ADC

Support für Software-Upgrades im Dienst für Hochverfügbarkeit bei Upgrades ohne Ausfallzeiten

Während eines regulären Upgrade-Vorgangs in einem Hochverfügbarkeits-Setup (HA) führen beide Knoten irgendwann unterschiedliche Software-Builds aus. Diese beiden Builds können dieselben oder unterschiedliche interne HA-Versionsnummern haben.

Wenn beide Builds unterschiedliche HA-Versionsnummern haben, wird das Verbindungs-Failover (auch wenn es aktiviert ist) für bestehende Datenverbindungen nicht unterstützt. Mit anderen Worten, alle vorhandenen Datenverbindungen gehen verloren, was zu Ausfallzeiten führt.

Um dieses Problem zu beheben, kann in Service Software Upgrade (ISSU) für HA-Setups verwendet werden. ISSU führt eine Migrationsfunktion ein, die den Schritt des Force-Failover-Vorgangs im Aktualisierungsprozess ersetzt. Die Migrationsfunktion berücksichtigt die vorhandenen Verbindungen und umfasst den Force-Failover-Vorgang.

Nachdem ein Migrationsvorgang durchgeführt wurde, erhält der neue primäre Knoten immer Datenverkehr (Anfrage und Antwort) in Bezug auf die vorhandenen Verbindungen, leitet sie jedoch zum alten primären Knoten. Der alte primäre Knoten verarbeitet den Datenverkehr und sendet ihn dann direkt an das Ziel.

So funktioniert das erweiterte ISSU

Der reguläre Upgrade-Prozess in einem HA-Setup besteht aus den folgenden Schritten:

  1. Aktualisieren Sie den sekundären Knoten. Dieser Schritt umfasst ein Software-Upgrade des sekundären Knotens und einen Neustart des Knotens.

  2. Failover erzwingen. Durch Ausführen des Force-Failovers wird der aktualisierte sekundäre Knoten zum primären Knoten und der primäre Knoten zum sekundären Knoten.

  3. Aktualisieren Sie den neuen sekundären Knoten. Dieser Schritt umfasst ein Software-Upgrade des neuen sekundären Knotens und einen Neustart des Knotens.

Während des Zeitraums zwischen Schritt 1 und Schritt 3 führen beide Knoten unterschiedliche Software-Builds aus. Diese beiden Builds können dieselben oder unterschiedliche interne HA-Versionen haben.

Wenn beide Builds unterschiedliche HA-Versionsnummern haben, wird das Verbindungs-Failover (auch wenn es aktiviert ist) für bestehende Datenverbindungen nicht unterstützt. Mit anderen Worten, alle vorhandenen Datenverbindungen gehen verloren, was zu Ausfallzeiten führt.

Der ISSU-Upgrade-Prozess in einem HA-Setup besteht aus den folgenden Schritten:

  1. Aktualisieren Sie den sekundären Knoten. Dieser Schritt umfasst ein Software-Upgrade des sekundären Knotens und einen Neustart des Knotens.

  2. ISSU-Migrationsvorgang. Der Schritt umfasst den Force-Failover-Vorgang und kümmert sich um die vorhandenen Verbindungen. Nachdem Sie den Migrationsvorgang durchgeführt haben, empfängt der neue primäre Knoten immer den Datenverkehr (Anfrage und Antwort), der sich auf die vorhandenen Verbindungen bezieht, leitet ihn jedoch über das konfigurierte SYNC-VLAN (falls konfiguriert) im GRE-Tunnel zum alten primären Knoten weiter. Der alte primäre Knoten verarbeitet den Datenverkehr und sendet ihn dann direkt an das Ziel. Der ISSU-Migrationsvorgang ist abgeschlossen, wenn alle vorhandenen Verbindungen geschlossen sind.

  3. Aktualisieren Sie den neuen sekundären Knoten. Dieser Schritt umfasst ein Software-Upgrade des neuen sekundären Knotens und einen Neustart des Knotens.

