PAN-OSのバージョンアップ手順について記載したいと思います。PAN-OS10.1以上で利用可能になるスキップソフトウェアバージョンアップグレード機能についても参照してください。
PAN-OSのバージョン表記について
PAN-OSのバージョンにはメインバージョンやマイナーバージョンなどいくつかの種類があります。
- メイン バージョン
- メイン バージョンは、大幅な機能の変更や追加が行われたときにリリースされます。
- マイナー バージョン
- マイナー バージョンは、機能追加や機能改善が行われたときにリリースされます。
- 基本的にマイナーバージョンは「.0」か「.1」です。
- メンテナンス バージョン
- メンテナンス バージョンは、主にバグ修正やセキュリティの問題修正などの小規模な変更が行われたときにリリースされます。
- メンテナンス バージョンが「0」であるPAN-OSをベースイメージとも呼びます。
- ホットフィックス(option)
- メンテナンスバージョンのリリースを待っていられないような緊急の不具合が発生した場合に、その特定の不具合のみを修正する目的で ホットフィックス バージョンがリリースされることがあります。ホットフィックスバージョンは、バージョン表記の最後に-h1、-h2のように記述されます。
バージョンアップ手順(GUI)
PAN-OSのバージョンアップ手順はとても簡単です。
事前準備
- 前提条件として、MGTポート経由でパロアルトネットワークスのアップデートサーバからOSがダウンロードできる必要があります。(ファイルを先にダウンロードして手動でアップロードを行う場合は、少し異なる作業が必要となります。)また、作業はGUIにて実施する前提で記載しています。
- まず、”Applicationsシグネチャ”(脅威防御サブスクリプション利用時は”Applications and Threats シグネチャ”)を最新にアップデートしておいてください。
- Configのバックアップもしておきましょう。(推奨)
特にメジャーバージョン・マイナーバージョンのアップグレードを行う場合、新機能の追加などによりコンフィグフォーマットが変わる可能性があります。つまり、既存のバージョンと同じコンフィグは利用できない可能性が高いです。PAシリーズは、このコンフィグ差分を自動的に吸収してアップグレードを行なってくれるようになっていますのであまり意識する必要はありませんが、バージョンダウンの際など古いコンフィグが必要になるケースもありますので保存しておきましょう。(バージョンアップ時に自動保存してくれるようになっていますが、明示的に名前をつけて保存しておくことを推奨します。)
インストール
インストール作業はGUIから簡単に実行できます。
- DEVICEタブ → Softwareで、インストールしたいOSをダウンロードします。
- ダウンロードが完了するまで待ちます。Close ボタンを押してウィンドウをクローズしましょう。(バックグラウンド上のタスクとして動作しますので、ダウンロード中にCloseしてしまっても大丈夫です)
- ダウンロードが完了するとACTION のカラムが Download からインストール関連の項目に変更されます。バージョンによって少し表示が変わりますが Install をクリックします。 ちなみに、リリースノートをここからダウンロードすることが出来ます。
- Installをクリックすると、「バージョンアップの前にリリースノートを熟読して・・・云々」というようなWarningが表示されますが、OKを押して先に進めます。
- PAN-OSのインストール作業が始まります。完了するまで待ちます。(ここもCloseボタンを押してしまっても問題ありません)
- Reboot Deviceと言うポップアップが表示されますのでYesを押して再起動します。
(この状態は、「インストールの準備が出来たので、再起動すると新しいバージョンで起動します。」という状態なので、ここで再起動せずに、後で手動で再起動しても大丈夫です。)
- 装置が再起動するのを待ちます。以下のように、OSが起動してくるのを自動的にチェックして再起動してきたタイミングでログイン画面にリダイレクトされますが、うまくリダイレクトされないこともありますので、しばらく応答がないようであれば自分で新らしくブラウザを開いて管理画面にアクセスしてみてください。
以上で作業は終了です。FWにログインしてバージョンが上がっているか確認しましょう。
アップグレードパスについて
ここではPAN-OSのアップグレードパスについて説明します。PAN-OSのバージョンアップの仕組みはとても良く出来ており、バージョンアップにより重篤な不具合が起きることはほとんどありません。(他社のFWでは、脆弱性よりもバージョンアップによる影響の方が怖くてバージョンアップできない。と言う話もちらほら聞きますが。。)
