Atualizações manuais

Pode usar os seguintes passos de atualização manual em caso de falhas de atualização automática.

1. Atualização manual para PANW

Os seguintes componentes operáveis são atualizados neste passo.

Âmbito Componentes operáveis
Infraestrutura PANW

Esta atualização implica interrupções mínimas de tráfego para ligações externas, com um tempo de inatividade de aproximadamente um minuto. Essas atualizações são manuais. O PANW funciona no modo de alta disponibilidade (HA).

1.1. Definições

As versões do software de firewall da Palo Alto são apresentadas no formato X.Y.Z.

Versão do software Formato
Lançamento de FUNCIONALIDADE X.Y
Versão de MANUTENÇÃO BASE X.Y.0
VERSÃO DE MANUTENÇÃO MAIS RECENTE para um determinado lançamento de funcionalidades X.Y.Z: Z é o último lançamento de manutenção para o lançamento futuro X.Y.

1.2. Procedimento de atualização

1.2.1. Caminho de atualização

Antes de continuar, identifique o registo que descreve as suas necessidades: registo 1, registo 2 ou registo 3:

  • Caso 1: X.Y é o lançamento segmentado.
  • Caso 2: X.Y não é o lançamento segmentado.
  • Caso 3: a versão da firewall é X.Y, em que X.Y é a versão de FUNCIONALIDADE mais recente para X.

As seguintes descrições do Caso 1, Caso 2> e Caso 3 mostram a que caminhos de atualização correspondem.

Caixa Descrição e ação
Caso 1
X.Y é o lançamento para o qual quer fazer a atualização (não o lançamento segmentado).
Transfira e instale a versão de MANUTENÇÃO direcionada para X.Y: X.Y(Z2)
Caixa 2
X.Y não é o lançamento para o qual quer fazer a atualização (não é o lançamento segmentado).
Transfira e instale a VERSÃO DE MANUTENÇÃO MAIS RECENTE para X.Y: X.Y.Z1
Transfira a versão de MANUTENÇÃO BASE: X.(Y+1).0

Se X.(Y+1) for a versão de FUNCIONALIDADES segmentada,
Se X.(Y+1) não for o lançamento da FUNCIONALIDADE segmentada,
  • Repita o Caso 2 até que o seja e, em seguida, aplique o Caso 1.
  • Se X.(Y+1) for o último lançamento de FUNCIONALIDADES para X, avance para o Caso 3.
Caixa 3
A versão da firewall é X.Y, em que X.Y é o último lançamento de funcionalidades para X.
Transfira a versão BASE MAINTENANCE: (X+1).0.0
Regresse ao Caso 1.

Para obter informações sobre o caminho de atualização, além do que é apresentado aqui, consulte o artigo https://www.paloaltonetworks.com/.

1.2.2. Configuração da atualização

A Distributed Cloud usa duas firewalls. Antes de iniciar uma atualização, verifique se ambas as firewalls estão na mesma versão. Se não forem, faça as atualizações necessárias para equiparar as versões antes de iniciar uma atualização em ambas para a próxima versão segmentada. Faça isto sempre que planear realizar uma atualização.

  1. Certifique-se de que ambas as firewalls estão a funcionar corretamente:
    1. No painel de controlo, verifique se a alta disponibilidade (HA) está a verde.
    2. Verifique se não existem links inativos na rede.

  2. Faça uma cópia de segurança das configurações em ambas as firewalls.

  3. Aceda a Dispositivo > Elevada disponibilidade.

  4. Localize o separador Comandos operacionais perto do início da página Dispositivo e, de seguida, clique nele.

    1. Localize Alta disponibilidade no painel de navegação e, de seguida, clique nele.
    2. Quando a opção Suspender dispositivo local para alta disponibilidade for apresentada, clique na mesma.

    Suspenda o dispositivo local para a HA

    Figura 1. Suspenda a HA

  5. Verifique se o estado devolvido da firewall local é apresentado como suspended.

    Validar

    Figura 2. Verifique se a firewall está suspensa

  6. Atualize a firewall.

  7. Recuperar do estado suspended: clique em Tornar o dispositivo local disponível para alta disponibilidade.

    Disponibilize a HA

    Figura 3. Disponibilize a HA

    Regresse ao primeiro passo e repita o processo para a segunda firewall, seguindo o caminho de atualização.

1.3. Detalhes do procedimento de atualização de amostra

  1. Verifique a versão atual do PAN-OS.

    show system info | match sw-version

    Se o PAN-OS não estiver na versão de software segmentada, atualize o dispositivo.

  2. Siga o procedimento de atualização específico do caminho fornecido.

  3. Para validar o caminho, verifique o caminho de atualização no Website paloaltonetworks.com em https://docs.paloaltonetworks.com/pan-os/10-1/pan-os-upgrade/upgrade-pan-os/upgrade-the-firewall-pan-os/determine-the-upgrade-path.html a partir do seu computador local antes de continuar.

