Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IBM 클라우드의 vSRX 가상 방화벽 업그레이드

업그레이드

IBM 클라우드® Juniper vSRX 가상 방화벽 업그레이드하기 전에 고려해야 할 몇 가지 방법과 고려 사항이 있습니다.

  • vSRX 가상 방화벽 버전 수준

  • 베어메탈 서버 프로세서 모델

  • 대역폭: 1G vs. 10G

  • 독립형 또는 고가용성(HA)

이러한 요소를 사용하여 다음 표는 OS 재로드 옵션을 사용하여 vSRX 가상 방화벽 업그레이드할 수 있는지 여부를 나열합니다. 이 테이블은 또한 업그레이드를 위해 롤백이 지원되는지 여부를 설명합니다. 업그레이드를 완료하기 위해 수동 vSRX 가상 방화벽 구성 마이그레이션이 필요한지 여부에 대한 추가 고려 사항이 있습니다.

다음 표를 참조하여 OS 재로드를 사용하여 vSRX 가상 방화벽 업그레이드할 수 있는지 확인합니다. 자세한 내용은 일반 업그레이드 고려 사항을 참조하십시오.

아래에 나열된 vSRX 가상 방화벽 버전에 대한 자세한 내용은 IBM 클라우드 Juniper vSRX 지원 버전을 참조하십시오.

현재 vSRX 가상 방화벽 버전

프로세서 모델 및 속도

독립형 또는 HA

업그레이드 방법

롤백 지원

15.1

1270v6(모든 1G 구축)

독립형 및 HA

지원되지 않음

해당(N/A)

15.1

모든 10G 구축

독립형 및 HA

OS 재로드를 사용한 업그레이드

독립형: 아니요

하:

  • 첫 번째 서버가 OS 재로드를 완료한 후에는 수동(자동화되지 않음) 롤백이 허용됩니다.

  • 두 번째 서버가 OS 재로드를 완료한 이후에는 롤백이 허용되지 않습니다.

18.4

1270v6(일부 1G 구축)

독립형 및 HA

지원되지 않음

해당(N/A)

18.4

4210(일부 1G 구축)

독립형

OS 재로드를 사용한 업그레이드

아니요

18.4

4210(일부 1G 구축)

OS 재로드를 사용한 업그레이드

  • 예 – 새로운 아키텍처로 버전 18.4를 실행하는 경우 첫 번째 서버가 OS 재로드를 완료한 후 수동(자동화되지 않음) 롤백이 허용됩니다. 자세한 내용은 Rollback 옵션 을 참조하십시오.

  • 아니오 – 새로운 아키텍처 없이 버전 18.4를 실행하는 경우.

18.4

모든 10G 구축

독립형

OS 재로드를 사용한 업그레이드

아니요

18.4

모든 10G 구축

OS 재로드를 사용한 업그레이드

  • 예 – 새로운 아키텍처로 버전 18.4를 실행하는 경우 첫 번째 서버가 OS 재로드를 완료한 후 수동(자동화되지 않음) 롤백이 허용됩니다. 자세한 내용은 Rollback 옵션 을 참조하십시오.

  • 아니오 – 새로운 아키텍처 없이 버전 18.4를 실행하는 경우.

19.4 및 최신

모든 1G 및 10G 구축

독립형 및 HA

OS 재로드를 사용한 업그레이드

예 – 첫 번째 서버가 OS 재로드를 완료한 후 수동(자동화되지 않음) 롤백이 허용됩니다. 자세한 내용은 Rollback 옵션 을 참조하십시오.

일반적인 업그레이드 고려 사항

vSRX 가상 방화벽 업그레이드를 수행하기 전에 다음 사항을 유의하십시오.

  • vSRX 가상 방화벽 버전을 업그레이드할 때 네트워크 중단이 발생할 수 있습니다. 중단을 방지하려면 잠재적인 네트워크 다운타임을 지원하는 유지 보수 기간 동안 업그레이드를 수행하십시오. 업그레이드가 완료될 때까지 페일오버를 사용할 수 없으며 몇 시간이 걸릴 수 있습니다. 고가용성(HA) 환경의 경우 vSRX 가상 방화벽 구성 설정이 마이그레이션됩니다. 그러나 업그레이드 전에 설정을 내보내는 것이 좋습니다.

  • 독립형 환경의 경우 이전 구성이 복원되지 않으므로 구성을 내보내고 가져와야 합니다. 자세한 내용은 vSRX 가상 방화벽 구성 가져오기 및 내보내기 를 참조하십시오.

