Pembaruan manual

Langkah-langkah upgrade manual berikut dapat digunakan jika terjadi kegagalan upgrade otomatis.

1. Upgrade manual untuk PANW

Komponen yang dapat dioperasikan berikut di-upgrade pada langkah ini.

Cakupan	Komponen yang dapat dioperasikan
Infrastruktur	PANW

Upgrade ini menyebabkan gangguan traffic minimal untuk koneksi eksternal, dengan waktu nonaktif sekitar satu menit. Upgrade tersebut bersifat manual. PANW beroperasi dalam mode ketersediaan tinggi (HA).

1.1. Definisi

Versi software firewall Palo Alto ditampilkan dalam format X.Y.Z.

Versi Software	Format
Rilis FITUR	X.Y
Rilis PEMELIHARAAN DASAR	X.Y.0
RILIS PEMELIHARAAN TERBARU untuk rilis fitur tertentu	X.Y.Z: Z adalah rilis pemeliharaan terakhir untuk rilis mendatang X.Y.

1.2. Prosedur upgrade

1.2.1. Jalur upgrade

Sebelum melanjutkan, identifikasi kasus yang menggambarkan kebutuhan Anda–Kasus 1, Kasus 2, atau Kasus 3:

Kasus 1: X.Y adalah rilis target.
Kasus 2: X.Y bukan rilis yang ditargetkan.
Kasus 3: Versi firewall adalah X.Y, dengan X.Y adalah rilis FITUR terakhir untuk X.

Deskripsi Kasus 1, Kasus 2, dan Kasus 3 berikut menunjukkan jalur upgrade yang sesuai dengan masing-masing kasus.

Kasus	Deskripsi dan tindakan
Kasus 1	X.Y adalah rilis yang ingin Anda upgrade (bukan rilis target).
		Download dan instal rilis PEMELIHARAAN yang ditargetkan untuk X.Y: X.Y(Z2)
Kasus 2	X.Y bukan rilis yang ingin Anda upgrade (bukan rilis target).
		Download dan instal RILIS PEMELIHARAAN TERBARU untuk X.Y: X.Y.Z1
		Download rilis BASE MAINTENANCE: X.(Y+1).0 Jika X.(Y+1) adalah rilis FITUR yang ditargetkan, Download dan instal rilis PEMELIHARAAN yang ditargetkan untuk X.(Y+1): X(Y+1).Z2 Jika X.(Y+1) bukan rilis FITUR yang ditargetkan, Ulangi Kasus 2 hingga berhasil, lalu terapkan Kasus 1. Jika X.(Y+1) adalah rilis FITUR terakhir untuk X, lanjutkan ke Kasus 3.
Kasus 3	Versi firewall ada di X.Y dengan X.Y adalah rilis FITUR terakhir untuk X.
		Download rilis BASE MAINTENANCE: (X+1).0.0 Kembali ke Kasus 1.

Untuk mengetahui informasi tentang jalur upgrade selain yang diberikan di sini, lihat https://www.paloaltonetworks.com/.

1.2.2. Penyiapan upgrade

Distributed Cloud menggunakan dua firewall. Sebelum memulai upgrade, pastikan kedua firewall menggunakan versi yang sama. Jika tidak, lakukan upgrade yang diperlukan untuk menyamakan versinya sebelum Anda memulai upgrade pada keduanya ke versi target berikutnya. Lakukan hal ini setiap kali Anda berencana melakukan upgrade.

Pastikan kedua firewall berfungsi dengan baik:
1. Di dasbor, pastikan ketersediaan tinggi (HA) berwarna hijau.
2. Verifikasi bahwa tidak ada link yang tidak berfungsi di jaringan.
Cadangkan konfigurasi di kedua firewall.
Buka Perangkat > Ketersediaan Tinggi.
Temukan tab Operational Commands di dekat awal halaman Device, lalu klik tab tersebut.
1. Temukan High Availability di panel navigasi, lalu klik.
2. Saat opsi Tunda perangkat lokal untuk ketersediaan tinggi muncul, klik opsi tersebut.
Gambar 1. Menangguhkan HA
Pastikan status firewall lokal yang ditampilkan adalah suspended.

Gambar 2. Verifikasi bahwa firewall ditangguhkan
Upgrade firewall.
Memulihkan dari status suspended: Klik Sediakan perangkat lokal untuk ketersediaan tinggi.

Gambar 3. Menyediakan HA

Kembali ke langkah pertama dan ulangi proses untuk firewall kedua, dengan mengikuti jalur upgrade Anda.

