常规升级注意事项
在执行 vSRX 升级之前,请注意以下注意事项:
-
升级 vSRX 版本时,可能会迂到网络中断。 为避免中断,请在支持潜在网络停机时间的维护窗口期间执行升级。 在升级完成之前,故障切换不可用,可能需要几个小时。 对于高可用性 (HA) 环境,将迁移 vSRX 配置设置; 但是,建议在升级之前导出设置。
-
对于独立环境,不会复原先前的配置,因此您应该导出和导入配置。 有关更多信息,请参阅 导入和导出 vSRX 配置。
-
要成功重载 HA "vSRX,,已配置的 "vSRX网关的根密码必须与 "vSRX门户中定义的根密码一致。 此外,必须启用到 vSRX 专用 IP 的 root 用户 SSH 登录。
您在供应网关时在门户网站中定义了密码。 这可能与当前网关密码不匹配。 如果密码是在配置后更改的,则使用 SSH 连接到vSRX网关并更改根密码以匹配。 如果存在密码不匹配,那么就绪性检查将失败。
-
请勿在操作系统重装期间修改 vSRX 配置。 升级过程将在过程开始时捕获当前 vSRX 集群配置的快照。 因此,在升级过程中修改 vSRX 配置可能会导致失败或不可预测的结果。 例如,尝试修改一个或两个 vSRX 节点的自动化软件代理程序。 配置更改可能会损坏操作系统重新装入过程。 此外,如果启动回滚,那么不会保留这些配置更改。
-
在 HA 集群上执行操作系统重装升级之前,请运行命令
show chassis cluster status
。 这些节点应与一个列示为主节点和另一个列示为辅助节点的节点进行集群。 确保没有monitor failures
。 如果集群在升级之前运行不正常,那么升级可能会失败,从而导致扩展流量中断。正常运行的集群的示例:
root@asloma-19-10g-ha1-vsrx-vSRX-Node0> show chassis cluster status Monitor Failure codes: CS Cold Sync monitoring FL Fabric Connection monitoring GR GRES monitoring HW Hardware monitoring IF Interface monitoring IP IP monitoring LB Loopback monitoring MB Mbuf monitoring NH Nexthop monitoring NP NPC monitoring SP SPU monitoring SM Schedule monitoring CF Config Sync monitoring RE Relinquish monitoring IS IRQ storm Cluster ID: 2 Node Priority Status Preempt Manual Monitor-failures Redundancy group: 0 , Failover count: 1 node0 100 primary no no None node1 1 secondary no no None Redundancy group: 1 , Failover count: 1 node0 100 primary no no None node1 1 secondary no no None {primary:node0}
具有监视器故障的不正常集群的示例:
root@asloma-tc11-15-10g-pubpriv-ha1-vsrx-vSRX-Node1> show chassis cluster status Monitor Failure codes: CS Cold Sync monitoring FL Fabric Connection monitoring GR GRES monitoring HW Hardware monitoring IF Interface monitoring IP IP monitoring LB Loopback monitoring MB Mbuf monitoring NH Nexthop monitoring NP NPC monitoring SP SPU monitoring SM Schedule monitoring CF Config Sync monitoring Cluster ID: 3 Node Priority Status Preempt Manual Monitor-failures Redundancy group: 0 , Failover count: 1 node0 0 lost n/a n/a n/a node1 1 primary no no None Redundancy group: 1 , Failover count: 1 node0 0 lost n/a n/a n/a node1 0 primary no no CS {primary:node1}
-
如果 IBM Cloud 帐户在同一 pod 中具有多个 vSRX 网关实例,请确保一次仅升级一个网关。 一次升级多个 vSRX 可能会导致 IP 冲突,中断升级过程,并可能导致故障。
-
如果将 HA 集群配置为使用侵入检测策略 (IDP) 和签名数据库,那么建议您在完成升级后更新签名数据库。 这是因为数据库可能已过时。 有关联机和脱机数据库更新的信息,请参阅 Intrusion Detection and Prevention on IBM Cloud
-
升级过程不会备份或复原要升级的虚拟机 (VM) 本地的任何 vSRX 证书。 升级过程将删除现有 VM 并创建新的 VM,这将替换 JunOS 文件系统。 例如,必须在升级之前备份本地证书 (例如
IKE_POLICY_CERT
),并在升级完成后手动复原。
set security ike policy MY_VPN_IKE_POLICY certificate local-certificate IKE_POLICY_CERT