소개
이 문서에서는 Cisco SEG(Secure Email Gateway) 또는 Cisco Email Security Appliance의 AsyncOS 업그레이드 프로세스와 관련된 단계에 대해 설명합니다.
사전 요구 사항
요구 사항
- System Status(시스템 상태) 출력에서 어플라이언스 RAID 상태가 READY(준비) 또는 OPTIMAL(최적)인지 확인합니다. RAID 상태가 DEGRADED(저하됨)인 어플라이언스에서 업그레이드를 시작하지 마십시오. 어플라이언스에 대한 RMA(Return Material Authorization) 케이스를 시작하려면 Cisco TAC에 문의하십시오.
- ESA(Email Security Appliance)가 독립형 어플라이언스인지 또는 클러스터링된 환경인지 확인합니다. 클러스터링된 경우 이 문서의 클러스터 업그레이드 섹션을 제대로 검토해야 합니다.
- 패킷 검사 없이 포트 80 및 443에서 ESA에 인터넷 연결이 있는지 확인합니다.
- 기능적 DNS 서버가 필요합니다.
주의: Cisco Secure Email Gateway의 다음 AsyncOS 릴리스(모든 릴리스는 AsyncOS 15.0 릴리스 이후)부터는 Cisco Smart Software Licensing 사용이 필수입니다.
사용되는 구성 요소
이 문서는 특정 소프트웨어 및 하드웨어 버전으로 한정되지 않습니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
ESA/SMA 간 호환성
업그레이드하기 전에 ESA 및 SMA 시스템의 호환성을 검토하십시오. 이전 버전의 AsyncOS for Email Security에서는 최신 버전으로 업그레이드해야 할 수 있습니다. 업그레이드 경로 및 어플라이언스 프로비저닝에 대한 확인은 Cisco TAC에 문의하십시오.
업그레이드 준비
- XML 컨피그레이션 파일을 오프박스에 저장합니다. 어떤 이유로든 업그레이드 전 릴리스로 돌아가야 하는 경우 이 파일을 사용하여 이전 컨피그레이션을 가져올 수 있습니다.
- 허용 목록/차단 목록 기능을 사용하는 경우 목록을 오프박스로 내보냅니다.
- 모든 리스너를 일시 중단합니다. CLI에서 업그레이드를 수행하는 경우 suspendlistener 명령을 사용합니다. GUI에서 업그레이드를 수행하는 경우 리스너 중단이 자동으로 발생합니다.
- 큐가 비어 있을 때까지 기다립니다. workqueue 명령을 사용하여 작업 대기열의 메시지 수를 보거나 CLI의 rate 명령을 사용하여 어플라이언스의 메시지 처리량을 모니터링할 수 있습니다.
업그레이드 다운로드 및 설치
AsyncOS for Email Security 버전 8.0부터 업그레이드 옵션이 DOWNLOAD 외에 DOWNLOADINSTALL도 포함하도록 업데이트됩니다. 이를 통해 관리자는 한 번의 작업으로 다운로드하여 설치하거나 백그라운드에서 다운로드한 후 나중에 설치할 수 있습니다.
(ESA_CLI)> upgrade
Choose the operation you want to perform:
- DOWNLOADINSTALL - Downloads and installs the upgrade image (needs reboot).
- DOWNLOAD - Downloads the upgrade image.
[]> download
Upgrades available.
1. AsyncOS 14.2.0 build 616 upgrade For Email, 2022-05-27,release available as General Deployment
2. AsyncOS 14.2.0 build 620 upgrade For Email, 2022-07-05,release available as General Deployment
[2]>
자세한 내용은 사용 설명서를 참조하십시오.
CLI에서 업그레이드
- status 명령을 입력하고 리스너가 일시 중단되었는지 확인합니다. System status(시스템 상태): Receiving suspended message(수신 일시 중단 메시지)를 볼 수 있습니다.
- upgrade 명령을 입력합니다.
- DOWNLOADINSTALL 또는 DOWNLOAD 옵션을 선택합니다.
- 원하는 업그레이드 버전과 관련된 적절한 번호를 선택합니다.