1.3. Contoh detail prosedur upgrade

Periksa versi PAN-OS saat ini.
```
show system info | match sw-version
```
Jika PAN-OS tidak menggunakan versi software target, upgrade perangkat.
Ikuti prosedur upgrade khusus jalur yang diberikan.
Untuk memverifikasi jalur Anda, periksa jalur upgrade di situs paloaltonetworks.com di https://docs.paloaltonetworks.com/pan-os/10-1/pan-os-upgrade/upgrade-pan-os/upgrade-the-firewall-pan-os/determine-the-upgrade-path.html dari komputer lokal Anda sebelum melanjutkan.
Pastikan perangkat terdaftar dan memiliki lisensi.
Cari firmware terbaru untuk diekstrak:
```
gdcloud artifacts tree ${ARTIFACTS_ROOT}/oci | grep "gdch-firewall"
```
Nama file berisi versi build. Contoh output:
```
│   │   └── gdch-firewall/os:1.10.0-gdch.1426
```
Dalam contoh sebelumnya, versi build ditampilkan sebagai 1.10.0-gdch.1426.
Salin nama file dan ekstrak firmware. Contoh:
1. Salin gdch-firewall/os:1.10.0-gdch.1426 sebagai nama file. Gunakan nilai ini untuk mengganti FIRMWARE_FILENAME dalam perintah berikut:
```
export FW_FIRMWARE_TAR_FILENAME=FIRMWARE_FILENAME
```
2. Ekstrak firmware dari image OCI:
```
gdcloud artifacts extract ${ARTIFACTS_ROOT}/oci firmware \
    --image-name=${FW_FIRMWARE_TAR_FILENAME:?}
```
  Ganti FW_FIRMWARE_TAR_FILENAME dengan nama file tar firmware firewall.
3. Ekstrak firmware:
```
tar -xvf firmware/gdch-firewall/os.tar.gz
```
Kumpulkan file OS upgrade dan upload ke perangkat firewall untuk memulai upgrade.

console

Buat konektivitas IP dengan firewall dan komputer lokal Anda, lalu buka antarmuka pengguna (UI).
Untuk mengupload software ke firewall, pilih Device > Software, lalu klik Upload yang ada di bagian akhir halaman.

Gambar 4. Mengupload update software
Setelah diupload, software akan ditampilkan sebagai tersedia di tabel dan tindakan untuk menginstalnya.
Download Update Dinamis terbaru dari kategori Aplikasi (menu drop-down) di https://support.paloaltonetworks.com/Updates/DynamicUpdates.
Upload Pembaruan Dinamis ke firewall dengan mengklik Upload. Anda mungkin hanya perlu melakukan langkah ini satu kali.
Instal apa yang diupload dari file - klik Instal dari File.

Gambar 5. Pilih Instal dari File
Cari kolom yang diberi judul TINDAKAN dalam Gambar 6. Di kolom tersebut, pilih Instal untuk menginstal software. Firewall dimulai ulang.

Gambar 6. Kolom tindakan yang menampilkan Kemampuan penginstalan
Buka halaman DASHBOARD untuk melihat panel Informasi Umum. Cari Versi Software dan pastikan nilai yang terkait dengannya menunjukkan perubahan dari nilai versi asli Anda. Hal ini memverifikasi perubahan versi.

Gambar 7. Versi software menunjukkan perubahan
Ulangi langkah-langkah ini sesuai kebutuhan berdasarkan jalur upgrade.

kubectl

Gunakan petunjuk command line berikut untuk mengupgrade PAN-OS saat Anda tidak memiliki akses ke internet:

SCP firmware:

scp import software from ubuntu@<host>:/home/ubuntu/gdcloud_v8/images/PanOS_5200-XX.XX.XX

Minta versi penginstalan software sistem yang Anda butuhkan:

request system software install version XX.XX.XX

Tindakan ini akan menghasilkan ID pekerjaan yang akan digunakan pada langkah berikutnya. Berikut adalah contoh pesan output:

Software install job enqueued with jobid 2. Run 'show jobs id 2' to monitor its
status. Please reboot the device after the installation is done.

Pantau status tugas:
```
show jobs id 2
```
Mulai ulang PAN-OS setelah penginstalan:
```
request restart system
```
Jika Anda tidak dapat mengupdate PAN-OS tanpa ada kesalahan di pihak Anda, berikan lisensi PAN-OS dan update dengan update dinamis. Pastikan kunci lisensi berada di file atau direktori cell.yaml. Lihat Memeriksa konfigurasi.
Untuk menginstal update dinamis, temukan versi terbaru update dinamis di portal PAN atau lokasi drive.

SCP konten untuk firewall:

# scp import content from
ubuntu@<host_ip>::/home/ubuntu/gdcloud_v8/images/panupv2-all-contents-8580-7429

Instal konten:

request content upgrade install  skip-content-validity-check yes file panupv2-all-contents-8580-7429

Upload PAN-OS ke mesin host:
1. Hubungkan laptop Anda ke switch pengelolaan yang berada di rak yang sama dengan mesin host.
2. Tetapkan alamat IP ke laptop Anda dari jaringan pengelolaan vlan97.
3. Salin PAN-OS SCP dari laptop ke mesin host:
```
scp ~/Downloads/Pan* ubuntu@10.251.243.79:~
Warning: Permanently added '10.251.243.79' (ED25519) to the list of known hosts.
ubuntu@10.251.243.79's password:
```

2 Memicu upgrade otomatis untuk HSM

Komponen yang dapat dioperasikan berikut di-upgrade pada langkah ini.

Cakupan	Komponen yang dapat dioperasikan
Infrastruktur	HSM

Upgrade HSM memerlukan pembuatan HSMUpgradeRequest dan pemeriksaan status permintaan upgrade secara berkala.

Satu atau beberapa CTMClusterUpgradeRequests dibuat secara otomatis untuk mengupgrade setiap HSMCluster ke versi firmware berikutnya di jalur upgrade untuk mencapai versi firmware target. Upgrade HSM adalah upgrade tanpa gangguan yang memerlukan waktu sekitar dua jam.

Durasi periode nonaktif untuk upgrade ini bergantung pada integrasinya. HSM yang dikonfigurasi dengan beberapa alamat dapat menjalani update bertahap tanpa gangguan.

