멀티노드 고가용성에서 소프트웨어 업그레이드
개요
MNHA 구성에 구축된 SRX 시리즈 방화벽은 각 디바이스를 순차적으로 업그레이드하여 중단을 최소화하면서 업그레이드할 수 있습니다. 디바이스 아키텍처에 따라 다음 CLI 명령 중 하나를 사용하여 Junos 업그레이드 또는 request system software add request vmhost software add 을 시작합니다.
| Junos OS 릴리스에서 | Junos OS 릴리스로 | 소프트웨어 업그레이드 방법을 사용합니다 |
|---|---|---|
| 20.4 | 20.4 이후의 모든 릴리스 | 아니요 |
| 22.3 | Junos OS 릴리스의 다음 버전 | 예 |
-
릴리스 22.4R1 이상은 정기적인 업그레이드 중에 세션을 동기화하기 위해 이전 Junos OS 릴리스와 호환되지 않습니다. 이러한 경우 격리된 노드 업그레이드 절차를사용합니다.
-
22.3에서 다음 릴리스로 업그레이드하면 짧은 트래픽 중단이 발생할 수 있습니다.
-
21.4R1 업그레이드하는 동안 표시될
Peer Hardware Incompatible: SPU SLOT MISMATCH수 있습니다. -
NAT 세션은 23.4R2 이전 릴리스의 중간 업그레이드 단계 동안 동기화되지 않습니다.
-
두 노드를 항상 동일한 Junos OS 버전으로 업그레이드하십시오.
Junos OS 릴리스의 업그레이드 및 다운그레이드 지원에 대한 자세한 내용은 릴리스 노트의 Junos OS 릴리스 및 연장된 수명 종료 릴리스에 대한 업그레이드 및 다운그레이드 지원 정책을 참조하십시오.
멀티노드 고가용성의 SRX 시리즈 방화벽을 이전 Junos OS 릴리스에서 Junos OS 릴리스 22.4R1 이상 릴리스로 업그레이드하는 경우 격리된 노드 업그레이드 절차를 사용할 수 있습니다. Junos OS 릴리스 22.4R1 이상은 정기적인 업그레이드 중에 세션을 동기화하기 위해 이전 Junos OS 릴리스와 호환되지 않습니다.
시작하기 전에
MNHA) 구성의 SRX 시리즈 디바이스에서 업그레이드를 수행하기 전에 제어된 방식으로 디바이스에서 트래픽을 리디렉션하는 것이 좋습니다. 이 작업은 다음 방법 중 하나를 사용하여 수행할 수 있습니다.
-
수동 페일오버 - 수동 페일오버를 트리거하여 트래픽을 피어 디바이스로 이동합니다.
-
소프트웨어 업그레이드 모드 - 다음 명령을 사용하여 디바이스를 임시로 구성합니다.
user@host# set chassis high-availability software-upgrade
이 명령은 오류 코드 SU(소프트웨어 업그레이드)와 함께 디바이스 오류를 도입합니다. 따라서 SRG(Services Redundancy Groups) 1 이상은 업그레이드 중인 디바이스에서 Active 또는 Backup 대신 Ineligible 상태로 전환됩니다. 이로 인해 연결된 트래픽이 자동으로 다른 MNHA 클러스터 멤버로 장애 조치됩니다.
메모: MNHA 클러스터가 SRG0으로만 구성되고 옵션을 포함하는install-on-failure-route경우에도 구성을 사용하여set chassis high-availability software-upgrade트래픽을 디바이스 밖으로 안정적으로 이동함으로써 트래픽을 리디렉션할 수 있습니다.
소프트웨어 업그레이드
준비 체크리스트
소프트웨어 업그레이드를 계획할 때 다음과 같은 모범 사례를 고려하십시오.
- 두 노드가 모두 온라인 상태이고 동일한 Junos OS 버전을 실행하고 있는지 확인합니다. show version 명령을 사용하여 디바이스의 현재 Junos OS 소프트웨어 버전을 확인합니다.
