소개
이 문서에서는 소규모 Nextroot 파티션으로 인해 업그레이드가 실패할 경우 vESA(virtual Email Security Appliance) 및 vSMA(virtual Security Management Appliance)를 교체하는 프로세스에 대해 설명합니다.
ESA의 관련 결함: CSCvy69068 및 SMA: CSCvy69076
배경
처음에는 가상 ESA 및 가상 SMA 이미지가 500M 미만의 Nextroot 파티션 크기로 구축되었습니다.몇 년 동안, 그리고 추가 기능이 포함된 최신 AsyncOS 릴리스를 통해 업그레이드 프로세스 동안 업그레이드 과정에서 이 파티션 중 더 많은 것을 사용해야 했습니다.이제 이 파티션 크기 때문에 업그레이드가 실패할 것으로 예상되며, 4GB의 Nextroot 파티션 크기가 더 큰 새 가상 이미지를 구축하는 솔루션에 대한 세부 정보를 제공하고자 했습니다.
증상
Nextroot 파티션 크기가 500M 미만인 이전 이미지 vESA 또는 vSMA는 아래 오류가 표시된 상태로 업그레이드하지 못할 수 있습니다.
...
...
...
Finding partitions... done.
Setting next boot partition to current partition as a precaution... done.
Erasing new boot partition... done.
Extracting eapp done.
Extracting scanerroot done.
Extracting splunkroot done.
Extracting savroot done.
Extracting ipasroot done.
Extracting ecroot done.
Removing unwanted files in nextroot done.
Extracting distroot
/nextroot: write failed, filesystem is full
./usr/share/misc/termcap: Write failed
./usr/share/misc/pci_vendors: Write to restore size failed
./usr/libexec/getty: Write to restore size failed
./usr/libexec/ld-elf.so.1: Write to restore size failed
./usr/lib/libBlocksRuntime.so: Write to restore size failed
./usr/lib/libBlocksRuntime.so.0: Write to restore size failed
./usr/lib/libalias.so: Write to restore size failed
./usr/lib/libarchive.so: Write to restore size failed
솔루션
가상 ESA/SMA를 업그레이드할 수 있도록 하려면 먼저 CLI 명령 ipcheck를 사용하여 다음 루트 파티션 크기가 4GB인지 확인해야 합니다.
(lab.cisco.com) > ipcheck
<----- Snippet of relevant section from the output ----->
Root 4GB 7%
Nextroot 4GB 1%
Var 400MB 3%
Log 172GB 3%
DB 2GB 0%
Swap 6GB
Mail Queue 10GB
<----- End of snippet ----->
다음 루트 파티션이 4GB 미만인 경우 다음 단계를 수행하여 현재 VM 템플릿을 최신 업데이트 이미지로 마이그레이션합니다.
1단계.
새로운 vESA/vSMA 구축
사전 요구 사항에서 가상 ESA/SMA 이미지를 다운로드하고 Cisco Content Security Virtual Appliance 설치 가이드에 따라 구축합니다.
참고:설치 가이드에서는 DHCP(interfaceconfig)에 대한 정보를 제공하고 가상 호스트에 기본 게이트웨이(setgateway)를 설정하며 가상 어플라이언스 라이센스 파일을 로드합니다.지침에 따라 읽고 구축했는지 확인합니다.
2단계.
새로운 vESA/vSMA 라이센싱
새 가상 ESA 또는 SMA가 구축되면 라이센스 파일을 로드할 때입니다.가상화의 경우 라이센스는 XML 파일에 포함되며 CLI를 사용하여 로드해야 합니다.CLI에서 loadlicense 명령을 사용한 다음 프롬프트에 따라 라이센스 가져오기를 완료합니다.
라이센스 파일을 로드하거나 가져오는 데 대한 자세한 정보가 필요한 경우 다음 문서를 검토할 수 있습니다.가상 ESA, 가상 WSA 또는 가상 SMA 라이센스에 대한 모범 사례.
3단계.
새 vESA/vSMA의 버전이 원래 버전과 동일한지 확인합니다. 그렇지 않은 경우 vESA/vSMA를 이전 버전으로 업그레이드하여 두 디바이스를 동일한 버전으로 가져와야 합니다.명령 upgrade를 사용하고 원하는 버전을 가져올 때까지 프롬프트를 따릅니다.
4단계. [vESA에만 해당, vSMA에는 건너뛰기]
참고:이 단계에서는 기존 클러스터가 없는 것으로 가정합니다. 이 경우 현재 컨피그레이션에 이미 존재하는 클러스터가 있는 경우, 현재 컨피그레이션을 복사하기 위해 새 vESA를 클러스터에 추가한 다음 업그레이드 프로세스를 시작하기 위해 해당 새 시스템을 제거합니다.
새 클러스터 생성
원래 vESA에서 clusterconfig 명령을 실행하여 새 클러스터를 생성합니다.
OriginalvESA.local> clusterconfig
Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 2
Enter the name of the new cluster.
[]> OriginalCluster.local
Should all machines in the cluster communicate with each other by hostname or by IP address?
1. Communicate by IP address.
2. Communicate by hostname.
[2]> 1
What IP address should other machines use to communicate with Machine C170.local?
1. 10.10.10.58 port 22 (SSH on interface Management)
2. Enter an IP address manually
[]> 1
Other machines will communicate with Machine C195.local using IP address 10.10.10.58 port 22. You can change this by using the COMMUNICATION subcommand of the clusterconfig command.