Tetapkan KUBECONFIG ke file kubeconfig untuk cluster admin root.
```
export KUBECONFIG=ROOT_ADMIN_KUBECONFIG
```

Buat resource kustom HSMUpgradeRequest. Buat hsmupgrade.yaml dan sertakan CurrentGDCHVersion dan TargetGDCHVersion.

Contoh resource kustom:

apiVersion: "upgrade.private.gdc.goog/v1alpha1"
kind: HSMUpgradeRequest
metadata:
   name:  HSM_UPGRADE_REQUEST_NAME
   namespace: gpc-system
spec:
   currentGDCHVersion: "1.10.X-gdch-xxx"
   targetGDCHVersion: "1.11.y-gdch.yyyy"

Terapkan resource kustom baru:

kubectl --kubeconfig=${KUBECONFIG:?} apply -f hsmupgrade.yaml

Pantau upgrade HSM dengan melihat Status dari resource HSMUpgradeRequest dan CTMClusterUpgradeRequest yang dibuat.

kubectl --kubeconfig=${KUBECONFIG:?} describe HSMUpgradeRequest HSM_UPGRADE_REQUEST_NAME -n gpc-system

Contoh output Status dari HSMUpgradeRequest yang telah selesai:

Status:
Conditions:
 Last Transition Time:  2023-08-03T18:20:50Z
 Message:
 Observed Generation:   1
 Reason:                PullFirmwareImages
 Status:                True
 Type:                  FirmwareImagesPulled
 Last Transition Time:  2023-08-03T18:20:50Z
 Message:               CTM upgrade request to version:2_12_0 is in progress
 Observed Generation:   1
 Reason:                CTMClusterUpgradeInProgress
 Status:                True
 Type:                  InProgress
 Last Transition Time:  2023-08-03T18:41:54Z
 Message:               CTM upgrade request to target version:2_12_0 completed
 Observed Generation:   1
 Reason:                AllCTMClusterUpgradeRequestsCompleted
 Status:                True
 Type:                  AllComplete

kubectl --kubeconfig=${KUBECONFIG:?} get ctmclusterupgraderequests -n gpc-system

kubectl --kubeconfig=${KUBECONFIG:?} describe ctmclusterupgraderequests CTM_CLUSTER_UPGRADE_REQUEST_NAME -n gpc-system

Contoh output Status dari CTMClusterUpgradeRequest yang telah selesai:

Status:
Conditions:
 Last Transition Time:  2023-09-11T18:08:25Z
 Message:               CTM pre upgrade checks succeed. The system is eligible to upgrade.
 Observed Generation:   1
 Reason:                CTMPreUpgradeChecksReady
 Status:                True
 Type:                  PreUpgradeCheckCompleted
 Last Transition Time:  2023-09-11T18:18:31Z
 Message:               HSM backup completed. The system is ready to upgrade.
 Observed Generation:   2
 Reason:                HSMBackupCompleted
 Status:                True
 Type:                  BackupCompleted
 Last Transition Time:  2023-09-11T18:18:31Z
 Message:               Starting HSM upgrades for cluster.
 Observed Generation:   2
 Reason:                hsmclusterClusterUpgradeInProgress
 Status:                True
 Type:                  ClusterUpgradeInProgress
 Last Transition Time:  2023-09-11T19:46:22Z
 Message:
 Observed Generation:   2
 Reason:                ReconcileCompleted
 Status:                True
 Type:                  AllComplete

3. Upgrade ONTAP manual

Jika Anda melakukan upgrade manual pada sistem dengan cluster penyimpanan yang ada, ikuti langkah-langkah untuk melakukan upgrade:

Ambil image upgrade OS dengan salah satu 12.4.1 Metode pengambilan 1 atau 12.4.2 Metode pengambilan 2. Nomor urutan langkah ini sama karena Anda hanya menggunakan satu di antaranya:

3.1. - Metode pengambilan 1

Gunakan metode ini untuk mengambil paket yang dapat diupgrade dari gdch.tar.gz.

Jika Anda berada di komputer host dan memiliki akses ke paket rilis, ambil image dari registry Harbor:

# Download the upgrade OS package
OCI_PATH=$ARTIFACTS_ROOT/oci
gdcloud artifacts extract $OCI_PATH storage --image-name=gpc-system-storage/storage:9.13.1P1

tar -xvzf storage/gpc-system-storage/storage.tar.gz

Jika ekstraksi gagal, coba cari arsip yang tepat dengan: sh gdcloud artifacts extract $OCI_PATH tree | grep storage

Temukan file di storage/9.13.1P1.tar.
Kumpulkan file OS upgrade dan upload ke situs penyimpanan untuk memulai upgrade atau jika ONTAP belum diinstal, sajikan file tersebut di bootstrapper dan minta node menarik image

3.2. - Metode pengambilan 2

Jika root-admin-cluster sudah aktif dan berjalan, Anda dapat mengambil image upgrade langsung dari GDC Artifact Registry.

Mendapatkan image dari Artifact Registry:

https://gpc-istio-ingressgateway-IP/artifacts/serve/base64url encoding of the artifact reference

Download file upgrade:

IMAGE_BASE64_URL=$(echo "gpc-system-storage/storage:ontap" | base64)

# The OS file is located at:
https://gpc-istio-ingressgateway-IP/artifacts/serve/IMAGE_BASE64_URL

Referensi artefak adalah gpc-system-storage/storage:ontap.

