Introduction
Este documento descreve o processo para substituir o Virtual Email Security Appliance (vESA) e o Virtual Security Management Appliance (vSMA) quando uma atualização está falhando devido a uma pequena partição Nextroot.
Defeitos relacionados com o SEC: CSCvy69068 e SMA: CSCvy69076
Background
Inicialmente, as imagens virtuais do ESA e do SMA foram criadas com um tamanho de partição Nextroot inferior a 500M. Ao longo dos anos, e com versões AsyncOS mais recentes que incluem recursos adicionais, as atualizações precisaram usar cada vez mais essa partição durante o processo de atualização. Agora estamos começando a ver as atualizações falharem devido a esse tamanho de partição e queremos fornecer detalhes sobre a solução, que é implantar uma nova imagem virtual que tenha um tamanho de partição Nextroot maior de 4 GB.
Sintomas
Um vESA ou vSMA de imagem mais antiga com um tamanho de partição Nextroot inferior a 500M pode não conseguir atualizar com os erros abaixo exibidos.
...
...
...
Finding partitions... done.
Setting next boot partition to current partition as a precaution... done.
Erasing new boot partition... done.
Extracting eapp done.
Extracting scanerroot done.
Extracting splunkroot done.
Extracting savroot done.
Extracting ipasroot done.
Extracting ecroot done.
Removing unwanted files in nextroot done.
Extracting distroot
/nextroot: write failed, filesystem is full
./usr/share/misc/termcap: Write failed
./usr/share/misc/pci_vendors: Write to restore size failed
./usr/libexec/getty: Write to restore size failed
./usr/libexec/ld-elf.so.1: Write to restore size failed
./usr/lib/libBlocksRuntime.so: Write to restore size failed
./usr/lib/libBlocksRuntime.so.0: Write to restore size failed
./usr/lib/libalias.so: Write to restore size failed
./usr/lib/libarchive.so: Write to restore size failed
Solução
Para garantir que seu ESA/SMA virtual possa ser atualizado, você precisaria verificar primeiro se o próximo tamanho da partição raiz é 4 GB com o comando CLI ipcheck.
(lab.cisco.com) > ipcheck
<----- Snippet of relevant section from the output ----->
Root 4GB 7%
Nextroot 4GB 1%
Var 400MB 3%
Log 172GB 3%
DB 2GB 0%
Swap 6GB
Mail Queue 10GB
<----- End of snippet ----->
Se a próxima partição raiz for menor que 4 GB, siga as próximas etapas para migrar seu modelo de VM atual para uma imagem atualizada mais recente.
Etapa 1.
Implante seu novo vESA/vSMA
A partir dos pré-requisitos, faça o download da imagem do ESA/SMA virtual e implante de acordo com o Guia de Instalação do Cisco Content Security Virtual Appliance.
Note: O guia de instalação fornece informações sobre DHCP (interfaceconfig) e define o gateway padrão (setgateway) em seu host virtual, além de carregar o arquivo de licença do dispositivo virtual. Verifique se você leu e implantou conforme instruído.
Etapa 2.
Licenciamento do novo vESA/vSMA
Depois que o novo ESA ou SMA virtual tiver sido implantado, é hora de carregar o arquivo de licença. Para versões virtuais, a licença será contida em um arquivo XML e deverá ser carregada usando a CLI. Na CLI, você usará o comando loadlicense e seguirá os prompts para concluir a importação da licença.
Se você precisar de mais detalhes sobre como carregar ou obter um arquivo de licença, poderá revisar o seguinte artigo: Práticas recomendadas para licenças de ESA virtual, WSA virtual ou SMA virtual.
Etapa 3.
Certifique-se de que o novo vESA/vSMA tenha a mesma versão que a original, se não for esse o caso, é necessário atualizar o vESA/vSMA com a versão mais antiga para colocar ambos os dispositivos na mesma versão. Use o comando upgrade e siga os avisos até obter a versão desejada.
Etapa 4. [Apenas para vESA, ignorar para vSMA]
Note: Nesta etapa, supõe-se que você não tem um cluster existente; no caso, já existe um cluster existente na configuração atual, basta adicionar o novo vESA ao cluster para copiar a configuração atual e, em seguida, remover essa nova máquina para iniciar o processo de atualização.
Criar um novo cluster
No vESA original, execute o comando clusterconfig para criar um novo cluster.
OriginalvESA.local> clusterconfig
Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 2
Enter the name of the new cluster.
[]> OriginalCluster.local
Should all machines in the cluster communicate with each other by hostname or by IP address?
1. Communicate by IP address.
2. Communicate by hostname.
[2]> 1
What IP address should other machines use to communicate with Machine C170.local?
1. 10.10.10.58 port 22 (SSH on interface Management)
2. Enter an IP address manually
[]> 1
Other machines will communicate with Machine C195.local using IP address 10.10.10.58 port 22. You can change this by using the COMMUNICATION subcommand of the clusterconfig command.
