수동 업데이트

자동 업그레이드가 실패한 경우 다음 수동 업그레이드 단계를 사용할 수 있습니다.

1. PANW 수동 업그레이드

이 단계에서는 다음 작동 가능한 구성요소가 업그레이드됩니다.

범위 작동 가능한 구성요소
인프라 PANW

이 업그레이드는 외부 연결에 대한 트래픽 중단을 최소화하며 다운타임은 약 1분입니다. 이러한 업그레이드는 수동으로 진행됩니다. PANW는 고가용성 (HA) 모드로 작동합니다.

1.1. 정의

Palo Alto 방화벽 소프트웨어 버전은 X.Y.Z 형식으로 표시됩니다.

소프트웨어 버전 형식
기능 출시 X.Y
베이스 유지관리 버전 X.Y.0
특정 기능 출시의 최신 유지관리 버전 X.Y.Z: Z는 향후 출시될 X.Y의 마지막 유지관리 버전입니다.

1.2. 업그레이드 절차

1.2.1. 업그레이드 경로

계속하기 전에 필요에 맞는 케이스(케이스 1, 케이스 2, 케이스 3)를 확인하세요.

  • 케이스 1: X.Y가 타겟 출시입니다.
  • 케이스 2: X.Y가 타겟 출시가 아닙니다.
  • 케이스 3: 방화벽 버전이 X.Y에 있습니다. 여기서 X.Y는 X의 마지막 기능 출시입니다.

케이스 1, 케이스 2, 케이스 3의 다음 설명은 각 케이스에 해당하는 업그레이드 경로를 보여줍니다.

케이스 설명 및 작업
케이스 1
X.Y는 업그레이드할 출시 버전입니다 (타겟 출시 버전 아님).
X.Y의 타겟 유지보수 버전인 X.Y(Z2)를 다운로드하고 설치합니다.
케이스 2
X.Y가 업그레이드하려는 출시 버전이 아닙니다 (타겟 출시 버전이 아님).
X.Y의 최신 유지관리 버전인 X.Y.Z1을 다운로드하여 설치합니다.
기본 유지관리 버전 X.(Y+1).0을 다운로드합니다.

X.(Y+1)이 타겟 기능 버전인 경우
X.(Y+1)이 타겟 기능 출시가 아닌 경우
  • X.(Y+1)이 X의 마지막 기능 출시인 경우 케이스 3으로 진행합니다.
케이스 3
방화벽 버전은 X.Y이며 여기서 X.Y는 X의 마지막 기능 출시입니다.
기본 유지관리 버전 (X+1).0.0을 다운로드합니다.
케이스 1로 돌아갑니다.

여기에 제공된 내용 외에 업그레이드 경로에 관한 자세한 내용은 https://www.paloaltonetworks.com/를 참고하세요.

1.2.2. 업그레이드 설정

Distributed Cloud는 두 개의 방화벽을 사용합니다. 업그레이드를 시작하기 전에 두 방화벽이 동일한 버전인지 확인합니다. 버전이 동일하지 않으면 다음 타겟 버전으로 업그레이드하기 전에 버전을 동일하게 만드는 데 필요한 업그레이드를 실행하세요. 업그레이드를 실행할 때마다 이 작업을 수행하세요.

  1. 두 방화벽이 모두 올바르게 작동하는지 확인:
    1. 대시보드에서 고가용성 (HA)이 녹색인지 확인합니다.
    2. 네트워크에 다운 링크가 없는지 확인합니다.

  2. 두 방화벽의 구성을 백업합니다.

  3. 기기 > 고가용성으로 이동합니다.

  4. 기기 페이지의 시작 부분 근처에 있는 작동 명령어 탭을 찾아 클릭합니다.

    1. 탐색 창에서 고가용성을 찾아 클릭합니다.
    2. 고가용성을 위해 로컬 기기 일시중지 옵션이 표시되면 클릭합니다.

    HA를 위해 로컬 기기 일시중지

    그림 1. HA 일시중지

  5. 반환된 로컬 방화벽 상태가 suspended으로 표시되는지 확인합니다.

    확인

    그림 2. 방화벽이 일시중지되었는지 확인

  6. 방화벽을 업그레이드합니다.

  7. suspended 상태에서 복구: 고가용성을 위해 로컬 기기 사용 가능하게 만들기를 클릭합니다.

    HA 사용 설정

    그림 3. HA 사용 설정

    첫 번째 단계로 돌아가 업그레이드 경로에 따라 두 번째 방화벽에 대해 프로세스를 반복합니다.

1.3. 샘플 업그레이드 절차 세부정보

  1. 현재 PAN-OS 버전을 확인합니다.

    show system info | match sw-version

    PAN-OS가 타겟 소프트웨어 버전에 없는 경우 기기를 업그레이드합니다.

  2. 제공된 경로별 업그레이드 절차를 따릅니다.

  3. 경로를 확인하려면 진행하기 전에 로컬 컴퓨터에서 paloaltonetworks.com 웹사이트(https://docs.paloaltonetworks.com/pan-os/10-1/pan-os-upgrade/upgrade-pan-os/upgrade-the-firewall-pan-os/determine-the-upgrade-path.html)의 업그레이드 경로를 확인하세요.

  4. 기기가 등록되고 라이선스가 부여되었는지 확인합니다.