Kunjungi URL yang diberikan sebagai https://gpc-istio-ingressgateway-IP/artifacts/serve/IMAGE_BASE64_URL, lalu download paket OS secara lokal.
Kumpulkan file OS upgrade dan upload ke situs penyimpanan untuk memulai upgrade.

3.3. Mengupload gambar ke ONTAP

Buka URL pengelolaan ONTAP dan temukan halaman Overview.
Klik tombol ONTAP Update.

Gambar 8. Tombol Update ONTAP
Klik +Tambahkan Gambar dan upload gambar yang Anda kumpulkan melalui Metode pengambilan 1 atau Metode pengambilan 2.

Gambar 9. Tombol +Tambahkan Gambar

3.4. Pemeriksaan awal upgrade ONTAP

Setelah Anda mengupload gambar, klik Upgrade untuk memulai pemeriksaan pra-penerbangan. Pesan peringatan akan muncul, seperti yang terlihat pada gambar berikut, yang bertuliskan "Perbarui dengan peringatan".

Gambar 10. Tombol Upgrade dengan peringatan

Saat Anda melihat pesan peringatan, lakukan hal berikut:

Pastikan Anda tidak melihat item tindakan yang harus Anda lakukan. Pastikan tidak ada yang tercantum yang dapat memengaruhi upgrade.
Lakukan pemeriksaan awal berikut:
- Pastikan cluster responsif dan node responsif dengan failover penyimpanan yang dikonfigurasi.
- Pastikan tidak ada pemberitahuan yang dilaporkan untuk sistem penyimpanan.
- Pastikan pemakaian CPU dan disk kurang dari 50% di jendela upgrade.
- Pastikan tidak ada tugas yang berjalan di sistem penyimpanan.
  Misalnya, tugas volume dan agregat dapat berjalan atau diantrekan untuk dijalankan. Tunggu hingga selesai.
- Pastikan DNS aktif (jika telah dikonfigurasi).
- Pastikan semua antarmuka jaringan berada di node rumah. Jika tidak, kembalikan ke node beranda.
- Jika snapmirror dikonfigurasi, pastikan snapmirror ditangguhkan pada saat upgrade.
- Ikuti rekomendasi upgrade sistem penyimpanan untuk semua prosedur.

3.5. Memulai upgrade

Di dalam cluster admin root, buat objek Kubernetes API dan gunakan CLI kubectl untuk menerapkannya ke cluster admin root:

apiVersion: upgrade.storage.private.gdc.goog/v1alpha1
kind: FileStorageUpgradeRequest
metadata:
 name: test
 namespace: gpc-system
spec:
 fileStorageUpgradeMode: Manual
 storageClusterRef:
   name: $StorageClusterName
   namespace: gpc-system
 targetVersion: 9.10.1

Klik Perbarui dengan peringatan.

Gambar 11. Tombol Perbarui dengan peringatan

3.6. Mengupgrade di sistem kosong

Jika karena alasan apa pun penyimpanan ONTAP telah direset dan belum ada cluster, Anda harus memperbarui node satu per satu. Ikuti langkah-langkah berikut untuk melakukannya:

Download software ONTAP versi terbaru. Konvensi penamaan file terlihat mirip dengan contoh berikut: 9.13.1P1_ONTAP_image.tgz.
Buat direktori untuk menghosting file image ONTAP.
```
mkdir files
mv 9.13.1P1_ONTAP_image.tgz files
```

Menempatkan gambar di bootstrapper dengan python3.

# create a webserver with python
python3 -m http.server -d files
Serving HTTP on 0.0.0.0 port 8000 (http://0.0.0.0:8000/) ...

Gunakan system node reboot CLI untuk melakukan reboot node.

Tekan Control+C untuk menghentikan siklus booting. Saat Anda melihat menu Boot, pilih opsi 7: Install new software first. Menu Boot akan terlihat seperti ini:

> system node reboot

Warning: Are you sure you want to reboot node "ag-ad-stge02-02"?
{y|n}: y

# interrupt the boot cycle using Ctrl-C

*******************************
*                             *
* Press Ctrl-C for Boot Menu. *
*                             *
*******************************
^CBoot Menu will be available.

Please choose one of the following:

(1)  Normal Boot.
(2)  Boot without /etc/rc.
(3)  Change password.
(4)  Clean configuration and initialize all disks.
(5)  Maintenance mode boot.
(6)  Update flash from backup config.
(7)  Install new software first.
(8)  Reboot node.
(9)  Configure Advanced Drive Partitioning.
(10) Set Onboard Key Manager recovery secrets.
(11) Configure node for external key management.
Selection (1-11)? 7

Outputnya terlihat mirip dengan yang berikut ini:

This procedure is not supported for Non-Disruptive Upgrade on an HA pair.
The software will be installed to the alternate image, from which the node is
not currently running. Do you want to continue? {y|n} y

In order to download the package, a temporary network interface needs to be
configured.

Select the network port you want to use for the download (for example, 'e0a')

Konfigurasi alamat IP pada antarmuka e0M. Kemudian, mulai ulang node.

Select the network port you want to use for the download (for example, 'e0a')
> e0M

The node needs to reboot for this setting to take effect.  Reboot now? {y|n}
(selecting yes will return you automatically to this install wizard) y

Rebooting...

## Configure the mgmt interface (e0M)

In order to download the package, a temporary network interface needs to be
configured.

