私有雲安全端點使用手冊

簡介

本檔案介紹將氣隙式安全終端私有雲升級為最新版本的程式。

必要條件

需求

思科建議您瞭解以下主題：

• 3.0.2版本的安全終端VPC，未匯入protectDB
• 連線到VPC的SSD約為1 TB 
• Window 10系統要生成更新/升級ISO，請使用安裝了amp-sync實用程式的Cygwin 
• 可選：WinSCP將ISO從視窗系統傳輸到安全端點裝置或安全端點VPC（或者，我們可以通過安全端點裝置的CIMC訪問將ISO安裝到安全端點裝置）
• Linux檔案系統和命令(如mount、umount、df、lsblk)的基本知識。

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• 安全端點VPC版本3.0.2 
• Window 10 VM 
• WinSCP 
• 可從安全終端裝置或VPC管理GUI中的操作>更新裝置下載AMP-sync實用程式

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

程式

步驟1.下載更新ISO

在Windows和Linux平台上使用amp-sync工具下載所需的軟體包並將其捆綁到ISO檔案中。

參考文檔：https://docs.amp.cisco.com/AMPPrivateCloudAdminGuide-latest.pdf

對於Windows: 

1.從https://cygwin.com/index.html下載Cygwin應用程式

注意:Cygwin是適用於Windows電腦的第三方應用程式。

2.開始安裝，然後在Cygwin中選擇以下包：curl、genisoimage和xmlstarlet。

3.從安全終端VPC管理頁面Operations > Update Device下載amp-sync指令碼，如下圖所示。

4.將amp-sync複製到目錄。

C:\cygwin\home\%username%\   
Example: C:\cygwin64\home\
     
     
       -amp-window 
     

在此方案中，使用Cygwin64生成更新/升級ISO。

5.要檢視amp-sync選項清單，請運行以下命令：

./amp-sync -h

6.要下載所有更新、驗證這些更新並將其打包到ISO中，請運行以下命令：

./amp-sync all  

 

   

7.完成所需軟體包和更新下載後，生成ISO並將其儲存到C:\cygwin\home\%username%\。

C:\cygwin\home\%username%\

     

   

對於Linux(CentOS)

1.下載EPEL回購：

wget http://download.fedoraproject.org/pub/epel/6/x86_64/epelrelease-6-8.noarch.rpm

a.如果URL不起作用，請使用備用URL。

https://centos.pkgs.org/6/centos-extras-i386/epel-release-6-8.noarch.rpm.html

b.也可以在cmd中安裝EPEL。

yum install epel-release

2.通過yum安裝其他依賴項。

yum install curl
yum install genisoimage
yum install xmlstarlet

3.從私有雲裝置下載amp-sync並將其傳輸到更新主機。在更新主機上運行下一個命令。

chmod 700 amp-sync

         

4.要檢視amp-sync選項清單，請運行以下命令：

./amp-sync -h

5.要下載所有更新、驗證這些更新並將其打包到ISO中，請運行以下命令：

./amp-sync all

步驟2.建立備份

1.在空隙模式下建立當前私有雲的備份。

[root@fireamp ~]# rpm -qa | grep Pri
AMP-PrivateCloud-content-3.0.2.20181206114527-0.x86_64
AMP-PrivateCloud-V-3.0.2_1544122167-0.x86_64
[root@fireamp ~]#

2.導覽至操作>備份，如下圖所示。

     

可以在以下目錄中找到備份檔案：

[root@fireamp ~]# ll -h /data/backups/
total 4.9G
-rw-r--r--. 1 root root 707M Nov 10 00:00 amp-backup-20201110-0000.02.bak
-rw-r--r--. 1 root root 707M Nov 11 00:00 amp-backup-20201111-0000.02.bak
-rw-r--r--. 1 root root 707M Nov 12 00:00 amp-backup-20201112-0000.02.bak
-rw-r--r--. 1 root root 707M Nov 13 00:00 amp-backup-20201113-0000.02.bak
-rw-r--r--. 1 root root 707M Feb 21 00:00 amp-backup-20210221-0000.02.bak
-rw-r--r--. 1 root root 707M Mar  3 02:32 amp-backup-20210303-0232.09.bak
-rw-r--r--. 1 root root 707M Mar  4 00:00 amp-backup-20210304-0000.03.bak
[root@fireamp ~]#
[root@fireamp ~]#

3.將備份檔案儲存到外部儲存庫。

4.確保VPC安全終端裝置滿足硬體要求。

此處的示例在Administration Portal頁上顯示調整大小通知，如下圖所示。

步驟3.安裝ISO

虛擬私有雲

A.通過vSphere安裝ISO

1.將ISO檔案上傳到vSphere中可由虛擬機器訪問的儲存中。

2.導航到VM並開啟Edit Settings菜單：

3.在CD/DVD驅動器1右側的下拉選單下，切換到Datastore ISO File。

4.導航到您在步驟1中上載到vSphere的ISO檔案並選定。

5.選擇ISO檔案後，確保選中Datastore ISO File下拉選單旁邊的Connected框，以及Status右側的Connect at Power On框。按OK確認ISO安裝。

