Introdução
Este documento descreve as etapas para atualizar um ambiente do Secure Firewall Management Center (FMC) em alta disponibilidade (HA).
Pré-requisitos
Requisitos
A Cisco recomenda que você conheça estes tópicos:
- Conceitos de alta disponibilidade
- Configuração segura do FMC
Componentes Utilizados
As informações neste documento são baseadas no Secure FMC virtual, versão 7.1.0.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Informações de Apoio
A atualização deve ser um par de cada vez.
Primeiro, pause a sincronização entre os correspondentes.
Em seguida, a atualização precisa ser feita primeiro no modo de espera, seguido pelo FMC ativo.
Aviso: Enquanto o peer em espera está trabalhando em pré-verificações/instalação, ambos os peers mudam para ativo; isso é chamado split-brain.
É totalmente esperado durante a atualização. Durante esse período, você não deve fazer nem implantar nenhuma alteração de configuração.
Se você fizer qualquer alteração de configuração, ela poderá ser perdida após a reinicialização da sincronização.
Pré-atualização
- Planeje seu caminho de atualização. Em implantações de FMC, você geralmente atualiza o FMC e seus dispositivos gerenciados. Sempre saiba qual atualização você acabou de executar e qual será a próxima.
- Leia todas as diretrizes de atualização e planeje as alterações de configuração.
- Verifique a largura de banda. Certifique-se de que sua rede de gerenciamento tenha a largura de banda necessária para realizar grandes transferências de dados.
- Agendar janelas de manutenção.
- Faça backup da configuração antes e depois da atualização. System > Back up / Restore > Backup do Firepower Management. Faça o download do backup em sua máquina local.
- Atualizar hospedagem virtual. Isso é necessário quando você estiver executando uma versão mais antiga do VMware.
- Verifique as configurações.
- Verifique a sincronização do NTP.
FMC: selecione System > Configuration > Time.
Dispositivos: use o comando CLI show time.
- Verifique o espaço em disco.
- Implante configurações. Em implantações de alta disponibilidade do FMC, você só precisa implantar do peer ativo.
- Verifique as tarefas em execução. Verifique se não há implantações pendentes.
Procedimento de atualização
Etapa 1. Pausar Sincronização
Na unidade Ativa, navegue até a guia Alta disponibilidade no FMC.
Sistema > Integração > Alta disponibilidade
Pausar sincronização. Selecionar sistema e integração
Pausar sincronização. Selecionar alta disponibilidade
Selecione Pausar Sincronização.
Pausar Sincronização
Aguarde a sincronização ser pausada. O status deve ser Pausado pelo usuário quando concluído.
O Status da Sincronização deve ser Pausado por Usuário
Etapa 2. Carregar o Pacote de Atualização
Faça login na unidade em standby e carregue o pacote de atualização.
Sistema > Atualizações > Carregar atualização
Carregar o Pacote de Atualização
Procure o pacote baixado anteriormente da versão a ser atualizada.
Selecionar arquivo de atualização
Etapa 3. Verificação de preparação
Execute uma verificação de preparação no equipamento a ser atualizado.
Clique no ícone install ao lado do pacote de atualização apropriado.
Instalar Pacote de Atualização para Verificação de Preparação
Selecione o equipamento que deseja verificar e clique em Verificar preparação.
Selecione Verificar Preparação
O progresso pode ser verificado no centro de mensagens.
Mensagens > Tarefas > Em Execução
Verificação de Preparação em Andamento
Depois de concluído, você pode ver o status nos Resultados da verificação de preparação.
Se obtiver êxito, você poderá continuar a instalação do pacote.
Etapa 4. Instalar o Pacote de Atualização
Selecione o equipamento a ser atualizado. Clique em Instalar.
Instalar o Pacote de Atualização
Aviso para o cérebro dividido, clique em OK.
Aviso sobre o Split Brain
O progresso pode ser verificado em Mensagens > Tarefas.
Instalação do monitor
Observação: a instalação leva cerca de 30 minutos para ser concluída.