- 스토리지 가용성 확인:
show system storage - 하드웨어 상태 확인:
show chassis fpc pic-statusshow chassis alarms
- 커밋되지 않은 변경 사항이 없는지 확인합니다.
- 백업 구성 및 라이선스 키.
- Junos OS 이미지를 두 디바이스의 /var/tmp에 다운로드합니다.
- 고가용성 설정이 정상적이고 기능적이며 섀시 간 링크(ICL)가 작동 중인지 확인합니다.
show chassis high-availability information - 에서 사용할 수 있는 체크리스트를 사용하여 업그레이드를 위해 SRX 시리즈 방화벽을 준비합니다.
디바이스 업그레이드 준비에 대한 자세한 내용은 소프트웨어 설치 및 업그레이드 준비(Junos OS)를 참조하십시오.
소프트웨어 다운로드
두 SRX 시리즈 방화벽의 주니퍼 네트웍스 지원 페이지에서 Junos OS 이미지를 다운로드하여 /var/tmp 위치에 저장합니다. 본보기:
user@host> request system software add /var/tmp/junos-install-vsrx3-x86-64-22.3R1.3.tgz no-copy
업그레이드 절차
이 절차의 단계에 따라 MNHA(Multinode High Availability) 설정에서 구성된 SRX 시리즈 디바이스를 업그레이드합니다. 이 예에서 클러스터는 srx-01(현재 활성) 및 srx-02(현재 백업)라는 두 개의 디바이스로 구성됩니다. 업그레이드 프로세스는 백업 노드(srx-02)에서 시작하여 활성 노드(srx-01)로 이어지므로 서비스 중단을 최소화합니다.
멀티노드 고가용성 설정이 정상적이고 작동하며 섀시 간 링크(ICL)가 작동 중인지 확인합니다.
SRX-01 디바이스에서
user@srx-01> show chassis high-availability informationNode failure codes: HW Hardware monitoring LB Loopback monitoring MB Mbuf monitoring SP SPU monitoring CS Cold Sync monitoring SU Software Upgrade Node Status: ONLINE Local-id: 1 Local-IP: 10.22.0.1 HA Peer Information: Peer Id: 2 IP address: 10.22.0.2 Interface: ge-0/0/2.0 Routing Instance: default Encrypted: YES Conn State: UP Cold Sync Status: COMPLETE Services Redundancy Group: 0 Current State: ONLINE Peer Information: Peer Id: 2 SRG failure event codes: BF BFD monitoring IP IP monitoring IF Interface monitoring CP Control Plane monitoring Services Redundancy Group: 1 Deployment Type: ROUTING Status: ACTIVE Activeness Priority: 200 Preemption: ENABLED Process Packet In Backup State: NO Control Plane State: READY System Integrity Check: N/A Failure Events: NONE Peer Information: Peer Id: 2 Status : BACKUP Health Status: HEALTHY Failover Readiness: READYSRX-02 디바이스에서
user@srx-02> show chassis high-availability informationNode failure codes: HW Hardware monitoring LB Loopback monitoring MB Mbuf monitoring SP SPU monitoring CS Cold Sync monitoring SU Software Upgrade Node Status: ONLINE Local-id: 2 Local-IP: 10.22.0.2 HA Peer Information: Peer Id: 1 IP address: 10.22.0.1 Interface: ge-0/0/2.0 Routing Instance: default Encrypted: YES Conn State: UP Cold Sync Status: COMPLETE Services Redundancy Group: 0 Current State: ONLINE Peer Information: Peer Id: 1 SRG failure event codes: BF BFD monitoring IP IP monitoring IF Interface monitoring CP Control Plane monitoring Services Redundancy Group: 1 Deployment Type: ROUTING Status: BACKUP Activeness Priority: 1 Preemption: DISABLED Process Packet In Backup State: NO Control Plane State: READY System Integrity Check: COMPLETE Failure Events: NONE Peer Information: Peer Id: 1 Status : ACTIVE Health Status: HEALTHY Failover Readiness: N/A- 백업 노드(srx-02)에서 소프트웨어 업그레이드 프로세스를 시작하고 구성을 커밋합니다
user@srx-02# set chassis high-availability software-upgrade
이 명령은 SRG0에 대한 로컬 페일오버를 트리거하고 SRG1(있는 경우)을 INELIGIBLE로 표시하여 피어 노드가 활성 역할을 사용하거나 유지할 수 있도록 합니다
- 멀티노드 고가용성(Multinode High Availability) 상태를 확인합니다. 출력에 노드 상태: OFFLINE [ SU ]이 표시되며, 이는 노드가 소프트웨어 업그레이드 준비가 되었음을 나타냅니다. SRG1의 상태가 부적격으로 변경된 것을 확인할 수 있습니다.
