro de séquence d'étape est le même, car vous n'en utilisez qu'un seul :

3.1. - Méthode de récupération 1

Utilisez cette méthode pour récupérer les packages pouvant être mis à niveau à partir de gdch.tar.gz.

  1. Si vous êtes sur une machine hôte et que vous avez accès au package de version, récupérez l'image à partir du registre Harbor :

    # Download the upgrade OS package
OCI_PATH=$ARTIFACTS_ROOT/oci
gdcloud artifacts extract $OCI_PATH storage --image-name=gpc-system-storage/storage:9.13.1P1

tar -xvzf storage/gpc-system-storage/storage.tar.gz

    Si l'extraction échoue, essayez de trouver la bonne archive avec : sh gdcloud artifacts extract $OCI_PATH tree | grep storage

  2. Recherchez le fichier dans storage/9.13.1P1.tar.

  3. Récupérez le fichier de mise à niveau de l'OS et importez-le sur le site de stockage pour lancer la mise à niveau. Si ONTAP n'est pas encore installé, servez ces fichiers sur le programme d'amorçage et demandez au nœud d'extraire l'image.

3.2. - Méthode de récupération 2

Si le cluster d'administrateur racine est déjà opérationnel, vous pouvez récupérer l'image de mise à niveau directement depuis le registre d'artefacts GDC.

  1. Obtenez une image depuis Artifact Registry :

    https://gpc-istio-ingressgateway-IP/artifacts/serve/base64url encoding of the artifact reference

  2. Téléchargez le fichier de mise à niveau :

    IMAGE_BASE64_URL=$(echo "gpc-system-storage/storage:ontap" | base64)

# The OS file is located at:
https://gpc-istio-ingressgateway-IP/artifacts/serve/IMAGE_BASE64_URL

La référence de l'artefact est gpc-system-storage/storage:ontap..

  1. Accédez à l'URL indiquée sous la forme https://gpc-istio-ingressgateway-IP/artifacts/serve/IMAGE_BASE64_URL et téléchargez le package OS en local.
  2. Rassemblez le fichier OS de mise à niveau et importez-le sur le site de stockage pour lancer la mise à niveau.

3.3. Importer une image dans ONTAP

  1. Ouvrez l'URL de gestion ONTAP et accédez à la page Overview (Présentation).

  2. Cliquez sur le bouton Mettre à jour ONTAP.

    Cliquez sur le bouton &quot;Mettre à jour ONTAP&quot;.

    Figure 8. Bouton "ONTAP Update" (Mettre à jour ONTAP)

  3. Cliquez sur + Ajouter une image et importez l'image que vous avez collectée à l'aide de la méthode de récupération 1 ou de la méthode de récupération 2.

    Cliquez sur le bouton &quot;+ Add Image Update&quot; (+ Ajouter une mise à jour d&#39;image).

    Figure 9 : Bouton "+ Ajouter une image"

3.4. Vérification préliminaire de la mise à niveau d'ONTAP

Une fois l'image importée, cliquez sur Mettre à niveau pour lancer la vérification préliminaire. Un message d'avertissement s'affiche, comme illustré dans l'image suivante, et indique "Mettre à jour avec les avertissements".

Cliquez sur le bouton &quot;Mettre à niveau avec avertissements&quot;.

Figure 10 : Bouton "Mettre à niveau avec des avertissements"

Lorsque le message d'avertissement s'affiche, procédez comme suit :

  1. Vérifiez qu'aucune action n'est requise de votre part. Vérifiez qu'aucun élément listé ne risque d'avoir un impact sur la mise à niveau.

  2. Effectuez la vérification préliminaire suivante :

    • Vérifiez que le cluster et les nœuds sont opérationnels et que le basculement du stockage est configuré.
    • Vérifiez qu'aucune alerte n'a été signalée pour le système de stockage.
    • Vérifiez que l'utilisation du processeur et du disque est inférieure à 50 % pendant la période de mise à niveau.

