Cisco Identity Services Engine アップグレード ガイド リリース 1.1.1
分散展開のアップグレード
分散展開のアップグレード
発行日;2012/09/26 | 英語版ドキュメント(2012/09/20 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 505KB) | フィードバック

目次

分散展開のアップグレード

分散展開のアップグレードの実行

分散展開での Cisco ISE ノードのアップグレード

分散展開での、Cisco ISE リリース 1.1 を実行するアプライアンスとリリース 1.1.1 を実行するアプライアンスとの交換

分散展開での、既存の Cisco ISE 1.1 ノードのサブセットとリリース 1.1.1 を実行する Cisco ISE アプライアンスとの交換

分散展開での、リリース 1.1 を実行するすべての Cisco ISE アプライアンスとリリース 1.1.1 を実行するアプライアンスとの交換

分散展開のアップグレードの実行

分散展開で Cisco ISE ノードのリリース 1.1.1 へのアップグレードを実行するには、分割展開のアップグレード方法を使用する必要があります。

プライマリ Administration ISE ノード データベースに対する設定の変更は、セカンダリ管理 ISE ノード、Inline Posture ノード、および展開内のすべてのセカンダリ ノードに適用されます。これにより、すべてのノードでプライマリ Administration ISE ノードからデータベースを複製し、各ノードに設定のローカル コピーを作成することができます。すべてのノードにまたがる設定データの複製は、最新バージョンで実装された機能変更の点では複雑化し、設定が必要となる場合があります。

分散展開における Cisco ISE ノードの一元的な設定と管理についての詳細は、『 Cisco Identity Services Engine User Guide, Release 1.1.1 』の 10 章、「Setting Up ISE in a Distributed Environment」を参照してください。


) 完全な Cisco ISE 展開をアップグレードする場合、ドメイン ネーム システム(DNS)サーバのリゾリューションが必須になります。実施しなかった場合はアップグレードは失敗します。



) 分割展開のアップグレード中、ノードを新しいプライマリ Administration ノードに登録する前に次を実行する必要があります。

自己署名証明書を使用している場合、すべてのノードの自己署名証明書を新しいプライマリ Administration ノードにインポートする必要があります。

ノードごとに異なる CA 証明書を使用している場合、すべての CA 証明書を新しいプライマリ Administration ノードにインポートする必要があります。

各ノードで共通の CA 証明書を使用している場合、そのノードを新しいプライマリ Administration ノードにインポートする必要があります。


 

完全な Cisco ISE 展開を新しいリリースにアップグレードする場合、Cisco ISE をアップグレードするバージョンに基づいて新しい展開を作成し、すべてのノードを新しい展開に移行します。

分割展開のアップグレードは 2 つの段階で実施されます。

1. 分散展開の Cisco ISE Administration ノードをアップグレードします。

2. Policy Service ノードと Inline Posture ノードを新しい展開にアップグレードします。

分散展開での Cisco ISE ノードのアップグレード

上位のリリースにアップグレードする場合は、先にセカンダリ Administration ISE ノードのみを上位のバージョンにアップグレードする必要があります。

たとえば、図 4-1に示すようなプライマリ Administration ノード 1 つ(ノード A)、セカンダリ Administration ノード 1 つ(ノード B)、Inline Posture ノード(IPN)1 つ(ノード C)、Policy Service ノード(PSN)4 つ(ノード D、ノード E、ノード F、ノード G)の展開セットアップの場合、次のアップグレード手順に進むことができます。

図 4-1 Cisco ISE リリース 1.1 管理展開

 

Cisco ISE では、以前のリリースから Cisco ISE リリース 1.1.1 への分割ドメイン アップグレードのみをサポートします。そのため、セカンダリ ISE ノードと Inline Posture ノードはアップグレード前に展開から個別に登録解除しておく必要があります。


警告 この警告は、Cisco ISE リリース 1.1 パッチ 3 からのアップグレードを行う場合には当てはまりません。

セカンダリ Administration ノードが 90 日以上稼働していた場合、そのライセンスは登録解除後に失われます。この場合、セカンダリ Cisco ISE Administration ノード(ISE ノード B)用の有効なライセンスを UDI(シリアル番号、バージョン ID、製品 ID)に基づいて取得する必要があります。詳細については、「有効なライセンスの取得」を参照してください。


分散展開をアップグレードするには、次の手順を実行します。


ステップ 1 Cisco ISE のアップグレード前に、管理ユーザ インターフェイスまたは CLI から、プライマリ Administration ISE ノードのオンデマンド バックアップ(手動)を実行し、管理ユーザ インターフェイスから Monitoring ノードのオンデマンド バックアップを実行します。

オンデマンド バックアップの詳細な実行方法については、「オンデマンド バックアップの実行」を参照してください。

ステップ 2 アップグレード前に Inline Posture ノード(IPN)設定を記録し、アップグレード後に IPN ノードを再設定できるようにします。

ステップ 3 展開セットアップからセカンダリ ノード(ノード B)を登録解除します。登録解除後、このノードはスタンドアロン ノードになります。このスタンドアロン ノードを Cisco ISE リリース 1.1.1 にアップグレードします。図 4-2 を参照してください。

