Date: 2017.10.04
Home / UTM Firewall. / おうちでUTM F/W - Sophos XG Firewall HA構成でのファームウェアアップデート編
Sophos XG Firewall Home Editionのファームウェアアップデート「SFOS 16.05.8 MR-8」がリリースされていました。
HA構成にしてから初のファームウェアアップデートです。
※大した更新がなかったのであえて記事にはしてなかったですが、「SFOS 16.05」にはリリース直後にアップグレード済、「SFOS 16.05.7 MR-7」まで適用済だったので今回はメンテナンスリリース適用になります。

さて、どうやるの?状態で軽く調べてみたけどいまいち情報を見つけられず、もういいやととりあえずやってみる事に。
レッツトライ。




まず、ピア側(Slave側)でファームウェア確認を行っても「新しいファームウェアの確認に失敗しました」となります。
Sophos XG Firewall Home Edition HA構成 ファームウェア(Slave)

これは恐らく、Slave側はたとえadminでログインしても変更権限を持たないからと思われます。
その証拠に、パターンファイルのアップデートでは手動で「今すぐ更新」を実行しても「設定を追加/変更する権限がありません。」と怒られます。
もしくはSlave側はアップデート確認をWAN側から行おうとしてもインターフェイスアドレス持ってないからかも。
まあ当たり前っちゃあ当たり前ですね。

ならとりあえずMaster側でやるしかない。
ダウンロードを終わらせ、「インストール」を選択します。
Sophos XG Firewall Home Edition HA構成 ファームウェア(Master)

で、しばらく待つと、「ファームウェアを適用しました。」となります。
この後、これまでの単体構成であれば自身が再起動したはずなのですが、メッセージをよく見ると「ピアデバイスが 'SFOS 16.05.8 MR-8' で再起動しています。」と。
Sophos XG Firewall Home Edition HA構成 ファームウェア適用開始(Master)


ん?ピアデバイス?

確かに、管理画面の接続もなかなか切れません。
更にしばし待ち続けていると、管理画面の接続が切れ、再度ログインするとSlave側にフェイルオーバーされていました。
そしてファームウェアは「SFOS 16.05.8 MR-8」に更新済。

じゃあ、元Master側はというと、再起動中でした。
再起動完了後、特にフェイルバックが発生しなかった(自動フェイルバックの概念がそもそもないし)ので、Master、Slaveが逆転した状態で完了となるようです。

簡単に流れをまとめると、
[Master]ファームウェア適用開始

[Slave]ファームウェア適用し、再起動

[Master]フェイルオーバーし、ファームウェア適用、再起動(逆で再起動したからフェイルオーバーしたかもだけど。)
[Slave]Masterに昇格

[元Master]適用完了後、そのままSlave動作

必要に応じて手動で構成を元に戻す

両方勝手に上げてくれるのはラクチンです。
この間、通信が切れるといった事もありませんでした。

ただ、逆に考えると片側だけ上げてみて動作確認⇒もう1台上げるといった事は基本できません。
無理やりするならSlave停止してMaster側だけ上げてみるですかね。(やってみないとどうなるか不明ですが。)
あと、正副が逆転して終わるのも中途半端。

まあ、何となくこれまでの経験から違和感があるだけで、これまで単体構成時からもファームウェアアップデートで何か問題が出たといった事もなかったので安定しているし慣れてくれば非常に運用が楽なファイアウォールであるのは間違いないです。

【関連記事】
おうちでUTM F/W - Sophos XG Firewall Home Edition 関連記事一覧。


Secret

TrackBackURL
→https://000dandelion000.blog.fc2.com/tb.php/251-25f43346