Préconisations

Informations avant la mise à jour du serveur SMC

Mise à jour depuis une version 2.X

Pour mettre à jour un serveur SMC en version 3.5.4, des mises à jour intermédiaires peuvent être nécessaires selon sa version d'origine :

Depuis une version 2.X Mettre à jour vers la version 3.1.6

Pour plus d'informations, vous pouvez consulter la base de connaissances Stormshield (authentification nécessaire).

Gestion de la configuration des interfaces réseau des firewalls SNS lors d'une mise à jour d'une version antérieure à la 3.4 vers une version supérieure à la 3.4

Après une mise à jour en version supérieure à la 3.4, le serveur SMC a besoin de récupérer de nouveau la configuration des interfaces et du routage des firewalls SNS.

Veuillez donc prendre connaissance des points suivants :

  1. Avant la mise à jour de SMC, veillez à déployer les modifications de la configuration réseau d'un firewall en cours. Dans le cas contraire, les modifications seraient perdues.

  2. La configuration des interfaces et des routes reste en lecture seule sur SMC tant que le firewall SNS ne s'est pas reconnecté à SMC après la mise à jour.

Après la mise à jour en version supérieure à la 3.4, si vous gérez un parc de plus de 200 firewalls, la synchronisation de la configuration réseau des firewalls SNS peut provoquer des ralentissements du système. Dans ce cas, nous vous recommandons de désactiver temporairement le contrôleur de cohérence avant de mettre à jour SMC, puis de le réactiver ensuite. Pour cela :

  1. Connectez-vous au serveur SMC via la console de votre hyperviseur ou en SSH.
  2. Dans le fichier /data/config/fwadmin-env.conf.local, ajoutez la variable d'environnement : FWADMIN_ENABLED_CFGCHECK=false (remplacée par la variable SMC_CFGCHECK_ENABLED à partir de la version 3.4).
  3. Redémarrez le serveur avec la commande nrestart fwadmin-server.
  4. Après la mise à jour, lorsque tous les firewalls sont correctement reconnectés, supprimez la ligne du fichier et redémarrez le serveur.

Interfaces avec adresses de réseau ou broadcast

SMC ne permet plus de créer des interfaces avec des adresses de réseau ou de broadcast afin d'être homogène avec les firewalls SNS

Avant de mettre à jour SMC, vérifiez que vous ne possédez pas ce type d'interface dans votre configuration. Dans le cas contraire, l'interface d'administration de SMC deviendrait inutilisable et il vous faudrait rétablir un snapshot ou un instantané de votre machine virtuelle.

Taille du disque Système

Après plusieurs mises à jour successives du serveur SMC, le disque Système peut manquer d'espace et ne pas permettre l’installation de nouvelles mises à jour :

  1. Utilisez la commande suivante pour vérifier l'état de votre disque Système :

    df -h /

    Par exemple :

  2. Si l'espace sur le disque est presque plein, vous devez déployer une nouvelle machine virtuelle selon la procédure suivante :

    1. Effectuez une sauvegarde de la configuration du serveur SMC 3.x.

    2. Éteignez le serveur SMC.

    3. Déployez un nouveau serveur SMC dans la même version 3.x.

    4. Restaurez la configuration sauvegardée sur la nouvelle machine virtuelle.

  3. Mettez à jour votre nouveau serveur SMC dans la nouvelle version 3.y.

EXEMPLE
Pour passer d'une version 3.1.4 à une version 3.1.6 :

  1. Effectuez une sauvegarde de la configuration du serveur SMC 3.1.4.

  2. Éteignez le serveur.

  3. Déployez un nouveau serveur 3.1.4.

  4. Restaurez la configuration sauvegardée sur le nouveau serveur 3.1.4.

  5. Mettez à jour le nouveau serveur en version 3.1.6.

Pour plus d'informations sur ces procédures ou pour obtenir de l'aide, consultez le Guide d'administration de SMC ou contactez le Technical Assistance Center.

Plan d'adressage des micro-services SMC

En cas de conflit entre le plan d'adressage utilisé par vos firewalls SNS et le plan d'adressage utilisé par les micro-services du serveur SMC, vous pouvez modifier l'adresse de l'interface "docker0" (172.17.0.1/16) du serveur SMC. Pour cela, suivez la procédure indiquée dans l'article de la Base de connaissances Stormshield (anglais uniquement).

Accès au serveur SMC pendant une mise à jour

Lorsque vous mettez à jour votre serveur SMC, nous vous recommandons de rendre l'accès à SMC indisponible pour les autres administrateurs le temps de la mise à jour. Dans le cas contraire, s'ils sont en train de travailler sur la configuration, ils ne sont pas prévenus qu'une mise à jour est en cours et pourraient perdre leur travail.

Recommandations matérielles minimum

Afin d'assurer la bonne performance du serveur SMC, nous recommandons de l'installer sur une machine virtuelle disposant d'au moins de 2 vCPU et 4 Go de RAM.

Avertissement avant de rattacher des firewalls SNS au serveur SMC

Veuillez prendre connaissance de ces informations si vous souhaitez rattacher au serveur SMC un parc de firewalls SNS déjà en production et qui contient des éléments de configuration globaux.

Lorsque SMC déploie une configuration sur un firewall, tous les éléments de configuration globaux existant sur ce firewall sont supprimés, et remplacés par les éventuels éléments de configuration définis dans la configuration SMC.

Ceci comprend :

  • Les objets globaux définis sur le firewall,
  • Les règles de filtrage globales définies sur le firewall,
  • Les tunnels VPN globaux définis sur le firewall.

Ces éléments ne sont pas visibles par défaut dans l’interface web de configuration SNS. Pour les afficher, vous devez aller dans les Préférences de votre firewall, section Paramètres de l'application et activer l'option Afficher les politiques globales (Filtrage, NAT, IPsec et Objets).

En rattachant un firewall SNS à SMC, vous acceptez donc que ces éléments globaux que vous auriez pu mettre en place sur ce firewall soient écrasés dès le premier déploiement de configuration par SMC.

En revanche les objets, règles et tunnels VPN locaux (que vous manipulez par défaut dans l’interface Web d'administration des firewalls) ne seront jamais modifiés ou supprimés par un déploiement de configuration par SMC.

Nous vous préconisons donc de recréer ces éléments globaux sous forme d'éléments locaux sur le firewall ou bien de récrire les règles dans SMC avant de rattacher le firewall à SMC, pour éviter toute perte d’éléments de configuration et ne pas perturber la production.

Dans les cas les plus fréquents, où le firewall à rattacher ne dispose pas d’éléments de configuration globaux, son rattachement à SMC ne nécessite pas de précaution particulière et se fera sans impact sur la production.

Dans tous les cas, nous préconisons de réaliser une sauvegarde de la configuration de votre firewall avant de le rattacher à SMC.