Enter the IP address for port e0M: 172.22.115.131
Enter the netmask for port e0M: 255.255.255.0
Enter IP address of default gateway: 172.22.115.1

What is the URL for the package? http://172.22.112.67:8000/files/9.13.1P1_ONTAP_image.tgz
What is the user name on "172.22.112.67", if any?

Gunakan version CLI untuk mengonfirmasi versi software saat ini. Outputnya terlihat mirip dengan berikut ini:
```
> version
NetApp Release 9.13.1P1: Tue Jul 25 10:19:28 UTC 2023
```
3.7. Memperbarui MTU LIF agen pencadangan

Sistem pencadangan dan pemulihan menggunakan LIF di ONTAP. MTU harus diturunkan di bawah maksimum 9000. Hal ini dilakukan oleh agen pencadangan. Setelah ONTAP berjalan dan dalam kondisi baik, kurangi ukuran Unit Transmisi Maksimum (MTU) untuk LIF agen pencadangan:

net port broadcast-domain modify -broadcast-domain backup-agent-network -mtu 8000

Anda dapat memverifikasi keberhasilannya dengan menjalankan:

net port broadcast-domain show -broadcast-domain backup-agent-network

Anda akan melihat nilai MTU baru sebesar 8000.

4. Upgrade Manual Operations Suite Infrastructure Core

Proses upgrade ini hanya berlaku untuk upgrade dari versi 1.12.x ke 1.13.0

4.1 Melakukan Pencadangan

Lakukan pencadangan VM sesuai dengan petunjuk yang diberikan dalam petunjuk Penyiapan Operation Center
Mencadangkan drive H:\operations_center. (Tindakan ini mendukung pengembalian upgrade.)
Cadangkan C:\dsc, C:\operations_center\ dan C:\config\ di CONFIG1. (Cadangan ini memberikan referensi saat membangun konfigurasi config.ps1 baru.)

4.2 Mengupgrade Virtual Machine yang ada

Dapatkan direktori Penginstalan.
1. Download paket komponen OIC dengan mengikuti petunjuk di bagian Download files.
  
  Catatan: Jika lingkungan Anda terisolasi, Anda harus menyalin file *.tar.gz ke drive USB untuk ditransfer.
2. Ekstrak direktori operations_center dari prod_IT_component_bundle.tar.gz yang didownload.
```
tar -zxvf prod_IT_component_bundle.tar.gz ./release/operations_center
```
3. Ganti H:\operations_center dengan direktori yang diekstrak pada langkah sebelumnya.
Perbarui config.ps1 dengan data khusus situs

File konfigurasi config.ps1 menyediakan semua informasi yang diperlukan untuk membangun dan mengonfigurasi lingkungan Infrastruktur Operations Suite (OI). Untuk memperbarui file konfigurasi, Anda harus mengumpulkan semua informasi berikut. Cadangan config.ps1 yang ada adalah referensi yang baik untuk melindungi penimpaan setelan yang ada secara tidak sengaja. Penting: Jangan lanjutkan hingga config.ps1selesai dan benar.
- Output konfigurasi jaringan alat occonfigtool, terutama file ocinfo.common.opscenter.local.txt. Nama jaringan, misalnya, OCCORE-SERVERS yang dirujuk dalam langkah-langkah berikut merujuk pada kolom Name dalam dokumen tersebut.
- Nama domain dan alamat IP server DNS setiap sel GDC yang dikelola OI ini. Data ini tersedia di output Kuesioner Penerimaan Pelanggan (CIQ).
Lakukan semua perubahan pada host BM01 sebagai Administrator.
Salin kode contoh konfigurasi yang benar untuk jenis deployment:
1. Jika OIC awalnya di-deploy sebagai single site, salin H:\operations_center\dsc\config.single-site-example.ps1 ke H:\operations_center\config\config.ps1.
2. Jika OIC awalnya di-deploy sebagai multi-situs, salin H:\operations_center\dsc\config.multi-site-example.ps1 ke H:\operations_center\config\config.ps1.
Dengan menggunakan Powershell ISE, validasi dan perbarui nilai di config.ps1.
1. Perbarui HardwareVersion kecuali jika default (3.0) sudah benar.
2. Perbarui PrimarySiteCode kecuali jika default (DC1) sudah benar.
3. Kode situs digunakan dalam banyak nama. Telusuri dan ganti semua instance DC1 dengan kode situs yang benar. Gunakan penelusuran yang tidak peka huruf besar/kecil. Tinjau setiap perubahan karena beberapa perubahan mungkin tidak diperlukan. Misalnya, jika kode situs adalah AB1, maka nama host DC1-DC1, harus berubah menjadi AB1-DC1, bukan AB1-AB1.
4. Perbarui DnsDomain jika defaultnya tidak benar. Jika nilai ini diubah, telusuri dan ganti opscenter.local di seluruh file config.ps1. Ada beberapa lokasi tempat nilai default tersebut dikodekan secara permanen.
5. Perbarui objek di DnsConditionalForwarder dengan informasi khusus situs. Harus ada setidaknya satu objek penerusan. Hapus contoh yang tidak perlu.
  
