Atualizações manuais

As etapas de upgrade manual a seguir podem ser usadas em caso de falhas no upgrade automatizado.

1. Upgrade manual para PANW

Os seguintes componentes operacionais são atualizados nesta etapa.

Escopo Componentes operáveis
Infraestrutura PANW

Essa atualização causa interrupções mínimas de tráfego para conexões externas, com um tempo de inatividade de aproximadamente um minuto. Esses upgrades são manuais. A PANW opera no modo de alta disponibilidade (HA).

1.1. Definições

As versões do software de firewall da Palo Alto são mostradas no formato X.Y.Z.

Versão do software Formato
Lançamento de RECURSO X.Y
Versão de MANUTENÇÃO DA BASE X.Y.0
VERSÃO DE MANUTENÇÃO MAIS RECENTE para uma determinada versão de recurso X.Y.Z: Z é a última versão de manutenção para a versão futura X.Y.

1.2. Procedimento de upgrade

1.2.1. Caminho de upgrade

Antes de continuar, identifique qual caso descreve suas necessidades: caso 1, caso 2 ou caso 3:

  • Caso 1: X.Y é a versão de destino.
  • Caso 2: X.Y não é a versão segmentada.
  • Caso 3: a versão do firewall é X.Y, em que X.Y é a última versão de RECURSO para X.

As descrições a seguir de Caso 1, Caso 2 e Caso 3 mostram quais caminhos de upgrade correspondem a cada um.

Caso Descrição e ação
Caso 1
X.Y é a versão para a qual você quer fazer upgrade (não a versão de destino).
Faça o download e instale a versão de MANUTENÇÃO direcionada para X.Y: X.Y(Z2)
Caso 2
X.Y não é a versão para a qual você quer fazer upgrade (não é a versão de destino).
Faça o download e instale a VERSÃO DE MANUTENÇÃO MAIS RECENTE para X.Y: X.Y.Z1
Faça o download da versão BASE MAINTENANCE: X.(Y+1).0

Se X.(Y+1) for a versão de RECURSO desejada,
Se X.(Y+1) não for a versão de RECURSO desejada,
  • Repita o Caso 2 até que ele seja aplicado e, em seguida, aplique o Caso 1.
  • Se X.(Y+1) for a última versão de RECURSO para X, vá para o Caso 3.
Caso 3
A versão do firewall é X.Y, em que X.Y é a última versão de RECURSO para X.
Faça o download da versão BASE MAINTENANCE: (X+1).0.0
Volte ao Caso 1.

Para mais informações sobre o caminho de upgrade, além do que é fornecido aqui, consulte https://www.paloaltonetworks.com/.

1.2.2. Configuração de upgrade

O Distributed Cloud usa dois firewalls. Antes de iniciar um upgrade, verifique se os dois firewalls estão na mesma versão. Se não estiverem, faça os upgrades necessários para igualar as versões antes de iniciar um upgrade em ambas para a próxima versão de destino. Faça isso sempre que planejar um upgrade.

  1. Verifique se os dois firewalls estão funcionando corretamente:
    1. No painel, verifique se a alta disponibilidade (HA) está verde.
    2. Verifique se não há links inativos na rede.

  2. Faça backup das configurações nos dois firewalls.

  3. Acesse Dispositivo > Alta disponibilidade.

  4. Localize e clique na guia Comandos operacionais no início da página Dispositivo.

    1. Localize e clique em Alta disponibilidade no painel de navegação.
    2. Quando a opção Suspender dispositivo local para alta disponibilidade aparecer, clique nela.

    Suspender dispositivo local para alta disponibilidade

    Figura 1. Suspender a alta disponibilidade

  5. Verifique se o estado retornado do firewall local aparece como suspended.

    Verificar

    Figura 2. Verificar se o firewall está suspenso

  6. Faça upgrade do firewall.

  7. Recuperar do estado suspended: clique em Disponibilizar o dispositivo local para alta disponibilidade.

    Disponibilizar a HA

    Figura 3. Disponibilizar a HA

    Volte à primeira etapa e repita o processo para o segundo firewall, seguindo o caminho de upgrade.

1.3. Exemplo de detalhes do procedimento de upgrade

  1. Verifique a versão atual do PAN-OS.

    show system info | match sw-version

    Se o PAN-OS não estiver na versão de software desejada, faça upgrade do dispositivo.

  2. Siga o procedimento de upgrade específico do caminho fornecido.

  3. Para verificar seu caminho, confira o caminho de upgrade no site paloaltonetworks.com em https://docs.paloaltonetworks.com/pan-os/10-1/pan-os-upgrade/upgrade-pan-os/upgrade-the-firewall-pan-os/determine-the-upgrade-path.html no seu computador local antes de continuar.

