麒麟堡垒机双机升级方案.docVIP

麒麟堡垒机双机(HA)系统 升级方案 北京中远麒麟科技有限公司 日 期： 2018-3-15 目录 1 概述 2 1.1 项目背景 2 1.2 项目内容 3 1.3 系统部署 3 1.4 计划安排 3 2 升级说明 4 3 升级操作步骤 4 3.1 前期准备 4 3.2 实施升级 5 3.3 实施人员名单 7 3.4 预计上线时间 7 4. 回退办法 8 5. 应急处理 8 5.1 采用口令修改访问控制方式时的应急 9 5.2 采用网络ACL访问控制方式时的应急 9 6 生产恢复 10 1 概述 1.1 项目背景 目前某运营商分为节点1和节点2二个资源池，各有堡垒机 1.2 项目内容 升级节点1池二台堡垒机到与节点2堡垒机同样的版本 1.4 计划安排 实施计划 开始时间 结束时间 备注 1 程序上传 提前完成 提前完成 厂商完成： 将节点2堡垒机软件传到二台节点1池堡垒机 实施准备 9：00 9:10 用户完成，厂商配合： 系统备份，将二台节点1堡垒机的数据、软件进行备份 2 升级 9：10 10:40 厂商完成、用户配合： 将节点1池堡垒机的软件升级为节点2堡垒机版本，并且重启机器进行验证 为二台节点1堡垒机重新进行双机配置 将节点1池应用发布启动 3 系统试测试 用户验证、厂商响应 2 升级说明 在本次云公司节点1池共计2台iAudit系统，一台应用发布服务器。具体要点如下： 目前系统已经有大量用户，因无法使用应用发布做此升级，升级整体堡垒机。 堡垒机升级后使用HA模式，二台堡垒机互为备份； 启用应用发布 ； 系统IP等情况如下： 连接设备 设备IP 说明 堡垒机浮动IP 主堡垒机IP 从堡垒机IP 应用发布服务器 3 升级操作步骤 3.1 前期准备 软件上传： 登录到节点2池堡垒机，运行如下命令进行程序备份： mkdir -p /tmp/up/audit cp –rp /opt/freesvr/audit/sshgw-audit /tmp/up/audit cp –rp /opt/freesvr/audit/authd /tmp/up/audit cp –rp /opt/freesvr/audit/ rdp-monitord /tmp/up/audit cp –rp /opt/freesvr/audit/sbin /tmp/up/audit cp –rp /opt/freesvr/audit/etc /tmp/up/audit cp –rp /opt/freesvr/audit/softdown /tmp/up/audit cp –rp /opt/freesvr/web /tmp/up cp –rp /home/wuxiaolong /tmp/up cp –rp /usr/local/sbin /tmp/up cp –rp /usr/local/lib /tmp/up cp –rp /etc/xrdp /tmp/up cp –rp /usr/local/share/xrdp /tmp/up/share mysqldump –opt –R –d audit_sec /tmp/up/sec.sql mysqldump –opt –R audit_sec setting /tmp/up/set.sql cd /tmp/up tar zcpvf up.tar.gz * 将up.tar.gz分别上传到二台节点1池堡垒机 数据备份： 登录到二台节点1池堡垒机，运行如下命令 mysqldump –opt –R audit_sec sec2018.sql 3.2 实施升级 系统升级 升级过程大约要1个半小时左右，有可能会影响用户使用，升级步骤如下： 登录到节点1主堡垒机、从堡垒机，停止mysql同步 mysql stop slave; 登录节点1池主堡垒机，运行如下命令： mkdir /root/up2018 将备份程序up.tar.gz上传到/root/up2018 Cd /root/up2018 Tar xpvf up.tar.gz /opt/freesvr/php/bin/modify.php Killall -9 Freesvr_RD ssh-audit freesvr_authd httpd Mkdir /root/backup2018 mv /opt/freesvr/audit/sshgw-audit /root/backup2018 mv /opt/freesvr/audit/authd /root/bac