  4. Certifique-se de que o dispositivo está registado e licenciado.

  5. Localize o firmware mais recente para extração:

    gdcloud artifacts tree ${ARTIFACTS_ROOT}/oci | grep "gdch-firewall"

    O nome do ficheiro contém a versão de compilação. Exemplo de saída:

    │   │   └── gdch-firewall/os:1.10.0-gdch.1426

    No exemplo anterior, a versão de compilação é apresentada como 1.10.0-gdch.1426.

  6. Copie o nome do ficheiro e extraia o firmware. Por exemplo:

    1. Copie gdch-firewall/os:1.10.0-gdch.1426 como nome do ficheiro. Use este valor para substituir FIRMWARE_FILENAME no seguinte comando:

      export FW_FIRMWARE_TAR_FILENAME=FIRMWARE_FILENAME

    2. Extraia o firmware da imagem OCI:

      gdcloud artifacts extract ${ARTIFACTS_ROOT}/oci firmware \
    --image-name=${FW_FIRMWARE_TAR_FILENAME:?}

      Substitua FW_FIRMWARE_TAR_FILENAME pelo nome do ficheiro tar do firmware da firewall.

    3. Extraia o firmware:

      tar -xvf firmware/gdch-firewall/os.tar.gz

  7. Reúna o ficheiro do SO de atualização e carregue-o para o dispositivo de firewall para iniciar a atualização.

consola

  1. Estabeleça a conetividade IP com a firewall e o seu computador local e navegue para a interface do utilizador (IU).

  2. Para carregar o software para a firewall, selecione Dispositivo > Software e clique em Carregar, localizado na parte inferior da página.

    Carregue atualizações dinâmicas

    Figura 4. Carregue atualizações de software

  3. Depois de carregar o software, este é apresentado como disponível na tabela e é apresentada uma ação para o instalar.

  4. Transfira as Atualizações dinâmicas mais recentes na categoria Apps (um menu pendente) em https://support.paloaltonetworks.com/Updates/DynamicUpdates.

  5. Carregue atualizações dinâmicas para a firewall clicando em Carregar. Pode ter de realizar este passo apenas uma vez.

  6. Instale o que foi carregado a partir do ficheiro: clique em Instalar a partir do ficheiro.

    Instale a partir de um ficheiro

    Figura 5. Selecione Instalar a partir de ficheiro

  7. Localize a coluna com o cabeçalho AÇÃO na Figura 6. Nessa coluna, selecione Instalar para instalar o software. A firewall é reiniciada.

    Atualizado

    Figura 6. Coluna Ação a mostrar a capacidade de instalação

  8. Navegue para a página PAINEL DE CONTROLO para ver o painel Informações gerais. Localize Versão do software e verifique se o valor associado mostra uma alteração em relação ao valor da versão original. Isto valida a alteração da versão.

    Valide no painel de controlo

    Figura 7. A versão do software mostra a alteração

  9. Repita estes passos conforme necessário com base no caminho de atualização.

kubectl

Use as seguintes instruções da linha de comandos para atualizar o PAN-OS quando não tiver acesso à Internet:

  1. SCP o firmware:

    scp import software from ubuntu@<host>:/home/ubuntu/gdcloud_v8/images/PanOS_5200-XX.XX.XX

  2. Peça a versão de instalação do software do sistema de que precisa:

    request system software install version XX.XX.XX

    Esta ação gera o ID da tarefa a usar no passo seguinte. Segue-se uma mensagem de saída de exemplo:

    Software install job enqueued with jobid 2. Run 'show jobs id 2' to monitor its
status. Please reboot the device after the installation is done.

  3. Monitorize o estado da tarefa:

    show jobs id 2

  4. Reinicie o PAN-OS após a instalação:

    request restart system

    Se não conseguir atualizar o PAN-OS sem que tenha cometido erros, licencie o PAN-OS e faça a atualização com atualizações dinâmicas. Certifique-se de que as chaves de licença estão no ficheiro ou no diretório cell.yaml. Consulte Verifique as configurações.

  5. Para instalar uma atualização dinâmica, localize a versão mais recente da atualização dinâmica no portal PAN ou na localização da unidade.

  6. SCP o conteúdo para a firewall:

    # scp import content from
ubuntu@<host_ip>::/home/ubuntu/gdcloud_v8/images/panupv2-all-contents-8580-7429

  7. Instale o conteúdo:

    request content upgrade install  skip-content-validity-check yes file panupv2-all-contents-8580-7429

  8. Carregue o PAN-OS para o computador anfitrião:

    1. Ligue o portátil ao comutador de gestão que se encontra no mesmo rack que a máquina anfitriã.
    2. Atribua um endereço IP ao seu portátil a partir da rede de gestão vlan97.

    3. SCP PAN-OS do portátil para a máquina anfitriã:

      scp ~/Downloads/Pan* ubuntu@10.251.243.79:~
Warning: Permanently added '10.251.243.79' (ED25519) to the list of known hosts.
ubuntu@10.251.243.79's password:

2 Acione a atualização automática para o HSM

Os seguintes componentes operáveis são atualizados neste passo.

