Actualización de software en alta disponibilidad multinodo
Visión general
Los firewalls de la serie SRX implementados en una configuración MNHA se pueden actualizar con una interrupción mínima mediante la actualización secuencial de cada dispositivo. En función de la arquitectura de su dispositivo, utilice uno de los siguientes comandos de CLI para iniciar la actualización de Junos. request system software add request vmhost software add
| De la versión de Junos OS | a la versión de Junos OS, utilice el | método de actualización de software |
|---|---|---|
| 20.4 | Cualquier publicación de la versión 20.4 | No |
| 22.3 | Versión siguiente de Junos OS | Sí |
-
Las versiones 22.4R1 y posteriores no son compatibles con versiones anteriores de Junos OS para sincronizar sesiones durante una actualización regular. Utilice el procedimiento de actualización de nodos aisladosen tales casos.
-
La actualización de 22.3 a la siguiente versión puede causar una breve interrupción del tráfico.
-
Puede ver
Peer Hardware Incompatible: SPU SLOT MISMATCHdurante las actualizaciones de 21.4R1 en adelante. -
Las sesiones NAT no se sincronizan durante las etapas de actualización provisionales en versiones anteriores a 23.4R2.
-
Actualice siempre ambos nodos a la misma versión de Junos OS.
Para obtener información sobre la compatibilidad con actualizaciones y degradaciones de las versiones de Junos OS, consulte Política de compatibilidad de actualizaciones y degradaciones para las versiones de Junos OS y las versiones de fin de ciclo de vida extendido en las notas de la versión.
Cuando actualice firewalls serie SRX en alta disponibilidad multinodo a Junos OS versión 22.4R1 o a una versión superior, desde una versión anterior de Junos OS, puede utilizar el procedimiento de actualización de nodos aislados. Junos OS versión 22.4R1 y versiones superiores no son compatibles con versiones anteriores de Junos OS para sincronizar sesiones durante una actualización regular.
Antes de empezar
Antes de realizar una actualización en un dispositivo de la serie SRX en la configuración MNHA), se recomienda redirigir el tráfico fuera del dispositivo de forma controlada. Esto se puede hacer usando uno de los siguientes métodos:
-
Conmutación por error manual: activa una conmutación por error manual para desplazar el tráfico al dispositivo par.
-
Modo de actualización de software: configure temporalmente el dispositivo con el siguiente comando:
user@host# set chassis high-availability software-upgrade
Este comando introduce un error de dispositivo con código de fallo SU (actualización de software). Como resultado, los Grupos de redundancia de servicios (SRG) 1 y superior pasarán a un estado No elegible (en lugar de Activo o Copia de seguridad) en el dispositivo que se está actualizando. Esto hace que el tráfico asociado conmute automáticamente por error al otro miembro del clúster de MNHA.
Nota: Si el clúster de MNHA está configurado solo con SRG0 e incluye lainstall-on-failure-routeopción, aún puede redirigir el tráfico mediante la configuración para mover elset chassis high-availability software-upgradetráfico fuera del dispositivo correctamente.
Actualización de software
Lista de verificación de preparación
Tenga en cuenta las siguientes prácticas recomendadas cuando planee la actualización del software:
- Asegúrese de que ambos nodos estén en línea y ejecuten la misma versión de Junos OS. Compruebe la versión actual del software Junos OS en su dispositivo mediante el comando mostrar versión.
- Verifique la disponibilidad de almacenamiento:
show system storage - Compruebe el estado del hardware:
show chassis fpc pic-statusshow chassis alarms
- Asegúrese de que no haya cambios no confirmados.
- Configuración de copia de seguridad y claves de licencia.
- Descargue la imagen de Junos OS en /var/tmp en ambos dispositivos.
- Asegúrese de que la configuración de alta disponibilidad sea correcta, funcional y que el vínculo entre chasis (ICL) esté activo.
show chassis high-availability information - Prepare los firewalls de la serie SRX para una actualización mediante la lista de comprobación disponible en .
Para obtener más información sobre cómo preparar el dispositivo para una actualización, consulte Preparación para la instalación y actualización de software (Junos OS).
Descargar software
Descargue la imagen de Junos OS de la página de soporte de Juniper Networks en ambos firewalls de la serie SRX y guárdela en la ubicación /var/tmp . Ejemplo:
user@host> request system software add /var/tmp/junos-install-vsrx3-x86-64-22.3R1.3.tgz no-copy
Procedimiento de actualización
Siga los pasos de este procedimiento para actualizar los dispositivos de la serie SRX configurados en una configuración de alta disponibilidad de múltiples nodos (MNHA). En este ejemplo, el clúster consta de dos dispositivos: srx-01 (actualmente activo) y srx-02 (actualmente copia de seguridad). El proceso de actualización comienza con el nodo de copia de seguridad (srx-02), seguido del nodo activo (srx-01), lo que garantiza una interrupción mínima del servicio.
