IBM Cloud Docs
常规升级注意事项

常规升级注意事项

在执行 vSRX 升级之前,请注意以下注意事项:

  • 升级 vSRX 版本时,可能会迂到网络中断。 为避免中断,请在支持潜在网络停机时间的维护窗口期间执行升级。 在升级完成之前,故障切换不可用,可能需要几个小时。 对于高可用性 (HA) 环境,将迁移 vSRX 配置设置; 但是,建议在升级之前导出设置。

  • 对于独立环境,不会复原先前的配置,因此您应该导出和导入配置。 有关更多信息,请参阅 导入和导出 vSRX 配置

  • 要成功重载 HA "vSRX,,已配置的 "vSRX网关的根密码必须与 "vSRX门户中定义的根密码一致。 此外,必须启用到 vSRX 专用 IP 的 root 用户 SSH 登录。

    您在供应网关时在门户网站中定义了密码。 这可能与当前网关密码不匹配。 如果密码是在配置后更改的,则使用 SSH 连接到vSRX网关并更改根密码以匹配。 如果存在密码不匹配,那么就绪性检查将失败。

  • 请勿在操作系统重装期间修改 vSRX 配置。 升级过程将在过程开始时捕获当前 vSRX 集群配置的快照。 因此,在升级过程中修改 vSRX 配置可能会导致失败或不可预测的结果。 例如,尝试修改一个或两个 vSRX 节点的自动化软件代理程序。 配置更改可能会损坏操作系统重新装入过程。 此外,如果启动回滚,那么不会保留这些配置更改。

  • 在 HA 集群上执行操作系统重装升级之前,请运行命令 show chassis cluster status。 这些节点应与一个列示为主节点和另一个列示为辅助节点的节点进行集群。 确保没有 monitor failures。 如果集群在升级之前运行不正常,那么升级可能会失败,从而导致扩展流量中断。

    正常运行的集群的示例:

     root@asloma-19-10g-ha1-vsrx-vSRX-Node0> show chassis cluster status
     Monitor Failure codes:
       CS  Cold Sync monitoring        FL  Fabric Connection monitoring
       GR  GRES monitoring             HW  Hardware monitoring
       IF  Interface monitoring        IP  IP monitoring
       LB  Loopback monitoring         MB  Mbuf monitoring
       NH  Nexthop monitoring          NP  NPC monitoring
       SP  SPU monitoring              SM  Schedule monitoring
       CF  Config Sync monitoring      RE  Relinquish monitoring
       IS  IRQ storm
    
     Cluster ID: 2
     Node   Priority Status               Preempt Manual   Monitor-failures
    
     Redundancy group: 0 , Failover count: 1
     node0  100      primary              no      no       None
     node1  1        secondary            no      no       None
    
     Redundancy group: 1 , Failover count: 1
     node0  100      primary              no      no       None
     node1  1        secondary            no      no       None
    
     {primary:node0}
    

    具有监视器故障的不正常集群的示例:

      root@asloma-tc11-15-10g-pubpriv-ha1-vsrx-vSRX-Node1> show chassis cluster status
      Monitor Failure codes:
        CS  Cold Sync monitoring        FL  Fabric Connection monitoring
        GR  GRES monitoring             HW  Hardware monitoring
        IF  Interface monitoring        IP  IP monitoring
        LB  Loopback monitoring         MB  Mbuf monitoring
        NH  Nexthop monitoring          NP  NPC monitoring
        SP  SPU monitoring              SM  Schedule monitoring
        CF  Config Sync monitoring
      Cluster ID: 3
      Node   Priority Status         Preempt Manual   Monitor-failures
    
      Redundancy group: 0 , Failover count: 1
      node0  0        lost           n/a     n/a      n/a
      node1  1        primary        no      no       None
    
      Redundancy group: 1 , Failover count: 1
      node0  0        lost           n/a     n/a      n/a
      node1  0        primary        no      no       CS
    
      {primary:node1}
    
  • 如果 IBM Cloud 帐户在同一 pod 中具有多个 vSRX 网关实例,请确保一次仅升级一个网关。 一次升级多个 vSRX 可能会导致 IP 冲突,中断升级过程,并可能导致故障。

  • 如果将 HA 集群配置为使用侵入检测策略 (IDP) 和签名数据库,那么建议您在完成升级后更新签名数据库。 这是因为数据库可能已过时。 有关联机和脱机数据库更新的信息,请参阅 Intrusion Detection and Prevention on IBM Cloud

  • 升级过程不会备份或复原要升级的虚拟机 (VM) 本地的任何 vSRX 证书。 升级过程将删除现有 VM 并创建新的 VM,这将替换 JunOS 文件系统。 例如,必须在升级之前备份本地证书 (例如 IKE_POLICY_CERT ),并在升级完成后手动复原。

set security ike policy MY_VPN_IKE_POLICY certificate local-certificate IKE_POLICY_CERT