Sophos UTM Cluster Upgrade - was gilt es zu beachten?
Hi zusammen,
wir müssen ein Sophos Cluster auf die aktuelle Firmware Upgraden. Über die Sophos läuft ausschließlich die TK-Anlage. Durch das Cluster gehen wir davon aus, dass wir die Firewalls einzeln, im Produktiv-Betrieb updaten können. Ist das so weit richtig?
Im Netz habe ich folgende Artikel aus dem Sophos Forum gefunden: https://community.sophos.com/products/unified-threat-management/f/german ...
Daher die Frage: Ist das Alles oder in welche Richtung sollte ich mich noch absichern?
Gruß,
Stefan
wir müssen ein Sophos Cluster auf die aktuelle Firmware Upgraden. Über die Sophos läuft ausschließlich die TK-Anlage. Durch das Cluster gehen wir davon aus, dass wir die Firewalls einzeln, im Produktiv-Betrieb updaten können. Ist das so weit richtig?
Im Netz habe ich folgende Artikel aus dem Sophos Forum gefunden: https://community.sophos.com/products/unified-threat-management/f/german ...
Daher die Frage: Ist das Alles oder in welche Richtung sollte ich mich noch absichern?
Gruß,
Stefan
Please also mark the comments that contributed to the solution of the article
Content-ID: 580481
Url: https://administrator.de/contentid/580481
Printed on: November 2, 2024 at 12:11 o'clock
11 Comments
Latest comment
... bazinga
Guten Morgen Zusammen,
einen schönen Freitagmorgen
Guten Morgen Zusammen,
einen schönen Freitagmorgen
Zitat von @Stefan007:
Bedeutet es, dass man sich über die Cluster-IP auswählt, unter Up2Date das Update durchführt und nach dem Neustart dann erneut unter Up2Date das Update für den 2. Knoten durchführen muss? Wir wollen ja mit einem Knoten erstmal das Verhalten testen.
Zitat von @Alchimedes:
Hallo,
laueft das Cluster als Master / Slave ?
Dann ist das ueberhaupt kein Problem, wenn Du das Upgrade auf dem Master einspielst startet der Slave und wird zum Master danach umgekehrt.
( Bitte keine Rassismusdebatte.... )
Gruss
Hallo,
laueft das Cluster als Master / Slave ?
Dann ist das ueberhaupt kein Problem, wenn Du das Upgrade auf dem Master einspielst startet der Slave und wird zum Master danach umgekehrt.
( Bitte keine Rassismusdebatte.... )
Gruss
Bedeutet es, dass man sich über die Cluster-IP auswählt, unter Up2Date das Update durchführt und nach dem Neustart dann erneut unter Up2Date das Update für den 2. Knoten durchführen muss? Wir wollen ja mit einem Knoten erstmal das Verhalten testen.
Ich kann mich irren, aber dafür musst du den Cluster aufbrechen bzw. physisch trennen. Ansonsten machst du ein ganz normales cluster upgrade.
Ich steck bei den sophos Hobeln nicht tief genug drin, das mir gerade eine andere Lösung einfallen würde.
Stößt du das update jetzt an, so wird der slave hochgezogen und danach der master.
Hallo,
Du meldest Dich einfach auf der Kiste an fuehrst das Update durch.
Du musst jedoch bei den Lizenzen aufpassen !
Bei Aktiv / Passiv hast Du in der Regel nur eine Lizenz. Wenn Du nun die Andere als Master deklariest hast Du ploetzlich 2 Master und somit halbiert sich die Lizenz !
Das ist und schon mal passiert da hatten wir ploetzlich von 3 Jahren nur noch eine 1 1/2 Jahre gueltige Lizenz.
Wir konnten das dann aber damals mit unserem Sophospartner klaeren.
Gruss
Du meldest Dich einfach auf der Kiste an fuehrst das Update durch.
Du musst jedoch bei den Lizenzen aufpassen !
Bei Aktiv / Passiv hast Du in der Regel nur eine Lizenz. Wenn Du nun die Andere als Master deklariest hast Du ploetzlich 2 Master und somit halbiert sich die Lizenz !
