Ist die Inhaltsdatenbank Synchronisierung empfohlen einem HA Umgebung?
Resolution
Generell wird empfohlen, jedes Gerät in einem HA-Cluster seine eigenen dynamischen Updates abzurufen. Sync-to-Peer ist für den Einsatz gedacht, wenn der HA Secondary keinen Weg ins Internet von der Managementschnittstelle hat. In diesem Szenario muss der sekundäre den primären Push die dynamischen Updates haben. Denken Sie daran, dass der sekundäre keine aktiven Schnittstellen auf dem dataplane im passiven Modus haben kann.
Wenn beide Einheiten die Möglichkeit haben, von ihrer Managementschnittstelle aus auf die PA-Update-Server zuzugreifen, schlagen Palo Alto Networks vor, dass Sie die Download-und Installationszeiten stagsten und nicht die Sync-to-Peer-Funktion verwenden. Dies ermöglicht einen einfachen Failover für die passive Einheit, wenn es ein Problem auf der primären während des Updates oder als Folge eines Problems, das nach dem Update entsteht. Wenn die Updates gestaffelt sind, sollten die Download-und-install-Zeiten mindestens 30 Minuten auseinander zwischen HA-Mitgliedern liegen, um das Update herunterladen und installieren zu können, bevor der Prozess auf dem Peer beginnt.
Besitzer: Djipp