  • HA vSRX 가상 방화벽 성공적으로 재로드하려면 프로비저닝된 vSRX 가상 방화벽 게이트웨이의 루트 암호가 vSRX 가상 방화벽 포털에 정의된 루트 암호와 일치해야 합니다. 또한 vSRX 가상 방화벽 프라이빗 IP에 루트 SSH 로그인을 활성화해야 합니다.

    참고:

    게이트웨이를 프로비저닝할 때 포털에서 암호를 정의했습니다. 이는 현재 게이트웨이 암호와 일치하지 않을 수 있습니다. 프로비저닝 후 암호가 변경된 경우 SSH를 사용하여 vSRX 가상 방화벽 게이트웨이에 연결하고 루트 암호를 일치하도록 변경합니다. 암호 불일치가 있는 경우 준비 확인이 실패합니다.

  • OS 재로드 중에는 vSRX 가상 방화벽 구성을 수정하지 마십시오. 업그레이드 프로세스는 프로세스 시작 시 현재 vSRX 가상 방화벽 클러스터 구성에 대한 스냅샷을 캡처합니다. 따라서 업그레이드 프로세스 중에 vSRX 가상 방화벽 구성을 수정하면 실패하거나 예측할 수 없는 결과를 초래할 수 있습니다. 예를 들어, 자동화된 소프트웨어 에이전트가 vSRX 가상 방화벽 노드 중 하나 또는 둘 모두를 수정하려고 시도합니다. 구성 변경은 OS 재로드 프로세스를 손상할 수 있습니다. 또한 롤백이 시작되면 이러한 구성 변경은 보존되지 않습니다.

  • HA 클러스터에서 OS 재로드 업그레이드를 수행하기 전에 명령 표시 섀시 클러스터 상태를 실행합니다. 노드는 기본으로 나열된 하나의 노드와 다른 노드는 보조 노드로 클러스터링되어야 합니다. 모니터 장애가 없는지 확인합니다. 업그레이드 전에 클러스터가 정상이 아닌 경우 업그레이드에 실패하여 확장된 트래픽 정전이 발생할 수 있습니다.

    정상 클러스터의 예:

  • IBM Cloud 계정에 동일한 pod에 여러 vSRX 가상 방화벽 게이트웨이 인스턴스가 있는 경우 한 번에 하나의 게이트웨이만 업그레이드되는지 확인합니다. 한 번에 두 개 이상의 vSRX 가상 방화벽 업그레이드하면 IP 충돌이 발생할 수 있으며 업그레이드 프로세스가 중단되며 잠재적으로 장애가 발생할 수 있습니다.

  • HA 클러스터의 경우 업그레이드 프로세스에서는 중복 그룹 1에 대한 vSRX 가상 방화벽 섀시 클러스터 선점 플래그를 비활성화해야 합니다. 따라서 업그레이드가 완료되면 플래그가 비활성화되지만 다시 활성화할 수 있습니다. show chassis cluster 상태를 실행하여 선점 설정을 확인합니다.

OS 재로드를 사용한 업그레이드

OS 재로드를 사용하여 vSRX 가상 방화벽 업그레이드하려면 다음 절차를 수행하십시오.

  1. 독립 실행형 환경만: vSRX 구성의 일부 내보내기 를 참조하십시오.

  2. 게이트웨이 세부 정보 페이지에 액세스하고 게이트웨이 어플라이언스 세부 정보 보기를 참조하십시오.

  3. "OS 재로드"에 대한 준비 검사를 실행합니다. 준비 vSRX 확인 및 발견된 오류 해결을 참조하십시오.

  4. 각 베어 메탈 서버에 대해 OS 재로드를 수행합니다. OS 재로드 수행을 참조하십시오.

    참고:

    HA 클러스터를 업그레이드할 때 프로세스는 업그레이드 프로세스가 끝날 때 OS가 재로드되지 않는 노드의 전원을 차단합니다. 그러면 클러스터의 기본 노드와 모든 활성 네트워크 트래픽이 새롭게 업그레이드된 노드로 전환됩니다. 클러스터의 첫 번째 노드에 대한 OS 재로드가 완료되면, 해당 노드를 업그레이드하기 위해 OS가 재로드될 때까지 두 번째 노드의 전원을 공급받지 않는 것이 중요합니다. OS가 재로드되기 전에 노드에 전원을 공급하면 클러스터가 불일치 vSRX 가상 방화벽 버전으로 실행되어 각 노드가 기본 소유권을 클레임하는 "스플릿 브레인" 시나리오로 이어질 수 있습니다. 이로 인해 일반적으로 정전이 발생합니다. 첫 번째 노드의 OS가 재로드된 후 게이트웨이는 "활성화 업그레이드" 상태로 전환됩니다.