さらに、バージョンアップパスが単純明快なので、とてもシンプルにバージョンアップを行うことが可能です。
ベースイメージ
PAN-OSのアップグレードパスを理解する前に、ベースイメージについて説明しておきます。ベースイメージとは、メンテナンスバージョンが「0」であるOSのことです。例えば、10.0.0 、 10.1.0 、10.2.0 11.0.0 などはベースイメージになります。
このベースイメージには、異なるメジャー バージョン/マイナー バージョンから新しいバージョンにアップグレードするためのコンバーターが含まれています。(実際にファイルサイズも大きくなっています。)このコンバーターによってバージョン間の設定差分を吸収し、安定したバージョンアップが可能となっています。
そのため、メジャーバージョンアップ、マイナーバージョンアップの際には、このベースイメージを必ずダウンロードしておく必要があります。ベースイメージをダウンロードしていない状態でインストール作業を行ってもアラートが出てアップグレードができません。
注意点として、
ベースイメージはコンバーターとして利用するだけなので、ベースイメージで再起動しないでください。
メイン/マイナー バージョンのアップグレードパス
メイン/マイナー バージョンのアップグレードパスの考え方は以下のようになります。
① 最新のメンテナンス バージョンをダウンロード → インストールしアップグレード(再起動)
② 次のバージョンのベースイメージのダウンロード
③ 次のバージョンの目的のメンテナンスバージョンをダウンロード → インストールしアップグレード(再起動)例えば、PAN-OS 9.1.5 から PAN-OS 10.0.11 にバージョンアップを行う場合、以下のような手順になります。
① 最新のメンテナンスバージョン(PAN-OS 9.1.16)にバージョンアップ
→ PAN-OS 9.1.16 をダウンロード、インストール後に再起動を行います。
→ 再起動後、PAN-OS 9.1.16 にアップグレードできていることを確認します。
※ 最新のメンテナンスバージョンにアップグレードすることで可能な限り不具合を排除したかたちで
次のバージョンへのアップデートを行うことができます。
(大きな不具合が無ければ、このアップグレードはスキップするという選択肢も考えられます・・・)
② 次のバージョンのベースイメージ(PAN-OS 10.0.0)をダウンロードします。
→ ここではインストールや再起動は行いません!
→ (閉域網などで、サポートサイトから入手したPAN-OSを使って手動でアップロードを行う場合はインストールを行う必要があります。
ただし、ここでも再起動は必要ありません。参考リンク)
③ 目的のメンテナンスバージョン(PAN-OS 10.0.11)にバージョンアップ
→ PAN-OS 10.0.11 をダウンロード、インストール後に再起動を行います。
→ 再起動後、PAN-OS 10.0.11 にアップグレードできていることを確認します。
このように、ベースイメージについてはダウンロードだけを行い再起動を行う必要はありません。あたりまえの話ですが、10.0.0のようなベースイメージには、メンテナンスバージョンがリリースされていません。つまり、もっとも不具合(バグ)の多いバージョンとも言えます。PAシリーズは、このベースイメージで起動することなく目的のメンテナンスバージョンにアップグレードすることが可能です。
なお、アップグレードパスについては公式ドキュメントでも確認することが出来ます。
メンテナンスバージョンのアップグレードパス
例えば、10.1.1→10.1.5へのバージョンアップのようなメンテナンスバージョンの場合、上述のバージョンアップ手順(GUI)に従って作業すればOKです。アップブレードパスについて考える必要はありません。
リリースノート
上述のように、PAシリーズのバージョンアップはほとんど何も考えずにアップグレードしてもほとんど問題が起きることはありません。
とは言え、商用環境でアップグレードを行う際には念の為リリースノートを確認しておきましょう。。。リリースノートは、公式サイトで確認することもできますし、PAの実機からDLすることもできます。新機能(New Feature)や 既知の不具合(Known Issue)や、デフォルト動作の変更点(Changes to Default Behavior)などについて事前に確認しておくことをお勧めします。
コメント欄 質問や感想、追加してほしい記事のリクエストをお待ちしてます!