Asegúrese de que la configuración de alta disponibilidad de multinodo sea correcta, funcional y que el vínculo entre chasis (ICL) esté activo.
En el dispositivo SRX-01
user@srx-01> show chassis high-availability informationNode failure codes: HW Hardware monitoring LB Loopback monitoring MB Mbuf monitoring SP SPU monitoring CS Cold Sync monitoring SU Software Upgrade Node Status: ONLINE Local-id: 1 Local-IP: 10.22.0.1 HA Peer Information: Peer Id: 2 IP address: 10.22.0.2 Interface: ge-0/0/2.0 Routing Instance: default Encrypted: YES Conn State: UP Cold Sync Status: COMPLETE Services Redundancy Group: 0 Current State: ONLINE Peer Information: Peer Id: 2 SRG failure event codes: BF BFD monitoring IP IP monitoring IF Interface monitoring CP Control Plane monitoring Services Redundancy Group: 1 Deployment Type: ROUTING Status: ACTIVE Activeness Priority: 200 Preemption: ENABLED Process Packet In Backup State: NO Control Plane State: READY System Integrity Check: N/A Failure Events: NONE Peer Information: Peer Id: 2 Status : BACKUP Health Status: HEALTHY Failover Readiness: READYEn el dispositivo SRX-02
user@srx-02> show chassis high-availability informationNode failure codes: HW Hardware monitoring LB Loopback monitoring MB Mbuf monitoring SP SPU monitoring CS Cold Sync monitoring SU Software Upgrade Node Status: ONLINE Local-id: 2 Local-IP: 10.22.0.2 HA Peer Information: Peer Id: 1 IP address: 10.22.0.1 Interface: ge-0/0/2.0 Routing Instance: default Encrypted: YES Conn State: UP Cold Sync Status: COMPLETE Services Redundancy Group: 0 Current State: ONLINE Peer Information: Peer Id: 1 SRG failure event codes: BF BFD monitoring IP IP monitoring IF Interface monitoring CP Control Plane monitoring Services Redundancy Group: 1 Deployment Type: ROUTING Status: BACKUP Activeness Priority: 1 Preemption: DISABLED Process Packet In Backup State: NO Control Plane State: READY System Integrity Check: COMPLETE Failure Events: NONE Peer Information: Peer Id: 1 Status : ACTIVE Health Status: HEALTHY Failover Readiness: N/A- Iniciar el proceso de actualización de software en el nodo de copia de seguridad (srx-02) y confirmar la configuración
user@srx-02# set chassis high-availability software-upgrade
Este comando desencadena una conmutación por error local para SRG0 y marca SRG1 (si está presente) como INELEGIBLE, lo que permite que el nodo del mismo nivel tome o conserve el rol activo
- Compruebe el estado de Alta disponibilidad de varios nodos. El resultado muestra el estado del nodo: OFFLINE [ SU ], que indica que el nodo está listo para la actualización del software. Puede ver que el estado del SRG1 ha cambiado a INELEGIBLE.
user@srx-02> show chassis high-availability information Node failure codes: HW Hardware monitoring LB Loopback monitoring MB Mbuf monitoring SP SPU monitoring CS Cold Sync monitoring SU Software Upgrade Node Status: OFFLINE [ SU ] Local-id: 1 Local-IP: 10.22.0.1 HA Peer Information: Peer Id: 2 IP address: 10.22.0.2 Interface: ge-0/0/2.0 Routing Instance: default Encrypted: YES Conn State: UP Cold Sync Status: COMPLETE Services Redundancy Group: 0 Current State: ONLINE Peer Information: Peer Id: 2 SRG failure event codes: BF BFD monitoring IP IP monitoring IF Interface monitoring CP Control Plane monitoring Services Redundancy Group: 1 Deployment Type: ROUTING Status: INELIGIBLE Activeness Priority: 200 Preemption: ENABLED Process Packet In Backup State: NO Control Plane State: N/A System Integrity Check: IN PROGRESS Failure Events: NONE Peer Information: Peer Id: 2 Status : ACTIVE Health Status: HEALTHY Failover Readiness: N/A Confirme que el otro dispositivo (srx-01) está en un rol activo y funciona normalmente.