  4. Verifique se o dispositivo está registrado e licenciado.

  5. Encontre o firmware mais recente para extração:

    gdcloud artifacts tree ${ARTIFACTS_ROOT}/oci | grep "gdch-firewall"

    O nome do arquivo contém a versão do build. Exemplo de saída:

    │   │   └── gdch-firewall/os:1.10.0-gdch.1426

    No exemplo anterior, a versão do build aparece como 1.10.0-gdch.1426.

  6. Copie o nome do arquivo e extraia o firmware. Exemplo:

    1. Copie gdch-firewall/os:1.10.0-gdch.1426 como o nome do arquivo. Use esse valor para substituir FIRMWARE_FILENAME no comando a seguir:

      export FW_FIRMWARE_TAR_FILENAME=FIRMWARE_FILENAME

    2. Extraia o firmware da imagem OCI:

      gdcloud artifacts extract ${ARTIFACTS_ROOT}/oci firmware \
    --image-name=${FW_FIRMWARE_TAR_FILENAME:?}

      Substitua FW_FIRMWARE_TAR_FILENAME pelo nome do arquivo tar do firmware do firewall.

    3. Extraia o firmware:

      tar -xvf firmware/gdch-firewall/os.tar.gz

  7. Reúna o arquivo do SO de upgrade e faça upload dele no dispositivo de firewall para iniciar o upgrade.

Console

  1. Estabeleça a conectividade IP com o firewall e o computador local e navegue até a interface do usuário.

  2. Para fazer upload do software para o firewall, selecione Dispositivo > Software e clique em Fazer upload, localizado na parte inferior da página.

    Fazer upload de atualizações dinâmicas

    Figura 4. Fazer upload de atualizações de software

  3. Depois que o software for enviado, ele vai aparecer como disponível na tabela e uma ação para instalar será apresentada.

  4. Faça o download das Atualizações dinâmicas mais recentes na categoria Apps (um menu suspenso) em https://support.paloaltonetworks.com/Updates/DynamicUpdates.

  5. Faça upload das Atualizações dinâmicas para o firewall clicando em Fazer upload. Talvez seja necessário realizar essa etapa apenas uma vez.

  6. Instale o que foi enviado do arquivo: clique em Instalar do arquivo.

    Instalar de um arquivo

    Figura 5. Selecione "Instalar do arquivo"

  7. Localize a coluna com a palavra ACTION na Figura 6. Nessa coluna, selecione Instalar para instalar o software. O firewall é reinicializado.

    Com upgrade

    Figura 6. Coluna "Ação" mostrando a capacidade de instalação

  8. Navegue até a página PAINEL para ver o painel Informações gerais. Localize Versão do software e verifique se o valor associado a ela mostra uma mudança em relação ao valor da versão original. Isso verifica a mudança de versão.

    Verificar no painel

    Figura 7. A versão do software mostra a mudança

  9. Repita essas etapas conforme necessário com base no caminho de upgrade.

kubectl

Use as instruções de linha de comando a seguir para fazer upgrade do PAN-OS quando você não tiver acesso à Internet:

  1. Faça SCP do firmware:

    scp import software from ubuntu@<host>:/home/ubuntu/gdcloud_v8/images/PanOS_5200-XX.XX.XX

  2. Solicite a versão de instalação do software do sistema que você precisa:

    request system software install version XX.XX.XX

    Isso gera o ID do job para usar na próxima etapa. Confira um exemplo de mensagem de saída:

    Software install job enqueued with jobid 2. Run 'show jobs id 2' to monitor its
status. Please reboot the device after the installation is done.

  3. Monitore o status do job:

    show jobs id 2

  4. Reinicie o PAN-OS após a instalação:

    request restart system

    Se não for possível atualizar o PAN-OS sem erros da sua parte, licencie o PAN-OS e atualize com atualizações dinâmicas. Verifique se as chaves de licença estão no arquivo ou diretório cell.yaml. Consulte Verificar configurações.

  5. Para instalar uma atualização dinâmica, localize a versão mais recente no portal PAN ou no local da unidade.

  6. SCP o conteúdo do firewall:

    # scp import content from
ubuntu@<host_ip>::/home/ubuntu/gdcloud_v8/images/panupv2-all-contents-8580-7429

  7. Instale o conteúdo:

    request content upgrade install  skip-content-validity-check yes file panupv2-all-contents-8580-7429

  8. Faça upload do PAN-OS para a máquina host:

    1. Conecte o laptop ao switch de gerenciamento no mesmo rack da máquina host.
    2. Atribua um endereço IP ao laptop na rede de gerenciamento vlan97.

    3. SCP PAN-OS do laptop para a máquina host:

      scp ~/Downloads/Pan* ubuntu@10.251.243.79:~
Warning: Permanently added '10.251.243.79' (ED25519) to the list of known hosts.
ubuntu@10.251.243.79's password:

2 Acionar o upgrade automático para HSM

Os seguintes componentes operacionais são atualizados nesta etapa.

Escopo Componentes operáveis
Infraestrutura HSM

Para fazer o upgrade do HSM, é necessário criar um HSMUpgradeRequest e verificar periodicamente o status da solicitação de upgrade.

