Introdução
Este documento descreve as etapas para atualizar um ambiente do Firewall Management Center (FMC) em alta disponibilidade (HA).
Requisitos
A Cisco recomenda que você conheça estes tópicos:
- Conceitos de alta disponibilidade
- configuração de FMC
Componentes Utilizados
As informações neste documento são baseadas em:
- Virtual Firewall Management Center (FMC), versão 7.1.0
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Overview
A atualização deve ser feita em um ponto de cada vez. Primeiro, pause a sincronização entre os correspondentes.
Em seguida, a atualização precisa ser feita primeiro no modo de espera, seguido pelo FMC ativo.
Aviso: Enquanto o peer em espera está trabalhando em pré-verificações/instalação, ambos os peers mudam para ativo; isso é chamado split-brain. É totalmente esperado durante a atualização. Durante esse período, você não deve fazer nem implantar nenhuma alteração de configuração. Se você fizer qualquer alteração de configuração, ela poderá ser perdida após a reinicialização da sincronização.
Pré-atualização
- Planeje seu caminho de atualização.
Em implantações de FMC, você geralmente atualiza o FMC e seus dispositivos gerenciados.
Sempre saiba qual atualização você acabou de executar e qual será a próxima.
- Leia todas as diretrizes de atualização e planeje as alterações de configuração.
- Verifique a largura de banda.
Certifique-se de que sua rede de gerenciamento tenha a largura de banda necessária para realizar grandes transferências de dados.
- Agendar janelas de manutenção.
- Faça backup da configuração antes e depois da atualização.
Sistema > Backup / Restauração > Backup do Firepower Management
Faça o download do backup em sua máquina local.
- Atualizar hospedagem virtual. Isso é necessário quando você estiver executando uma versão mais antiga do VMware.
- Verificar configurações
- Verificar sincronização NTP
- FMC: selecione System > Configuration > Time (Sistema > Configuração > Tempo).
- Dispositivos: use o comando CLI show time.
- Verifique o espaço em disco.
- Implante configurações. Em implantações de alta disponibilidade do FMC, você só precisa implantar do peer ativo.
- Verifique as tarefas em execução. Verifique se não há implantações pendentes.
Procedimento de atualização
Etapa 1. Pausar sincronização
Navegue até a guia Alta disponibilidade no FMC no par ativo
- Sistema > Integração > Alta disponibilidade
- Selecione Pausar Sincronização
- Aguarde até que a sincronização seja pausada, o status deve ser Pausado pelo usuário quando concluído.
O status da sincronização deve ser Pausado por usuário
Etapa 2. Carregar o pacote de atualização
Faça login na unidade de standby e carregue o pacote de atualização
- Sistema > Atualizações > Carregar atualização
- Procure o pacote baixado anteriormente da versão a ser atualizada.
Etapa 3. Verificação de preparação
Execute uma verificação de preparação no equipamento a ser atualizado.
- Clique no ícone de instalação ao lado do pacote de atualização apropriado.
- Selecione o equipamento que deseja verificar e clique em Verificar preparação
O progresso pode ser verificado no centro de mensagens
Mensagens > Tarefas > Em Execução
Depois de concluído, você pode ver o status nos Resultados da verificação de preparação.
Se obtivermos êxito, podemos continuar com a instalação do pacote.
Etapa 4. Instalar o pacote de atualização
- Selecione o equipamento a ser atualizado. Clique em Instalar
- Aviso para o cérebro dividido, clique em OK
O progresso pode ser verificado em Mensagens > Tarefas
Observação: a instalação leva cerca de 30 minutos para ser concluída.
Se você tiver Acesso CLI, o progresso pode ser verificado na pasta de atualização /var/log/sf; mova para o modo especialista e entre no acesso raiz
> expert
admin@firepower:~$ sudo su
Password:
root@firepower:/Volume/home/admin# cd /var/log/sf/
root@firepower:/var/log/sf# ls
Cisco_Secure_FW_Mgmt_Center_Upgrade-7.2.4
root@firepower:/var/log/sf/Cisco_Secure_FW_Mgmt_Center_Upgrade-7.2.4# ls
000_start AQ_UUID DBCheck.log exception.log flags.conf main_upgrade_script.log status.log status.log.202307180405 upgrade_readiness upgrade_status.json upgrade_status.log upgrade_version_build
root@firepower:/var/log/sf/Cisco_Secure_FW_Mgmt_Center_Upgrade-7.2.4# tail -f status.log
Quando a atualização for concluída, o FMC será reinicializado
ui:[100%] [1 mins to go for reboot]Running script 999_finish/999_zzz_complete_upgrade_message.sh...
ui:[100%] [1 mins to go for reboot] Upgrade complete
ui:[100%] [1 mins to go for reboot] The system will now reboot.
ui:System will now reboot.
Broadcast message from root@firepower (Tue Jul 18 05:08:57 2023):
System will reboot in 5 seconds due to system upgrade.
Broadcast message from root@firepower (Tue Jul 18 05:09:02 2023):
System will reboot now due to system upgrade.
ui:[100%] [1 mins to go for reboot] Installation completed successfully.
ui:Upgrade has completed.
state:finished
Broadcast message from root@firepower (Tue Jul 18 05:09:25 2023):
The system is going down for reboot NOW!
Após a reinicialização, o FMC físico deve mostrar o modelo correto na GUI do FMC > Ajuda > Sobre.
CLI, depois de aceitar o EULA
Copyright 2004-2023, Cisco and/or its affiliates. All rights reserved.
Cisco is a registered trademark of Cisco Systems, Inc.
All other trademarks are property of their respective owners.
Cisco Firepower Extensible Operating System (FX-OS) v2.12.0 (build 499)
Cisco Secure Firewall Management Center for VMware v7.2.4 (build 169)
>
> show version
-------------------[ firepower ]--------------------
Model : Secure Firewall Management Center for VMware (66) Version 7.2.4 (Build 169)
UUID : 1c71ae24-1e60-11ed-8459-9758e19f1a24
Rules update version : 2023-01-09-001-vrt
LSP version : lsp-rel-20220511-1540
VDB version : 353
----------------------------------------------------
Resumo de HA quando apenas o FMC em standby é atualizado
Etapa 5. Atualizar par ativo.
Repita as etapas 2 a 4 no dispositivo ativo.
Etapa 6. Ativar o FMC desejado
- Faça login no FMC que você deseja tornar o peer ativo.
Integração > Alta disponibilidade > opção Tornar-me ativo
- Avisos sobre processos e sobregravar qualquer configuração feita no peer em standby, selecione SIM para continuar.
- Aguarde até que a sincronização seja reiniciada e o outro FMC ative o modo de espera.
Observação: o progresso pode levar até 20 minutos.
Depois que ambos os FMC estiverem na mesma versão e a sincronização for concluída, a guia Resumo de HA deverá ter esta aparência:
Aviso: se o status de sincronização final mostrar degradado ou outro resultado que não OK, entre em contato com o TAC
Implantar alterações pendentes do FMC.