マルチノード高可用性でのソフトウェアアップグレード
概要
MNHA構成で導入されたSRXシリーズファイアウォールは、各デバイスを順次アップグレードすることで、最小限の中断でアップグレードできます。デバイスのアーキテクチャに応じて、CLIコマンド( request system software add または request vmhost software add )のいずれかを使用してJunosのアップグレードを開始します。
| Junos OS リリースから Junos | OS リリースへの | ソフトウェア アップグレード方法を使用します |
|---|---|---|
| 20.4 | 20.4 以降のリリース | いいえ |
| 22.3 | Junos OS リリースの次期バージョン | はい |
-
リリース22.4R1以降は、通常のアップグレード中にセッションを同期するため、以前のJunos OSリリースと互換性がありません。このような場合は、 分離ノードのアップグレード手順を使用します。
-
22.3 から次のリリースにアップグレードすると、トラフィックが一時的に中断する可能性があります。
-
21.4R1以降のアップグレード中に
Peer Hardware Incompatible: SPU SLOT MISMATCHが表示される場合があります。 -
23.4R2より前のリリースでは、暫定アップグレード段階ではNATセッションは同期されません。
-
常に両方のノードを同じJunos OSバージョンにアップグレードしてください。
Junos OSリリースのアップグレードとダウングレードのサポートについては、リリースノートの Junos OSリリースおよび拡張サポート終了リリースのアップグレードとダウングレードのサポートポリシー を参照してください。
マルチノード高可用性のSRXシリーズファイアウォールを、以前のJunos OSリリースからJunos OS リリース22.4R1以降のリリースにアップグレードする場合は、 分離ノードのアップグレード手順を使用できます。Junos OS リリース 22.4R1 以降のリリースは、通常のアップグレード中にセッションを同期する場合、以前の Junos OS リリースと互換性がありません。
始める前に
MNHA)設定のSRXシリーズデバイス上でアップグレードを実行する前に、制御された方法でデバイスからトラフィックをリダイレクトすることを推奨します。これは、次のいずれかの方法で実行できます。
-
手動フェールオーバー:手動フェールオーバーをトリガーして、トラフィックをピアデバイスに移行します。
-
ソフトウェア アップグレード モード:次のコマンドでデバイスを一時的に設定します。
user@host# set chassis high-availability software-upgrade
このコマンドは、障害コード SU (ソフトウェア アップグレード) を伴うデバイス障害を引き起こします。その結果、サービス冗長グループ(SRG)1以上は、アップグレードされるデバイスで(アクティブまたはバックアップではなく)不適格な状態に移行します。これにより、関連するトラフィックが自動的に他の MNHA クラスター メンバーにフェールオーバーされます。
手記:MNHA クラスタが SRG0 のみで構成され、install-on-failure-routeオプションが含まれている場合でも、set chassis high-availability software-upgrade設定を使用してトラフィックをリダイレクトし、デバイスからトラフィックを正常に移動できます。
ソフトウェアアップグレード
準備チェックリスト
ソフトウェアのアップグレードを計画する際には、次のベストプラクティスを考慮してください。
- 両方のノードがオンラインで、同じJunos OSバージョンを実行していることを確認します。show version コマンドを使用して、デバイス上の現在の Junos OS ソフトウェアのバージョンを確認します。
- ストレージの可用性を確認します。
show system storage - ハードウェアの状態を確認します。
show chassis fpc pic-statusshow chassis alarms
- コミットされていない変更がないことを確認します。
- バックアップ設定とライセンスキー。
- 両方のデバイスの/var/tmpにJunos OSイメージをダウンロードします。
- 高可用性設定が正常で機能し、シャーシ間リンク(ICL)が稼働していることを確認します。
show chassis high-availability information - で入手可能なチェックリストを使用して、SRXシリーズファイアウォールをアップグレードする準備をします。
アップグレードのためのデバイスの準備の詳細については、 ソフトウェアのインストールとアップグレードの準備(Junos OS)を参照してください。
ソフトウェアのダウンロード
両方のSRXシリーズファイアウォールで 、ジュニパーネットワークスサポート ページからJunos OSイメージをダウンロードし、 /var/tmp の場所に保存します。例:
user@host> request system software add /var/tmp/junos-install-vsrx3-x86-64-22.3R1.3.tgz no-copy
アップグレード手順
この手順に従って、マルチノード高可用性(MNHA)セットアップで設定されたSRXシリーズデバイスをアップグレードします。この例では、クラスタは srx-01(現在アクティブ)と srx-02(現在バックアップ)の 2 つのデバイスで構成されています。アップグレード プロセスは、バックアップ ノード(srx-02)から始まり、次にアクティブ ノード(srx-01)が続きます。これにより、サービスの中断は最小限に抑えられます。
マルチノードの高可用性設定が正常で機能し、シャーシ間リンク(ICL)が稼働していることを確認します。
SRX-01デバイス上
user@srx-01> show chassis high-availability informationNode failure codes: HW Hardware monitoring LB Loopback monitoring MB Mbuf monitoring SP SPU monitoring CS Cold Sync monitoring SU Software Upgrade Node Status: ONLINE Local-id: 1 Local-IP: 10.22.0.1 HA Peer Information: Peer Id: 2 IP address: 10.22.0.2 Interface: ge-0/0/2.0 Routing Instance: default Encrypted: YES Conn State: UP Cold Sync Status: COMPLETE Services Redundancy Group: 0 Current State: ONLINE Peer Information: Peer Id: 2 SRG failure event codes: BF BFD monitoring IP IP monitoring IF Interface monitoring CP Control Plane monitoring Services Redundancy Group: 1 Deployment Type: ROUTING Status: ACTIVE Activeness Priority: 200 Preemption: ENABLED Process Packet In Backup State: NO Control Plane State: READY System Integrity Check: N/A Failure Events: NONE Peer Information: Peer Id: 2 Status : BACKUP Health Status: HEALTHY Failover Readiness: READYSRX-02デバイス上
