スキップ ソフトウェア バージョン アップグレードをHA構成で試してみた

Skip Software Version UpgradeをHA構成で試してみました。
この機能について公式ドキュメントには以下のように記載されていますが、現状HAサポートについて公式ドキュメント上で確認することができませんでした。ただ、Live Communityには記載があるので、実際に実機で動作確認を行ってみました。

とあるので、この機能をサポートしているのは、
・PAN-OS 11.0以上のFW、Panorama
・PAN-OS 11.0以上のPanoramaに管理されたPAN-OS10.1以上のFW です。

現在最新のPAN-OSは11.2なので、今回はスタンドアロン構成で11.0→11.1→11.2までの最大2世代スキップ？（2世代先へのバージョンアップ）を試してみます。

はじめに

いままでの手順

Skip Software Version Upgradeを利用しないでバージョンアップを行う場合の一般的な手順は以下のようになります。PAN-OS 11.0 から 11.2 までバージョンをアップグレードする場合、OSのダウンロード4回（「HAピアと同期」した場合は2回）、インストール4回（再起動4回）行う必要があり、経切替も4回発生します。

新しい手順

Skip Version Software Upgradeを利用すると、3世代先までであればそれぞれ1回のバージョンアップ（経切替2回）で作業が完了します。

実際に試してみる

検証構成

以下のような構成で検証を行います。セッションの状態を確認するためにPC#1からPC#2に対してPingとSSH接続を行いながらバージョンアップを行います。HAの設定方法についてはこちらの記事をご参照ください。なお、シグネチャのバージョンは最新になっている前提で話を進めます。

テスト前のHAステータスは以下のようになっています。

CLIでセッション状態も確認しておきます。SSH通信が正常にセッション同期されています。（仕様上、Pingはセッション同期されません。）

FW#2のバージョンアップ

まずはFW#2のバージョンアップから行います。手順は以下のようになります。
（詳細なバージョンアップ手順はこちらの記事を参照してください。）

1. FW#2をSuspend
   【DEVICE タブ】→【高可用性】→【操作コマンド タブ】で「Suspend local デバイス for high availability」をクリックします。
2. PAN-OS 11.2.0（Base Image）をダウンロード
3. PAN-OS 11.2.1（最新のPAN-OS）をダウンロードして、インストール をクリック
4. 再起動を実施

FW#2は再起動後にPassiveとして起動します。
HAの状態を確認します。PAN-OSのバージョンが違いますのでステータスがMismatchになっています。同様に、OSのバージョンが異なるため（Default Configに一部違いがあるため）、Running ConfigもSyncできていません。ただ、この状態でもHA（Active/Passive）は正常に構成されています。

CLIでも確認します。

4世代バージョンが離れた状態でのセッション同期

バージョンの異なる装置間でもセッションも正常に同期されています。実際のSSH通信も切れることなく利用できました。

FW#1のバージョンアップ

続いてFW#1側のバージョンアップを行います。手順は先ほどと変わりません。

1. FW#1をSuspend
   【DEVICE タブ】→【高可用性】→【操作コマンド タブ】で「Suspend local デバイス for high availability」をクリックします。
   # FW#2がActiveになります。
2. PAN-OS 11.2.0（Base Image）をダウンロード
3. PAN-OS 11.2.1（最新のPAN-OS）をダウンロードして、インストール をクリック
4. 再起動を実施

FW#1再起動後の状態を確認します。正常時、FW#1はPassiveで起動します。その他のステータスも全てMatchしています。

FW#2の状態を Suspend → Functional に変更して系を切り替えます。これで作業は終了です。

まとめ

Skip Software Version UpgradeはHA構成でも動作することがわかりました。今までに比べると大幅に作業時間を短縮できます。事前検証などを実施の上利用してみてください。