  5. 추출할 최신 펌웨어를 찾습니다.

    gdcloud artifacts tree ${ARTIFACTS_ROOT}/oci | grep "gdch-firewall"

    파일 이름에 빌드 버전이 포함됩니다. 출력 예시:

    │   │   └── gdch-firewall/os:1.10.0-gdch.1426

    위의 예에서 빌드 버전은 1.10.0-gdch.1426로 표시됩니다.

  6. 파일 이름을 복사하고 펌웨어를 추출합니다. 예를 들면 다음과 같습니다.

    1. gdch-firewall/os:1.10.0-gdch.1426을 파일 이름으로 복사합니다. 이 값을 사용하여 다음 명령어에서 FIRMWARE_FILENAME를 바꿉니다.

      export FW_FIRMWARE_TAR_FILENAME=FIRMWARE_FILENAME

    2. OCI 이미지에서 펌웨어를 추출합니다.

      gdcloud artifacts extract ${ARTIFACTS_ROOT}/oci firmware \
    --image-name=${FW_FIRMWARE_TAR_FILENAME:?}

      FW_FIRMWARE_TAR_FILENAME을 방화벽 펌웨어 tar 파일의 파일 이름으로 바꿉니다.

    3. 펌웨어를 추출합니다.

      tar -xvf firmware/gdch-firewall/os.tar.gz

  7. 업그레이드 OS 파일을 수집하고 방화벽 기기에 업로드하여 업그레이드를 시작합니다.

Console

  1. 방화벽 및 로컬 컴퓨터와 IP 연결을 설정하고 사용자 인터페이스 (UI)로 이동합니다.

  2. 소프트웨어를 방화벽에 업로드하려면 Device(기기) > Software(소프트웨어)를 선택하고 페이지 끝에 있는 Upload(업로드)를 클릭합니다.

    동적 업데이트 업로드

    그림 4. 소프트웨어 업데이트 업로드

  3. 소프트웨어가 업로드되면 표에 사용 가능한 것으로 표시되고 설치하는 작업이 표시됩니다.

  4. https://support.paloaltonetworks.com/Updates/DynamicUpdates 카테고리 (드롭다운 메뉴)에서 최신 동적 업데이트를 다운로드합니다.

  5. 업로드를 클릭하여 동적 업데이트를 방화벽에 업로드합니다. 이 단계는 한 번만 실행하면 됩니다.

  6. 파일에서 업로드된 항목을 설치합니다. 파일에서 설치를 클릭합니다.

    파일에서 설치

    그림 5. 파일에서 설치 선택

  7. 그림 6에서 ACTION이라는 단어가 포함된 열을 찾습니다. 해당 열에서 설치를 선택하여 소프트웨어를 설치합니다. 방화벽이 재부팅됩니다.

    업그레이드됨

    그림 6. 설치 가능성을 보여주는 작업 열

  8. 대시보드 페이지로 이동하여 일반 정보 창을 확인합니다. 소프트웨어 버전을 찾아 연결된 값이 원래 버전 값에서 변경되었는지 확인합니다. 이렇게 하면 버전 변경이 확인됩니다.

    대시보드에서 확인

    그림 7. 소프트웨어 버전이 변경사항을 표시함

  9. 업그레이드 경로에 따라 필요에 따라 이 단계를 반복합니다.

kubectl

인터넷에 액세스할 수 없는 경우 다음 명령줄 안내를 사용하여 PAN-OS를 업그레이드하세요.

  1. 펌웨어를 SCP합니다.

    scp import software from ubuntu@<host>:/home/ubuntu/gdcloud_v8/images/PanOS_5200-XX.XX.XX

  2. 필요한 시스템 소프트웨어 설치 버전을 요청합니다.

    request system software install version XX.XX.XX

    이렇게 하면 다음 단계에서 사용할 작업 ID가 생성됩니다. 다음은 샘플 출력 메시지입니다.

    Software install job enqueued with jobid 2. Run 'show jobs id 2' to monitor its
status. Please reboot the device after the installation is done.

  3. 작업 상태를 모니터링합니다.

    show jobs id 2

  4. 설치 후 PAN-OS를 재부팅합니다.

    request restart system

    내 쪽의 오류가 없어 PAN-OS를 업데이트할 수 없는 경우 PAN-OS 라이선스를 부여하고 동적 업데이트로 업데이트합니다. 라이선스 키가 cell.yaml 파일 또는 디렉터리에 있는지 확인합니다. 구성 확인을 참고하세요.

  5. 동적 업데이트를 설치하려면 PAN 포털 또는 드라이브 위치에서 최신 버전의 동적 업데이트를 찾습니다.

  6. 방화벽 콘텐츠를 SCP합니다.

    # scp import content from
ubuntu@<host_ip>::/home/ubuntu/gdcloud_v8/images/panupv2-all-contents-8580-7429

  7. 콘텐츠를 설치합니다.

    request content upgrade install  skip-content-validity-check yes file panupv2-all-contents-8580-7429

  8. PAN-OS를 호스트 머신에 업로드합니다.

    1. 노트북을 호스트 머신과 동일한 랙에 있는 관리 스위치에 연결합니다.
    2. 관리 네트워크 vlan97에서 노트북에 IP 주소를 할당합니다.

    3. 노트북에서 호스트 머신으로 PAN-OS를 SCP합니다.

      scp ~/Downloads/Pan* ubuntu@10.251.243.79:~
Warning: Permanently added '10.251.243.79' (ED25519) to the list of known hosts.
ubuntu@10.251.243.79's password:

2 HSM 자동 업그레이드 트리거

이 단계에서는 다음 작동 가능한 구성요소가 업그레이드됩니다.

