最近三个月，我们接收到了大量的升级相关的咨询问题。其中很多并不是升级本身出了 Bug，而是升级前的环境检查没做到位——SSL 证书冲突、SSH 版本不兼容、存储空间不足、内核依赖缺失，这些全是可以在升级前 10 分钟就发现的。

1、升级前必做的 5 个检查

很多升级失败的案例，根因都很简单——该提前确认的事项跳过了。

一个常见场景：在超融合环境中，有客户在升级前更新了操作系统的 SSH 版本，结果导致双管理节点的数据库同步机制异常，升级后数据库出现主备不一致。这类由"小变更"引发的连锁问题，在工单中间出现了 14 条。

你现在可以做的
第一，确认你的升级前检查脚本是最新的。旧版本可能遗漏新增的检查项，确保使用最新版本。

第二，检查存储空间。管理节点的/opt/zstack 和 /var/lib 目录至少需要保留 20% 的可用空间。

第三，检查 SSL 证书状态。如果开启了 SSL 登录，升级前需要关闭并取消域名映射。

第四，双管理节点环境，务必确认数据库主备同步状态正常。升级前不同步，升级后问题会更严重。

第五，如果环境使用了麒麟操作系统并计划升级内核，需要检查存储相关配置文件的参数是否兼容。

2、到底该不该升

这个问题没有万能答案，但有一些明确的判断标准。

应该升级

• 存在已知安全漏洞 — 比如 VPC 路由器的 OpenSSH 漏洞、VNC 未授权访问漏洞，在安全扫描中经常被检出，不及时修复平台面临被攻击风险。
• 存在已确认的产品缺陷 — 比如某些版本的内存泄漏问题、特定内核版本的已知 Bug 导致管理节点异常 Crash。
• 版本已停止维护（EOL） — 不再有补丁和安全更新支持，继续运行的风险只会越来越大。

可以再等等

• 环境有定制化组件 — 特殊存储对接、特殊网络配置、三方业务系统集成，升级可能影响兼容性，需要先确认。
• 目标版本有匹配的已知问题 — 比如对某种 CPU 架构的兼容性还在验证中，而你的环境恰好是这种架构。
• 目标版本为非 LTS 版本 — 可以等等再升级，建议直接升级到 LTS（长期支持）版本，获得更稳定的功能和安全更新。

3、升级万一出问题，怎么回退

升级最怕的不是失败，而是失败了没有退路。

真实案例
某客户给麒麟操作系统打补丁后重启，系统直接进入 emergency 模式，报错/dev/mapper/klas-root does not exist。根因是 LVM 设备映射在补丁更新后发生变化。如果没有提前做系统快照或备份，恢复起来会非常棘手。

回滚预案的核心是三件事：
1、备份管理数据库。这是整个云平台的"大脑"，有了数据库备份，即使升级失败，也可以恢复平台的配置和资源关系。
2、保护系统盘。对关键物理机的系统盘做快照（如果存储支持），或者通过 LVM 快照保护。万一升级导致系统异常，可以快速回退。
3、记录当前版本号。听起来很基础，但在回滚时你需要知道"回到哪个版本"，很多人到那一步才发现没记录。

升级后，不要急着庆祝。先检查所有物理机是否在线、所有云主机是否正常运行、管理功能是否正常。确认无误后，观察运行 24 小时再算"升级成功"。

确认当前版本是否仍在官方支持范围内，是否已停止维护
对照目标版本的发布说明，检查当前环境是否存在已知安全漏洞或产品 Bug
下载并运行最新版升级前检查脚本，处理所有报告的风险项
确认管理节点存储空间充足（/opt/zstack 和 /var/lib 至少 20% 余量）
制定回滚预案：数据库备份 + 系统快照 + 当前版本记录，确保升级失败有退路

升级前检查脚本报告了兼容性风险项，你不确定如何处理
环境中有定制化的三方组件（特殊存储、特殊网络、三方系统对接），需要评估升级影响
双管理节点环境的数据库同步状态已经异常，必须先修复再考虑升级
升级过程中间出现报错，在官方文档的已知问题列表中找不到对应解决方案
升级后物理机或云主机状态异常，需要回滚指导

升级是改善平台安全性和稳定性的有效手段，但前提是"准备好了再升"。与其匆忙升级后手忙脚乱地排错，不如花 30 分钟做好预检和预案，让升级过程可控、可回退。