FortiGate HA 클러스터의 펌웨어 수동 업그레이드 방법

HA에서는 기본적으로 'uninterruptable-upgrade'를 사용하여 자동으로 무중단 업그레이드하게 된다.

 

하지만, 이전 펌웨어로 롤백에 대비하여 따로 따로 수동으로 업그레이드 하는 방법이다.

FGT-1 : Primary

FGT-2 : Secondary

 

1. FGT-2 (Secondary) 장비 분리

• FGT-2 장비의 HA link와 MGMT 인터페이스(해당하는 경우)를 제외한 모든 네트워크 인터페이스 연결 해제 
• FGT-1(Primary) 장비가 트래픽 정상 처리하는지 확인
• HA 인터페이스도 분리
• FGT-2 장비에 PC를 연결하여 펌웨어 업그레이드
• 업그레이드후 콜솔상의 에러가 없는지 확인
• FGT-2 장비 cofnig backup하여 FGT-1 장비 cofnig와 다른점 비교
• 두 버전간 차이 확인 : default 설정이 변경되었을 수 있음

2. FGT-2 장비를 Primary 장비로 교체

• FGT1에서 HA 케이블을 포함한 모든 케이블을 분리
• FGT-2에 가능한 빨리 모든 케이블 연결 (세션 동기화 안됨)
• 적절한 시간 동안 FGT-2를 통해서 네트워크 통신 및 서비스에 문제가 없는지 확인

3. FGT-1 펌웨어 업그레이드 및 HA 클러스터 연동

• FGT-1 업그레이드
• FGT-2 coinfig와 FGT-1 config 비교 : 다른점 없어야 함
• HA 체크섬 비교 : diagnose sys ha checksum cluster
• 클러스터 연동 시 어떤 장치가 Primary로 동작할 지 확인( prioriy와 HA override 설정 등) : FGT-2가 계속 Primary로 계속 동작할지에 대한 결정
• FGT-1와 FGT-2의 HA link 연결 : 다른 인터페이스 연결 없기 때문에 FGT-2가 여전히 Primary
• 설정이 동기화 되는지 확인 : HA 체크섬 확인
• FGT-1의 다른 인터페이스도 연결

4. Fail-over 테스트

• Primary 장치의 모니터링되는 인터페이스 연결 해제 
• 또는 "diagnose sys ha reset-uptime"