범위 작동 가능한 구성요소
인프라 HSM

HSM 업그레이드에는 HSMUpgradeRequest를 만들고 업그레이드 요청 상태를 주기적으로 확인해야 합니다.

타겟 펌웨어 버전에 도달하는 업그레이드 경로에서 각 HSMCluster을 다음 펌웨어 버전으로 업그레이드하기 위해 하나 이상의 CTMClusterUpgradeRequests이 자동으로 생성됩니다. HSM 업그레이드는 중단 없는 업그레이드이며 약 2시간이 걸립니다.

이 업그레이드의 다운타임 기간은 통합에 따라 다릅니다. 여러 주소로 구성된 HSM은 중단 없이 순차 업데이트를 진행할 수 있습니다.

  1. KUBECONFIG를 루트 관리자 클러스터의 kubeconfig 파일로 설정합니다.

    export KUBECONFIG=ROOT_ADMIN_KUBECONFIG

  2. HSMUpgradeRequest 커스텀 리소스를 만듭니다. hsmupgrade.yaml를 만들고 CurrentGDCHVersionTargetGDCHVersion를 포함합니다.

    맞춤 리소스의 예:

    apiVersion: "upgrade.private.gdc.goog/v1alpha1"
kind: HSMUpgradeRequest
metadata:
   name:  HSM_UPGRADE_REQUEST_NAME
   namespace: gpc-system
spec:
   currentGDCHVersion: "1.10.X-gdch-xxx"
   targetGDCHVersion: "1.11.y-gdch.yyyy"

  3. 새 커스텀 리소스를 적용합니다.

    kubectl --kubeconfig=${KUBECONFIG:?} apply -f hsmupgrade.yaml

  4. 생성된 HSMUpgradeRequestCTMClusterUpgradeRequest 리소스의 Status를 확인하여 HSM 업그레이드를 모니터링합니다.

    kubectl --kubeconfig=${KUBECONFIG:?} describe HSMUpgradeRequest HSM_UPGRADE_REQUEST_NAME -n gpc-system

    완료된 HSMUpgradeRequestStatus 출력 예:

    Status:
Conditions:
 Last Transition Time:  2023-08-03T18:20:50Z
 Message:
 Observed Generation:   1
 Reason:                PullFirmwareImages
 Status:                True
 Type:                  FirmwareImagesPulled
 Last Transition Time:  2023-08-03T18:20:50Z
 Message:               CTM upgrade request to version:2_12_0 is in progress
 Observed Generation:   1
 Reason:                CTMClusterUpgradeInProgress
 Status:                True
 Type:                  InProgress
 Last Transition Time:  2023-08-03T18:41:54Z
 Message:               CTM upgrade request to target version:2_12_0 completed
 Observed Generation:   1
 Reason:                AllCTMClusterUpgradeRequestsCompleted
 Status:                True
 Type:                  AllComplete

    kubectl --kubeconfig=${KUBECONFIG:?} get ctmclusterupgraderequests -n gpc-system

    kubectl --kubeconfig=${KUBECONFIG:?} describe ctmclusterupgraderequests CTM_CLUSTER_UPGRADE_REQUEST_NAME -n gpc-system

    완료된 CTMClusterUpgradeRequestStatus 출력 예:

    Status:
Conditions:
 Last Transition Time:  2023-09-11T18:08:25Z
 Message:               CTM pre upgrade checks succeed. The system is eligible to upgrade.
 Observed Generation:   1
 Reason:                CTMPreUpgradeChecksReady
 Status:                True
 Type:                  PreUpgradeCheckCompleted
 Last Transition Time:  2023-09-11T18:18:31Z
 Message:               HSM backup completed. The system is ready to upgrade.
 Observed Generation:   2
 Reason:                HSMBackupCompleted
 Status:                True
 Type:                  BackupCompleted
 Last Transition Time:  2023-09-11T18:18:31Z
 Message:               Starting HSM upgrades for cluster.
 Observed Generation:   2
 Reason:                hsmclusterClusterUpgradeInProgress
 Status:                True
 Type:                  ClusterUpgradeInProgress
 Last Transition Time:  2023-09-11T19:46:22Z
 Message:
 Observed Generation:   2
 Reason:                ReconcileCompleted
 Status:                True
 Type:                  AllComplete

3. 수동 ONTAP 업그레이드

기존 스토리지 클러스터가 있는 시스템에서 수동 업그레이드를 실행하는 경우 다음 단계에 따라 업그레이드를 실행하세요.

12.4.1 가져오기 메서드 1 또는 12.4.2 가져오기 메서드 2를 사용하여 OS 업그레이드 이미지를 가져옵니다. 이러한 단계는 하나만 사용하므로 동일한 단계 시퀀스 번호를 보여줍니다.

3.1. - 가져오기 방법 1

이 메서드를 사용하여 gdch.tar.gz에서 업그레이드 가능한 패키지를 가져옵니다.

  1. 호스트 머신에 있고 출시 번들에 액세스할 수 있는 경우 Harbor 레지스트리에서 이미지를 가져옵니다.

    # Download the upgrade OS package
OCI_PATH=$ARTIFACTS_ROOT/oci
gdcloud artifacts extract $OCI_PATH storage --image-name=gpc-system-storage/storage:9.13.1P1

tar -xvzf storage/gpc-system-storage/storage.tar.gz

    추출에 실패하면 다음을 사용하여 올바른 보관 파일을 찾아보세요. sh gdcloud artifacts extract $OCI_PATH tree | grep storage

  2. storage/9.13.1P1.tar에서 파일을 찾습니다.

