High Availability (HA) pairのアップグレード方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

How to upgrade a High Availability (HA) pair

https://live.paloaltonetworks.com/t5/Management-Articles/How-to-upgrade-a-High-Availability-HA-pair/...

 

概要

 

HAペアのPAN-OSをアップグレードするにあたって、この記事に書かれている手順を実行することを推奨します:

  • アップグレード前にHA機能が正常に動作している事を確認できます。
  • 2番目の機体をアップグレードする前に一つ目の機体が正常にアップグレードされた事を確認できます。
  • 手順のどの時点で、なんらかの事象が発生した場合、ダウンタイム無しでバージョンを元に戻す事ができます。 (OSPFやBGPなどのルーティングプロトコルを使用していない場合)。
  • HAペアのアップグレード完了した時点で必要最小限のfailover(二回)で元のアップグレード前のactive/passive状態に戻す事ができます。

 

アップグレードの準備:

 

  1. Configurationのバックアップと Tech Supportファイルを HA Pair両方からダウンロードします。 個々のファイルに適切なファイル名をつけます。

    • Device > Setup > Operations > Save Named Configuration Snapshotをクリックしconfiguration snapshotの名前を設定し、保存します。

    • Device > Setup > Operations > Export Named configuration Snapshotをクリックし前のステップで設定したconfiguration snapshotをダウンロードします。

    • (HAペアがPanoramaで管理されている場合) Device > Setup > Operations > Export Device State をクリックし、Device stateをダウンロードします。

    • Device > Support > Generate Tech Support Fileをクリックし、生成された後ダウンロードします。 (アップグレード中なんらかの事象が発生した場合に必要になります)
  2. (オプショナルですが推奨): アップグレード中、不必要なfailoverを避けるためHigh Availability 設定でPreemptionを無効にします。Preemption無効の設定はHA Pair 両方にcommitしてください. アップグレードの完了後、また両方に有効にします。


    preemptionを無効にするには, Device > High Availability > Election Settings で Preemptiveのチェックを外し、 commitします。


    pre-empt.png

     

     

  3. メジャーバージョン間のアップグレードの場合(6.0 -> 6.1 または 6.1-> 7.0), HA Pair間でセッションがsyncしてなくともfailoverする様にTCP-Reject-Non-SYNを無効にすることを推奨します。

    # set deviceconfig setting session tcp-reject-non-syn no
    # commit
    
  4. (オプショナルですが推奨)予想外の事象でSSHやWebUIでログインできなくなることを想定し、FirewallへOut-of-Band アクセス (コンソールアクセス) が出来るのを確認します。

 

ステップ:

 

  1. 先にactive機(firewall A)を CLIでsuspendします。以下のコマンドを実行します:
    > request high-availability state suspend
    または
    WebUIで Device > High Availability > Operations > Suspend local deviceをクリックします。 
    注意: このステップでpassive機(firewall B)へのHA failoverが発生します.  これをする事によってアップグレードを実行する前にHA機能が正常に動作していることを確認できます。
  2. 前Active機(firewall A)がsuspended状態で現在のActive機(firewall B)の動作が安定していることを確認します。
  3. suspended機(firewall A)上で新しいPAN-OSをインストールし、再起動してインストールを完了します。  How to Upgrade PAN-OS and Panorama
  4. アップグレードされた機体(firewall A)が再起動した後、 CLI プロンプトでは passive (メジャーバージョン間のアップグレードの場合はnon-operational)と表示され、 PAN-OS versionも新しくインストールされたバージョンが反映されます。
  5. Passive機(firewall A)のCLIで以下のコマンドを使い, auto commit が成功したことを確認します(FIN OK)。 
    > show jobs all 
    注意:  Passive機(firewall A)がnon-functional状態の場合, 以下のコマンドを実行して実行(functional)状態に戻します: 
    > request high-availability state functional
  6. Active機(firewall B)をsuspendします。Suspendedを実行した後, 既にアップグレードされている機体(firewall A)がまたActiveに戻ります。
    注意: OSPFやBGPの様なルーティングプロトコルを使用しているHAペアのActive機をsuspendするに当たり、ネットワーク構成によって短時間の通信遮断を起こす事があります。 これは ルーターとsuspendされたファイアウォール間の隣接関係が切断され、 新しくActiveになった機体と確立するためです。 ダウンタイムを短縮するためには, Firewallと隣接関係のルーター間でGraceful restartを有効にしてください。Graceful Restart機能はPAN-OS 6.0以降でサポートされてます。
  7. Suspend状態の機体(Firewall B) 上で新しいPAN-OSをインストールし、 リブートします。
  8. リブートが終わった後, Passive機として起動します。Passive機(firewall B)のCLIで以下のコマンドを使い、auto commit が成功したことを確認します(FIN OK)。
  9. > show jobs all 

注意:  Active-ActiveのHAペアの場合, Active-Passiveと同じ様にステップを実行してください。アップグレード全体は30分程かかると思われます。

 

ダウングレードの方法

新しいバージョンでなんらかの事象が発生してダウングレードが必要になった場合:

  • 前のPAN-OSのバージョンに戻すには, 以下のCLIコマンドを実行します:
    > debug swm revert 

このコマンドによってアップグレード前に使用していたパーティション(前のPAN-OSバージョン)からブートされます。 何もアンインストールされず、設定変更もありません。