Aggiornamenti manuali

I seguenti passaggi per l'upgrade manuale possono essere utilizzati in caso di errori di upgrade automatico.

1. Upgrade manuale per PANW

In questo passaggio viene eseguito l'upgrade dei seguenti componenti operabili.

Ambito Componenti azionabili
Infrastruttura PANW

Questo upgrade comporta interruzioni minime del traffico per le connessioni esterne, con un tempo di inattività di circa un minuto. Questi upgrade sono manuali. PANW opera in modalità ad alta disponibilità (HA).

1.1. Definizioni

Le versioni del software firewall Palo Alto vengono visualizzate nel formato X.Y.Z.

Versione software Formato
Rilascio di FUNZIONALITÀ X.Y
BASE MAINTENANCE release X.Y.0
ULTIMA release di manutenzione per una determinata release della funzionalità X.Y.Z: Z è l'ultima release di manutenzione per la futura release X.Y.

1.2. Procedura di upgrade

1.2.1. Percorso di upgrade

Prima di procedere, identifica lo scenario che descrive le tue esigenze: scenario 1, scenario 2 o scenario 3:

  • Scenario 1: X.Y è la release di destinazione.
  • Scenario 2: X.Y non è la release di destinazione.
  • Scenario 3: la versione del firewall è X.Y, dove X.Y è l'ultima release di FUNZIONALITÀ per X.

Le seguenti descrizioni dei casi 1, 2 e 3 mostrano a quale percorso di upgrade corrisponde ciascun caso.

Richiesta Descrizione e azione
Scenario 1
X.Y è la release a cui vuoi eseguire l'upgrade (non la release di destinazione).
Scarica e installa la release di MANUTENZIONE mirata per X.Y: X.Y(Z2)
Caso 2
X.Y non è la release a cui vuoi eseguire l'upgrade (non è la release di destinazione).
Scarica e installa l'ultima release di manutenzione per X.Y: X.Y.Z1
Scarica la release BASE MAINTENANCE: X.(Y+1).0

Se X.(Y+1) è la release FEATURE di destinazione,
Se X.(Y+1) non è la release della FUNZIONALITÀ di destinazione,
  • Ripeti il caso 2 finché non si verifica, poi applica il caso 1.
  • Se X.(Y+1) è l'ultima release di FUNZIONALITÀ per X, vai al Caso 3.
Scenario 3
La versione del firewall è X.Y, dove X.Y è l'ultima release di FUNZIONALITÀ per X.
Scarica la release BASE MAINTENANCE: (X+1).0.0
Torna al Caso 1.

Per informazioni sul percorso di upgrade, oltre a quelle fornite qui, consulta https://www.paloaltonetworks.com/.

1.2.2. Configurazione dell'upgrade

Distributed Cloud utilizza due firewall. Prima di iniziare un upgrade, verifica che entrambi i firewall abbiano la stessa versione. In caso contrario, esegui gli upgrade necessari per equiparare le versioni prima di iniziare un upgrade su entrambe alla versione di destinazione successiva. Esegui questa operazione ogni volta che prevedi di eseguire un upgrade.

  1. Assicurati che entrambi i firewall funzionino correttamente:
    1. Nella dashboard, verifica che l'alta disponibilità (HA) sia verde.
    2. Verifica che non ci siano link inattivi sulla rete.

  2. Esegui il backup delle configurazioni su entrambi i firewall.

  3. Vai a Dispositivo > High Availability.

  4. Individua la scheda Comandi operativi all'inizio della pagina Dispositivo e fai clic.

    1. Individua Alta affidabilità nel riquadro di navigazione e fai clic.
    2. Quando viene visualizzata l'opzione Sospendi dispositivo locale per alta disponibilità, fai clic.

    Sospendi dispositivo locale per HA

    Figura 1. Sospendi HA

  5. Verifica che lo stato restituito del firewall locale sia suspended.

    Verifica

    Figura 2. Verifica che il firewall sia sospeso

  6. Aggiorna il firewall.

  7. Recupera dallo stato suspended: fai clic su Rendi disponibile il dispositivo locale per l'alta disponibilità.

    Rendere disponibile l'alta disponibilità

    Figura 3. Rendere disponibile l'alta disponibilità

    Torna al primo passaggio e ripeti la procedura per il secondo firewall, seguendo il percorso di upgrade.

1.3. Dettagli della procedura di upgrade di esempio

  1. Controlla la versione attuale di PAN-OS.

    show system info | match sw-version

    Se PAN-OS non è nella versione software di destinazione, esegui l'upgrade del dispositivo.

  2. Segui la procedura di upgrade specifica per il percorso fornita.

  3. Per verificare il percorso, controlla il percorso di upgrade sul sito web paloaltonetworks.com all'indirizzo https://docs.paloaltonetworks.com/pan-os/10-1/pan-os-upgrade/upgrade-pan-os/upgrade-the-firewall-pan-os/determine-the-upgrade-path.html dal computer locale prima di procedere.

