Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

マルチノード高可用性でのソフトウェアアップグレード

概要

マルチノード高可用性設定では、トラフィックの中断を最小限に抑えながら、2つの異なるJunos OSリリース間でSRXシリーズファイアウォールをアップグレードできます。

ジュニパーでは、Junos OS リリース 22.3R1 と同様に、CLI を使用したソフトウェア アップグレード方法をサポートしています。

Junos OS リリースから Junos OS リリースへの ソフトウェア アップグレード方法を使用します
20.4 20.4 以降のリリース いいえ
22.3 Junos OS リリースの次期バージョン はい

Junos OSリリースのアップグレードとダウングレードのサポートについては、リリースノートの Junos OSリリースおよび拡張サポート終了リリースのアップグレードとダウングレードのサポートポリシー を参照してください。

マルチノード高可用性のSRXシリーズファイアウォールを、以前のJunos OSリリースからJunos OS リリース22.4R1以降のリリースにアップグレードする場合は、 分離ノードのアップグレード手順を使用できます。Junos OS リリース 22.4R1 以降のリリースは、通常のアップグレード中にセッションを同期する場合、以前の Junos OS リリースと互換性がありません。

注意:

SRXシリーズファイアウォールをJunos OS リリース22.3からJunos OSリリースの次のバージョンにアップグレードする場合、トラフィックが一時的に中断することがあります。
手記:

マルチノード高可用性セットアップでSRXシリーズファイアウォールでJunos OSリリースをアップグレードすると、アップグレードプロセスが正常に完了しても、 show chassis high-availability information コマンド出力に次のメッセージが表示されます。

上記のメッセージは、Junos OSリリース21.4R1から21.4R1以降のJunos OSリリースにアップグレードする場合に表示されます。

23.4R2より前のJunos OSリリースでは、1つのノードが異なるメジャーJunos OSバージョンを実行している場合、マルチノード高可用性形成の中間アップグレード段階で、新たに確立されたNATセッションは同期されません。

マルチノード高可用性設定では、両方のSRXシリーズファイアウォールに同じバージョンのJunos OSをインストールする必要があります。そのため、1台のデバイスでJunos OSをアップグレードする場合は、もう一方のデバイスも同じバージョンにアップグレードしてください。

マルチノード高可用性セットアップでは、次のアップグレード方法がサポートされています。

  • レイヤー 3 展開の場合: install-on-failure-route 設定(推奨)。この方法では、ルートを変更することでトラフィックを迂回させることができます。ここでは、トラフィックは引き続きノードを通過でき、インターフェイスはアップしたままになります。詳しくは、 install-on-failure-route を使用したソフトウェアのアップグレード を参照してください。また、レイヤー 3 の導入には、 shutdown-on-failure インターフェイス方式を使用することもできます。

  • ハイブリッド展開とデフォルトゲートウェイ(レイヤー2/スイッチング)展開の場合: shutdown-on-failure インターフェイス方式。この方法では、ノード上のインターフェイスを閉じることで、トラフィックを迂回させることができます。ここでは、トラフィックはノードを通過できません。詳細は、 障害発生時シャットダウンインターフェイスを使用したソフトウェアのアップグレード を参照してください。

次の手順では、CLIを使用して、2つのSRXシリーズファイアウォール(SRX-01およびSRX-02)をJunos OSリリース22.3R1.1からJunos OS リリース22.3R1.3にアップグレードする方法をご紹介します。マルチノード高可用性設定でSRXシリーズファイアウォールをアップグレードする際のダウンタイムを回避するため、一度に1つのデバイスを更新します。

Junos OSアップグレードのベストプラクティス

ソフトウェアのアップグレードを計画する際には、次のベストプラクティスを考慮してください。

  • 両方のノードがオンラインであり、Junos OSのバージョンが同じであることを確認します。
  • ソフトウェアのインストールとアップグレードの準備(Junos OS)にあるチェックリストを使用して、SRXシリーズファイアウォールのアップグレード準備をします。
  • show system storage コマンドを使用して、両方のノードが /var ファイルシステムに十分なストレージを持っているかどうかを確認します。

