こんにちは、ひろかずです。
2015/1/8にリリースされた9.5 patch1に続き、2015/2/12に9.5 SP1がリリースされました。
既に9.0 SP1で運用されいる環境が多いと思いますので、9.5 SP1にアップグレードする手法について、一筆書きます。
#前提
- Deep Security 9.0 SP1(Linux/冗長構成)を既に構築していること。
#参照情報
#工程
1.モジュールの用意
2.アップデートの実行
3.Relayのアップデート
4.Agentのアップデート
#1.モジュールの用意
トレンドマイクロ社のダウンロードセンターから、9.5 SP1をダウンロードし、各Managerサーバにアップロードしておきます。
今回は、Manager-Linux-9.5.5600.x64.sh
を使用しました。
ダウンロード(Deep Security Manager 9.5 SP1)
事前に、ManagerインスタンスとDatabase(RDS)のスナップショットを取得しておくとよいでしょう。
#2.アップデートの実行
Managerインストール時に使用したdsm.properties
があれば、そのまま使用します。
1台目のManager
# ./Manager-Linux-9.5.5600.x64.sh -q -console -varfile ./dsm.properties
Unpacking JRE ...
Preparing JRE ...
Starting Installer ...
3 01, 2015 9:53:32 午後 java.util.prefs.FileSystemPreferences$2 run
情報: Created system preferences directory in java.home.
このコンピュータの物理メモリは、本番環境用の推奨メモリよりも少なくなっています。デモまたは評価目的のみでDeep Security Managerを
インストールする場合を除き、このインストールをキャンセルし、より高性能なコンピュータにインストールすることをお勧めします。
詳細については、インストールガイドでシステム要件を参照してください。
Trend Micro Deep Security Managerサービスを停止しています...
以前のバージョンのTrend Micro Deep Security Managerを確認しています...
アップグレードの確認画面の設定を許可...
すべての設定を許可しました。実行準備ができました...
以前のバージョンをアンインストールしています
ファイルを解凍しています...
設定しています...
データベースに接続しています...
他のManagerを終了しています...
データベーススキーマをアップデートしています...
データベースのデータをアップデートしています...
データベースのデータをアップデートしています (カウンタをアップグレード)...
作業ディレクトリを作成しています...
レポートをインストールしています...
モジュールとプラグインをインストールしています...
ヘルプシステムを作成しています...
ソフトウェアパッケージをインポートしています...
次のソフトウェアパッケージをインポートしています: Relay-RedHat_EL6-9.0.0-3500.x86_64.rpm
廃止機能の削除...
検索キャッシュの設定をインポートしています...
パフォーマンスプロファイルをインポートしています...
インストールの記録を記録しています...
セッションをクリアしています...
プロパティファイルを作成しています...
ショートカットを作成しています...
SSLを設定しています...
サービスを設定しています...
Javaセキュリティを設定しています...
Javaのログを設定しています...
クリーンナップしています...
Deep Security Managerを開始しています...
インストールを終了しています...
#
2台目のManager
# ./Manager-Linux-9.5.5600.x64.sh -q -console -varfile ./dsm.properties
Unpacking JRE ...
Preparing JRE ...
Starting Installer ...
3 01, 2015 9:57:59 午後 java.util.prefs.FileSystemPreferences$2 run
情報: Created system preferences directory in java.home.
このコンピュータの物理メモリは、本番環境用の推奨メモリよりも少なくなっています。デモまたは評価目的のみでDeep Security Managerを
インストールする場合を除き、このインストールをキャンセルし、より高性能なコンピュータにインストールすることをお勧めします。
詳細については、インストールガイドでシステム要件を参照してください。
Trend Micro Deep Security Managerサービスを停止しています...
以前のバージョンのTrend Micro Deep Security Managerを確認しています...
アップグレードの確認画面の設定を許可...
すべての設定を許可しました。実行準備ができました...
以前のバージョンをアンインストールしています
ファイルを解凍しています...
設定しています...
データベースに接続しています...
作業ディレクトリを作成しています...
レポートをインストールしています...
モジュールとプラグインをインストールしています...
ヘルプシステムを作成しています...
ソフトウェアパッケージをインポートしています...
廃止機能の削除...
検索キャッシュの設定をインポートしています...
パフォーマンスプロファイルをインポートしています...
インストールの記録を記録しています...
セッションをクリアしています...
プロパティファイルを作成しています...
ショートカットを作成しています...
SSLを設定しています...
サービスを設定しています...
Javaセキュリティを設定しています...
Javaのログを設定しています...
クリーンナップしています...
Deep Security Managerを開始しています...
インストールを終了しています...
