PAN-OS や Panoramaのアップグレード手順

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Upgrade-PAN-OS-and-Panorama/ta-p/587...

 

本ドキュメントでは、PAN-OS や Panoramaのアップグレード手順を紹介しています。メジャー/マイナーリリースは、新機能、複数の問題の修正を含みます。メンテナンスリリースは、複数の問題の修正を含みます。リリース番号の最初の数字がメジャーリリースの番号を示します。(例.6.0.0) リリース番号の最初の数字、2番目の数字がマイナーリリースの番号を示します。(6.1.0) リリース番号の最後の数字がメンテナンスリリースの番号を示します。(6.1.1)

 

リリースの種類 提供されるもの 判別方法
メジャー 機能 & 修正 6.0.0
マイナー 機能 & 修正 6.1.0
メンテナンス 修正 6.1.1

 

注意: アップグレードを行う前に必ずリリースノートを確認するようにしてください。

 

以下の内容について言及します。

 

要件

新しいPAN-OS メジャーリリースにアップグレードする手順

ダウングレードする手順

Panoramaをアップグレードする手順

PanoramaからDevicesをアップグレードする手順

HA Pairをアップグレードする手順

HA Pairをダウングレードする手順

Intermediate Operating Systemをインストールする必要性

 

The Palo Alto Networks firewallやPanoramaは、最新のPAN-OSを入手できるよう、有効なサポートサブスクリプションとともに登録されている必要があります。有効なサポートサブスクリプションと装置の登録は、Customer Support Portal で行えます。

 

要件

  • 新しいPAN-OSのメジャーリリースにアップグレードするためには、firewallやPanoramaはアップグレード可能なPAN-OSを起動させている必要があります。 例えば、6.1.xにアップグレードしたい場合、事前に6.0.0を起動させておく必要があります。一般的には, 以前のリリースのどのバージョンからでも新しいリリースへのアップグレードが可能です。例えば、PAN-OS 6.0.5 から、PAN-OS 6.1へアップグレードする場合、より新しいPAN-OS 6.0.x をダウンロードする必要はありません。PAN-OS 5.0.x からPAN-OS 6.1に直接アップグレードすることはできません。ハードウェアがサポートされているもので、インターネットに接続されていれば、現状でサポートされているPAN-OSのバージョンは、Check Nowをクリックすれば自働的に検出されます。このCheck Nowは、Device > Software ページの左下にあります。


doc-2092-1.png

 

  • 装置とPanoramaが、信頼性のある電源設備から、正常に電源供給されていることを確認してください。アップグレードの最中に電源障害が発生すると、装置が故障してしまう可能性があります。
  • 既存設定のバックアップを取得します。Save named configuration snapshotをクリックすることで取得可能です。本機能は、GUIのDevice=>SetupもしくはPanorama=>SetupのOperationsにあります。
  • アップグレードを行うためにminimum content versionを考慮する必要があるか、リリースノートのUpgrade/Downgrade Procedures を確認します。
  • アップグレードを行うPAN-OSの最新版をダウンロードする前に、 そのPAN-OSのベースイメージをPanoramaもしくは装置上にダウンロードしておく必要があります。PAN-OSのベースイメージは、通常x.x.0といったバージョンです。アップグレードを行う装置上にインストールしておく必要はなく、ダウンロードしておくのみで結構です。 例えば、もし、Palo Alto Networks deviceをPAN-OS 5.0.8から6.1.3にアップグレードする場合、
    1. 6.0.0 ベースリリースをダウンロードのみします。(インストールしません)
    2. 6.0.13といった最新の6.0.xメンテナンスリリースをダウンロードし、インストールし、リブートします。
    3. 6.1.0ベースリリースをダウンロードのみします。(インストールしません)
    4. 6.1.13といった最新の6.1.xメンテナンスリリースをダウンロードし、インストールし、リブートします。
      注意:インストールが完了したら、インストールした新しいOSを反映させるため、Palo Alto Networks deviceを再起動する必要があります。
  • Panoramaから装置をアップグレードする場合、Panoramaを最初にアップグレードします。手順は、Panoramaをアップグレードする手順のとおり実施してください。
  • PAN-OSのアップグレードを行う場合、 関連するソフトウェアのアップグレードを行う必要性が見込まれます。必要の有無は、リリースノート内のAssociated Software Versions項目を確認しご判断ください。