    • Vérifiez qu'aucun job n'est en cours d'exécution dans le système de stockage.
      Par exemple, des jobs de volume et d'agrégation peuvent être en cours d'exécution ou en file d'attente. Attendez qu'il ait terminé.

    • Vérifiez que le DNS est opérationnel (s'il a été configuré).

    • Vérifiez que toutes les interfaces réseau se trouvent dans le nœud principal. Si ce n'est pas le cas, rétablissez-les pour qu'ils atterrissent sur les nœuds de base.

    • Si SnapMirror est configuré, assurez-vous qu'il est suspendu au moment de la mise à niveau.

    • Suivez les recommandations de mise à niveau du système de stockage pour toutes les procédures.

3.5. Lancer la mise à niveau

  1. Dans le cluster d'administrateur racine, créez un objet d'API Kubernetes et utilisez la CLI kubectl pour l'appliquer au cluster d'administrateur racine :

    apiVersion: upgrade.storage.private.gdc.goog/v1alpha1
kind: FileStorageUpgradeRequest
metadata:
 name: test
 namespace: gpc-system
spec:
 fileStorageUpgradeMode: Manual
 storageClusterRef:
   name: $StorageClusterName
   namespace: gpc-system
 targetVersion: 9.10.1

  2. Cliquez sur Mettre à jour avec les avertissements.

    Cliquez sur le bouton &quot;Mettre à jour avec des avertissements&quot;.

    Figure 11. Bouton "Mettre à jour avec des avertissements"

3.6. Mettre à niveau un système vide

Si, pour une raison quelconque, le stockage ONTAP a été réinitialisé et qu'il n'y a pas encore de cluster, vous devez mettre à jour les nœuds un par un. Pour ce faire, procédez comme suit :

  1. Téléchargez la dernière version du logiciel ONTAP. La convention de nommage des fichiers ressemble à l'exemple suivant : 9.13.1P1_ONTAP_image.tgz.

  2. Créez un répertoire pour héberger le fichier image ONTAP.

    mkdir files
mv 9.13.1P1_ONTAP_image.tgz files

  3. Hébergez l'image sur le programme d'amorçage avec Python 3.

    # create a webserver with python
python3 -m http.server -d files
Serving HTTP on 0.0.0.0 port 8000 (http://0.0.0.0:8000/) ...

  4. Utilisez la CLI system node reboot pour redémarrer le nœud.

  5. Appuyez sur Ctrl+C pour interrompre le cycle de démarrage. Lorsque le menu de démarrage s'affiche, sélectionnez l'option 7 : Install new software first (Installer d'abord le nouveau logiciel). Le menu de démarrage se présente comme suit :

    > system node reboot

Warning: Are you sure you want to reboot node "ag-ad-stge02-02"?
{y|n}: y

# interrupt the boot cycle using Ctrl-C

*******************************
*                             *
* Press Ctrl-C for Boot Menu. *
*                             *
*******************************
^CBoot Menu will be available.

Please choose one of the following:

(1)  Normal Boot.
(2)  Boot without /etc/rc.
(3)  Change password.
(4)  Clean configuration and initialize all disks.
(5)  Maintenance mode boot.
(6)  Update flash from backup config.
(7)  Install new software first.
(8)  Reboot node.
(9)  Configure Advanced Drive Partitioning.
(10) Set Onboard Key Manager recovery secrets.
(11) Configure node for external key management.
Selection (1-11)? 7

    La sortie ressemble à ceci :

    This procedure is not supported for Non-Disruptive Upgrade on an HA pair.
The software will be installed to the alternate image, from which the node is
not currently running. Do you want to continue? {y|n} y

In order to download the package, a temporary network interface needs to be
configured.

Select the network port you want to use for the download (for example, 'e0a')

  6. Configurez l'adresse IP sur l'interface e0M. Redémarrez ensuite le nœud.

    Select the network port you want to use for the download (for example, 'e0a')
> e0M

The node needs to reboot for this setting to take effect.  Reboot now? {y|n}
(selecting yes will return you automatically to this install wizard) y

Rebooting...

