Readmeの5.2章の記載内容のより詳細な補足情報となります。
1. はじめに
こちらで提供しておりますアップグレードパッケージを使用することで、 既存のIWSVA 6.5 Service Pack 2をService Pack 3へアップグレードすることが可能です。
既存のログや設定を引き継いでService Pack 3へアップグレードいたします。
アップグレードにあたって、いくつかの事前確認事項、注意事項がございます。
詳細は以降の内容をご参照ください。
2. 適用対象
IWSVA Service Pack 2 Patch 4 Critical Patch 1784 または それ以降のビルド
IWSVAの現在のビルドは、管理画面の[管理] - [システムアップデート] - [アプリケーションのバージョン]から確認可能です。
[アプリケーションのバージョン]では、"6.5-SP2_Build_Linux_XXXX("XXXX"はビルド番号)"のように表示されます。
ビルド番号が「1784以上」であれば、アップグレードパッケージを適用可能です。
3. 事前準備
アップグレード前に、予め以下の実施をお願いいたします。
こちらのKBの「SP2をご利用のお客様向けへの注意事項」も予めご確認ください。
特に注意すべき点としまして、Service Pack 3からは、サポート対象のLDAPサーバから「Sun Java System Directory Server」と「Novell eDirectory」が除外されます。
これらのLDAPサーバをご利用のお客様は、Service Pack 3にはアップグレードいただけません。
事前にサポート対象である「Active Directory」または「OpenLDAP」のご利用等をご検討ください。
3.1 IWSVA仮想マシンのスナップショット(バックアップ)の作成
アップグレードパッケージは、ロールバック機能をご用意しておりません。
バックアップのため、アップグレード実施前にIWSVA仮想マシンのスナップショットを取得してください。
Readmeの5.2.1章では設定バックアップの事前取得を案内しておりますが、 万一の際の速やかな復旧のため、仮想マシンのスナップショット取得もお願いいたします。
3.2 透過ブリッジにおけるHAクラスタ構成の解除
配置モードとして"透過ブリッジモード - 高可用性"をご利用の場合、アップグレード前にHAクラスタ構成の解除を実施してください。
解除方法につきましては、管理者ガイドのP109の「クラスタの解除」をご参照ください。
なお、現在使用している配置モードは、管理画面の[管理]-[配置ウィザード]を選択いただき、 最初の[配置モード]の画面で確認いただけます。当該画面で選択されているモードとなります。
3.3 「集中管理ログ/レポート」と「設定の複製」による複数台構成の解除
以下でIWSVAの複数台構成を取られている場合は、一旦各IWSVAサーバの役割を"スタンドアロン"に戻してください。
これらの設定画面の詳細は、管理者ガイドのP378 - 380をご参照ください。
・[管理] - [一般設定] - [集中管理ログ/ レポート]
・[管理] - [一般設定] - [複製の設定]
3.4 カスタム保護設定の無効化
[HTTP] - [高度な脅威保護] - [カスタム保護]でDeep Discovery/Inspector, Apex Central, Deep Discovery Analyzerとの 連携設定を行っている場合は、対応するチェックボックスを外し、一旦設定を無効化してください。
なお、以下の設定につきましてはアップグレード前に登録解除する必要はございません。
・[管理] - [一般設定] - [Control Manager]におけるApex Central登録設定
・[管理] - [一般設定] - [ユーザの識別]におけるLDAPサーバ登録設定
3.5 /varパーティションの空き容量の確認
アップグレードの際には、/varパーティションに3GB以上の空き容量が必要となります。
空き容量が不足している場合は、アップグレード処理に失敗いたします。
予め不要なログファイル等の削除いただき、3GB以上の空き容量があることをご確認ください。