Um ou mais CTMClusterUpgradeRequests são gerados automaticamente para fazer upgrade de cada HSMCluster para a próxima versão de firmware no caminho de upgrade até alcançar a versão de firmware de destino. O upgrade do HSM é um processo não destrutivo que leva cerca de duas horas.

A duração do tempo de inatividade para esse upgrade depende da integração. Um HSM configurado com vários endereços pode passar por atualizações rotativas sem interrupção.

  1. Defina KUBECONFIG como o arquivo kubeconfig do cluster de administrador raiz.

    export KUBECONFIG=ROOT_ADMIN_KUBECONFIG

  2. Crie um recurso personalizado HSMUpgradeRequest. Crie um hsmupgrade.yaml e inclua o CurrentGDCHVersion e o TargetGDCHVersion.

    Exemplo de recurso personalizado:

    apiVersion: "upgrade.private.gdc.goog/v1alpha1"
kind: HSMUpgradeRequest
metadata:
   name:  HSM_UPGRADE_REQUEST_NAME
   namespace: gpc-system
spec:
   currentGDCHVersion: "1.10.X-gdch-xxx"
   targetGDCHVersion: "1.11.y-gdch.yyyy"

  3. Aplique o novo recurso personalizado:

    kubectl --kubeconfig=${KUBECONFIG:?} apply -f hsmupgrade.yaml

  4. Monitore o upgrade do HSM analisando o Status dos recursos HSMUpgradeRequest e CTMClusterUpgradeRequest criados.

    kubectl --kubeconfig=${KUBECONFIG:?} describe HSMUpgradeRequest HSM_UPGRADE_REQUEST_NAME -n gpc-system

    Exemplo de saída Status de um HSMUpgradeRequest concluído:

    Status:
Conditions:
 Last Transition Time:  2023-08-03T18:20:50Z
 Message:
 Observed Generation:   1
 Reason:                PullFirmwareImages
 Status:                True
 Type:                  FirmwareImagesPulled
 Last Transition Time:  2023-08-03T18:20:50Z
 Message:               CTM upgrade request to version:2_12_0 is in progress
 Observed Generation:   1
 Reason:                CTMClusterUpgradeInProgress
 Status:                True
 Type:                  InProgress
 Last Transition Time:  2023-08-03T18:41:54Z
 Message:               CTM upgrade request to target version:2_12_0 completed
 Observed Generation:   1
 Reason:                AllCTMClusterUpgradeRequestsCompleted
 Status:                True
 Type:                  AllComplete

    kubectl --kubeconfig=${KUBECONFIG:?} get ctmclusterupgraderequests -n gpc-system

    kubectl --kubeconfig=${KUBECONFIG:?} describe ctmclusterupgraderequests CTM_CLUSTER_UPGRADE_REQUEST_NAME -n gpc-system

    Exemplo de saída Status de um CTMClusterUpgradeRequest concluído:

    Status:
Conditions:
 Last Transition Time:  2023-09-11T18:08:25Z
 Message:               CTM pre upgrade checks succeed. The system is eligible to upgrade.
 Observed Generation:   1
 Reason:                CTMPreUpgradeChecksReady
 Status:                True
 Type:                  PreUpgradeCheckCompleted
 Last Transition Time:  2023-09-11T18:18:31Z
 Message:               HSM backup completed. The system is ready to upgrade.
 Observed Generation:   2
 Reason:                HSMBackupCompleted
 Status:                True
 Type:                  BackupCompleted
 Last Transition Time:  2023-09-11T18:18:31Z
 Message:               Starting HSM upgrades for cluster.
 Observed Generation:   2
 Reason:                hsmclusterClusterUpgradeInProgress
 Status:                True
 Type:                  ClusterUpgradeInProgress
 Last Transition Time:  2023-09-11T19:46:22Z
 Message:
 Observed Generation:   2
 Reason:                ReconcileCompleted
 Status:                True
 Type:                  AllComplete

3. Upgrade manual do ONTAP

Se você estiver fazendo um upgrade manual em um sistema com um cluster de armazenamento existente, siga as etapas para realizar o upgrade:

Extraia a imagem de upgrade do SO usando 12.4.1 Método de busca 1 ou 12.4.2 Método de busca 2. Eles mostram o mesmo número de sequência de etapas, já que você usa apenas um deles:

3.1. - Método de busca 1

Use esse método para buscar os pacotes atualizáveis de gdch.tar.gz.

  1. Se você estiver em uma máquina host e tiver acesso ao pacote de lançamento, busque a imagem no registro do Harbor:

    # Download the upgrade OS package
OCI_PATH=$ARTIFACTS_ROOT/oci
gdcloud artifacts extract $OCI_PATH storage --image-name=gpc-system-storage/storage:9.13.1P1

tar -xvzf storage/gpc-system-storage/storage.tar.gz

    Se a extração falhar, tente encontrar o arquivo certo com: sh gdcloud artifacts extract $OCI_PATH tree | grep storage

  2. Localize o arquivo em storage/9.13.1P1.tar.

  3. Reúna o arquivo do SO de upgrade e faça upload dele para o site de armazenamento para iniciar o upgrade ou, se o ONTAP ainda não estiver instalado, disponibilize esses arquivos no bootstrap e faça com que o nó extraia a imagem.