## Configure the mgmt interface (e0M)

In order to download the package, a temporary network interface needs to be
configured.

Enter the IP address for port e0M: 172.22.115.131
Enter the netmask for port e0M: 255.255.255.0
Enter IP address of default gateway: 172.22.115.1

What is the URL for the package? http://172.22.112.67:8000/files/9.13.1P1_ONTAP_image.tgz
What is the user name on "172.22.112.67", if any?

  7. Utilisez la CLI version pour confirmer la version actuelle du logiciel. La sortie ressemble à ceci :

    > version
NetApp Release 9.13.1P1: Tue Jul 25 10:19:28 UTC 2023

    3.7. Mettre à jour la MTU des LIF de l'agent de sauvegarde

Le système de sauvegarde et de restauration utilise des LIF sur ONTAP. La MTU doit être inférieure à la valeur maximale de 9 000. Pour ce faire, utilisez l'agent de sauvegarde. Une fois qu'ONTAP est en cours d'exécution et opérationnel, réduisez la taille de l'unité de transmission maximale (MTU) pour les LIF de l'agent de sauvegarde :

net port broadcast-domain modify -broadcast-domain backup-agent-network -mtu 8000

Pour vérifier que l'opération a réussi, exécutez la commande suivante :

net port broadcast-domain show -broadcast-domain backup-agent-network

La nouvelle valeur MTU de 8 000 devrait s'afficher.

4. Mise à niveau manuelle de l'infrastructure Operations Suite Core

Cette procédure de mise à niveau ne s'applique qu'à la mise à niveau de la version 1.12.x vers la version 1.13.0.

4.1 Effectuer des sauvegardes

  1. Effectuez la sauvegarde de la VM en suivant les instructions de configuration du Centre d'opérations.
  2. Sauvegardez le lecteur H:\operations_center. (Cette action permet de revenir à la version précédente.)
  3. Sauvegardez C:\dsc, C:\operations_center\ et C:\config\ sur CONFIG1. (Cette sauvegarde sert de référence lors de la création de la nouvelle configuration config.ps1.)

4.2 Mettre à niveau les machines virtuelles existantes

  1. Obtenez le répertoire d'installation.

    1. Téléchargez le bundle de composants OIC en suivant les instructions de la section Télécharger des fichiers.

    2. Extrayez le répertoire operations_center du fichier prod_IT_component_bundle.tar.gz téléchargé.

      tar -zxvf prod_IT_component_bundle.tar.gz ./release/operations_center

    3. Remplacez H:\operations_center par le répertoire extrait à l'étape précédente.

  2. Mettez à jour config.ps1 avec des données spécifiques au site.

    Le fichier de configuration config.ps1 fournit toutes les informations nécessaires pour créer et configurer l'environnement Operations Suite Infrastructure (OI). Pour mettre à jour le fichier de configuration, vous devez collecter toutes les informations suivantes. La sauvegarde du fichier config.ps1 existant est une bonne référence pour éviter l'écrasement involontaire des paramètres existants. Important : N'allez pas plus loin tant que config.ps1 n'est pas terminé et correct.

    • La configuration réseau générée par l'outil occonfigtool, en particulier le fichier ocinfo.common.opscenter.local.txt. Les noms de réseau, par exemple OCCORE-SERVERS, mentionnés dans les étapes suivantes font référence à la colonne Name de ce document.
    • Nom de domaine et adresse IP du serveur DNS de chaque cellule GDC gérée par cet OI. Ces données sont disponibles dans les résultats du questionnaire d'accueil des clients.

    Apportez toutes les modifications sur l'hôte BM01 en tant que Administrator.

  3. Copiez le code d'exemple de configuration approprié pour le type de déploiement :

    1. Si OIC est initialement déployé en tant que site unique, copiez H:\operations_center\dsc\config.single-site-example.ps1 dans H:\operations_center\config\config.ps1.
    2. Si OIC est initialement déployé en tant que multisite, copiez H:\operations_center\dsc\config.multi-site-example.ps1 dans H:\operations_center\config\config.ps1.