  4. Assicurati che il dispositivo sia registrato e disponga di una licenza.

  5. Individua il firmware più recente da estrarre:

    gdcloud artifacts tree ${ARTIFACTS_ROOT}/oci | grep "gdch-firewall"

    Il nome file contiene la versione della build. Output di esempio:

    │   │   └── gdch-firewall/os:1.10.0-gdch.1426

    Nell'esempio precedente, la versione della build viene visualizzata come 1.10.0-gdch.1426.

  6. Copia il nome del file ed estrai il firmware. Ad esempio:

    1. Copia gdch-firewall/os:1.10.0-gdch.1426 come nome file. Utilizza questo valore per sostituire FIRMWARE_FILENAME nel seguente comando:

      export FW_FIRMWARE_TAR_FILENAME=FIRMWARE_FILENAME

    2. Estrai il firmware dall'immagine OCI:

      gdcloud artifacts extract ${ARTIFACTS_ROOT}/oci firmware \
    --image-name=${FW_FIRMWARE_TAR_FILENAME:?}

      Sostituisci FW_FIRMWARE_TAR_FILENAME con il nome file del file tar del firmware del firewall.

    3. Estrai il firmware:

      tar -xvf firmware/gdch-firewall/os.tar.gz

  7. Raccogli il file del sistema operativo di upgrade e caricalo sul dispositivo firewall per iniziare l'upgrade.

console

  1. Stabilisci la connettività IP con il firewall e il computer locale e vai all'interfaccia utente.

  2. Per caricare il software sul firewall, seleziona Dispositivo > Software e fai clic su Carica alla fine della pagina.

    Caricare aggiornamenti dinamici

    Immagine 4. Caricare gli aggiornamenti software

  3. Una volta caricato, il software verrà visualizzato come disponibile nella tabella e verrà visualizzata un'azione per installarlo.

  4. Scarica gli ultimi aggiornamenti dinamici dalla categoria App (un menu a discesa) all'indirizzo https://support.paloaltonetworks.com/Updates/DynamicUpdates.

  5. Carica Aggiornamenti dinamici sul firewall facendo clic su Carica. Potresti dover eseguire questo passaggio una sola volta.

  6. Installa i contenuti caricati dal file: fai clic su Installa da file.

    Installa da file

    Figura 5. Seleziona Installa da file

  7. Individua la colonna con l'intestazione AZIONE nella Figura 6. In questa colonna, seleziona Installa per installare il software. Il firewall si riavvia.

    Upgrade completato

    Immagine 6. Colonna Azione che mostra la possibilità di installazione

  8. Vai alla pagina PANNELLO per visualizzare il riquadro Informazioni generali. Individua Versione software e verifica che il valore associato mostri una modifica rispetto al valore della versione originale. In questo modo viene verificata la modifica della versione.

    Verifica sulla dashboard

    Immagine 7. La versione software mostra la modifica

  9. Ripeti questi passaggi in base alle necessità e al percorso di upgrade.

kubectl

Utilizza le seguenti istruzioni della riga di comando per eseguire l'upgrade di PAN-OS quando non hai accesso a internet:

  1. Copia il firmware:

    scp import software from ubuntu@<host>:/home/ubuntu/gdcloud_v8/images/PanOS_5200-XX.XX.XX

  2. Richiedi la versione di installazione del software di sistema che ti serve:

    request system software install version XX.XX.XX

    Viene generato l'ID job da utilizzare nel passaggio successivo. Di seguito è riportato un messaggio di output di esempio:

    Software install job enqueued with jobid 2. Run 'show jobs id 2' to monitor its
status. Please reboot the device after the installation is done.

  3. Monitora lo stato del job:

    show jobs id 2

  4. Riavvia PAN-OS dopo l'installazione:

    request restart system

    Se non riesci ad aggiornare PAN-OS senza errori da parte tua, concedi in licenza PAN-OS e aggiorna con gli aggiornamenti dinamici. Assicurati che le chiavi di licenza si trovino nel file o nella directory cell.yaml. Consulta la sezione Controllare le configurazioni.

  5. Per installare un aggiornamento dinamico, individua l'ultima versione dell'aggiornamento dinamico nel portale PAN o nella posizione dell'unità.

  6. SCP the content for firewall:

    # scp import content from
ubuntu@<host_ip>::/home/ubuntu/gdcloud_v8/images/panupv2-all-contents-8580-7429

  7. Installa i contenuti:

    request content upgrade install  skip-content-validity-check yes file panupv2-all-contents-8580-7429

  8. Carica PAN-OS sulla macchina host:

    1. Collega il laptop allo switch di gestione che si trova nello stesso rack della macchina host.
    2. Assegna un indirizzo IP al laptop dalla rete di gestione vlan97.

    3. Copia PAN-OS dal laptop alla macchina host:

      scp ~/Downloads/Pan* ubuntu@10.251.243.79:~
Warning: Permanently added '10.251.243.79' (ED25519) to the list of known hosts.
ubuntu@10.251.243.79's password:

2 Attiva l'upgrade automatico per HSM

In questo passaggio viene eseguito l'upgrade dei seguenti componenti operabili.

Ambito Componenti azionabili
Infrastruttura HSM

L'upgrade dell'HSM richiede la creazione di un HSMUpgradeRequest e il controllo periodico dello stato della richiesta di upgrade.

