概要
現在利用している Deep Security (以下、DS) を 9.6 にアップグレードする予定です。アップグレードパスや注意点、手順について教えてください。
詳細
DS 9.6 へのアップグレードを実施する前に、必ず事前にシステム要件、Readme およびインストールガイドもご確認ください。なお、本製品 Q&A の DSVA に関する記載は、vShield 環境を想定しており、NSX 環境については対象外としています。NSX 環境におけるアップグレード手順については、NSX 用のインストールガイドをご覧ください。
サポート終了について
DS 9.0、9.5、9.6は以下の日程でサポートを終了します。
- DS 9.0 : 2018年9月30日
- DS 9.5 : 2020年1月7日
- DS 9.6 : 2020年9月30日
DS 9.6へのアップグレードパス
DS 9.6 へアップグレード可能なバージョン・ビルド一覧は以下のとおりです。
- DS 9.0 Service Pack 1 Patch 4 以降
- DS 9.5 または 9.5 Service Pack 1 以降
バージョン8.0は一旦バージョン9.0へアップグレードを行うことで、バージョン9.6へのアップグレードが可能となります。
バージョン 8.0以前からバージョン9.6への直接アップグレードはサポート対象外となり、サポート対象外バージョン・ビルドからのアップグレードにより問題が発生しても弊社ではサポートいたしかねますのであらかじめご了承ください。
バージョン 8.0以前からバージョン9.6への直接アップグレードはサポート対象外となり、サポート対象外バージョン・ビルドからのアップグレードにより問題が発生しても弊社ではサポートいたしかねますのであらかじめご了承ください。
アップグレード前の事前確認事項・注意事項
Deep Security Manager (以下、DSM)
- DSM 9.6 には、データベースのスキーマの変更が含まれています。SQL Server を使用している環境にて、データベースのサイズが非常に大きい場合やマルチテナント環境の場合は、DSM のアップグレードに数時間程度もしくはそれ以上の時間が掛かったり、失敗する場合があります。そのため、アップグレード前に必ずデータベースをバックアップし、関連リンクの製品 Q&A「DSMデータベーススキーマアップグレード方法」に記載されている、データベーススキーマのアップグレード (マイグレーション) を実施して頂くことを推奨いたします。なお、上記ビルド間でのアップグレード (例. DSM 9.5 SP 1 Patch 1 から DSM 9.6 へアップグレード) をする場合は、すでにスキーマのアップグレードは行われているため、基本的に、再度同じ手順を実施する必要はありません。ただし、データベースのバックアップ (DSM とデータベースが同居している場合は仮想マシンのスナップショットでも可) は必ず事前に採取してください。
- DSM 9.6 が管理対象としてサポートしている Agent/Appliance は、9.0 SP 1 Patch 4 以降および 9.5 SP 1 以降のみです。
- Windows の [サービス] 画面が開いていると、プラットフォームによっては DSM のアップグレード中に、サービスを正しくインストールできないことがあります。DSM をアップグレードする前に、[サービス] 画面を閉じることを推奨します。
- DSM と SQL Server 間の通信を暗号化している場合、アップグレード前に暗号化を無効にする必要があります (初期設定では無効です)。無効にしていない場合、アップグレードに失敗することがあります。無効化方法については、DSM 9.6 の Readme の「1.2 アップグレードに関する注意事項」セクションをご覧ください。
- アップグレード中に DSM がサービスを開始できなかったというメッセージを受け取った場合、通常は再起動すると問題が解決します。まれに、再起動後に [Upgrade/Repair] モードでインストーラを再度実行しなければならないことがあります。
Deep Security Agent (以下、DSA)
32/64 ビット版それぞれ、9.6 へのアップグレードをサポートしています。
Deep Security Relay (以下、DSR)
バージョン 9.5 の Relay 有効化済み Agent からのアップグレードにおいては、特筆すべき事項はありません。バージョン 9.0 からのアップグレードの場合は、8.0/9.0 → 9.5 へのアップグレード時と同様の以下注意事項があります。
- 32 ビット版の DSR を 9.6 へアップグレードすることはできません。9.6 で Relay 機能を使用したい場合、DSR 9.0 をアンインストール後、新規に 64 ビット版 DSA 9.6 をインストールし、Relay 機能を有効化する必要があります。
- 64 ビット版でも Linux 版 DSR を 9.6 にアップグレードすることはできません。この場合、一度 DSR を無効化・アンインストール後、DSA 9.6 64 ビット版をインストールし再有効化してください。
Deep Security Virtual Appliance (以下、DSVA)
DSVA 9.6 がサポートしている ESXi のバージョンは 5.5/6.0 のみです。ESXi 5.1 以下をご利用の場合は、DSVA 9.5 (または 9.0) を使用する必要があります。
バージョン 9.6 以降では、VMware 社による VMsafe API のサポート終了のため Filter Driver が存在しません (DSVA 9.6 以降ではファイアウォール/侵入防御/Web レピュテーション機能を使用することはできません)。そのため、ESXi 5.x 上の DSVA 9.5 を 9.6 以降にアップグレードする場合は、事前に Filter Driver をアンインストールする必要があります。Filter Driver がアンインストールされない限り、DSVA 9.5 を 9.6 以降にアップグレードすることはできません。
