在一次升級準備的情怳下, 不小心提早按了Install, 而且在Install過程中找不到取消
比對一下沒有按Install的Active
不小心按了Install的Passive
Reference
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClczCAC
升級版本: 8.1.15-h3 -> 9.1.14-h1
預先下載: 8.1.24, 9.0.0, 9.0.16-h3, 9.1.0, 9.1.14-h1
安裝次序: 8.1.24 -> 9.0.16-h3 -> 9.1.14-h1
假設PA1是Active, PA2是Passive
PA2 升級 8.1.24
PA1 升級 8.1.24
PA1 升級 9.0.16-h3
PA2 升級 9.0.16-h3
PA2 升級 9.1.14-h1
PA1 升級 9.1.14-h1
首先查看Application and Threats是否為最新的版本, 如果不是, 請下載
下載全部所需要的Software版本(8.1.24, 9.0.0, 9.0.16-h3, 9.1.0, 9.1.14-h1), 另一台亦需要下載(勾選Sync to HA Peer)
然後需要Export兩隻Firewall的Config設定, 兩隻Firewall都各Export一次
然後確定不要勾選Preemptive以免自動跳回Active影響升級計劃
升級前請必須確認HA的Status正常, 以免影響在線運作
首先升級後備的Firewall (PA2) Local : Passive, 按Install, 然後等待安裝完成及重啟
注意當安下Install後是沒有任何提示訊息, 並立即安裝的 參考
重啟後轉移到Active, Reload時間改為1, 等待HA看到Passive在線的Status
Passive終於醒來, 但是Not synchronized
好的, 在Active按Sync to peer
但是問題出來了, 一直同步不了, 沒有錯誤訊息, 我立即查看之前升級的記錄 參考
只有PAN-OS Version mismatch, 這個Not synchronized使我擔心之後Active跳轉到Passive的時候會不會產生問題, 好在有經驗的同事說不用理會, 有些版本不同是會出現Not synchronized, 只要兩台一樣版本的時候就會自動Synchronized
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClaXCAS
好吧, Active改成Passive, 準備升級本來的Active (PA1)
本實例的跳轉過程中, 只有一個timeout
然後就來到第二次升級, 和之前一樣選擇8.1.24 install, reboot
PA2 升級 8.1.24
PA1 升級 8.1.24
PA1 升級 9.0.16-h3
PA2 升級 9.0.16-h3
PA2 升級 9.1.14-h1
PA1 升級 9.1.14-h1
有驚無險的, 2台PA升級到相同版本後就自動回復正常了
PA2 升級 8.1.24
PA1 升級 8.1.24
PA1 升級 9.0.16-h3
PA2 升級 9.0.16-h3
PA2 升級 9.1.14-h1
PA1 升級 9.1.14-h1
再來的都是這台PA1 升級到9.0.16-h3, 由於功能上的升級, 保險點2台準備升級前都是再備份一次
PA2 升級 8.1.24
PA1 升級 8.1.24
PA1 升級 9.0.16-h3
PA2 升級 9.0.16-h3
PA2 升級 9.1.14-h1
PA1 升級 9.1.14-h1
之後3個升級就沒有太大分別了
各自重啟3次, 共6次, 終於升級完成
本來有勾選Preemptive的, 記得要還原勾選
Reference
https://docs.paloaltonetworks.com/pan-os/9-1/pan-os-new-features/upgrade-to-pan-os-91/upgrade-the-firewall-to-pan-os-91/upgrade-an-ha-firewall-pair-to-pan-os-91
https://docs.paloaltonetworks.com/pan-os/9-1/pan-os-new-features/upgrade-to-pan-os-91/upgrade-the-firewall-to-pan-os-91/determine-the-upgrade-path#id85bdf6f4-2e83-49f0-8525-3eb2163f2d2e
這個實測是由8.1.19升級到8.1.20
首先需要Export兩隻Firewall的Config設定, 兩隻Firewall都各Export一次
然後確定不要勾選Preemptive以免自動跳回Active影響升級計劃
升級開始, 選擇好版本按Download, 然後另一台亦自動下載(勾選Sync to HA Peer)
下載完後, 首先升級後備的Firewall(Local : Passive), 按Install
升級完後Reboot之後, 再次登入可以看到已經使用8.1.20, 但是HA not enabled, 再等等
Active還是看到Passive還未能使用
過一回就在Passive看到已經在線了, 但是和Active版本不對(PAN-OS Version: Mismatch)
Passive已經升級後, 到Active的頁面按Suspend local device轉換成後備
我的跳轉過程中會有數個Timeout
和之前Passive一樣按Install就可以, Reboot後就可以看到新版本, 而且沒有錯誤, 需要改回Active就去Passive裏按Suspend local device, 跳轉後記得要改回