user@srx-02> show chassis high-availability information Node failure codes: HW Hardware monitoring LB Loopback monitoring MB Mbuf monitoring SP SPU monitoring CS Cold Sync monitoring SU Software Upgrade Node Status: OFFLINE [ SU ] Local-id: 1 Local-IP: 10.22.0.1 HA Peer Information: Peer Id: 2 IP address: 10.22.0.2 Interface: ge-0/0/2.0 Routing Instance: default Encrypted: YES Conn State: UP Cold Sync Status: COMPLETE Services Redundancy Group: 0 Current State: ONLINE Peer Information: Peer Id: 2 SRG failure event codes: BF BFD monitoring IP IP monitoring IF Interface monitoring CP Control Plane monitoring Services Redundancy Group: 1 Deployment Type: ROUTING Status: INELIGIBLE Activeness Priority: 200 Preemption: ENABLED Process Packet In Backup State: NO Control Plane State: N/A System Integrity Check: IN PROGRESS Failure Events: NONE Peer Information: Peer Id: 2 Status : ACTIVE Health Status: HEALTHY Failover Readiness: N/A 다른 디바이스(srx-01)가 활성 상태이고 정상적으로 작동하고 있는지 확인합니다.
user@srx-01> show chassis high-availability informationNode failure codes: HW Hardware monitoring LB Loopback monitoring MB Mbuf monitoring SP SPU monitoring CS Cold Sync monitoring SU Software Upgrade Node Status: ONLINE Local-id: 2 Local-IP: 10.22.0.2 HA Peer Information: Peer Id: 1 IP address: 10.22.0.1 Interface: ge-0/0/2.0 Routing Instance: default Encrypted: YES Conn State: UP Cold Sync Status: COMPLETE Services Redundancy Group: 0 Current State: ONLINE Peer Information: Peer Id: 1 SRG failure event codes: BF BFD monitoring IP IP monitoring IF Interface monitoring CP Control Plane monitoring Services Redundancy Group: 1 Deployment Type: ROUTING Status: ACTIVE Activeness Priority: 1 Preemption: DISABLED Process Packet In Backup State: NO Control Plane State: READY System Integrity Check: N/A Failure Events: NONE Peer Information: Peer Id: 1 Status : INELIGIBLE Health Status: UNHEALTHY Failover Readiness: NOT READY명령 출력은 SRG1의 상태가 ACTIVE임을 보여줍니다.
SRG1의 섹션 아래에서
Peer Information상태는 이며INELIGIBLE, 이는 다른 노드가 부적격 상태임을 나타냅니다.- SRX-02 디바이스에 Junos OS 소프트웨어를 설치합니다.
user@srx-02> request system software add /var/tmp/junos-install-vsrx3-x86-64-22.3R1.3.tgz no-copy
- 설치 성공 후 명령을 사용하여
request system reboot디바이스를 재부팅합니다. - 재부팅 후 Junos OS 버전을 확인합니다.
user@srx-02> show versionHostname: srx-02 Model: vSRX Junos: 22.3R1.3출력은 디바이스가 올바른 Junos OS 버전으로 업그레이드되었음을 확인합니다.
