PAN-OSのバージョンアップ手順

2023.04.30

PAN-OSのバージョンアップ手順について記載したいと思います。

PAN-OSのバージョン表記について

PAN-OSのバージョンにはメインバージョンやマイナーバージョンなどいくつかの種類があります。

  1. メイン バージョン
    • メイン バージョンは、大幅な機能の変更や追加が行われたときにリリースされます。
  2. マイナー バージョン
    • マイナー バージョンは、機能追加や機能改善が行われたときにリリースされます。
    • 基本的にマイナーバージョンは「.0」か「.1」です。(10.2は多分例外)
  3. メンテナンス バージョン
    • メンテナンス バージョンは、主にバグ修正やセキュリティの問題修正などの小規模な変更が行われたときにリリースされます。
    • メンテナンス バージョンが「0」であるPAN-OSをベースイメージとも呼びます。
  4. ホットフィックス(option)
    • メンテナンスバージョンのリリースを待っていられないような緊急の不具合が発生した場合に、その特定の不具合のみを修正する目的で ホットフィックス バージョンがリリースされることがあります。ホットフィックスバージョンは、バージョン表記の最後に-h1、-h2のように記述されます。

バージョンアップ手順(GUI)

PAN-OSのバージョンアップ手順はとても簡単です。

  1. まず、”Applicationsシグネチャ”(脅威防御サブスクリプション利用時は”Applications and Threats シグネチャ”)を最新にアップデートしておいてください。
  2. DEVICEタブ → Softwareで、インストールしたいOSをダウンロードします。
  1. ダウンロードが完了するまで待ちます。Close ボタンを押してウィンドウをクローズしましょう。(バックグラウンド上のタスクとして動作しますので、ダウンロード中にCloseしてしまっても大丈夫です)
  1. ダウンロードが完了するとACTION のカラムが Download からインストール関連の項目に変更されます。バージョンによって少し表示が変わりますが Install をクリックします。 ちなみに、リリースノートをここからダウンロードすることが出来ます。
  1. Installをクリックすると、「バージョンアップの前にリリースノートを熟読して・・・云々」というようなWarningが表示されますが、OKを押して先に進めます。
  1. PAN-OSのインストール作業が始まります。完了するまで待ちます。(ここもCloseボタンを押してしまっても問題ありません)
  1. Reboot Deviceと言うポップアップが表示されますのでYesを押して再起動します。
    (この状態は、「インストールの準備が出来たので、再起動すると新しいバージョンで起動します。」という状態なので、ここで再起動せずに、後で手動で再起動しても大丈夫です。)
  1. 装置が再起動するのを待ちます。以下のように、OSが起動してくるのを自動的にチェックして再起動してきたタイミングでログイン画面にリダイレクトされますが、うまくリダイレクトされないこともありますので、しばらく応答がないようであれば自分で新らしくブラウザを開いて管理画面にアクセスしてみてください。

以上で作業は終了です。FWにログインしてバージョンが上がっているか確認しましょう。

アップグレードパスについて

ここではPAN-OSのアップグレードパスについて説明します。PAN-OSのバージョンアップの仕組みはとても良く出来ており、バージョンアップにより重篤な不具合が起きることはほとんどありません。(他社のFWでは、脆弱性よりもバージョンアップによる影響の方が怖くてバージョンアップできない。と言う話もちらほら聞きます。。)
さらに、他社と異なりバージョンアップパスが単純明快なので、とてもシンプルにバージョンアップを行うことが可能です。

ベースイメージ

PAN-OSのアップグレードパスを理解する前に、ベースイメージについて説明しておきます。ベースイメージとは、メンテナンスバージョンが「0」であるOSのことです。例えば、10.0.0 、 10.1.0 、10.2.0 11.0.0 などはベースイメージになります。

このベースイメージには、異なるメジャー バージョン/マイナー バージョンから新しいバージョンにアップグレードするためのコンバーターが含まれています。(実際にファイルサイズも大きくなっています。)このコンバーターによってバージョン間の設定差分を吸収し、安定したバージョンアップが可能な環境を提供しています。
そのため、メジャーバージョンアップ、マイナーバージョンアップの際には、このベースイメージを必ずダウンロードしておく必要があります。(この作業は、バージョンアップ作業(GUI)に記載の通りGUIで作業する必要があります。)

メイン/マイナー バージョンのアップグレードパス

メイン/マイナー バージョンのアップグレードパスの考え方は以下のようになります。

① 最新のメンテナンス バージョンをダウンロード → インストールしアップグレード(再起動)
② 次のバージョンのベースイメージのダウンロード
③ 次のバージョンの目的のメンテナンスバージョンをダウンロード → インストールしアップグレード(再起動)

例えば、PAN-OS 9.1.5 から PAN-OS 10.0.11 にバージョンアップを行う場合

① 最新のメンテナンスバージョン(PAN-OS 9.1.16)にバージョンアップ
        → PAN-OS 9.1.16 をダウンロード、インストール後に再起動を行います。
        → 再起動後、PAN-OS 9.1.16 にアップグレードできていることを確認します。

② 次のバージョンのベースイメージ(PAN-OS 10.0.0)をダウンロードします。
        → ここではインストールや再起動は行いません!
        → (閉域網などで、サポートサイトから入手したPAN-OSを使って手動でアップロードを行う場合はインストールを行う必要があります。
             ただし、ここでも再起動は必要ありません。参考リンク)

③ 目的のメンテナンスバージョン(PAN-OS 10.0.11)にバージョンアップ
        → PAN-OS 10.0.11 をダウンロード、インストール後に再起動を行います。
        → 再起動後、PAN-OS 10.0.11 にアップグレードできていることを確認します。

このように、ベースイメージについてはダウンロードだけを行い再起動を行う必要はありません。あたりまえの話ですが、10.0.0のようなベースイメージには、メンテナンスバージョンがリリースされていません。つまり、もっとも不具合(バグ)の多いバージョンとも言えます。PAシリーズは、このベースイメージで起動することなく目的のメンテナンスバージョンにアップグレードすることが可能なのです。

なお、アップグレードパスについては公式ドキュメントでも確認することが出来ます。

Determine the Upgrade Path to PAN-OS 10.1
Upgrade path planning for PAN-OS 10.1.
docs.paloaltonetworks.com

メンテナンスバージョンのアップグレードパス

例えば、10.1.1→10.1.5へのバージョンアップのようなメンテナンスバージョンの場合、上述のバージョンアップ手順(GUI)に従って作業すればOKです。アップブレードパスについて考える必要はありません。

リリースノート

上述のように、PAシリーズのバージョンアップはほとんど何も考えずにアップグレードしてもほとんど問題が起きることはありません。

とは言え、商用環境でアップグレードを行う際には念の為リリースノートを確認しておきましょう。。。リリースノートは、公式サイトで確認することもできますし、PAの実機からDLすることもできます。新機能(New Feature)や 既知の不具合(Known Issue)や、デフォルト動作の変更点(Changes to Default Behavior)などについて事前に確認しておくことをお勧めします。

コメント欄 質問や感想、追加してほしい記事のリクエストをお待ちしてます!

タイトルとURLをコピーしました