share facebook facebook twitter menu hatena pocket slack

2015.03.09 MON

Deep Security 9.0 SP1(Linux/冗長構成)を9.5 SP1にアップグレードする

吉田 浩和

WRITTEN BY 吉田 浩和

こんにちは、cloudpackひろかず です。

2015/1/8にリリースされた9.5 patch1に続き、2015/2/12に9.5 SP1がリリースされました。

既に9.0 SP1で運用されいる環境が多いと思いますので、9.5 SP1にアップグレードする手法について、一筆書きます。

前提

Deep Security 9.0 SP1(Linux/冗長構成)を既に構築していること。

参照情報

工程

  1. モジュールの用意
  2. アップデートの実行
  3. Relayのアップデート
  4. Agentのアップデート

1.モジュールの用意

トレンドマイクロ社のダウンロードセンターから、9.5 SP1をダウンロードし、各Managerサーバにアップロードしておきます。
今回は、 Manager-Linux-9.5.5600.x64.sh を使用しました。

事前に、ManagerインスタンスとDatabase(RDS)のスナップショットを取得しておくとよいでしょう。

2.アップデートの実行

Managerインストール時に使用した dsm.properties があれば、そのまま使用します。

1台目のManager

# ./Manager-Linux-9.5.5600.x64.sh  -q -console -varfile ./dsm.properties
Unpacking JRE ...
Preparing JRE ...
Starting Installer ...
3 01, 2015 9:53:32 午後 java.util.prefs.FileSystemPreferences$2 run
情報: Created system preferences directory in java.home.
このコンピュータの物理メモリは、本番環境用の推奨メモリよりも少なくなっています。デモまたは評価目的のみでDeep Security Managerを
インストールする場合を除き、このインストールをキャンセルし、より高性能なコンピュータにインストールすることをお勧めします。
詳細については、インストールガイドでシステム要件を参照してください。
Trend Micro Deep Security Managerサービスを停止しています...
以前のバージョンのTrend Micro Deep Security Managerを確認しています...
アップグレードの確認画面の設定を許可...
すべての設定を許可しました。実行準備ができました...
以前のバージョンをアンインストールしています
ファイルを解凍しています...
設定しています...
データベースに接続しています...
他のManagerを終了しています...
データベーススキーマをアップデートしています...
データベースのデータをアップデートしています...
データベースのデータをアップデートしています (カウンタをアップグレード)...
作業ディレクトリを作成しています...
レポートをインストールしています...
モジュールとプラグインをインストールしています...
ヘルプシステムを作成しています...
ソフトウェアパッケージをインポートしています...
次のソフトウェアパッケージをインポートしています: Relay-RedHat_EL6-9.0.0-3500.x86_64.rpm
廃止機能の削除...
検索キャッシュの設定をインポートしています...
パフォーマンスプロファイルをインポートしています...
インストールの記録を記録しています...
セッションをクリアしています...
プロパティファイルを作成しています...
ショートカットを作成しています...
SSLを設定しています...
サービスを設定しています...
Javaセキュリティを設定しています...
Javaのログを設定しています...
クリーンナップしています...
Deep Security Managerを開始しています...
インストールを終了しています...
#

2台目のManager

# ./Manager-Linux-9.5.5600.x64.sh -q -console -varfile ./dsm.properties
Unpacking JRE ...
Preparing JRE ...
Starting Installer ...
3 01, 2015 9:57:59 午後 java.util.prefs.FileSystemPreferences$2 run
情報: Created system preferences directory in java.home.
このコンピュータの物理メモリは、本番環境用の推奨メモリよりも少なくなっています。デモまたは評価目的のみでDeep Security Managerを
インストールする場合を除き、このインストールをキャンセルし、より高性能なコンピュータにインストールすることをお勧めします。
詳細については、インストールガイドでシステム要件を参照してください。
Trend Micro Deep Security Managerサービスを停止しています...
以前のバージョンのTrend Micro Deep Security Managerを確認しています...
アップグレードの確認画面の設定を許可...
すべての設定を許可しました。実行準備ができました...
以前のバージョンをアンインストールしています
ファイルを解凍しています...
設定しています...
データベースに接続しています...
作業ディレクトリを作成しています...
レポートをインストールしています...
モジュールとプラグインをインストールしています...
ヘルプシステムを作成しています...
ソフトウェアパッケージをインポートしています...
廃止機能の削除...
検索キャッシュの設定をインポートしています...
パフォーマンスプロファイルをインポートしています...
インストールの記録を記録しています...
セッションをクリアしています...
プロパティファイルを作成しています...
ショートカットを作成しています...
SSLを設定しています...
サービスを設定しています...
Javaセキュリティを設定しています...
Javaのログを設定しています...
クリーンナップしています...
Deep Security Managerを開始しています...
インストールを終了しています...
#