Voraussetzungen

Bevor Sie mit der Durchführung des ISSU-Prozesses in einem HA-Setup beginnen, sollten Sie die folgenden Voraussetzungen, Einschränkungen und Punkte beachten:

  • Stellen Sie sicher, dass die Kapazität der Schnittstelle, an der die MAC-Adresse der Peer-NSIP-Adresse aufgelöst wird, gleich oder größer als die Kapazität der Client- oder Serverschnittstelle ist. Stellen Sie sich beispielsweise die folgenden Szenarien vor:

    • Die MAC-Adresse der Peer-NSIP-Adresse wird auf der Schnittstelle 1/x aufgelöst, und die Datenschnittstelle ist 10/x. In diesem Szenario dürfen Sie ISSU nicht ausführen, da die Kapazität der Schnittstelle, auf der die MAC-Adresse aufgelöst wird, geringer ist als die der Datenschnittstelle.
    • Die MAC-Adresse der Peer-NSIP-Adresse wird auf der Schnittstelle 10/x aufgelöst, und die Datenschnittstelle ist 10/x. In diesem Szenario können Sie ISSU ausführen, da die Kapazität der Schnittstelle, auf der die MAC-Adresse aufgelöst wird, der der Datenschnittstelle entspricht.
  • Stellen Sie sicher, dass SYNC VLAN auf beiden Knoten des HA-Setups konfiguriert ist. Weitere Informationen finden Sie unter Beschränken des Synchronisationsdatenverkehrs für hohe Verfügbarkeit auf ein VLAN.

Hinweis:

Die SYNC-VLAN-Konfiguration wird nur in L2 HA unterstützt. Es wird für den HA-INC-Modus nicht unterstützt.

  • ISSU wird in der Microsoft Azure-Cloud nicht unterstützt, da Microsoft Azure kein GRE-Tunneling unterstützt.
  • Die Propagierung und Synchronisation der HA-Konfiguration funktioniert während der ISSU nicht.
  • ISSU wird für das IPv6-HA-Setup nicht unterstützt.
  • ISSU wird mit Admin-Partitionen nicht unterstützt.
  • ISSU wird in den folgenden Sitzungen nicht unterstützt:

    • Jumbo-Rahmen
    • IPv6-Sitzungen
    • NAT (LSN) in großem Maßstab
  • In einem HA-Setup im INC-Modus migriert der ISSU-Migrationsvorgang nur die clientseitigen Verbindungen. Die Migration serverseitiger Verbindungen ist nicht erforderlich, da beide HA-Knoten über unabhängige SNIP-Konfigurationen verfügen.
  • Für die SYNC-VLAN-Konfiguration wird empfohlen, die SYNC-VLAN-MTU um mindestens 42 Byte zu erhöhen.

Konfigurationsschritte

ISSU enthält eine Migrationsfunktion, die den erzwungenen Failover-Vorgang im regulären Upgrade-Prozess eines HA-Setups ersetzt. Die Migrationsfunktion berücksichtigt die vorhandenen Verbindungen und umfasst den Force-Failover-Vorgang.

Während des ISSU-Prozesses eines HA-Setups führen Sie den Migrationsvorgang unmittelbar nach dem Upgrade des sekundären Knotens aus. Sie können den Migrationsvorgang von einem der beiden Knoten aus ausführen.

CLI-Verfahren

So führen Sie den HA-Migrationsvorgang mit der CLI durch:

Geben Sie an der Eingabeaufforderung Folgendes ein:

start ns migration
<!--NeedCopy-->

GUI-Verfahren

So führen Sie den HA-Migrationsvorgang mit der GUI durch:

Navigieren Sie zur Registerkarte System > Systeminformationen > Migration. Klicken Sie auf Migration starten.