  Untuk menarik informasi khusus situs dari cluster admin root, gunakan:
```
export KUBECONFIG=ROOT_ADMIN_KUBECONFIG
kubectl get -n dns-system service gpc-coredns-external-udp -o jsonpath='{.status.loadBalancer.ingress[0].ip}{"\n"}'
```
  1. Domain - Nama domain DNS sel GDC, misalnya, dns.delegatedSubdomain di ciq.yaml.
  2. Master - Daftar IP server DNS (biasanya hanya satu). Cari di cellcfg untuk jenis DNSReservation. Jika sel GDC di-deploy, cari namespace dns-system cluster administrasi root untuk EXTERNAL-IP layanan gpc-coredns-external-udp dan FQDN sel bert.sesame.street.
  3. Dalam deployment multi-situs, ada satu objek tabel hash per sel.
6. Jangan mengubah konten objek Users, Groups, dan GroupPolicy.
7. Perbarui DNSServers agar berisi 2 alamat IP yang diberikan ke pengontrol domain primer dan sekunder seperti <SITE>-DC1 dan <SITE>-DC2.
8. Perbarui NTPServers menjadi daftar alamat IP SyncServer dari resource kustom TimeServer root-admin. Anda dapat mengambil kumpulan alamat IP ini menggunakan:
```
kubectl get timeserver -A -o json | jq '.items[].address'
```
  Anda harus memformat alamat IP ini dalam NTPServers seperti yang ditunjukkan dalam contoh berikut:
```
NtpServers = @(
  '10.251.80.2',
  '10.251.80.3',
  '10.251.80.4',
  '10.251.80.5'
)
```
9. Perbarui nilai default SubnetPrefix, yaitu 24, dengan nilai awalan subnet yang diberikan pelanggan untuk subnet OCCORE-SERVERS jika diperlukan.
10. Perbarui nilai default DefaultGateway dengan gateway default yang disediakan pelanggan untuk subnet OCCORE-SERVERS.
11. Temukan dan perbarui nilai default WorkstationCider dengan nilai yang diberikan pelanggan untuk subnet OC-WORKSTATIONS dalam notasi CIDR IPv4.
12. Temukan dan ganti contoh awalan subnet 172.21.0. dengan awalan subnet OCCORE-SERVERS yang disediakan pelanggan.
13. Temukan dan ganti contoh awalan subnet 172.21.2. dengan awalan subnet OCCORE-JUMPHOSTS yang disediakan pelanggan.
14. Temukan dan ganti contoh awalan subnet 172.21.32. dengan awalan subnet OC-WORKSTATIONS yang disediakan pelanggan.
15. Cari dan ganti contoh pesan harian legalnoticecaption nilai Pref caption dengan teks yang diberikan pelanggan.
16. Cari dan ganti nilai contoh pesan harian legalnoticetext dari Pref text dengan teks yang disediakan pelanggan.
17. Validasi setiap objek "node" dan perbarui, jika diperlukan.
  1. NodeName - Pastikan nama host sudah benar. Beberapa nama digunakan di banyak tempat, misalnya, pengendali domain. Jika Anda mengubah nama di sini, periksa apakah nama tersebut perlu diubah di tempat lain dalam konfigurasi.
  2. IPv4Addr - Ini harus berupa alamat IP host. Oktet terakhir biasanya tidak perlu diubah. Beberapa di antaranya mungkin telah diperbarui selama penelusuran dan penggantian jaringan yang dilakukan pada langkah-langkah sebelumnya.
  3. HyperVHost - Nilai ini harus berupa alamat IP server Hyper-V yang menghosting VM ini. Anda bisa mendapatkan alamat IP untuk setiap server BM?? di bagian "Hyper-V Servers" pada konfigurasi. Jangan mengubah penetapan host Hyper-V di kolom ini karena tidak semua host Hyper-V dapat mendukung setiap jenis VM, cukup ubah nama host Hyper-V ke alamat IP yang sesuai.
18. Perbarui semua stanza untuk node dengan splunk_indexer untuk menyertakan disk kedua yang besar. Setiap bait harus menyertakan baris berikut:
```
ExtraDiskSize   = 5120GB # No quotes -- PowerShell converts this to an integer.
ExtraDiskFolder = 'H:\Hyper-V\Virtual Hard Disks'
```
19. Validasi detail antarmuka jaringan kedua di semua node dengan Role=jumphost. Gunakan detail subnet OCCORE-JUMPHOSTS untuk antarmuka ini. Periksa:
  1. JumphostIPv4Cidr
  2. JumphostDefaultGateway
20. Perbarui stanza khusus ADFS di node tempat Role=adfs.
  1. Ganti semua instance bert.sesame.street dan GDCH.sesame.street dengan nilai Domain yang benar dari salah satu stanza di bagian DnsConditionalForwarder dari konfigurasi.
  2. Ganti kata Bert (tidak peka huruf besar/kecil) dengan ID singkat sel GDC yang dikonfigurasi untuk menggunakan ADFS.
21. Perbarui cakupan DHCP agar sesuai dengan paket IP pelanggan sesuai kebutuhan. Di setiap cakupan, validasi bahwa nilai berikut sudah benar. Nama pada cakupan cocok dengan nama yang digunakan dalam rencana jaringan ocinfo.common.opscenter.local.txt, jadi gunakan yang berikut dalam validasi:
  1. ScopeId
  2. IpStartRange
  3. IpEndRange
  4. Router
  5. SubnetMask
22. Konfirmasi bahwa nilai cocok dengan nilai dalam config1.ps1 yang dicadangkan
23. Pastikan untuk menyimpan file.
Upgrade VM CONFIG1