  5. 독립 실행형 환경만 해당: vSRX 가상 방화벽 구성을 가져오고 필요한 경우 설정을 새 아키텍처로 마이그레이션합니다.

vSRX 가상 방화벽 마이그레이션 구성 고려 사항

고가용성 환경의 경우 업그레이드가 이전 vSRX 가상 방화벽 구성을 복원합니다. 더 이상의 단계는 필요하지 않습니다.

독립 실행형 환경의 경우 업그레이드가 이전 구성을 복원하지 않으므로 구성을 내보내고 가져와야 합니다. 자세한 정보는 vSRX 구성 가져오기 및 내보내 기 를 참조하십시오.

또한 15.1과 같은 이전 버전에서 마이그레이션할 때 인터페이스 매핑이 변경되었을 수 있습니다. 이를 위해서는 가져오기 후 vSRX 가상 방화벽 구성을 일부 수정해야 합니다. 자세한 내용은 1G vSRX 독립형 구성 마이그레이션 을 참조하십시오.

롤백 옵션

독립 실행형 환경에서는 롤백이 지원되지 않습니다.

vSRX 가상 방화벽 버전에서 업그레이드되는 고가용성 환경에서 롤백은 첫 번째 노드가 OS 재로드된 후 두 번째 노드가 OS 재로드되기 전에만 지원됩니다. 게이트웨이는 이 시점에서 "활성화 업그레이드" 상태가 됩니다. 첫 번째 노드를 이전 버전으로 롤백하려면 다음 단계를 따라야 합니다.

참고:

보조 노드가 전원을 켜고 트래픽이 이 노드로 페일오버될 때까지 기다리는 동안 트래픽 중단이 발생한다는 점에 유의하십시오.

  1. 명령 virsh shutdown <domain> 진행하기 전에 노드의 전원이 완전히 꺼질 때까지 대기하여 롤백되는 노드(기본 노드)의 vSRX 가상 방화벽 전원을 차단합니다.

  2. 명령 버쉬를 사용하여 롤백되지 않은 노드에서 vSRX 가상 방화벽 전원을 켜고 <domain> 시작합니다. 이를 통해 기본 노드를 원래 vSRX 가상 방화벽 버전으로 되돌릴 수 있습니다.

    원본 vSRX 가상 방화벽 이미지를 복원하기 전에 /var/lib/libvirt/images/vSRXvM2/vSRX_Image.qcow2.backup에서 vSRX 가상 방화벽 qcow2 파일의 이름을 /var/lib/libvirt/image/vSRXvM2/vSRX_Image.qcow2로 변경하여 virsh가 원본 이미지를 감지합니다.

  3. OS 재로드 준비 검사를 실행하고 필요한 경우 vSRX 준비 상태를 확인하고 문제를 해결합니다.

  4. 롤백하려는 호스트에서 OS 재로드를 수행하여 원래 vSRX 가상 방화벽 버전으로 되돌려 드립니다.

이제 클러스터가 원래 구성으로 실행됩니다.

지원되지 않는 업그레이드

1G vSRX 가상 방화벽 15.1 및 18.4 게이트웨이의 초기 구축은 Linux Bridging을 기반으로 한 네트워킹 설계를 사용했습니다. 최신 1G 구축은 SR-IOV에 기반한 네트워킹 설계를 사용합니다. 자세한 내용은 vSRX 기본 구성 이해를 참조하십시오.

초기 1G 구축에서는 일반적으로 Intel 1270v6 4코어, Sky-Lake 기반 프로세서를 사용했습니다. 이 프로세서는 SR-IOV를 지원하지 않습니다. 19.4와 같은 최신 vSRX 가상 방화벽 버전에는 SR-IOV 네트워킹 설계가 필요합니다. 따라서 vSRX 가상 방화벽 버전 업그레이드는 이 1270v6 프로세서를 기반으로 구축에 지원되지 않습니다.

19.4와 같은 새로운 vSRX 가상 방화벽 버전으로 업그레이드하려면 새로운 vSRX 가상 방화벽 주문해야 합니다. 완료 후에는 구성을 이전 설계에서 새 설계로 마이그레이션할 수 있지만 새 vSRX 가상 방화벽 몇 가지 수동 구성 변경 사항도 적용해야 합니다. 자세한 내용은 레거시 구성을 현재 vSRX 아키텍처로 마이그레이션하기를 참조하세요.