Mise à niveau de FMC en haute disponibilité
Table des matières
Introduction
Ce document décrit les étapes pour mettre à niveau un environnement de Secure Firewall Management Center (FMC) en haute disponibilité (HA).
Conditions préalables
Exigences
Cisco recommande de posséder des connaissances sur ces sujets :
- Concepts de haute disponibilité
- Configuration FMC sécurisée
Composants utilisés
Les informations contenues dans ce document sont basées sur la version 7.4.2 du Secure Firewall Management Center virtuel.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Informations générales
La mise à niveau doit être un homologue à la fois.
Commencez par interrompre la synchronisation entre les homologues.
Ensuite, la mise à niveau doit d’abord être effectuée dans le mode veille, puis dans le mode FMC actif.
Avertissement : Pendant que l'homologue en veille travaille sur les vérifications préalables / l'installation, les deux homologues passent à actif ; c'est ce qu'on appelle le split-brain.
Il est totalement attendu pendant la mise à niveau. Pendant ce temps, vous ne devez apporter ni déployer aucune modification de configuration.
Si vous modifiez la configuration, elle peut être perdue après le redémarrage de la synchronisation.
Pré-mise à niveau
- Planifiez votre mise à niveau. Dans les déploiements FMC, vous mettez généralement à niveau le FMC, puis ses périphériques gérés. Sachez toujours quelle mise à niveau vous venez d'effectuer et quelle est la suivante.
- Lisez toutes les consignes de mise à niveau et planifiez les modifications de configuration.
- Vérifiez la bande passante. Assurez-vous que votre réseau de gestion dispose de la bande passante nécessaire pour effectuer des transferts de données volumineux.
- Planifier les fenêtres de maintenance.
- Sauvegardez la configuration avant et après la mise à niveau. Système > Outils - Sauvegarde / Restauration > Sauvegarde de la gestion Firepower. Téléchargez la sauvegarde sur votre ordinateur local.
- Mettez à niveau l'hébergement virtuel. Cette opération est nécessaire lorsque vous exécutez une version antérieure de VMware.
- Vérifiez les configurations.
- Vérifiez la synchronisation NTP.
FMC : Choisissez System > Configuration > Time.
Périphériques : Utilisez la commande show time CLI.
- Vérifiez l'espace disque.
- Déployez les configurations. Dans les déploiements FMC haute disponibilité, vous n'avez besoin de déployer qu'à partir de l'homologue actif.
- Vérifiez les tâches en cours. Assurez-vous qu'aucun déploiement n'est en attente.
Procédure De Mise À Niveau
Étape 1 : interruption de la synchronisation
Sur l'unité principale (active), interrompez la synchronisation Haute disponibilité entre les homologues.
Intégration > Autres intégrations :
Suspendre la synchronisation. Sélectionner Intégration, Autre intégration, Haute disponibilité
Onglet Sélectionner Haute disponibilité :
Section Haute disponibilité FMC
Sélectionnez Pause Synchronization :
Sélectionner Suspendre la synchronisation
Attendez que la synchronisation soit suspendue. L'état doit être suspendu par l'utilisateur une fois terminé.
Alerte sur synchronisation dégradée. En pause par utilisateur
Étape 2. Télécharger le package de mise à niveau
Connectez-vous à l'unité secondaire (en veille) et vérifiez que la synchronisation est suspendue.
Intégration > Autres intégrations > Haute disponibilité :
Unité en veille. Synchronisation suspendue par l'utilisateur
Une fois la confirmation obtenue, continuez à télécharger le package de mise à niveau.
Système > Mise à niveau du produit :
Système, mises à niveau du produit
Sélectionner un package de mise à niveau
Parcourez le package précédemment téléchargé de la version à mettre à niveau.
Parcourir le package de mise à niveau, sélectionnez Télécharger
Étape 3. Vérification du niveau de préparation
Dans la liste Available Upgrade Packages, sélectionnez la version souhaitée. Poursuivez avec l'option Mise à niveau :
Packages de mise à niveau disponibles. Procéder à la mise à niveau
Sélectionnez Suivant lorsque la validation des pré-vérifications est terminée :
Validation du précontrôle
Cliquez sur Run Readiness Check, le processus doit démarrer sur l'appliance à mettre à niveau :
Exécuter les contrôles de préparation
Une fois terminé, vous pouvez voir l'état dans les résultats de la vérification de l'état de préparation.
En cas de succès, vous pouvez sélectionner Next :
Vérification de l'état de préparation réussie, sélectionnez Suivant
Étape 4. Mise à niveau du FMC
Sélectionnez Upgrade pour commencer le processus de mise à niveau :
Démarrer la mise à niveau
La progression de la mise à niveau est visible sur le site FMC :
Progression de mise à niveau
Vous pouvez déconnecter l'interface utilisateur graphique, vous reconnecter et afficher la progression de la mise à niveau :
Progression de la mise à niveau dans GUI
Remarque : L'installation prend environ 30 minutes.
Si vous disposez d'un accès CLI, la progression peut être vérifiée dans le dossier de mise à niveau /var/log/sf ; passez en mode expert et entrez root access.
