Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

IBM Cloud에서 vSRX 가상 방화벽 업그레이드

업그레이드

IBM Cloud® Juniper vSRX 가상 방화벽을 업그레이드하기 전에 이해해야 하는 몇 가지 방법과 고려사항이 있습니다.

  • vSRX 가상 방화벽 버전 수준

  • 베어메탈 서버 프로세서 모델

  • 대역폭: 1G 대 10G

  • 독립형 또는 고가용성(HA)

이러한 요소를 사용하여 다음 표에는 OS 다시 로드 옵션을 사용하여 vSRX 가상 방화벽을 업그레이드할 수 있는지 여부가 나와 있습니다. 이 표에서는 업그레이드에 대해 롤백이 지원되는지 여부도 설명합니다. 추가 고려 사항에는 업그레이드를 완료하기 위해 수동 vSRX 가상 방화벽 구성 마이그레이션이 필요한지 여부가 포함됩니다.

OS 다시 로드를 사용하여 vSRX 가상 방화벽을 업그레이드할 수 있는지 확인하려면 다음 표를 참조하십시오. 자세한 내용은 일반적인 업그레이드 고려 사항을 참조하세요.

아래 나열된 vSRX 가상 방화벽 버전에 대한 자세한 정보는 IBM 클라우드 주니퍼 vSRX 지원 버전을 참조하십시오.

현재 vSRX 가상 방화벽 버전

프로세서 모델 및 속도

독립 실행형 또는 HA

업그레이드 방법

롤백 지원

15.1

1270v6(모든 1G 배포)

독립 실행형 및 HA

지원되지 않음

N/A

15.1

모든 10G 구축

독립 실행형 및 HA

OS 다시 로드를 사용하여 업그레이드

독립형: 아니요

하:

  • 수동(자동화되지 않은) 롤백은 첫 번째 서버가 OS 다시 로드를 완료한 후에 허용됩니다.

  • 두 번째 서버가 OS 다시 로드를 완료한 후에는 롤백이 허용되지 않습니다.

18.4

1270v6(일부 1G 배포)

독립 실행형 및 HA

지원되지 않음

N/A

18.4

4210(일부 1G 배포)

독립 실행형

OS 다시 로드를 사용하여 업그레이드

아니요

18.4

4210(일부 1G 배포)

OS 다시 로드를 사용하여 업그레이드

  • 예 – 새 아키텍처로 버전 18.4를 실행하는 경우 첫 번째 서버가 OS 다시 로드를 완료한 후 수동(자동화되지 않은) 롤백이 허용됩니다. 자세한 내용은 Rollback Options을 참조하십시오.

  • 아니요 – 새 아키텍처 없이 버전 18.4를 실행하는 경우입니다.

18.4

모든 10G 구축

독립 실행형

OS 다시 로드를 사용하여 업그레이드

아니요

18.4

모든 10G 구축

OS 다시 로드를 사용하여 업그레이드

  • 예 – 새 아키텍처로 버전 18.4를 실행하는 경우 첫 번째 서버가 OS 다시 로드를 완료한 후 수동(자동화되지 않은) 롤백이 허용됩니다. 자세한 내용은 Rollback Options을 참조하십시오.

  • 아니요 – 새 아키텍처 없이 버전 18.4를 실행하는 경우입니다.

19.4 이상

모든 1G 및 10G 구축

독립 실행형 및 HA

OS 다시 로드를 사용하여 업그레이드

예 – 첫 번째 서버가 OS 다시 로드를 완료한 후 수동(자동화되지 않음) 롤백이 허용됩니다. 자세한 내용은 Rollback Options을 참조하십시오.

일반적인 업그레이드 고려 사항

vSRX 가상 방화벽을 업그레이드하기 전에 다음 사항을 고려해야 합니다.

  • vSRX 가상 방화벽 버전을 업그레이드할 때 네트워크 중단이 발생할 수 있습니다. 중단을 방지하려면 잠재적인 네트워크 다운타임을 지원하는 유지 관리 기간 동안 업그레이드를 수행하십시오. 페일오버는 업그레이드가 완료될 때까지 사용할 수 없으며 몇 시간이 걸릴 수 있습니다. 고가용성(HA) 환경의 경우 vSRX 가상 방화벽 구성 설정이 마이그레이션됩니다. 그러나 업그레이드하기 전에 설정을 내보내는 것이 좋습니다.

  • 독립 실행형 환경의 경우 이전 구성이 복원되지 않으므로 구성을 내보내고 가져와야 합니다. 자세한 정보는 vSRX 가상 방화벽 구성 가져오기 및 내보내기를 참조하십시오.