- 현재 컨피그레이션을 저장하고 업그레이드 적용 시 재부팅을 승인하는 데 필요한 질문을 완료합니다.
- 업그레이드 후 CLI에 로그인하고 resume을 입력하여 리스너를 다시 시작하고 작업을 확인합니다. status 명령을 입력하고 시스템 상태: Online(온라인)을 확인합니다.
GUI를 통해 업그레이드
- System Administration(시스템 관리) > System Upgrade(시스템 업그레이드)를 선택합니다.
- 업그레이드 옵션...을 클릭합니다.
- 다운로드 및 설치 또는 다운로드에 대한 옵션을 선택합니다.
- 을 클릭하고 원하는 업그레이드 버전을 강조 표시합니다.
- 업그레이드 준비에 적합한 옵션을 선택합니다.
- 업그레이드를 시작하고 모니터링에 대한 진행률 표시줄을 표시하려면 계속 진행합니다.
- 업그레이드 후 CLI에 로그인하고 resume을 입력하여 리스너를 다시 시작하고 작업을 확인합니다. System Administration(시스템 관리) > Shutdown/Suspend(종료/일시 중지) > Resume(모두 선택)을 선택합니다.
- Mail Operations(메일 작업) 섹션에서 Commit(커밋)을 선택합니다.
클러스터 업그레이드
클러스터의 ESA는 이전 섹션에서와 마찬가지로 CLI 또는 GUI에서 동일한 업그레이드 프로세스를 사용하며, 한 가지 예외는 클러스터에서 디바이스의 연결을 끊으라는 프롬프트가 표시된다는 것입니다.
참고: CLI 또는 GUI를 사용하여 업그레이드를 수행할 수 있지만clusterconfig
reconnectcommands는 CLI를 통해서만 사용할 수 있습니다. 이 문서에서는 CLI를 통해 시스템을 업그레이드하는 방법에 대해 설명합니다.
CLI의 예:
(Cluster my_cluster)> upgrade
This command is restricted to run in machine mode of the machine you are logged in to.
Do you want to switch to "Machine applianceA.local" mode? [Y]> y
GUI의 예:
참고: 관리 연결 해제에만 해당합니다. 이렇게 하면 연결이 끊어진 어플라이언스에서 또는 연결이 끊어진 어플라이언스로 클러스터 전반에 걸쳐 컨피그레이션의 동기화 시도가 중지됩니다. 어플라이언스 컨피그레이션은 제거 또는 변경되지 않습니다.
CLI를 통해 클러스터에서 실행되는 ESA를 업그레이드하려면 다음 단계를 완료하십시오.
- CLI에 upgrade 명령을 입력하여 AsyncOS를 최신 버전으로 업그레이드합니다. 클러스터 연결을 끊을 것인지 묻는 메시지가 나타나면 문자 Y로 응답하여 계속 진행합니다.
(ESA_CLI)> upgrade
You must disconnect all machines in the cluster in order to upgrade them. Do you wish
to disconnect all machines in the cluster now? [Y]> Y
- 모든 업그레이드 프롬프트(리부팅 프롬프트 포함)를 사용합니다.
- 클러스터의 모든 시스템을 업그레이드하고 재부팅한 후 CLI를 통해 클러스터의 시스템 중 하나에 로그온하고 clusterconfig 명령을 입력합니다. 컨피그레이션 동기화를 허용하고 클러스터 작업을 다시 시작하려면 클러스터 레벨에서 다시 연결합니다.
- 다시 연결하려면 예로 응답합니다. 커밋할 필요가 없습니다.
Choose the machine to reattach to the cluster. Separate multiple machines with commas
or specify a range with a dash.
1. host2.example.com (group Main)
2. host3.example.com (group Main)
3. host4.example.com (group Main)
[1]> 1-3
- connstatus 명령을 실행하여 모든 디바이스가 클러스터에 있는지 확인합니다. 또한 명령 clustercheck를 실행하여 불일치가 없는지 확인합니다.
클러스터 업그레이드 권장 사항은 다음과 같습니다.
- 모든 어플라이언스가 일치하는 버전으로 업그레이드될 때까지 ESA를 클러스터에 다시 연결하지 마십시오.
