Tytuł tego posta jest dość enigmatyczny, ale dotyka bardzo poważnego problemu. Jak wykonać upgrade tak złożonego środowiska jak vSphere z podłączonym NSX i Trend Micro Deep Security bez przerwy w zapewnieniu bezpieczeństwa? Instrukcja Trend Micro mówi o tym, że aby wykonać upgrade, należy zdjąć ochronę, od rejestrować usługę, odinstalować DSVA, wykonać upgrade, ponownie zarejestrować w NSX, zainstalować DSVA i włączyć ochronę. Oznacza to wielogodzinną przerwę w działaniu środowiska. I to ma być rozwiązanie problemu w produkcyjnym systemie? Na szczęście da się nagiąć to i owo i wykonać upgrade tak, aby niczego przy okazji nie zniszczyć. Upgrade Trend Micro Deep Security Management Serwer do wersji 11 jest czynnością dość prostą i moim zdaniem nie ma sensu tego opisywać szczegółowo.
Zaczniemy od DSVA, przez długi okres czasu nie pojawiła się nowa wersja tego appliance. Wykonywane upgrade podnosiły wersję agenta Deep Security wewnątrz DSVA. Teraz mamy nową, 11 wersję, czy musimy jej użyć? Otóż niekoniecznie. Musimy rozróżnić dwa aspekty, upgrade OS appliance (to przynosi wersja 11) i upgrade agenta do wersji 11 wewnątrz appliance.
Problemem jest to, że raz zarejestrowany Deep Security w NSX pojawia się jako serwis, i nie przewidziano możliwości podniesienia jego wersji. A każda ingerencja w serwis przerywa ochronę maszyn wirtualnych. Idąc zgodnie z instrukcją Trend Micro musielibyśmy zniszczyć całą konfigurację a później stworzyć ją od nowa. Przy dużym środowisku jest to bardzo poważny problem.
Co w takim razie możemy zrobić? Możemy zaimportować nową wersję do DSVA, ale to nie oznacza jej automatycznego wgrania. Możemy z poziomu NSX skasować DSVA i wgrać nową wersję, ale to przerwie ochronę maszyn. Możemy też standardowo wykonać upgrade agenta wewnątrz DSVA i to jest najszybsza metoda (przerwa jest minimalna, tyle ile przeładowanie agenta). Po takiej operacji mamy stary appliance z nowym agentem i wszystko działa.
Co w przypadku upgrade ESXi do wersji 6.7? W definicji serwisu mamy sekcję Deployment, wyraźnie widać, że dla każdej wersji ESXi jest ten sam plik DSVA. Wystarczy dopisać nową definicję dla ESXi 6.7. Żadne inne modyfikacje nie są potrzebne.
Dzięki temu mamy obsługę ESXi 6.7 bez konieczności przerejestrowania Deep Security w NSX. I to samo w przyszłości dla kolejnych wersji o ile nie zmieni się cała konstrukcja w schemacie vSphere, NSX i Deep Security.
Oczywiście dla nowych hostów zostanie wgrana nowa wersja DSVA (jeśli będzie taka potrzeba).
Skomplikowany temat okazał się dość prosty do obejścia. A co nowego w DSM 11? Coraz większa integracja z AWS, z Docker, Kubernetes i wreszcie mamy możliwość użycia bazy danych PostgreSQL, w interfejsie zmian nie wiele, najciekawsza dotyczy nowego menu z nowościami:
Tutaj znajdziecie pełną listę nowości w wersji 11.