ISSU Statistiken anzeigen

Sie können die ISSU-Statistiken zur Überwachung des aktuellen ISSU-Prozesses in einem HA-Setup anzeigen. In der ISSU-Statistik werden folgende Informationen angezeigt:

  • Aktueller Stand des ISSU-Migrationsvorgangs
  • Startzeit des ISSU-Migrationsvorgangs
  • Endzeit des ISSU-Migrationsvorgangs
  • Startzeit des ISSU Rollback-Vorgangs
  • Gesamtzahl der Verbindungen, die im Rahmen des ISSU-Migrationsvorgangs verarbeitet werden
  • Anzahl der verbleibenden Verbindungen, die im Rahmen des ISSU-Migrationsvorgangs verarbeitet werden

Sie können die ISSU-Statistiken auf jedem der HA-Knoten mithilfe der CLI oder der GUI anzeigen.

CLI-Verfahren

So zeigen Sie die ISSU-Statistiken über die CLI an:

Geben Sie an der Eingabeaufforderung Folgendes ein:

show ns migration
<!--NeedCopy-->

GUI-Verfahren

So zeigen Sie die ISSU-Statistiken mit der GUI an:

Navigieren Sie zur Registerkarte System > Systeminformationen > Migration. Klicken Sie auf Klicken, um die Migrationsdetails anzuzeigen.

ISSU-Statistiken anzeigen — die Liste der vorhandenen Verbindungen, die der alte primäre Knoten verarbeitet

Sie können die Liste der vorhandenen Verbindungen anzeigen, die der alte primäre Knoten als Teil des ISSU-Migrationsvorgangs bedient, indem Sie die Option dumpsession(Dump Session) des Vorgangs show migration verwenden.

Der Showmigrationsvorgang mit der Option dumpsession darf während des ISSU-Vorgangs nur auf dem neuen primären Knoten ausgeführt werden.

CLI-Verfahren

So zeigen Sie die Liste der vorhandenen Verbindungen an, die der alte primäre Knoten mithilfe der CLI verarbeitet:

Geben Sie an der Eingabeaufforderung Folgendes ein:

show ns migration –dumpsession YES
<!--NeedCopy-->
> sh migration -dumpsession yes

Index   remote-IP-port          local-IP-port           idle-time(x 10ms)

1       192.0.2.10      22      192.0.2.1       15998       703
2       198.51.100.20   7375    98.51.100.2     22          687
3       203.0.113.30    5506    203.0.113.3     22          687


<!--NeedCopy-->

GUI-Verfahren

So zeigen Sie die Liste der vorhandenen Verbindungen an, die der alte primäre Knoten mit der GUI verarbeitet:

Navigieren Sie zur Registerkarte System > Systeminformationen > Migration. Klicken Sie auf Klicken, um Migrationsverbindungen anzuzeigen.

Rollback des ISSU-Prozesses

HA-Setups unterstützen jetzt das Rollback des In Service Software Upgrade (ISSU) -Prozesses. Die ISSU-Rollback-Funktion ist hilfreich, wenn Sie feststellen, dass das HA-Setup während des ISSU-Migrationsvorgangs nicht stabil ist oder nicht wie erwartet auf einem optimalen Niveau funktioniert.

Das ISSU-Rollback ist anwendbar, wenn der ISSU-Migrationsvorgang im Gange ist. Das ISSU-Rollback funktioniert nicht, wenn der ISSU-Migrationsvorgang bereits abgeschlossen ist. Mit anderen Worten, Sie müssen den ISSU-Rollback-Vorgang ausführen, wenn der ISSU-Migrationsvorgang ausgeführt wird.

Das ISSU-Rollback funktioniert je nach Status des ISSU-Migrationsvorgangs unterschiedlich, wenn der ISSU-Rollback-Vorgang ausgelöst wird:

  • Während desISSU-Migrationsvorgangs ist noch kein erzwungenes Failover aufgetreten. Das ISSU-Rollback stoppt den ISSU-Migrationsvorgang und entfernt alle internen Daten im Zusammenhang mit der ISSU-Migration, die auf beiden Knoten gespeichert sind. Der aktuelle primäre Knoten bleibt der primäre Knoten und verarbeitet weiterhin den Datenverkehr im Zusammenhang mit bestehenden und neuen Verbindungen.