user@srx-01> show chassis high-availability informationNode failure codes: HW Hardware monitoring LB Loopback monitoring MB Mbuf monitoring SP SPU monitoring CS Cold Sync monitoring SU Software Upgrade Node Status: ONLINE Local-id: 2 Local-IP: 10.22.0.2 HA Peer Information: Peer Id: 1 IP address: 10.22.0.1 Interface: ge-0/0/2.0 Routing Instance: default Encrypted: YES Conn State: UP Cold Sync Status: COMPLETE Services Redundancy Group: 0 Current State: ONLINE Peer Information: Peer Id: 1 SRG failure event codes: BF BFD monitoring IP IP monitoring IF Interface monitoring CP Control Plane monitoring Services Redundancy Group: 1 Deployment Type: ROUTING Status: ACTIVE Activeness Priority: 1 Preemption: DISABLED Process Packet In Backup State: NO Control Plane State: READY System Integrity Check: N/A Failure Events: NONE Peer Information: Peer Id: 1 Status : INELIGIBLE Health Status: UNHEALTHY Failover Readiness: NOT READYEl resultado del comando muestra que el estado de SRG1 es ACTIVE.
Tenga en cuenta que en la
Peer Informationsección SRG1, el estado esINELIGIBLEel que indica que el otro nodo está en estado no elegible.- Instale el software Junos OS en el dispositivo SRX-02.
user@srx-02> request system software add /var/tmp/junos-install-vsrx3-x86-64-22.3R1.3.tgz no-copy
- Reinicie el dispositivo con el comando después de una
request system rebootinstalación exitosa. - Compruebe la versión de Junos OS después de reiniciar.
user@srx-02> show versionHostname: srx-02 Model: vSRX Junos: 22.3R1.3El resultado confirma que el dispositivo se ha actualizado a la versión correcta de Junos OS.
- Compruebe el estado de la alta disponibilidad de multinodo en el dispositivo.
user@srx-02> show chassis high-availability informationNode failure codes: HW Hardware monitoring LB Loopback monitoring MB Mbuf monitoring SP SPU monitoring CS Cold Sync monitoring SU Software Upgrade Node Status: OFFLINE [ SU ] Local-id: 1 Local-IP: 10.22.0.1 HA Peer Information: Peer Id: 2 IP address: 10.22.0.2 Interface: ge-0/0/2.0 Routing Instance: default Encrypted: YES Conn State: UP Cold Sync Status: COMPLETE Services Redundancy Group: 0 Current State: ONLINE Peer Information: Peer Id: 2 SRG failure event codes: BF BFD monitoring IP IP monitoring IF Interface monitoring CP Control Plane monitoring Services Redundancy Group: 1 Deployment Type: ROUTING Status: INELIGIBLE Activeness Priority: 200 Preemption: ENABLED Process Packet In Backup State: NO Control Plane State: N/A System Integrity Check: COMPLETE Failure Events: NONE Peer Information: Peer Id: 2 Status : ACTIVE Health Status: HEALTHY Failover Readiness: N/AEl resultado sigue mostrando el estado del nodo como
OFFLINE [ SU ]y el estado SRG1 comoINELIGIBLE. - Quite la
software-upgradeinstrucción y confirme la configuración.user@srx-02# delete chassis high-availability software-upgrade
Cuando se quita la
software-upgradeinstrucción, se borran el estado de conmutación por error del nodo y todas las rutas instaladas. Hasta que se quite esta instrucción, el nodo permanece sin conexión y todos los SRG permanecen en el estado INELEGIBLE. Esto aísla efectivamente el nodo del manejo del tráfico durante la actualización, siempre y cuando el par permanezca en buen estado. -
Compruebe de nuevo el estado de alta disponibilidad de multinodo para confirmar que el dispositivo está en línea y que el estado general es correcto y funcional.
user@srx02> show chassis high-availability information Node failure codes: HW Hardware monitoring LB Loopback monitoring MB Mbuf monitoring SP SPU monitoring CS Cold Sync monitoring SU Software Upgrade Node Status: ONLINE Local-id: 1 Local-IP: 10.22.0.1 HA Peer Information: Peer Id: 2 IP address: 10.22.0.2 Interface: ge-0/0/2.0 Routing Instance: default Encrypted: YES Conn State: UP Cold Sync Status: COMPLETE Services Redundancy Group: 0 Current State: ONLINE Peer Information: Peer Id: 2 SRG failure event codes: BF BFD monitoring IP IP monitoring IF Interface monitoring CP Control Plane monitoring Services Redundancy Group: 1 Deployment Type: ROUTING Status: BACKUP Activeness Priority: 200 Preemption: ENABLED Process Packet In Backup State: NO Control Plane State: READY System Integrity Check: IN PROGRESS Failure Events: NONE Peer Information: Peer Id: 2 Status : ACTIVE Health Status: HEALTHY Failover Readiness: N/AEl resultado muestra
Node Status: ONLINEel estado SRG1 comoBACKUP, lo que indica que el nodo está de nuevo en línea y funciona normalmente en función de copia de seguridad. -
Compruebe las interfaces, los protocolos de enrutamiento, las rutas anunciadas, etc., para confirmar que la configuración funciona normalmente.