図 4-2 Cisco ISE セカンダリ ノードのアップグレード

 

アップグレード後にノード B にログインする際にシステムがライセンスについてのプロンプトを表示する場合、UDI に基づくセカンダリ ノード用の有効なライセンスをインストールする必要があります。詳細については、「有効なライセンスの取得」を参照してください。

ステップ 4 展開セットアップから PSN ノード(ノード D)を登録解除します。登録解除後、このノードはスタンドアロン ノードになります。このスタンドアロン ノードを Cisco ISE リリース 1.1.1 にアップグレードします。図 4-3 を参照してください。

図 4-3 新しい展開にアップグレードされた Policy Service ノード

 

ステップ 5 ノード B を新しい展開のプライマリ ノードとして昇格し、ノード D を PSN ノードとして登録します。

ステップ 6 展開セットアップから IPN ノード(ノード C)を登録解除し、スタンドアロン ノードとします。この IPN ノードを Cisco ISE リリース 1.1.1 にアップグレードします。


) アップグレード プロセスは IPN の設定を削除します。アップグレード後に IPN を再設定する必要があります。


ステップ 7 展開からセカンド PSN ノード(ノード E)を登録解除し、Cisco ISE リリース 1.1.1 にアップグレードします。このノードを PSN ノードとしてノード B に登録します。他の PSN ノード(ノード F およびノード G)に対してこの手順を繰り返します。

ステップ 8 以前の展開のプライマリ ノード(ノード A)をスタンドアロン ノードに変換します。ノード A を Cisco ISE リリース 1.1.1 にアップグレードし、Cisco ISE リリース 1.1.1 展開セットアップでセカンダリ ノードとしてノード B に登録します。

ステップ 9 IPN 証明書を新しいプライマリ Administration ノード(ノード B)の証明書と交換します。同様に、IPN 証明書を新しいセカンダリ Administration ノード(ノード A)の証明書と交換します。


) プライマリおよびセカンダリの Administration ノードの証明書を各 IPN ノードにインストールして、管理インターフェイスの証明書を信頼済みとする必要があります。証明書のプロビジョニングの詳細については、『Cisco Identity Services Engine User Guide, Release 1.1.1』の「Deploying an Inline Posture Node」を参照してください。


ステップ 10 IPN ノード(ノード C)を新しい展開セットアップ(ノード B)に登録します。

すべての Policy Service ノードを新しい展開へとアップグレードすると、Cisco ISE 展開のアップグレードは完了となります(図 4-4 を参照)。

図 4-4 新しい Cisco ISE リリースへの移行が完了した展開

 


 

分散展開での、Cisco ISE リリース 1.1 を実行するアプライアンスとリリース 1.1.1 を実行するアプライアンスとの交換

この項の構成は、次のとおりです。

「分散展開での、既存の Cisco ISE 1.1 ノードのサブセットとリリース 1.1.1 を実行する Cisco ISE アプライアンスとの交換」

「分散展開での、リリース 1.1 を実行するすべての Cisco ISE アプライアンスとリリース 1.1.1 を実行するアプライアンスとの交換」

分散展開での、既存の Cisco ISE 1.1 ノードのサブセットとリリース 1.1.1 を実行する Cisco ISE アプライアンスとの交換

分散展開で Cisco ISE 1.1 ノードのサブセットを 1.1.1 を実行する Cisco ISE アプライアンスと交換するには、次の手順を実行します。


ステップ 1 既存のセカンダリ Cisco ISE 1.1 アプライアンスを登録解除し、Cisco ISE 1.1.1 にアップグレードします。このアプライアンスを新しい展開のプライマリ ノードに設定します。

ステップ 2 新しい展開に移動する古い展開のその他のノードを登録解除し、アップグレードして新しい展開に登録します。

ステップ 3 新しい Cisco ISE 1.1.1 アプライアンスを新しい展開に登録します。

この場合、プライマリ Administration ISE ノードは元のハードウェアに維持されます。

ステップ 4 新しい Cisco ISE 1.1.1 アプライアンスの 1 つを新しいプライマリ Administration ISE ノードに設定します。


 

分散展開での、リリース 1.1 を実行するすべての Cisco ISE アプライアンスとリリース 1.1.1 を実行するアプライアンスとの交換

分散展開で Cisco ISE メンテナンス リリース 1.0.4 または Cisco ISE リリース 1.1 ソフトウェアを実行するすべての Cisco ISE アプライアンスと Cisco ISE リリース 1.1.1 を実行する Cisco ISE アプライアンスを交換するには、次の手順を実行します。


ステップ 1 既存のセカンダリ Cisco ISE 1.1 アプライアンスを登録解除し、Cisco ISE 1.1.1 にアップグレードします。このアプライアンスを新しい展開のプライマリ ノードに設定します。

ステップ 2 新しい Cisco ISE 1.1.1 アプライアンスを新しい展開に登録します。

ステップ 3 すべての新しい Cisco ISE 1.1.1 アプライアンスが新しい展開に登録された後、新しい Cisco ISE 1.1.1 アプライアンスの 1 つを新しい展開のプライマリ ノードに昇格させます。

ステップ 4 手順 1 でプライマリ ノードとして昇格された古いアプライアンスを登録解除します。