- 필요한 경우 한 ESA에서 업그레이드를 완료한 후 이전에 일시 중단된 경우 리스너를 다시 시작하고 독립형 어플라이언스로 작동하도록 허용합니다.
- ESA가 클러스터에서 연결 해제될 때 컨피그레이션을 변경하거나 수정하지 마십시오. 이렇게 하면 클러스터 수준 사후 업그레이드에 다시 연결할 때 컨피그레이션 불일치를 방지할 수 있습니다.
- 모든 어플라이언스가 동일한 버전으로 업그레이드되면 클러스터 레벨에서 다시 연결하여 컨피그레이션 동기화를 허용하고 클러스터 작업을 다시 시작합니다.
사후 검사:
- 어플라이언스가 SMA에 의해 관리되는 경우
- Management Appliance(관리 어플라이언스) > Centralized Services(중앙 집중식 서비스) > Security Appliances(보안 어플라이언스)로 이동하여 모든 서비스가 작동하고 연결이 Established(설정됨)로 표시되는지 확인합니다.Email(이메일) > Message Tracking(메시지 추적) > Message Tracking Data Availability(메시지 추적 데이터 가용성)로 이동하여 상태가 모든 ESA에 대해 OK(확인)로 표시되는지 확인합니다.
- 각 어플라이언스에서 status 명령을 입력하고 온라인으로 표시되도록 검색합니다.
- displayalerts 명령을 입력하고 업그레이드 후 표시되는 새 경고를 확인합니다.
- 클러스터에 있는 경우 clustercheck 명령은 불일치를 표시하지 않아야 하며, connstatus 명령은 어플라이언스를 오류 없이 연결된 것으로 표시해야 합니다.
- 메일 흐름을 확인하려면 CLI에 tail mail_logs 명령을 입력합니다.
문제 해결
- tail updater_logs 및 tail upgrade_logs 명령은 업그레이드에 문제가 있는 경우 정보를 제공할 수도 있습니다.
- 이미지를 다운로드할 때 또는 안티스팸 또는 안티바이러스를 업데이트할 때 문제가 있는 경우, 해당 프로세스가 서비스 엔진 또는 규칙 세트에 도달하여 업데이트할 수 없기 때문일 수 있습니다. vESA에서 제공하는 안티스팸 또는 안티바이러스 업데이트를 다운로드하고 적용할 수 없습니다.
- 네트워크 중단으로 인해 업그레이드가 실패할 경우 업그레이드 프로세스 출력에서 유사한 오류가 표시될 수 있습니다.
Reinstalling AsyncOS... 66% 01:05ETA.
/usr/local/share/doc/jpeg/libjpeg.doc: Premature end of gzip compressed data:
Input/output error
tar: Error exit delayed from previous errors.
Upgrade failure.
이는 일반적으로 ESA와 업데이트 서버 간의 데이터 전송 중에 발생할 수 있는 네트워크 중단 때문입니다. 모든 네트워크 방화벽 로그를 조사하거나 ESA의 패킷 트래픽을 모니터링하여 서버를 업데이트합니다.
필요한 경우 ESA 패킷 캡처 절차를 참조하여 ESA에서 패킷 캡처를 활성화한 다음 업그레이드 프로세스를 다시 시도합니다.
참고: 방화벽은 특히 업그레이드 프로세스에서 유휴 연결을 활성 상태로 유지해야 합니다.
정적 업그레이드 서버가 필요한 엄격한 네트워크 방화벽의 경우, 정적 업데이트 및 업그레이드 서버를 구성하는 방법은 Content Security Appliance Upgrades or Updates with a Static Server를 참조하십시오.
하드웨어 어플라이언스의 경우 다음 동적 서버에 대한 연결을 테스트합니다.
- 텔넷 updates.ironport.com 80
- 텔넷 downloads.ironport.com 80
가상 어플라이언스의 경우 다음 동적 서버를 사용해야 합니다.
- telnet update-manifests.sco.cisco.com 443
- 텔넷 updates.ironport.com 80
- 텔넷 downloads.ironport.com 80
전체 방화벽 정보 및 포트 요구 사항에 대해서는 사용 설명서를 참조하십시오.
관련 정보