Vengono generati automaticamente uno o più CTMClusterUpgradeRequests per eseguire l'upgrade di ogni HSMCluster alla versione del firmware successiva nel percorso di upgrade per raggiungere la versione del firmware di destinazione. L'upgrade dell'HSM è un upgrade non distruttivo che richiede circa due ore.

La durata del tempo di inattività per questo upgrade dipende dall'integrazione. Un HSM configurato con più indirizzi può essere sottoposto ad aggiornamenti continui senza interruzioni.

  1. Imposta KUBECONFIG sul file kubeconfig per il cluster di amministrazione principale.

    export KUBECONFIG=ROOT_ADMIN_KUBECONFIG

  2. Crea una risorsa personalizzata HSMUpgradeRequest. Crea un hsmupgrade.yaml e includi CurrentGDCHVersion e TargetGDCHVersion.

    Esempio di risorsa personalizzata:

    apiVersion: "upgrade.private.gdc.goog/v1alpha1"
kind: HSMUpgradeRequest
metadata:
   name:  HSM_UPGRADE_REQUEST_NAME
   namespace: gpc-system
spec:
   currentGDCHVersion: "1.10.X-gdch-xxx"
   targetGDCHVersion: "1.11.y-gdch.yyyy"

  3. Applica la nuova risorsa personalizzata:

    kubectl --kubeconfig=${KUBECONFIG:?} apply -f hsmupgrade.yaml

  4. Monitora l'upgrade dell'HSM esaminando Status delle risorse HSMUpgradeRequest e CTMClusterUpgradeRequest create.

    kubectl --kubeconfig=${KUBECONFIG:?} describe HSMUpgradeRequest HSM_UPGRADE_REQUEST_NAME -n gpc-system

    Esempio di output Status di un HSMUpgradeRequest completato:

    Status:
Conditions:
 Last Transition Time:  2023-08-03T18:20:50Z
 Message:
 Observed Generation:   1
 Reason:                PullFirmwareImages
 Status:                True
 Type:                  FirmwareImagesPulled
 Last Transition Time:  2023-08-03T18:20:50Z
 Message:               CTM upgrade request to version:2_12_0 is in progress
 Observed Generation:   1
 Reason:                CTMClusterUpgradeInProgress
 Status:                True
 Type:                  InProgress
 Last Transition Time:  2023-08-03T18:41:54Z
 Message:               CTM upgrade request to target version:2_12_0 completed
 Observed Generation:   1
 Reason:                AllCTMClusterUpgradeRequestsCompleted
 Status:                True
 Type:                  AllComplete

    kubectl --kubeconfig=${KUBECONFIG:?} get ctmclusterupgraderequests -n gpc-system

    kubectl --kubeconfig=${KUBECONFIG:?} describe ctmclusterupgraderequests CTM_CLUSTER_UPGRADE_REQUEST_NAME -n gpc-system

    Esempio di output Status di un CTMClusterUpgradeRequest completato:

    Status:
Conditions:
 Last Transition Time:  2023-09-11T18:08:25Z
 Message:               CTM pre upgrade checks succeed. The system is eligible to upgrade.
 Observed Generation:   1
 Reason:                CTMPreUpgradeChecksReady
 Status:                True
 Type:                  PreUpgradeCheckCompleted
 Last Transition Time:  2023-09-11T18:18:31Z
 Message:               HSM backup completed. The system is ready to upgrade.
 Observed Generation:   2
 Reason:                HSMBackupCompleted
 Status:                True
 Type:                  BackupCompleted
 Last Transition Time:  2023-09-11T18:18:31Z
 Message:               Starting HSM upgrades for cluster.
 Observed Generation:   2
 Reason:                hsmclusterClusterUpgradeInProgress
 Status:                True
 Type:                  ClusterUpgradeInProgress
 Last Transition Time:  2023-09-11T19:46:22Z
 Message:
 Observed Generation:   2
 Reason:                ReconcileCompleted
 Status:                True
 Type:                  AllComplete

3. Upgrade manuale di ONTAP

Se esegui un upgrade manuale su un sistema con un cluster di archiviazione esistente, segui questi passaggi:

Recupera l'immagine di upgrade del sistema operativo con il metodo di recupero 12.4.1 o il metodo di recupero 12.4.2. Questi mostrano lo stesso numero di sequenza di passi poiché ne utilizzi solo uno:

3.1. - Metodo di recupero 1

Utilizza questo metodo per recuperare i pacchetti aggiornabili da gdch.tar.gz.

  1. Se ti trovi su una macchina host e hai accesso al bundle di rilascio, recupera l'immagine dal registro Harbor:

    # Download the upgrade OS package
OCI_PATH=$ARTIFACTS_ROOT/oci
gdcloud artifacts extract $OCI_PATH storage --image-name=gpc-system-storage/storage:9.13.1P1

tar -xvzf storage/gpc-system-storage/storage.tar.gz

    Se l'estrazione non va a buon fine, prova a cercare l'archivio corretto con: sh gdcloud artifacts extract $OCI_PATH tree | grep storage

  2. Individua il file in storage/9.13.1P1.tar.

  3. Raccogli il file del sistema operativo di upgrade e caricalo sul sito di archiviazione per iniziare l'upgrade o, se ONTAP non è ancora installato, pubblica questi file sul bootstrapper e fai in modo che il nodo estragga l'immagine

3.2. - Metodo di recupero 2

Se il cluster di amministrazione principale è già in esecuzione, puoi recuperare l'immagine di upgrade direttamente da GDC Artifact Registry.

