HA 升级操作指南
HA 不间断升级过程介绍
故名思义,HA 不间断升级就是说在 HA 升级过程中,HA group 中的设备会一台一台的进行升级,从而保证了业务在升级过程中不中断。上传 OS 的方法分为 Web 界面上传和通过命令行上传,本文介绍以 Web 界面上传,两台设备升级完成需要 15 分钟左右,过程如下:
- 在主机 Web 界面上点击升级按钮。
- 主机把 OS 发给备机,备机准备并开始升级,然后自动重启,此过程需要 5分钟(或更长时间),请耐心等待。
- 备机升级完成,并变成主机。
- 主机观察到备机升级成功并变成主机后,开始准备升级,此过程需要 5 分钟(或更长时间),请耐心等待。
- 一旦准备完成,主机(此时为备)自动重启加载升级后 OS,重启约 2 分钟。
- 主机(此时为备)重启后,形成 HA。主机从原来的备同步配置(外部配置和内部配置),约 1-3 分钟。
此时,HA 重新建立,但是主备关系发生了切换,需要在此时的主机(最开始的备机) 手工执行切换 diagnose sys ha reset-uptime 切换原来的主备关系。
升级操作建议
- 下载并阅读 Release 文档和升级说明文档,做到注意事项心中有数。
- 升级前后备份设备配置。
- 接入 console 在主设备上,记录 log,观察升级过程,做到心中有数。有问题也可以反馈厂商。
- 耐心等待,主备机升级的时间都会比较长。
升级步骤
1.在 Web 界面上点击升级按钮,选择要升级的 OS。
2.选择要升级的 OS
OS 先传给备机,等备机重启后主机再重启。
3.耐心等待…观察 console 输出信息,做到心中有数。
以下为升级过程打印信息,请注意阅读并理解: Checking new firmware integrity ... pass
Wait for HA to be master of all clusters...
Send image to HA slave.
..
Wait for
restart..................................................................................................................
备机准备升级+升级重启约 5 分钟,请耐心等待。
Wait for first slave to become new master........//备机重启后,主机等着备机变成主机。
slave's configuration is not in sync with master's, sequence:0
Firmware upgrade in progress ... //主机准备升级过程约 5 分钟,请耐心等一下。 Done.//说明准备升级完成。
The system is going down NOW !!// 原来的主设备重启,加载升级后的 OS。 Please stand by while rebooting the system.
Restarting system.
FortiGate-600C (20:43-08.19.2014)
Ver:04000023
Serial number:FG600C3912801020
RAM activation
CPU(00:00020655 bfebfbff): MP initialization CPU(01:00020655 bfebfbff): MP initialization CPU(04:00020655 bfebfbff): MP initialization CPU(05:00020655 bfebfbff): MP initialization
Total RAM: 4096MB
Enabling cache...Done.
Scanning PCI bus...Done.
Allocating PCI resources...Done.
Enabling PCI resources...Done.
Zeroing IRQ settings...Done.
Verifying PIRQ tables...Done.
Boot up, boot device capacity: 7640MB. Press any key to display configuration menu...
Reading boot image 1388719 bytes.
Initializing firewall...
System is starting...
The config file may contain errors,
Please see details by the command 'diagnose debug config-error-log read' 2000613_WLFW_F600C_01 login: admin
Password:
Welcome !