3.2. - Método de busca 2

Se o root-admin-cluster já estiver em execução, será possível buscar a imagem de upgrade diretamente do Artifact Registry do GDC.

  1. Extraia uma imagem do Artifact Registry:

    https://gpc-istio-ingressgateway-IP/artifacts/serve/base64url encoding of the artifact reference

  2. Faça o download do arquivo de upgrade:

    IMAGE_BASE64_URL=$(echo "gpc-system-storage/storage:ontap" | base64)

# The OS file is located at:
https://gpc-istio-ingressgateway-IP/artifacts/serve/IMAGE_BASE64_URL

A referência do artefato é gpc-system-storage/storage:ontap.

  1. Acesse o URL, fornecido como https://gpc-istio-ingressgateway-IP/artifacts/serve/IMAGE_BASE64_URL, e faça o download do pacote do SO localmente.
  2. Reúna o arquivo do SO de upgrade e faça upload dele para o site de armazenamento para iniciar o upgrade.

3.3. Fazer upload da imagem para o ONTAP

  1. Abra o URL de gerenciamento do ONTAP e localize a página Visão geral.

  2. Clique no botão Atualização do ONTAP.

    Clique no botão &quot;Atualizar ONTAP&quot;.

    Figura 8. Botão "Atualizar ONTAP"

  3. Clique em +Adicionar imagem e faça upload da imagem coletada usando o método de busca 1 ou o método de busca 2.

    Clique no botão +Adicionar atualização de imagem.

    Figura 9. Botão "+Adicionar imagem"

3.4. Verificação de simulação de upgrade do ONTAP

Depois de fazer upload da imagem, clique em Fazer upgrade para iniciar a verificação de simulação. Uma mensagem de aviso aparece, como mostrado na imagem a seguir, dizendo "Atualizar com avisos".

Clique no botão &quot;Fazer upgrade com avisos&quot;.

Figura 10. Botão "Fazer upgrade com avisos"

Quando a mensagem de aviso aparecer, faça o seguinte:

  1. Verifique se não há itens de ação que você precisa realizar. Verifique se não há nada listado que possa afetar o upgrade.

  2. Faça a seguinte verificação de simulação:

    • Verifique se o cluster e os nós estão íntegros com o failover de armazenamento configurado.
    • Verifique se não há alertas informados para o sistema de armazenamento.
    • Verifique se a utilização da CPU e do disco é inferior a 50% na janela de upgrade.

    • Verifique se não há jobs em execução no sistema de armazenamento.
      Por exemplo, jobs de volume e agregação podem estar em execução ou na fila para serem executados. Aguarde a conclusão.

    • Verifique se o DNS está funcionando (se ele foi configurado).

    • Verifique se todas as interfaces de rede estão no nó inicial. Caso contrário, reverta-os para que fiquem nos nós principais.

    • Se o SnapMirror estiver configurado, verifique se ele está suspenso no momento do upgrade.

    • Siga as recomendações de upgrade do sistema de armazenamento para todos os procedimentos.

3.5. Iniciar o upgrade

  1. No cluster de administrador raiz, crie um objeto da API Kubernetes e use a CLI kubectl para aplicá-lo ao cluster de administrador raiz:

    apiVersion: upgrade.storage.private.gdc.goog/v1alpha1
kind: FileStorageUpgradeRequest
metadata:
 name: test
 namespace: gpc-system
spec:
 fileStorageUpgradeMode: Manual
 storageClusterRef:
   name: $StorageClusterName
   namespace: gpc-system
 targetVersion: 9.10.1

  2. Clique em Atualizar com avisos.

    Clique no botão &quot;Atualizar com avisos&quot;.

    Figura 11. Botão "Atualizar com avisos"

3.6. Fazer upgrade em um sistema em branco

Se, por algum motivo, o armazenamento ONTAP tiver sido redefinido e ainda não houver um cluster, atualize os nós um de cada vez. Siga estas etapas:

  1. Baixe a versão mais recente do software ONTAP. A convenção de nomenclatura de arquivo é semelhante ao exemplo a seguir: 9.13.1P1_ONTAP_image.tgz.

  2. Crie um diretório para hospedar o arquivo de imagem do ONTAP.

    mkdir files
mv 9.13.1P1_ONTAP_image.tgz files

  3. Hospede a imagem no bootstrap com python3.

    # create a webserver with python
python3 -m http.server -d files
Serving HTTP on 0.0.0.0 port 8000 (http://0.0.0.0:8000/) ...

