Aktualisieren von PA-VMs hinter Load Balancer in Azure
Symptom
-
PAN-OS-Upgrade für VMs hinter Azure Load Balancer
Environment
- Azure PA-VMs hinter Lastenausgleichsmodulen
Cause
-
Moderne Unternehmen verwenden das Gateway Load Balancer-Framework, um die Sicherheitseinfügung zu integrieren. Sie haben die Möglichkeit, die Einstellungen für die Integritätsprüfung für einen bestimmten Back-End-Pool anzupassen. Standardmäßig sind allgemeine Einstellungen vorhanden, sofern sie nicht während der ersten Erstellung des Back-End-Pools oder bei nachfolgenden Anpassungen geändert werden. Der Gateway Load Balancer überwacht aktiv das Wohlbefinden von Zielen innerhalb aktiver Availability Zones und leitet Anforderungen an diese fehlerfreien Ziele weiter.
-
Betrachten wir für die Zwecke dieses Artikels eine Topologie, in der wir 2 Firewalls der VM-Serie haben: FW-1, FW-2 als Teil einer Zielgruppe, die hinter einem GWLB bereitgestellt wird. Beide Firewalls werden im Back-End-Pool als fehlerfrei angezeigt.
Resolution
- Um die Firewalls zu aktualisieren, können Sie die folgenden Faktoren berücksichtigen, um minimale Ausfallzeiten zu gewährleisten.
- Heben Sie die Registrierung von FW-2 im Back-End-Pool auf (Überprüfen Sie, ob die Firewall Teil mehrerer ALB-Back-End-Pools ist, und heben Sie die Registrierung für alle auf). Wenn Sie die Registrierung eines Ziels aufheben, wird es aus Ihrem Back-End-Pool entfernt. Der Gateway Load Balancer leitet den Datenverkehr sofort nach der Aufhebung der Registrierung nicht mehr an ein Ziel weiter. Das Ziel wechselt in den Entleerungszustand. Die GWLB wartet darauf, dass der Timer für die Verzögerung der Registrierung (Attribut des Back-End-Pools) den Status eines Ziels, dessen Registrierung aufgehoben wird, von "Ausgleichen" in "Ungenutzt" ändert. Der Standardwert ist 300 Sekunden (5 min). Sie kann in den Einstellungen des Back-End-Pools geändert werden. Der Bereich liegt zwischen 0 und 3600 Sekunden.
- Während dieser Zeit der Abmeldeverzögerung werden keine neuen Verbindungen von der GWLB an sie weitergeleitet.
- Vorhandene Verbindungen erhalten bestimmte Sekunden, um abgeschlossen zu werden. Nach dem Verzögerungstimer werden auch bestehende Verbindungen zwangsweise beendet. Wenn es also noch Sitzungen gibt, wird die Verbindung unterbrochen.
- Nach dem Warten auf den Timer für die Verzögerung der Abmeldung sollte FW-2 keinen Datenverkehr mehr empfangen. und jetzt können wir die VM-Serie aktualisieren und neu starten. Es gibt keine Ausfallzeiten, da der FW-1 alle Verbindungen übernimmt.
- Sobald der FW-2 wieder da ist, registrieren Sie ihn in der Zielgruppe. Diese Firewall sollte in der Integritätsprüfung als fehlerfrei angezeigt werden. FW-2 ist in diesem Stadium bereit, die Verbindungen zu akzeptieren.
- Die neuen Verbindungen können nun von der GWLB an FW-2 weitergeleitet werden.
- Wir können nun die gleichen Schritte aus Schritt 1-3 wiederholen und FW-1 von GWLB abmelden, damit er in den De-Registration-Delayer eintritt. Wir aktualisieren die Firewall, starten sie neu und fügen sie dem Back-End-Pool wieder hinzu, um mit der Verarbeitung des Datenverkehrs zu beginnen.
- Wenn das Upgrade auf diese Weise durchgeführt wird, treten nur sehr geringe Ausfallzeiten auf. Sie können diese Richtlinien für mehrere Firewalls befolgen. Es wird immer empfohlen, eine Sicherungskopie der Konfiguration zu erstellen, bevor Wartungsarbeiten durchgeführt werden.