High Availability (HA) é uma configuração na qual dois idênticos firewalls Palo Alto Networks são colocados em grupo e as suas configurações e sessões são sincronizadas, e no caso de uma interrupção de hardware ou software no firewall ativo, o firewall passivo torna-se ativo automaticamente, sem indisponibilidade do serviço.
Neste artigo, vamos descrever como atualizar o software de um Palo Alto Networks em High Availability (HA), com um menor número de failovers possíveis.
Antes de começar, recomendamos desativar o Preemptive em ambos os pares para evitar possibilidade de failovers indesejados. Para desativar Preemptive, vá em Device > High Availability > Election Settings e desmarque a opção Preemptive. Em seguida, execute um commit.
Quando finalizar a atualização, habilitar novamente o Preemptive.
Vamos executar o procedimento abaixo, para atualizar o software de um High Availability (HA) :
1- Download do software:
Vá em Device > Software > escolha versão desejada e clique em download > marque a opção Sync to HA peer.
2- Suspender firewall ativo, via CLI executar o comando:
> request high-availability state suspend
Ou
A partir da GUI em Device > High Availability > Operations > Suspend local device.
NOTA: Isso resultará em um failover. Recomenda-se fazer isso primeiro para verificar a funcionalidade HA está funcionando, antes de iniciar a atualização.
3- Verifique a estabilidade da rede sobre o novo dispositivo ativo com o dispositivo ativo anteriormente suspenso.
4- Instale o novo PAN-OS no dispositivo suspenso, em seguida, reiniciar o dispositivo para concluir a instalação.
5- No dispositivo passivo corrente, verificar se o autocommit foi concluído com êxito (FIN OK) executando o comando : show jobs all antes de prosseguir para o próximo passo.
6- O dispositivo passivo atual está em estado de non-functional, execute o seguinte comando para torná-lo funcional novamente: request high-availability state functional.
7- Suspender segundo dispositivo (deve ser o dispositivo ativo atual).
8- Atualize o segundo dispositivo, em seguida, reiniciá-lo. Quando o segundo dispositivo for reiniciado, o primeiro dispositivo que já foi atualizado, assume como ativo.
9- Quando o segundo dispositivo iniciar, ele vai aparecer como passivo. Realizar o mesmo procedimento do passo 5 e 6.
10- O dispositivo ativo antes da atualização será o dispositivo ativo agora.
Nota: Para atualizar um par HA ativo-ativo, os mesmos passos são seguidos da maneira exata para atualizar o par ativo-passivo. Todas as etapas usados para dispositivos ativos e passivos podem ser correlacionados com Active-Primário e Active-secundário, respectivamente.
Como fazer o downgrade
Se ocorrer um problema na nova versão e um downgrade for necessário:
- Execute o comando debug swm revert para reverter para a versão anterior PAN-OS.
Isso faz o firewall inicializar a partir da partição em uso antes da atualização. Nada vai ser desinstalado e nenhuma mudança de configuração será feita.
Conclusão:
As instruções acima para atualizar um par de HA são recomendados porque: – Ele verifica a funcionalidade HA antes de iniciar a atualização. – Ele garante que a atualização é aplicada com sucesso para o primeiro dispositivo antes de iniciar a atualização no segundo. – Em qualquer momento do processo, se algum problema surge, a atualização pode ser perfeitamente revertida sem qualquer tempo de inatividade esperado. – Quando terminar, o estado final ativo/passivo do dispositivo será o mesmo que era antes da atualização, com o menor número de failovers possível (2). – Seguindo este processo não haverá indisponibilidade no ambiente.