検証環境(小さい構成)のため警告が表示されます。本番時は構成に注意してください。

システム要件は、Trend Micro Deep Security(システム要件)に掲載されています。

Manager上にて以下のように表示されていればOKです。

3.Relayのアップデート

9.5 SP1からRelayの機能がAgentに統合されましたので、 Relay-RedHat_EL6-9.0.0-XXXX.x86_64.rpm のようなモジュールはなくなりました。
結論としては、Relayをアンインストールし、9.5用のAgentを導入して、Relay機能を有効化することになります。

試しにRelayが導入されているコンピュータにて、 Agentのアップグレード ボタンをクリックすると、以下の様なメッセージが表示されます。
Deep Security 9.0 SP1(Linux/冗長構成)を9.5 SP1にアップグレードする: 3.Relayのアップデート

3-1.ダウンロードセンター機能の準備

9.5 SP1の新機能で ダウンロードセンター 機能があります。
一言で説明すると、トレンドマイクロ社のダウンロードページに行かなくても、モジュールをダウンロードできる機能です。
詳しくはマニュアルの58頁を参照してください。

管理タブの ソフトウェア を選択し、アップデートの確認 ボタンをクリックします。

暫くして画面を更新してみて、 前回のアップデートの確認 に日時が表示されることを確認します。
Deep Security 9.0 SP1(Linux/冗長構成)を9.5 SP1にアップグレードする: 3-1.ダウンロードセンター機能の準備 (1)

ダウンロードセンター 画面にて、リストから後続作業で利用するモジュールを選んで、 インポート ボタンをクリックします。
直接インポート可能 アイコンをがあることを確認してください。
Deep Security 9.0 SP1(Linux/冗長構成)を9.5 SP1にアップグレードする: 3-1.ダウンロードセンター機能の準備 (2)

以下のように表示されることを確認してください。
Deep Security 9.0 SP1(Linux/冗長構成)を9.5 SP1にアップグレードする: 3-1.ダウンロードセンター機能の準備 (3)

Relayアンインストール後のAgentインストールをAgentから実行するため、Agentからのリモート有効化を許可します。
Deep Security 9.0 SP1(Linux/冗長構成)を9.5 SP1にアップグレードする: 3-1.ダウンロードセンター機能の準備 (4)

画面右上の ヘルプ から インストールスクリプト をクリックし、先ほどインポートしたモジュールの プラットフォーム を選択して、 Agentを自動的に有効化 チェックボックスをオンします。
ウィンドウ下部にインストールスクリプトが生成されるので、控えておきます。
Deep Security 9.0 SP1(Linux/冗長構成)を9.5 SP1にアップグレードする: 3-1.ダウンロードセンター機能の準備 (5)

注意:スクリプトとして実行する場合、有効化後の各機能モジュール導入時にエラーが発生する場合があります。
その場合は、「sleep 70」で試してみてください。

3-2.RelayのアンインストールとAgentのインストール/有効化

以下コマンドでRelayのアンインストールを行います。

# rpm -qa | grep ds_
ds_relay-9.0.0-3500.x86_64
# rpm -e ds_relay-9.0.0-3500.x86_64
ds_agent を停止中: [  OK  ]
Unloading dsa_filter module... [  OK  ]

次にAgentのインストールを行います。

# wget https://ip-XXX-XXX-XXX-XXX.ap-northeast-1.compute.internal:4119/software/agent/RedHat_EL6/x86_64/ -O /tmp/agent.rpm --no-check-certificate --quiet
# rpm -ihv /tmp/agent.rpm
準備中...                ########################################### [100%]
   1:ds_agent               ########################################### [100%]
ds_agent を起動中: [  OK  ]
#