#
検証環境(小さい構成)のため警告が表示されます。
本番時は構成に注意してください。
システム要件は、Trend Micro Deep Security(システム要件)に掲載されています。
Manager上にて以下のように表示されていればOKです。
#3.Relayのアップデート
9.5 SP1からRelayの機能がAgentに統合されましたので、Relay-RedHat_EL6-9.0.0-XXXX.x86_64.rpm
のようなモジュールはなくなりました。
結論としては、Relayをアンインストールし、9.5用のAgentを導入して、Relay機能を有効化することになります。
試しにRelayが導入されているコンピュータにて、Agentのアップグレード
ボタンをクリックすると、以下の様なメッセージが表示されます。
##3-1.ダウンロードセンター機能の準備
9.5 SP1の新機能で ダウンロードセンター
機能があります。
一言で説明すると、トレンドマイクロ社のダウンロードページに行かなくても、モジュールをダウンロードできる機能です。
詳しくはマニュアルの58頁を参照してください。
管理
タブのソフトウェア
を選択し、アップデートの確認
ボタンをクリックします。
暫くして画面を更新してみて、前回のアップデートの確認
に日時が表示されることを確認します。
ダウンロードセンター
画面にて、リストから後続作業で利用するモジュールを選んで、インポート
ボタンをクリックします。
※直接インポート可能
アイコンをがあることを確認してください。
Relayアンインストール後のAgentインストールをAgentから実行するため、Agentからのリモート有効化を許可します。
画面右上のヘルプ
からインストールスクリプト
をクリックし、先ほどインポートしたモジュールのプラットフォーム
を選択して、Agentを自動的に有効化
チェックボックスをオンします。
ウィンドウ下部にインストールスクリプトが生成されるので、控えておきます。
注意:スクリプトとして実行する場合、有効化後の各機能モジュール導入時にエラーが発生する場合があります。
その場合は、「sleep 70」で試してみてください。
##3-2.RelayのアンインストールとAgentのインストール/有効化
以下コマンドでRelayのアンインストールを行います。
# rpm -qa | grep ds_
ds_relay-9.0.0-3500.x86_64
# rpm -e ds_relay-9.0.0-3500.x86_64
ds_agent を停止中: [ OK ]
Unloading dsa_filter module... [ OK ]
次にAgentのインストールを行います。
# wget https://ip-XXX-XXX-XXX-XXX.ap-northeast-1.compute.internal:4119/software/agent/RedHat_EL6/x86_64/ -O /tmp/agent.rpm --no-check-certificate --quiet
# rpm -ihv /tmp/agent.rpm
準備中... ########################################### [100%]
1:ds_agent ########################################### [100%]
ds_agent を起動中: [ OK ]
#
次にAgentの有効化を行います。
# /opt/ds_agent/dsa_control -a dsm://ip-XXX-XXX-XXX-XXX.ap-northeast-1.compute.internal:4120/
Starting thread 'CScriptThread' with stack size of 1048576
HTTP Status: 200 - OK
Response:
Attempting to connect to https://ip-XXX-XXX-XXX-XXX.ap-northeast-1.compute.internal:4120/
SSL handshake completed successfully - initiating command session.
Connected with AES256-SHA to peer at ip-XXX-XXX-XXX-XXX.ap-northeast-1.compute.internal
Received a 'GetHostInfo' command from the manager.
Received a 'GetHostInfo' command from the manager.
Received a 'SetDSMCert' command from the manager.
Received a 'SetAgentCredentials' command from the manager.
Received a 'GetAgentEvents' command from the manager.
Received a 'GetInterfaces' command from the manager.
Received a 'GetAgentEvents' command from the manager.
Received a 'GetAgentStatus' command from the manager.
Received a 'GetAgentEvents' command from the manager.
Received a 'SetSecurityConfiguration' command from the manager.
Received a 'GetAgentEvents' command from the manager.
Received a 'GetAgentStatus' command from the manager.
Command session completed.
#
Manager上の表示を確認します。
元々Relayサーバとして登録されていた「localhost」はエラー状態(オフライン)になり、代わりにインストールしたAgentが有効化されています。
インストールしたAgentをダブルクリックして、Relayの有効化
ボタンをクリックします。
Relayの有効化
ボタンは非アクティブになります。
誤って別のサーバでRelayの有効化を実行した場合、Agentをアンインストールする必要があります。
次にハートビート(デフォルト10分間隔)まで待ちます。
それまでは以下のように表示されます。
適宜、元Relayサーバであったコンピュータの設定を参照しながらAgentの再設定します。
#4.既存Agentのアップデート
必要に応じてAgentのアップグレードを行います。
コンピュータ
タブにて既存コンピュータをダブルクリックします。
Agentのアップグレードボタンをクリックします。
下記のように表示されていることを確認して、OK
ボタンをクリックします。
以下のように表示されるので暫く待ちます。
次のハートビート(デフォルト10分間隔)時にアップグレードが実行されます。
お疲れ様でした。