なお、/varパーティションの空き容量は、IWSVA管理画面の[システムステータス] - [ハードディスクドライブ]から確認可能です。
[2022/2/25 追記]
ご注意:
アップグレード中に/var/iwss配下の設定ファイルの/var/upgrade_backupへのバックアップが実施されますが、/var/iwss/UserDumps配下のCDTファイルやダンプファイルもバックアップ対象となります。
CDTファイルやダンプファイルの合計サイズが大きくなる場合、バックアップ中のコピー処理で/varパーティションが空き容量不足になる可能性があります。
アップグレード前に、/var/iwss/UserDumps配下の不要なCDTファイルやダンプファイルは予め削除いただくようお願いいたします。
3.6 管理画面へのアクセス方法の変更
IWSVA 6.5 SP3では、管理画面へのアクセス方法としてHTTPSのみをサポートしております。
そのため、SP2で非HTTPSでのアクセスを使用している場合、SP3へアップグレードいただけません。
アップグレード後に管理画面へアクセスできなくなり、アップグレードに失敗いたします。
SP3へのアップグレード前に、管理画面の[管理] > [ネットワーク] > [Webコンソール]にて"SSLモード"を選択いただき、HTTPSアクセスに変更いただくようお願いいたします。
なお、HTTPSアクセスで使用するサーバ証明書のインポート方法につきましてはこちらもご参照ください。
4. アップグレード手順
以降のアップグレードタスクを実行する場合、Google Chromeを使用することを推奨いたします。
Chromeを使用すると、他のWebブラウザよりも早くアップグレードが終了することを確認しています。
4.1 管理画面へのログイン
管理者アカウントでIWSVA管理画面にログインし、[管理] - [システムアップデート]へ移動します。
4.2 アップグレードパッケージのアップロード
[ファイルを選択]を押下し、IWSVA_6.5SP2_to_6.5SP3_upgrade.zipを選択します。
その後、[アップロード]をクリックします。
アップグレードパッケージはサイズが大きいため、パッケージの展開とパッケージ内の証明書検証に時間を要します。
[アップロード] をクリックしてから、次の4.3の画面に移行するまで約15分程度時間を要します。
この間、管理画面は応答いたしません。別画面への移動やブラウザの終了は実施せず、 次の4.3の画面に移行するまでそのままでお待ちください。
4.3 アップロードの実行
以下の通り、アップグレードパッケージの説明画面に移動します。
問題なければ、そのまま[インストール]を押下します。
なお、"アップデートの説明"が英語表記になっておりますがこちらは仕様となります。
4.4 アップロード完了の待機
アップグレード完了までに約15~30分程度の時間を要します。
アップグレードの途中で、管理画面のログインセッションの自動終了とOSの自動再起動が発生いたします。
30分程度経過後、管理画面にログインいただき、[管理] - [システムアップデート] - [アプリケーションのバージョン]を確認します。
[アプリケーションのバージョン]が"6.5-SP3_Build_Linux_3279"と表示されていれば、アップグレードが完了となります。
※ 上記は目安時間となり、環境やリソース状況によっては1時間以上要する場合もございます。
アップデート完了の確認方法について
アップグレード中は各種プロセスおよびOSの再起動が発生するため
一時的に管理コンソールへのログインができなくなります。
アップデートが完了した場合はサーバ内のファイル「/var/upgrade_tool/upgrade.log」に
以下のようなログが表示されますので、こちらを参考にご確認ください。
# grep 'successfully upgrade' /var/upgrade_tool/upgrade.log [2099-01-01 23:59:59] You have successfully upgrade to IWSVA 6.5 SP3. The system will now reboot!
