Actualización de máquinas virtuales de PA detrás de Load Balancer en Azure
Symptom
-
Actualización de PAN-OS para máquinas virtuales detrás de Azure Load Balancer
Environment
- Máquinas virtuales de PA de Azure detrás de equilibradores de carga
Cause
-
Las empresas modernas emplean el marco Gateway Load Balancer para incorporar la inserción de seguridad. Tiene la capacidad de personalizar las preferencias de comprobación de estado para un grupo de back-end específico. De forma predeterminada, la configuración general está en su lugar a menos que se cambie durante la creación inicial del grupo de back-end o en ajustes posteriores. Gateway Load Balancer supervisa activamente el bienestar de los destinos dentro de las zonas de disponibilidad activas y enruta las solicitudes a esos destinos en buen estado.
-
Para el propósito de este artículo, consideremos una topología en la que tenemos 2 firewalls de la serie VM: FW-1, FW-2 como parte de un grupo de destino, implementados detrás de un GWLB . Ambos firewalls se muestran como correctos en el grupo de back-end.
Resolution
- Para actualizar los firewalls, puede tener en cuenta los siguientes factores para garantizar un tiempo de inactividad mínimo.
- Anule el registro de FW-2 del grupo de back-end (compruebe si el firewall forma parte de varios grupos de back-end de ALB y anule su registro de todos). Cuando se anula el registro de un destino, se elimina del grupo de back-end. El equilibrador de carga de puerta de enlace deja de dirigir el tráfico a un destino inmediatamente después de anular el registro. El destino entra en el estado de drenaje. El GWLB espera a que el temporizador de retraso de cancelación del registro (atributo del grupo de back-end) cambie el estado de un destino de cancelación del registro de drenaje a no utilizado. El valor predeterminado es 300 segundos (5 min). Se puede modificar en la configuración del grupo de back-end. El rango es de 0 a 3600 segundos.
- Durante este tiempo de tiempo de retardo de cancelación de registro, GWLB no le reenviaría ninguna conexión nueva.
- Las conexiones existentes obtienen unos segundos especificados para completarse. Después del temporizador de retardo, las conexiones existentes también se terminarán a la fuerza. Por lo tanto, si quedan sesiones, experimentarán desconexión.
- Después de esperar el temporizador de retraso de cancelación de registro, FW-2 debe dejar de recibir tráfico. y ahora podemos actualizar la serie VM y reiniciar. No hay tiempo de inactividad ya que el FW-1 se encargará de todas las conexiones.
- Una vez que el FW-2 esté de vuelta, regístrelo en el grupo objetivo. Este firewall debe aparecer como correcto en la comprobación de estado de. FW-2 está listo para aceptar las conexiones en esta etapa.
- Las nuevas conexiones ahora pueden ser reenviadas al FW-2 por GWLB.
- Ahora podemos repetir los mismos pasos del paso 1-3 y anular el registro de FW-1 de GWLB para que entre en el temporizador de retardo de cancelación de registro. Actualizaremos el firewall, reiniciaremos y lo volveremos a agregar al grupo de backend para comenzar a procesar el tráfico.
- El tiempo de inactividad experimentado es mínimo si la actualización se lleva a cabo de esta manera. Puede seguir estas directrices para varios firewalls. Siempre se recomienda realizar una copia de seguridad de la configuración antes de realizar cualquier actividad de mantenimiento.