  3. 업그레이드 OS 파일을 수집하고 스토리지 사이트에 업로드하여 업그레이드를 시작하거나 ONTAP가 아직 설치되지 않은 경우 부트스트래퍼에서 해당 파일을 제공하고 노드에서 이미지를 가져오도록 합니다.

3.2. - 가져오기 방법 2

루트 관리자 클러스터가 이미 실행 중인 경우 GDC Artifact Registry에서 업그레이드 이미지를 직접 가져올 수 있습니다.

  1. Artifact Registry에서 이미지를 가져옵니다.

    https://gpc-istio-ingressgateway-IP/artifacts/serve/base64url encoding of the artifact reference

  2. 업그레이드 파일을 다운로드합니다.

    IMAGE_BASE64_URL=$(echo "gpc-system-storage/storage:ontap" | base64)

# The OS file is located at:
https://gpc-istio-ingressgateway-IP/artifacts/serve/IMAGE_BASE64_URL

아티팩트 참조는 gpc-system-storage/storage:ontap.입니다.

  1. https://gpc-istio-ingressgateway-IP/artifacts/serve/IMAGE_BASE64_URL로 제공된 URL로 이동하여 OS 패키지를 로컬로 다운로드합니다.
  2. 업그레이드 OS 파일을 수집하고 스토리지 사이트에 업로드하여 업그레이드를 시작합니다.

3.3. ONTAP에 이미지 업로드

  1. ONTAP 관리 URL을 열고 개요 페이지를 찾습니다.

  2. ONTAP 업데이트 버튼을 클릭합니다.

    ONTAP 업데이트 버튼 클릭

    그림 8. ONTAP 업데이트 버튼

  3. +이미지 추가를 클릭하고 가져오기 방법 1 또는 가져오기 방법 2를 통해 수집한 이미지를 업로드합니다.

    +이미지 업데이트 추가 버튼을 클릭합니다.

    그림 9. +이미지 추가 버튼

3.4. ONTAP 업그레이드 프리플라이트 검사

이미지를 업로드한 후 업그레이드를 클릭하여 사전 검사를 시작합니다. 다음 이미지와 같이 '경고와 함께 업데이트'라는 경고 메시지가 표시됩니다.

경고와 함께 업그레이드 버튼을 클릭합니다.

그림 10. 경고와 함께 업그레이드 버튼

경고 메시지가 표시되면 다음 단계를 따르세요.

  1. 취해야 할 작업 항목이 표시되지 않는지 확인합니다. 업그레이드에 영향을 줄 수 있는 항목이 나열되어 있지 않은지 확인합니다.

  2. 다음 프리플라이트 검사를 실행합니다.

    • 클러스터가 정상이고 노드가 스토리지 장애 조치가 구성된 상태로 정상인지 확인합니다.
    • 스토리지 시스템에 대해 보고된 알림이 없는지 확인합니다.
    • 업그레이드 창에서 CPU 및 디스크 사용률이 50% 미만인지 확인합니다.

    • 스토리지 시스템에서 실행 중인 작업이 없는지 확인합니다.
      예를 들어 볼륨 및 집계 작업이 실행 중이거나 실행 대기열에 있을 수 있습니다. 완료될 때까지 기다립니다.

    • DNS가 구성된 경우 DNS가 작동하는지 확인합니다.

    • 모든 네트워크 인터페이스가 홈 노드에 있는지 확인합니다. 그렇지 않으면 홈 노드에 배치되도록 되돌립니다.

    • snapmirror가 구성된 경우 업그레이드 시 일시 중지되어 있는지 확인합니다.

    • 모든 절차에 대해 스토리지 시스템 업그레이드 권장사항을 따르세요.

3.5. 업그레이드 시작

  1. 루트 관리자 클러스터 내에서 Kubernetes API 객체를 만들고 kubectl CLI를 사용하여 루트 관리자 클러스터에 적용합니다.

    apiVersion: upgrade.storage.private.gdc.goog/v1alpha1
kind: FileStorageUpgradeRequest
metadata:
 name: test
 namespace: gpc-system
spec:
 fileStorageUpgradeMode: Manual
 storageClusterRef:
   name: $StorageClusterName
   namespace: gpc-system
 targetVersion: 9.10.1

  2. 경고와 함께 업데이트를 클릭합니다.

    경고와 함께 업데이트 버튼을 클릭합니다.

    그림 11. 경고와 함께 업데이트 버튼

3.6. 빈 시스템에서 업그레이드

어떤 이유로든 ONTAP 스토리지가 재설정되었고 아직 클러스터가 없는 경우 노드를 한 번에 하나씩 업데이트해야 합니다. 다음 단계를 따르세요.

  1. ONTAP 소프트웨어의 최신 버전을 다운로드합니다. 파일 이름 지정 규칙은 9.13.1P1_ONTAP_image.tgz와 같은 예와 유사합니다.

  2. ONTAP 이미지 파일을 호스팅할 디렉터리를 만듭니다.

    mkdir files
mv 9.13.1P1_ONTAP_image.tgz files

  3. python3를 사용하여 부트스트래퍼에서 이미지를 호스팅합니다.