  • HA vSRX 가상 방화벽에서 성공적으로 다시 로드하려면 프로비저닝된 vSRX 가상 방화벽 게이트웨이의 루트 암호가 vSRX 가상 방화벽 포털에 정의된 루트 암호와 일치해야 합니다. 또한 vSRX 가상 방화벽 프라이빗 IP에 대한 루트 SSH 로그인을 활성화해야 합니다.

    메모:

    게이트웨이를 프로비전할 때 포털에서 암호를 정의했습니다. 이 암호는 현재 게이트웨이 암호와 일치하지 않을 수 있습니다. 프로비저닝 후 암호가 변경된 경우 SSH를 사용하여 vSRX 가상 방화벽 게이트웨이에 연결하고 루트 암호를 일치하도록 변경합니다. 암호가 일치하지 않는 경우 준비 검사가 실패합니다.

  • OS를 다시 로드하는 동안 vSRX 가상 방화벽 구성을 수정하지 마십시오. 업그레이드 프로세스는 프로세스 시작 시 현재 vSRX 가상 방화벽 클러스터 구성의 스냅샷을 캡처합니다. 따라서 업그레이드 프로세스 중에 vSRX 가상 방화벽 구성을 수정하면 실패하거나 예측할 수 없는 결과가 발생할 수 있습니다. 예를 들어, 자동화된 소프트웨어 에이전트가 vSRX 가상 방화벽 노드 하나 또는 둘 다를 수정하려고 시도합니다. 구성 변경으로 인해 OS 다시 로드 프로세스가 손상될 수 있습니다. 또한 롤백이 시작되는 경우 이러한 구성 변경 사항은 유지되지 않습니다.

  • HA 클러스터에서 OS 다시 로드 업그레이드를 수행하기 전에 show chassis cluster status 명령을 실행합니다. 노드는 주 노드로 나열된 노드 하나와 보조 노드로 클러스터링되어야 합니다. 모니터 오류가 없는지 확인합니다. 업그레이드 전에 클러스터가 정상이 아니면 업그레이드가 실패하여 트래픽이 중단될 수 있습니다.

    정상 클러스터의 예:

  • IBM Cloud 계정의 동일한 포드에 여러 vSRX 가상 방화벽 게이트웨이 인스턴스가 있는 경우 한 번에 하나의 게이트웨이만 업그레이드해야 합니다. 한 번에 두 개 이상의 vSRX 가상 방화벽을 업그레이드하면 IP 충돌이 발생하고 업그레이드 프로세스가 중단되며 잠재적으로 장애가 발생할 수 있습니다.

  • HA 클러스터의 경우 업그레이드 프로세스를 수행하려면 이중화 그룹 1에 대한 vSRX 가상 방화벽 섀시 클러스터 선점 플래그를 비활성화해야 합니다. 따라서 업그레이드가 완료되면 플래그가 비활성화되지만 다시 활성화할 수 있습니다. show chassis cluster status를 실행하여 선점 설정을 확인합니다.

OS 다시 로드를 사용하여 업그레이드

OS 다시 로드를 사용하여 vSRX 가상 방화벽을 업그레이드하려면 다음 절차를 수행합니다.

  1. 독립 실행형 환경만 해당: vSRX 구성의 일부 내보내기를 참조하십시오.

  2. 게이트웨이 세부 정보 페이지에 액세스하려면 게이트웨이 장치 세부 정보 보기를 참조하세요.

  3. "OS 다시 로드"에 대한 준비 검사를 실행합니다. vSRX 준비 상태 확인을 참조하고 발견된 오류를 해결합니다.

  4. 각 베어메탈 서버에 대해 OS 다시 로드를 수행합니다. OS 다시 로드 수행을 참조하십시오.

    메모:

    HA 클러스터를 업그레이드할 때 프로세스는 업그레이드 프로세스가 끝날 때 OS 다시 로드를 수행하지 않는 노드의 전원을 끕니다. 이렇게 하면 클러스터의 기본 노드와 모든 활성 네트워크 트래픽이 새로 업그레이드된 노드로 전환됩니다. 클러스터의 첫 번째 노드에 대해 OS 다시 로드가 완료되면 해당 노드를 업그레이드하기 위해 OS 다시 로드가 제출되고 실행될 때까지 두 번째 노드의 전원을 사용하지 않는 것이 중요합니다. OS를 다시 로드하기 전에 노드의 전원을 켜면 클러스터가 일치하지 않는 vSRX 가상 방화벽 버전으로 실행되어 각 노드가 기본 소유권을 주장하는 "분할 브레인" 시나리오가 발생할 수 있습니다. 이로 인해 일반적으로 정전이 발생합니다. 첫 번째 노드의 OS를 다시 로드한 후 게이트웨이는 "업그레이드 활성" 상태로 전환됩니다.