  1. Ottieni un'immagine da Artifact Registry:

    https://gpc-istio-ingressgateway-IP/artifacts/serve/base64url encoding of the artifact reference

  2. Scarica il file dell'upgrade:

    IMAGE_BASE64_URL=$(echo "gpc-system-storage/storage:ontap" | base64)

# The OS file is located at:
https://gpc-istio-ingressgateway-IP/artifacts/serve/IMAGE_BASE64_URL

Il riferimento all'artefatto è gpc-system-storage/storage:ontap.

  1. Visita l'URL indicato come https://gpc-istio-ingressgateway-IP/artifacts/serve/IMAGE_BASE64_URL e scarica il pacchetto del sistema operativo in locale.
  2. Raccogli il file del sistema operativo di upgrade e caricalo sul sito di archiviazione per iniziare l'upgrade.

3.3. Carica l'immagine su ONTAP

  1. Apri l'URL di gestione di ONTAP e individua la pagina Panoramica.

  2. Fai clic sul pulsante Aggiornamento ONTAP.

    Fai clic sul pulsante Aggiornamento ONTAP

    Immagine 8. Pulsante Aggiornamento ONTAP

  3. Fai clic su +Aggiungi immagine e carica l'immagine che hai raccolto tramite il metodo di recupero 1 o il metodo di recupero 2.

    Fai clic sul pulsante +Aggiungi aggiornamento immagine.

    Figura 9. Pulsante +Aggiungi immagine

3.4. Controllo preflight dell'upgrade di ONTAP

Dopo aver caricato l'immagine, fai clic su Esegui l'upgrade per avviare il controllo prevolo. Viene visualizzato un messaggio di avviso, come mostrato nell'immagine seguente, che indica "Aggiorna con avvisi".

Fai clic sul pulsante Esegui l&#39;upgrade con avvisi

Figura 10. Pulsante Esegui l'upgrade con avvisi

Quando visualizzi il messaggio di avviso, svolgi questi passaggi:

  1. Verifica di non visualizzare elementi di azione che devi intraprendere. Verifica che non sia presente alcun elemento che possa influire sull'upgrade.

  2. Esegui il seguente controllo preflight:

    • Verifica che il cluster sia integro e che i nodi siano integri con il failover dell'archiviazione configurato.
    • Verifica che non siano stati segnalati avvisi per il sistema di archiviazione.
    • Verifica che l'utilizzo della CPU e del disco sia inferiore al 50% nella finestra di upgrade.

    • Verifica che non siano in esecuzione job nel sistema di archiviazione.
      Ad esempio, i job di volume e aggregazione possono essere in esecuzione o in coda. Attendi il completamento.

    • Verifica che il DNS sia attivo (se è stato configurato).

    • Controlla che tutte le interfacce di rete si trovino nel nodo della casa. In caso contrario, ripristinali per farli atterrare sui nodi della casa.

    • Se snapmirror è configurato, assicurati che sia sospeso al momento dell' upgrade.

    • Segui i consigli per l'upgrade del sistema di archiviazione per tutte le procedure.

3.5. Avvia l'upgrade

  1. All'interno del cluster di amministrazione principale, crea un oggetto API Kubernetes e utilizza la CLI kubectl per applicarlo al cluster di amministrazione principale:

    apiVersion: upgrade.storage.private.gdc.goog/v1alpha1
kind: FileStorageUpgradeRequest
metadata:
 name: test
 namespace: gpc-system
spec:
 fileStorageUpgradeMode: Manual
 storageClusterRef:
   name: $StorageClusterName
   namespace: gpc-system
 targetVersion: 9.10.1

  2. Fai clic su Aggiorna con avvisi.

    Fai clic sul pulsante Aggiorna con avvisi

    Figura 11. Pulsante Aggiorna con avvisi

3.6. Eseguire l'upgrade su un sistema vuoto

Se per qualsiasi motivo l'archiviazione ONTAP è stata reimpostata e non è ancora presente alcun cluster, devi aggiornare i nodi uno alla volta. Per farlo, segui questi passaggi:

  1. Scarica l'ultima versione del software ONTAP. La convenzione di denominazione dei file è simile all'esempio seguente: 9.13.1P1_ONTAP_image.tgz.

  2. Crea una directory per ospitare il file immagine ONTAP.

    mkdir files
mv 9.13.1P1_ONTAP_image.tgz files

  3. Ospita l'immagine sul bootstrapper con python3.

    # create a webserver with python
python3 -m http.server -d files
Serving HTTP on 0.0.0.0 port 8000 (http://0.0.0.0:8000/) ...