    # create a webserver with python
python3 -m http.server -d files
Serving HTTP on 0.0.0.0 port 8000 (http://0.0.0.0:8000/) ...

  4. system node reboot CLI를 사용하여 노드를 재부팅합니다.

  5. Control+C를 눌러 부팅 주기를 중단합니다. 부팅 메뉴가 표시되면 옵션 7인 Install new software first를 선택합니다. 부팅 메뉴는 다음과 같습니다.

    > system node reboot

Warning: Are you sure you want to reboot node "ag-ad-stge02-02"?
{y|n}: y

# interrupt the boot cycle using Ctrl-C

*******************************
*                             *
* Press Ctrl-C for Boot Menu. *
*                             *
*******************************
^CBoot Menu will be available.

Please choose one of the following:

(1)  Normal Boot.
(2)  Boot without /etc/rc.
(3)  Change password.
(4)  Clean configuration and initialize all disks.
(5)  Maintenance mode boot.
(6)  Update flash from backup config.
(7)  Install new software first.
(8)  Reboot node.
(9)  Configure Advanced Drive Partitioning.
(10) Set Onboard Key Manager recovery secrets.
(11) Configure node for external key management.
Selection (1-11)? 7

    결과는 다음과 유사합니다.

    This procedure is not supported for Non-Disruptive Upgrade on an HA pair.
The software will be installed to the alternate image, from which the node is
not currently running. Do you want to continue? {y|n} y

In order to download the package, a temporary network interface needs to be
configured.

Select the network port you want to use for the download (for example, 'e0a')

  6. e0M 인터페이스에서 IP 주소를 구성합니다. 그런 다음 노드를 재부팅합니다.

    Select the network port you want to use for the download (for example, 'e0a')
> e0M

The node needs to reboot for this setting to take effect.  Reboot now? {y|n}
(selecting yes will return you automatically to this install wizard) y

Rebooting...

## Configure the mgmt interface (e0M)

In order to download the package, a temporary network interface needs to be
configured.

Enter the IP address for port e0M: 172.22.115.131
Enter the netmask for port e0M: 255.255.255.0
Enter IP address of default gateway: 172.22.115.1

What is the URL for the package? http://172.22.112.67:8000/files/9.13.1P1_ONTAP_image.tgz
What is the user name on "172.22.112.67", if any?

  7. version CLI를 사용하여 현재 소프트웨어 버전을 확인합니다. 출력은 다음과 유사합니다.

    > version
NetApp Release 9.13.1P1: Tue Jul 25 10:19:28 UTC 2023

    3.7. 백업 에이전트 LIF의 MTU 업데이트

백업 및 복원 시스템은 ONTAP에서 LIF를 사용합니다. MTU는 최대값인 9000 미만으로 낮춰야 합니다. 이는 백업 에이전트에 의해 실행됩니다. ONTAP가 실행되고 정상 상태가 되면 백업 에이전트 LIF의 최대 전송 단위 (MTU) 크기를 낮춥니다.

net port broadcast-domain modify -broadcast-domain backup-agent-network -mtu 8000

다음을 실행하여 성공했는지 확인할 수 있습니다.

net port broadcast-domain show -broadcast-domain backup-agent-network

새 MTU 값 8000이 표시됩니다.

4. 수동 Operations Suite 인프라 핵심 업그레이드

이 업그레이드 프로세스는 버전 1.12.x에서 1.13.0으로 업그레이드하는 경우에만 적용됩니다.

4.1 백업 실행

  1. 운영 센터 설정 안내에 제공된 안내에 따라 VM 백업을 실행합니다.
  2. H:\operations_center 드라이브를 백업합니다. (이 작업은 업그레이드 롤백을 지원합니다.)
  3. CONFIG1에서 C:\dsc, C:\operations_center, C:\config를 백업합니다. (이 백업은 새 config.ps1 구성을 빌드할 때 참조를 제공합니다.)

4.2 기존 가상 머신 업그레이드

  1. 설치 디렉터리를 가져옵니다.

    1. 파일 다운로드 섹션의 안내에 따라 OIC 구성요소 번들을 다운로드합니다.

    2. 다운로드한 prod_IT_component_bundle.tar.gz에서 operations_center 디렉터리를 추출합니다.

      tar -zxvf prod_IT_component_bundle.tar.gz ./release/operations_center

    3. H:\operations_center를 이전 단계에서 추출한 디렉터리로 바꿉니다.

  2. 사이트별 데이터로 config.ps1 업데이트

    config.ps1 구성 파일은 Operations Suite Infrastructure (OI) 환경을 빌드하고 구성하는 데 필요한 모든 정보를 제공합니다. 구성 파일을 업데이트하려면 다음 정보를 모두 수집해야 합니다. 기존 config.ps1의 백업은 기존 설정이 의도치 않게 덮어쓰여지는 것을 방지하는 데 유용합니다. 중요: config.ps1이 완료되고 올바를 때까지 계속하지 마세요.

    • occonfigtool 도구의 네트워크 구성 출력(특히 ocinfo.common.opscenter.local.txt 파일) 다음 단계에서 언급된 네트워크 이름(예: OCCORE-SERVERS)은 해당 문서의 Name 열을 참조합니다.
    • 이 OI가 관리하는 모든 GDC 셀의 도메인 이름과 DNS 서버 IP 주소입니다. 이 데이터는 고객 정보 수집 설문지 (CIQ)의 출력에서 확인할 수 있습니다.

