Комментарии 5
Сколько времени будет простой при обновлении одинокого С150 и обновление кластера из С150 с версии 6 на версию 7?
Под простоем понимаем отсутствие защищаемого доступа в интернет для организации.
Считайте что это чистая установка.
Если говорить про кластер, где мы заранее берем одну ноду, полностью на нее мигрируем конфигурацию и настраиваем, а потом берем вторую ноду, ставим новую версию и подключаем ее как ноду кластера, то примерно простой составит около часа.
А если у нас только одна нода, то уже зависит от объема переносимой конфигурации...
После переноса конфигурации начинается вторая часть — ручная настройка. Засучите рукава: вам предстоит вручную настроить сетевые интерфейсы, прописать маршруты, воссоздать политики фильтрации приложений и заново поднять динамическую маршрутизацию по OSPF.
Самый серьезный риск при миграции — неполный перенос конфигураций. Даже если скрипт отработал безупречно, импортируемый JSON-файл может «сломаться» из-за некорректных названий объектов или устаревших параметров конфигурации.
Решение — ручное редактирование файла и точечная проверка правил. Чтобы минимизировать простой, используйте дашборды Management Center для мониторинга нагрузки (мы писали об этом в прошлой статье) и журналы трафика в реальном времени.
Готовьтесь к неожиданностям после импорта конфигурации. Самый частый сюрприз — слетевшие привязки сертификатов, особенно тех, что были связаны с конкретными сетевыми интерфейсами или точками доступа. На первый взгляд это не выглядит катастрофой, но если не заняться внимательной ручной корректировкой, последствия будут весьма ощутимыми: откажутся работать VPN-туннели, перестанет функционировать портал авторизации, а внутренний центр сертификации (CA) станет бесполезен.
Короче печально всё с миграцией... нет никакой миграции, по итогу нужно вручную перелопачивать всё. Особенно было весело перелопачивать правила, настроенные много лет назад сотрудниками, которые Бог знает когда уволились.
Сколько мы не пытались мигрироваться - везде какой-то баг ловили. В итоге переехали на версию 7.2 очень "весело" - решили накатить очередной патч безопасности на 6.1, а он при установке окирпичил нам железяку. Деваться некуда, с нуля установили 7.2 и начили всё настраивать, 2 недели бегали ужаленные в одно место, но, наконец, переехали и настроили.
Техподдержка вообще печальная... из всех заведённых тикетов после установки 7.2 ни один тикет не решила, всё решили сами, техподдержка подкидывала только идеи, что можно придумать, но ни одного готового решения не было. С тем же самым переработанным СОВ - удалось настроить, чтобы он срабатывал на внутренний трафик, а для внешних подключений (от которых в основном-то и хочется защититься) ничего не срабатывает
Обновляем UserGate NGFW 6.x на 7.x: инструкция по миграции без нервов