Réussir un upgrade en haute disponibilité (Active/Standby) sans coupure suppose une préparation rigoureuse et un plan de retour arrière.
La bonne gestion des clés et certificats SSL/TLS est tout aussi essentielle pour maintenir la confidentialité des flux.
Avant de commencer
Vérifiez la compatibilité entre votre version actuelle et la version cible (certains sauts nécessitent une version intermédiaire).
Téléchargez l’image depuis le portail F5 et calculez son empreinte pour valider l’intégrité.
Réalisez une sauvegarde complète au format UCS et stockez-la hors de l’appliance.
tmsh save /sys ucs pre_upgrade.ucs
scp root@<ip_f5>:/var/local/ucs/pre_upgrade.ucs .
Stratégie HA : standby d’abord
En cluster Active/Standby, on met à jour le standby en premier : on installe l’image sur une partition de démarrage inactive, on redémarre,
on vérifie, puis on bascule le trafic. On répète ensuite sur l’autre nœud. Cette approche minimise les risques d’interruption.
1) Installer l’image sur le standby
scp BIGIP-16.1.3.2-0.0.4.iso root@<standby_ip>:/shared/images/
tmsh install sys software image BIGIP-16.1.3.2-0.0.4.iso volume HD1.2
tmsh show sys software
reboot
2) Valider le standby après redémarrage
tmsh show sys version
tmsh show cm sync-status
Contrôlez VIPs, pools, iRules, profils SSL/TLS et journaux (/var/log/ltm).
3) Basculer le trafic
tmsh run sys failover standby
4) Mettre à jour l’ancien actif
Répétez l’installation, le redémarrage et les vérifications comme pour le standby.
5) Synchroniser la configuration
tmsh run cm config-sync to-group <device_group>
Gestion & récupération des clés SSL/TLS
Les VIPs s’appuient sur des paires clé/certificat. Par défaut (hors HSM/FIPS), les clés privées résidentes sont exportables.
Emplacements principaux : /config/ssl/ssl.key/ (clés), /config/ssl/ssl.crt/ (certificats), /config/ssl/ssl.csr/ (CSR).
Copier une clé privée (cas exportable)
scp root@<f5_ip>:/config/ssl/ssl.key/moncert.key .
Sauvegarder toutes les clés/certificats via UCS
tmsh save /sys ucs ssl_backup.ucs
scp root@<f5_ip>:/var/local/ucs/ssl_backup.ucs .
# Extraction locale (l’archive est un tar.gz)
tar -xvzf ssl_backup.ucs
ls config/ssl/ssl.key/
Attention au cas FIPS/HSM (non exportable)
Si vos clés ont été générées dans un module FIPS/HSM et marquées non exportables, elles ne peuvent pas être extraites en clair.
Pour migrer ce certificat ailleurs, il faut générer une nouvelle paire et la faire signer à nouveau par votre AC.
Rollback en cas d’échec
Grâce aux partitions de boot, revenez simplement sur la précédente si besoin, puis restaurez l’UCS.
tmsh show sys software
reboot volume HD1.1 # Ex. revenir sur l’ancienne partition
# Restaurer la configuration si nécessaire
tmsh load /sys ucs pre_upgrade.ucs
Validation post-upgrade
Testez le failover manuel, vérifiez l’accessibilité des VIPs et la santé des pools, contrôlez la validité des certificats et la présence des clés,
surveillez la latence, l’UC et la mémoire, et lisez les journaux pour détecter toute anomalie.
Liens utiles (documentation officielle)
- Supported BIG-IP upgrade paths (K13845)
- Guide: Updating & Upgrading BIG-IP (PDF)
- Exporting SSL keys from BIG-IP (K42531434)
- Managing certificates and keys (TechDocs)
Conclusion
Un upgrade serein repose sur la préparation (UCS, compatibilité, partition inactive), l’ordre (standby puis actif) et la validation finale.
En parallèle, maîtriser l’export des clés et la sauvegarde des certificats évite les mauvaises surprises côté SSL/TLS.
Avec ces quelques commandes et repères, vous disposez d’un chemin clair pour mettre à jour vos BIG-IP et gérer vos secrets en toute sécurité.