    AdministratorBM01 호스트에서 모든 변경사항을 적용합니다.

  3. 배포 유형에 맞는 구성 예시 코드를 복사합니다.

    1. OIC가 처음 단일 사이트로 배포된 경우 H:\operations_center\dsc\config.single-site-example.ps1H:\operations_center\config\config.ps1에 복사합니다.
    2. OIC가 처음 멀티 사이트로 배포된 경우 H:\operations_center\dsc\config.multi-site-example.ps1H:\operations_center\config\config.ps1에 복사합니다.

  4. Powershell ISE를 사용하여 config.ps1의 값을 검증하고 업데이트합니다.

    1. 기본값 (3.0)이 올바르지 않으면 HardwareVersion를 업데이트합니다.

    2. 기본값 (DC1)이 올바르지 않으면 PrimarySiteCode를 업데이트합니다.

    3. 사이트 코드는 여러 이름에 사용됩니다. DC1의 모든 인스턴스를 올바른 사이트 코드로 검색하여 바꿉니다. 대소문자를 구분하지 않는 검색을 사용합니다. 일부 변경사항은 필요하지 않을 수 있으므로 각 변경사항을 검토하세요. 예를 들어 사이트 코드가 AB1인 경우 호스트 이름 DC1-DC1AB1-DC1로 변경해야 하며 AB1-AB1아닙니다.

    4. 기본값이 올바르지 않으면 DnsDomain를 업데이트합니다. 이 값이 변경되면 config.ps1 파일 전체에서 opscenter.local을 검색하여 바꿉니다. 기본값이 하드 코딩된 위치가 여러 개 있습니다.

    5. 사이트별 정보로 DnsConditionalForwarder의 객체를 업데이트합니다. 하나 이상의 전달 객체가 있어야 합니다. 불필요한 예 삭제

      루트 관리자 클러스터에서 사이트별 정보를 가져오려면 다음을 사용하세요.

      export KUBECONFIG=ROOT_ADMIN_KUBECONFIG
kubectl get -n dns-system service gpc-coredns-external-udp -o jsonpath='{.status.loadBalancer.ingress[0].ip}{"\n"}'
      1. Domain - GDC 셀 DNS 도메인 이름입니다(예: ciq.yamldns.delegatedSubdomain).

      2. Master - DNS 서버 IP 목록입니다 (일반적으로 하나만 있음). DNSReservation 유형의 cellcfg를 확인합니다. GDC 셀이 배포된 경우 루트 관리 클러스터의 dns-system 네임스페이스에서 gpc-coredns-external-udp 서비스의 EXTERNAL-IP와 셀의 FQDN bert.sesame.street를 찾습니다.

      3. 다중 사이트 배포에서는 셀당 하나의 해시 테이블 객체가 있습니다.

    6. Users, Groups, GroupPolicy 객체의 콘텐츠를 변경하면 안 됩니다.

    7. DNSServers<SITE>-DC1<SITE>-DC2와 같은 기본 및 보조 도메인 컨트롤러에 부여된 2개의 IP 주소를 포함하도록 업데이트합니다.

    8. NTPServers를 루트 관리자 TimeServer 커스텀 리소스의 SyncServer IP 주소 목록으로 업데이트합니다. 다음을 사용하여 이 IP 주소 집합을 가져올 수 있습니다. 

      kubectl get timeserver -A -o json | jq '.items[].address'

      다음 예와 같이 이러한 IP 주소를 NTPServers로 포맷해야 합니다.

      NtpServers = @(
  '10.251.80.2',
  '10.251.80.3',
  '10.251.80.4',
  '10.251.80.5'
)

    9. 필요한 경우 고객이 제공한 OCCORE-SERVERS 서브넷의 서브넷 접두사 값으로 SubnetPrefix 기본값(24)을 업데이트합니다.

    10. OCCORE-SERVERS 서브넷의 고객 제공 기본 게이트웨이로 DefaultGateway 기본값을 업데이트합니다.

    11. IPv4 CIDR 표기법으로 OC-WORKSTATIONS 서브넷에 대해 고객이 제공한 값으로 WorkstationCider 기본값을 찾아 업데이트합니다.

    12. 172.21.0.의 예시 서브넷 접두사를 고객이 제공한 OCCORE-SERVERS 서브넷 접두사로 찾아 바꾸세요.

    13. 172.21.2.의 예시 서브넷 프리픽스를 고객이 제공한 OCCORE-JUMPHOSTS 서브넷 프리픽스로 찾아 바꾸세요.

    14. 172.21.32.의 예시 서브넷 접두사를 고객이 제공한 OC-WORKSTATIONS 서브넷 접두사로 찾아 바꾸세요.

    15. Pref caption의 일일 메시지 예시 legalnoticecaption 값을 찾아 고객이 제공한 캡션으로 바꿉니다.

    16. Pref text의 일일 메시지 예시 legalnoticetext 값을 찾아 고객이 제공한 텍스트로 바꿉니다.

    17. 각 '노드' 객체를 검증하고 필요한 경우 업데이트합니다.