Âmbito Componentes operáveis
Infraestrutura HSM

A atualização do HSM requer a criação de um HSMUpgradeRequest e a verificação periódica do estado do pedido de atualização.

Um ou mais CTMClusterUpgradeRequests são gerados automaticamente para atualizar cada HSMCluster para a versão de firmware seguinte no caminho de atualização para alcançar a versão de firmware de destino. A atualização do HSM é uma atualização não disruptiva que demora cerca de duas horas.

A duração da indisponibilidade desta atualização depende da integração. Um HSM configurado com vários endereços pode ser submetido a atualizações contínuas sem interrupção.

  1. Defina KUBECONFIG para o ficheiro kubeconfig do cluster de administrador raiz.

    export KUBECONFIG=ROOT_ADMIN_KUBECONFIG

  2. Crie um HSMUpgradeRequest recurso personalizado. Crie um hsmupgrade.yaml e inclua o CurrentGDCHVersion e o TargetGDCHVersion.

    Exemplo de recurso personalizado:

    apiVersion: "upgrade.private.gdc.goog/v1alpha1"
kind: HSMUpgradeRequest
metadata:
   name:  HSM_UPGRADE_REQUEST_NAME
   namespace: gpc-system
spec:
   currentGDCHVersion: "1.10.X-gdch-xxx"
   targetGDCHVersion: "1.11.y-gdch.yyyy"

  3. Aplique o novo recurso personalizado:

    kubectl --kubeconfig=${KUBECONFIG:?} apply -f hsmupgrade.yaml

  4. Monitorize a atualização do HSM consultando o Status dos recursos HSMUpgradeRequest e CTMClusterUpgradeRequest criados.

    kubectl --kubeconfig=${KUBECONFIG:?} describe HSMUpgradeRequest HSM_UPGRADE_REQUEST_NAME -n gpc-system

    Exemplo de resultado Status de um HSMUpgradeRequest concluído:

    Status:
Conditions:
 Last Transition Time:  2023-08-03T18:20:50Z
 Message:
 Observed Generation:   1
 Reason:                PullFirmwareImages
 Status:                True
 Type:                  FirmwareImagesPulled
 Last Transition Time:  2023-08-03T18:20:50Z
 Message:               CTM upgrade request to version:2_12_0 is in progress
 Observed Generation:   1
 Reason:                CTMClusterUpgradeInProgress
 Status:                True
 Type:                  InProgress
 Last Transition Time:  2023-08-03T18:41:54Z
 Message:               CTM upgrade request to target version:2_12_0 completed
 Observed Generation:   1
 Reason:                AllCTMClusterUpgradeRequestsCompleted
 Status:                True
 Type:                  AllComplete

    kubectl --kubeconfig=${KUBECONFIG:?} get ctmclusterupgraderequests -n gpc-system

    kubectl --kubeconfig=${KUBECONFIG:?} describe ctmclusterupgraderequests CTM_CLUSTER_UPGRADE_REQUEST_NAME -n gpc-system

    Exemplo de resultado Status de um CTMClusterUpgradeRequest concluído:

    Status:
Conditions:
 Last Transition Time:  2023-09-11T18:08:25Z
 Message:               CTM pre upgrade checks succeed. The system is eligible to upgrade.
 Observed Generation:   1
 Reason:                CTMPreUpgradeChecksReady
 Status:                True
 Type:                  PreUpgradeCheckCompleted
 Last Transition Time:  2023-09-11T18:18:31Z
 Message:               HSM backup completed. The system is ready to upgrade.
 Observed Generation:   2
 Reason:                HSMBackupCompleted
 Status:                True
 Type:                  BackupCompleted
 Last Transition Time:  2023-09-11T18:18:31Z
 Message:               Starting HSM upgrades for cluster.
 Observed Generation:   2
 Reason:                hsmclusterClusterUpgradeInProgress
 Status:                True
 Type:                  ClusterUpgradeInProgress
 Last Transition Time:  2023-09-11T19:46:22Z
 Message:
 Observed Generation:   2
 Reason:                ReconcileCompleted
 Status:                True
 Type:                  AllComplete

3. Atualização manual do ONTAP

Se estiver a fazer uma atualização manual num sistema com um cluster de armazenamento existente, siga os passos para fazer a atualização:

Obtenha a imagem de atualização do SO através de 12.4.1 Método de obtenção 1 ou 12.4.2 Método de obtenção 2. Estes mostram o mesmo número de sequência de passos, uma vez que usa apenas um deles:

3.1. – Método de obtenção 1

Use este método para obter os pacotes atualizáveis de gdch.tar.gz.