Se você tiver Acesso à CLI, o progresso pode ser verificado na pasta de atualização /var/log/sf; mova para o modo especialista e digite root access.
> expert
admin@firepower:~$ sudo su
Password:
root@firepower:/Volume/home/admin# cd /var/log/sf/
root@firepower:/var/log/sf# ls
Cisco_Secure_FW_Mgmt_Center_Upgrade-7.2.4
root@firepower:/var/log/sf/Cisco_Secure_FW_Mgmt_Center_Upgrade-7.2.4# ls
000_start AQ_UUID DBCheck.log exception.log flags.conf main_upgrade_script.log status.log status.log.202307180405 upgrade_readiness upgrade_status.json upgrade_status.log upgrade_version_build
root@firepower:/var/log/sf/Cisco_Secure_FW_Mgmt_Center_Upgrade-7.2.4# tail -f status.log
Quando a atualização for concluída, o FMC será reinicializado.
ui:[100%] [1 mins to go for reboot]Running script 999_finish/999_zzz_complete_upgrade_message.sh...
ui:[100%] [1 mins to go for reboot] Upgrade complete
ui:[100%] [1 mins to go for reboot] The system will now reboot.
ui:System will now reboot.
Broadcast message from root@firepower (Tue Jul 18 05:08:57 2023):
System will reboot in 5 seconds due to system upgrade.
Broadcast message from root@firepower (Tue Jul 18 05:09:02 2023):
System will reboot now due to system upgrade.
ui:[100%] [1 mins to go for reboot] Installation completed successfully.
ui:Upgrade has completed.
state:finished
Broadcast message from root@firepower (Tue Jul 18 05:09:25 2023):
The system is going down for reboot NOW!
Após a reinicialização, o FMC físico deve mostrar o modelo correto no FMC.
GUI > Ajuda > Sobre
Informações sobre o modelo e a versão no CVP
Integração > Alta disponibilidade
Resumo de HA quando apenas o FMC em standby é atualizado
Através do CLI, a versão pode ser verificada após aceitar o EULA.
Copyright 2004-2023, Cisco and/or its affiliates. All rights reserved.
Cisco is a registered trademark of Cisco Systems, Inc.
All other trademarks are property of their respective owners.
Cisco Firepower Extensible Operating System (FX-OS) v2.12.0 (build 499)
Cisco Secure Firewall Management Center for VMware v7.2.4 (build 169)
>
> show version
-------------------[ firepower ]--------------------
Model : Secure Firewall Management Center for VMware (66) Version 7.2.4 (Build 169)
UUID : 1c71ae24-1e60-11ed-8459-9758e19f1a24
Rules update version : 2023-01-09-001-vrt
LSP version : lsp-rel-20220511-1540
VDB version : 353
----------------------------------------------------
Etapa 5. Atualizar Par Ativo
Repita as etapas dois a quatro na unidade Ativa:
- Carregue o pacote de atualização.
-
Readiness Check (Verificação de preparação).
-
Instale o Pacote de Atualização.
Etapa 6. Ativar o FMC desejado
Após a atualização ter sido concluída em ambos os FMC, faça login no FMC em que deseja tornar a unidade Ativa e selecione a opção Make Me Ative.
Integração > Alta disponibilidade > Tornar-me ativo
Ativar o FMC desejado
Avisos sobre processos e sobregravar qualquer configuração feita no peer em standby, selecione SIM para continuar.
Aviso sobre Configuração de Substituição Ativa no Par em Espera
Selecione OK
Resolvendo o Split Brain
Aguarde até que a sincronização seja reiniciada e o outro FMC ative o modo de espera.
Sincronização do FMC
Observação: a sincronização pode levar até 20 minutos para ser concluída.
Implantar alterações pendentes na unidade Ativa do FMC para concluir o processo de atualização.
Validação
Após ambos os FMC estarem na mesma versão e a sincronização ter sido concluída, a guia Resumo de HA deve ter a seguinte aparência:
Integração > Alta disponibilidade
Validação da atualização no FMC
Aviso: se o status de sincronização final mostrar degradado ou outro resultado diferente de OK, entre em contato com o TAC.