      1. NodeName - 호스트 이름이 올바른지 확인합니다. 일부 이름은 도메인 컨트롤러와 같이 여러 곳에서 사용됩니다. 여기에서 이름을 변경하는 경우 구성의 다른 곳에서도 변경해야 하는지 확인하세요.

      2. IPv4Addr - 호스트의 IP 주소여야 합니다. 마지막 옥텟은 그대로 두어도 됩니다. 일부는 이전 단계에서 실행한 네트워크 검색 및 바꾸기 중에 업데이트되었을 수 있습니다.

      3. HyperVHost - 이 값은 이 VM을 호스팅하는 Hyper-V 서버의 IP 주소여야 합니다. 구성의 'Hyper-V 서버' 섹션에서 각 BM?? 서버의 IP 주소를 확인할 수 있습니다. 모든 Hyper-V 호스트가 모든 VM 유형을 지원할 수 있는 것은 아니므로 이 필드에서 Hyper-V 호스트 할당을 변경하지 말고 Hyper-V 호스트 이름을 해당 IP 주소로만 변경하세요.

    18. splunk_indexer이 있는 노드의 모든 스탠자를 업데이트하여 큰 두 번째 디스크를 포함합니다. 각 스탠자에는 다음 줄이 포함되어야 합니다.

      ExtraDiskSize   = 5120GB # No quotes -- PowerShell converts this to an integer.
ExtraDiskFolder = 'H:\Hyper-V\Virtual Hard Disks'

    19. Role=jumphost를 사용하여 모든 노드에서 두 번째 네트워크 인터페이스 세부정보를 검증합니다. 이 인터페이스에 OCCORE-JUMPHOSTS 서브넷 세부정보를 사용합니다. 확인:

      1. JumphostIPv4Cidr
      2. JumphostDefaultGateway

    20. Role=adfs인 노드에서 ADFS 관련 스탠자를 업데이트합니다.

      1. bert.sesame.streetGDCH.sesame.street의 모든 인스턴스를 구성의 DnsConditionalForwarder 섹션에 있는 스탠자 중 하나의 올바른 Domain 값으로 바꿉니다.
      2. Bert (대소문자 구분 안 함)라는 단어를 ADFS를 사용하도록 구성된 GDC 셀의 짧은 식별자로 바꿉니다.

    21. 필요에 따라 고객의 IP 계획에 맞게 DHCP 범위를 업데이트합니다. 각 범위에서 다음 값이 올바른지 확인합니다. 범위의 이름은 ocinfo.common.opscenter.local.txt 네트워크 계획에 사용된 이름과 일치하므로 유효성 검사에서 다음을 사용합니다.

      1. ScopeId
      2. IpStartRange
      3. IpEndRange
      4. Router
      5. SubnetMask

    22. 값이 백업된 config1.ps1의 값과 일치하는지 확인합니다.

    23. 파일을 저장해야 합니다.

  5. CONFIG1 VM 업그레이드

    초기 설치와 일관성을 유지하기 위해 BM01에서 CONFIG1 업그레이드가 실행됩니다. 업그레이드 후에는 다른 모든 업그레이드가 CONIFIG1에서 실행됩니다.

    1. operations_center 디렉터리를 CONFIG1 VM에 복사합니다.

    2. BM01 호스트에서 PS 콘솔을 관리자로 엽니다.

    3. Copy-ConfigHostFiles.ps1 스크립트를 실행하여 CONFIG1 가상 머신 (VM)에 필요한 파일을 준비합니다.

      # CD to the script's directory
cd H:\operations_center\dsc

      # Staging files for CONFIG1 VM
.\Copy-ConfigHostFiles.ps1 `<SITE>-CONFIG1`

    4. Hyper-V 시간 동기화 사용 중지

      1. 관리자로 BM01 호스트에 로그인합니다.

      2. Windows에서 관리자 권한으로 PowerShell을 열고 다음 명령어를 실행합니다.

      # Disabling Hyper-V Time Sync
Disable-VMIntegrationService -VMName `<SITE>-CONFIG1` -Name 'Time Synchronization'

    5. CONFIG1 업데이트 스크립트 실행

      .\Update-RemoteHost.ps1 -ComputerName DC1-CONFIG1 -Credentials $domain_admin_creds -SetLcm -RemoveExisting

    6. 스크립트가 실행되면 CONFIG1 VM이 다시 시작됩니다.

    7. CONFIG1 VM 검증

      1. BM01 호스트에서 원격 데스크톱 (RDP)을 CONFIG1 VM의 IP에 사용하고 Marvin으로 로그인합니다. 예를 들면 mstsc /v 192.168.100.99입니다.

      2. Marvin 사용자로 관리자 권한으로 실행을 사용하여 PS 콘솔을 엽니다.

      3. 모든 OI 머신에 대해 관리 객체 형식 (MOF) 파일을 생성하는 Build-Mof.ps1를 실행하여 빌드 환경이 준비되었는지 확인합니다.

      # Running Build-MOf.ps1
cd C:\dsc
./Build-Mof.ps1

  6. CA-ISSUING 및 CA-WEB 업그레이드

    1. CONFIG1에서 Marvin로 다음 스크립트를 실행하여 CA-ISSUING VM을 구성합니다. powershell $la_creds = Get-Credential -Message "Provide local admin credentials for CA- VMs" ./Update-RemoteHost.ps1 -ComputerName <SITE>-CA-ISSUING1 -Credentials $la_creds -SetLcm -RemoveExisting

    2. CONFIG1에서 Marvin로 다음 스크립트를 실행하여 CA-WEB1 서버를 구성합니다.

    $la_creds = Get-Credential -Message "Provide local admin credentials for CA- VMs"
.\Update-RemoteHost.ps1 -ComputerName <SITE>-CA-WEB1 -Credential $la_creds SetLcm -RemoveExisting

  7. CA_ROOT 업그레이드

    1. CA-ROOT1의 전원을 켭니다.

      1. 관리자로 BM01 호스트에 로그인합니다.