  1. Se estiver num computador anfitrião e tiver acesso ao pacote de lançamento, obtenha a imagem do registo do Harbor:

    # Download the upgrade OS package
OCI_PATH=$ARTIFACTS_ROOT/oci
gdcloud artifacts extract $OCI_PATH storage --image-name=gpc-system-storage/storage:9.13.1P1

tar -xvzf storage/gpc-system-storage/storage.tar.gz

    Se a extração falhar, tente procurar o arquivo certo com: sh gdcloud artifacts extract $OCI_PATH tree | grep storage

  2. Localize o ficheiro em storage/9.13.1P1.tar.

  3. Reúna o ficheiro do SO de atualização e carregue-o para o site de armazenamento para iniciar a atualização ou, se o ONTAP ainda não estiver instalado, disponibilize esses ficheiros no programa de arranque e faça com que o nó extraia a imagem

3.2. – Método de obtenção 2

Se o root-admin-cluster já estiver em funcionamento, pode obter a imagem de atualização diretamente do GDC Artifact Registry.

  1. Obter uma imagem do Artifact Registry:

    https://gpc-istio-ingressgateway-IP/artifacts/serve/base64url encoding of the artifact reference

  2. Transfira o ficheiro de atualização:

    IMAGE_BASE64_URL=$(echo "gpc-system-storage/storage:ontap" | base64)

# The OS file is located at:
https://gpc-istio-ingressgateway-IP/artifacts/serve/IMAGE_BASE64_URL

A referência do artefacto é gpc-system-storage/storage:ontap.

  1. Visite o URL indicado como https://gpc-istio-ingressgateway-IP/artifacts/serve/IMAGE_BASE64_URL e transfira o pacote do SO localmente.
  2. Reúna o ficheiro do SO de atualização e carregue-o para o site de armazenamento para iniciar a atualização.

3.3. Carregue a imagem para o ONTAP

  1. Abra o URL de gestão do ONTAP e localize a página Vista geral.

  2. Clique no botão Atualização do ONTAP.

    Clique no botão Atualizar ONTAP

    Figura 8. Botão Atualizar ONTAP

  3. Clique em +Adicionar imagem e carregue a imagem recolhida através do método de obtenção 1 ou do método de obtenção 2.

    Clique no botão +Adicionar atualização de imagem

    Figura 9. Botão +Adicionar imagem

3.4. Verificação prévia da atualização do ONTAP

Depois de carregar a imagem, clique em Atualizar para iniciar a verificação pré-voo. É apresentada uma mensagem de aviso, como se vê na imagem seguinte, que indica "Atualizar com avisos".

Clique no botão Atualizar com avisos

Figura 10. Botão Atualizar com avisos

Quando vir a mensagem de aviso, faça o seguinte:

  1. Verifique se não vê nenhum item de ação que tenha de realizar. Verifique se não existe nada listado que possa afetar a atualização.

  2. Efetue a seguinte verificação prévia:

    • Confirme se o cluster está em bom estado e se os nós estão em bom estado com a comutação por falha de armazenamento configurada.
    • Verifique se não existem alertas comunicados para o sistema de armazenamento.
    • Verifique se a utilização da CPU e do disco é inferior a 50% na janela de atualização.

    • Verifique se não existem tarefas em execução no sistema de armazenamento.
      Por exemplo, as tarefas de volume e agregação podem estar em execução ou em fila para execução. Aguarde que terminem.

    • Verifique se o DNS está ativo (se tiver sido configurado).

    • Verifique se todas as interfaces de rede estão no nó doméstico. Caso contrário, reverta-os para os direcionar para os nós domésticos.

    • Se o SnapMirror estiver configurado, certifique-se de que está suspenso no momento da atualização.

    • Siga as recomendações de atualização do sistema de armazenamento para todos os procedimentos.

3.5. Inicie a atualização

  1. No cluster de administrador raiz, crie um objeto da API Kubernetes e use a CLI kubectl para o aplicar ao cluster de administrador raiz:

    apiVersion: upgrade.storage.private.gdc.goog/v1alpha1
kind: FileStorageUpgradeRequest
metadata:
 name: test
 namespace: gpc-system
spec:
 fileStorageUpgradeMode: Manual
 storageClusterRef:
   name: $StorageClusterName
   namespace: gpc-system
 targetVersion: 9.10.1

  2. Clique em Atualizar com avisos.

    Clique no botão Atualizar com avisos

    Figura 11. Botão Atualizar com avisos

3.6. Atualize num sistema em branco

Se, por algum motivo, o armazenamento ONTAP tiver sido reposto e ainda não existir nenhum cluster, tem de atualizar os nós um de cada vez. Siga estes passos para o fazer:

  1. Transfira a versão mais recente do software ONTAP. A convenção de nomenclatura de ficheiros é semelhante ao seguinte exemplo: 9.13.1P1_ONTAP_image.tgz.

  2. Crie um diretório para alojar o ficheiro de imagem do ONTAP.

    mkdir files
mv 9.13.1P1_ONTAP_image.tgz files

  3. Aloje a imagem no bootstrapper com o Python 3.

    # create a webserver with python
python3 -m http.server -d files
Serving HTTP on 0.0.0.0 port 8000 (http://0.0.0.0:8000/) ...

