LoginSignup
0
0
@Senri551853(Deza @)

Paloaltoファームアップ大全

Last updated at Posted at 2023-12-31

はじめに

Paloalo製品のファームアップ機会が多いので備忘も兼ねて、実際のファームアップ作業までにやるべき作業、作業観点や概念なんかを作業初心者向けに記します。

ファームアップの目的と重要性

OSバージョンのサポート終了(End og Life)、または脆弱性が見つかった時の対処として実施します。

バージョンの読み方

panos.png

左からメジャーリリース、マイナーリリース、メンテナンスリリース、ホットフィクスと呼びます。

現在のバージョンを調べる

ログイン後のダッシュボード画面で確認できます。

OSのEoLを調べる

End-of-Life-summary

↑リンクから確認できます。EoLの日を迎える前を作業ターゲット日に準備を進めましょう。

EoLを迎えると直ちに動作しなくなることはありません。ですが、サポート期間外になってしまうので「壊れたり、新たに不具合が起きたり、脆弱性を突かれて攻撃されても保証外だよ」って扱いになるのでファームアップするのが基本です。

ターゲットにするバージョンを決める

方法はいくつかあります。

①公式の推奨バージョンを調べる
CSPアカウントを持っているなら、ポータル画面から公式がprefered(推奨)としているバージョンを見ることができます。

CSP(Customer Support Portal)アカウントとは、panosファイルやシグネチャファイルのダウンロードするのに必要なアカウントで、製品購入時にアカウント作成します。

情報は日々更新されているので、作業を計画していたら数か月経ち、推奨バージョンが変わることもあります。ホットフィクスリリースが進んだのなら、より不具合が改善されているので採用してもよいでしょう。しかし2、3番目の数字が変わっているときは、新たな不具合が報告されてる場合があるので要注意。

またEnd-of-Life-summaryを見てEoLを確認します。
ファームアップしてEoLが2年後なら安心ですが、1年以内だとまた作業費用が発生するのでユーザと相談が必要です。

②詳しい人や最近ファームアップ作業した人に聞く
③サポートに問い合わせる
ただし、貰った情報の裏は自分でもとること。サポートも人間なのでたまに間違った情報を持ってくることもある。

公式不具合情報を調べる

各OSでは、一部の機能がおかしくなったり、正しい表示にならない不具合が存在します。なので時間をかけて調査する必要があります。見切り発車でファームアップして、重要な機能に影響がでてしまい切り戻すことは避けたいものです。

やり方は色々ありますが、以下が順番が堅実かと思います。

  1. 各OSに存在するPAN-OS Known Issuesを見て、ファームアップ対象製品が、その不具合が起こりうるのかを精査する。この作業はかなり大変で時間を取られるので自動化してうまく効率化しています。
    https://qiita.com/Senri551853/items/61f939003af7be60478a

  2. 読んでも分からない、機能を使っているか判断がつかないものはサポートに質問する。

  3. 精査が完了したらユーザと相談、ターゲットバージョンを決める。
    「この機能使ってませんか?」「こういう不具合が起きますが、対処が可能なものです」などを話して、ターゲットバージョンを合意しましょう。

ファームアップ手順・経由バージョンを調べる

以下1、2の併用がよいです。

  1. Determine the Upgrade Path to PAN-OS 10.2からファームアップ手順を確認する
    1. を踏まえてサポートに問い合わせる

例えば、9.1.xで稼働しているPA5220を11.1.xまでファームアップを計画したとします。このときのファームアップステップは9.1.x → 10.1.x → 10.2.x → 11.1.xのようになります。

9.1.xから直接に11.1.xへ(メジャーリリース番号を飛び越える)はできません。
さらに、特定のバージョンを経由せよと指示がある場合があるので要注意。

ファームアップ手順は別記事にて作成予定

ダウングレード手順・経由バージョンを調べる

ファームアップして思わぬ不具合や、業務影響が出てしまったときに備えてダウングレード手順も確認します。

こちらも1、2の併用がよいです。

  1. Downgrade PAN-OSからファームアップ手順を確認する。
    メンテナンスリリースのみ下げる場合(例えば10.2.4 →10.2.3)と、PAN-OSバージョンの1桁目または2桁目が変更される場合(9.1.2から9.0.8、9.0.3から8.1.14)とで経由するバージョンが異なるので注意しましょう。

    1. を踏まえてサポートに問い合わせる

事前検証する

事前検証無しのファームアップほど恐ろしいものはありません。あまりにも無策すぎるからです。なるべく実際の環境を再現してテストしましょう。

1回のファームアップにかかる時間、ファームアップ過程で発生する不具合と対処法、通信影響が出ないか、GUIはおかしくなっていないかを確認します。

不具合のなかには、必ず発生するものもあれば数回に1回しか起きないものもあります。やや運ゲー要素を含みますが、ここの諸問題への対応を万全にするために事前のOS不具合調査は入念に行います。

ファームアップ作業実施

ここまでやってようやく作業です。
作業手順やタイムスケジュールをまとめて各所に展開します。監視部隊にも連絡して作業の旨を連絡します。

ファームアップが完了したら、ダッシュボードでバージョンを確認し、通信に影響が出ていないか確認して完了になります。HA構成ならActive/Stanbyを切り替えてテストもしましょう。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0