5. アップグレード後の作業
アップグレード完了後は、以下の作業の実施をお願いします。
5.1 エンジンとパターンファイルのアップデート
アップデート完了後は、各種エンジンとパターンファイルはService Pack 3のデフォルトに戻ります。
管理画面の[アップデート] - [手動]から、最新のエンジンとパターンファイルを手動アップデートしてください。
5.2 LDAP同期の実施
管理画面の[管理] - [一般設定] - [ユーザの識別]にてLDAPサーバを使用している場合、 同画面にて最新のユーザ/グループ情報の同期を実施してください。
[管理] - [一般設定] - [ユーザの識別]の[詳細 (その他/複数のLDAPサーバ)]を選択すると、"LDAPサーバと同期する"というボタンがございます。
こちらを押下して同期をお願いいたします。
5.3 CRLファイルのダウンロード
アップグレード完了後は、HTTPS復号化機能で使用するCRLファイルがService Pack 3のデフォルトに戻ります。
Service Pack 2で使用していた各CRLファイルの取得には、CRLファイルのダウンロード処理の再実行が必要です。
CRLファイルの自動ダウンロードは毎日午前1時に実施されます。
手動でCRLファイルのダウンロードを実施される場合は、IWSVAのLinuxコンソールにrootユーザでログインいただき、 以下のコマンドを実行してください。バックグラウンドで自動ダウンロード処理を実行いたします。
# su - iscan -c "/usr/iwss/iwsva_https_cron.sh" >/dev/null 2>&1 &
5.4 透過ブリッジにおけるHAクラスタ構成の再構成
3.2にてHAクラスタ構成の解除を実施された場合は、HAクラスタ構成の再構成をお願いたします。
HAクラスタ構成の設定方法につきましては、管理者ガイドのP54「新規クラスタの作成」とP55「既存クラスタの結合」をご参照ください。
5.5 「集中管理ログ/レポート」と「設定の複製」による複数台構成の再構成
3.3にて、以下のIWSVAの複数台構成における各IWSVAサーバの役割を"スタンドアロン"に戻された場合は、 改めて元の役割に戻すようお願いいたします。
これらの設定画面の詳細は、管理者ガイドのP378 - 380をご参照ください。
・[管理] - [一般設定] - [集中管理ログ/ レポート]
・[管理] - [一般設定] - [複製の設定]
5.6 カスタム保護設定の有効化
3.4にて、[HTTP] - [高度な脅威保護] - [カスタム保護]でDeep Discovery/Inspector, Apex Central, Deep Discovery Analyzerとの 連携設定を一旦解除した場合は、解除したチェックボックスを有効にし再設定してください。
5.7 設定の確認
管理画面から、念のため、アップグレード後の設定に問題がないかご確認ください。
アップグレードパッケージによるアップグレードにおける設定の引継ぎは、管理画面の[管理] > [設定のバックアップ/復元]で設定バックアップを復元した場合と同等です。
管理画面上の設定は引き継がれますが、手動で直接設定ファイルの設定変更を行っている場合、 引き継がれずにService Pack 3のデフォルト値に戻るものがございます。
手動で設定変更を行われている設定につきましては、改めて手動での設定変更をお願いいたします。
なお、アップグレード前の/var/iwss配下の設定ファイルにつきましては、/var/upgrade_backup/iwss配下に保存されています。
設定ファイルの比較が必要な場合は、こちらをご利用ください。
6. よくあるご質問
Q1. アップグレードパッケージによるアップグレードで、Service Pack 2の設定やログは移行されますでしょうか。
はい。設定やログは移行されます。
ただし、管理画面の[レポート]の"保存されているレポート"につきましては引き継がれません。必要に応じてアップグレード前に予め当該レポートをダウンロードしてください。
また、手動で直接設定ファイルの設定変更を行っている場合は、引き継がれずにService Pack 3のデフォルト値に戻るものがございます。
詳細は5.7をご参照ください。
Q2. アップグレードパッケージにService Pack 2へのロールバック機能はありますか。
ロールバック機能はございません。
3.1に記載の通り、仮想マシンのスナップショット機能等を利用してのバックアップをお願いいたします。
Q3. アップグレードの所要時間はどの程度でしょうか。
ブラウザとしてGoogle Chromeを使用した場合、目安としまして、管理画面からアップグレードパッケージをアップロードするのに約15分程度、 その後のアップグレード処理が完了するのに約15~30分程度の時間を要します。
そのため、目安の総時間は約30分~45分程度の時間となります。
なお、アップグレード所要時間は、Service Pack 2に保存されているログ情報の期間やサイズには依存いたしません。
Q4. アップグレード後にパターンファイルがアップデートできなくなりました
こちらのFAQにてご紹介の手順でアップデート元のサーバを変更している場合、SP3のアップグレードにより設定が初期化されることでデフォルトのサーバを参照するようになり、アップデートに失敗する場合がございます。
もしこちらに合致する場合は、SP3にアップグレード後に改めてFAQの手順にて再度設定変更いただけますようお願いいたします。