  4. Use a CLI system node reboot para reiniciar o nó.

  5. Prima Control+C para interromper o ciclo de arranque. Quando vir o menu de arranque, selecione a opção 7: Instalar novo software primeiro. O menu de arranque tem o seguinte aspeto:

    > system node reboot

Warning: Are you sure you want to reboot node "ag-ad-stge02-02"?
{y|n}: y

# interrupt the boot cycle using Ctrl-C

*******************************
*                             *
* Press Ctrl-C for Boot Menu. *
*                             *
*******************************
^CBoot Menu will be available.

Please choose one of the following:

(1)  Normal Boot.
(2)  Boot without /etc/rc.
(3)  Change password.
(4)  Clean configuration and initialize all disks.
(5)  Maintenance mode boot.
(6)  Update flash from backup config.
(7)  Install new software first.
(8)  Reboot node.
(9)  Configure Advanced Drive Partitioning.
(10) Set Onboard Key Manager recovery secrets.
(11) Configure node for external key management.
Selection (1-11)? 7

    O resultado tem um aspeto semelhante ao seguinte:

    This procedure is not supported for Non-Disruptive Upgrade on an HA pair.
The software will be installed to the alternate image, from which the node is
not currently running. Do you want to continue? {y|n} y

In order to download the package, a temporary network interface needs to be
configured.

Select the network port you want to use for the download (for example, 'e0a')

  6. Configure o endereço IP na interface e0M. Em seguida, reinicie o nó.

    Select the network port you want to use for the download (for example, 'e0a')
> e0M

The node needs to reboot for this setting to take effect.  Reboot now? {y|n}
(selecting yes will return you automatically to this install wizard) y

Rebooting...

## Configure the mgmt interface (e0M)

In order to download the package, a temporary network interface needs to be
configured.

Enter the IP address for port e0M: 172.22.115.131
Enter the netmask for port e0M: 255.255.255.0
Enter IP address of default gateway: 172.22.115.1

What is the URL for the package? http://172.22.112.67:8000/files/9.13.1P1_ONTAP_image.tgz
What is the user name on "172.22.112.67", if any?

  7. Use a CLI version para confirmar a versão atual do software. O resultado tem um aspeto semelhante ao seguinte:

    > version
NetApp Release 9.13.1P1: Tue Jul 25 10:19:28 UTC 2023

    3.7. Atualize a MTU dos LIFs do agente de reserva

O sistema de cópia de segurança e restauro usa LIFs no ONTAP. A MTU tem de ser inferior ao máximo de 9000. Isto é feito pelo agente de cópia de segurança. Depois de o ONTAP estar em execução e em bom estado, diminua o tamanho da unidade de transmissão máxima (MTU) para os LIFs do agente de cópia de segurança:

net port broadcast-domain modify -broadcast-domain backup-agent-network -mtu 8000

Pode verificar se a operação foi bem-sucedida executando o seguinte comando:

net port broadcast-domain show -broadcast-domain backup-agent-network

Deverá ver o novo valor de MTU de 8000.

4. Atualização manual da infraestrutura principal do Operations Suite

Este processo de atualização aplica-se apenas à atualização da versão 1.12.x para a 1.13.0

4.1 Faça cópias de segurança

  1. Faça uma cópia de segurança da VM de acordo com as instruções fornecidas nas instruções de configuração do Operation Center
  2. Fazer uma cópia de segurança da unidade H:\operations_center. (Esta ação suporta a reversão da atualização.)
  3. Faça uma cópia de segurança de C:\dsc, C:\operations_center\ e C:\config\ em CONFIG1. (Esta cópia de segurança fornece uma referência quando cria a nova configuração config.ps1.)

4.2 Atualize as máquinas virtuais existentes

  1. Obtenha o diretório de instalação.

    1. Transfira o pacote de componentes da OIC seguindo as instruções da secção Transferir ficheiros.

    2. Extraia o diretório operations_center do ficheiro prod_IT_component_bundle.tar.gz transferido.

      tar -zxvf prod_IT_component_bundle.tar.gz ./release/operations_center

    3. Substitua H:\operations_center pelo diretório extraído no passo anterior.

  2. Atualize o ficheiro config.ps1 com dados específicos do site

    O ficheiro de configuração config.ps1 fornece todas as informações necessárias para criar e configurar o ambiente de infraestrutura do Operations Suite (OI). Para atualizar o ficheiro de configuração, tem de recolher todas as seguintes informações. A cópia de segurança do ficheiro config.ps1 existente é uma boa referência para proteger a substituição não intencional das definições existentes. Importante: não avance até que o processo config.ps1 esteja concluído e correto.

    • O resultado da configuração de rede da ferramenta occonfigtool, especialmente o ficheiro ocinfo.common.opscenter.local.txt. Os nomes das redes, por exemplo, OCCORE-SERVERS referidos nos passos seguintes, fazem referência à coluna Name nesse documento.
    • O nome do domínio e o endereço IP do servidor DNS de todas as células do GDC que este OI gere. Estes dados estão disponíveis nos resultados do questionário de admissão de clientes (CIQ).