      2. Windows에서 관리자 권한으로 PowerShell을 열고 다음 명령어를 실행합니다.

      Start-VM -Name <SITE>-CA-ROOT1

    2. CONFIG1 VM에서 CA-ROOT1 VM을 초기화합니다.

      .\Update-RemoteHost.ps1  -ComputerName <SITE>-CA-ROOT1 -Credential $la_creds SetLcm -RemoveExisting

    3. 이전 스크립트 후 CA_ROOT VM이 재부팅되지 않은 경우 수동으로 재부팅합니다.

    w32tm /query /peers

#Peers: 1

Peer: DC2-DC1.hq.local
State: Active
Time Remaining: 31.2997107s
Mode: 3 (Client)
Stratum: 1 (primary reference - syncd by radio clock)
PeerPoll Interval: 6 (64s)
HostPoll Interval: 6 (64s)

  8. DHCP VM 업그레이드

    1. marvin 사용자로 CONFIG1에서 DHCP VM을 업그레이드합니다. 먼저 DHCP2를 시작한 다음 DHCP1을 시작합니다.

      • DHCP2를 구성합니다.
      .\Update-RemoteHost.ps1 -ComputerName <SITE>-DHCP2 -Credential $da_creds SetLCM -RemoveExisting
      • DHCP1 구성
      .\Update-RemoteHost.ps1 -ComputerName <SITE>-DHCP1 -Credential $da_creds SetLCM -RemoveExisting

  9. 도메인 컨트롤러 업그레이드

    1. CONFIG1에서 marvin 사용자로 기본 도메인 컨트롤러를 업그레이드합니다.
    .\Update-RemoteHost.ps1 -ComputerName <SITE>-DC1 -Credential $da_creds SetLCM -RemoveExisting

    1. SyncServer와의 시간 동기화 유효성 검사

      1. 도메인 관리자<SITE>-DC1에 RDP로 연결합니다.
      2. Powershell 창을 관리자로 엽니다.

      3. 다음 명령어를 실행하여 시간 구성을 검증합니다.

        # Checking time status
w32tm /query /status /verbose

      4. 다음 명령어를 실행하여 시간 재동기화를 테스트합니다.

        # Testing time resyncronization
w32tm /resync

        # Desired output
Sending resync command to local computer
The command completed successfully.

      5. 시간 구성이 올바르고 오류가 없는지 다시 검사합니다.

        # Checking time status
  w32tm /query /status /verbose

    2. BM02에서 두 번째 DC VM (<SITE>-DC2) 업그레이드

      1. marvin 로컬 관리자 계정으로 CONFIG1에 로그인합니다.
      2. 관리자 권한으로 PowerShell 터미널을 열고 다음 스크립트를 실행합니다.
      cd c:\dsc

.\Update-RemoteHost.ps1 -ComputerName <SITE>-DC2 -Credential $da_creds -SetLCM -RemoveExisting

      1. 서버가 재부팅됩니다. 15분 또는 AD 복제가 완료될 때까지 기다립니다.

      2. AD 복제 유효성 검사

      3. 두 번째 DC가 작동되면 도메인 컨트롤러 중 하나에서 다음 명령어를 실행하여 Active Directory 복제를 검증합니다.

      repadmin /replsummary
      1. #validate-ad-replication의 안내에 따라 결과를 검증합니다.

  10. Microsoft Config Manager VM 업그레이드

    DC1-CONFIG1의 marvin Powershell 창에서 DSC 구성을 설정하고 실행합니다.

    .\Update-RemoteHost.ps1 -ComputerName <SITE>-MCMDB1 -Credential $da_creds -SetLCM -RemoveExisting

    .\Update-RemoteHost.ps1 -ComputerName <SITE>-MCM1 -Credential $da_creds -SetLCM -RemoveExisting

    .\Update-RemoteHost.ps1 -ComputerName <SITE>-MCM2 -Credential $da_creds -SetLCM -RemoveExisting

  11. Splunk VM 업그레이드

    DC1-CONFIG1의 marvin Powershell 창에서 DSC 구성을 설정하고 실행합니다.

     .\Update-RemoteHost.ps1 -ComputerName <SITE>-splunk-heavyfwd -Credential $da_creds -SetLCM -RemoveExisting

     .\Update-RemoteHost.ps1 -ComputerName <SITE>-splunk-indexer -Credential $da_creds -SetLCM -RemoveExisting

     .\Update-RemoteHost.ps1 -ComputerName <SITE>-splunk-manager -Credential $da_creds -SetLCM -RemoveExisting

     .\Update-RemoteHost.ps1 -ComputerName <SITE>-splunk-searchhead -Credential $da_creds -SetLCM -RemoveExisting

     .\Update-RemoteHost.ps1 -ComputerName <SITE>-universal -Credential $da_creds -SetLCM -RemoveExisting

  12. Nessus VM 업그레이드

    DC1-CONFIG1의 marvin Powershell 창에서 DSC 구성을 설정하고 실행합니다.

     .\Update-RemoteHost.ps1 -ComputerName <SITE>-NESSUS1 -Credential $da_creds -SetLCM -RemoveExisting

     .\Update-RemoteHost.ps1 -ComputerName <SITE>-NESSUS2 -Credential $da_creds -SetLCM -RemoveExisting