升级后会从之前的备同步配置信息外部配置和配置信息。外部配置同步 5次,其它配置同步 5 次,每次间隔 15 秒共 150s。
2000613_WLFW_F600C_01 # slave's external files are not in sync with master, sequence:0. (type CERT_LOCAL)
slave's external files are not in sync with master, sequence:1. (type CERT_LOCAL)
slave's external files are not in sync with master, sequence:2. (type CERT_LOCAL)
slave's external files are not in sync with master, sequence:3. (type CERT_LOCAL)
slave's external files are not in sync with master, sequence:4. (CERT_LOCAL)
slave succeeded to sync external files with master
2000613_WLFW_F600C_01 # slave's configuration is not in sync with master's, sequence:0
2000613_WLFW_F600C_01 # slave's configuration is not in sync with master's, sequence:1
2000613_WLFW_F600C_01 # slave's configuration is not in sync with master's, sequence:2
2000613_WLFW_F600C_01 # slave's configuration is not in sync with master's, sequence:3
2000613_WLFW_F600C_01 # slave's configuration is not in sync with master's, sequence:4
slave starts to sync with master
logout all admin users //此时连接 console 会自动退出,说明配置完全一样。
4.手工切回 HA 状态
升级成功后,因为没有启用 override,且备机的 ha 的 uptime 比主机大超过了 5 分钟(uptime 时间差在 5 分钟以外算超过,5 分钟以内算相同),所以即便主设备的 priority 优先机比较大,但是根据 HA 的选举规则,在
不启用 override 的情况下,uptime 长的设备为主。
- 观察 HA 状态
发现原来的主机变成了备机。
2000613_WLFW_F600C_01 # get system ha status
Model: FortiGate-600C
Mode: a-p
Group: 31
Debug: 0
ses_pickup: enable, ses_pickup_delay=disable
Slave :200 2000613_WLFW_F600C_01 FG600C3912801020 0
Master:128 2000613_WLFW_F600C_02 FG600C3912800174 1 //原来的备机变成了主机
number of vcluster: 1
vcluster 1: standby 169.254.0.2
Slave :1 FG600C3912801020
Master:0 FG600C3912800174
4.2 在要把这台设备变成备机执行以下命令
2000613_WLFW_F600C_02 # diagnose sys ha reset-uptime //此命令为Reset 当前设备的 HA 时间。
4.3.再观察 HA 状态是否恢复到升级前。
200613_WLFW_F600C_01 # get system ha status
Model: FortiGate-600C
Mode: a-p
Group: 31
Debug: 0
ses_pickup: enable, ses_pickup_delay=disable
Master:200 2000613_WLFW_F600C_01 FG600C3912801020 0
Slave :128 2000613_WLFW_F600C_02 FG600C3912800174 1
number of vcluster: 1
vcluster 1: work 169.254.0.1
Master:0 FG600C3912801020
Slave :1 FG600C3912800174
5.升级后检查是否有重要配置丢失
2000613_WLFW_F600C_01 # diagnose debug config-error-log read
>>> "config" "system" "rep 。 lacemsg" "capt5.ive-portal-dflt" "cpa-disclaimer-page-1" @ global:command parse error (error 1)
>>>> "config" "replacemsg" "captive-portal-dflt" "cpa-disclaimer-page-2" @ global:command parse error (error 1)
>>>> "config" "system" "replacemsg" "captive-portal-dflt" "cpa-disclaimer-page-3" @ global:command parse error (error 1)
>>>> "config" "system" "replacemsg" "captive-portal-dflt" "cpa-reject-page" @ global:command parse error (error 1)
>>>> "config" "system" "replacemsg" "captive-portal-dflt" "cpa-login-failed-page" @ global:command parse error (error 1)
不丢路由/接口/地址/服务/防火墙策略/VPN 这些,一般问题不大。丢一些默认的配置是因为新版本做了变更。
6.检查配置是否同步
看两台设备的 showcsum 是否一完全相同。
2000613_WLFW_F600C_01 # diagnose sys showcsum
is_manage_master()=1, 6.is_root_master()=1 debugzone
global: c7 f3 7f 3f 74 3b 03 5f b6 59 1a c4 7f d1 29 78 root: 6c 95 1d b0 3b c0 bf b0 83 f2 55 27 d0 fa 61 04 all: f3 88 e5 55 f4 8b c3 69 59 78 4e 85 5b 76 bf d1
checksum
global: c7 f3 7f 3f 74 3b 03 5f b6 59 1a c4 7f d1 29 78 root: 6c 95 1d b0 3b c0 bf b0 83 f2 55 27 d0 fa 61 04 all: f3 88 e5 55 f4 8b c3 69 59 78 4e 85 5b 76 bf d1
2000613_WLFW_F600C_01 # execute ha manage 1 //执行此命令切换到备机
2000613_WLFW_F600C_02 login: admin Password:
Welcome !
2000613_WLFW_F600C_02 # diagnose sys ha showcsum
is_manage_master()=0, is_root_master()=0 debugzone
global: c7 f3 7f 3f 74 3b 03 5f b6 59 1a c4 7f d1 29 78 root: 6c 95 1d b0 3b c0 bf b0 83 f2 55 27 d0 fa 61 04 all: f3 88 e5 55 f4 8b c3 69 59 78 4e 85 5b 76 bf d1
checksum
global: c7 f3 7f 3f 74 3b 03 5f b6 59 1a c4 7f d1 29 78 root: 6c 95 1d b0 3b c0 bf b0 83 f2 55 27 d0 fa 61 04 all: f3 88 e5 55 f4 8b c3 69 59 78 4e 85 5b 76 bf d1
1595
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
