Mettre à niveau les machines virtuelles PA derrière l’équilibreur de charge dans AzureUpgrade PA VMs behind Load Balancer in Azure
Symptom
-
Mise à niveau du système d’exploitation PAN-OS pour les machines virtuelles derrière Azure Load Balancer
Environment
- Machines virtuelles Azure PA derrière des équilibreurs de charge
Cause
-
Les entreprises modernes utilisent l’infrastructure Gateway Load Balancer pour intégrer l’insertion de sécurité. Vous avez la possibilité de personnaliser les préférences de vérification de l’état pour un pool de back-end spécifique. Par défaut, les paramètres généraux sont en place, sauf s’ils sont modifiés lors de la création initiale du pool principal ou lors d’ajustements ultérieurs. L’équilibreur de charge de passerelle surveille activement le bien-être des cibles dans les zones de disponibilité actives et achemine les demandes vers ces cibles saines.
-
Pour les besoins de cet article, considérons une topologie où nous avons 2 pare-feu de la série VM : FW-1, FW-2 dans le cadre d’un groupe cible, déployés derrière un GWLB . Ces deux pare-feu s’affichent comme sains dans le pool principal.
Resolution
- Pour mettre à niveau les pare-feu, vous pouvez prendre en compte les facteurs ci-dessous afin de garantir un temps d’arrêt minimal.
- Désinscrire FW-2 du pool principal (vérifiez si le pare-feu fait partie de plusieurs pools principaux ALB et désinscrivez-le de tous). Lorsque vous annulez l’inscription d’une cible, elle est retirée de votre pool de backends. L’équilibreur de charge de passerelle cesse de diriger le trafic vers une cible immédiatement après l’annulation de l’inscription. La cible entre dans l’état de drainage. La GWLB attend que le temporisateur de désinscription (attribut du pool principal) change l’état d’une cible en cours de désinscription de drain à inutilisé. La valeur par défaut est de 300 secondes (5 min). Il peut être modifié dans les paramètres du pool backend. La plage est comprise entre 0 et 3600 secondes.
- Pendant cette période de délai de désinscription, aucune nouvelle connexion ne lui serait transmise par GWLB.
- Les connexions existantes ont des secondes spécifiées pour se terminer. Après la minuterie de retard, les connexions existantes seront également interrompues de force. Par conséquent, s’il reste des sessions, elles seront déconnectées.
- Après avoir attendu le délai de désenregistrement, le FW-2 devrait cesser de recevoir du trafic. et maintenant, nous pouvons mettre à niveau la série de machines virtuelles et redémarrer. Il n’y a pas de temps d’arrêt puisque le FW-1 s’occupera de toutes les connexions.
- Une fois que le FW-2 est de retour, enregistrez-le dans le groupe cible. Ce pare-feu doit apparaître comme sain dans la vérification de l’état de. Le FW-2 est prêt à accepter les connexions à ce stade.
- Les nouvelles connexions peuvent maintenant être transmises au FW-2 par GWLB.
- Nous pouvons maintenant répéter les mêmes étapes des étapes 1 à 3 et annuler l’enregistrement du FW-1 de GWLB afin qu’il entre dans le délai de désenregistrement. Nous allons mettre à niveau le pare-feu, le redémarrer et l’ajouter à nouveau au pool principal pour commencer à traiter le trafic.
- Les temps d’arrêt sont très minimes si la mise à niveau est effectuée de cette manière. Vous pouvez suivre ces instructions pour plusieurs pare-feu. Il est toujours recommandé d’effectuer une sauvegarde de la configuration avant d’effectuer toute activité de maintenance.