    Faça todas as alterações no anfitrião BM01 como Administrator.

  3. Copie o código de exemplo de configuração correto para o tipo de implementação:

    1. Se o OIC for implementado inicialmente como site único, copie H:\operations_center\dsc\config.single-site-example.ps1 para H:\operations_center\config\config.ps1.
    2. Se o OIC for implementado inicialmente como vários sites, copie H:\operations_center\dsc\config.multi-site-example.ps1 para H:\operations_center\config\config.ps1.

  4. Usando o Powershell ISE, valide e atualize os valores em config.ps1.

    1. Atualize HardwareVersion, a menos que a predefinição (3.0) esteja correta.

    2. Atualize PrimarySiteCode, a menos que a predefinição (DC1) esteja correta.

    3. O código do site é usado em muitos nomes. Pesquise e substitua todas as instâncias de DC1 pelo código do site correto. Use a pesquisa que não é sensível a maiúsculas e minúsculas. Reveja cada alteração, uma vez que algumas podem não ser necessárias. Por exemplo, se o código do site for AB1, o nome do anfitrião DC1-DC1 tem de mudar para AB1-DC1, e não para AB1-AB1.

    4. Atualize DnsDomain se a predefinição não estiver correta. Se este valor for alterado, pesquise e substitua opscenter.local em todo o ficheiro config.ps1. Existem várias localizações onde esse valor predefinido está codificado.

    5. Atualize os objetos em DnsConditionalForwarder com informações específicas do site. Tem de existir, pelo menos, um objeto de encaminhamento. Remova exemplos desnecessários.

      Para extrair informações específicas do site do cluster de administração raiz, use:

      export KUBECONFIG=ROOT_ADMIN_KUBECONFIG
kubectl get -n dns-system service gpc-coredns-external-udp -o jsonpath='{.status.loadBalancer.ingress[0].ip}{"\n"}'
      1. Domain – O nome de domínio DNS da célula do GDC, por exemplo, dns.delegatedSubdomain em ciq.yaml.

      2. Master - Uma lista de IPs de servidores DNS (normalmente, apenas um). Procure no cellcfg o tipo DNSReservation. Se a célula GDC estiver implementada, procure no espaço de nomes dns-system do cluster de administração raiz o EXTERNAL-IP do serviço gpc-coredns-external-udp e o FQDN da célula bert.sesame.street.

      3. Nas implementações em vários sites, existe um objeto de tabela hash por célula.

    6. Não altere nenhum conteúdo dos objetos Users, Groups e GroupPolicy.

    7. Atualize DNSServers para conter os 2 endereços IP atribuídos aos controladores de domínio principal e secundário, como <SITE>-DC1 e <SITE>-DC2.

    8. Atualize NTPServers para ser uma lista dos endereços IP do SyncServer dos recursos personalizados TimeServer do administrador principal. Pode obter este conjunto de endereços IP através do seguinte: 

      kubectl get timeserver -A -o json | jq '.items[].address'

      Tem de formatar estes endereços IP em NTPServers, conforme mostrado no exemplo seguinte:

      NtpServers = @(
  '10.251.80.2',
  '10.251.80.3',
  '10.251.80.4',
  '10.251.80.5'
)

    9. Atualize o SubnetPrefix valor predefinido, ou seja, 24, com o valor do prefixo da sub-rede fornecido pelo cliente para a sub-rede OCCORE-SERVERS, se necessário.

    10. Atualize o valor predefinido DefaultGateway com o gateway predefinido fornecido pelo cliente para a sub-rede OCCORE-SERVERS.

    11. Encontre e atualize o valor predefinido WorkstationCider com o valor fornecido pelo cliente para a sub-rede OC-WORKSTATIONS na notação CIDR IPv4.

    12. Localize e substitua o prefixo da sub-rede de exemplo 172.21.0. pelo prefixo da sub-rede OCCORE-SERVERS fornecido pelo cliente.

    13. Encontre e substitua o prefixo da sub-rede de exemplo 172.21.2. pelo prefixo da sub-rede OCCORE-JUMPHOSTS fornecido pelo cliente.

    14. Localize e substitua o prefixo da sub-rede de exemplo 172.21.32. pelo prefixo da sub-rede OC-WORKSTATIONS fornecido pelo cliente.

    15. Localize e substitua o valor de exemplo da mensagem do dia legalnoticecaption de Pref caption pela legenda fornecida pelo cliente.

    16. Localize e substitua o valor de exemplo da mensagem do dia legalnoticetext de Pref text pelo texto fornecido pelo cliente.

    17. Valide cada objeto "node" e atualize-o, se necessário.

      1. NodeName – Certifique-se de que o nome de anfitrião está correto. Alguns nomes são usados em muitos locais, por exemplo, controladores de domínio. Se alterar um nome aqui, verifique se tem de o alterar noutro local na configuração.

      2. IPv4Addr - Tem de ser o endereço IP do anfitrião. Normalmente, não é necessário alterar o último octeto. Alguns deles podem ter sido atualizados durante a pesquisa e substituição de rede realizadas nos passos anteriores.