  4. Use a CLI system node reboot para reiniciar o nó.

  5. Pressione Control+C para interromper o ciclo de inicialização. Quando o menu de inicialização aparecer, selecione a opção 7: Instalar novo software primeiro. O menu de inicialização tem esta aparência:

    > system node reboot

Warning: Are you sure you want to reboot node "ag-ad-stge02-02"?
{y|n}: y

# interrupt the boot cycle using Ctrl-C

*******************************
*                             *
* Press Ctrl-C for Boot Menu. *
*                             *
*******************************
^CBoot Menu will be available.

Please choose one of the following:

(1)  Normal Boot.
(2)  Boot without /etc/rc.
(3)  Change password.
(4)  Clean configuration and initialize all disks.
(5)  Maintenance mode boot.
(6)  Update flash from backup config.
(7)  Install new software first.
(8)  Reboot node.
(9)  Configure Advanced Drive Partitioning.
(10) Set Onboard Key Manager recovery secrets.
(11) Configure node for external key management.
Selection (1-11)? 7

    A saída será assim:

    This procedure is not supported for Non-Disruptive Upgrade on an HA pair.
The software will be installed to the alternate image, from which the node is
not currently running. Do you want to continue? {y|n} y

In order to download the package, a temporary network interface needs to be
configured.

Select the network port you want to use for the download (for example, 'e0a')

  6. Configure o endereço IP na interface e0M. Em seguida, reinicie o nó.

    Select the network port you want to use for the download (for example, 'e0a')
> e0M

The node needs to reboot for this setting to take effect.  Reboot now? {y|n}
(selecting yes will return you automatically to this install wizard) y

Rebooting...

## Configure the mgmt interface (e0M)

In order to download the package, a temporary network interface needs to be
configured.

Enter the IP address for port e0M: 172.22.115.131
Enter the netmask for port e0M: 255.255.255.0
Enter IP address of default gateway: 172.22.115.1

What is the URL for the package? http://172.22.112.67:8000/files/9.13.1P1_ONTAP_image.tgz
What is the user name on "172.22.112.67", if any?

  7. Use a CLI version para confirmar a versão atual do software. A saída será semelhante a esta:

    > version
NetApp Release 9.13.1P1: Tue Jul 25 10:19:28 UTC 2023

    3.7. Atualizar a MTU das LIFs do agente de backup

O sistema de backup e restauração usa LIFs no ONTAP. A MTU precisa ser reduzida abaixo do máximo de 9.000. Isso é feito pelo agente de backup. Depois que o ONTAP estiver em execução e íntegro, diminua o tamanho da unidade máxima de transmissão (MTU) para as LIFs do agente de backup:

net port broadcast-domain modify -broadcast-domain backup-agent-network -mtu 8000

Para verificar se isso deu certo, execute:

net port broadcast-domain show -broadcast-domain backup-agent-network

Você vai ver o novo valor de MTU de 8.000.

4. Upgrade manual do pacote de operações Infrastructure Core

Esse processo de upgrade se aplica apenas ao upgrade da versão 1.12.x para a 1.13.0.

4.1 Fazer backups

  1. Faça o backup da VM de acordo com as instruções fornecidas em Instruções de configuração da Central de operações.
  2. Faça backup da unidade H:\operations_center. (Essa ação permite reverter o upgrade.)
  3. Faça backup de C:\dsc, C:\operations_center\ e C:\config\ em CONFIG1. (Esse backup fornece uma referência ao criar a nova configuração config.ps1.)

4.2 Fazer upgrade das máquinas virtuais atuais

  1. Consiga o diretório de instalação.

    1. Faça o download do pacote de componentes do OIC seguindo as instruções da seção Fazer o download de arquivos.

    2. Extraia o diretório operations_center do arquivo prod_IT_component_bundle.tar.gz baixado.

      tar -zxvf prod_IT_component_bundle.tar.gz ./release/operations_center

    3. Substitua H:\operations_center pelo diretório extraído na etapa anterior.

  2. Atualizar config.ps1 com dados específicos do site

    O arquivo de configuração config.ps1 fornece todas as informações necessárias para criar e configurar o ambiente de infraestrutura da Suite de operações (OI, na sigla em inglês). Para atualizar o arquivo de configuração, colete todas as informações a seguir. O backup do config.ps1 atual é uma boa referência para proteger a substituição não intencional das configurações atuais. Importante: não continue até que config.ps1esteja concluído e correto.

    • A saída da configuração de rede da ferramenta occonfigtool, especialmente o arquivo ocinfo.common.opscenter.local.txt. Os nomes de rede, por exemplo, OCCORE-SERVERS mencionados nas etapas a seguir fazem referência à coluna Name nesse documento.
    • O nome de domínio e o endereço IP do servidor DNS de todas as células do GDC gerenciadas por essa OI. Esses dados estão disponíveis nas saídas do Questionário de admissão de clientes (CIQ).

    Faça todas as mudanças no host BM01 como Administrator.