6.使用SSH連線到您的私有雲裝置，然後運行：

amp-ctl iso -m

7.使用amp-ctl iso -i再次檢查ISO安裝資訊，該資訊必須顯示可在/dev/sr0上找到ISO。

使用lsblk命令進行雙重檢查。

之前：

之後：

8.現在可以檢查裝置的升級和升級。

B.通過NFS安裝ISO

註：這是Private Cloud Standalone Air Gap軟體3.3版或更高版本支援的和推薦的方法。 

1. 將ISO檔案上傳到NFS伺服器

2. 通過管理門戶或遠端shell裝載ISO

    a. [首選方法]通過Administration Portal：導航到Operations > Mount ISO。選擇Mount Type，填寫Remote Share和Remote ISO File資訊，然後按一下Mount，如下圖所示：

    b.通過遠端外殼：開啟外殼並遠端進入您的私有雲裝置。運行amp-ctl iso -m -t <type> <file_server_uri> <iso_file>，其中type是nfs3或nfs4,file_server_uri是遠端共用uri，iso_file是ISO檔名。例如：

現在可以檢查裝置是否有更新。

私有雲裝置（硬體）

1.如果您擁有安全端點私有雲裝置，您還可以通過CIMC訪問安裝ISO，如下圖所示。

2.繼續將帶有amp-ctl iso -m的ISO裝入遠端shell，或通過通過NFS安裝ISO說明中所示的管理門戶安裝ISO頁面。

步驟4.升級私有雲

1.按一下Check Update ISO按鈕：

請注意，頁面已更新以顯示可用內容和軟體更新：

2.按一下更新內容按鈕。

3.下一步，匯入保護資料庫。 

4.繼續使用更新軟體。 

[root@fireamp ~]# rpm -qa | grep -i Priv
AMP-PrivateCloud-V-3.3.0_202102032120-0.x86_64
AMP-PrivateCloud-content-20210228231625-0.x86_64
[root@fireamp ~]#

註：由於更新ISO的大小約為280G，VPC的外部驅動器被新增/安裝並傳輸到更新ISO，以避免磁碟空間耗盡。

步驟5.增量更新

1.要從「保護資料庫和內容」下載增量更新，您需要私有雲裝置中安裝當前的「保護資料庫」版本。可在Opadmin Portal > Update Device中找到此資訊。

2.此示例中安裝的Protect DB版本為20210405-2045；請在命令中使用該版本：

./amp-sync all -X -M 20210405-2045

amp-sync命令的預設目錄為/home/<user>/amp-sync-data。  此值可通過命令export AMP_SYNC_DATA_DIR=<target directory>更改。

a.要將ISO儲存到另一個目錄，請使用輸出選項：

./amp-sync all -X -M 20210405-2045 -o /run/media/pc_protectdb/pc_delta.iso

傳統ISO安裝說明 

虛擬私有雲

1.將通過amp-sync生成的最新ISO傳輸到/data/tmp目錄：

注意：由於升級過程可能需要一些時間，建議使用本地連線到VPC的USB或HDD或將ISO傳輸到指定的路徑，以避免由於網路不穩定而導致任何中斷。 

2.將ISO檔案裝載到/data/updates路徑：

mount /data/tmp/
     
     
       /data/updates/ 
     

例如：

mount /data/tmp/PrivateCloud-3.0.2-Updates-2021-03-01-prod.iso /data/updates/

之前：

之後：

私有雲裝置

A.通過SCP安裝ISO

1.使用SCP將ISO複製到裝置。

scp PrivateCloud-3.1.0-Updates-2020-08-12-qa.iso  root@
     
     
       :/other 
     

2.登入裝置控制檯並在/data/updates和/data/iso中安裝ISO。

[root@fireamp ~]# mount -o loop -r -t udf /other/PrivateCloud-3.1.0-Updates-2020-08-12-qa.iso /data/updates
[root@fireamp ~]# mount -o loop -r -t udf /other/PrivateCloud-3.1.0-Updates-2020-08-12-qa.iso /data/iso

3.定位至「管理門戶UI」以執行更新。轉至Operations > Update Device，然後按一下Check update ISO。

4.更新完成後，解除安裝ISO並刪除本地ISO。

[root@fireamp ~]# umount /data/updates/
[root@fireamp ~]# umount /data/iso/
[root@fireamp ~]# rm -f /other/PrivateCloud*iso

B.通過CIMC安裝ISO

1.另一種選擇是通過CIMC訪問安裝ISO，如圖所示。

疑難排解

此清單並非詳盡無遺。如果您已按照此處的說明執行操作，但錯誤仍然存在，請與我們的TAC團隊聯絡以開啟支援票證。

私有雲裝置

問題1：錯誤404 — 找不到

...failure: repodata/repomd.xml from prod: [Errno 256] No more mirrors to try.
http://127.0.0.1:8080/PrivateCloud/3.7.1/prod/repodata/repomd.xml: [Errno 14] HTTP Error 404 - Not Found

1.通過SSH連線到私有雲，並運行命令以檢查baseurl的值：

cat /opt/opadmin/etc/yum.repos.d/prod.repo | grep baseurl

2.如果baseurl未指向目標版本（本例中為3.8.1），請運行命令以更新檔案：

amp-ctl config-updates -V 3.8.1        #3.8.1 is only an example; your update path could be different, use the appropriate version.

3.重新裝載ISO（如果需要），然後再次運行更新。

問題2:ISO裝載在/dev/sr1而不是/dev/sr0上

1.清理任何虛擬私有雲版本的ISO並將其解除安裝。

rpm -e AMP-PrivateCloud-V              #read the Note section below
umount /data/updates
umount /data/iso

2.重新啟動裝置。

3.重灌ISO。使用與當前安裝的Private Cloud版本相對應的Mount the ISO指令。 

4.從管理門戶運行更新。 如果沒有更新選項，請繼續執行下一步。

5.運行命令以手動更新私有雲：

amp-ctl maintenance on
amp-ctl update
amp-ctl maintenance off
amp-ctl config-updates -V 3.8.1        #3.8.1 is only an example; your update path could be different, use the appropriate version.