  4. Utilizza l'interfaccia a riga di comando system node reboot per riavviare il nodo.

  5. Premi Ctrl+C per interrompere il ciclo di avvio. Quando vedi il menu di avvio, seleziona l'opzione 7: Installa prima il nuovo software. Il menu di avvio ha questo aspetto:

    > system node reboot

Warning: Are you sure you want to reboot node "ag-ad-stge02-02"?
{y|n}: y

# interrupt the boot cycle using Ctrl-C

*******************************
*                             *
* Press Ctrl-C for Boot Menu. *
*                             *
*******************************
^CBoot Menu will be available.

Please choose one of the following:

(1)  Normal Boot.
(2)  Boot without /etc/rc.
(3)  Change password.
(4)  Clean configuration and initialize all disks.
(5)  Maintenance mode boot.
(6)  Update flash from backup config.
(7)  Install new software first.
(8)  Reboot node.
(9)  Configure Advanced Drive Partitioning.
(10) Set Onboard Key Manager recovery secrets.
(11) Configure node for external key management.
Selection (1-11)? 7

    L'output è simile al seguente:

    This procedure is not supported for Non-Disruptive Upgrade on an HA pair.
The software will be installed to the alternate image, from which the node is
not currently running. Do you want to continue? {y|n} y

In order to download the package, a temporary network interface needs to be
configured.

Select the network port you want to use for the download (for example, 'e0a')

  6. Configura l'indirizzo IP sull'interfaccia e0M. Quindi, riavvia il nodo.

    Select the network port you want to use for the download (for example, 'e0a')
> e0M

The node needs to reboot for this setting to take effect.  Reboot now? {y|n}
(selecting yes will return you automatically to this install wizard) y

Rebooting...

## Configure the mgmt interface (e0M)

In order to download the package, a temporary network interface needs to be
configured.

Enter the IP address for port e0M: 172.22.115.131
Enter the netmask for port e0M: 255.255.255.0
Enter IP address of default gateway: 172.22.115.1

What is the URL for the package? http://172.22.112.67:8000/files/9.13.1P1_ONTAP_image.tgz
What is the user name on "172.22.112.67", if any?

  7. Utilizza l'interfaccia a riga di comando version per verificare la versione software attuale. L'output è simile al seguente:

    > version
NetApp Release 9.13.1P1: Tue Jul 25 10:19:28 UTC 2023

    3.7. Aggiorna l'MTU delle interfacce logiche di backup dell'agente

Il sistema di backup e ripristino utilizza le LIF su ONTAP. L'MTU deve essere ridotta al di sotto del valore massimo di 9000. Questa operazione viene eseguita dall'agente di backup. Dopo che ONTAP è in esecuzione e in buono stato, riduci la dimensione dell'unità massima di trasmissione (MTU) per le LIF dell'agente di backup:

net port broadcast-domain modify -broadcast-domain backup-agent-network -mtu 8000

Per verificare che l'operazione sia riuscita, esegui:

net port broadcast-domain show -broadcast-domain backup-agent-network

Dovresti visualizzare il nuovo valore MTU di 8000.

4. Upgrade manuale di Operations Suite Infrastructure Core

Questa procedura di upgrade si applica solo all'upgrade dalla versione 1.12.x alla 1.13.0.

4.1 Eseguire backup

  1. Esegui il backup della VM seguendo le indicazioni fornite nelle istruzioni di configurazione di Operation Center.
  2. Esegui il backup dell'unità H:\operations_center. Questa azione supporta il rollback dell'upgrade.
  3. Esegui il backup di C:\dsc, C:\operations_center\ e C:\config\ su CONFIG1. Questo backup fornisce un riferimento per la creazione della nuova configurazione config.ps1.

4.2 Esegui l'upgrade delle macchine virtuali esistenti

  1. Ottieni la directory di installazione.

    1. Scarica il bundle di componenti OIC seguendo le istruzioni della sezione Scarica file.

    2. Estrai la directory operations_center da prod_IT_component_bundle.tar.gz scaricato.

      tar -zxvf prod_IT_component_bundle.tar.gz ./release/operations_center

    3. Sostituisci H:\operations_center con la directory estratta nel passaggio precedente.

  2. Aggiorna config.ps1 con dati specifici del sito

    Il file di configurazione config.ps1 fornisce tutte le informazioni necessarie per creare e configurare l'ambiente dell'infrastruttura di Operations Suite (OI). Per aggiornare il file di configurazione, devi raccogliere tutte le seguenti informazioni. Il backup del file config.ps1 esistente è un buon riferimento per proteggere la sovrascrittura involontaria delle impostazioni esistenti. Importante: non procedere finché config.ps1 non è completato e corretto.

    • L'output della configurazione di rete dello strumento occonfigtool, in particolare il file ocinfo.common.opscenter.local.txt. I nomi di rete, ad esempio OCCORE-SERVERS a cui si fa riferimento nei passaggi seguenti, fanno riferimento alla colonna Name del documento.
    • Il nome di dominio e l'indirizzo IP del server DNS di ogni cella GDC gestita da questo OI. Questi dati sono disponibili negli output del questionario di acquisizione dei clienti (CIQ).

    Apporta tutte le modifiche all'host BM01 come Administrator.

