Atualização do FMC em alta disponibilidade
Contents
Introdução
Este documento descreve as etapas para atualizar um ambiente do Secure Firewall Management Center (FMC) em alta disponibilidade (HA).
Pré-requisitos
Requisitos
A Cisco recomenda que você conheça estes tópicos:
- Conceitos de alta disponibilidade
- Configuração segura do FMC
Componentes Utilizados
As informações neste documento são baseadas no Secure Firewall Management Center virtual, versão 7.4.2.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Informações de Apoio
A atualização deve ser um par de cada vez.
Primeiro, pause a sincronização entre os correspondentes.
Em seguida, a atualização precisa ser feita primeiro no modo de espera, seguido pelo FMC ativo.
aviso: Enquanto o peer em standby está trabalhando em pré-verificações / instalação, ambos os peers mudam para ativo; isto é chamado split-brain.
É totalmente esperado durante a atualização. Durante esse período, você não deve fazer nem implantar nenhuma alteração de configuração.
Se você fizer qualquer alteração de configuração, ela poderá ser perdida após a reinicialização da sincronização.
Pré-atualização
- Planeje seu caminho de atualização. Em implantações de FMC, você geralmente atualiza o FMC e seus dispositivos gerenciados. Sempre saiba qual atualização você acabou de executar e qual será a próxima.
- Leia todas as diretrizes de atualização e planeje as alterações de configuração.
- Verifique a largura de banda. Certifique-se de que sua rede de gerenciamento tenha a largura de banda necessária para realizar grandes transferências de dados.
- Agendar janelas de manutenção.
- Faça backup da configuração antes e depois da atualização. Sistema > Ferramentas - Backup/Restauração > Backup do Firepower Management. Faça o download do backup em sua máquina local.
- Atualizar hospedagem virtual. Isso é necessário quando você estiver executando uma versão mais antiga do VMware.
- Verifique as configurações.
- Verifique a sincronização do NTP.
CVP: Escolha System > Configuration > Time.
Dispositivos: Use o comando CLI show time.
- Verifique o espaço em disco.
- Implante configurações. Em implantações de alta disponibilidade do FMC, você só precisa implantar do peer ativo.
- Verifique as tarefas em execução. Verifique se não há implantações pendentes.
Procedimento de atualização
Etapa 1. Pausar Sincronização
Na unidade Primária (Ativa), pause a sincronização de Alta Disponibilidade entre os pares.
Integração > Outras integrações:
Pausar sincronização. Selecione Integração, Outra Integração, Alta Disponibilidade
Selecione a guia Alta disponibilidade:
Seção de alta disponibilidade do FMC
Selecione Pausar Sincronização:
Selecione Pausar Sincronização
Aguarde a sincronização ser pausada. O status deve ser pausado pelo usuário quando concluído.
Alerta sobre Sincronização Degradada. Pausado pelo usuário
Etapa 2. Carregar o Pacote de Atualização
Efetue login na unidade Secundária (Standby) e confirme se a sincronização está pausada.
Integração > Outras integrações > Alta disponibilidade:
Na unidade em espera. Sincronização pausada pelo usuário
Depois de confirmado, continue a carregar o pacote de atualização.
Sistema > Atualização de produto:
Atualizações de sistema e produto
Selecionar Pacote de Atualização
Procure o pacote baixado anteriormente da versão a ser atualizada.
Procure o pacote de atualização, selecione Carregar
Etapa 3. Verificação de preparação
Na lista Pacotes de atualização disponíveis, selecione a versão desejada. Continue com a opção Upgrade:
Pacotes de atualização disponíveis. Prosseguir com a atualização
Selecione Avançar quando a validação das pré-verificações estiver concluída:
Validação de Pré-Verificação
Clique em Run Readiness Check, o processo deve começar no equipamento a ser atualizado:
Executar Verificações de Preparação
Depois de concluído, você pode ver o status nos Resultados da verificação de preparação.
Se obtiver êxito, você poderá selecionar Próximo:
Verificação de preparação aprovada, Selecione Avançar
Etapa 4. Atualizar o FMC
Selecione Atualizar para iniciar o processo de atualização:
Iniciar atualização
O progresso da atualização pode ser visto no site do FMC:
Andamento da atualização
A GUI pode ser desconectada, fazer login novamente e o progresso da atualização é exibido:
Progresso da atualização na GUI
Note: A instalação leva cerca de 30 minutos para ser concluída.
Se você tiver Acesso à CLI, o progresso pode ser verificado na pasta de atualização /var/log/sf; mova para o modo especialista e digite root access.
