Einleitung
In diesem Dokument wird die in 3.2 P3 eingeführte verbesserte Split-Upgrade-Funktion im Vergleich zur herkömmlichen Split-Upgrade-Methode beschrieben.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- Grundkenntnisse der Cisco Identity Service Engine
Verwendete Komponenten
Dieses Dokument ist nicht auf bestimmte Software- und Hardware-Versionen beschränkt.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Hintergrundinformationen
Methoden für GUI-Upgrades
- Aufteilen
- Schrittweiser sequenzieller Prozess zum Upgrade Ihrer Bereitstellung, solange die Services verfügbar sind.
Altes Split-Upgrade
- Full-Commit
- Zweistufiger Prozess zur parallelen Aktualisierung aller Knoten bei einem Serviceausfall.
- Nimmt weniger Zeit in Anspruch als ein geteiltes Upgrade.
Vollständiges Upgrade
- Neuer Split
- Batch-Upgrade
- Höhere Stabilität und weniger Ausfallzeiten
- Geringerer Zeitaufwand als beim alten Split-Upgrade.
- Vorabprüfungen.
- Kein URT.
Neues Split-Upgrade
Upgrade-Pfade
- 2.6, 2.7, 3.0 > AUFTEILEN/VOLLSTÄNDIG > 3.1
- 2,7, 3.0, 3.1 > AUFTEILEN/VOLLSTÄNDIG > 3.2
- 3.0, 3.1, 3.2 > AUFTEILEN/VOLLSTÄNDIG > 3.3
- Ab Version 3.2 P3 ersetzte das neue Split-Upgrade das alte Split-Upgrade, wobei nur zwei Optionen übrig blieben: Vollständiges Upgrade und New Split.
Neues und altes Split-Upgrade
Alter Split-Upgrade-Prozess
Alte Schritte für Split-Upgrades
1. SPAN: Registrierung aufheben, Datenaktualisierung konfigurieren, auf PAN heraufstufen.
2. MnT: Registrierung aufheben, Registrierung bei neuer Bereitstellung durchführen, Betriebsdaten-Upgrade herunterladen und importieren
3. PSN1: Registrierung aufheben, Registrierung für neue Bereitstellung, Herunterladen und Importieren von Daten
4. PSN2: Registrierung aufheben, Registrierung für neue Bereitstellung, Herunterladen und Importieren von Daten
5. MnT: Registrierung aufheben, Registrierung bei neuer Bereitstellung durchführen, Betriebsdaten-Upgrade herunterladen und importieren
6. PPAN: Registrieren, Herunterladen und Importieren von Daten, Heraufstufen von SPAN, um dieselbe Bereitstellung wie vor dem Upgrade zu ermöglichen
Alte Aufteilung und neue Aufteilung
Neue Split-Aktualisierung - Assistent
Schritt 1:
Schritt 2: Checkliste
Schritt 3. Knoten auswählen
Schritt 4: Vorbereitung des Upgrades
Schritt 5: Upgrade-Staging
Schritt 6. Knoten aktualisieren
Übersichtsseite
Anmerkung: Die gleichen Schritte werden pro Iteration wiederholt.
Schritte im Detail
Schritt 1: Willkommen beim Cisco ISE-Upgrade
Schritt 2: Checkliste
Schritt 3: Knoten für Iterationen auswählen
Für dieselbe Bereitstellung können verschiedene Iterationen ausgewählt werden.
Iterationsoptionen
Bei 2 Iterationen beginnt Schritt 3 mit der Auswahl der Knoten.
Iteration1 Knotenauswahl
Schritt 4: Vorbereitung des Upgrades
Knotenauswahl
Vorprüfungen
Vorprüfungen
- Die Repository-Validierung überprüft, ob das Repository für alle Knoten konfiguriert ist.
- Download-Paket hilft beim Herunterladen.
- Memory Check überprüft, ob auf dem PAN-Knoten 25 % und auf anderen Knoten 1 GB Speicherplatz verfügbar ist.
- Das Herunterladen des Patch-Pakets hilft beim Herunterladen des Patch-Pakets für die ausgewählten Knoten.
- Bei der PAN-Failover-Validierungsprüfung wird geprüft, ob die PAN-Hochverfügbarkeit aktiviert ist. Benachrichtigung, dass PAN-Failover deaktiviert wird, wenn sie aktiviert ist.