  3. Copia il codice di esempio di configurazione corretto per il tipo di deployment:

    1. Se OIC viene inizialmente implementato come singolo sito, copia H:\operations_center\dsc\config.single-site-example.ps1 in H:\operations_center\config\config.ps1.
    2. Se OIC viene inizialmente implementato come multisito, copia H:\operations_center\dsc\config.multi-site-example.ps1 in H:\operations_center\config\config.ps1.

  4. Utilizzando PowerShell ISE, convalida e aggiorna i valori in config.ps1.

    1. Aggiorna HardwareVersion a meno che il valore predefinito (3.0) non sia corretto.

    2. Aggiorna PrimarySiteCode a meno che il valore predefinito (DC1) non sia corretto.

    3. Il codice del sito viene utilizzato in molti nomi. Cerca e sostituisci tutte le occorrenze di DC1 con il codice del sito corretto. Utilizza la ricerca senza distinzione tra maiuscole e minuscole. Esamina ogni modifica, poiché alcune potrebbero non essere necessarie. Ad esempio, se il codice del sito è AB1, il nome host DC1-DC1 deve diventare AB1-DC1, non AB1-AB1.

    4. Aggiorna DnsDomain se il valore predefinito non è corretto. Se questo valore viene modificato, cerca e sostituisci opscenter.local in tutto il file config.ps1. Esistono diverse posizioni in cui questo valore predefinito è codificato in modo permanente.

    5. Aggiorna gli oggetti in DnsConditionalForwarder con informazioni specifiche del sito. Deve essere presente almeno un oggetto di inoltro. Rimuovi gli esempi non necessari.

      Per estrarre informazioni specifiche del sito dal cluster di amministrazione principale, utilizza:

      export KUBECONFIG=ROOT_ADMIN_KUBECONFIG
kubectl get -n dns-system service gpc-coredns-external-udp -o jsonpath='{.status.loadBalancer.ingress[0].ip}{"\n"}'
      1. Domain: il nome di dominio DNS della cella GDC, ad esempio dns.delegatedSubdomain in ciq.yaml.

      2. Master: un elenco di IP del server DNS (di solito uno solo). Cerca in cellcfg il tipo DNSReservation. Se la cella GDC è implementata, cerca nello spazio dei nomi dns-system del cluster di amministrazione root l'EXTERNAL-IP del servizio gpc-coredns-external-udp e l'FQDN della cella bert.sesame.street.

      3. Nelle implementazioni multisito esiste un oggetto hashtable per cella.

    6. Non modificare i contenuti degli oggetti Users, Groups e GroupPolicy.

    7. Aggiorna DNSServers in modo che contenga i due indirizzi IP assegnati ai controller di dominio primario e secondario, ad esempio <SITE>-DC1 e <SITE>-DC2.

    8. Aggiorna NTPServers in modo che sia un elenco degli indirizzi IP di SyncServer dalle risorse personalizzate TimeServer dell'amministratore root. Puoi recuperare questo insieme di indirizzi IP utilizzando: 

      kubectl get timeserver -A -o json | jq '.items[].address'

      Devi formattare questi indirizzi IP in NTPServers come mostrato nell'esempio seguente:

      NtpServers = @(
  '10.251.80.2',
  '10.251.80.3',
  '10.251.80.4',
  '10.251.80.5'
)

    9. Aggiorna il valore predefinito di SubnetPrefix, ovvero 24, con il valore del prefisso della subnet fornito dal cliente per la subnet OCCORE-SERVERS, se necessario.

    10. Aggiorna il valore predefinito di DefaultGateway con il gateway predefinito fornito dal cliente per la subnet OCCORE-SERVERS.

    11. Trova e aggiorna il valore predefinito WorkstationCider con il valore fornito dal cliente per la subnet OC-WORKSTATIONS nella notazione CIDR IPv4.

    12. Trova e sostituisci il prefisso di subnet di esempio 172.21.0. con il prefisso di subnet OCCORE-SERVERS fornito dal cliente.

    13. Trova e sostituisci il prefisso di subnet di esempio 172.21.2. con il prefisso di subnet OCCORE-JUMPHOSTS fornito dal cliente.

    14. Trova e sostituisci il prefisso della subnet di esempio 172.21.32. con il prefisso della subnet OC-WORKSTATIONS fornito dal cliente.

    15. Trova e sostituisci il valore del messaggio del giorno di esempio legalnoticecaption di Pref caption con la didascalia fornita dal cliente.

    16. Trova e sostituisci il valore del messaggio del giorno di esempio legalnoticetext di Pref text con il testo fornito dal cliente.

    17. Convalida ogni oggetto "nodo" e aggiornalo, se necessario.

      1. NodeName: assicurati che il nome host sia corretto. Alcuni nomi vengono utilizzati in molti luoghi, ad esempio i controller di dominio. Se modifichi un nome qui, controlla se deve essere modificato altrove nella configurazione.

      2. IPv4Addr: deve essere l'indirizzo IP dell'host. L'ultimo ottetto di solito può essere lasciato così com'è. Alcuni potrebbero essere stati aggiornati durante la ricerca e la sostituzione della rete eseguite nei passaggi precedenti.

