跳轉到

CPUSE / JHF 升級

Check Point 的版本與修補管理靠 CPUSE(Check Point Upgrade Service Engine),底層是 Deployment Agent(DA)。升級大版本、安裝 Jumbo HotFix(JHF) 都透過它。

名詞先搞懂

名詞 意義
CPUSE Gaia 內建的升級 / 安裝機制
Deployment Agent (DA) CPUSE 的底層代理,負責下載 / 匯入 / 安裝套件
JHF(Jumbo Hotfix) 累積式修補包,一包含多個 fix
Take JHF 的版本號(例如 R81.20 JHF Take 98)
Recommended / Ongoing 見下方說明

Recommended(GA)vs Ongoing

  • Recommended(= GA,General Availability):經較完整測試、官方建議的版本,會出現在 CPUSE 的 Recommended 清單可直接下載。Ongoing Take 通常經 3–4 週後才升為 Recommended。
  • Ongoing:較新的累積版,通常由 TAC 針對你的特定問題指示安裝;預設不出現在 CPUSE 清單,需手動加入才能下載。
  • Take = JHF 釋出版本號(如 Take 120),累積式 —— 裝最新 Take 即含先前所有修正。一般生產環境用 Recommended

兩種操作介面

  • Gaia Portal(WebUI)→ Upgrades (CPUSE):圖形化,最常用。能看可用套件、下載、安裝、查狀態。
  • CLI(clish 的 installer:適合自動化 / 無 GUI 環境。
# clish 下的 CPUSE 操作
show installer status all          # DA 完整狀態(build、雲端連線、授權)
show installer packages all        # 列出所有套件(available/downloaded/imported/installed)
installer agent get                # 更新 DA 自己到最新

# 匯入套件
installer import local <完整本地路徑>      # 離線:從本機匯入
installer import cloud <CPUSE 識別碼>      # 線上:從 Check Point 雲端匯入
installer import ftp <FTP IP> path <路徑> username <帳號>

# 先驗證再安裝(verifier:回報此機是否允許安裝)
installer verify <識別碼>
installer install <識別碼>                 # 安裝(僅 Hotfix 與 JHF)
installer download-and-install <識別碼>    # 雲端下載後直接裝

# 清理
installer uninstall <識別碼>
installer delete <識別碼>                  # 從套件儲存庫刪除

Maestro / VSX 用 gClish

Scalable Platform 上的 CPUSE 操作要在 gClish 下執行(指令相同),讓動作套用到整個 Security Group。

升級 / 打 JHF 的標準節奏

  1. 先備份 / 做 snapshot(見 Backup & Snapshot)。
  2. 確認目標版本 / JHF Take(Recommended 較穩)。
  3. 下載或匯入套件。
  4. 離峰時段安裝(裝 JHF 通常需重開機)。
  5. 重開後驗證:版本、策略、流量、Log 都正常。
# 安裝後確認版本與 JHF Take
cpinfo -y all          # 完整版本 + 已裝 JHF
fw ver                 # Gateway 版本
fw stat                # 策略仍正常安裝

Cluster / Maestro 要逐台滾動升級

ClusterXL 叢集或 Maestro,不要兩台同時升。先升 standby / 一個成員,確認流量正常 failover 後再升下一台,維持服務不中斷。Maestro 成員的升級與監看見 Maestro 章節

清理舊套件,回收空間

CPUSE 套件存在 /var/log/CPda/repository,跨大版本升級後舊套件會佔空間。

# clish:按 Tab 看可刪套件,刪除舊的(保留目前在用的最後一版 JHF)
installer delete <識別碼>

不要直接 rm

別手動 rm repository 裡的檔案,會讓 DA 資料庫對不上。用 installer delete 才會連 metadata 一起清乾淨。跨大版本升級完,舊大版本的套件可以安全刪除。

版本提醒

CPUSE / DA 機制在 R81.10 ~ R82.10 一致。各版本有各自的 JHF 線;升級前先到 Check Point Support Center 查目標版本的 Recommended JHF Take 與已知問題。DA 本身建議先 installer agent get 更新到最新再操作。

小結

  • CPUSE(底層 DA)負責下載 / 匯入 / 安裝版本與 JHF。
  • WebUI 或 clish installer 都能操作。
  • 鐵則:先備份 → 離峰升 → 重開驗證;叢集 / Maestro 逐台滾動升。
  • 清舊套件用 installer delete,別手動 rm