概要
このドキュメントでは、小規模なNextrootパーティションが原因でアップグレードが失敗した場合に、仮想Eメールセキュリティアプライアンス(vESA)および仮想セキュリティ管理アプライアンス(vSMA)を交換するプロセスについて説明します。
ESAの関連不具合:CSCvy69068およびSMA:CSCvy69076
背景
当初、仮想ESAおよび仮想SMAイメージは、Nextrootパーティションサイズが500M未満で構築されました。長年にわたり、追加機能を含む新しいAsyncOSリリースでは、アップグレード処理の間に、このパーティションの数を増やす必要がありました。このパーティションサイズが原因でアップグレードが失敗し始めています。このソリューションの詳細を説明し、より大きなNextrootパーティションサイズの4GBを持つ新しい仮想イメージを導入したいと考えました。
症状
500M未満のNextrootパーティションサイズを持つ古いイメージvESAまたはvSMAは、次のエラーが表示されてアップグレードに失敗する可能性があります。
...
...
...
Finding partitions... done.
Setting next boot partition to current partition as a precaution... done.
Erasing new boot partition... done.
Extracting eapp done.
Extracting scanerroot done.
Extracting splunkroot done.
Extracting savroot done.
Extracting ipasroot done.
Extracting ecroot done.
Removing unwanted files in nextroot done.
Extracting distroot
/nextroot: write failed, filesystem is full
./usr/share/misc/termcap: Write failed
./usr/share/misc/pci_vendors: Write to restore size failed
./usr/libexec/getty: Write to restore size failed
./usr/libexec/ld-elf.so.1: Write to restore size failed
./usr/lib/libBlocksRuntime.so: Write to restore size failed
./usr/lib/libBlocksRuntime.so.0: Write to restore size failed
./usr/lib/libalias.so: Write to restore size failed
./usr/lib/libarchive.so: Write to restore size failed
解決方法
仮想ESA/SMAを確実にアップグレードできるようにするには、まずCLIコマンドipcheckを使用して、次のルートパーティションサイズが4 GBかどうかを確認する必要があります。
(lab.cisco.com) > ipcheck
<----- Snippet of relevant section from the output ----->
Root 4GB 7%
Nextroot 4GB 1%
Var 400MB 3%
Log 172GB 3%
DB 2GB 0%
Swap 6GB
Mail Queue 10GB
<----- End of snippet ----->
次のルートパーティションが4 GB未満の場合は、次の手順に従って、現在のVMテンプレートを新しい更新イメージに移行します。
ステップ 1:
新しいvESA/vSMAの導入
前提条件から、仮想ESA/SMAイメージをダウンロードし、『Cisco Content Security Virtual Appliance Installation Guide』に従って導入します。
注:インストールガイドには、DHCP(interfaceconfig)に関する情報と、仮想ホスト上のデフォルトゲートウェイ(setgateway)の設定、および仮想アプライアンスライセンスファイルのロードが記載されています。指示に従って読み取り、展開したことを確認します。
ステップ 2:
新しいvESA/vSMAのライセンス
新しい仮想ESAまたはSMAが導入されたら、ライセンスファイルをロードします。仮想化では、ライセンスはXMLファイルに含まれ、CLIを使用してロードする必要があります。CLIからloadlicenseコマンドを使用し、指示に従ってライセンスのインポートを完了します。
ライセンスファイルのロードまたは取得の詳細が必要な場合は、次の記事を参照してください。仮想ESA、仮想WSA、または仮想SMAライセンスのベストプラクティス。
ステップ 3:
新しいvESA/vSMAが元のバージョンと同じバージョンであることを確認します。そうでない場合は、vESA/vSMAを古いバージョンでアップグレードして、同じバージョンの両方のデバイスを取得する必要があります。upgradeコマンドを使用し、必要なバージョンを取得するまでプロンプトに従います。
ステップ4:[vESAのみ、vSMAはスキップ]
注:この手順では、既存のクラスタがないと仮定します。既存のクラスタが現在の設定に存在する場合は、新しいvESAをクラスタに追加して現在の設定をコピーし、その新しいマシンを削除してアップグレードプロセスを開始します。
新しいクラスタの作成
元のvESAでclusterconfigコマンドを実行して、新しいクラスタを作成します。
OriginalvESA.local> clusterconfig
Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 2
Enter the name of the new cluster.
[]> OriginalCluster.local
Should all machines in the cluster communicate with each other by hostname or by IP address?
1. Communicate by IP address.
2. Communicate by hostname.
[2]> 1
What IP address should other machines use to communicate with Machine C170.local?
1. 10.10.10.58 port 22 (SSH on interface Management)
2. Enter an IP address manually
[]> 1
Other machines will communicate with Machine C195.local using IP address 10.10.10.58 port 22. You can change this by using the COMMUNICATION subcommand of the clusterconfig command.