      3. HyperVHost - Este valor tem de ser o endereço IP do servidor Hyper-V que aloja esta MV. Pode obter o endereço IP de cada servidor BM?? na secção "Servidores Hyper-V" da configuração. Não altere a atribuição do anfitrião do Hyper-V neste campo, uma vez que nem todos os anfitriões do Hyper-V conseguem suportar todos os tipos de MV. Altere apenas o nome do anfitrião do Hyper-V para o respetivo endereço IP.

    18. Atualize todas as estrofes dos nós com splunk_indexer para incluir um disco secundário grande. Cada estrofe deve incluir estas linhas:

      ExtraDiskSize   = 5120GB # No quotes -- PowerShell converts this to an integer.
ExtraDiskFolder = 'H:\Hyper-V\Virtual Hard Disks'

    19. Valide os detalhes da segunda interface de rede em todos os nós com Role=jumphost. Use os detalhes da sub-rede OCCORE-JUMPHOSTS para esta interface. Verifique:

      1. JumphostIPv4Cidr
      2. JumphostDefaultGateway

    20. Atualize a secção específica do ADFS no nó onde Role=adfs.

      1. Substitua todas as instâncias de bert.sesame.street e GDCH.sesame.street pelo valor Domain correto de uma das estrofes na secção DnsConditionalForwarder da configuração.
      2. Substitua a palavra Bert (sem distinção entre maiúsculas e minúsculas) pelo identificador curto da célula do GDC que está a ser configurada para usar o ADFS.

    21. Atualize os âmbitos de DHCP para corresponderem ao plano de IP do cliente, conforme necessário. Em cada âmbito, valide se os seguintes valores estão corretos. Os nomes nos âmbitos correspondem aos nomes usados no plano da rede ocinfo.common.opscenter.local.txt, por isso, use o seguinte na validação:

      1. ScopeId
      2. IpStartRange
      3. IpEndRange
      4. Router
      5. SubnetMask

    22. Confirme se os valores correspondem aos valores no ficheiro config1.ps1 com cópia de segurança

    23. Certifique-se de que guarda o ficheiro.

  5. Atualização da VM CONFIG1

    A atualização do CONFIG1 é realizada no BM01 para permanecer consistente com a instalação inicial. Todas as outras atualizações são realizadas a partir de CONIFIG1 após a atualização.

    1. Copie o diretório operations_center para a VM CONFIG1

    2. No anfitrião BM01, abra uma consola do PS como administrador.

    3. Execute o script Copy-ConfigHostFiles.ps1 para preparar os ficheiros necessários para a máquina virtual (VM) CONFIG1.

      # CD to the script's directory
cd H:\operations_center\dsc

      # Staging files for CONFIG1 VM
.\Copy-ConfigHostFiles.ps1 `<SITE>-CONFIG1`

    4. Desative a sincronização de tempo do Hyper-V

      1. Inicie sessão no anfitrião BM01 como administrador.

      2. Abra o PowerShell no Windows como administrador e execute o seguinte comando:

      # Disabling Hyper-V Time Sync
Disable-VMIntegrationService -VMName `<SITE>-CONFIG1` -Name 'Time Synchronization'

    5. Execute o script de atualização CONFIG1

      .\Update-RemoteHost.ps1 -ComputerName DC1-CONFIG1 -Credentials $domain_admin_creds -SetLcm -RemoveExisting

    6. Após a execução do script, a VM CONFIG1 é reiniciada.

    7. Validação da VM CONFIG1

      1. No anfitrião BM01, use o ambiente de trabalho remoto (RDP) para o IP da VM CONFIG1 e inicie sessão como Marvin. Exemplo: mstsc /v 192.168.100.99

      2. Como utilizador Marvin, abra uma consola do PS com Executar como administrador.

      3. Valide se o ambiente de compilação está pronto executando Build-Mof.ps1, que gera ficheiros de formato de objeto gerido (MOF) para todas as máquinas de OI.

      # Running Build-MOf.ps1
cd C:\dsc
./Build-Mof.ps1

  6. Atualize CA-ISSUING e CA-WEB

    1. Em CONFIG1, como Marvin, execute os seguintes scripts para configurar a VM CA-ISSUING. powershell $la_creds = Get-Credential -Message "Provide local admin credentials for CA- VMs" ./Update-RemoteHost.ps1 -ComputerName <SITE>-CA-ISSUING1 -Credentials $la_creds -SetLcm -RemoveExisting

    2. Em CONFIG1, como Marvin, execute os seguintes scripts para configurar o servidor CA-WEB1.

    $la_creds = Get-Credential -Message "Provide local admin credentials for CA- VMs"
.\Update-RemoteHost.ps1 -ComputerName <SITE>-CA-WEB1 -Credential $la_creds SetLcm -RemoveExisting

