概要
このドキュメントでは、Cisco Secure Email Gateway(SEG)(Cisco Eメールセキュリティアプライアンス)のAsyncOSアップグレードプロセスに関連する手順について説明します。
要件
- [System Status] の出力でアプライアンスの RAID ステータスが READY または OPTIMAL であることを確認してください。RAIDステータスがDEGRADEDのアプライアンスでは、アップグレードを開始しないでください。Cisco TACに連絡して、アプライアンスのReturn Material Authorization(RMA)ケースを開始してください。
- Eメールセキュリティアプライアンス(ESA)がスタンドアロンアプライアンスであるか、クラスタ環境であるかを確認します。クラスタ化されている場合は、このドキュメントの「クラスタアップグレード」セクションを必ず適切に確認してください。
- ESAからポート80および443へのインターネット接続が、パケットインスペクションなしで確立されていることを確認します。
- 機能しているDNSサーバーが必要です。
ESA/SMA間の互換性
アップグレードする前に、ESAシステムとSMAシステムの互換性を確認してください。古いバージョンのAsyncOS for Email Securityでは、最新バージョンにアップグレードするために複数のアップグレードが必要になる場合があります。アップグレードパスとアプライアンスのプロビジョニングの確認については、Cisco TACにお問い合わせください。
アップグレードの準備
- XML 設定ファイルをオフボックスで保存します。何らかの理由でアップグレード前のリリースに戻す必要がある場合は、このファイルを使用して以前の設定をインポートできます。
- セーフリスト/ブロックリスト機能を使用する場合は、リストをオフボックスでエクスポートします。
- すべてのリスナーを一時停止します。CLIからアップグレードを実行する場合は、
suspendlistener
コマンドを使用して、アップグレードを実行します。GUI からアップグレードを実行する場合は、リスナーは自動的に一時停止します。
- キューが空になるまで待ちます。コントローラ GUI または CLI を使用して
workqueue
作業キュー内のメッセージ数を表示するコマンド、またはアプライアンスのメッセージスループットを監視するCLIのrateコマンド。
アップグレードのダウンロードとインストール
AsyncOS for Email Security バージョン 8.0 では、アップグレード オプションが更新され、DOWNLOAD の他に DOWNLOADINSTALL が追加されました。これにより、管理者はダウンロードして1回の操作でインストールするか、バックグラウンドでダウンロードして後でインストールするかを柔軟に選択できます。
(Machine host1.example.com)> upgrade
Choose the operation you want to perform:
- DOWNLOADINSTALL - Downloads and installs the upgrade image (needs reboot).
- DOWNLOAD - Downloads the upgrade image.
[]> download
Upgrades available.
1. AsyncOS 14.2.0 build 616 upgrade For Email, 2022-05-27,release available as General Deployment
2. AsyncOS 14.2.0 build 620 upgrade For Email, 2022-07-05,release available as General Deployment
[2]>
詳細については、『ユーザガイド』を参照してください。
CLIでのアップグレード
- 次を入力します。
status
コマンドを使用して、リスナーが一時停止していることを確認します。「System status: Receiving suspended」が表示されます。
- 次を入力します。
upgrade
コマンドを使用して、アップグレードを実行します。
- オプションとして DOWNLOADINSTALL または DOWNLOAD を選択します。
- 必要なアップグレードバージョンに関連付けられた適切な番号を選択します。
- 現在の設定を保存し、アップグレード適用時のリブートを承認するために必要な質問に回答してください。
- アップグレード後、CLIにログインし、次のように入力します
resume
リスナーを再開し、動作を確認します。次を入力します。 status
コマンドを入力し、「System status: Online」を確認します。
GUIを使用したアップグレード
- [システム管理(System Administration)] > [システムアップグレード(System Upgrade)] を選択します。
- [Upgrade Options...] をクリックします。
- オプションとして [Download and install] または [Download] を選択します。
- 必要なアップグレード バージョンをクリックして強調表示します。
- 「アップグレードの準備」で適切なオプションを選択します。
- [Proceed] を選択してアップグレードを開始します。モニタリング用の経過表示バーが表示されます。
- アップグレード後、CLIにログインし、
resume
リスナーを再開して操作を確認するには、System Administration > Shutdown/Suspend > Resume (Check All)の順に選択します。
- Mail Operationsセクションで、Commitを選択します。
クラスタ アップグレード
クラスタ内のESAは、前のセクションと同じアップグレードプロセスをCLIまたはGUIから使用しますが、1つだけ異なる点として、クラスタからデバイスを切断するように求めるプロンプトが表示されます。
注:CLIまたはGUIを使用してアップグレードを実行できますが、再接続は行われません clusterconfig
コマンドはCLIからのみ使用できます。このドキュメントでは、CLI を使用してマシンをアップグレードする方法について説明します。
CLI の表示例:
(Cluster my_cluster)> upgrade
This command is restricted to run in machine mode of the machine you are logged in to.