Das ist und schon mal passiert da hatten wir ploetzlich von 3 Jahren nur noch eine 1 1/2 Jahre gueltige Lizenz.
Wir konnten das dann aber damals mit unserem Sophospartner klaeren.
Gruss
Hallo Stefan,
das Update eines Sophos Clusters ist relativ einfach und gefahrlos machbar, wenn man ein paar Einstellungen beachtet.
Schau unter Management -> High Availability -> Configuration in welchem Modus dein Cluster läuft. Im Idealfall ist das "Hot Standby (active-passive)".
Hier bitte auf zwei Einstellungen achten:
Auf der Configuration-Seite gibt es den Punkt "Keep node(s) reserved during Up2Date". Diesen bitte anklicken, dann bleibt der andere Cluster vom Update erstmal "verschont".
Außerdem setze ich den Prefered Master immer auf "NONE", damit es nicht irgendwann zum sinnfreie Schwingen zwischen den Nodes kommt, da der dann den präferierten Master wieder setzen will.
Wenn das erledigt ist, dann gehe ich unter Management -> Up2Date und klicke auf "Update to latest version now". Es öffnet sich das Update-Status-Fenster und das Teil patcht sich und irgendwann kommt der Neustart. Damit ist der erste Node gepatcht und du kannst die neue Firmware testen. Das sieht man sehr gut, wenn man unter Management -> HA geht, da ist der eine Node active und der andere reserved. Wenn etwas nicht passt, dann hier den neuen Node herunterfahren und der "alte" Node übernimmt wieder.
Wenn alles schick und schön ist, dann unter Management -> HA den zweiten Node ebenfalls auf die aktuelle Version hochziehen (Button hinter Node) und ggf. den Prefered Master wieder setzen. FERTIG!
Kleiner Tipp am Rande: Der Zeitabstand zwischen dem Update 1. Node und 2. Node sollte nicht allzu lange sein. Ich hatte hier schon Spaß, als mir ein Node in dieser Zeit hardware-technisch gestorben ist und dann war das etwas kniffelig die Garantie abzuwickeln.
Ich hoffe, dass hilft weiter...viel Erfolg dabei!
das Update eines Sophos Clusters ist relativ einfach und gefahrlos machbar, wenn man ein paar Einstellungen beachtet.
Schau unter Management -> High Availability -> Configuration in welchem Modus dein Cluster läuft. Im Idealfall ist das "Hot Standby (active-passive)".
Hier bitte auf zwei Einstellungen achten:
Auf der Configuration-Seite gibt es den Punkt "Keep node(s) reserved during Up2Date". Diesen bitte anklicken, dann bleibt der andere Cluster vom Update erstmal "verschont".
Außerdem setze ich den Prefered Master immer auf "NONE", damit es nicht irgendwann zum sinnfreie Schwingen zwischen den Nodes kommt, da der dann den präferierten Master wieder setzen will.
Wenn das erledigt ist, dann gehe ich unter Management -> Up2Date und klicke auf "Update to latest version now". Es öffnet sich das Update-Status-Fenster und das Teil patcht sich und irgendwann kommt der Neustart. Damit ist der erste Node gepatcht und du kannst die neue Firmware testen. Das sieht man sehr gut, wenn man unter Management -> HA geht, da ist der eine Node active und der andere reserved. Wenn etwas nicht passt, dann hier den neuen Node herunterfahren und der "alte" Node übernimmt wieder.
Wenn alles schick und schön ist, dann unter Management -> HA den zweiten Node ebenfalls auf die aktuelle Version hochziehen (Button hinter Node) und ggf. den Prefered Master wieder setzen. FERTIG!
Kleiner Tipp am Rande: Der Zeitabstand zwischen dem Update 1. Node und 2. Node sollte nicht allzu lange sein. Ich hatte hier schon Spaß, als mir ein Node in dieser Zeit hardware-technisch gestorben ist und dann war das etwas kniffelig die Garantie abzuwickeln.
Ich hoffe, dass hilft weiter...viel Erfolg dabei!