Skip to main content

Upgrade de BIG-IP F5 LTM en modo HA

Introducción

Dada una situación de HA con 2 equipos BIG-IP F5 LTM, se plantea el upgrade (que no update) de ambos desde la versión 14.1.4 a la 15.1.8. 

La configuración de ambos equipos es en modo Active/Standby según la siguiente imagen:

image.png

Antes de nada hay que tener en cuenta que la caracteristica HA Groups no está habilitada (es decir no hay un objecto HA group). Sin embargo sí se tiene HA en el sentido de que hay un grupo de dos dispositivos BIP-IP y un traffic-group (aunque no hay balanceo realmente, dado que todos los objetos se distribuyen en único traffic-group).

Configure HA Groups on BIG-IP

Para el proceso de upgrade se siguen las indicaciones del siguiente KB:

K02693745: Prepare to update or upgrade the BIG-IP system | BIG-IP update and upgrade guide

Hay que diferenciar entre upgrade y update:

  • Upgrade: A version that introduces new features, hardware support, and specific performance improvements.
  • Update: A version that introduces product defect and security fixes.

image.png

Si en la nueva versión cambian los dos primeros números (por ejemplo en este caso se pasa de la 14.1.4.6 a la 15.1.8.0) se trata de un upgrade. Si cambian los 2 últimos (como sería en el caso de la 14.1.4.6 a la 14.1.5.7), es una update.

Backup

Como paso previo, realizar primero un backup en ambos F5. El archivo de backup en la versión 14.1.4 se denomina user configuration set (UCS) y contiene la configuración necesaria para restaurar completamente la configuración actual en caso de RMA/fallo...

El fichero UCS es un comprimido que contiene:

  • All BIG-IP-specific configuration files
  • BIG-IP product licenses
  • User accounts and password information
  • DNS zone files and the ZoneRunner configuration
  • SSL certificates and keys
  • Startup ZebOS configuration

A typical UCS archive contains user accounts, passwords, critical system files, and SSL private keys. However, you can explicitly exclude SSL private keys from a UCS archive during the backup process. If your UCS archive contains SSL private keys, you must store backup UCS archives in an environment that is as secure as where you store your private keys. Please note that attempting to restore the BIG-IP configuration from a UCS archive without SSL private keys can fail, as the SSL keys are required to load the configuration into memory.

K4423: Overview of UCS archives

Por lo tanto, hay que crear el archivo UCS y guardarlo en una ubicación remota en caso de que sea necesario para un recovery. Los pasos para generarlo son los siguientes:

1. Hacer login en la Configuration Utility (web)
2. Ir a System > Archives
3. Seleccionar Create

image.png

4. Introducir un nombre para el archivo .ucs y seleccionar Finished

image.png

5. Una vez creado el archivo, podemos hacer clic en el en la pantalla del paso 3 y descargarlo 

image.png

Los archivos .ucs se encuentran en la ruta /var/local/ucs/

License checks

Dos términos a tener en cuenta:

  • Service check date
  • License check date

Cuando se lanzan nuevas versiones de BIG-IP, estas llevan asociadas una license check date que podría entenderse como la fecha en la que se lanzararon (aprox.)

  • Por ejemplo, para la versión que queremos instalar, 15.1.8, la license check date es 5-11-2019
  • Por ejemplo, para la versión 17.0.0, la license check date es 31-3-2022

Se puede ver la tabla correspondiente a: versión - license check date aquí.

Por otro lado, la service check date es como su nombre indica otra fecha, localizada en el archivo de licencia del sistema BIG-IP, que corresponde con la fecha cuando se activo por última vez la licencia o la fecha en la que termina el contrato de servicio (entre estas dos opciones, se muestra la que sea más antigua)

La service check date se actualiza cada vez que la licencia es reactivada, siempre y cuando haya un contrato de servicio activo para ese sistema BIG-IP.

Se puede comprobar la service check date de la siguiente manera:

1. Loguearse por SSH
2. Ir a cd /config 
3. Filtrar por grep "Service check date" bigip.license

image.png

Como se observa, la service check date tiene por valor 21 de agosto de 2022 (comprobar también en el otro BIG-IP).

Cuando se hace un upgrade, la service check date debe ser superior a la license check date de la versión que se está instalando.

Cuando se hace un upgrade, el proceso de instalación no verifica la service check date contra la license check date de la versión que se está instalando mientras se está instalando, sino que lo verifica después de bootear en la nueva versión.

Por esta razón, si la service check date es anterior a la license check date hay que reactivar la licencia, (recomendado hacerlo antes del upgrade). Esto habría que hacerlo en los 2 BIG-IP si esta problemática se diese en ambos.