- 디바이스에서 멀티노드 고가용성(HA) 상태를 확인합니다.
user@srx-02> show chassis high-availability informationNode failure codes: HW Hardware monitoring LB Loopback monitoring MB Mbuf monitoring SP SPU monitoring CS Cold Sync monitoring SU Software Upgrade Node Status: OFFLINE [ SU ] Local-id: 1 Local-IP: 10.22.0.1 HA Peer Information: Peer Id: 2 IP address: 10.22.0.2 Interface: ge-0/0/2.0 Routing Instance: default Encrypted: YES Conn State: UP Cold Sync Status: COMPLETE Services Redundancy Group: 0 Current State: ONLINE Peer Information: Peer Id: 2 SRG failure event codes: BF BFD monitoring IP IP monitoring IF Interface monitoring CP Control Plane monitoring Services Redundancy Group: 1 Deployment Type: ROUTING Status: INELIGIBLE Activeness Priority: 200 Preemption: ENABLED Process Packet In Backup State: NO Control Plane State: N/A System Integrity Check: COMPLETE Failure Events: NONE Peer Information: Peer Id: 2 Status : ACTIVE Health Status: HEALTHY Failover Readiness: N/A출력은 노드 상태를 (으)로
OFFLINE [ SU ]표시하고 SRG1 상태를 (으)로INELIGIBLE계속 표시합니다. software-upgrade문을 제거하고 구성을 커밋합니다.user@srx-02# delete chassis high-availability software-upgrade
문을 제거
software-upgrade하면 노드 페일오버 상태와 설치된 모든 경로가 지워집니다. 이 문이 제거될 때까지 노드는 오프라인 상태로 유지되고 모든 SRG는 부적격 상태로 유지됩니다. 이렇게 하면 피어가 정상 상태로 유지되는 한 업그레이드 중에 노드가 트래픽을 처리하지 못하도록 효과적으로 격리됩니다.-
멀티노드 고가용성(Multinode High Availability) 상태를 다시 확인하여 디바이스가 온라인 상태이고 전반적인 상태가 정상 및 작동 중인지 확인합니다.
user@srx02> show chassis high-availability information Node failure codes: HW Hardware monitoring LB Loopback monitoring MB Mbuf monitoring SP SPU monitoring CS Cold Sync monitoring SU Software Upgrade Node Status: ONLINE Local-id: 1 Local-IP: 10.22.0.1 HA Peer Information: Peer Id: 2 IP address: 10.22.0.2 Interface: ge-0/0/2.0 Routing Instance: default Encrypted: YES Conn State: UP Cold Sync Status: COMPLETE Services Redundancy Group: 0 Current State: ONLINE Peer Information: Peer Id: 2 SRG failure event codes: BF BFD monitoring IP IP monitoring IF Interface monitoring CP Control Plane monitoring Services Redundancy Group: 1 Deployment Type: ROUTING Status: BACKUP Activeness Priority: 200 Preemption: ENABLED Process Packet In Backup State: NO Control Plane State: READY System Integrity Check: IN PROGRESS Failure Events: NONE Peer Information: Peer Id: 2 Status : ACTIVE Health Status: HEALTHY Failover Readiness: N/A출력에 SRG1 상태가
BACKUP로 표시되며Node Status: ONLINE, 이는 노드가 다시 온라인 상태이며 백업 역할로 정상적으로 작동하고 있음을 나타냅니다. -
인터페이스, 라우팅 프로토콜, 보급된 경로 등을 확인하여 설정이 정상적으로 작동하는지 확인합니다.
이제 동일한 절차를 사용하여 다른 디바이스(SRX-01)의 업그레이드를 진행할 수 있습니다.