  3. Copie o código de exemplo de configuração correto para o tipo de implantação:

    1. Se o OIC for implantado inicialmente como site único, copie H:\operations_center\dsc\config.single-site-example.ps1 para H:\operations_center\config\config.ps1.
    2. Se o OIC for implantado inicialmente como multissite, copie H:\operations_center\dsc\config.multi-site-example.ps1 para H:\operations_center\config\config.ps1.

  4. Usando o PowerShell ISE, valide e atualize os valores em config.ps1.

    1. Atualize HardwareVersion, a menos que o padrão (3.0) esteja correto.

    2. Atualize PrimarySiteCode, a menos que o padrão (DC1) esteja correto.

    3. O código do site é usado em muitos nomes. Pesquise e substitua todas as instâncias de DC1 pelo código do site correto. Use uma pesquisa que não diferencia maiúsculas de minúsculas. Revise cada mudança, já que algumas podem não ser necessárias. Por exemplo, se o código do site for AB1, o nome do host DC1-DC1 precisará mudar para AB1-DC1, não AB1-AB1.

    4. Atualize DnsDomain se o padrão não estiver correto. Se esse valor for alterado, pesquise e substitua opscenter.local em todo o arquivo config.ps1. Há vários locais em que esse padrão é codificado.

    5. Atualize os objetos em DnsConditionalForwarder com informações específicas do site. É necessário ter pelo menos um objeto de encaminhamento. Remova exemplos desnecessários.

      Para extrair informações específicas do site do cluster de administrador raiz, use:

      export KUBECONFIG=ROOT_ADMIN_KUBECONFIG
kubectl get -n dns-system service gpc-coredns-external-udp -o jsonpath='{.status.loadBalancer.ingress[0].ip}{"\n"}'
      1. Domain: o nome de domínio DNS da célula do GDC. Por exemplo, dns.delegatedSubdomain em ciq.yaml.

      2. Master: uma lista de IPs de servidores DNS (geralmente apenas um). Procure em cellcfg o tipo DNSReservation. Se a célula do GDC estiver implantada, procure no namespace dns-system do cluster de administração raiz o EXTERNAL-IP do serviço gpc-coredns-external-udp e o FQDN da célula bert.sesame.street.

      3. Em implantações em vários sites, há um objeto de tabela hash por célula.

    6. Não mude o conteúdo dos objetos Users, Groups e GroupPolicy.

    7. Atualize DNSServers para conter os dois endereços IP atribuídos aos controladores de domínio primário e secundário, como <SITE>-DC1 e <SITE>-DC2.

    8. Atualize NTPServers para ser uma lista dos endereços IP do SyncServer dos recursos personalizados TimeServer do administrador raiz. Você pode buscar esse conjunto de endereços IP usando: 

      kubectl get timeserver -A -o json | jq '.items[].address'

      Formate esses endereços IP em NTPServers, conforme mostrado no exemplo a seguir:

      NtpServers = @(
  '10.251.80.2',
  '10.251.80.3',
  '10.251.80.4',
  '10.251.80.5'
)

    9. Atualize o valor padrão SubnetPrefix, ou seja, 24, com o valor do prefixo da sub-rede fornecido pelo cliente para a sub-rede OCCORE-SERVERS, se necessário.

    10. Atualize o valor padrão de DefaultGateway com o gateway padrão fornecido pelo cliente para a sub-rede OCCORE-SERVERS.

    11. Encontre e atualize o valor padrão WorkstationCider com o valor fornecido pelo cliente para a sub-rede OC-WORKSTATIONS na notação CIDR IPv4.

    12. Localize e substitua o prefixo de sub-rede de exemplo 172.21.0. pelo prefixo de sub-rede OCCORE-SERVERS fornecido pelo cliente.

    13. Localize e substitua o prefixo de sub-rede de exemplo 172.21.2. pelo prefixo de sub-rede OCCORE-JUMPHOSTS fornecido pelo cliente.

    14. Localize e substitua o prefixo de sub-rede de exemplo 172.21.32. pelo prefixo de sub-rede OC-WORKSTATIONS fornecido pelo cliente.

    15. Encontre e substitua o exemplo de mensagem do dia legalnoticecaption valor de Pref caption pela legenda fornecida pelo cliente.

    16. Localize e substitua o valor da mensagem do dia de exemplo legalnoticetext de Pref text pelo texto fornecido pelo cliente.

    17. Valide cada objeto "node" e atualize, se necessário.

      1. NodeName: confira se o nome do host está correto. Alguns nomes são usados em vários lugares, por exemplo, controladores de domínio. Se você mudar um nome aqui, verifique se ele precisa ser alterado em outro lugar na configuração.

      2. IPv4Addr: precisa ser o endereço IP do host. O último octeto geralmente pode ser deixado como está. Alguns deles podem ter sido atualizados durante a pesquisa e substituição de rede feitas nas etapas anteriores.