      3. HyperVHost: questo valore deve essere l'indirizzo IP del server Hyper-V che ospita questa VM. Puoi ottenere l'indirizzo IP di ogni server BM?? nella sezione "Hyper-V Servers" (Server Hyper-V) della configurazione. Non modificare l'assegnazione dell'host Hyper-V in questo campo, in quanto non tutti gli host Hyper-V possono supportare ogni tipo di VM. Modifica solo il nome host Hyper-V con il relativo indirizzo IP.

    18. Aggiorna tutte le sezioni per i nodi con splunk_indexer in modo da includere un secondo disco di grandi dimensioni. Ogni strofa deve includere le seguenti righe:

      ExtraDiskSize   = 5120GB # No quotes -- PowerShell converts this to an integer.
ExtraDiskFolder = 'H:\Hyper-V\Virtual Hard Disks'

    19. Convalida i dettagli della seconda interfaccia di rete su tutti i nodi con Role=jumphost. Utilizza i dettagli della subnet OCCORE-JUMPHOSTS per questa interfaccia. Controllo:

      1. JumphostIPv4Cidr
      2. JumphostDefaultGateway

    20. Aggiorna la sezione specifica di ADFS nel nodo in cui Role=adfs.

      1. Sostituisci tutte le istanze di bert.sesame.street e GDCH.sesame.street con il valore Domain corretto di una delle sezioni della sezione DnsConditionalForwarder della configurazione.
      2. Sostituisci la parola Bert (senza distinzione tra maiuscole e minuscole) con l'identificatore breve della cella GDC configurata per l'utilizzo di ADFS.

    21. Aggiorna gli ambiti DHCP in modo che corrispondano al piano IP del cliente, se necessario. In ogni ambito, verifica che i seguenti valori siano corretti. I nomi degli ambiti corrispondono ai nomi utilizzati nel piano di rete ocinfo.common.opscenter.local.txt, quindi utilizza i seguenti nella convalida:

      1. ScopeId
      2. IpStartRange
      3. IpEndRange
      4. Router
      5. SubnetMask

    22. Conferma che i valori corrispondano a quelli in config1.ps1 di cui è stato eseguito il backup

    23. Assicurati di salvare il file.

  5. Upgrade della VM CONFIG1

    L'upgrade di CONFIG1 viene eseguito su BM01 per mantenere la coerenza con l'installazione iniziale. Tutti gli altri upgrade verranno eseguiti da CONIFIG1 dopo l'upgrade.

    1. Copia la directory operations_center nella VM CONFIG1

    2. Sull'host BM01, apri una console PS come Amministratore.

    3. Esegui lo script Copy-ConfigHostFiles.ps1 per preparare i file necessari alla macchina virtuale (VM) CONFIG1.

      # CD to the script's directory
cd H:\operations_center\dsc

      # Staging files for CONFIG1 VM
.\Copy-ConfigHostFiles.ps1 `<SITE>-CONFIG1`

    4. Disattivare la sincronizzazione dell'ora di Hyper-V

      1. Accedi all'host BM01 come amministratore.

      2. Apri PowerShell su Windows come amministratore ed esegui il seguente comando:

      # Disabling Hyper-V Time Sync
Disable-VMIntegrationService -VMName `<SITE>-CONFIG1` -Name 'Time Synchronization'

    5. Esegui lo script di aggiornamento CONFIG1

      .\Update-RemoteHost.ps1 -ComputerName DC1-CONFIG1 -Credentials $domain_admin_creds -SetLcm -RemoveExisting

    6. Dopo l'esecuzione dello script, la VM CONFIG1 viene riavviata.

    7. CONFIG1 VM validation

      1. Sull'host BM01, utilizza Remote Desktop (RDP) per l'IP della VM CONFIG1 e accedi come Marvin. Esempio: mstsc /v 192.168.100.99

      2. Come utente Marvin, apri una console PS con Esegui come amministratore.

      3. Verifica che l'ambiente di compilazione sia pronto eseguendo Build-Mof.ps1, che genera file Managed Object Format (MOF) per tutti i computer OI.

      # Running Build-MOf.ps1
cd C:\dsc
./Build-Mof.ps1

  6. Esegui l'upgrade di CA-ISSUING e CA-WEB

    1. Su CONFIG1, come Marvin, esegui i seguenti script per configurare la VM CA-ISSUING. powershell $la_creds = Get-Credential -Message "Provide local admin credentials for CA- VMs" ./Update-RemoteHost.ps1 -ComputerName <SITE>-CA-ISSUING1 -Credentials $la_creds -SetLcm -RemoveExisting

    2. Su CONFIG1, come Marvin, esegui i seguenti script per configurare il server CA-WEB1.

    $la_creds = Get-Credential -Message "Provide local admin credentials for CA- VMs"
.\Update-RemoteHost.ps1 -ComputerName <SITE>-CA-WEB1 -Credential $la_creds SetLcm -RemoveExisting