New cluster committed: Sat Jun 08 11:45:33 2019 GMT
Creating a cluster takes effect immediately, there is no need to commit.
Cluster OriginalCluster.local
Choose the operation you want to perform:
- ADDGROUP - Add a cluster group.
- SETGROUP - Set the group that machines are a member of.
- RENAMEGROUP - Rename a cluster group.
- DELETEGROUP - Remove a cluster group.
- REMOVEMACHINE - Remove a machine from the cluster.
- SETNAME - Set the cluster name.
- LIST - List the machines in the cluster.
- CONNSTATUS - Show the status of connections between machines in the cluster.
- COMMUNICATION - Configure how machines communicate within the cluster.
- DISCONNECT - Temporarily detach machines from the cluster.
- RECONNECT - Restore connections with machines that were previously detached.
- PREPJOIN - Prepare the addition of a new machine over CCS.
[]>
(Cluster OriginalCluster.local)>
Etapa 5. [Apenas para vESA, ignorar para vSMA]
Junte seu novo vESA ao cluster ESA original
Na CLI do Novo vESA, execute o comando clusterconfig > Unir um existente... para adicionar seu novo vESA ao novo cluster configurado em seu vESA original.
NewvESA.cisco.com> clusterconfig
Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 3
While joining a cluster, you will need to validate the SSH host key of the remote machine to which you are joining. To get the public host key fingerprint of the remote host, connect to the cluster and run: logconfig -> hostkeyconfig -> fingerprint.
WARNING: All non-network settings will be lost. System will inherit the values set at the group or cluster mode for the non-network settings. Ensure that the cluster settings are compatible with your network settings (e.g. dnsconfig settings)
Exception:Centralized Policy, Virus, and Outbreak Quarantine settings are not inherited from the cluster. These settings on this machine will remain intact.
Do you want to enable the Cluster Communication Service on ironport.example.com? [N]> n
Enter the IP address of a machine in the cluster.
[]> 10.10.10.58
Enter the remote port to connect to. This must be the normal admin ssh port, not the CCS port.
[22]>
Would you like to join this appliance to a cluster using pre-shared keys? Use this option if you have enabled two-factor authentication on the appliance. [Y]> n
Enter the name of an administrator present on the remote machine
[admin]>
Enter passphrase:
Please verify the SSH host key for 10.10.10.56:
Public host key fingerprint: 80:11:33:aa:bb:44:ee:ee:22:77:88:ff:77:88:88:bb
Is this a valid key for this host? [Y]> y
Joining cluster group Main_Group.
Joining a cluster takes effect immediately, there is no need to commit.
Cluster OriginalCluster.local
Choose the operation you want to perform:
- ADDGROUP - Add a cluster group.
- SETGROUP - Set the group that machines are a member of.
- RENAMEGROUP - Rename a cluster group.
- DELETEGROUP - Remove a cluster group.
- REMOVEMACHINE - Remove a machine from the cluster.
- SETNAME - Set the cluster name.
- LIST - List the machines in the cluster.
- CONNSTATUS - Show the status of connections between machines in the cluster.
- COMMUNICATION - Configure how machines communicate within the cluster.
- DISCONNECT - Temporarily detach machines from the cluster.
- RECONNECT - Restore connections with machines that were previously detached.
- PREPJOIN - Prepare the addition of a new machine over CCS.
[]>
(Cluster OriginalCluster.local)>
Depois de conectado e sincronizado, seu novo vESA agora teria a mesma configuração do seu vESA atual.
Execute o comando clustercheck para validar a sincronização e verificar se há inconsistências entre as máquinas atualizadas.
Etapa 6. [Apenas para vSMA, ignorar para vESA]
Revise os pré-requisitos para backup de dados SMA listados aqui.
Use o comando CLI backupconfig no dispositivo que precisa ser substituído para agendar um backup do vSMA recém-implantado.
Para iniciar um backup imediato
- Faça login na CLI do SMA original como admin.
- Entrar na configuração de backup.
- EscolhaAgendar.
- Insira o endereço IP da nova máquina para a qual transferir os dados.
- O SMA de "origem" verifica a existência do SMA de "destino" e garante que o SMA de destino tenha espaço suficiente para aceitar os dados.
- Escolha 3 (Iniciar um único backup agora).
- Digite vieworstatus para verificar se o backup foi agendado com êxito.
Note: A duração do backup de dados a ser concluído varia com base no tamanho dos dados, na largura de banda da rede etc.
Quando o backup for concluído, o novo vSMA teria recebido todos os dados do SMA anterior.
Para configurar a nova máquina como o dispositivo principal, consulte as etapas descritas aqui.
Passo 7.
Caso precise implantar mais de um ESA/SMA, siga as etapas de 1 a 6.
Informações Relacionadas
Guia de instalação do Cisco Content Security Virtual Appliance
Requisitos e configuração do cluster ESA
Guias do usuário final SMA
Feedback