HA 架構下,工程師如何優雅升級不斷線
在企業網路的日常裡,有三件事會讓工程師瞬間清醒:
防火牆掛了、主管在旁邊、還有防火牆要升級。
如果你用的是 Palo Alto PA-1410 × 2,並且採用 HA(High Availability)架構,那恭喜你,你已經站在「可以不中斷服務升級」的正確起跑線上;但前提是——流程要對、順序不能亂。
這篇文章,就用一個工程師+一點幽默的角度,帶你完整跑過一次 PA-1410 HA 架構下的 PAN-OS 升級流程。
一、HA 架構的核心哲學:不是快,是穩
HA 架構的基本設定很簡單:
-
一台 Active:實際扛流量
-
一台 Passive:待命、同步、準備接手
HA 的真正價值不是「升級比較快」,而是:
你可以在不中斷服務的情況下,把防火牆升級完成。
所以整個流程的黃金守則只有一句:
👉 先升 Passive,再切 Failover,最後升 Active
二、升級前檢查(這段做完,晚上比較睡得著)
在你按下 Download 之前,先確認這些事情:
1️⃣ HA 狀態正常
-
Active / Passive 清楚
-
HA Sync:In Sync
-
沒有 Split-Brain
👉 不同步,先修 HA,別碰升級。
2️⃣ 設定備份(工程師的護身符)
-
Export Device State
-
Export Running Config
-
有 Panorama 一起備
這不是迷信,是生存技巧。
3️⃣ 確認 PAN-OS 升級路徑
-
不要跨大版本直跳
-
先升到目前分支最新,再往上
防火牆不喜歡驚喜。
三、HA 架構下的標準升級流程
Step 1:先升級 Passive
確認哪台是 Passive,然後:
-
Download 新版 PAN-OS
-
Install
-
Reboot
這時:
-
流量還在 Active
-
使用者完全無感
-
工程師心情尚可 ☕
Step 2:確認 Passive 升級完成狀態
升完後請檢查:
-
OS 版本正確
-
仍是 Passive
-
HA Sync 正常
-
Log 沒有爆紅字
這一步,是你「最後可以反悔」的時間點。
四、手動觸發 Failover(整篇最關鍵)
Passive 升級完成後,接下來要讓它正式接手流量,這一步就是 手動 Failover。
▶ 為什麼要手動?
因為工程師要的是「可控」,不是「賭」。
方法一:Web UI(最直覺、最安全)
一定要登入「目前的 Active」那台
路徑:
點選:
Suspend local device
這代表你對 Active 說:
「你可以下班了,換你兄弟上場。」
系統會自動:
-
將目前 Active 降為 Passive
-
已升級完成的那台升為 Active
-
流量完成切換(通常 1~3 秒)
方法二:CLI(工程師帥氣版)
在「目前 Active」執行:
驗證狀態:
你要看到:
-
一台 Active
-
一台 Passive
-
HA In Sync
Failover 當下會發生什麼?
正常情況下:
-
Ping 掉 1~2 包
-
少量 TCP 重新建立(視 session sync 設定)
使用者:
「剛剛是不是卡一下?」
工程師:
「嗯,有,但我有預期。」😎
五、升級原本的 Active(現在它是 Passive)
Failover 成功、流量穩定後:
-
原本的 Active 現在已變 Passive
-
重複一樣的升級流程
-
Download
-
Install
-
Reboot
-
完成後,兩台 PA-1410:
-
OS 版本一致
-
HA 狀態正常
-
架構回到穩定狀態
六、升級完成後檢查清單(別急著關瀏覽器)
請確認:
-
上網正常
-
VPN(GlobalProtect / Site-to-Site)
-
NAT / Security Policy 命中
-
Traffic / Threat Log 正常
-
HA Sync:In Sync
確認穩定 10~15 分鐘,再安心收工。
七、工程師結語
HA 升級成功的關鍵不是技巧,而是紀律:
-
Passive 永遠先升
-
Failover 一定手動
-
備份一定要有
只要流程正確,
PA-1410 的 PAN-OS 升級,其實是一件非常優雅的事。
最後送你一句工程師名言:
「HA 不是用來救亂升級的,
是讓你可以冷靜升級。」
沒有留言:
張貼留言