المقدمة
يصف هذا المستند عملية إستبدال جهاز أمان البريد الإلكتروني الظاهري (vESA) وجهاز إدارة الأمان الظاهري (vSMA) عند فشل ترقية بسبب قسم Nextroot صغير.
العيوب ذات الصلة في الإيسا: CSCvy69068 و SMA: CSCvy69076
الخلفية
في البداية، تم إنشاء صور افتراضية من نوع ESA و SMA باستخدام حجم قسم NextTroot يقل عن 500 متر. وعلى مر السنوات، ومع إصدارات نظام التشغيل AsyncOS الأحدث التي تتضمن ميزات إضافية، تعين على عمليات الترقية إستخدام المزيد والمزيد من هذا القسم طوال عملية الترقية. بدأنا الآن برؤية عمليات الترقية تفشل بسبب حجم هذا القسم وأردنا توفير تفاصيل حول الحل، وهي نشر صورة افتراضية جديدة ذات حجم قسم Nextroot أكبر يبلغ 4 جيجابايت.
الأعراض
قد يفشل تحديث صورة قديمة vESA أو vSMA ذات حجم قسم Nextroot أقل من 500 متر مع ظهور الأخطاء التالية.
...
...
...
Finding partitions... done.
Setting next boot partition to current partition as a precaution... done.
Erasing new boot partition... done.
Extracting eapp done.
Extracting scanerroot done.
Extracting splunkroot done.
Extracting savroot done.
Extracting ipasroot done.
Extracting ecroot done.
Removing unwanted files in nextroot done.
Extracting distroot
/nextroot: write failed, filesystem is full
./usr/share/misc/termcap: Write failed
./usr/share/misc/pci_vendors: Write to restore size failed
./usr/libexec/getty: Write to restore size failed
./usr/libexec/ld-elf.so.1: Write to restore size failed
./usr/lib/libBlocksRuntime.so: Write to restore size failed
./usr/lib/libBlocksRuntime.so.0: Write to restore size failed
./usr/lib/libalias.so: Write to restore size failed
./usr/lib/libarchive.so: Write to restore size failed
الحل
لضمان إمكانية ترقية ESA/SMA الظاهري لديك، ستحتاج أولا إلى التحقق من أن حجم قسم الجذر التالي هو 4 جيجابايت باستخدام أمر واجهة سطر الأوامر (CLI) ipcheck.
(lab.cisco.com) > ipcheck
<----- Snippet of relevant section from the output ----->
Root 4GB 7%
Nextroot 4GB 1%
Var 400MB 3%
Log 172GB 3%
DB 2GB 0%
Swap 6GB
Mail Queue 10GB
<----- End of snippet ----->
إذا كان القسم الجذر التالي أقل من 4 جيجابايت، اتبع الخطوات التالية لترحيل قالب الأجهزة الافتراضية (VM) الحالي إلى صورة محدثة أحدث.
الخطوة 1.
تمتع بنشر تقنية vESA/vSMA الجديدة لديك
من المتطلبات الأساسية، قم بتنزيل صورة ESA/SMA الظاهرية ونشر كل دليل تثبيت الجهاز الظاهري لأمان المحتوى من Cisco.
ملاحظة: يوفر دليل التثبيت معلومات حول DHCP (interfaceConfig) ويعين البوابة الافتراضية (setGateway) على المضيف الظاهري، كما يقوم بتحميل ملف ترخيص الجهاز الظاهري. تأكد من أنك قد قرأت ونشرت بحسب التعليمات.
الخطوة 2.
ترخيص برنامج vESA/vSMA الجديد
بمجرد نشر ESA الظاهري الجديد أو SMA، فقد حان الوقت لتحميل ملف الترخيص. بالنسبة للميزات الافتراضية، سيتم تضمين الترخيص في ملف XML ويجب تحميله باستخدام واجهة سطر الأوامر. من واجهة سطر الأوامر (CLI)، سوف تستخدم الأمر loadlicense ثم تتبع المطالبات لإكمال إستيراد الترخيص.