user@srx-02> show chassis high-availability informationNode failure codes: HW Hardware monitoring LB Loopback monitoring MB Mbuf monitoring SP SPU monitoring CS Cold Sync monitoring SU Software Upgrade Node Status: ONLINE Local-id: 2 Local-IP: 10.22.0.2 HA Peer Information: Peer Id: 1 IP address: 10.22.0.1 Interface: ge-0/0/2.0 Routing Instance: default Encrypted: YES Conn State: UP Cold Sync Status: COMPLETE Services Redundancy Group: 0 Current State: ONLINE Peer Information: Peer Id: 1 SRG failure event codes: BF BFD monitoring IP IP monitoring IF Interface monitoring CP Control Plane monitoring Services Redundancy Group: 1 Deployment Type: ROUTING Status: BACKUP Activeness Priority: 1 Preemption: DISABLED Process Packet In Backup State: NO Control Plane State: READY System Integrity Check: COMPLETE Failure Events: NONE Peer Information: Peer Id: 1 Status : ACTIVE Health Status: HEALTHY Failover Readiness: N/A- バックアップノード(SRX-02)でソフトウェアアップグレードプロセスを開始し、設定をコミットします
user@srx-02# set chassis high-availability software-upgrade
このコマンドは、SRG0のローカルフェイルオーバーをトリガーし、SRG1(存在する場合)を不適格とマークして、ピアノードがアクティブなロールを引き継ぐか、保持できるようにします
- マルチノード高可用性のステータスを検証します。出力には Node Status: OFFLINE [ SU ] と表示され、ノードがソフトウェア アップグレードの準備ができていることを示します。SRG1のステータスがINELIGIBLEに変わったことがわかります。
user@srx-02> show chassis high-availability information Node failure codes: HW Hardware monitoring LB Loopback monitoring MB Mbuf monitoring SP SPU monitoring CS Cold Sync monitoring SU Software Upgrade Node Status: OFFLINE [ SU ] Local-id: 1 Local-IP: 10.22.0.1 HA Peer Information: Peer Id: 2 IP address: 10.22.0.2 Interface: ge-0/0/2.0 Routing Instance: default Encrypted: YES Conn State: UP Cold Sync Status: COMPLETE Services Redundancy Group: 0 Current State: ONLINE Peer Information: Peer Id: 2 SRG failure event codes: BF BFD monitoring IP IP monitoring IF Interface monitoring CP Control Plane monitoring Services Redundancy Group: 1 Deployment Type: ROUTING Status: INELIGIBLE Activeness Priority: 200 Preemption: ENABLED Process Packet In Backup State: NO Control Plane State: N/A System Integrity Check: IN PROGRESS Failure Events: NONE Peer Information: Peer Id: 2 Status : ACTIVE Health Status: HEALTHY Failover Readiness: N/A もう一方のデバイス(SRX-01)がアクティブ ロールになり、正常に機能していることを確認します。
user@srx-01> show chassis high-availability informationNode failure codes: HW Hardware monitoring LB Loopback monitoring MB Mbuf monitoring SP SPU monitoring CS Cold Sync monitoring SU Software Upgrade Node Status: ONLINE Local-id: 2 Local-IP: 10.22.0.2 HA Peer Information: Peer Id: 1 IP address: 10.22.0.1 Interface: ge-0/0/2.0 Routing Instance: default Encrypted: YES Conn State: UP Cold Sync Status: COMPLETE Services Redundancy Group: 0 Current State: ONLINE Peer Information: Peer Id: 