  4. À l'aide de PowerShell ISE, validez et mettez à jour les valeurs dans config.ps1.

    1. Mettez à jour HardwareVersion, sauf si la valeur par défaut (3.0) est correcte.

    2. Mettez à jour PrimarySiteCode, sauf si la valeur par défaut (DC1) est correcte.

    3. Le code du site est utilisé dans de nombreux noms. Recherchez et remplacez toutes les instances de DC1 par le code de site correct. Utilisez une recherche non sensible à la casse. Examinez chaque modification, car certaines ne sont peut-être pas nécessaires. Par exemple, si le code du site est AB1, le nom d'hôte DC1-DC1 doit être remplacé par AB1-DC1, et non AB1-AB1.

    4. Mettez à jour DnsDomain si la valeur par défaut n'est pas correcte. Si cette valeur est modifiée, recherchez et remplacez opscenter.local dans tout le fichier config.ps1. Cette valeur par défaut est codée en dur à plusieurs endroits.

    5. Mettez à jour les objets dans DnsConditionalForwarder avec des informations spécifiques au site. Il doit y avoir au moins un objet de transfert. Supprimez les exemples inutiles.

      Pour extraire des informations spécifiques à un site à partir du cluster d'administrateur racine, utilisez la commande suivante :

      export KUBECONFIG=ROOT_ADMIN_KUBECONFIG
kubectl get -n dns-system service gpc-coredns-external-udp -o jsonpath='{.status.loadBalancer.ingress[0].ip}{"\n"}'
      1. Domain : nom de domaine DNS de la cellule GDC, par exemple dns.delegatedSubdomain dans ciq.yaml.

      2. Master : liste des adresses IP des serveurs DNS (généralement une seule). Recherchez DNSReservation de type DNSReservation dans cellcfg. Si la cellule GDC est déployée, recherchez l'adresse EXTERNAL-IP du service gpc-coredns-external-udp et le nom de domaine complet (FQDN) de la cellule bert.sesame.street dans l'espace de noms dns-system du cluster d'administration racine.

      3. Dans les déploiements multisites, il existe un objet de table de hachage par cellule.

    6. Ne modifiez pas le contenu des objets Users, Groups et GroupPolicy.

    7. Mettez à jour DNSServers pour qu'il contienne les deux adresses IP attribuées aux contrôleurs de domaine principal et secondaire, telles que <SITE>-DC1 et <SITE>-DC2.

    8. Mettez à jour NTPServers pour qu'il s'agisse d'une liste des adresses IP SyncServer à partir des ressources personnalisées TimeServer de l'administrateur racine. Vous pouvez récupérer cet ensemble d'adresses IP à l'aide de : 

      kubectl get timeserver -A -o json | jq '.items[].address'

      Vous devez mettre en forme ces adresses IP dans NTPServers, comme indiqué dans l'exemple suivant :

      NtpServers = @(
  '10.251.80.2',
  '10.251.80.3',
  '10.251.80.4',
  '10.251.80.5'
)

    9. Si nécessaire, remplacez la valeur par défaut de SubnetPrefix, à savoir 24, par la valeur du préfixe de sous-réseau fournie par le client pour le sous-réseau OCCORE-SERVERS.

    10. Mettez à jour la valeur par défaut de DefaultGateway avec la passerelle par défaut fournie par le client pour le sous-réseau OCCORE-SERVERS.

    11. Recherchez et remplacez la valeur par défaut WorkstationCider par la valeur fournie par le client pour le sous-réseau OC-WORKSTATIONS au format CIDR IPv4.

    12. Recherchez et remplacez l'exemple de préfixe de sous-réseau 172.21.0. par le préfixe de sous-réseau OCCORE-SERVERS fourni par le client.

    13. Recherchez et remplacez le préfixe de sous-réseau exemple 172.21.2. par le préfixe de sous-réseau OCCORE-JUMPHOSTS fourni par le client.