> expert
admin@firepower:~$ sudo su
Password:
root@firepower:/Volume/home/admin# cd /var/log/sf/
root@firepower:/var/log/sf# ls
Cisco_Secure_FW_Mgmt_Center_Upgrade-7.6.2 root@firepower:/var/log/sf/Cisco_Secure_FW_Mgmt_Center_Upgrade-7.6.2# ls 000_start AQ_UUID DBCheck.log exception.log flags.conf main_upgrade_script.log status.log status.log.202307180405 upgrade_readiness upgrade_status.json upgrade_status.log upgrade_version_build root@firepower:/var/log/sf/Cisco_Secure_FW_Mgmt_Center_Upgrade-7.6.2# tail -f status.log
Une fois la mise à niveau terminée, le FMC redémarre.
ui:[100%] [1 mins to go for reboot]Running script 999_finish/999_zzz_complete_upgrade_message.sh...
ui:[100%] [1 mins to go for reboot] Upgrade complete
ui:[100%] [1 mins to go for reboot] The system will now reboot.
ui:System will now reboot.
Broadcast message from root@firepower (Fri Oct 10 20:23:08 2025):
System will reboot in 5 seconds due to system upgrade.
Broadcast message from root@firepower (Fri Oct 10 20:23:13 2025):
System will reboot now due to system upgrade.
ui:[100%] [1 mins to go for reboot] Installation completed successfully.
ui:Upgrade has completed.
state:finished
Broadcast message from root@firepower (Fri Oct 10 20:23:25 2025):
The system is going down for reboot NOW!
Après le redémarrage, reconnectez-vous à l'interface utilisateur graphique du FMC et acceptez le contrat d'utilisation :
Accepter les conditions d'utilisation
La nouvelle version peut être confirmée sur FMC.
Aide > À propos de :
Confirmation de la nouvelle version
Dans l'interface de ligne de commande, la version peut être vérifiée après l'acceptation des Conditions d'utilisation.
Copyright 2004-2025, Cisco and/or its affiliates. All rights reserved.
Cisco is a registered trademark of Cisco Systems, Inc.
All other trademarks are property of their respective owners.
Cisco Firepower Extensible Operating System (FX-OS) v2.16.0 (build 4006)
Cisco Secure Firewall Management Center for VMware v7.6.2 (build 329)
>
> show version
-------------------[ firepower ]--------------------
Model : Secure Firewall Management Center for VMware (66) Version 7.6.2 (build 329)
UUID : 1c71ae24-1e60-11ed-8459-9758e19f1a24
Rules update version : 2022-01-06-001-vrt
LSP version : lsp-rel-20240417-2110
VDB version : 392
----------------------------------------------------
FMC High Availability après la mise à niveau vers Split Brain, l'homologue local (secondaire) est désormais une mise à niveau terminée.
Intégration > Autre intégration > Haute disponibilité :
Split Brain en haute disponibilité
Étape 5. Mise à niveau de l’homologue principal (actif)
Connectez-vous à l'unité principale, confirmez que l'homologue local est celui dont la version est la plus ancienne.
Intégration > Autre intégration > Haute disponibilité :
Confirmer la version de l'homologue local
Répétez les étapes deux à quatre dans cet homologue :
- Téléchargez le package de mise à niveau.
-
Vérification de préparation.
-
Mettre à niveau le périphérique.
Étape 6. Activation du contrôleur de domaine Cisco
Une fois la mise à niveau effectuée sur les deux FMC, lConnectez-vous au FMC dont vous souhaitez rendre l'unité active et sélectionnez l'option Make Me Active.
Intégration > Haute disponibilité > M'activer :
Sélectionnez l'unité à activer
Avertissements relatifs aux processus et écrasement de toute configuration effectuée dans l'homologue de secours, sélectionnez YES pour continuer.
Avertissement sur la configuration de remplacement active sur l'homologue en veille
Cliquez sur OK
Résoudre le Split Brain
Patientez jusqu'à la fin de la synchronisation. L'homologue distant doit apparaître en veille.
Haute disponibilité temporairement dégradée
Remarque : La synchronisation peut prendre jusqu'à 20 minutes.
Déployez les modifications en attente sur l'unité FMC active pour terminer le processus de mise à niveau.
Validation
Une fois que les deux FMC sont dans la même version et que la synchronisation est terminée, l'onglet Résumé de la haute disponibilité doit ressembler à ceci.
Intégration > Autre intégration > Haute disponibilité :
Synchronisation terminée
Avertissement : Si l'état final de la synchronisation indique un état dégradé ou un résultat différent de OK, contactez le TAC.
Historique de révision
| Révision | Date de publication | Commentaires |
|---|---|---|
3.0 |
17-Oct-2025
|
Orthographe et mise en forme, texte de remplacement. |
2.0 |
31-May-2024
|
Texte de remplacement, légendes d'image, avertissement légal, orthographe et mise en forme mis à jour. |
1.0 |
21-Jul-2023
|
Première publication |
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)