Palo Alto’da High Availability (HA) Çifti Nasıl Yükseltilir

Bir HA cihaz çiftini yükseltmek için aşağıdaki talimatlar önerilmektedir, çünkü:

  • Bu yükseltme yapmaya başlamadan önce HA‘nın düzgün çalışıp çalışmadığını doğrular.
  • İkinci cihazda yükseltmeye başlamadan önce birinci cihazda yükseltme işleminin başarılı bir şekilde yapıldığını doğrular.
  • Prosedüründe herhangi bir noktasında, yükseltmede herhangi bir sorun ortaya çıkarsa sorunsuz bir şekilde kesinti olmadan geri alınabilir.
  • Yükseltme işlemi bittiğinde, son aktif / pasif cihaz durumu (en az sayıda failover olasılığındaki ) başlangıçtaki gibi olacaktır. (2)

Talimatlar

Başlamadan önce, istenmeyen failover olasılığını önlemek için preempt’i devre dışı bırakmanızı önerilir. “Preempt devre dışı bırakma” yapılandırma değişikliğinin her İKİ cihazda da yapılması gerekir. Aynı şekilde, yükseltme tamamlandığında, Preempt her İKİ cihazda yeniden aktive edilmelidir.

  1. İlk olarak CLI’dan (komut satırından) aşağıdaki komut ile aktif cihazı suspend yapınız:
    > request high-availability state suspend
    veya
    GUI’den Device > High Availability > Operations > Suspend diyerek aktif cihazı suspend yapınız.
    Not: Bu işlem HA failoverda hataya sebep olur ve böylece yükseltmeye başlatmadan önce HA’nın düzgün çalıştığını doğrulamış oluruz, böylelikle yükseltme öncesi olası HA hataları görerek önce bunları düzelterek devam edebilirsiniz.
  2. Askıya önce aktif cihazi askıya alarak yeni aktif olacak cihaz üzerinde network’ün düzgün çalıştığını doğrulayınız.
  3. Askıya aldığınız cihaza yeni PAN-işletim sistemi yükleyiniz, ve daha sonra yüklemeyi tamamlamak için cihazı yeniden başlatınız.
  4. Yükseltilmiş cihaz yeniden başladığında, komut satırında passive cihaz olduğunu, ve PAN-OS sürümünün yeni sürümü olduğunu göstermelidir.
  5. Mevcut pasif cihazda, bir sonraki aşamaya geçmeden önce show jobs all komutunu çalıştırarak Auto commit işleminin başarılı (FIN OK) çalıştığını doğrulayınız.
  6. Birinci cihazı aktive ediniz ve ikinci cihazı aksıya alınız.
  7. Ikinci cihazı yükseltiniz, ve daha sonra yeniden başlatınız. İkinci cihaz yeniden başlatıldığında, yükseltilen ilk cihaz, active olarak görevi devralır.
  8. Adım 1’de HA’nın düzgün çalıştığını doğruladınız ve Adım 5’te yeni PAN-OS’un dataplane üzerinde başarılı bir şekilde ayarlandığını gördünüz. Failover işlemi hissettirilmeden yapılmıştır.
  9. İkinci cihaz yeniden açıldığında bu pasif cihaz olarak gelecektir. Auto commit işleminin bu cihaz üzerinde çalıştığını doğrulamak için Adım 5’te yapmış olduğumuz gibi komut satırına show jobs all diyerek çalıştığını doğrulayınız. Yükseltmeden önce orijinal aktif cihaz şimdi yine aktif cihaz olarak çalışacaktır.

Not: Active-Active HA çifti yükseltmek için, Active-Pasive çiftini yükseltmek için yapmış olduğumuz adımların aynısı kesin bir şekilde takip edilmelidir. Active ve Pasive cihazlar için kullanılan tüm adımlar / terimler sırasıyla, Active-Primary ve Active-Secondary için kullanılır.

Nasıl Downgrade Yapılır

Yeni sürümde bir problem oluşmuş ve downgrade gerekli ise:

  • debug swm revert komutunu çalıştırarak bir önceki PAN-OS sürümüne geri dönebilirsiniz.

Bu işlem firewall’da yükseltme sürümü öncesi bölümünden önyükleme yapmanızı sağlar. Yüklü olan biçbir yazılım kaldırılmaz veya ayarlarınızda değişik yapılmaz.

Not: Bazı durumlarda, PAN-OS 3.1dan PAN-OS 4.0’a yükseltirken web sunucu sertifikası, ayarlardan silinmiş olabilir, bunun sonucunda web GUI yeniden başlatılma sonrasında kullanılamaz gelebilir.