升級版本: 8.1.15-h3 -> 9.1.14-h1
預先下載: 8.1.24, 9.0.0, 9.0.16-h3, 9.1.0, 9.1.14-h1
安裝次序: 8.1.24 -> 9.0.16-h3 -> 9.1.14-h1
假設PA1是Active, PA2是Passive
PA2 升級 8.1.24
PA1 升級 8.1.24
PA1 升級 9.0.16-h3
PA2 升級 9.0.16-h3
PA2 升級 9.1.14-h1
PA1 升級 9.1.14-h1
首先查看Application and Threats是否為最新的版本, 如果不是, 請下載
下載全部所需要的Software版本(8.1.24, 9.0.0, 9.0.16-h3, 9.1.0, 9.1.14-h1), 另一台亦需要下載(勾選Sync to HA Peer)
然後需要Export兩隻Firewall的Config設定, 兩隻Firewall都各Export一次
然後確定不要勾選Preemptive以免自動跳回Active影響升級計劃
升級前請必須確認HA的Status正常, 以免影響在線運作
首先升級後備的Firewall (PA2) Local : Passive, 按Install, 然後等待安裝完成及重啟
注意當安下Install後是沒有任何提示訊息, 並立即安裝的 參考
重啟後轉移到Active, Reload時間改為1, 等待HA看到Passive在線的Status
Passive終於醒來, 但是Not synchronized
好的, 在Active按Sync to peer
但是問題出來了, 一直同步不了, 沒有錯誤訊息, 我立即查看之前升級的記錄 參考
只有PAN-OS Version mismatch, 這個Not synchronized使我擔心之後Active跳轉到Passive的時候會不會產生問題, 好在有經驗的同事說不用理會, 有些版本不同是會出現Not synchronized, 只要兩台一樣版本的時候就會自動Synchronized
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClaXCAS
好吧, Active改成Passive, 準備升級本來的Active (PA1)
本實例的跳轉過程中, 只有一個timeout
然後就來到第二次升級, 和之前一樣選擇8.1.24 install, reboot
PA2 升級 8.1.24
PA1 升級 8.1.24
PA1 升級 9.0.16-h3
PA2 升級 9.0.16-h3
PA2 升級 9.1.14-h1
PA1 升級 9.1.14-h1
有驚無險的, 2台PA升級到相同版本後就自動回復正常了
PA2 升級 8.1.24
PA1 升級 8.1.24
PA1 升級 9.0.16-h3
PA2 升級 9.0.16-h3
PA2 升級 9.1.14-h1
PA1 升級 9.1.14-h1
再來的都是這台PA1 升級到9.0.16-h3, 由於功能上的升級, 保險點2台準備升級前都是再備份一次
PA2 升級 8.1.24
PA1 升級 8.1.24
PA1 升級 9.0.16-h3
PA2 升級 9.0.16-h3
PA2 升級 9.1.14-h1
PA1 升級 9.1.14-h1
之後3個升級就沒有太大分別了
各自重啟3次, 共6次, 終於升級完成
本來有勾選Preemptive的, 記得要還原勾選
Reference
https://docs.paloaltonetworks.com/pan-os/9-1/pan-os-new-features/upgrade-to-pan-os-91/upgrade-the-firewall-to-pan-os-91/upgrade-an-ha-firewall-pair-to-pan-os-91
https://docs.paloaltonetworks.com/pan-os/9-1/pan-os-new-features/upgrade-to-pan-os-91/upgrade-the-firewall-to-pan-os-91/determine-the-upgrade-path#id85bdf6f4-2e83-49f0-8525-3eb2163f2d2e