ADC

In Service Software Upgrade 支持高可用性以执行零停机时间升级

在高可用性设置 (HA) 的常规升级过程中,两个节点在某个时候运行不同的软件版本。这两个版本可以具有相同或不同的内部 HA 版本号。

如果两个版本的 HA 版本号不同,则不支持现有数据连接的连接故障转移(即使已启用)。换句话说,所有现有的数据连接都会断开,从而导致停机。

为了解决此问题,服务软件升级 (ISSU) 可用于 HA 设置。ISSU 引入了迁移功能,它取代了升级过程中的强制故障转移操作步骤。迁移功能负责支持现有连接,并且包括强制故障转移操作。

执行迁移操作后,新的主节点始终接收与现有连接相关的流量(请求和响应),但会将它们引导到旧的主节点。旧的主节点处理数据流量,然后将其直接发送到目标。

增强的 ISSU 的工作原理

HA 设置中的常规升级过程包括以下步骤:

  1. 升级辅助节点。此步骤包括辅助节点的软件升级和节点的重新启动。

  2. 强制故障转移。运行强制故障转移会将升级后的辅助节点变为主节点,将主节点变为辅助节点。

  3. 升级新的辅助节点。此步骤包括新辅助节点的软件升级和节点的重新启动。

在步骤 1 和步骤 3 之间的时间范围内,两个节点都运行不同的软件内部版本。这两个版本可能具有相同或不同的内部 HA 版本。

如果两个版本的 HA 版本号不同,则即使启用了连接故障转移,也不支持现有数据连接的连接故障转移。换句话说,所有现有的数据连接都会断开,从而导致停机。

HA 设置中的 ISSU 升级过程包括以下步骤:

  1. 升级辅助节点。此步骤包括辅助节点的软件升级和节点的重新启动。

  2. ISSU 迁移操作。此步骤包括强制故障转移操作以及处理现有连接。执行迁移操作后,新的主节点将始终接收与现有连接相关的流量(请求和响应),但通过 GRE 通道中配置的 SYNC VLAN(如果已配置)将其引导到旧主节点。旧的主节点处理数据流量,然后将其直接发送到目标。当所有现有连接都关闭后,ISSU 迁移操作即完成。

  3. 升级新的辅助节点。此步骤包括新辅助节点的软件升级和节点的重新启动。

开始之前的准备工作

在开始在 HA 设置中执行 ISSU 流程之前,请先了解以下先决条件和限制:

  • 确保解析对等 NSIP 地址的 MAC 地址的接口容量等于或大于客户端或服务器接口的容量。例如,考虑以下场景:

    • 对等 NSIP 地址的 MAC 地址在接口 1/x 上解析,数据接口为 10/x。在这种情况下,您不得执行 ISSU,因为解析 MAC 地址的接口的容量小于数据接口的容量。
    • 对等 NSIP 地址的 MAC 地址在接口 10/x 上解析,数据接口为 10/x。在这种情况下,您可以执行 ISSU,因为解析 MAC 地址的接口的容量与数据接口的容量相同。
  • 确保在 HA 设置的两个节点上都配置了 SYNC VLAN。 有关更多信息,请参阅将高可用性同步流量限制到 VLAN

注意:

只有 L2 HA 支持 SYNC VLAN 配置。HA-INC 模式不支持它。

  • Microsoft Azure 云不支持 ISSU,因为 Microsoft Azure 不支持 GRE 通道。
  • 在 ISSU 期间,HA 配置的传播和同步不起作用。
  • IPv6 HA 设置不支持 ISSU。
  • 管理分区不支持 ISSU。
  • 以下会话不支持 ISSU:

    • 巨型帧
    • IPv6 会话
    • 大型 NAT (LSN)
  • 在 INC 模式下的 HA 设置中,ISSU 迁移操作仅迁移客户端连接。不需要迁移服务器端连接,因为两个 HA 节点都有独立的 SNIP 配置。
  • 对于 SYNC VLAN 配置,建议将 SYNC VLAN MTU 增加至少 42 字节。

配置步骤

ISSU 包括迁移功能,它取代了 HA 设置常规升级过程中的强制故障转移操作。迁移功能负责支持现有连接,并且包括强制故障转移操作。

在 HA 设置的 ISSU 过程中,您在升级辅助节点后立即运行迁移操作。可以从两个节点中的任何一个执行迁移操作。

CLI 过程

要使用 CLI 执行 HA 迁移操作,请执行以下操作:

在命令提示符下,键入:

start ns migration
<!--NeedCopy-->

GUI 过程

要使用 GUI 执行 HA 迁移操作,请执行以下操作:

导航到“系统”>“系统信息”>“迁移”选项卡。单击“开始迁移”。

显示 ISSU 统计数据

您可以查看 ISSU 统计信息,以便在 HA 设置中监视当前 ISSU 进程。ISSU 的统计信息显示以下信息:

  • ISSU 迁移操作的当前状态
  • ISSU 迁移操作的开始时间
  • ISSU 迁移操作的结束时间
  • ISSU 回滚操作的开始时间

您可以使用 CLI 或 GUI 查看任一 HA 节点上的 ISSU 统计信息。

CLI 过程

要使用 CLI 显示 ISSU 统计信息,请执行以下操作:

在命令提示符下,键入:

show ns migration
<!--NeedCopy-->

GUI 过程

要使用 GUI 显示 ISSU 统计信息,请执行以下操作:

导航到“系统”>“系统信息”>“迁移”选项卡。单击“显示迁移”。

ISSU 过程的回滚

HA 设置现在支持回滚服务中软件升级 (ISSU) 流程。如果您注意到 ISSU 迁移操作期间的高可用性设置不稳定或未按预期的最佳水平执行,ISSU 回滚功能将非常有用。

ISSU 的回滚在 ISSU 迁移操作执行过程中适用。如果 ISSU 迁移操作已完成,则 ISSU 回滚将不起作用。换句话说,必须在 ISSU 迁移操作正在进行时运行 ISSU 回滚操作。

ISSU 的回滚功能会有所差别,具体取决于 ISSU 回滚操作被触发时 ISSU 迁移操作的状态:

  • 在 ISSU 迁移操作过程中,尚未发生强制故障转移。ISSU 回滚会停止 ISSU 迁移操作,并删除与存储在两个节点中的与 ISSU 迁移相关的任何内部数据。当前的主节点仍然是主节点,并继续处理与现有和新连接相关的数据流量。

  • 在 ISSU 迁移操作期间发生了强制故障转移。如果在 ISSU 迁移操作期间发生了 HA 故障转移,则新的主节点(假设为 N1)处理与新连接相关的流量。旧的主节点(新的辅助节点,假设是 N2)处理与旧连接(ISSU 迁移操作之前的现有连接)相关的流量。

    ISSU 回滚会停止 ISSU 迁移操作并触发强制故障转移。新的主节点 (N2) 现在开始处理与新连接相关的流量。新的主节点 (N2) 还继续处理与旧连接(在 ISSU 迁移操作之前建立的现有连接)相关的流量。换句话说,在 ISSU 迁移操作之前建立的现有连接不会断开。

    新的辅助节点 (N1) 将删除所有现有连接(在 ISSU 迁移操作期间创建的新连接),并且不处理任何流量。换句话说,在 ISSU 迁移操作强制故障转移之后建立的任何现有连接都将永久断开。

配置步骤

您可以使用 Citrix ADC CLI 或 GUI 执行 ISSU 回滚操作。

CLI 过程

要使用 CLI 执行 ISSU 回滚操作,请执行以下操作:

在命令提示符下,键入:

stop ns migration
<!--NeedCopy-->

GUI 过程

要使用 GUI 执行 ISSU 回滚操作,请执行以下操作:

导航到“系统”>“系统信息”>“迁移”选项卡。单击“停止迁移”。

In Service Software Upgrade 过程的 SNMP 陷阱

HA 设置的服务中软件升级 (ISSU) 过程支持在 ISSU 迁移操作开始和结束时显示以下 SNMP 陷阱消息。

SNMP 陷阱 说明
migrationStarted ISSU 迁移操作开始时,系统会生成此 SNMP 陷阱并将其发送到配置的 SNMP 陷阱侦听器。
migrationComplete ISSU 迁移操作完成时,系统会生成此 SNMP 陷阱并将其发送到配置的 SNMP 陷阱侦听器。

主节点(在 ISSU 过程开始之前)始终生成这两个 SNMP 陷阱并将其发送到配置的 SNMP 陷阱侦听器。

没有与 ISSU SNMP 陷阱关联的 SNMP 警报。换句话说,不管 SNMP 警报如何,都会生成这些陷阱。您只需配置陷阱 SNMP 侦听器即可。

有关配置 SNMP 陷阱侦听器的更多信息,请参阅 Citrix ADC 上的 SNMP 陷阱

In Service Software Upgrade 支持高可用性以执行零停机时间升级