> expert
admin@firepower:~$ sudo su
Password:
root@firepower:/Volume/home/admin# cd /var/log/sf/
root@firepower:/var/log/sf# ls
Cisco_Secure_FW_Mgmt_Center_Upgrade-7.6.2 root@firepower:/var/log/sf/Cisco_Secure_FW_Mgmt_Center_Upgrade-7.6.2# ls 000_start AQ_UUID DBCheck.log exception.log flags.conf main_upgrade_script.log status.log status.log.202307180405 upgrade_readiness upgrade_status.json upgrade_status.log upgrade_version_build root@firepower:/var/log/sf/Cisco_Secure_FW_Mgmt_Center_Upgrade-7.6.2# tail -f status.log
Quando a atualização for concluída, o FMC será reinicializado.
ui:[100%] [1 mins to go for reboot]Running script 999_finish/999_zzz_complete_upgrade_message.sh...
ui:[100%] [1 mins to go for reboot] Upgrade complete
ui:[100%] [1 mins to go for reboot] The system will now reboot.
ui:System will now reboot.
Broadcast message from root@firepower (Fri Oct 10 20:23:08 2025):
System will reboot in 5 seconds due to system upgrade.
Broadcast message from root@firepower (Fri Oct 10 20:23:13 2025):
System will reboot now due to system upgrade.
ui:[100%] [1 mins to go for reboot] Installation completed successfully.
ui:Upgrade has completed.
state:finished
Broadcast message from root@firepower (Fri Oct 10 20:23:25 2025):
The system is going down for reboot NOW!
Após a reinicialização, faça login novamente na GUI do FMC, Aceite o contrato do usuário:
Aceite o contrato do usuário
A nova versão pode ser confirmada no CVP.
Ajuda > Sobre:
Confirmação de nova versão
Na CLI, a versão pode ser verificada após a aceitação do Contrato de usuário.
Copyright 2004-2025, Cisco and/or its affiliates. All rights reserved.
Cisco is a registered trademark of Cisco Systems, Inc.
All other trademarks are property of their respective owners.
Cisco Firepower Extensible Operating System (FX-OS) v2.16.0 (build 4006)
Cisco Secure Firewall Management Center for VMware v7.6.2 (build 329)
>
> show version
-------------------[ firepower ]--------------------
Model : Secure Firewall Management Center for VMware (66) Version 7.6.2 (build 329)
UUID : 1c71ae24-1e60-11ed-8459-9758e19f1a24
Rules update version : 2022-01-06-001-vrt
LSP version : lsp-rel-20240417-2110
VDB version : 392
----------------------------------------------------
A alta disponibilidade do FMC após a atualização vai para o Split Brain, o par local (secundário) agora é uma atualização concluída.
Integração > Outra Integração > Alta Disponibilidade:
Cérebro dividido em alta disponibilidade
Etapa 5. Atualizar Peer Principal (Ativo)
Inicie sessão na unidade primária e confirme se o peer local é aquele com a versão mais antiga.
Integração > Outra Integração > Alta Disponibilidade:
Confirmar Versão de Par Local
Repita as etapas dois a quatro neste peer:
- Carregue o pacote de atualização.
-
Readiness Check (Verificação de preparação).
-
Atualizar dispositivo.
Etapa 6. Ativar o FMC desejado
Após a atualização ter sido concluída em ambos os CVP, lInicie a sessão no FMC em que deseja tornar a unidade Ativa e selecione a opção Make Me Ative.
Integração > Alta disponibilidade > Tornar-me ativo:
Selecione a unidade desejada como Ativa
Avisos sobre processos e sobregravar qualquer configuração feita no peer em standby, selecione SIM para continuar.
Aviso sobre Configuração de Substituição Ativa no Par em Espera
Selecione OK
Resolvendo o Split Brain
Aguarde até que a sincronização seja concluída. O peer remoto deve aparecer como Standby.
Alta Disponibilidade Temporariamente Degradada
Note: A sincronização pode levar até 20 minutos para ser concluída.
Implantar alterações pendentes na unidade Ativa do FMC para concluir o processo de atualização.
Validação
Após ambos os FMC estarem na mesma versão e a sincronização ter sido concluída, a guia Resumo de HA deve ter esta aparência.
Integração > Outra Integração > Alta Disponibilidade:
Sincronização concluída
aviso: Se o status de sincronização final mostrar degradado ou outro resultado diferente de OK, entre em contato com o TAC.
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
3.0 |
17-Oct-2025
|
Ortografia e Formatação, texto alternativo. |
2.0 |
31-May-2024
|
Texto alternativo, legendas da imagem, isenção de responsabilidade legal, ortografia e formatação atualizados. |
1.0 |
21-Jul-2023
|
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)