(선택 사항) 문제가 발생하여 업그레이드를 완료할 수 없는 경우 디바이스에서 소프트웨어를 롤백한 다음 시스템을 재부팅할 수 있습니다. request system software rollback 명령을 사용하여 이전에 설치된 소프트웨어 버전을 복원합니다.
install-on-failure-route를 사용하여 소프트웨어 업그레이드
SRG0만 사용하는 설정(A/B 상태 지원 없음)의 경우 install-on-failure-route를 구성하는 것이 좋습니다. 이 경로는 소프트웨어 업그레이드 시나리오 또는 노드 실패 중에 덜 선호되는 경로를 보급하기 위해 경로 정책에서 참조될 수 있습니다. 이 방법에서는 경로를 변경하여 트래픽을 우회할 수 있습니다. 여기서 트래픽은 여전히 노드를 통과할 수 있으며 인터페이스는 작동 상태를 유지합니다.
-
업그레이드 중 트래픽 전환에 사용되는 경로에 대한 전용 사용자 지정 가상 라우터를 생성합니다.
set routing-instances MNHA-signal-routes instance-type virtual-router
- SRG0에
install-on-failure-route대한 문을 구성합니다. 여기서는 IP 주소가 10.39.1.3인 경로를 노드 장애 시 설치할 경로로 구성했습니다.set routing-instances MNHA-signal-routes instance-type virtual-router set chassis high-availability services-redundancy-group 0 install-on-failure-route 10.39.1.3 routing-instance MNHA-signal-routes set chassis high-availability services-redundancy-group 1 active-signal-route 10.39.1.1 routing-instance MNHA-signal-routes set chassis high-availability services-redundancy-group 1 backup-signal-route 10.39.1.2 routing-instance MNHA-signal-routes
라우팅 테이블은 노드가 실패할 때 문에 언급된 경로를 설치합니다.
- 일치하는 라우팅 정책을 구성하고 경로의 존재를 기반으로 정책 조건을 정의합니다. 여기서는 경로 10.39.1.3을 의
if-route-exists경로 일치 조건으로 포함합니다.set policy-options condition active_route_exists if-route-exists address-family inet 10.39.1.1/32 set policy-options condition active_route_exists if-route-exists address-family inet table MNHA-signal-routes.inet.0 set policy-options condition backup_route_exists if-route-exists address-family inet 10.39.1.2/32 set policy-options condition backup_route_exists if-route-exists address-family inet table MNHA-signal-routes.inet.0 set policy-options condition failure_route_exists if-route-exists address-family inet 10.39.1.3/32 set policy-options condition failure_route_exists if-route-exists address-family inet table MNHA-signal-routes.inet.0
조건을 일치하는 용어 중 하나로 참조하는 정책 설명을 만듭니다.
set policy-options policy-statement mnha-route-policy term 4 from protocol static set policy-options policy-statement mnha-route-policy term 4 from protocol direct set policy-options policy-statement mnha-route-policy term 4 from condition failure_route_exists set policy-options policy-statement mnha-route-policy term 4 then metric 100 set policy-options policy-statement mnha-route-policy term 4 then accept
- 이전 단계(소프트웨어 업그레이드)에서 설명한 대로 소프트웨어 업그레이드를 시작합니다.
더 이상 사용되지 않는 메서드(shutdown-on-failure 인터페이스)
Junos OS 릴리스 24.3R1부터는 shutdown-on-failure 이전 버전과의 호환성을 제공하고 구성이 새로운 구성과 호환되도록 즉시 제거되기 보다 더 이상 사용되지 않습니다. 이 변경의 일환으로, 구성 명령문 [set chassis high-availability services-redundancy-group 0 shutdown-on-failure interface-name] 은 더 이상 사용되지 않습니다.
이전에는 인터페이스를 종료하여 트래픽을 수동으로 우회해야 했습니다. 이제 software-upgrade 명령을 사용하여 업그레이드 기간 동안 노드를 오프라인 상태로 유지하고 모든 SRG를 부적격 상태로 유지할 수 있습니다. 이렇게 하면 노드가 트래픽 처리에서 효과적으로 격리됩니다.
Junos OS 22.4 이전 버전을 사용하는 경우 업그레이드 중에 레거시 방법을 사용하여 트래픽을 전환하는 것이 좋습니다.