    14. Recherchez et remplacez l'exemple de préfixe de sous-réseau 172.21.32. par le préfixe de sous-réseau OC-WORKSTATIONS fourni par le client.

    15. Recherchez et remplacez la valeur de l'exemple de message du jour legalnoticecaption de Pref caption par la légende fournie par le client.

    16. Recherchez et remplacez la valeur de l'exemple de message du jour legalnoticetext de Pref text par le texte fourni par le client.

    17. Validez chaque objet "node" et mettez-le à jour si nécessaire.

      1. NodeName : assurez-vous que le nom d'hôte est correct. Certains noms sont utilisés à de nombreux endroits, par exemple les contrôleurs de domaine. Si vous modifiez un nom ici, vérifiez s'il doit être modifié ailleurs dans la configuration.

      2. IPv4Addr : il doit s'agir de l'adresse IP de l'hôte. Il est généralement possible de laisser le dernier octet tel quel. Certains d'entre eux ont peut-être été mis à jour lors de la recherche et du remplacement effectués dans les étapes précédentes.

      3. HyperVHost : cette valeur doit correspondre à l'adresse IP du serveur Hyper-V qui héberge cette VM. Vous pouvez obtenir l'adresse IP de chaque serveur BM?? dans la section "Serveurs Hyper-V" de la configuration. Ne modifiez pas l'attribution de l'hôte Hyper-V dans ce champ, car tous les hôtes Hyper-V ne peuvent pas prendre en charge tous les types de VM. Remplacez simplement le nom d'hôte Hyper-V par son adresse IP correspondante.

    18. Mettez à jour toutes les strophes pour les nœuds avec splunk_indexer afin d'inclure un grand deuxième disque. Chaque section doit inclure les lignes suivantes :

      ExtraDiskSize   = 5120GB # No quotes -- PowerShell converts this to an integer.
ExtraDiskFolder = 'H:\Hyper-V\Virtual Hard Disks'

    19. Validez les détails de la deuxième interface réseau sur tous les nœuds avec Role=jumphost. Utilisez les détails du sous-réseau OCCORE-JUMPHOSTS pour cette interface. Vérifier :

      1. JumphostIPv4Cidr
      2. JumphostDefaultGateway

    20. Mettez à jour la stanza spécifique à ADFS dans le nœud où Role=adfs.

      1. Remplacez toutes les instances de bert.sesame.street et GDCH.sesame.street par la valeur Domain correcte de l'une des strophes de la section DnsConditionalForwarder de la configuration.
      2. Remplacez le mot Bert (sans tenir compte de la casse) par l'identifiant court de la cellule GDC configurée pour utiliser ADFS.

    21. Mettez à jour les étendues DHCP pour qu'elles correspondent au plan d'adresses IP du client, si nécessaire. Pour chaque portée, vérifiez que les valeurs suivantes sont correctes. Les noms des portées correspondent à ceux utilisés dans le forfait réseau ocinfo.common.opscenter.local.txt. Utilisez donc les éléments suivants pour la validation :

      1. ScopeId
      2. IpStartRange
      3. IpEndRange
      4. Router
      5. SubnetMask

    22. Vérifiez que les valeurs correspondent à celles du fichier config1.ps1 sauvegardé.

    23. Veillez à enregistrer le fichier.

  5. Mise à niveau de la VM CONFIG1

    La mise à niveau CONFIG1 est effectuée sur BM01 pour rester cohérente avec l'installation initiale. Toutes les autres mises à niveau seront effectuées à partir de CONIFIG1 une fois qu'il aura été mis à niveau.

    1. Copiez le répertoire operations_center sur la VM CONFIG1.

    2. Sur l'hôte BM01, ouvrez une console PS en tant qu'administrateur.

    3. Exécutez le script Copy-ConfigHostFiles.ps1 pour préparer les fichiers nécessaires à la machine virtuelle (VM) CONFIG1.

