简介
本文档介绍如何使用完全升级方法将现有ISE部署从版本2.7升级到3.1。
先决条件
要求
Cisco 建议您了解以下主题:
- 身份服务引擎 (ISE)
- 了解用于描述不同类型ISE部署的术语
使用的组件
本文档中的信息基于以下软件和硬件版本:
本文档中的信息都是基于特定实验室环境中的设备编写的。 本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
注意:此过程与其他ISE版本相似或相同。这些步骤可在2.6上用于升级到3.1和ISE软件版本,除非另有说明。
背景信息
还包括如何使用运行状况检查功能检测和修复任何潜在的部署问题。传统升级方法现在称为剥离升级,如果并非首选完全升级方法,则可作为替代选项使用。
支持的路径
支持从Cisco UCS Director完全升级到ISE 3.1
- ISE 2.6补丁10及更高版本
- ISE 2.7补丁4及更高版本
- ISE 3.0补丁3及更高版本
从ISE 2.6及更高版本支持拆分升级到ISE 3.1,带或不带任何补丁。
完全升级与分割升级方法的比较
分布式部署中采用分割升级方法的节点升级顺序
完全分布式部署至少需要5个步骤才能升级到新版本。
考虑到每个步骤大约需要240分钟,因此这里的总升级过程将需要240*5分钟= 20小时。
分布式部署中的节点升级序列及完全升级方法
完全分布式部署只需两个步骤即可升级到新版本。
同样,考虑到每个步骤大约需要240分钟,整个升级过程现在减少到240*2分钟= 8小时。
完全升级相对于拆分升级方法的优势
- 完全升级方法会减少整个活动所花费的时间,因为节点是并行升级的,而拆分升级方法则需要在较长的维护窗口期限内进行良好的规划。
- 从升级顺序来看,完全升级方法非常简单,因为只需2个步骤。Split Upgrade方法要求在开始升级过程之前对节点进行适当的排序。
- 完全升级方法保留升级前的角色和角色。Split Upgrade方法会切换升级版本中的主要和辅助管理员角色。
- 在完全升级方法中,通过消除升级过程中与部署相关的更改对API的依赖,减少了故障点。
- Full Upgrade方法允许在主要管理节点关闭进行升级时,从辅助管理节点跟踪升级状态。在Split Upgrade方法中,这是不可能的。
- 升级后补丁安装是自动进行的,并且是作为完全升级方法的一个选项提供的。
注意:完全升级需要完全停机时间,因为所有PSN同时关闭进行升级。确保在计划的维护时段内计划活动。
完整升级流程
本文档演示4节点部署的升级流程。对于双节点部署或其他多节点部署,整个流程保持不变。
升级UI
导航到Administration > System > Upgrade以开始如图所示的活动。
注:ISE 2.6补丁9及以下、ISE 2.7补丁3及以下和ISE 3.0补丁2及以下版本仅支持拆分升级方法。默认情况下,会为这些版本启动Split Upgrade窗口。此处可参阅Split Upgrade。选择Full Upgrade单选按钮,然后单击Start Upgrade。
欢迎页面
在欢迎页面向导上,单击下一步以继续操作。
核对清单
检查核对表并确保在继续之前完成任务。
勾选表明我已审核检查表的复选框,然后单击“下一步”。
准备升级
升级前将对整个部署运行预检查,结果将显示在此页面上。除了检查外,在此步骤中,升级捆绑包在所有节点上下载,离线数据升级(ODU)在辅助管理节点上运行(这类似于分割升级方法的升级准备工具(URT)模拟),最后,它还显示活动的估计时间。
升级捆绑包将从Cisco Software Download页下载。
要运行升级前检查,请选择放置升级捆绑包的存储库名称。从Bundle下拉框中选择升级捆绑包文件名。
注意:完全升级方法还引入了升级后自动补丁安装。修补程序文件将与升级捆绑包一起置于同一存储库中,如果需要自动安装修补程序,可从下拉列表中选择修补程序文件名。
单击Start Preparation以开始运行预检查。所有预检查(捆绑包下载和配置数据升级检查除外)在启动系统验证4小时后自动到期。配置数据升级(仅适用于ODU)将在12小时后过期。
注意:在升级活动之前禁用PAN故障切换设置。如果未手动完成,在触发升级后会自动禁用该功能。
注意:ISE 3.0和列出的要求使用智能许可。它不支持传统许可。如果在升级前未启用或注册智能许可,默认情况下,升级后ISE会进入智能许可评估期。许可证迁移参考链接:产品 — ISE许可迁移指南 — 思科 当您将ISE从2. x升级到3.x时,它涉及许可层更改。
注意:一旦触发配置数据升级,应避免ISE上的所有类型的配置更改。升级后所做的任何更改都将丢失。
如果任何组件预检查失败,则根据关键程度以红色或橙色显示。在继续之前,需要强制纠正以红色突出显示的故障。以橙色突出显示的警告无法停止升级过程,但是,最好将它们作为最佳实践进行修复,以免影响未来的部署特性和功能。
纠正错误后,点击Start Staging以继续操作。
升级暂存
在升级过渡期间,升级后的数据库文件将复制到部署中的所有节点,配置文件将在部署的所有节点上备份。
作为ODU的一部分,转储文件已存在于辅助管理节点上。因此,在此步骤中,辅助管理节点仅为CA NSS DB、智能许可和DHCP/DNS配置创建备份文件。所有其他节点也会创建这些文件,但还需要从辅助管理节点复制转储文件。
当所有节点的暂存完成时,单击Next。
升级节点
单击Start以触发升级。
弹出消息确认升级已触发,并且所有节点都显示在队列中,其状态为升级状态。由于升级首先在主管理节点上启动,因此系统从此节点注销,现在可以从辅助管理节点的GUI监控升级状态。在辅助管理节点的GUI上导航到Administration > System > Upgrade以继续查看状态。
主管理节点升级且服务启动后,系统会从辅助管理节点的GUI中注销。现在,用户可以从主管理节点的GUI切换回监控状态,同时部署的所有其他节点都关闭进行升级。
成功升级所有节点后,状态变为绿色。
如果存在任何故障节点,则会显示一个弹出窗口,其中包含有关故障节点的信息。在弹出窗口中单击OK以从部署中注销故障节点。必须逐个升级/重新映像这些映像,并重新加入部署(如果有)。
单击下一步以查看总体升级摘要报告。
摘要
升级过程完成后,可以从此页面查看和下载部署的诊断升级报告。
运行状况检查
为了在升级后验证部署状态,将自动运行运行状况检查以验证部署状态。可以从升级流程的“摘要”页面下载此报告。如果需要在任何时间点进行按需运行状况检查,请导航到Administration > System > Health Checks,然后单击Start Health Checks。
升级后任务
用户在您完成升级后登录到主管理节点的GUI时,会显示有关升级后任务的弹出消息。
单击弹出消息中的升级后任务超链接,查看任务详细信息并完成它们。
问题和补救措施
- 如果主管理节点升级失败,请将辅助管理升级为主管理节点,然后重试升级。
- 如果升级在除主管理员之外的任何其他节点上失败,则节点必须从部署中注销。此节点必须单独升级或直接重新映像至升级版本,并且可以重新加入部署。