今天早上豆子需要升级一下Palo Alto 防火墙的软件。上一次升级已经是半年前的事情了,目前使用的版本是8.0.8,而最新的版本是8.1.2。由于中间跨越了多个版本,因此升级需要从8.0.8 ->8.1.0 -> 8.1.2。每次升级之前需要备份,如果出了问题,还可以回滚。
下面简单的记录一下过程。
豆子公司使用了两台PaloAlto 的设备,设置为HA高可用,这样其中一个挂了,会自动切换到另外一个。不过不要掉以轻心,如果操作不当,可能导致HA failover不过去。
HA1 管理地址: 10.1.99.101
HA2 管理地址: 10.1.99.102
内网接口地址: 10.10.1.1
登录管理界面的时候,如果通过内网地址登录,那么他会自动跳转到当前工作的那台设备上去;如果通过管理地址登录,那么只有当前工作的设备允许登录;当然登录之后的界面都是一样的。
首先需要备份配置文件
Device > Setup > Operations > Save Named Configuration Snapshot
导出配置文件
Device > Setup > Operations > Export Named Configuration Snapshot
导出设备状态
Device > Setup > Operations > Export Device State
下面是我导出的文件
生成一个技术支持的文件,以防万一
取消preemptive,然后commit 提交
Device > High Availability > Election Settings
然后进行一个手动的HA failover
Device > High Availability > Operations > 点击 Suspend local device.
点击之后千万别退出当前的管理session,不然就进不去了。除非你在另外一台设备上再次进行HA failover,把管理session再次转移回来。
然后就可以准备下载升级了
下载,安装
他会提示重启
重启之后,就可以登录第二台设备,重复以上步骤,安装升级。如果需要多次升级,那么每次升级前都需要记得备份以便回滚。
值得注意的一点是,平常管理的时候,通过内网端口的IP就直接登录了,但是升级的时候千万不能这么做,一定要从防火墙设备自己的管理IP登录,不然可能会出现Failover过不去,网络直接就挂掉的情况,不要问我为什么会知道的~ 当然即使出现这个问题,一般重启一下设备也就可以了
原文地址:http://blog.51cto.com/beanxyz/2134441