新しいPAN-OS メジャーリリースにアップグレードする手順

  1. Device > Softwareの順にクリックします。
    doc-2092-1.png
  2. Check Nowをクリックします (左下)。Palo Alto Networksで利用可能なPAN-OSが表示されます。アップグレードするPAN-OSの変更内容を確認するために、Release Notesをクリックします。
  3. PAN-OSのダウンロードとインストール
    • Web UIから実施する場合:
      1. アップグレードするPAN-OSの隣にある、Downloadをクリックします。ダウンロードが完了すると、Downloadedのカラムにチェックマークがつきます。
      2. アップグレードするPAN-OSの隣にある、Installをクリックします。インストールが開始されてます。 インストールの最中に、インストールが完了したら自働的に装置を再起動させる機能が利用可能になります。本機能が有効であった場合、インストールが完了した時点で装置は自動的に再起動します。
      3. 注意: 再起動はこの時点で実施する必要性はありません。ただし、インストールされたソフトウェアは再起動するまで有効となりません。
    • 手動でダウンロード、インストールを実施する場合:
      1. ブラウザでサポートサイトを開きます。
      2. Software Updates ページに行き、インストールしたいPAN-OSをダウンロードします。
      3. Web UIで Device > Softwareの順にクリックし、Uploadをクリックします。ダウンロードしたPAN-OSを選択しOKボタンを押します。装置にPAN-OSがアップロードされます。
      4. Install from Fileをクリックし、アップロードしたPAN-OSを選択します。
      5. OKを押します。アップグレードが開始します。

注意: 古いリリースを削除する場合、Device > Softwareの順にクリックし、リリースの隣にあるXをクリックします。 ベースとなるPAN-OSリリースは削除しないでください。

 

ダウングレードする手順

装置をダウングレードする必要があった場合、こちらのKBを参照ください。How to Downgrade PAN-OS

 

Panoramaをアップグレードする手順

  1. Panorama GUIから、Panorama タブをクリックし、次にSoftware タブをクリックします。注意: Panorama > Device Deployment > Softwareの順ではありません。
    doc-2092-2.png
  2. Check Nowをクリックします (左下)。Panoramaで利用可能なPAN-OSが表示されます。
  3. アップグレードするPAN-OSをPanoramaにダウンロードするため、Downloadをクリックします。(VMware ESXを使用している場合、対応しているイメージを選択してください。)
  4. ダウンロードが完了した後、Installリンクをクリックし、アップグレードを実施します。要求されたら、リブートします。

PanoramaからDevicesをアップグレードする手順

  1. Panorama タブをクリックします。Device Deployment > Softwareの順にクリックし、Check Nowをクリックします。Palo Alto Networksで利用可能なPAN-OSが表示されます。 Downloadをクリックし、アップグレードする装置の種類に応じたソフトウェアをダウンロードします。プラットフォームリストが表示されます。上記で説明した同じルールが 適用されます。
    doc-2092-pan1.png

  2. 正しいイメージをダウンロードした後、Installをクリックします。 次にソフトウェアをインストールしたい装置を選択します。画面下部にある、Upload only to device (do not install)とReboot device after installに注意してください。
    doc-2092-pan2.png

 3.Panorama > Managed Devicesの順にクリックし、画面下部にあるInstallをクリックすることでも、ソフトウェアをインストールすることが可能です。

 

Install.png

 

 

'install'をクリックすることで、上記の手順での同じインストール画面が表示されます。

 

doc-2092-pan2.png

 

HA Pairをアップグレードする手順

HA Pairをアップグレードする手順については、こちらのKBを参照ください。How to Upgrade a High Availability (HA) Pair

 

HA Pairをダウングレードする手順

2つ目の装置をアップグレードする前にフォールバックさせるには、以下の手順を実施します。

  1. アップグレードした装置をSuspendします。パッシブ装置がアクティブになります。サスペンドされた装置がダウングレードできるようになります。ダウングレードの手順については、こちらのKBを参照ください。 How to Downgrade PAN-OS
  2. ダウングレードが完了した後、GUIで装置をアクティブにし、設定が正しくロードされていることを確認します。

 

Intermediate operating systemをインストールする必要性

アップグレードパスに応じて、ターゲットとするPAN-OSにアップグレードするために、intermediate operating systemをインストールする必要があります。たとえば6.0から7.0にアップグレードする場合、まず最初に、6.1をIntermediate Operating Systemとしてインストールする必要があります。

 

アップグレード中の問題を防ぐために、最新のメンテナンスリリースバージョンを、Intermediate Operating Systemとしてインストールすることを推奨します。例えば、6.0.5から7.0.6にアップグレードする場合、6.0.5から6.1.13、6.1.13から7.0.6といった流れで実施します。

 

参考情報:

How to Downgrade PAN-OS

How to Upgrade a High Availability (HA) Pair

How to Downgrade PAN-OS

 

著者: jdelio