ファイアウォール/侵入防御/Web レピュテーション機能を継続して DSVA で使用・提供したい場合、DSVA 9.5 (9.0) をご利用頂くこともご検討ください。DSVA 9.6 環境でこれらの機能を提供したい場合、各保護対象の仮想マシンに DSA をインストールし、コンバインモードを使用する必要があります。
DSVA 9.6 のインストール/アップグレードは、ベースとなる DSVA 9.5 アプライアンスイメージ (Appliance-ESX-9.5.2-2022.x86-64.zip) を、RHEL 6 (x64) 用 DSA 9.6 ソフトウェアパッケージを使用して行います。そのため、DSVA 9.0 からのアップグレードの場合、9.5 へのアップグレード時と同様に、旧バージョンの DSVA を削除し、新たに DSVA 9.5 を配信し、DSVA 9.6 へアップグレードする形となります。
アップグレード手順
- Step 1DSM のアップグレード
- Step 2各種ソフトウェアパッケージのインポート
- Step 3Filter Driver の削除
- Step 4DSR / Relay 有効化済み Agent のアップグレード
- Step 5DSA のアップグレード
- Step 6Deep Security Notifier のアップグレード
- Step 7DSVA のアップグレード
Step 1DSM のアップグレード
DSM のアップグレードを実施する前に、データベースのバックアップや、DSM/データベースサーバの仮想マシンのスナップショットを採取してください。また、注意事項に記載されているとおり、関連リンクを参照し、データベーススキーマのマイグレーション (アップグレード) を事前に実施して頂くことを推奨します。
GUI によるアップグレード
- DSM 9.6 のインストーラを実行します。
- 言語を選択します。
- 「次へ>」をクリックします。
- 使用許諾契約に同意する場合は「...同意します」を選択し「次へ>」をクリックします。
- 「既存のインストールをアップグレード (現在の設定を管理)」を選択し「次へ>」をクリックします。
- インストールモードが「アップグレード」になっていることを確認し「インストール」をクリックします。
- インストールの完了後、管理コンソールの [管理] > [Managerノード] の「バージョン」がアップグレード後のビルドになっていることを確認します。
サイレントインストールによるアップグレード (Linux 版)
サイレントインストールによるアップグレードを実施したい場合、ダウンロードしたインストールパッケージに実行権限を付与したあと、「-q 」および「-console」オプションを付加して実行してください。その他のオプションおよび詳細については、インストールガイドを参照してください。
Step 2 各種ソフトウェアパッケージのインポート
管理コンソールの [管理] > [アップデート] > [ソフトウェア] > [ダウンロードセンター] より、アップグレードに必要なパッケージをインポートします。
- DSA : Agent-[Platform]-9.6.x-xxxx.[Architecture].zip
- Relay : Agent-[Platform]-9.6.x-xxxx.x86_64.zip (9.5 以降では Relay- から始まるパッケージはありません)
- DSVA : Appliance-ESX-9.5.2-2022.x86_64.zip (DSVA 9.5 初期ビルドから以降のビルドへアップグレードする場合は、対象ビルドの Red Hat Enterprise Linux 6 x64 用 DSA ソフトウェアパッケージもインポートしてください。「Appliance-」 から始まるDSVA 用のソフトウェアパッケージは、バージョン 9.5 の初期ビルドのみ存在します)
- Filter Driver : なし
ヒント
あわせて、旧バージョンの不要なパッケージは削除しておくことをおすすめします。
Step 3 Filter Driver の削除
Filter Driver の削除方法については、以下製品 Q&A の「バージョン 9.5 から 9.6 以降へアップグレードする場合」セクションを参照してください。
Step 4 DSR / Relay 有効化済み Agent のアップグレード
以下製品 Q&A を参考に、DSR / Relay 有効化済み Agent のアップグレードを実施します。DSR のアップグレードがサポートされていないプラットフォームについては、アップグレード前に一度無効化、DSR のアンインストールを行い、新規に DSA 9.6 をインストール後、Relay 機能を有効化する必要があります。Relay 機能を有効化する手順については、インストールガイドや管理者ガイド、関連リンクの製品 Q&A などをご覧ください。
Step 5 DSA のアップグレード
Relay のアップグレードが完了したら、各 DSA のアップグレードを行います。アップグレード手順については、上記製品 Q&A やインストールガイドをご覧ください。
Step 6 Deep Security Notifier のアップグレード
DSVA による保護対象の Windows 仮想マシンがある場合は、Notifier のアップグレードを行います。
- 旧バージョンの Notifier をアンインストールします。
- 9.6 の Notifier をインストールします。
Step 7 DSVA のアップグレード
DSVA 9.0 からのアップグレード (新しいバージョンへの入れ替え) 手順は以下のとおりです。
- 管理コンソールの [コンピュータ] 画面より、対象の DSVA を右クリックし [処理] > [Applianceの無効化] を選択し、無効化します。
- vSphere Client を使用し、対象の DSVA が配置されている ESXi (またはそれを管理している vCenter) にアクセスし、DSVA をパワーオフします。
- 対象の DSVA をディスクから削除します。
- 以下製品 Q&A の Step 6「DSVA の配信」以降を実施します。
DSVA 9.5 からのアップグレード手順は、以下製品 Q&A をご覧ください。