إذا كنت بحاجة إلى مزيد من التفاصيل حول تحميل ملف الترخيص أو الحصول على ملف، فيمكنك مراجعة المقالة التالية: أفضل الممارسات لتراخيص ESA الظاهرية أو WSA الظاهرية أو SMA الظاهرية.
الخطوة 3.
تأكد من أن الإصدار vESA/vSMA الجديد له نفس الإصدار الأصلي، إذا لم يكن هذا هو الحال الذي تحتاج إليه لترقية vESA/vSMA باستخدام الإصدار الأقدم للحصول على كلا الجهازين باستخدام الإصدار نفسه. أستخدم الأمر upgrade واتبع المطالبات حتى الحصول على الإصدار المطلوب.
الخطوة 4. [ل vESA فقط، التخطي ل vSMA]
ملاحظة: في هذه الخطوة، من المفترض ألا يكون لديك نظام مجموعة موجود، وفي الحالة، يوجد بالفعل نظام مجموعة موجود في التكوين الحالي، فما عليك سوى إضافة نظام vESA الجديد إلى نظام المجموعة لنسخ التكوين الحالي ثم إزالة هذا الجهاز الجديد لبدء عملية الترقية.
إنشاء مجموعة جديدة
في vESA الأصلي، قم بتشغيل الأمر clusterconfig لإنشاء نظام مجموعة جديد.
OriginalvESA.local> clusterconfig
Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 2
Enter the name of the new cluster.
[]> OriginalCluster.local
Should all machines in the cluster communicate with each other by hostname or by IP address?
1. Communicate by IP address.
2. Communicate by hostname.
[2]> 1
What IP address should other machines use to communicate with Machine C170.local?
1. 10.10.10.58 port 22 (SSH on interface Management)
2. Enter an IP address manually
[]> 1
Other machines will communicate with Machine C195.local using IP address 10.10.10.58 port 22. You can change this by using the COMMUNICATION subcommand of the clusterconfig command.
New cluster committed: Sat Jun 08 11:45:33 2019 GMT
Creating a cluster takes effect immediately, there is no need to commit.
Cluster OriginalCluster.local
Choose the operation you want to perform:
- ADDGROUP - Add a cluster group.
- SETGROUP - Set the group that machines are a member of.
- RENAMEGROUP - Rename a cluster group.
- DELETEGROUP - Remove a cluster group.
- REMOVEMACHINE - Remove a machine from the cluster.
- SETNAME - Set the cluster name.
- LIST - List the machines in the cluster.
- CONNSTATUS - Show the status of connections between machines in the cluster.
- COMMUNICATION - Configure how machines communicate within the cluster.
- DISCONNECT - Temporarily detach machines from the cluster.
- RECONNECT - Restore connections with machines that were previously detached.
- PREPJOIN - Prepare the addition of a new machine over CCS.
[]>
(Cluster OriginalCluster.local)>
الخطوة 5. [ل vESA فقط، التخطي ل vSMA]
انضم إلى نظام vESA الجديد لديك إلى مجموعة ESA الأصلية لديك
من واجهة سطر الأوامر (CLI) على vESA الجديد، قم بتشغيل الأمر clusterconfig > الانضمام إلى إحدى الميزات الموجودة... لإضافة تقنية vESA الجديدة لديك إلى نظام المجموعة الجديد لديك الذي تم تكوينه على جهاز vESA الأصلي لديك.
NewvESA.cisco.com> clusterconfig
Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 3
While joining a cluster, you will need to validate the SSH host key of the remote machine to which you are joining. To get the public host key fingerprint of the remote host, connect to the cluster and run: logconfig -> hostkeyconfig -> fingerprint.
WARNING: All non-network settings will be lost. System will inherit the values set at the group or cluster mode for the non-network settings. Ensure that the cluster settings are compatible with your network settings (e.g. dnsconfig settings)
Exception:Centralized Policy, Virus, and Outbreak Quarantine settings are not inherited from the cluster. These settings on this machine will remain intact.