次にAgentの有効化を行います。

# /opt/ds_agent/dsa_control -a dsm://ip-XXX-XXX-XXX-XXX.ap-northeast-1.compute.internal:4120/
Starting thread 'CScriptThread' with stack size of 1048576
HTTP Status: 200 - OK
Response:
Attempting to connect to https://ip-XXX-XXX-XXX-XXX.ap-northeast-1.compute.internal:4120/
SSL handshake completed successfully - initiating command session.
Connected with AES256-SHA to peer at ip-XXX-XXX-XXX-XXX.ap-northeast-1.compute.internal
Received a 'GetHostInfo' command from the manager.
Received a 'GetHostInfo' command from the manager.
Received a 'SetDSMCert' command from the manager.
Received a 'SetAgentCredentials' command from the manager.
Received a 'GetAgentEvents' command from the manager.
Received a 'GetInterfaces' command from the manager.
Received a 'GetAgentEvents' command from the manager.
Received a 'GetAgentStatus' command from the manager.
Received a 'GetAgentEvents' command from the manager.
Received a 'SetSecurityConfiguration' command from the manager.
Received a 'GetAgentEvents' command from the manager.
Received a 'GetAgentStatus' command from the manager.
Command session completed.
#

Manager上の表示を確認します。
元々Relayサーバとして登録されていた「localhost」はエラー状態(オフライン)になり、代わりにインストールしたAgentが有効化されています。
Deep Security 9.0 SP1(Linux/冗長構成)を9.5 SP1にアップグレードする: 3-2.RelayのアンインストールとAgentのインストール/有効化 (1)

インストールしたAgentをダブルクリックして、 Relayの有効化 ボタンをクリックします。
Deep Security 9.0 SP1(Linux/冗長構成)を9.5 SP1にアップグレードする: 3-2.RelayのアンインストールとAgentのインストール/有効化 (2)

Relayの有効化 ボタンは非アクティブになります。
誤って別のサーバでRelayの有効化を実行した場合、Agentをアンインストールする必要があります。
Deep Security 9.0 SP1(Linux/冗長構成)を9.5 SP1にアップグレードする: 3-2.RelayのアンインストールとAgentのインストール/有効化 (3)

次にハートビート(デフォルト10分間隔)まで待ちます。それまでは以下のように表示されます。
Deep Security 9.0 SP1(Linux/冗長構成)を9.5 SP1にアップグレードする: 3-2.RelayのアンインストールとAgentのインストール/有効化 (4)

Relayアイコンになったことが確認できればOKです。
Deep Security 9.0 SP1(Linux/冗長構成)を9.5 SP1にアップグレードする: 3-2.RelayのアンインストールとAgentのインストール/有効化 (5)
適宜、元Relayサーバであったコンピュータの設定を参照しながらAgentの再設定します。

4.既存Agentのアップデート

必要に応じてAgentのアップグレードを行います。
コンピュータ タブにて既存コンピュータをダブルクリックします。Agentのアップグレードボタンをクリックします。
Deep Security 9.0 SP1(Linux/冗長構成)を9.5 SP1にアップグレードする: 4.既存Agentのアップデート (1)

下記のように表示されていることを確認して、 OK ボタンをクリックします。
Deep Security 9.0 SP1(Linux/冗長構成)を9.5 SP1にアップグレードする: 4.既存Agentのアップデート (2)

以下のように表示されるので暫く待ちます。
次のハートビート(デフォルト10分間隔)時にアップグレードが実行されます。
Deep Security 9.0 SP1(Linux/冗長構成)を9.5 SP1にアップグレードする: 4.既存Agentのアップデート (3)

以下のように表示されればOKです。
Deep Security 9.0 SP1(Linux/冗長構成)を9.5 SP1にアップグレードする: 4.既存Agentのアップデート (4)

お疲れ様でした。

元記事はこちらです。
DeepSecurity – Deep Security 9.0 SP1(Linux/冗長構成)を9.5 SP1にアップグレードする

吉田 浩和

吉田 浩和

cloudpackの中の人。 securitypackと運用、保守を中心に、構築もやってます。 エンタープライズ系SIerを経て、クラウドの最前線で奮闘の日々を送ってます。