Mise à jour logicielle d'un cluster
La méthode ci-dessous est destinée à limiter les perturbations de production lors de la mise à jour logicielle d'un cluster de firewalls.
Mettre à jour le firewall passif
- Connectez-vous à l'interface Web d'administration du cluster.
- Si des modifications de configuration n'ont pas été synchronisés, cliquez sur l'icône afin de provoquer une synchronisation de configuration avant la mise à jour du cluster.
- Dans le menu Configuration > Système > Maintenance > onglet Mise à jour du système, sélectionnez le fichier de mise à jour (champ Sélectionnez la mise à jour),
- Dans le champ Firewall à mettre à jour, sélectionnez L'autre firewall (distant).
- Cliquez sur Mettre à jour le firewall.
- Validez le message d'avertissement Un autre membre du groupe de firewalls (cluster) va redémarrer en cliquant sur OK.
- Attendez le redémarrage du firewall distant.
Si votre firewall est équipé d'un TPM (Trusted Platform Module)
Lors d'une mise à jour de firmware, les registres PCR (Platform Configuration Registers) connus du TPM peuvent être modifiés, rendant alors l'accès aux secrets stockés dans le TPM non fonctionnel. Il est alors nécessaire de mettre à jour la politique d'accès au TPM en actualisant les valeurs de PCR. Ainsi, pour tout cluster en version SNS 4.3.3 ou supérieure, lorsque le membre passif du cluster a redémarré suite à sa mise à jour, vous pouvez appliquer la procédure suivante :
- Dans l'interface Web d'administration du membre actif du cluster, placez-vous dans le module Système > Console / CLI.
- Tapez la commande SYSTEM TPM PCRSEAL tpmpassword=<password> serial=passive et cliquez sur Exécuter.
Plus d'information sur la commande SYSTEM TPM PCRSEAL.
Mettre à jour le firewall actif
Lorsque le membre passif du cluster a redémarré suite à sa mise à jour :
- Retournez dans le menu Configuration > Système > Maintenance > onglet Mise à jour du système.
- Sélectionnez le fichier de mise à jour (champ Sélectionnez la mise à jour).
- Dans le champ Firewall à mettre à jour, choisissez Ce firewall.
- Cliquez sur Mettre à jour le firewall.
- L'autre membre du cluster devient actif et les connexions traversant le cluster ne sont pas interrompues.
Si votre firewall est équipé d'un TPM (Trusted Platform Module)
- Dans l'interface Web d'administration du membre actif du cluster, placez-vous dans le module Système > Console / CLI.
- Tapez la commande SYSTEM TPM PCRSEAL tpmpassword=<password> serial=passive et cliquez sur Exécuter.