      # CD to the script's directory
cd H:\operations_center\dsc

      # Staging files for CONFIG1 VM
.\Copy-ConfigHostFiles.ps1 `<SITE>-CONFIG1`

    4. Désactiver la synchronisation de l'heure Hyper-V

      1. Connectez-vous à l'hôte BM01 en tant qu'administrateur.

      2. Ouvrez PowerShell sur Windows en tant qu'administrateur et exécutez la commande suivante :

      # Disabling Hyper-V Time Sync
Disable-VMIntegrationService -VMName `<SITE>-CONFIG1` -Name 'Time Synchronization'

    5. Exécuter le script de mise à jour CONFIG1

      .\Update-RemoteHost.ps1 -ComputerName DC1-CONFIG1 -Credentials $domain_admin_creds -SetLcm -RemoveExisting

    6. Une fois le script exécuté, la VM CONFIG1 redémarre.

    7. Validation de la VM CONFIG1

      1. Sur l'hôte BM01, utilisez le Bureau à distance (RDP) pour accéder à l'adresse IP de la VM CONFIG1 et connectez-vous en tant que Marvin. Exemple : mstsc /v 192.168.100.99

      2. En tant qu'utilisateur Marvin, ouvrez une console PS avec Exécuter en tant qu'administrateur.

      3. Validez que l'environnement de compilation est prêt en exécutant Build-Mof.ps1, ce qui génère des fichiers MOF (Managed Object Format) pour toutes les machines OI.

      # Running Build-MOf.ps1
cd C:\dsc
./Build-Mof.ps1

  6. Mettre à niveau CA-ISSUING et CA-WEB

    1. Sur CONFIG1, en tant que Marvin, exécutez les scripts suivants pour configurer la VM CA-ISSUING. powershell $la_creds = Get-Credential -Message "Provide local admin credentials for CA- VMs" ./Update-RemoteHost.ps1 -ComputerName <SITE>-CA-ISSUING1 -Credentials $la_creds -SetLcm -RemoveExisting

    2. Sur CONFIG1, en tant que Marvin, exécutez les scripts suivants pour configurer le serveur CA-WEB1.

    $la_creds = Get-Credential -Message "Provide local admin credentials for CA- VMs"
.\Update-RemoteHost.ps1 -ComputerName <SITE>-CA-WEB1 -Credential $la_creds SetLcm -RemoveExisting

  7. Mettre à niveau CA_ROOT

    1. Allumez CA-ROOT1.

      1. Connectez-vous à l'hôte BM01 en tant qu'administrateur.

      2. Ouvrez PowerShell sur Windows en tant qu'administrateur et exécutez la commande suivante :

      Start-VM -Name <SITE>-CA-ROOT1

    2. À partir de la VM CONFIG1, initialisez la VM CA-ROOT1.

      .\Update-RemoteHost.ps1  -ComputerName <SITE>-CA-ROOT1 -Credential $la_creds SetLcm -RemoveExisting

    3. Si la VM CA_ROOT n'a pas redémarré après l'exécution du script précédent, redémarrez-la manuellement.

    w32tm /query /peers

#Peers: 1

Peer: DC2-DC1.hq.local
State: Active
Time Remaining: 31.2997107s
Mode: 3 (Client)
Stratum: 1 (primary reference - syncd by radio clock)
PeerPoll Interval: 6 (64s)
HostPoll Interval: 6 (64s)

  8. Mettre à niveau les VM DHCP

    1. Sur CONFIG1 en tant qu'utilisateur Marvin, mettez à niveau les VM DHCP. Commencez par DHCP2, puis DHCP1.

      • Configurez DHCP2 :
      .\Update-RemoteHost.ps1 -ComputerName <SITE>-DHCP2 -Credential $da_creds SetLCM -RemoveExisting
      • Configurer DHCP1
      .\Update-RemoteHost.ps1 -ComputerName <SITE>-DHCP1 -Credential $da_creds SetLCM -RemoveExisting

  9. Mettre à niveau les contrôleurs de domaine

    1. Sur CONFIG1 en tant qu'utilisateur Marvin, mettez à niveau le contrôleur de domaine principal.
    .\Update-RemoteHost.ps1 -ComputerName <SITE>-DC1 -Credential $da_creds SetLCM -RemoveExisting

    1. Valider la synchronisation horaire avec le serveur SyncServer

      1. Connectez-vous à <SITE>-DC1 à l'aide du protocole RDP en tant qu'administrateur de domaine.
      2. Ouvrez une fenêtre Powershell en tant qu'administrateur.