New cluster committed: Sat Jun 08 11:45:33 2019 GMT
Creating a cluster takes effect immediately, there is no need to commit.
Cluster OriginalCluster.local
Choose the operation you want to perform:
- ADDGROUP - Add a cluster group.
- SETGROUP - Set the group that machines are a member of.
- RENAMEGROUP - Rename a cluster group.
- DELETEGROUP - Remove a cluster group.
- REMOVEMACHINE - Remove a machine from the cluster.
- SETNAME - Set the cluster name.
- LIST - List the machines in the cluster.
- CONNSTATUS - Show the status of connections between machines in the cluster.
- COMMUNICATION - Configure how machines communicate within the cluster.
- DISCONNECT - Temporarily detach machines from the cluster.
- RECONNECT - Restore connections with machines that were previously detached.
- PREPJOIN - Prepare the addition of a new machine over CCS.
[]>
(Cluster OriginalCluster.local)>
ステップ5:[vESAのみ、vSMAはスキップ]
新しいvESAを元のESAクラスタに参加
新しいvESAのCLIから、コマンドclusterconfig > Join an existing...を実行します。 新しいvESAを元のvESAで設定された新しいクラスタに追加します。
NewvESA.cisco.com> clusterconfig
Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 3
While joining a cluster, you will need to validate the SSH host key of the remote machine to which you are joining. To get the public host key fingerprint of the remote host, connect to the cluster and run: logconfig -> hostkeyconfig -> fingerprint.
WARNING: All non-network settings will be lost. System will inherit the values set at the group or cluster mode for the non-network settings. Ensure that the cluster settings are compatible with your network settings (e.g. dnsconfig settings)
Exception:Centralized Policy, Virus, and Outbreak Quarantine settings are not inherited from the cluster. These settings on this machine will remain intact.
Do you want to enable the Cluster Communication Service on ironport.example.com? [N]> n
Enter the IP address of a machine in the cluster.
[]> 10.10.10.58
Enter the remote port to connect to. This must be the normal admin ssh port, not the CCS port.
[22]>
Would you like to join this appliance to a cluster using pre-shared keys? Use this option if you have enabled two-factor authentication on the appliance. [Y]> n
Enter the name of an administrator present on the remote machine
[admin]>
Enter passphrase:
Please verify the SSH host key for 10.10.10.56:
Public host key fingerprint: 80:11:33:aa:bb:44:ee:ee:22:77:88:ff:77:88:88:bb
Is this a valid key for this host? [Y]> y
Joining cluster group Main_Group.
Joining a cluster takes effect immediately, there is no need to commit.
Cluster OriginalCluster.local
Choose the operation you want to perform:
- ADDGROUP - Add a cluster group.
- SETGROUP - Set the group that machines are a member of.
- RENAMEGROUP - Rename a cluster group.
- DELETEGROUP - Remove a cluster group.
- REMOVEMACHINE - Remove a machine from the cluster.
- SETNAME - Set the cluster name.
- LIST - List the machines in the cluster.
- CONNSTATUS - Show the status of connections between machines in the cluster.
- COMMUNICATION - Configure how machines communicate within the cluster.
- DISCONNECT - Temporarily detach machines from the cluster.
- RECONNECT - Restore connections with machines that were previously detached.
- PREPJOIN - Prepare the addition of a new machine over CCS.
[]>
(Cluster OriginalCluster.local)>
接続および同期が完了すると、新しいvESAは既存のvESAと同じ設定になります。
clustercheckコマンドを実行して同期を検証し、アップグレードされたマシン間に不整合があるかどうかを確認します。
ステップ6:[vSMAの場合のみ、vESAの場合はスキップ]
ここに記載されているSMAデータバックアップの前提条件を確認します。
新しく導入されたvSMAへのバックアップをスケジュールするために交換する必要があるデバイスでCLIコマンドbackupconfigを使用します。
即時バックアップを開始するには
- 元のSMA CLIにadminとしてログインします。
- Enterbackupconfig。
- [Schedule] を選択します。
- データの転送先となる新しいマシンのIPアドレスを入力します。
- 「ソース」SMAは、「ターゲット」SMAの存在を確認し、ターゲットSMAにデータを受け入れる十分なスペースがあることを確認します。
- 3(Start a Single Backup Now)を選択します。
- バックアップが正常にスケジュールされたことを確認するには、viewstatusと入力します。
注:データバックアップの所要時間は、データのサイズ、ネットワーク帯域幅などに応じて異なります。
バックアップが完了すると、新しいvSMAは以前のSMAからすべてのデータを受信します。
新しいマシンをプライマリデバイスとして設定するには、ここで説明する手順を参照してください。
手順 7:
複数のESA/SMAを導入する必要がある場合は、手順1 ~ 6を実行します。
関連情報
Ciscoコンテンツセキュリティ仮想アプライアンスインストールガイド
ESA クラスタの要件とセットアップ
SMAエンドユーザガイド
フィードバック