New cluster committed: Sat Jun 08 11:45:33 2019 GMT
Creating a cluster takes effect immediately, there is no need to commit.
Cluster OriginalCluster.local
Choose the operation you want to perform:
- ADDGROUP - Add a cluster group.
- SETGROUP - Set the group that machines are a member of.
- RENAMEGROUP - Rename a cluster group.
- DELETEGROUP - Remove a cluster group.
- REMOVEMACHINE - Remove a machine from the cluster.
- SETNAME - Set the cluster name.
- LIST - List the machines in the cluster.
- CONNSTATUS - Show the status of connections between machines in the cluster.
- COMMUNICATION - Configure how machines communicate within the cluster.
- DISCONNECT - Temporarily detach machines from the cluster.
- RECONNECT - Restore connections with machines that were previously detached.
- PREPJOIN - Prepare the addition of a new machine over CCS.
[]>
(Cluster OriginalCluster.local)>
5단계. [vESA에만 해당, vSMA에는 건너뛰기]
새 vESA를 원래 ESA 클러스터에 가입
New vESA의 CLI에서 clusterconfig > Join an existing... 명령을 실행합니다. 새 vESA를 원래 vESA에 구성된 새 클러스터에 추가합니다.
NewvESA.cisco.com> clusterconfig
Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 3
While joining a cluster, you will need to validate the SSH host key of the remote machine to which you are joining. To get the public host key fingerprint of the remote host, connect to the cluster and run: logconfig -> hostkeyconfig -> fingerprint.
WARNING: All non-network settings will be lost. System will inherit the values set at the group or cluster mode for the non-network settings. Ensure that the cluster settings are compatible with your network settings (e.g. dnsconfig settings)
Exception:Centralized Policy, Virus, and Outbreak Quarantine settings are not inherited from the cluster. These settings on this machine will remain intact.
Do you want to enable the Cluster Communication Service on ironport.example.com? [N]> n
Enter the IP address of a machine in the cluster.
[]> 10.10.10.58
Enter the remote port to connect to. This must be the normal admin ssh port, not the CCS port.
[22]>
Would you like to join this appliance to a cluster using pre-shared keys? Use this option if you have enabled two-factor authentication on the appliance. [Y]> n
Enter the name of an administrator present on the remote machine
[admin]>
Enter passphrase:
Please verify the SSH host key for 10.10.10.56:
Public host key fingerprint: 80:11:33:aa:bb:44:ee:ee:22:77:88:ff:77:88:88:bb
Is this a valid key for this host? [Y]> y
Joining cluster group Main_Group.
Joining a cluster takes effect immediately, there is no need to commit.
Cluster OriginalCluster.local
Choose the operation you want to perform:
- ADDGROUP - Add a cluster group.
- SETGROUP - Set the group that machines are a member of.
- RENAMEGROUP - Rename a cluster group.
- DELETEGROUP - Remove a cluster group.
- REMOVEMACHINE - Remove a machine from the cluster.
- SETNAME - Set the cluster name.
- LIST - List the machines in the cluster.
- CONNSTATUS - Show the status of connections between machines in the cluster.
- COMMUNICATION - Configure how machines communicate within the cluster.
- DISCONNECT - Temporarily detach machines from the cluster.
- RECONNECT - Restore connections with machines that were previously detached.
- PREPJOIN - Prepare the addition of a new machine over CCS.
[]>
(Cluster OriginalCluster.local)>
연결되고 동기화된 새 vESA는 이제 기존 vESA와 동일한 컨피그레이션을 갖게 됩니다.
clustercheck 명령을 실행하여 동기화를 검증하고 업그레이드된 시스템 간에 불일치가 있는지 확인합니다.
6단계. [vSMA에만 해당, vESA에는 건너뛰기]
여기 나열된 SMA 데이터 백업에 대한 사전 요구 사항을 검토하십시오.
새로 구축된 vSMA에 대한 백업을 예약하려면 교체해야 하는 디바이스에서 CLI 명령 backupconfig를 사용합니다.
즉시 백업을 시작하려면
- 원래 SMA CLI에 admin으로 로그인합니다.
- Enterbackupconfig를 입력합니다.
- Schedule을 선택합니다.
- 데이터를 전송할 새 시스템의 IP 주소를 입력합니다.
- "source" SMA는 "target" SMA가 있는지 확인하고 대상 SMA에 데이터를 수용할 충분한 공간이 있는지 확인합니다.
- 3(지금 단일 백업 시작)을 선택합니다.
- 백업이 성공적으로 예약되었는지 확인하려면 viewworkstatus를 입력합니다.
참고:데이터 백업을 완료하는 데 걸리는 기간은 데이터 크기, 네트워크 대역폭 등에 따라 달라집니다.
백업이 완료되면 새 vSMA는 이전 SMA로부터 모든 데이터를 수신했습니다.
새 시스템을 기본 디바이스로 구성하려면 여기에 설명된 단계를 참조하십시오.
7단계.
둘 이상의 ESA/SMA를 구축해야 하는 경우 1-6단계를 수행하십시오.
관련 정보
Cisco Content Security Virtual Appliance 설치 가이드
ESA 클러스터 요구 사항 및 설정
SMA 최종 사용자 가이드
피드백