Aufrüsten von Geräten in einem Gehäuse-Cluster mithilfe der Intensivstation
Mit der Chassis-Cluster-ICU-Methode können beide Geräte in einem Cluster mit einem einzigen Befehl von unterstützten Junos OS-Versionen aktualisiert werden. Weitere Informationen finden Sie in den folgenden Themen:
Wenn Sie für SRX300-, SRX320-, SRX340-, SRX345- und SRX380-Firewalls ein Upgrade auf Junos OS Version 24.4R1 durchführen, können Sie die ICU-Methode nicht verwenden. Sie müssen entweder die in KB 85650 KB17947 beschriebenen Verfahren oder das in (Minimal_Downtime_Upgrade_Branch_Mid PDF-Datei) dokumentierte Verfahren zur minimalen Ausfallzeit verwenden. Nach dem Upgrade auf Junos OS Version 24.4R1 können Sie die ICU-Methode verwenden, um ein Upgrade auf eine spätere Version durchzuführen oder ein Downgrade von einer dieser späteren Versionen auf Junos OS Version 23.4R2-S3 oder auf Version 24.2R2 durchzuführen.
Upgrade beider Geräte in einem Gehäuse-Cluster mithilfe der Intensivstation
Bevor Sie beginnen, beachten Sie Folgendes:
ICU ist mit der No-Sync-Option nur für SRX300-, SRX320-, SRX340-, SRX345- und SRX380-Geräte verfügbar.
Bevor Sie die Intensivstation starten, sollten Sie sicherstellen, dass ausreichend Speicherplatz verfügbar ist. Weitere Informationen finden Sie unter Upgrade der ICU mithilfe eines Builds, der lokal auf einem primären Knoten in einem Chassis-Cluster verfügbar ist , und Aktualisieren der ICU mithilfe eines Builds, der auf einem FTP-Server verfügbar ist.
Bei SRX300-, SRX320-, SRX340-, SRX345- und SRX380-Geräten kann diese Funktion nicht für ein Downgrade auf einen Build vor Junos OS 11.2 R2 verwendet werden.
Bei SRX1500 Geräten kann diese Funktion nicht für ein Downgrade auf einen Build vor Junos OS 15.1X49-D50 verwendet werden.
Firewalls der SRX-Serie in einem Gehäuse-Cluster können mit einer minimalen Serviceunterbrechung mithilfe von In-Band Cluster Upgrade (ICU) aufgerüstet werden. Mit der Funktion "Chassis Cluster ICU" können beide Geräte in einem Cluster mit einem einzigen Befehl von unterstützten Junos OS-Versionen aktualisiert werden. Sie können diese Funktion aktivieren, indem Sie den request system software in-service-upgrade image_name Befehl auf dem primären Knoten ausführen. Mit diesem Befehl wird das Junos OS aktualisiert und sowohl der sekundäre als auch der primäre Knoten neu gestartet. Während des ICU-Prozesses ist der Datenverkehr minimal. Eine kalte Synchronisierung zwischen den beiden Knoten ist jedoch nicht vorgesehen.
Bei SRX300-, SRX320-, SRX340-, SRX345- und SRX380-Geräten können die Geräte in einem Gehäuse-Cluster mit einer minimalen Serviceunterbrechung von ca. 30 Sekunden mithilfe von ICU mit der No-Sync-Option aufgerüstet werden. Mit der ICU-Funktion für Gehäusecluster können beide Geräte in einem Cluster von unterstützten Junos OS-Versionen aktualisiert werden.
Sie müssen die In-Band-Cluster-Upgrade-Befehle (ICU) auf SRX1500 Gerät verwenden, um ein Upgrade für die folgenden Junos OS-Versionen durchzuführen:
-
Junos OS Version 15.1X49-D50 bis Junos OS Version 15.1X49-D100
-
Junos OS Version 15.1X49-D60 bis Junos OS Version 15.1X49-D110
-
Junos OS Version 15.1X49-D50 bis Junos OS Version 15.1X49-D120
Sie müssen die In-Band-Cluster-Upgrade-Befehle (ICU) auf SRX1600 Gerät verwenden, um ein Upgrade von Junos OS Version 23.3R1 auf eine höhere Version durchzuführen.
Sie können die In-Band-Cluster-Upgrade (ICU)-Befehle auf SRX2300-, SRX4100- und SRX4200-Geräten verwenden, um Upgrades in den folgenden Junos OS Versionen durchzuführen:
-
Junos OS Version 15.1X49-D65 bis Junos OS Version 15.1X49-D70
-
Junos OS Version 15.1X49-D70 auf Junos OS Version 15.1X49-D80.
Bei SRX300-, SRX320-, SRX340-, SRX345- und SRX380-Geräten sind die folgenden Auswirkungen auf den Datenverkehr:
-
Rückgang des Datenverkehrs (ca. 30 Sekunden)
-
Verlust von Sicherheitsflusssitzungen
Das Upgrade wird mit dem Junos OS-Build eingeleitet, der lokal auf dem primären Knoten des Geräts oder auf einem FTP-Server verfügbar ist.
