※この記事は以下の記事の日本語訳です。
How to upgrade a High Availability (HA) pair
概要
HAペアのPAN-OSをアップグレードするにあたって、この記事に書かれている手順を実行することを推奨します:
- アップグレード前にHA機能が正常に動作している事を確認できます。
- 2番目の機体をアップグレードする前に一つ目の機体が正常にアップグレードされた事を確認できます。
- 手順のどの時点で、なんらかの事象が発生した場合、ダウンタイム無しでバージョンを元に戻す事ができます。 (OSPFやBGPなどのルーティングプロトコルを使用していない場合)。
- HAペアのアップグレード完了した時点で必要最小限のfailover(二回)で元のアップグレード前のactive/passive状態に戻す事ができます。
アップグレードの準備:
-
Configurationのバックアップと Tech Supportファイルを HA Pair両方からダウンロードします。 個々のファイルに適切なファイル名をつけます。
-
Device > Setup > Operations > Save Named Configuration Snapshotをクリックしconfiguration snapshotの名前を設定し、保存します。
-
Device > Setup > Operations > Export Named configuration Snapshotをクリックし前のステップで設定したconfiguration snapshotをダウンロードします。
-
(HAペアがPanoramaで管理されている場合) Device > Setup > Operations > Export Device State をクリックし、Device stateをダウンロードします。
- Device > Support > Generate Tech Support Fileをクリックし、生成された後ダウンロードします。 (アップグレード中なんらかの事象が発生した場合に必要になります)
-
(オプショナルですが推奨): アップグレード中、不必要なfailoverを避けるためHigh Availability 設定でPreemptionを無効にします。Preemption無効の設定はHA Pair 両方にcommitしてください. アップグレードの完了後、また両方に有効にします。
preemptionを無効にするには, Device > High Availability > Election Settings で Preemptiveのチェックを外し、 commitします。

-
メジャーバージョン間のアップグレードの場合(6.0 -> 6.1 または 6.1-> 7.0), HA Pair間でセッションがsyncしてなくともfailoverする様にTCP-Reject-Non-SYNを無効にすることを推奨します。
# set deviceconfig setting session tcp-reject-non-syn no
# commit
-
(オプショナルですが推奨)予想外の事象でSSHやWebUIでログインできなくなることを想定し、FirewallへOut-of-Band アクセス (コンソールアクセス) が出来るのを確認します。
ステップ:
- 先にactive機(firewall A)を CLIでsuspendします。以下のコマンドを実行します:
> request high-availability state suspend
または
WebUIで Device > High Availability > Operations > Suspend local deviceをクリックします。
注意: このステップでpassive機(firewall B)へのHA failoverが発生します. これをする事によってアップグレードを実行する前にHA機能が正常に動作していることを確認できます。
- 前Active機(firewall A)がsuspended状態で現在のActive機(firewall B)の動作が安定していることを確認します。
- suspended機(firewall A)上で新しいPAN-OSをインストールし、再起動してインストールを完了します。 How to Upgrade PAN-OS and Panorama
- アップグレードされた機体(firewall A)が再起動した後、 CLI プロンプトでは passive (メジャーバージョン間のアップグレードの場合はnon-operational)と表示され、 PAN-OS versionも新しくインストールされたバージョンが反映されます。
- Passive機(firewall A)のCLIで以下のコマンドを使い, auto commit が成功したことを確認します(FIN OK)。
> show jobs all
注意: Passive機(firewall A)がnon-functional状態の場合, 以下のコマンドを実行して実行(functional)状態に戻します:
> request high-availability state functional
- Active機(firewall B)をsuspendします。Suspendedを実行した後, 既にアップグレードされている機体(firewall A)がまたActiveに戻ります。
注意: OSPFやBGPの様なルーティングプロトコルを使用しているHAペアのActive機をsuspendするに当たり、ネットワーク構成によって短時間の通信遮断を起こす事があります。 これは ルーターとsuspendされたファイアウォール間の隣接関係が切断され、 新しくActiveになった機体と確立するためです。 ダウンタイムを短縮するためには, Firewallと隣接関係のルーター間でGraceful restartを有効にしてください。Graceful Restart機能はPAN-OS 6.0以降でサポートされてます。
- Suspend状態の機体(Firewall B) 上で新しいPAN-OSをインストールし、 リブートします。
- リブートが終わった後, Passive機として起動します。Passive機(firewall B)のCLIで以下のコマンドを使い、auto commit が成功したことを確認します(FIN OK)。
-
> show jobs all
注意: Active-ActiveのHAペアの場合, Active-Passiveと同じ様にステップを実行してください。アップグレード全体は30分程かかると思われます。
ダウングレードの方法
新しいバージョンでなんらかの事象が発生してダウングレードが必要になった場合:
- 前のPAN-OSのバージョンに戻すには, 以下のCLIコマンドを実行します:
> debug swm revert
このコマンドによってアップグレード前に使用していたパーティション(前のPAN-OSバージョン)からブートされます。 何もアンインストールされず、設定変更もありません。