Azure のロード バランサーの背後にある PA VM をアップグレードする
8519
Created On 10/16/23 19:30 PM - Last Modified 12/19/23 15:02 PM
Symptom
-
Azure Load Balancer の背後にある VM の PAN-OS アップグレード
Environment
- ロード バランサーの背後にある Azure PA VM
Cause
-
現代のビジネスでは、Gateway Load Balancer フレームワークを使用してセキュリティの挿入を組み込んでいます。 特定のバックエンド プールの正常性チェック設定をカスタマイズできます。 既定では、バックエンド プールの初期作成時またはその後の調整で変更されない限り、全般設定が適用されます。 Gateway Load Balancer は、アクティブなアベイラビリティーゾーン内のターゲットの健全性をアクティブにモニタリングし、それらの正常なターゲットにリクエストをルーティングします。
-
この記事では、2 つの VM シリーズ ファイアウォール (ターゲット グループの一部として FW-1、FW-2 が GWLB の背後にデプロイされているトポロジ) について考えてみましょう。 これらのファイアウォールは両方とも、バックエンド プールで正常と表示されます。
Resolution
- ファイアウォールをアップグレードするには、ダウンタイムを最小限に抑えるために、以下の要因を考慮に入れることができます。
- バックエンド プールから FW-2 を登録解除します (ファイアウォールが複数の ALB バックエンド プールの一部であるかどうかを確認し、すべてから登録解除します)。 ターゲットを登録解除すると、そのターゲットはバックエンド プールから削除されます。 Gateway Load Balancer は、登録解除後すぐにターゲットへのトラフィックの転送を停止します。 ターゲットはドレイン状態になります。 GWLB は、登録解除遅延タイマー (バックエンド プールの属性) によって、登録解除中のターゲットの状態がドレイン中から未使用に変更されるまで待機します。 デフォルト値は 300 秒 (5 分) です。 これは、バックエンド プールの設定で変更できます。 範囲は 0 から 3600 秒です。
- この登録解除遅延タイマーの期間中は、GWLB から新しい接続が転送されません。
- 既存の接続は、完了するまでに指定された秒数を取得します。 遅延タイマーの後、既存の接続も強制的に終了します。 したがって、セッションが残っている場合は、切断が発生します。
- 登録解除遅延タイマーを待機した後、FW-2 はトラフィックの受信を停止します。これで、VMシリーズをアップグレードして再起動できます。 FW-1がすべての接続を処理するため、ダウンタイムはありません。
- FW-2が戻ってきたら、ターゲットグループに登録します。 このファイアウォールは、ヘルスチェックで正常と表示されます。 FW-2は、この段階で接続を受け入れる準備ができています。
- これで、GWLB によって新しい接続を FW-2 に転送できるようになりました。
- これで、ステップ 1 〜 3 と同じ手順を繰り返し、GWLB から FW-1 を登録解除して、登録解除遅延タイマーに入ることができます。 ファイアウォールをアップグレードし、再起動してバックエンド プールに追加し直して、トラフィックの処理を開始します。
- この方法でアップグレードを実行した場合、ダウンタイムは最小限に抑えられます。 複数のファイアウォールについて、これらのガイドラインに従うことができます。 メンテナンス作業を行う前に、設定のバックアップを取ることを常にお勧めします。