-
Der primäre Knoten, RG0, wechselt nach einem Upgrade der Intensivstation in den sekundären Knoten.
-
Während der ICU wird ein Failover der Chassis-Cluster-Redundanzgruppen auf den primären Knoten durchgeführt, um den Cluster in den aktiven/passiven Modus zu wechseln.
-
Der Status der Intensivstation kann aus dem Syslog oder aus den Konsolen-/Terminalprotokollen überprüft werden.
-
Die ICU erfordert, dass beide Knoten ein Dual-Root-Partitionierungsschema verwenden, mit einer Ausnahme von SRX1500 und SRX1600. Die ICU wird nicht fortgesetzt, wenn auf keinem der Knoten eine Dual-Root-Partitionierung erkannt wird. Die Anforderung der Dual-Root-Partitionierung gilt nur für SRX300-, SRX320-, SRX340-, SRX345- und SRX380-Geräte.
Die Dual-Root-Partitionierung wird auf SRX1500- und SRX1600 Geräten nicht unterstützt. SRX1500 und SRX1600 verwenden Solid-State-Laufwerke (SSDs) als sekundären Speicher.
Upgrade der Intensivstation mithilfe eines lokal auf einem primären Knoten in einem Gehäuse-Cluster verfügbaren Build
Stellen Sie sicher, dass am Speicherort /var/tmp im sekundären Knoten des Clusters ausreichend Festplattenspeicher für das Junos OS-Paket verfügbar ist.
So aktualisieren Sie die ICU mithilfe eines Builds, der lokal auf dem primären Knoten eines Clusters verfügbar ist:
Aktualisieren der Intensivstation mithilfe eines Builds, der auf einem FTP-Server verfügbar ist
Stellen Sie sicher, dass am Speicherort /var/tmp sowohl auf dem primären als auch auf dem sekundären Knoten des Clusters ausreichend Festplattenspeicher für das Junos OS-Paket verfügbar ist.
So aktualisieren Sie die ICU mit einem Build, der auf einem FTP-Server verfügbar ist:
Während des Upgrade-Vorgangs wird die folgende Warnmeldung angezeigt, um das System neu zu starten:
WARNUNG: Ein Neustart ist erforderlich, um diese Software korrekt zu laden. Verwenden Sie den Befehl, wenn die request system reboot Softwareinstallation abgeschlossen ist.
Diese Warnmeldung kann ignoriert werden, da der ICU-Prozess beide Knoten automatisch neu startet.
Beenden eines Upgrades in einem Gehäuse-Cluster während einer Intensivstation
Sie können eine Intensivstation jederzeit beenden, indem Sie den folgenden Befehl auf dem primären Knoten ausführen:
request system software abort in-service-upgrade
Das Ausgeben eines abort Befehls während oder nach dem Neustart des sekundären Knotens versetzt den Cluster in einen inkonsistenten Zustand. Der sekundäre Knoten startet mit dem neuen Junos OS-Build, während der primäre Knoten weiterhin den älteren Junos OS-Build ausführt.
Um den inkonsistenten Zustand des Chassis-Clusters wiederherzustellen, führen Sie die folgenden Aktionen nacheinander auf dem sekundären Knoten aus:
Sie müssen die oben genannten Schritte nacheinander ausführen, um den Wiederherstellungsprozess abzuschließen und Clusterinstabilität zu vermeiden.
In Tabelle 1 sind die Optionen und ihre Beschreibungen für den request system software in-service-upgrade Befehl aufgeführt.
Optionen |
Beschreibung |
|---|---|
Keine Synchronisierung |
Deaktiviert die Synchronisierung des Flow-Status, wenn der alte sekundäre Knoten mit einem neuen Junos OS-Image gestartet wurde. Diese Option ist auf SRX1500- und SRX1600 Geräten nicht verfügbar. |
no-tcp-syn-check |
Erstellt ein Fenster, in dem die TCP SYN-Prüfung für die eingehenden Pakete deaktiviert wird. Der Standardwert für das Fenster beträgt 7200 Sekunden (2 Stunden). Diese Option ist auf SRX1500- und SRX1600 Geräten nicht verfügbar. |
Keine Validierung |
Deaktiviert die Validierung der Konfiguration zum Zeitpunkt der Installation. Das Systemverhalten ist ähnlich wie . |
trennen |
Entfernt das Paket nach der Installation vom lokalen Medium. |
Wenn während der ICU ein Beendigungsbefehl ausgeführt wird, wird die ICU erst nach Abschluss des aktuellen Vorgangs beendet. Dies ist erforderlich, um Inkonsistenzen mit den Geräten zu vermeiden.
Wenn z. B. ein Knoten formatiert und aktualisiert wird, wird die Intensivstation nach Abschluss dieses Vorgangs beendet.
Nach einer Beendigung versucht die ICU, den Build auf den Knoten zurückzusetzen, wenn der Schritt zum Aktualisieren der Knoten abgeschlossen wurde.