Do you want to switch to "Machine applianceA.local" mode? [Y]> y
GUI の表示例:
注:これは管理上の接続解除のみです。これにより、切断されたアプライアンスとの間でクラスタ全体で設定の同期が試行されなくなります。アプライアンス設定の削除や変更は行われません。
CLIを使用してクラスタで実行されているESAをアップグレードするには、次の手順を実行します。
- 次を入力します。
upgrade
コマンドをCLIに入力して、AsyncOSを新しいバージョンにアップグレードします。クラスタの接続を解除するかどうかを尋ねられたら、文字で応答します Y
次の手順に進みます。
(Machine host1.example.com)> upgrade
You must disconnect all machines in the cluster in order to upgrade them. Do you wish
to disconnect all machines in the cluster now? [Y]> Y
- すべてのアップグレードプロンプトを使用します(rebootプロンプトを含む)。
- クラスタ内のすべてのマシンがアップグレードおよびリブートされた後、CLIを使用してクラスタ内のいずれかのマシンにログオンし、
clusterconfig
コマンドを使用して、アップグレードを実行します。クラスタレベルで再接続して、設定の同期を許可し、クラスタの動作を再開します。
- 対応
Yes
再接続します。commit を実行する必要はありません。
Choose the machine to reattach to the cluster. Separate multiple machines with commas
or specify a range with a dash.
1. host2.example.com (group Main)
2. host3.example.com (group Main)
3. host4.example.com (group Main)
[1]> 1-3
- 次のコマンドを発行します。
connstatus
すべてのデバイスがクラスタ内にあることを確認します。また、次のコマンドを発行します clustercheck
不整合がないことを確認します。
クラスタ アップグレードに関する推奨事項は次のとおりです。
- すべてのアプライアンスが一致するバージョンにアップグレードされるまで、ESAをクラスタに再接続しないでください。
- 必要に応じて、1つのESAのアップグレードが完了したら、リスナーを再開し(以前に中断した場合)、リスナーがスタンドアロンアプライアンスとして機能できるようにします。
- ESAがクラスタから切断されている場合は、クラスタレベルのアップグレード後に再接続したときに設定の不整合を回避するために、設定の変更や変更を行わないでください。
- すべてのアプライアンスが同じバージョンにアップグレードされたら、アプライアンスをクラスタ レベルで再接続し設定の同期を許可してクラスタ操作を再開します。
ポストチェック:
- アプライアンスがSMAによって管理されている場合、次のようになります。
- Management Appliance > Centralized Services > Security Appliancesの順に移動し、すべてのサービスが稼働していて、接続に「Established」が表示されていることを確認します。
- Email > Message Tracking > Message Tracking Data Availabilityの順に移動し、すべてのESAのステータスがOKと表示されるかどうかを確認します。
- 各アプライアンスで、
status
コマンドを使用して、オンラインとして表示されることを確認します。
- 次を入力します。
displayalerts
コマンドを使用して、アップグレード後に新しいアラートが表示されるかどうかを確認します。
- クラスタ内の場合は、
clustercheck
コマンドで矛盾を表示してはならず、 connstatus
コマンドは、アプライアンスがエラーなしで接続されたと表示する必要があります。
- メールフローを確認するには、
tail mail_logs
コマンドをCLIに入力します。
トラブルシュート
tail updater_logs
と tail upgrade_logs
また、アップグレードに問題がある場合に情報を提供することもできます。
- イメージのダウンロード時、またはスパム対策やウイルス対策の更新時に問題が発生する場合は、プロセスがサービスエンジンやルールセットにアクセスして更新できないことが原因である可能性があります。「vESAがスパム対策またはウイルス対策の更新をダウンロードして適用できない」で説明する手順を使用します。
- ネットワークの中断が原因でアップグレードが失敗した場合は、アップグレードプロセスの出力中に同様のエラーが発生する可能性があります。
Reinstalling AsyncOS... 66% 01:05ETA.
/usr/local/share/doc/jpeg/libjpeg.doc: Premature end of gzip compressed data:
Input/output error
tar: Error exit delayed from previous errors.
Upgrade failure.
これは通常、ESAと更新サーバ間のデータ送信中に発生したネットワーク中断が原因です。ネットワーク ファイアウォールのログを確認するか、または ESA から更新サーバへのパケット トラフィックをモニタしてください。
必要に応じて、『ESAのパケットキャプチャ手順』を参照してESAでのパケットキャプチャを有効にし、アップグレードプロセスを再試行してください。
注:特にアップグレードプロセスでは、アイドル状態の接続がアクティブなままにしておく必要があります。
静的なアップグレードサーバを必要とする厳密なネットワークファイアウォールについては、『コンテンツセキュリティアプライアンスでの静的なサーバによるアップグレードまたは更新』で、静的な更新およびアップグレードサーバの設定方法を参照してください。
ハードウェアアプライアンスの場合は、次のダイナミックサーバへの接続をテストします。
- telnet updates.ironport.com 80
- telnet downloads.ironport.com 80
仮想アプライアンスの場合は、次のダイナミックサーバを使用する必要があります。
- telnet update-manifests.sco.cisco.com 443
- telnet updates.ironport.com 80
- telnet downloads.ironport.com 80
ファイアウォールの詳細な情報とポート要件については、『ユーザガイド』を参照してください。
関連情報