  • show chassis fpc pic-statusコマンドを使用して、両方のデバイスのすべてのカードのステータスを確認します。

  • show chassis alarms コマンドを使用して、デバイスにメジャー アラームがないことを確認します。

  • コミットされていない変更がないことを確認します。
  • アクティブな設定とライセンス キーをバックアップします。

ソフトウェアのアップグレードは、メンテナンス期間中に実施することをお勧めします。

インストール前の手順

ソフトウェアのアップグレードを開始する前に、以下のタスクを完了してください。

  • デバイス上の現在の Junos OS ソフトウェアのバージョンを確認します。
  • 両方のSRXシリーズファイアウォールで 、ジュニパーネットワークスサポート ページからJunos OSイメージをダウンロードし、 /var/tmp の場所に保存します。

  • コマンドを使用して、 マルチノードの高可用性設定が正常で機能し、シャーシ間リンク(ICL)が稼働していることを確認します。

    SRX-01デバイス上

    SRX-02デバイス上

    これらの出力サンプルは、マルチノード高可用性セットアップ内の2つのSRXシリーズファイアウォールが正常な状態にあり、正常に動作していることを確認します。

    これで、ソフトウェアのアップグレードを続行する準備が整いました。

install-on-failure-routeを使用したソフトウェアのアップグレード

トランジットトラフィックを迂回させるための前提条件

レイヤー 3 ネットワークでマルチノード高可用性を設定するに記載されているように、ルートを変更して、トランジット トラフィックを迂回させるために必要な設定がデバイスにあるかどうかを確認します。構成していない場合は、次の手順を使用します。

  1. アップグレード中にトラフィックを迂回させるために使用するルート専用のカスタム仮想ルーターを作成します。

  2. SRG0に install-on-failure-route ステートメントを設定します。ここでは、ノードに障害が発生したときにインストールするルートとしてIPアドレス10.39.1.3のルートを設定しました。

    ルーティングテーブルは、ノードに障害が発生した場合、ステートメントに記載されているルートをインストールします。

  3. 一致するルーティングポリシーを設定し、ルートの存在に基づいてポリシー条件を定義します。ここでは、 if-route-existsのルート一致条件としてルート 10.39.1.3 を含めます。

    条件を一致する用語の1つとして参照するポリシーステートメントを作成します。

マルチノード高可用性ソフトウェアのアップグレード

バックアップノード(SRX-02)として動作しているデバイスをアップグレードしましょう。

  1. ソフトウェア アップグレード プロセスを開始し、設定をコミットします。

    このコマンドは、SRG0のローカル障害を開始し、SRG1(設定されている場合)をローカルデバイス上の INELIGIBLE 状態に遷移させます。ピアデバイスは、SRG1 に対してアクティブな状態に移行するか、アクティブな状態を維持します。ローカル ノードでは、SRG1 のアクティブおよびバックアップのシグナル ルートが削除されます。 install-on-failure-route ステートメントを設定した場合、 install-on-failure-route 設定に関連付けられた信号経路がインストールされます。適切なルーティングポリシーを用いることで、ローカルデバイスはより高いルートメトリックをアドバタイズし、ローカルデバイスからトラフィックをそらし、ピアデバイスへとトラフィックを誘導することができます。

  2. マルチノード高可用性のステータスを検証します。

    出力には Node Status: OFFLINE [ SU ] が表示され、ノードがソフトウェア アップグレードの準備ができていることを示します。SRG1のステータスが INELIGIBLEに変わったことがわかります。

  3. もう一方のデバイス(SRX-01)がアクティブ ロールになり、正常に機能していることを確認します。

    コマンド出力は、SRG1 のステータスが ACTIVE であることを示しています。

    また、SRG1 の Peer Information セクションの下にあるステータスは INELIGIBLE であり、他のノードが不適格な状態であることを示しています。

  4. SRX-02デバイスにJunos OSソフトウェアをインストールします。
  5. インストールが成功したら、 request system reboot コマンドを使用してデバイスを再起動します。
  6. 再起動後、 show version コマンドを使用してJunos OSバージョンを確認します。