1 SRG failure event codes: BF BFD monitoring IP IP monitoring IF Interface monitoring CP Control Plane monitoring Services Redundancy Group: 1 Deployment Type: ROUTING Status: ACTIVE Activeness Priority: 1 Preemption: DISABLED Process Packet In Backup State: NO Control Plane State: READY System Integrity Check: N/A Failure Events: NONE Peer Information: Peer Id: 1 Status : INELIGIBLE Health Status: UNHEALTHY Failover Readiness: NOT READYコマンド出力は、SRG1 のステータスが ACTIVE であることを示しています。
SRG1 の
Peer Informationセクションの下にあるステータスはINELIGIBLEであり、他のノードが不適格な状態であることを示しています。- SRX-02デバイスにJunos OSソフトウェアをインストールします。
user@srx-02> request system software add /var/tmp/junos-install-vsrx3-x86-64-22.3R1.3.tgz no-copy
- インストールが成功したら、
request system rebootコマンドを使用してデバイスを再起動します。 - 再起動後に、Junos OSのバージョンを確認します。
user@srx-02> show versionHostname: srx-02 Model: vSRX Junos: 22.3R1.3この出力は、デバイスが正しいJunos OSバージョンにアップグレードされたことを確認します。
- デバイスのマルチノード高可用性のステータスを確認します。
user@srx-02> show chassis high-availability informationNode failure codes: HW Hardware monitoring LB Loopback monitoring MB Mbuf monitoring SP SPU monitoring CS Cold Sync monitoring SU Software Upgrade Node Status: OFFLINE [ SU ] Local-id: 1 Local-IP: 10.22.0.1 HA Peer Information: Peer Id: 2 IP address: 10.22.0.2 Interface: ge-0/0/2.0 Routing Instance: default Encrypted: YES Conn State: UP Cold Sync Status: COMPLETE Services Redundancy Group: 0 Current State: ONLINE Peer Information: Peer Id: 2 SRG failure event codes: BF BFD monitoring IP IP monitoring IF Interface monitoring CP Control Plane monitoring Services Redundancy Group: 1 Deployment Type: ROUTING Status: INELIGIBLE Activeness Priority: 200 Preemption: ENABLED Process Packet In Backup State: NO Control Plane State: N/A System Integrity Check: COMPLETE Failure Events: NONE Peer Information: Peer Id: 2 Status : ACTIVE Health Status: HEALTHY Failover Readiness: N/A出力には引き続き、ノードのステータスが
OFFLINE [ SU ]、SRG1 のステータスがINELIGIBLEとして表示されます。 software-upgradeステートメントを削除し、設定をコミットします。user@srx-02# delete chassis high-availability software-upgrade
software-upgradeステートメントを削除すると、ノードのフェイルオーバー状態とインストールされているすべてのルートがクリアされます。このステートメントが削除されるまで、ノードはオフラインのままで、すべての SRG は INELIGIBLE 状態のままになります。これにより、ピアが正常である限り、アップグレード中のトラフィック処理からノードが効果的に分離されます。-
[マルチノードの高可用性] ステータスを再度チェックして、デバイスがオンラインであり、全体的なステータスが正常で機能していることを確認します。
user@srx02> show chassis high-availability information Node failure codes: HW Hardware monitoring LB Loopback monitoring MB Mbuf monitoring SP SPU monitoring CS Cold Sync monitoring SU Software Upgrade Node Status: ONLINE Local-id: 1 Local-IP: 10.22.0.1 HA Peer Information: Peer Id: 2 IP address: 10.22.0.2 Interface: ge-0/0/2.0 Routing Instance: default Encrypted: YES Conn State: UP Cold Sync Status: COMPLETE Services Redundancy Group: 0 Current State: ONLINE Peer Information: Peer Id: 2 SRG failure event codes: BF BFD monitoring IP IP monitoring IF Interface monitoring CP Control Plane monitoring Services Redundancy Group: 1 Deployment Type: ROUTING Status: BACKUP Activeness Priority: 200 Preemption: ENABLED Process Packet In Backup State: NO Control Plane State: READY System Integrity Check: IN PROGRESS Failure Events: NONE Peer Information: Peer Id: 2 Status : ACTIVE Health Status: HEALTHY Failover Readiness: N/A出力には、
