升级 Azure 中负载均衡器后面的 PA VM
8543
Created On 10/16/23 19:30 PM - Last Modified 12/19/23 15:01 PM
Symptom
-
Azure 负载均衡器后面的 VM 的 PAN-OS 升级
Environment
- 负载均衡器后面的 Azure PA VM
Cause
-
现代企业采用网关负载均衡器框架来整合安全插入。 您可以自定义特定后端池的运行状况检查首选项。 默认情况下,常规设置将就绪,除非在初始创建后端池期间或后续调整期间更改。 Gateway Load Balancer 主动监控活动可用区中目标的运行状况,并将请求路由到这些运行状况良好的目标。
-
出于本文的目的,让我们考虑一个拓扑,其中我们有 2 个 VM 系列防火墙:FW-1、FW-2 作为目标组的一部分,部署在 GWLB 后面。 这两个防火墙在后端池中都显示为正常。
Resolution
- 要升级防火墙,您可以考虑以下因素,以确保最短的停机时间。
- 从后端池中取消注册 FW-2(检查防火墙是否属于多个 ALB 后端池,并将其从所有后端池中取消注册)。 取消注册目标时,会将其从后端池中取出。 取消注册后,Gateway Load Balancer 会立即停止将流量定向到目标。 目标进入排空状态。 GWLB 等待取消注册延迟计时器(后端池的属性)将取消注册目标的状态从“耗尽”更改为“未使用”。 默认值为 300 秒(5 分钟)。 可以在后端池设置中对其进行修改。 范围为 0-3600 秒。
- 在取消注册延迟计时器期间,GWLB 不会将任何新连接转发给它。
- 现有连接将获得指定的秒数来完成。 发布延迟计时器后,现有连接也将被强制终止。 因此,如果有任何剩余的会话,它们将断开连接。
- 等待注销延迟计时器后,FW-2应停止接收任何流量。现在,我们可以升级 VM 系列并重新启动。 由于FW-1将处理所有连接,因此没有停机时间。
- FW-2 返回后,将其注册到目标组中。 此防火墙应在“运行状况检查”中显示为“正常”。 FW-2已准备好在此阶段接受连接。
- 现在,GWLB可以将新连接转发到FW-2。
- 现在,我们可以重复步骤 1-3 中的相同步骤,并从 GWLB 取消注册 FW-1,以便它进入取消注册延迟计时器。 我们将升级防火墙,重新启动并将其添加回后端池以开始处理流量。
- 如果以这种方式执行升级,则停机时间非常短。 您可以遵循以下适用于多个防火墙的准则。 始终建议在执行任何维护活动之前备份配置。