Si la service check date tiene un valor anterior a la license check date, al bootear en la nueva versión no se cargará la configuración.

If the service check date is earlier than the license check date, the system initializes, but does not load the configuration. To allow the configuration to load, you must update the service check date in the license file by reactivating your license.

Reactivación de la licencia

Si nos encontramos en el caso de que la service check date tiene un valor inferior a la license check date de la versión a la que queremos hacer el upgrade, tenemos que reactivar la licencia. Para ello seguiriamos estos pasos:

La reactivación de la licencia lanzará un reload de la configuración, que interrumpirá el procesamiento de tráfico de forma temporal. Además podría lanzar un proceso de failover si se realiza en un sistema Activo en una configuración de HA.

1. Loguearse a la Configuration Utility (web)
2. Ir a System > License > Re-activate
3. Seleccionar Manual como método de activación

image.png

4. Dar a Next...
5. Copiar el dossier, acceder a la web F5 Licensing Server, pegar el dossier y generar la licencia. Una vez generada, copiarla y pegarla en el cuadro del paso 3: License.

image.png

6. Clic en Next para continuar y terminar la reactivación.

Fuentes: 

K7727: License activation may be required before a software upgrade for BIG-IP
K7752: Licensing the BIG-IP system

Cargar la nueva versión

Este paso hay que hacerlo obviamente en los 2 sistemas BIG-IP.

1. Loguearse a la Configuration Utility (web)
2. Ir a System > Software Management y clic en Import... > Choose File y elegir la .iso almacenada en el PC
3. Una vez cargada, aparece en System > Software Management > Image List en el apartado Available Images

image.png

Instalar la nueva versión

BIG-IP en modo standby

Actualizar primero el sistema BIG-IP que se encuentre actualmente en standby

Situados en el apartado anterior (Image List), tomamos cuenta bajo Installed Images de que hay un disco en el sistema (HD1) y de que tiene 3 volúmenes, habiendo booteado actualmente en el volumen 1.1 (HD1.1). 

En la imagen se muestra un sistema ya actualizado a la 15.1.8, sin embargo en el caso de que por ejemplo estuviesemos en la versión 14.1.4.6 booteada en el volumen 1.3 (HD1.3) tomaríamos en cuenta el volumen donde estuviese la versión más antigua instalada (en la imagen, volumen 1.2) e instalaríamos ahi la nueva versión.

Para instalar la nueva versión siguiendo como ejemplo el párrafo anterior:

1. Seleccionar la casilla correspondiente a la nueva versión bajo Available Images
2. Clic en Install...
3. En la pestaña de selección de disco/volumen, seleccionar HD1.2 y finalmente clic en Install

image.png

Se puede ver el progreso de la instalación debajo de Installed Images, en la columna Install Status.

4. Cuando acabe, ya podemos bootear en el nuevo volumen, para ello, situados en System > Software Management > Boot Locations, hariamos clic en el volumen donde hemos instalado la nueva versión (1.2) 

image.png

Y una vez dentro del volumen 1.2, clic en Activate y confirmar para reiniciar en el nuevo volumen con la nueva versión.

image.png

BIG-IP en modo activo

Ojo porque ahora hay que tener cuidado. Si hemos actualizado el BIG-IP que estaba en standby y ya ha reiniciado a la nueva versión, tenemos la siguiente situacion:

  • BIG-IP en modo activo en versión 14.1.4.6 (not synced)
  • BIG-IP en modo standby en versión 15.1.8 (not synced)

OJO: No forzar la sincronización desde el activo al standby antes de hacer el upgrade al activo.

Como indicaba al principio, solo hay un traffic-group con todos los objetos (y un traffic-group residual):

image.png

Para poder actualizar el BIG-IP activo, hay que pasarlo a standby. Y la manera correcta de hacerlo en este escenario, es forzar a standby ambos traffic-groups. Para ello en el apartado de la imagen anterior (Device Management > Traffic Groups), seleccionar ambos traffic-groups y darle a Force to Standby...

Prepare to update or upgrade an HA configuration

Esto hará que el BIP-IP actualizado previamente se convierta en el F5 activo, y el que es activo actualmente en standby, pudiendo de esta manera actualizar este BIG-IP siguiendo los pasos del apartado anterior.

Una vez actualizado y teniendo ambos sistemas en la misma versión de software, podemos pasar de nuevo los traffic-groups del que era originalmente standby, al que era originalmente activo. Y teniendo en cuenta eso

Cleanup

Una vez actualizados ambos, verificar que están In Sync y que la ubicación de los traffic-groups es la que debería ser. Comprobar el acceso a algunos virtual server

Fuente principal: K15134306: Update or upgrade BIG-IP HA systems using the Configuration utility | BIG-IP update and upgrade guide






Back to top