Do you want to enable the Cluster Communication Service on ironport.example.com? [N]> n
Enter the IP address of a machine in the cluster.
[]> 10.10.10.58
Enter the remote port to connect to. This must be the normal admin ssh port, not the CCS port.
[22]>
Would you like to join this appliance to a cluster using pre-shared keys? Use this option if you have enabled two-factor authentication on the appliance. [Y]> n
Enter the name of an administrator present on the remote machine
[admin]>
Enter passphrase:
Please verify the SSH host key for 10.10.10.56:
Public host key fingerprint: 80:11:33:aa:bb:44:ee:ee:22:77:88:ff:77:88:88:bb
Is this a valid key for this host? [Y]> y
Joining cluster group Main_Group.
Joining a cluster takes effect immediately, there is no need to commit.
Cluster OriginalCluster.local
Choose the operation you want to perform:
- ADDGROUP - Add a cluster group.
- SETGROUP - Set the group that machines are a member of.
- RENAMEGROUP - Rename a cluster group.
- DELETEGROUP - Remove a cluster group.
- REMOVEMACHINE - Remove a machine from the cluster.
- SETNAME - Set the cluster name.
- LIST - List the machines in the cluster.
- CONNSTATUS - Show the status of connections between machines in the cluster.
- COMMUNICATION - Configure how machines communicate within the cluster.
- DISCONNECT - Temporarily detach machines from the cluster.
- RECONNECT - Restore connections with machines that were previously detached.
- PREPJOIN - Prepare the addition of a new machine over CCS.
[]>
(Cluster OriginalCluster.local)>
وبمجرد الاتصال بالمزود بالطاقة ومزامنته، سيكون ل vESA الجديد نفس التكوين الحالي الخاص ب vESA لديك.
قم بتشغيل الأمر clustercheck للتحقق من صحة المزامنة والتحقق من وجود أي عدم تناسق بين الأجهزة التي تمت ترقيتها.
الخطوة 6. [ل vSMA فقط، التخطي ل vESA]
راجع المتطلبات الأساسية للنسخ الاحتياطي لبيانات SMA المدرجة هنا.
أستخدم الأمر CLI backupconfig على الجهاز الذي يجب إستبداله لجدولة نسخة إحتياطية إلى vSMA الذي تم نشره حديثا.
لبدء عملية نسخ إحتياطي فورية
- قم بتسجيل الدخول إلى واجهة سطر الأوامر (CLI) الأصلية ل SMA كمسؤول.
- EnterpriseBackupconfig.
- أختر جدول.
- أدخل عنوان IP الخاص بالجهاز الجديد لنقل البيانات إليه.
- يتحقق SMA "المصدر" من وجود SMA "الهدف" ويتأكد من أن SMA الهدف لديه مساحة كافية لقبول البيانات.
- أختر 3 (ابدأ عملية نسخ إحتياطي واحدة الآن).
- أدخل ViewStatus للتحقق من جدولة النسخ الاحتياطي بنجاح.
ملاحظة: تختلف المدة التي يستغرقها النسخ الاحتياطي للبيانات حتى تكتمل وفقا لحجم البيانات وعرض النطاق الترددي للشبكة، وما إلى ذلك.
بمجرد اكتمال النسخ الاحتياطي، سيكون vSMA الجديد قد تلقى جميع البيانات من SMA السابقة.
لتكوين الجهاز الجديد كجهاز أساسي، ارجع إلى الخطوات الموضحة هنا.
الخطوة 7.
في حالة الحاجة إلى نشر أكثر من وحدة ESA/SMA، اتبع الخطوات من 1 إلى 6.
معلومات ذات صلة
دليل تثبيت الجهاز الظاهري لأمان المحتوى من Cisco
متطلبات نظام المجموعة ESA والإعداد
أدلة المستخدم النهائي ل SMA