L’objectif de cet article est de détailler comment migrer un VS d’un vieux f5 vers un nouveau f5.
Vérifier combien de saut de version il faut faire pour atteindre la cible: https://support.f5.com/csp/article/K13845
Exemple: Nous souhaitons arriver en version 15.1.x or d’après l’article Upgrade Path, il faut faire un saut en 13.x avant d’arriver en 15.x
Dans l’ordre, les prérequis sont les suivants:
Ouvrir une invite de commande windows (cmd) et se placer dans le dossier qui contient le .iso ainsi que le .iso.md5
Tapez la commande suivante:
certutil -hashfile <fichier_image.iso> MD5 & type <fichier_image.iso.md5>
Par exemple:
certutil -hashfile BIGIP-16.0.0-0.0.12.iso MD5 & type BIGIP-16.0.0-0.0.12.iso.md5
Voici le résultat attendu:
MD5 hash of BIGIP-16.0.0-0.0.12.iso:
e4d36ec57f42ee880d157803e3c2a29a
CertUtil: -hashfile command completed successfully.
e4d36ec57f42ee880d157803e3c2a29a BIGIP-16.0.0-0.0.12.iso
Le Hash doit correspondre au hash du fichier texte md5.
Connectez vous sur l’interface de management web du f5
Aller dans System > Archives
Cliquer sur “Create” et spécifiez un nom pour l’archive UCS . Laissez bien Private Keys à Include
Une fois le fichier .ucs généré, téléchargez le.
Il faut aussi télécharger les configurations en cli si jamais l’interface web ne fonctionne pas.
Se connecter en SSH, aller en TMSH et faites tmsh save sys config
Saving running configuration…
/config/bigip.conf
/config/bigip_base.conf
/config/bigip_user.conf
Téléchargez également ces fichier .conf.
Il faut aussi backuper le fichier de licence en copiant le fichier /config/bigip.license des deux boitiers.
En SSH (pas en TMSH) copier le fichier /var/spool/cron/root dans un bloc note.
La société f5 autorise la mise à jour logicielle de leur boitier uniquement si le boitier a une licence valide.
Une licence “valide” c’est une licence dont la License Activation Date est supérieure à la License Check Date de la version de BIG-IP.
Par exemple:
La License Check Date de BIG-IP 16.0.0 est: June 16, 2020.
Si je veux mettre à jour en version BIG-IP 16.0.0, il faut que ma License Activation Date soit supérieure à June 16, 2020.
Voici le tableau qui regroupe les License Check Date par version de BIG-IP : https://support.f5.com/csp/article/K7727
Pour vérifier la License Check Date du boitier:
grep “Service check date” /config/bigip/license
> Service check date: 20170424 (/!\ format AAAAMMJJ)
Dans notre exemple, notre License Check Date est trop ancienne pour être valide sur un BIG-IP 16.0.0. Il va falloir réactiver la licence.
Aller dans System > License > Re-activate (tout en bas de la page).
[Capture License]
Sélectionner Activation Method : Manual
Vous verrez les informations suivantes:
Registration Key
Registration Key List
Manual Method : sélectionner Download/Upload File
Step 1: Télécharger le fichier .do
[Capture Page License f5]
Allez sur le site d’activation de la licence: https://activate.f5.com/license/dossier.jsp
Envoyez le dossier.
[Capture Activate f5 Product]
Acceptez les conditions d’utilisation et Téléchargez la licence
Retour sur le f5 dans System > License et importer le fichier license.txt.
[Capture import license]
En cliquant sur NEXT, le boitier va arrêter de rendre le service de loadbalancing le temps qu’il recharge sa configuration. Il faut prévoir une minute.
[Capture BIG IP qui reboot]
On peut ensuite vérifier que la Service Check Date s’est actualisée en faisant grep “Service check date” /config/bigip.license
> Service check date: 20211231
On peut dès à présent continuer la procédure de mise à jour.
En TMSH, faire un reboot sur le membre passif, puis sur l’autre. On s’assure que les boitiers pourront redémarrer après la mise à jour.
Aller dans Sustem > Device Certificate (ou System > Certificate Management > Device Certificate Management > Device Certificate pour les f5 plus récents) et vérifier que le certificat machine est toujours valable.
Sinon il faut le renouveler.
Vérifier que les équipements sont bien in-sync.
Se connecter à l’équipement en SSH avec login/mdp (par défaut, root/ default).
Se placer sur la racine : cd /
Créer le dossier /shared/images si celui-ci n’existe pas déjà
Se connecter à l’aide de WinSCP à l’équipement avec le login et le mot de passe (par défaut, root / default).
Copier le fichier BIGIP-XX.x.x.xxx.x.iso depuis votre bureau vers le dossier /shared/images du BIG-IP. Déposez également le fichier .isoet le .sig dans le dossier /shared/images
Se connecter en SSH avec login et le mot de passe (par défaut, root/default)
Vérifier sur quelle partition on se trouve : switchboot –l
Ps : On voit ici que l’on se trouve sur la partition HD1.1 (current boot image) avec la version 11.1.0
[Capture Partitions]
Retour dans l’interface d’administration, dans System > Software Management > Image List.
[Capture Image List]
Cocher la case de l’image que vous souhaitez installer et cliquer sur Install
Selectionner le disque et la partition inutilisée (il proposera que les partitions disponibles) et cliquer sur Install
[Capture Install Software Image]
Pour terminer, aller dans le menu “Boot Locations”
Cliquer sur la partition que vous venez d’installer l’image et cliquer sur Activate.
Vous n’êtes pas obligé de mettre “yes” dans Install configuration si aucun changement ont été fait sur le f5 entre temps.
le f5 redémarre immédiatement après avoir cliqué sur OK. Il drop toutes les connexions tant que le système n’a pas redémarré entièrement.
Une fois que la mise à jour est terminée, se connecter à la GUI du boitier à jour et le retirer du force offline (parfois c’est automatique et parfois il faut le faire manuellement).
Passer le membre restant en mode passif puis en forced offline pour que tout le trafic passe sur le boitier à jour.
Pour terminer, mettez à jour le boitier restant en suivant les étapes précédentes.
/!\ Il arrive que l’interface web ne réponde plus.. pour qu’elle se remette à fonctionner:
bigstart restart httpd
bigstart restart tomcat