      3. HyperVHost: esse valor precisa ser o endereço IP do servidor Hyper-V que hospeda essa VM. É possível encontrar o endereço IP de cada servidor BM?? na seção "Servidores Hyper-V" da configuração. Não mude a atribuição do host do Hyper-V neste campo, porque nem todos os hosts do Hyper-V podem oferecer suporte a todos os tipos de VM. Mude apenas o nome do host do Hyper-V para o endereço IP correspondente.

    18. Atualize todas as estrofes dos nós com o splunk_indexer para incluir um segundo disco grande. Cada estrofe precisa incluir estas linhas:

      ExtraDiskSize   = 5120GB # No quotes -- PowerShell converts this to an integer.
ExtraDiskFolder = 'H:\Hyper-V\Virtual Hard Disks'

    19. Valide os detalhes da segunda interface de rede em todos os nós com Role=jumphost. Use os detalhes da sub-rede OCCORE-JUMPHOSTS para essa interface. Verificação:

      1. JumphostIPv4Cidr
      2. JumphostDefaultGateway

    20. Atualize a estrofe específica do ADFS no nó em que Role=adfs.

      1. Substitua todas as instâncias de bert.sesame.street e GDCH.sesame.street pelo valor Domain correto de uma das estrofes na seção DnsConditionalForwarder da configuração.
      2. Substitua a palavra Bert (sem diferenciar maiúsculas de minúsculas) pelo identificador curto da célula do GDC que está sendo configurada para usar o ADFS.

    21. Atualize os escopos de DHCP para corresponder ao plano de IP do cliente, conforme necessário. Em cada escopo, valide se os seguintes valores estão corretos. Os nomes nos escopos correspondem aos nomes usados no plano de rede ocinfo.common.opscenter.local.txt. Portanto, use o seguinte na validação:

      1. ScopeId
      2. IpStartRange
      3. IpEndRange
      4. Router
      5. SubnetMask

    22. Confirme se os valores correspondem aos valores em config1.ps1 com backup.

    23. Salve o arquivo.

  5. Upgrade da VM CONFIG1

    O upgrade do CONFIG1 é realizado em BM01 para manter a consistência com a instalação inicial. Todos os outros upgrades serão realizados em CONIFIG1 depois que ele for atualizado.

    1. Copie o diretório operations_center para a VM CONFIG1

    2. No host BM01, abra um console do PS como Administrador.

    3. Execute o script Copy-ConfigHostFiles.ps1 para preparar os arquivos necessários para a máquina virtual (VM) CONFIG1.

      # CD to the script's directory
cd H:\operations_center\dsc

      # Staging files for CONFIG1 VM
.\Copy-ConfigHostFiles.ps1 `<SITE>-CONFIG1`

    4. Desativar a sincronização de horário do Hyper-V

      1. Faça login no host BM01 como administrador.

      2. Abra o PowerShell no Windows como administrador e execute o seguinte comando:

      # Disabling Hyper-V Time Sync
Disable-VMIntegrationService -VMName `<SITE>-CONFIG1` -Name 'Time Synchronization'

    5. Executar o script de atualização CONFIG1

      .\Update-RemoteHost.ps1 -ComputerName DC1-CONFIG1 -Credentials $domain_admin_creds -SetLcm -RemoveExisting

    6. Depois que o script for executado, a VM CONFIG1 será reinicializada.

    7. Validação da VM CONFIG1

      1. No host BM01, use a área de trabalho remota (RDP) para o IP da VM CONFIG1 e faça login como Marvin. Exemplo: mstsc /v 192.168.100.99

      2. Como usuário Marvin, abra um console do PS com Executar como administrador.

      3. Valide se o ambiente de build está pronto executando Build-Mof.ps1, que gera arquivos de formato de objeto gerenciado (MOF, na sigla em inglês) para todas as máquinas de OI.

      # Running Build-MOf.ps1
cd C:\dsc
./Build-Mof.ps1

  6. Fazer upgrade de CA-ISSUING e CA-WEB

    1. Em CONFIG1, como Marvin, execute os seguintes scripts para configurar a VM CA-ISSUING. powershell $la_creds = Get-Credential -Message "Provide local admin credentials for CA- VMs" ./Update-RemoteHost.ps1 -ComputerName <SITE>-CA-ISSUING1 -Credentials $la_creds -SetLcm -RemoveExisting

    2. Em CONFIG1, como Marvin, execute os seguintes scripts para configurar o servidor CA-WEB1.

    $la_creds = Get-Credential -Message "Provide local admin credentials for CA- VMs"
.\Update-RemoteHost.ps1 -ComputerName <SITE>-CA-WEB1 -Credential $la_creds SetLcm -RemoveExisting

  7. Fazer upgrade de CA_ROOT

    1. Ligue o CA-ROOT1.

      1. Faça login no host BM01 como administrador.

      2. Abra o PowerShell no Windows como administrador e execute o seguinte comando:

      Start-VM -Name <SITE>-CA-ROOT1

    2. Na VM CONFIG1, inicialize a VM CA-ROOT1.

      .\Update-RemoteHost.ps1  -ComputerName <SITE>-CA-ROOT1 -Credential $la_creds SetLcm -RemoveExisting

