背景描述

CPPM作为AAA Server提供了主要的Radius协议认证，由于功能和Bug的不断完善，再加上系统版本的更新换代，也就意味着我们经常需要进行系统版本的升级工作，这里介绍的是在从v6.8.x或者v6.7.13直接升级到v6.9.0的过程中的相关注意事项，对于其他的版本升级步骤，请大家参考官方详细的Release note介绍，参考URL：https://www.arubanetworks.com/techdocs/ClearPass/CP_ReleaseNotes_6.9.6/Default.htm#WhatsNew/ReleaseOverview.htm

原因

我们在将系统更新到v6.9.0的过程中，不管是硬件和软件系统，都有可能会碰到升级过程漫长或者由于其他原因导致账号或者配置失效或者硬件无法支持等而升级失败的经历，那为了能够快速恢复系统，我们通常会在系统启动过程中，通过菜单选择来手动切换到原来的老分区启动，这样就可以快速恢复到老分区系统继续使用。

但是这个恢复仅仅是通过系统启动过程中，手动切换了分区启动模式，但是实际系统中，该老分区并不是系统认为的active分区，这个就是因为，在之前的升级过程中，系统已经自动将新的v6.9.0系统分区作为active分区。

如果此时，我们没有注意到v6.9.0的新分区是active的，而系统又是手动地切换到老的分区加载启动，当系统正运行在老的分区上时，如果此时又在GUI或者CLI里再完成一次upgrade到v6.9.0的操作，那么系统自动就会将非active分区（也就是老分区）清空掉，只保留一个分区（即当前的active 分区）。原因就是因为CPPM升级进程，默认仅仅是将新系统升级到非active分区（也就是老分区）上，这样等于老分区和active分区变成相同版本，那系统就会自动删除掉老分区，那你的老分区就再也无法使用了，同时新分区也无法进入，最后只能重新部署CPPM系统，对于虚拟机方式当然你可以通过快照等备份来快速恢复，但是针对硬件的Clearpass，只能让TAC协助来重新部署系统。

升级操作前，我们查看下当前的分区状态：

[appadmin@cppm-demo]# system boot-image -l
1 Aruba ClearPass Platform 6.9.0.130064 [Active]
2 Aruba ClearPass Platform 6.7.14.110650

由于是手动切换到该老分区（v6.7.14.110650是非active分区），并在该系统版本运行下，再次进行了upgrade操作，报错如下：

Upgrading from image file=CPPM-x86_64-6.9.0.130064-upgrade.signed.tar
Extracting image...
INFO - CPPM-x86_64-6.9.0.130064-upgrade.signed.tar is signed
INFO - Backing up current config...
INFO - Starting backup. This may take some time...
INFO - Backup databases for AppPlatform
INFO - Backup databases for PolicyManager
INFO - Backup extensions
INFO - Backup databases for Insight
INFO - Backup complete
ERROR - Current running version is not marked as the Active boot image.
ERROR - Fix this by rebooting to the Active version, or mark current version Active
ERROR - Exception performing upgrade: Pre-install task=20-remove-second-boot-entry failed
ERROR - Upgrade failed

[appadmin@cppm-demo]# system boot-image –l （再次显示分区状态）
1 Aruba ClearPass Platform 6.9.0.130064 [Active] （发现仅仅只剩下一个新的分区）

重启下系统后，发现仅仅只有一个分区显示（即原来的active分区），之前的老分区Aruba ClearPass Platform 6.7.14.110650 消失了。

解决办法

当我们通过菜单方式，选择切换到原来的老分区启动，这样就可以快速恢复到老系统继续使用，但是在使用老系统后，一定要记住将active分区重新设置到老分区上。
另外，我们在升级系统之前，也要通过下面的CLI来确认当前的active分区是什么版本，如果当前运行系统并不是active分区的，那升级后，当前系统会被格式化掉， 那万一升级失败，你是无法回退到当前运行系统的，请大家注意。

当前系统已经采用老分区加载启动，相关的操作如下，需要借助CLI：

************************************************************************
Policy Manager CLI v6.7(14),
Copyright © 2020, Hewlett Packard Enterprise Development LP.
Software Version : 6.7.14.110650
Management IP Address : 10.1.101.20
System Model : CLABV
************************************************************************
Last Login: 2021-07-02 16:18:04 from console
Logged in as group Local Administrator
[appadmin@cppm-demo]# system boot-image -l
1 Aruba ClearPass Platform 6.9.0.130064 [Active] （自动采用新升级的系统v6.9.0作为active）
2 Aruba ClearPass Platform 6.7.14.110650

[appadmin@cppm-demo]# show version （查看当前运行的系统版本）
Policy Manager software version : 6.7.14.110650
（系统在启动时，虽然手动地选择采用v6.7.14 分区启动，但是实际的 active分区仍是v6.9.0）
Policy Manager model number : CLABV

[appadmin@cppm-demo]# system boot-image -a 2 （将 active分区重新设置为 v6.7.14）
Boot-image index 2 is set to active
Restart the system to boot from the updated image

[appadmin@cppm-demo]# system boot-image -l （检测配置是否生效）
1 Aruba ClearPass Platform 6.9.0.130064
2 Aruba ClearPass Platform 6.7.14.110650 [Active] (需要重新设置 v6.7.14 作为 active分区，然后重启系统，采用v6.7.14系统启动，接着你就可以在v6.7.14系统里面再次upgrade 到v6.9.0，也不会导致v6.7.14 系统分区丢失掉）
[appadmin@cppm-demo]# system restart