キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 

High Availability (HA) pairのアップグレード方法

キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
Printer Friendly Page
oconnellm
oconnellm
‎04-19-2016 11:15 PM

※この記事は以下の記事の日本語訳です。

How to upgrade a High Availability (HA) pair

https://live.paloaltonetworks.com/t5/Management-Articles/How-to-upgrade-a-High-Availability-HA-pair/...

 

概要

 

HAペアのPAN-OSをアップグレードするにあたって、この記事に書かれている手順を実行することを推奨します:

  • アップグレード前にHA機能が正常に動作している事を確認できます。
  • 2番目の機体をアップグレードする前に一つ目の機体が正常にアップグレードされた事を確認できます。
  • 手順のどの時点で、なんらかの事象が発生した場合、ダウンタイム無しでバージョンを元に戻す事ができます。 (OSPFやBGPなどのルーティングプロトコルを使用していない場合)。
  • HAペアのアップグレード完了した時点で必要最小限のfailover(二回)で元のアップグレード前のactive/passive状態に戻す事ができます。

 

アップグレードの準備:

 

  1. Configurationのバックアップと Tech Supportファイルを HA Pair両方からダウンロードします。 個々のファイルに適切なファイル名をつけます。

    • Device > Setup > Operations > Save Named Configuration Snapshotをクリックしconfiguration snapshotの名前を設定し、保存します。

    • Device > Setup > Operations > Export Named configuration Snapshotをクリックし前のステップで設定したconfiguration snapshotをダウンロードします。

    • (HAペアがPanoramaで管理されている場合) Device > Setup > Operations > Export Device State をクリックし、Device stateをダウンロードします。

    • Device > Support > Generate Tech Support Fileをクリックし、生成された後ダウンロードします。 (アップグレード中なんらかの事象が発生した場合に必要になります)

  2. (オプショナルですが推奨): アップグレード中、不必要なfailoverを避けるためHigh Availability 設定でPreemptionを無効にします。Preemption無効の設定はHA Pair 両方にcommitしてください. アップグレードの完了後、また両方に有効にします。


    preemptionを無効にするには, Device > High Availability > Election Settings で Preemptiveのチェックを外し、 commitします。


    pre-empt.png

     

     

  3. メジャーバージョン間のアップグレードの場合(6.0 -> 6.1 または 6.1-> 7.0), HA Pair間でセッションがsyncしてなくともfailoverする様にTCP-Reject-Non-SYNを無効にすることを推奨します。

    # set deviceconfig setting session tcp-reject-non-syn no
# commit

  4. (オプショナルですが推奨)予想外の事象でSSHやWebUIでログインできなくなることを想定し、FirewallへOut-of-Band アクセス (コンソールアクセス) が出来るのを確認します。

 

ステップ:

 

  1. 先にactive機(firewall A)を CLIでsuspendします。以下のコマンドを実行します:
    > request high-availability state suspend
    または
    WebUIで Device > High Availability > Operations > Suspend local deviceをクリックします。 
    注意: このステップでpassive機(firewall B)へのHA failoverが発生します.  これをする事によってアップグレードを実行する前にHA機能が正常に動作していることを確認できます。
  2. 前Active機(firewall A)がsuspended状態で現在のActive機(firewall B)の動作が安定していることを確認します。
  3. suspended機(firewall A)上で新しいPAN-OSをインストールし、再起動してインストールを完了します。  How to Upgrade PAN-OS and Panorama
  4. アップグレードされた機体(firewall A)が再起動した後、 CLI プロンプトでは passive (メジャーバージョン間のアップグレードの場合はnon-operational)と表示され、 PAN-OS versionも新しくインストールされたバージョンが反映されます。
  5. Passive機(firewall A)のCLIで以下のコマンドを使い, auto commit が成功したことを確認します(FIN OK)。 
    > show jobs all 
    注意:  Passive機(firewall A)がnon-functional状態の場合, 以下のコマンドを実行して実行(functional)状態に戻します:  
    > request high-availability state functional
  6. Active機(firewall B)をsuspendします。Suspendedを実行した後, 既にアップグレードされている機体(firewall A)がまたActiveに戻ります。
    注意: OSPFやBGPの様なルーティングプロトコルを使用しているHAペアのActive機をsuspendするに当たり、ネットワーク構成によって短時間の通信遮断を起こす事があります。 これは ルーターとsuspendされたファイアウォール間の隣接関係が切断され、 新しくActiveになった機体と確立するためです。 ダウンタイムを短縮するためには, Firewallと隣接関係のルーター間でGraceful restartを有効にしてください。Graceful Restart機能はPAN-OS 6.0以降でサポートされてます。
  7. Suspend状態の機体(Firewall B) 上で新しいPAN-OSをインストールし、 リブートします。
  8. リブートが終わった後, Passive機として起動します。Passive機(firewall B)のCLIで以下のコマンドを使い、auto commit が成功したことを確認します(FIN OK)。
  9. > show jobs all

注意:  Active-ActiveのHAペアの場合, Active-Passiveと同じ様にステップを実行してください。アップグレード全体は30分程かかると思われます。

 

ダウングレードの方法

新しいバージョンでなんらかの事象が発生してダウングレードが必要になった場合:

  • 前のPAN-OSのバージョンに戻すには, 以下のCLIコマンドを実行します: 
    > debug swm revert 

このコマンドによってアップグレード前に使用していたパーティション(前のPAN-OSバージョン)からブートされます。 何もアンインストールされず、設定変更もありません。

0 件の賞賛
この記事を評価:
9,521件の閲覧回数
Ask Questions Get Answers Join the Live Community
バージョン履歴
改訂番号
3/3
最終更新:
‎04-19-2016 11:29 PM
更新者:
kkondo
 
記事履歴を表示
寄稿者:
Latest Blogs
Latest Posts
Privacy Policy Terms of Use
Copyright 2007 - 2019 - Palo Alto Networks