  • Während der ISSU-Migration ist ein erzwungenes Failoveraufgetreten Wenn das HA-Failover während des ISSU-Migrationsvorgangs passiert ist, verarbeitet der neue primäre Knoten (sagen wir, es ist N1) den Datenverkehr im Zusammenhang mit den neuen Verbindungen. Der alte primäre Knoten (neuer sekundärer Knoten, z. B. N2) verarbeitet den Datenverkehr im Zusammenhang mit den alten Verbindungen (vorhandene Verbindungen vor dem ISSU-Migrationsvorgang).

    Das ISSU Rollback stoppt den ISSU-Migrationsvorgang und löst ein erzwungenes Failover aus. Der neue primäre Knoten (N2) beginnt nun mit der Verarbeitung des Datenverkehrs im Zusammenhang mit den neuen Verbindungen. Der neue primäre Knoten (N2) verarbeitet auch weiterhin den Verkehr im Zusammenhang mit alten Verbindungen (bestehende Verbindungen, die vor dem ISSU-Migrationsvorgang eingerichtet wurden). Mit anderen Worten, die vorhandenen Verbindungen, die vor dem ISSU-Migrationsvorgang hergestellt wurden, gehen nicht verloren.

    Der neue sekundäre Knoten (N1) entfernt alle vorhandenen Verbindungen (neue Verbindungen, die während des ISSU-Migrationsvorgangs erstellt wurden) und verarbeitet keinen Datenverkehr. Mit anderen Worten, alle vorhandenen Verbindungen, die nach dem erzwungenen Failover des ISSU-Migrationsvorgangs hergestellt wurden, gehen für immer verloren.

Konfigurationsschritte

Sie können die NetScaler CLI oder die GUI verwenden, um den ISSU-Rollback-Vorgang durchzuführen.

CLI-Verfahren

So führen Sie den ISSU-Rollback-Vorgang mit der CLI durch:

Geben Sie an der Eingabeaufforderung Folgendes ein:

stop ns migration
<!--NeedCopy-->

GUI-Verfahren

So führen Sie den ISSU-Rollback-Vorgang mit der GUI durch:

Navigieren Sie zur Registerkarte System > Systeminformationen > Migration. Klicken Sie auf Migration beenden.

SNMP-Traps für den Software-Upgrade-Prozess im Dienst

Der In Service Software Upgrade (ISSU) -Prozess für ein HA-Setup unterstützt die folgenden SNMP-Trap-Nachrichten zu Beginn und am Ende des ISSU-Migrationsvorgangs.

SNMP-Trap Beschreibung
migrationStarted Dieser SNMP-Trap wird generiert und an die konfigurierten SNMP-Trap-Listener gesendet, wenn der ISSU-Migrationsvorgang gestartet wird.
migrationComplete Dieser SNMP-Trap wird generiert und an die konfigurierten SNMP-Trap-Listener gesendet, wenn der ISSU-Migrationsvorgang abgeschlossen ist.

Der primäre Knoten (vor dem Start des ISSU-Prozesses) generiert immer diese beiden SNMP-Traps und sendet sie an die konfigurierten SNMP-Trap-Listener.

Mit den ISSU SNMP-Traps sind keine SNMP-Alarme verknüpft. Mit anderen Worten, diese Traps werden unabhängig von einem SNMP-Alarm generiert. Sie müssen nur die Trap SNMP Listener konfigurieren.

Weitere Informationen zum Konfigurieren von SNMP-Trap-Listener finden Sie unter SNMP-Traps auf NetScaler.

Support für Software-Upgrades im Dienst für Hochverfügbarkeit bei Upgrades ohne Ausfallzeiten