  7. Esegui l'upgrade di CA_ROOT

    1. Accendi CA-ROOT1.

      1. Accedi all'host BM01 come amministratore.

      2. Apri PowerShell su Windows come amministratore ed esegui il seguente comando:

      Start-VM -Name <SITE>-CA-ROOT1

    2. Dalla VM CONFIG1, inizializza la VM CA-ROOT1.

      .\Update-RemoteHost.ps1  -ComputerName <SITE>-CA-ROOT1 -Credential $la_creds SetLcm -RemoveExisting

    3. Se la VM CA_ROOT non è stata riavviata dopo lo script precedente, riavviala manualmente.

    w32tm /query /peers

#Peers: 1

Peer: DC2-DC1.hq.local
State: Active
Time Remaining: 31.2997107s
Mode: 3 (Client)
Stratum: 1 (primary reference - syncd by radio clock)
PeerPoll Interval: 6 (64s)
HostPoll Interval: 6 (64s)

  8. Esegui l'upgrade delle VM DHCP

    1. Su CONFIG1 come utente marvin, esegui l'upgrade delle VM DHCP. Inizia con DHCP2 e poi con DHCP1.

      • Configura DHCP2:
      .\Update-RemoteHost.ps1 -ComputerName <SITE>-DHCP2 -Credential $da_creds SetLCM -RemoveExisting
      • Configura DHCP1
      .\Update-RemoteHost.ps1 -ComputerName <SITE>-DHCP1 -Credential $da_creds SetLCM -RemoveExisting

  9. Esegui l'upgrade dei controller di dominio

    1. Su CONFIG1 come utente marvin, esegui l'upgrade del controller di dominio principale.
    .\Update-RemoteHost.ps1 -ComputerName <SITE>-DC1 -Credential $da_creds SetLCM -RemoveExisting

    1. Convalida la sincronizzazione dell'ora con SyncServer

      1. Esegui RDP su <SITE>-DC1 come amministratore di dominio.
      2. Apri una finestra di Powershell come amministratore.

      3. Esegui questo comando per convalidare la configurazione dell'ora.

        # Checking time status
w32tm /query /status /verbose

      4. Esegui i seguenti comandi per testare la risincronizzazione dell'ora:

        # Testing time resyncronization
w32tm /resync

        # Desired output
Sending resync command to local computer
The command completed successfully.

      5. Rivalida la configurazione dell'ora per assicurarti che sia corretta e non presenti errori.

        # Checking time status
  w32tm /query /status /verbose

    2. Esegui l'upgrade della seconda VM del controller di dominio (<SITE>-DC2) su BM02

      1. Accedi a CONFIG1 con il suo account amministratore locale marvin.
      2. Apri un terminale PowerShell come amministratore ed esegui il seguente script.
      cd c:\dsc

.\Update-RemoteHost.ps1 -ComputerName <SITE>-DC2 -Credential $da_creds -SetLCM -RemoveExisting

      1. Il server si riavvia. ATTENDI 15 minuti o il completamento della replica AD.

      2. Convalida della replica di AD

      3. Una volta che il secondo controller di dominio è attivo e operativo, esegui i seguenti comandi da uno dei controller di dominio per convalidare la replica di Active Directory:

      repadmin /replsummary
      1. Convalida i risultati in base alle istruzioni riportate in #validate-ad-replication.

  10. Esegui l'upgrade delle VM di Microsoft Config Manager

    Dalla finestra di PowerShell di marvin su DC1-CONFIG1, configura ed esegui la configurazione DSC:

    .\Update-RemoteHost.ps1 -ComputerName <SITE>-MCMDB1 -Credential $da_creds -SetLCM -RemoveExisting

    .\Update-RemoteHost.ps1 -ComputerName <SITE>-MCM1 -Credential $da_creds -SetLCM -RemoveExisting

    .\Update-RemoteHost.ps1 -ComputerName <SITE>-MCM2 -Credential $da_creds -SetLCM -RemoveExisting

  11. Esegui l'upgrade delle VM Splunk

    Dalla finestra di PowerShell di marvin su DC1-CONFIG1, configura ed esegui la configurazione DSC:

     .\Update-RemoteHost.ps1 -ComputerName <SITE>-splunk-heavyfwd -Credential $da_creds -SetLCM -RemoveExisting

     .\Update-RemoteHost.ps1 -ComputerName <SITE>-splunk-indexer -Credential $da_creds -SetLCM -RemoveExisting

     .\Update-RemoteHost.ps1 -ComputerName <SITE>-splunk-manager -Credential $da_creds -SetLCM -RemoveExisting

     .\Update-RemoteHost.ps1 -ComputerName <SITE>-splunk-searchhead -Credential $da_creds -SetLCM -RemoveExisting

     .\Update-RemoteHost.ps1 -ComputerName <SITE>-universal -Credential $da_creds -SetLCM -RemoveExisting

  12. Esegui l'upgrade delle VM Nessus

    Dalla finestra di PowerShell di marvin su DC1-CONFIG1, configura ed esegui la configurazione DSC:

     .\Update-RemoteHost.ps1 -ComputerName <SITE>-NESSUS1 -Credential $da_creds -SetLCM -RemoveExisting

     .\Update-RemoteHost.ps1 -ComputerName <SITE>-NESSUS2 -Credential $da_creds -SetLCM -RemoveExisting