stefan007
Goto Top

Sophos UTM Cluster Upgrade - was gilt es zu beachten?

Hi zusammen,

wir müssen ein Sophos Cluster auf die aktuelle Firmware Upgraden. Über die Sophos läuft ausschließlich die TK-Anlage. Durch das Cluster gehen wir davon aus, dass wir die Firewalls einzeln, im Produktiv-Betrieb updaten können. Ist das so weit richtig?

Im Netz habe ich folgende Artikel aus dem Sophos Forum gefunden: https://community.sophos.com/products/unified-threat-management/f/german ...

Daher die Frage: Ist das Alles oder in welche Richtung sollte ich mich noch absichern?


Gruß,

Stefan

Content-ID: 580481

Url: https://administrator.de/contentid/580481

Printed on: November 2, 2024 at 12:11 o'clock

itisnapanto
itisnapanto Jun 19, 2020 at 06:23:01 (UTC)
Goto Top
Moin ,

machst erst die eine , dann die andere. Dafür ist der HA Cluster ja da . Wenn du dir unsicher bist, machste es außerhalb der Geschäftszeiten .

Gruss
Alchimedes
Solution Alchimedes Jun 19, 2020 updated at 11:09:07 (UTC)
Goto Top
Hallo,

laueft das Cluster als Master / Slave ?
Dann ist das ueberhaupt kein Problem, wenn Du das Upgrade auf dem Master einspielst startet der Slave und wird zum Master danach umgekehrt.
( Bitte keine Rassismusdebatte.... )

Gruss

Nachtrag Aktiv / Passiv ist wohl die bessere Wortwahl...
nachgefragt
nachgefragt Jun 19, 2020 updated at 06:34:15 (UTC)
Goto Top
Zitat von @Stefan007:
aktuelle Firmware Upgraden
TK-Anlage
Produktiv-Betrieb
... bazinga

Guten Morgen Zusammen,
einen schönen Freitagmorgen face-smile
Stefan007
Stefan007 Jun 19, 2020 at 08:40:07 (UTC)
Goto Top
Zitat von @nachgefragt:

Zitat von @Stefan007:
aktuelle Firmware Upgraden
TK-Anlage
Produktiv-Betrieb
... bazinga

Guten Morgen Zusammen,
einen schönen Freitagmorgen face-smile


ungefragt nachgefragt :P
Stefan007
Stefan007 Jun 19, 2020 at 08:41:56 (UTC)
Goto Top
Zitat von @Alchimedes:

Hallo,

laueft das Cluster als Master / Slave ?
Dann ist das ueberhaupt kein Problem, wenn Du das Upgrade auf dem Master einspielst startet der Slave und wird zum Master danach umgekehrt.
( Bitte keine Rassismusdebatte.... )

Gruss


Bedeutet es, dass man sich über die Cluster-IP auswählt, unter Up2Date das Update durchführt und nach dem Neustart dann erneut unter Up2Date das Update für den 2. Knoten durchführen muss? Wir wollen ja mit einem Knoten erstmal das Verhalten testen.
Spirit-of-Eli
Spirit-of-Eli Jun 19, 2020 at 09:43:51 (UTC)
Goto Top
Zitat von @Stefan007:

Zitat von @Alchimedes:

Hallo,

laueft das Cluster als Master / Slave ?
Dann ist das ueberhaupt kein Problem, wenn Du das Upgrade auf dem Master einspielst startet der Slave und wird zum Master danach umgekehrt.
( Bitte keine Rassismusdebatte.... )

Gruss


Bedeutet es, dass man sich über die Cluster-IP auswählt, unter Up2Date das Update durchführt und nach dem Neustart dann erneut unter Up2Date das Update für den 2. Knoten durchführen muss? Wir wollen ja mit einem Knoten erstmal das Verhalten testen.

Ich kann mich irren, aber dafür musst du den Cluster aufbrechen bzw. physisch trennen. Ansonsten machst du ein ganz normales cluster upgrade.

Ich steck bei den sophos Hobeln nicht tief genug drin, das mir gerade eine andere Lösung einfallen würde.
Stößt du das update jetzt an, so wird der slave hochgezogen und danach der master.
Stefan007
Stefan007 Jun 19, 2020 at 09:46:02 (UTC)
Goto Top
Zitat von @Spirit-of-Eli:

Zitat von @Stefan007:

Zitat von @Alchimedes:

Hallo,

laueft das Cluster als Master / Slave ?
Dann ist das ueberhaupt kein Problem, wenn Du das Upgrade auf dem Master einspielst startet der Slave und wird zum Master danach umgekehrt.
( Bitte keine Rassismusdebatte.... )

Gruss


Bedeutet es, dass man sich über die Cluster-IP auswählt, unter Up2Date das Update durchführt und nach dem Neustart dann erneut unter Up2Date das Update für den 2. Knoten durchführen muss? Wir wollen ja mit einem Knoten erstmal das Verhalten testen.

Ich kann mich irren, aber dafür musst du den Cluster aufbrechen bzw. physisch trennen. Ansonsten machst du ein ganz normales cluster upgrade.

Ich steck bei den sophos Hobeln nicht tief genug drin, das mir gerade eine andere Lösung einfallen würde.
Stößt du das update jetzt an, so wird der slave hochgezogen und danach der master.