Node Status: ONLINEとSRG1のステータスがBACKUPと表示されます。これは、ノードがオンラインに戻り、バックアップロールで正常に機能していることを示しています。 -
インターフェイス、ルーティングプロトコル、アドバタイズされたルートなどをチェックして、セットアップが正常に動作していることを確認します。
これで、同じ手順で他のデバイス(SRX-01)のアップグレードに進むことができます。
(オプション)問題が発生してアップグレードを完了できない場合は、デバイス上のソフトウェアをロールバックしてから、システムを再起動できます。request system software rollbackコマンドを使用して、以前にインストールしたソフトウェアバージョンを復元します。
install-on-failure-routeを使用したソフトウェアのアップグレード
SRG0のみを使用する(A/B状態をサポートしない)セットアップでは、install-on-failure-routeを設定することをお勧めします。このルートをルートポリシーで参照することで、ソフトウェアアップグレード時やノード障害時に優先度の低いパスをアドバタイズすることができます。この方法では、ルートを変更することでトラフィックを迂回させることができます。ここでは、トラフィックは引き続きノードを通過でき、インターフェイスはアップしたままになります。
-
アップグレード中にトラフィックを迂回させるために使用するルート専用のカスタム仮想ルーターを作成します。
set routing-instances MNHA-signal-routes instance-type virtual-router
- SRG0の
install-on-failure-routeステートメントを設定します。ここでは、ノードに障害が発生したときにインストールするルートとしてIPアドレス10.39.1.3のルートを設定しました。set routing-instances MNHA-signal-routes instance-type virtual-router set chassis high-availability services-redundancy-group 0 install-on-failure-route 10.39.1.3 routing-instance MNHA-signal-routes set chassis high-availability services-redundancy-group 1 active-signal-route 10.39.1.1 routing-instance MNHA-signal-routes set chassis high-availability services-redundancy-group 1 backup-signal-route 10.39.1.2 routing-instance MNHA-signal-routes
ルーティングテーブルは、ノードに障害が発生した場合、ステートメントに記載されているルートをインストールします。
- 一致するルーティングポリシーを設定し、ルートの存在に基づいてポリシー条件を定義します。ここでは、
if-route-existsのルート一致条件としてルート 10.39.1.3 を含めます。set policy-options condition active_route_exists if-route-exists address-family inet 10.39.1.1/32 set policy-options condition active_route_exists if-route-exists address-family inet table MNHA-signal-routes.inet.0 set policy-options condition backup_route_exists if-route-exists address-family inet 10.39.1.2/32 set policy-options condition backup_route_exists if-route-exists address-family inet table MNHA-signal-routes.inet.0 set policy-options condition failure_route_exists if-route-exists address-family inet 10.39.1.3/32 set policy-options condition failure_route_exists if-route-exists address-family inet table MNHA-signal-routes.inet.0
条件を一致する用語の1つとして参照するポリシーステートメントを作成します。
set policy-options policy-statement mnha-route-policy term 4 from protocol static set policy-options policy-statement mnha-route-policy term 4 from protocol direct set policy-options policy-statement mnha-route-policy term 4 from condition failure_route_exists set policy-options policy-statement mnha-route-policy term 4 then metric 100 set policy-options policy-statement mnha-route-policy term 4 then accept
- 前の手順(ソフトウェアのアップグレード)で説明したように、ソフトウェアのアップグレードを開始します。
非推奨の方法(shutdown-on-failure インターフェイス)
Junos OS リリース 24.3R1以降では、後方互換性と、設定を新しい設定に適合させる機会を提供するために、 shutdown-on-failure 機能がすぐに削除されるのではなく、非推奨とされました。この変更の一環として、[set chassis high-availability services-redundancy-group 0 shutdown-on-failure interface-name]設定ステートメントは廃止されました。
これまでは、インターフェイスをシャットダウンして、トラフィックを手動で迂回させる必要がありました。これで、software-upgrade コマンドを使用して、アップグレード中、ノードをオフラインにし、すべての SRG を INELIGIBLE 状態に保つことができます。これにより、ノードがトラフィック処理から効果的に分離されます。
Junos OS 22.4以前を使用している場合は、従来の方法を使用してアップグレード中にトラフィックを迂回させることをお勧めします。