  7. Atualize CA_ROOT

    1. Ligue o CA-ROOT1.

      1. Inicie sessão no anfitrião BM01 como administrador.

      2. Abra o PowerShell no Windows como administrador e execute o seguinte comando:

      Start-VM -Name <SITE>-CA-ROOT1

    2. Na VM CONFIG1, inicialize a VM CA-ROOT1.

      .\Update-RemoteHost.ps1  -ComputerName <SITE>-CA-ROOT1 -Credential $la_creds SetLcm -RemoveExisting

    3. Se a VM CA_ROOT não tiver sido reiniciada após o script anterior, reinicie-a manualmente.

    w32tm /query /peers

#Peers: 1

Peer: DC2-DC1.hq.local
State: Active
Time Remaining: 31.2997107s
Mode: 3 (Client)
Stratum: 1 (primary reference - syncd by radio clock)
PeerPoll Interval: 6 (64s)
HostPoll Interval: 6 (64s)

  8. Atualize as VMs de DHCP

    1. No CONFIG1 como utilizador marvin, atualize as VMs de DHCP. Comece pelo DHCP2 e, em seguida, pelo DHCP1.

      • Configurar DHCP2:
      .\Update-RemoteHost.ps1 -ComputerName <SITE>-DHCP2 -Credential $da_creds SetLCM -RemoveExisting
      • Configure o DHCP1
      .\Update-RemoteHost.ps1 -ComputerName <SITE>-DHCP1 -Credential $da_creds SetLCM -RemoveExisting

  9. Atualize os controladores de domínio

    1. Em CONFIG1 como utilizador marvin, atualize o controlador de domínio principal.
    .\Update-RemoteHost.ps1 -ComputerName <SITE>-DC1 -Credential $da_creds SetLCM -RemoveExisting

    1. Valide a sincronização de tempo com o SyncServer

      1. Aceda ao RDP de <SITE>-DC1 como administrador do domínio.
      2. Abra uma janela do Powershell como administrador.

      3. Execute o seguinte comando para validar a configuração de tempo.

        # Checking time status
w32tm /query /status /verbose

      4. Execute os seguintes comandos para testar a resincronização da hora:

        # Testing time resyncronization
w32tm /resync

        # Desired output
Sending resync command to local computer
The command completed successfully.

      5. Volide novamente se a configuração de tempo está correta e não tem erros.

        # Checking time status
  w32tm /query /status /verbose

    2. Atualize a segunda VM de DC (<SITE>-DC2) no BM02

      1. Inicie sessão em CONFIG1 com a respetiva conta de administrador local marvin.
      2. Abra um terminal do PowerShell como administrador e execute o seguinte script.
      cd c:\dsc

.\Update-RemoteHost.ps1 -ComputerName <SITE>-DC2 -Credential $da_creds -SetLCM -RemoveExisting

      1. O servidor é reiniciado. AGUARDE 15 minutos ou a replicação do AD para concluir.

      2. Validar a replicação do AD

      3. Assim que o segundo DC estiver em funcionamento, execute os seguintes comandos a partir de um dos controladores de domínio para validar a replicação do Active Directory:

      repadmin /replsummary
      1. Valide os resultados de acordo com as instruções em #validate-ad-replication.

  10. Atualize as VMs do Microsoft Config Manager

    Na janela do Powershell do marvin em DC1-CONFIG1, configure e execute a configuração do DSC:

    .\Update-RemoteHost.ps1 -ComputerName <SITE>-MCMDB1 -Credential $da_creds -SetLCM -RemoveExisting

    .\Update-RemoteHost.ps1 -ComputerName <SITE>-MCM1 -Credential $da_creds -SetLCM -RemoveExisting

    .\Update-RemoteHost.ps1 -ComputerName <SITE>-MCM2 -Credential $da_creds -SetLCM -RemoveExisting

  11. Atualize as VMs do Splunk

    Na janela do Powershell do marvin em DC1-CONFIG1, configure e execute a configuração do DSC:

     .\Update-RemoteHost.ps1 -ComputerName <SITE>-splunk-heavyfwd -Credential $da_creds -SetLCM -RemoveExisting

     .\Update-RemoteHost.ps1 -ComputerName <SITE>-splunk-indexer -Credential $da_creds -SetLCM -RemoveExisting

     .\Update-RemoteHost.ps1 -ComputerName <SITE>-splunk-manager -Credential $da_creds -SetLCM -RemoveExisting

     .\Update-RemoteHost.ps1 -ComputerName <SITE>-splunk-searchhead -Credential $da_creds -SetLCM -RemoveExisting

     .\Update-RemoteHost.ps1 -ComputerName <SITE>-universal -Credential $da_creds -SetLCM -RemoveExisting

  12. Atualize as VMs do Nessus

    Na janela do Powershell do marvin em DC1-CONFIG1, configure e execute a configuração do DSC:

     .\Update-RemoteHost.ps1 -ComputerName <SITE>-NESSUS1 -Credential $da_creds -SetLCM -RemoveExisting

     .\Update-RemoteHost.ps1 -ComputerName <SITE>-NESSUS2 -Credential $da_creds -SetLCM -RemoveExisting