  5. 독립 실행형 환경만 해당: vSRX 가상 방화벽 구성을 가져오고 필요한 경우 설정을 새 아키텍처로 마이그레이션합니다.

vSRX 가상 방화벽 마이그레이션 구성 고려 사항

고가용성 환경의 경우 업그레이드하면 이전 vSRX 가상 방화벽 구성이 복원됩니다. 추가 단계가 필요하지 않습니다.

독립 실행형 환경의 경우 업그레이드는 이전 구성을 복원하지 않으므로 구성을 내보내고 가져와야 합니다. 자세한 내용은 vSRX 구성 가져오기 및 내보내기를 참조하십시오.

또한 15.1과 같은 이전 버전에서 마이그레이션할 때 인터페이스 매핑이 변경되었을 수 있습니다. 이를 위해서는 가져오기 후 vSRX 가상 방화벽 구성을 일부 수정해야 합니다. 자세한 내용은 1G vSRX 독립형 구성 마이그레이션 을 참조하십시오.

롤백 옵션

독립 실행형 환경에서는 롤백이 지원되지 않습니다.

vSRX 가상 방화벽 버전에서 업그레이드하는 고가용성 환경에서는 첫 번째 노드가 OS를 다시 로드하고 두 번째 노드가 OS를 다시 로드하기 전에만 롤백이 지원됩니다. 이 시점에서 게이트웨이는 "업그레이드 활성" 상태가 됩니다. 첫 번째 노드를 이전 버전으로 롤백하려면 다음 단계를 따라야 합니다.

메모:

보조 노드의 전원이 켜지고 트래픽이 이 노드로 페일오버될 때까지 기다리는 동안 트래픽 중단이 발생합니다.

  1. virsh shutdown <domain) 명령을 사용하여 롤백 중인 노드(기본 노드)에서 vSRX 가상 방화벽의 전원을 끕니다> 계속하기 전에 노드의 전원이 완전히 꺼질 때까지 기다리십시오.

  2. virsh start <domain> 명령을 사용하여 롤백되지 않은 노드에서 vSRX 가상 방화벽의 전원을 켭니다. 이렇게 하면 기본 노드가 원래 vSRX 가상 방화벽 버전으로 돌아갑니다.

    원래 vSRX 가상 방화벽 이미지를 복원하기 전에 virsh가 원본 이미지를 감지할 수 있도록 /var/lib/libvirt/images/vSRXvM2/vSRX_Image.qcow2.backup 의 vSRX 가상 방화벽 qcow2 파일의 이름을 /var/lib/libvirt/images/vSRXvM2/vSRX_Image.qcow2 로 바꿉니다.

  3. OS 다시 로드 준비 상태 검사를 실행하고, 필요한 경우 vSRX 준비 상태 확인을 참조하여 문제를 해결합니다.

  4. 롤백하려는 호스트에서 OS를 다시 로드하여 원래 vSRX 가상 방화벽 버전으로 되돌립니다.

이제 클러스터가 원래 구성으로 실행됩니다.

지원되지 않는 업그레이드

1G vSRX 가상 방화벽 15.1 및 18.4 게이트웨이의 초기 구축은 Linux 브리징 기반의 네트워킹 설계를 사용했습니다. 최신 1G 구축은 SR-IOV 기반의 네트워킹 설계를 사용합니다. 자세한 내용은 vSRX 기본 구성 이해를 참조하십시오.

초기 1G 배포는 일반적으로 Intel 1270v6 4코어, Sky-Lake 기반 프로세서를 사용했습니다. 이 프로세서는 SR-IOV를 지원하지 않습니다. 19.4와 같은 최신 vSRX 가상 방화벽 버전에는 SR-IOV 네트워킹 설계가 필요합니다. 따라서 이 1270v6 프로세서를 기반으로 구축된 경우 vSRX 가상 방화벽 버전 업그레이드가 지원되지 않습니다.

19.4와 같은 최신 vSRX 가상 방화벽 버전으로 업그레이드하려면 새로운 vSRX 가상 방화벽을 주문해야 합니다. 완료 후에는 구성을 이전 설계에서 새로운 설계로 마이그레이션할 수 있지만, 새로운 vSRX 가상 방화벽에 일부 수동 구성 변경을 적용해야 합니다. 자세한 내용은 레거시 구성을 현재 vSRX 아키텍처로 마이그레이션을 참조하십시오.