    この出力は、デバイスが正しいJunos OSバージョンにアップグレードされたことを確認します。

  7. デバイスのマルチノード高可用性のステータスを確認します。

    出力では、引き続きノードのステータスが OFFLINE [ SU ] 、SRG1 のステータスが INELIGIBLE として表示されます。

  8. software-upgradeステートメントを削除し、設定をコミットします。

    software-upgradeステートメントを削除すると、ローカル障害状態とインストールされたルートが削除されます。

  9. [マルチノードの高可用性] ステータスを再度チェックして、デバイスがオンラインであり、全体的なステータスが正常で機能していることを確認します。

    出力には、 Node Status: ONLINE とSRG1のステータスが BACKUPと表示されます。これは、ノードがオンラインに戻り、バックアップロールで正常に機能していることを示しています。

  10. インターフェイス、ルーティングプロトコル、アドバタイズされたルートなどをチェックして、セットアップが正常に動作していることを確認します。

これで、同じ手順で他のデバイス(SRX-01)のアップグレードに進むことができます。

手記:

問題が発生してアップグレードを完了できない場合は、デバイス上のソフトウェアをロールバックしてから、システムを再起動できます。 request system software rollback コマンドを使用して、以前にインストールしたソフトウェアバージョンを復元します。

障害発生時シャットダウンインターフェイスを使用したソフトウェアのアップグレード

トランジットトラフィックを迂回させるための前提条件

デフォルトゲートウェイ導入環境でマルチノード高可用性を設定するに記載されているように、インターフェイスをシャットダウンしてトラフィックを分離するために必要な設定がSRXシリーズに含まれているかどうかを確認します。機能が設定されていない場合:

  1. the shutdown-on-failure option.オプションですべてのトラフィックインターフェイスを設定します。 例:
    注意:

    ICL(シャーシ間リンク)に割り当てられたインターフェイスは使用しないでください。

マルチノード高可用性ソフトウェアのアップグレード

では、バックアップノード(SRX-02)として動作しているデバイスをアップグレードします。

  1. ソフトウェア アップグレードを開始し、設定をコミットします。

    このコマンドは、インターフェイスをオフラインとし、ステータスを不適格な状態に移行します。

  2. [マルチノードの高可用性(Multinode High Availability)] ステータスを確認します。

    出力には Node Status: OFFLINE [ SU ]が表示され、ノードがソフトウェアをアップグレードする準備ができていることを示しています。SRG0のステータスが ISOLATED [ Node Failure ] 、SRG1のステータスが INELIGIBLEとして表示されることもあります。

  3. インターフェイスのステータスを確認します。

    この出力結果は、 shutdown-on-failure とマークされたインターフェイスがダウンしていることを示しています。

  4. もう一方のデバイス(SRX-01)がアクティブ ロールになり、正常に機能していることを確認します。

    この出力結果は、SRG1 のステータスが ACTIVE であることを示しています。

    また、SRG1 の Peer Information セクションの下にあるステータスは INELIGIBLE であり、他のノードが不適格な状態であることを示しています。

  5. SRX-02にJunos OSイメージをインストールします。
  6. アップグレードが成功したら、 request system reboot コマンドを使用してデバイスを再起動します。
  7. Junos OS のバージョンを確認します。

    この出力は、デバイスが正しいJunos OSバージョンにアップグレードされたことを確認します。

  8. デバイスのマルチノード高可用性のステータスを確認します。

    コマンドの出力には、引き続きノードのステータスが OFFLINE [ SU ] 、SRG0 のステータスが ISOLATED [ Node Failure ] として表示されます。

  9. software-upgradeステートメントを削除し、設定をコミットします。

  10. デバイスのマルチノード高可用性ステータスを再度確認し、デバイスがオンラインであり、全体的なステータスが正常であることを確認します。

    出力には、 Node Status: ONLINEとSRG0 ONLINEが表示されています。これは、ノードがオンラインに戻り、正常に機能していることを示しています。

  11. インターフェイスのステータスを検証します。

    出力は、以前にダウンしていたインターフェイスが現在アップしていることを示しています。

  12. インターフェイス、ルーティングプロトコル、アドバタイズされたルートなどをチェックして、セットアップが正常に動作していることを確認します。

これで、同じ手順で他のデバイス(SRX-01)のアップグレードに進むことができます。

関連資料