Hi Eli,

wie sieht das aus, wenn das Update beim Master fehlschlägt? Macht er dann trotzdem mit dem Slave weiter oder wird der Prozess dann gestoppt?
Spirit-of-Eli
Spirit-of-Eli Jun 19, 2020 at 11:06:18 (UTC)
Goto Top
Der zieht erst den Slave hoch soweit ich das in Erinnerung habe.
Von was für einem Versionssprung reden wir eigentlich?

Im Zweifelsfall musst du dich an den Sophos Support wenden.
Alchimedes
Alchimedes Jun 19, 2020 at 11:07:30 (UTC)
Goto Top
Hallo,

Du meldest Dich einfach auf der Kiste an fuehrst das Update durch.
Du musst jedoch bei den Lizenzen aufpassen !
Bei Aktiv / Passiv hast Du in der Regel nur eine Lizenz. Wenn Du nun die Andere als Master deklariest hast Du ploetzlich 2 Master und somit halbiert sich die Lizenz !

Das ist und schon mal passiert da hatten wir ploetzlich von 3 Jahren nur noch eine 1 1/2 Jahre gueltige Lizenz.
Wir konnten das dann aber damals mit unserem Sophospartner klaeren.

Gruss
dng-alt
Solution dng-alt Jun 19, 2020 at 11:33:00 (UTC)
Goto Top
Hallo Stefan,

das Update eines Sophos Clusters ist relativ einfach und gefahrlos machbar, wenn man ein paar Einstellungen beachtet.
Schau unter Management -> High Availability -> Configuration in welchem Modus dein Cluster läuft. Im Idealfall ist das "Hot Standby (active-passive)".
Hier bitte auf zwei Einstellungen achten:
Auf der Configuration-Seite gibt es den Punkt "Keep node(s) reserved during Up2Date". Diesen bitte anklicken, dann bleibt der andere Cluster vom Update erstmal "verschont".
Außerdem setze ich den Prefered Master immer auf "NONE", damit es nicht irgendwann zum sinnfreie Schwingen zwischen den Nodes kommt, da der dann den präferierten Master wieder setzen will.
Wenn das erledigt ist, dann gehe ich unter Management -> Up2Date und klicke auf "Update to latest version now". Es öffnet sich das Update-Status-Fenster und das Teil patcht sich und irgendwann kommt der Neustart. Damit ist der erste Node gepatcht und du kannst die neue Firmware testen. Das sieht man sehr gut, wenn man unter Management -> HA geht, da ist der eine Node active und der andere reserved. Wenn etwas nicht passt, dann hier den neuen Node herunterfahren und der "alte" Node übernimmt wieder.
Wenn alles schick und schön ist, dann unter Management -> HA den zweiten Node ebenfalls auf die aktuelle Version hochziehen (Button hinter Node) und ggf. den Prefered Master wieder setzen. FERTIG!

Kleiner Tipp am Rande: Der Zeitabstand zwischen dem Update 1. Node und 2. Node sollte nicht allzu lange sein. Ich hatte hier schon Spaß, als mir ein Node in dieser Zeit hardware-technisch gestorben ist und dann war das etwas kniffelig die Garantie abzuwickeln.

Ich hoffe, dass hilft weiter...viel Erfolg dabei! face-smile
Stefan007
Stefan007 Jun 19, 2020 at 21:33:33 (UTC)
Goto Top
Zitat von @dng-alt:

Hallo Stefan,

das Update eines Sophos Clusters ist relativ einfach und gefahrlos machbar, wenn man ein paar Einstellungen beachtet.
Schau unter Management -> High Availability -> Configuration in welchem Modus dein Cluster läuft. Im Idealfall ist das "Hot Standby (active-passive)".
Hier bitte auf zwei Einstellungen achten:
Auf der Configuration-Seite gibt es den Punkt "Keep node(s) reserved during Up2Date". Diesen bitte anklicken, dann bleibt der andere Cluster vom Update erstmal "verschont".
Außerdem setze ich den Prefered Master immer auf "NONE", damit es nicht irgendwann zum sinnfreie Schwingen zwischen den Nodes kommt, da der dann den präferierten Master wieder setzen will.
Wenn das erledigt ist, dann gehe ich unter Management -> Up2Date und klicke auf "Update to latest version now". Es öffnet sich das Update-Status-Fenster und das Teil patcht sich und irgendwann kommt der Neustart. Damit ist der erste Node gepatcht und du kannst die neue Firmware testen. Das sieht man sehr gut, wenn man unter Management -> HA geht, da ist der eine Node active und der andere reserved. Wenn etwas nicht passt, dann hier den neuen Node herunterfahren und der "alte" Node übernimmt wieder.
Wenn alles schick und schön ist, dann unter Management -> HA den zweiten Node ebenfalls auf die aktuelle Version hochziehen (Button hinter Node) und ggf. den Prefered Master wieder setzen. FERTIG!

Kleiner Tipp am Rande: Der Zeitabstand zwischen dem Update 1. Node und 2. Node sollte nicht allzu lange sein. Ich hatte hier schon Spaß, als mir ein Node in dieser Zeit hardware-technisch gestorben ist und dann war das etwas kniffelig die Garantie abzuwickeln.

Ich hoffe, dass hilft weiter...viel Erfolg dabei! face-smile


Ich danke dir für die ausführliche Antwort. Es hat heute alles geklappt face-smile.

Gruß,
Stefan