      3. Exécutez la commande suivante pour valider la configuration de l'heure.

        # Checking time status
w32tm /query /status /verbose

      4. Exécutez les commandes suivantes pour tester la resynchronisation de l'heure :

        # Testing time resyncronization
w32tm /resync

        # Desired output
Sending resync command to local computer
The command completed successfully.

      5. Revalidez la configuration de l'heure pour vous assurer qu'elle est correcte et ne comporte aucune erreur.

        # Checking time status
  w32tm /query /status /verbose

    2. Mettre à niveau la deuxième VM de contrôleur de domaine (<SITE>-DC2) sur BM02

      1. Connectez-vous à CONFIG1 avec son compte administrateur local marvin.
      2. Ouvrez un terminal PowerShell en tant qu'administrateur et exécutez le script suivant.
      cd c:\dsc

.\Update-RemoteHost.ps1 -ComputerName <SITE>-DC2 -Credential $da_creds -SetLCM -RemoveExisting

      1. Le serveur redémarre. ATTENDEZ 15 minutes ou que la réplication AD se termine.

      2. Valider la réplication AD

      3. Une fois le deuxième contrôleur de domaine opérationnel, exécutez les commandes suivantes à partir de l'un des contrôleurs de domaine pour valider la réplication Active Directory :

      repadmin /replsummary
      1. Validez les résultats en suivant les instructions de #validate-ad-replication.

  10. Mettre à niveau les VM Microsoft Config Manager

    Dans la fenêtre Powershell de Marvin sur DC1-CONFIG1, configurez et exécutez la configuration DSC :

    .\Update-RemoteHost.ps1 -ComputerName <SITE>-MCMDB1 -Credential $da_creds -SetLCM -RemoveExisting

    .\Update-RemoteHost.ps1 -ComputerName <SITE>-MCM1 -Credential $da_creds -SetLCM -RemoveExisting

    .\Update-RemoteHost.ps1 -ComputerName <SITE>-MCM2 -Credential $da_creds -SetLCM -RemoveExisting

  11. Mettre à niveau les VM Splunk

    Dans la fenêtre Powershell de Marvin sur DC1-CONFIG1, configurez et exécutez la configuration DSC :

     .\Update-RemoteHost.ps1 -ComputerName <SITE>-splunk-heavyfwd -Credential $da_creds -SetLCM -RemoveExisting

     .\Update-RemoteHost.ps1 -ComputerName <SITE>-splunk-indexer -Credential $da_creds -SetLCM -RemoveExisting

     .\Update-RemoteHost.ps1 -ComputerName <SITE>-splunk-manager -Credential $da_creds -SetLCM -RemoveExisting

     .\Update-RemoteHost.ps1 -ComputerName <SITE>-splunk-searchhead -Credential $da_creds -SetLCM -RemoveExisting

     .\Update-RemoteHost.ps1 -ComputerName <SITE>-universal -Credential $da_creds -SetLCM -RemoveExisting

  12. Mettre à niveau les VM Nessus

    Dans la fenêtre Powershell de Marvin sur DC1-CONFIG1, configurez et exécutez la configuration DSC :

     .\Update-RemoteHost.ps1 -ComputerName <SITE>-NESSUS1 -Credential $da_creds -SetLCM -RemoveExisting

     .\Update-RemoteHost.ps1 -ComputerName <SITE>-NESSUS2 -Credential $da_creds -SetLCM -RemoveExisting