Upgrade CONFIG1 dilakukan di BM01 agar tetap konsisten dengan penginstalan awal. Semua upgrade lainnya akan dilakukan dari CONIFIG1 setelah diupgrade.
1. Salin direktori operations_center ke VM CONFIG1
2. Di host BM01, buka konsol PS sebagai Administrator.
3. Jalankan skrip Copy-ConfigHostFiles.ps1 untuk menyiapkan file yang diperlukan oleh virtual machine (VM) CONFIG1.
```
# CD to the script's directory
cd H:\operations_center\dsc
```
```
# Staging files for CONFIG1 VM
.\Copy-ConfigHostFiles.ps1 `<SITE>-CONFIG1`
```
4. Menonaktifkan sinkronisasi waktu Hyper-V
  1. Login ke host BM01 sebagai Administrator.
  2. Buka PowerShell di Windows sebagai Administrator dan jalankan perintah berikut:
  Penting: Dalam cuplikan kode berikutnya, ganti <var>config1_vm_name</var> dengan nama VM CONFIG1, misalnya, DC1-CONFIG1.
```
# Disabling Hyper-V Time Sync
Disable-VMIntegrationService -VMName `<SITE>-CONFIG1` -Name 'Time Synchronization'
```
5. Jalankan skrip update CONFIG1
```
.\Update-RemoteHost.ps1 -ComputerName DC1-CONFIG1 -Credentials $domain_admin_creds -SetLcm -RemoveExisting
```
6. Setelah skrip berjalan, VM CONFIG1 akan dimulai ulang.
7. Validasi VM CONFIG1
  1. Di host BM01, gunakan Desktop Jarak Jauh (RDP) ke IP VM CONFIG1 dan login sebagai Marvin. Contoh: mstsc /v 192.168.100.99
  2. Sebagai pengguna Marvin, buka konsol PS dengan Run as Administrator.
  3. Validasi bahwa lingkungan build sudah siap dengan menjalankan Build-Mof.ps1, yang menghasilkan file Managed Object Format (MOF) untuk semua mesin OI.
```
# Running Build-MOf.ps1
cd C:\dsc
./Build-Mof.ps1
```
  Catatan: Melihat beberapa peringatan tentang sertifikat yang tidak ada adalah hal yang normal karena mesin target belum dibuat.
  Catatan: Anda akan melihat beberapa pesan tentang pembuatan kredensial.
Mengupgrade CA-ISSUING dan CA-WEB

Penting: Selalu upgrade <SITE>-CA-ISSUING1 sebelum <SITE>-CA-WEB1.
1. Di CONFIG1, sebagai Marvin, jalankan skrip berikut untuk mengonfigurasi VM CA-ISSUING. powershell $la_creds = Get-Credential -Message "Provide local admin credentials for CA- VMs" ./Update-RemoteHost.ps1 -ComputerName <SITE>-CA-ISSUING1 -Credentials $la_creds -SetLcm -RemoveExisting
2. Di CONFIG1, sebagai Marvin, jalankan skrip berikut untuk mengonfigurasi server CA-WEB1.
```
$la_creds = Get-Credential -Message "Provide local admin credentials for CA- VMs"
.\Update-RemoteHost.ps1 -ComputerName <SITE>-CA-WEB1 -Credential $la_creds SetLcm -RemoveExisting
```
Mengupgrade CA_ROOT
1. Nyalakan CA-ROOT1.
  1. Login ke host BM01 sebagai Administrator.
  2. Buka PowerShell di Windows sebagai Administrator dan jalankan perintah berikut:
```
Start-VM -Name <SITE>-CA-ROOT1
```
2. Dari VM CONFIG1, lakukan inisialisasi VM CA-ROOT1.
```
.\Update-RemoteHost.ps1  -ComputerName <SITE>-CA-ROOT1 -Credential $la_creds SetLcm -RemoveExisting
```
3. Jika VM CA_ROOT tidak dimulai ulang setelah skrip sebelumnya, mulai ulang secara manual.
4. Penting: Gunakan w32tm untuk memverifikasi bahwa VM disinkronkan ke Host <SITE>-DC1. Jalankan perintah ini di shell administratif sebagai administrator lokal di CA-ROOT. Verifikasi bahwa setelan Peer adalah <SITE>-DC1.<DNSDOMAIN> dan State adalah Active. Jangan lanjutkan jika waktu tidak disinkronkan dengan benar.
```
w32tm /query /peers

#Peers: 1

Peer: DC2-DC1.hq.local
State: Active
Time Remaining: 31.2997107s
Mode: 3 (Client)
Stratum: 1 (primary reference - syncd by radio clock)
PeerPoll Interval: 6 (64s)
HostPoll Interval: 6 (64s)
```

Mengupgrade VM DHCP

Di CONFIG1 sebagai pengguna marvin, upgrade DHCP VMS. Mulai dengan DHCP2 terlebih dahulu, lalu DHCP1.

Konfigurasi DHCP2:

.\Update-RemoteHost.ps1 -ComputerName <SITE>-DHCP2 -Credential $da_creds SetLCM -RemoveExisting

Mengonfigurasi DHCP1

.\Update-RemoteHost.ps1 -ComputerName <SITE>-DHCP1 -Credential $da_creds SetLCM -RemoveExisting

Mengupgrade Pengontrol Domain
1. Di CONFIG1 sebagai pengguna marvin, upgrade pengontrol domain utama.
```
.\Update-RemoteHost.ps1 -ComputerName <SITE>-DC1 -Credential $da_creds SetLCM -RemoveExisting
```
1. Memvalidasi sinkronisasi waktu dengan SyncServer
  1. RDP ke <SITE>-DC1 sebagai administrator domain.
  2. Buka jendela Powershell sebagai administrator.
  3. Jalankan perintah berikut untuk memvalidasi konfigurasi waktu.
    