    3. Se a VM CA_ROOT não tiver sido reinicializada após o script anterior, reinicialize-a manualmente.

    w32tm /query /peers

#Peers: 1

Peer: DC2-DC1.hq.local
State: Active
Time Remaining: 31.2997107s
Mode: 3 (Client)
Stratum: 1 (primary reference - syncd by radio clock)
PeerPoll Interval: 6 (64s)
HostPoll Interval: 6 (64s)

  8. Fazer upgrade de VMs do DHCP

    1. Na CONFIG1 como o usuário marvin, faça upgrade das VMs de DHCP. Comece com DHCP2 e depois DHCP1.

      • Configure o DHCP2:
      .\Update-RemoteHost.ps1 -ComputerName <SITE>-DHCP2 -Credential $da_creds SetLCM -RemoveExisting
      • Configurar DHCP1
      .\Update-RemoteHost.ps1 -ComputerName <SITE>-DHCP1 -Credential $da_creds SetLCM -RemoveExisting

  9. Fazer upgrade dos controladores de domínio

    1. Em CONFIG1 como o usuário marvin, faça upgrade do controlador de domínio principal.
    .\Update-RemoteHost.ps1 -ComputerName <SITE>-DC1 -Credential $da_creds SetLCM -RemoveExisting

    1. Validar a sincronização de tempo com o SyncServer

      1. Faça RDP em <SITE>-DC1 como um administrador de domínio.
      2. Abra uma janela do Powershell como administrador.

      3. Execute o comando a seguir para validar a configuração de hora.

        # Checking time status
w32tm /query /status /verbose

      4. Execute os comandos a seguir para testar a resincronização de tempo:

        # Testing time resyncronization
w32tm /resync

        # Desired output
Sending resync command to local computer
The command completed successfully.

      5. Revalide se a configuração de hora está correta e não tem erros.

        # Checking time status
  w32tm /query /status /verbose

    2. Faça upgrade da segunda VM do DC (<SITE>-DC2) no BM02

      1. Faça login no CONFIG1 com a conta de administrador local marvin.
      2. Abra um terminal do PowerShell como administrador e execute o script a seguir.
      cd c:\dsc

.\Update-RemoteHost.ps1 -ComputerName <SITE>-DC2 -Credential $da_creds -SetLCM -RemoveExisting

      1. O servidor é reinicializado. AGUARDE 15 minutos ou a conclusão da replicação do AD.

      2. Como validar a replicação do AD

      3. Quando o segundo DC estiver pronto e operacional, execute os seguintes comandos em um dos controladores de domínio para validar a replicação do Active Directory:

      repadmin /replsummary
      1. Valide os resultados de acordo com as instruções em #validate-ad-replication.

  10. Fazer upgrade das VMs do Microsoft Config Manager

    Na janela do PowerShell do Marvin em DC1-CONFIG1, configure e execute a configuração do DSC:

    .\Update-RemoteHost.ps1 -ComputerName <SITE>-MCMDB1 -Credential $da_creds -SetLCM -RemoveExisting

    .\Update-RemoteHost.ps1 -ComputerName <SITE>-MCM1 -Credential $da_creds -SetLCM -RemoveExisting

    .\Update-RemoteHost.ps1 -ComputerName <SITE>-MCM2 -Credential $da_creds -SetLCM -RemoveExisting

  11. Fazer upgrade das VMs do Splunk

    Na janela do PowerShell do Marvin em DC1-CONFIG1, configure e execute a configuração do DSC:

     .\Update-RemoteHost.ps1 -ComputerName <SITE>-splunk-heavyfwd -Credential $da_creds -SetLCM -RemoveExisting

     .\Update-RemoteHost.ps1 -ComputerName <SITE>-splunk-indexer -Credential $da_creds -SetLCM -RemoveExisting

     .\Update-RemoteHost.ps1 -ComputerName <SITE>-splunk-manager -Credential $da_creds -SetLCM -RemoveExisting

     .\Update-RemoteHost.ps1 -ComputerName <SITE>-splunk-searchhead -Credential $da_creds -SetLCM -RemoveExisting

     .\Update-RemoteHost.ps1 -ComputerName <SITE>-universal -Credential $da_creds -SetLCM -RemoveExisting

  12. Fazer upgrade das VMs do Nessus

    Na janela do PowerShell do Marvin em DC1-CONFIG1, configure e execute a configuração do DSC:

     .\Update-RemoteHost.ps1 -ComputerName <SITE>-NESSUS1 -Credential $da_creds -SetLCM -RemoveExisting

     .\Update-RemoteHost.ps1 -ComputerName <SITE>-NESSUS2 -Credential $da_creds -SetLCM -RemoveExisting