Ahora puede proceder a actualizar el otro dispositivo (SRX-01) utilizando el mismo procedimiento.
(Opcional) En caso de que tenga algún problema y no pueda completar la actualización, puede revertir el software en el dispositivo y luego reiniciar el sistema. Utilice el request system software rollback comando para restaurar la versión de software instalada anteriormente.
Actualizar el software mediante la ruta de instalación en caso de falla
Para las configuraciones que usan solo SRG0 (sin compatibilidad con el estado A/B), recomendamos configurar la ruta de instalación en error. Se puede hacer referencia a esta ruta en las políticas de ruta para anunciar rutas menos preferidas durante escenarios de actualización de software o fallas de nodos. En este método, puede desviar el tráfico cambiando la ruta. Aquí, el tráfico todavía puede pasar por el nodo y la interfaz permanece activa.
-
Cree un enrutador virtual personalizado dedicado para la ruta utilizada para desviar el tráfico durante la actualización.
set routing-instances MNHA-signal-routes instance-type virtual-router
- Configure la
install-on-failure-routeinstrucción para SRG0. Aquí, ha configurado la ruta con la dirección IP 10.39.1.3 como la ruta para instalar cuando falla el nodo.set routing-instances MNHA-signal-routes instance-type virtual-router set chassis high-availability services-redundancy-group 0 install-on-failure-route 10.39.1.3 routing-instance MNHA-signal-routes set chassis high-availability services-redundancy-group 1 active-signal-route 10.39.1.1 routing-instance MNHA-signal-routes set chassis high-availability services-redundancy-group 1 backup-signal-route 10.39.1.2 routing-instance MNHA-signal-routes
La tabla de enrutamiento instala la ruta mencionada en la instrucción cuando se produce un error en el nodo.
- Configure una directiva de enrutamiento coincidente y defina una condición de política basada en la existencia de rutas. Aquí se incluye la ruta 10.39.1.3 como condición de coincidencia de ruta para el
if-route-exists.set policy-options condition active_route_exists if-route-exists address-family inet 10.39.1.1/32 set policy-options condition active_route_exists if-route-exists address-family inet table MNHA-signal-routes.inet.0 set policy-options condition backup_route_exists if-route-exists address-family inet 10.39.1.2/32 set policy-options condition backup_route_exists if-route-exists address-family inet table MNHA-signal-routes.inet.0 set policy-options condition failure_route_exists if-route-exists address-family inet 10.39.1.3/32 set policy-options condition failure_route_exists if-route-exists address-family inet table MNHA-signal-routes.inet.0
Cree la instrucción de directiva para hacer referencia a la condición como uno de los términos coincidentes.
set policy-options policy-statement mnha-route-policy term 4 from protocol static set policy-options policy-statement mnha-route-policy term 4 from protocol direct set policy-options policy-statement mnha-route-policy term 4 from condition failure_route_exists set policy-options policy-statement mnha-route-policy term 4 then metric 100 set policy-options policy-statement mnha-route-policy term 4 then accept
- Inicie la actualización de software como se mencionó en los pasos anteriores (Actualización de software).
Método obsoleto (interfaz de apagado al fallar)
A partir de la versión 24.3R1 de Junos OS, la shutdown-on-failure funcionalidad queda obsoleta (en lugar de eliminarse inmediatamente) para proporcionar compatibilidad con versiones anteriores y una oportunidad para que la configuración sea compatible con la nueva configuración. Como parte de este cambio, la instrucción de configuración [set chassis high-availability services-redundancy-group 0 shutdown-on-failure interface-name] quedó obsoleta.
Anteriormente, el tráfico tenía que desviarse manualmente cerrando interfaces. Ahora puede usar el comando software-upgrade para mantener el nodo sin conexión y todos los SRG en el estado INELEGIBLE durante la actualización. Esto aísla efectivamente al nodo del manejo del tráfico.
Si utiliza Junos OS 22.4 o una versión anterior, le recomendamos que utilice los métodos heredados para desviar el tráfico durante la actualización.