    Penting: Pastikan Last Sync Error: adalah 0, dan Source cocok dengan salah satu alamat IP NtpServers yang dikonfigurasi dalam petunjuk Memperbarui server NTP.
```
# Checking time status
w32tm /query /status /verbose
```
  4. Jalankan perintah berikut untuk menguji sinkronisasi ulang waktu:
```
# Testing time resyncronization
w32tm /resync
```
```
# Desired output
Sending resync command to local computer
The command completed successfully.
```
  5. Validasi ulang bahwa konfigurasi waktu sudah benar dan tidak ada error.
  Penting: Pastikan Last Sync Error: adalah 0, dan Time to Last Good SYnc Time: diperbarui (seharusnya kurang dari satu menit jika Anda menjalankannya segera setelah menyinkronkan, misalnya).
```
  # Checking time status
  w32tm /query /status /verbose
```
  Peringatan: Jika error terdeteksi atau w32tm /resync gagal, HENTIKAN. Lakukan eskalasi ke OI Engineering sebelum melanjutkan karena ada risiko tinggi pemblokiran deployment OI kecuali jika layanan waktu berfungsi sepenuhnya.
2. Upgrade VM DC kedua (<SITE>-DC2) di BM02
  1. Login ke CONFIG1 dengan akun administrator lokal marvin.
  2. Buka terminal PowerShell sebagai administrator dan jalankan skrip berikut.
```
cd c:\dsc

.\Update-RemoteHost.ps1 -ComputerName <SITE>-DC2 -Credential $da_creds -SetLCM -RemoveExisting
```
  1. Server dimulai ulang. TUNGGU 15 menit atau replikasi AD selesai.
  2. Memvalidasi replikasi AD
  3. Setelah DC kedua aktif dan beroperasi, jalankan perintah berikut dari salah satu pengontrol domain untuk memvalidasi replikasi Active Directory:
```
repadmin /replsummary
```
  1. Validasi hasil per petunjuk di #validate-ad-replication.
  Peringatan: Jika ada errors atau fails dalam output repadmin /replsummary, HENTIKAN. Lakukan eskalasi ke OI Engineering sebelum melanjutkan karena ada risiko tinggi pemblokiran deployment OI kecuali jika layanan waktu berfungsi sepenuhnya.

Mengupgrade VM Microsoft Config Manager

Dari jendela Powershell marvin di DC1-CONFIG1, siapkan dan jalankan konfigurasi DSC:

.\Update-RemoteHost.ps1 -ComputerName <SITE>-MCMDB1 -Credential $da_creds -SetLCM -RemoveExisting

.\Update-RemoteHost.ps1 -ComputerName <SITE>-MCM1 -Credential $da_creds -SetLCM -RemoveExisting

.\Update-RemoteHost.ps1 -ComputerName <SITE>-MCM2 -Credential $da_creds -SetLCM -RemoveExisting

Mengupgrade VM Splunk

Dari jendela Powershell marvin di DC1-CONFIG1, siapkan dan jalankan konfigurasi DSC:

 .\Update-RemoteHost.ps1 -ComputerName <SITE>-splunk-heavyfwd -Credential $da_creds -SetLCM -RemoveExisting

 .\Update-RemoteHost.ps1 -ComputerName <SITE>-splunk-indexer -Credential $da_creds -SetLCM -RemoveExisting

 .\Update-RemoteHost.ps1 -ComputerName <SITE>-splunk-manager -Credential $da_creds -SetLCM -RemoveExisting

 .\Update-RemoteHost.ps1 -ComputerName <SITE>-splunk-searchhead -Credential $da_creds -SetLCM -RemoveExisting

 .\Update-RemoteHost.ps1 -ComputerName <SITE>-universal -Credential $da_creds -SetLCM -RemoveExisting

Mengupgrade VM Nessus

Dari jendela Powershell marvin di DC1-CONFIG1, siapkan dan jalankan konfigurasi DSC:

 .\Update-RemoteHost.ps1 -ComputerName <SITE>-NESSUS1 -Credential $da_creds -SetLCM -RemoveExisting

 .\Update-RemoteHost.ps1 -ComputerName <SITE>-NESSUS2 -Credential $da_creds -SetLCM -RemoveExisting

Pembaruan manual Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.

1. Upgrade manual untuk PANW

1.1. Definisi

1.2. Prosedur upgrade

1.2.1. Jalur upgrade

1.2.2. Penyiapan upgrade

1.3. Contoh detail prosedur upgrade

console

kubectl

2 Memicu upgrade otomatis untuk HSM

3. Upgrade ONTAP manual

3.1. - Metode pengambilan 1

3.2. - Metode pengambilan 2

3.3. Mengupload gambar ke ONTAP

3.4. Pemeriksaan awal upgrade ONTAP

3.5. Memulai upgrade

3.6. Mengupgrade di sistem kosong

3.7. Memperbarui MTU LIF agen pencadangan

4. Upgrade Manual Operations Suite Infrastructure Core

4.1 Melakukan Pencadangan

4.2 Mengupgrade Virtual Machine yang ada

Pembaruan manual