- Die zeitgesteuerte Datensicherung überprüft, ob die zeitgesteuerte Datensicherung aktiviert ist. - nicht obligatorisch.
- Config Backup Check überprüft, ob die Konfigurationssicherung kürzlich durchgeführt wurde. Der Aktualisierungsvorgang wird erst nach Abschluss der Sicherung ausgeführt.
- Das Konfigurationsdaten-Upgrade führt das Konfigurationsdaten-Upgrade auf dem Konfigurationsdatenbankklon aus und erstellt das Upgrade-Daten-Dump. Diese Prüfung beginnt nach dem Herunterladen des Pakets.
- Dienste- oder Prozessfehler geben den Status des Dienstes oder der Anwendung an (unabhängig davon, ob dieser ausgeführt wird oder sich in einem Fehlerzustand befindet).
- Die Prüfung der Plattformunterstützung überprüft die unterstützten Plattformen in der Bereitstellung. Es überprüft, ob das System über mindestens 12 Core-CPUs, eine Festplatte mit 300 GB und 16 GB Speicher verfügt. Außerdem wird überprüft, ob die ESXi-Version 6.5 oder höher ist.
- Bei der Bereitstellungsvalidierung wird der Status des Bereitstellungsknotens überprüft (unabhängig davon, ob er synchronisiert ist oder gerade ausgeführt wird).
- Die DNS-Auflösbarkeit überprüft die Vor- und Rückwärtssuche von Hostname und IP-Adresse.
- Bei der Zertifikatvalidierung des Vertrauensstellungsspeichers wird überprüft, ob das Zertifikat des Vertrauensstellungsspeichers gültig ist oder abgelaufen ist.
- Die Systemzertifikatvalidierung überprüft die Systemzertifikatvalidierung für jeden Knoten.
- Festplattenspeicherplatz Überprüfen Sie, ob die Festplatte über genügend freien Speicherplatz verfügt, um mit dem Upgrade fortzufahren.
- NTP-Validierung Überprüft, ob das im System konfigurierte NTP die Zeitquelle vom NTP-Server ist.
- Load Average Check überprüft die Systemauslastung in einem bestimmten Intervall. Die Frequenz kann 1,5 oder 15 Minuten betragen.
Anmerkung: Nicht alle Vorabprüfungen gelten für alle Knoten, einige werden nur im PAN ausgeführt.
- Alle Knoten
- Repository-Validierung
- Paketdownload
- Speicherprüfung
- Patch-Paket herunterladen
- Service- oder Prozessfehler
- Prüfung der Plattformunterstützung
- DNS-Auflösbarkeit
- Prüfung des Festplattenspeichers
- NTP-Validierung
- Durchschnittsprüfung laden.
- Nur bei PAN
- PAN-Failover-Validierungsprüfung
- Geplante Backup-Prüfung
- Überprüfung der Konfigurationssicherung
- Konfigurationsdaten-Upgrade
- Bereitstellungsvalidierung
- Zertifikatsvalidierung für Vertrauensspeicher
- Überprüfung des Systemzertifikats
Der Status aller Vorabprüfungen kann wie folgt lauten:
Nach der Korrektur können die Vorabprüfungen mit Warnungen und Fehlern neu bewertet werden.
Vorwahlstatus
Anmerkung: ISE-Services können weiterhin ausgeführt werden, während Vorabprüfungen durchgeführt werden. Der Bericht kann 12 Stunden lang gültig sein, während derer das Upgrade ausgelöst werden kann.
Anmerkung: Bundle-Download, Patch-Bundle-Download, Plattform-Check, Konfigurationsdaten-Upgrade und Prüfung des Festplattenspeichers sind 12 Stunden lang gültig. Andere Vorabprüfungen laufen nach 3 Stunden ab und können mithilfe der Schaltfläche zum Aktualisieren der Überprüfung oder der Schaltfläche zum Aktualisieren erneut validiert werden.
Anmerkung: Das Upgrade-Paket wird heruntergeladen und unter ./storeddata/Installing/.upgrade/ gespeichert.
Schritt 5: Bereitstellung
Nachdem alle Vorprüfungen erfolgreich bestanden wurden, ist der nächste Schritt das Staging. Das PAN kopiert den in einem früheren Schritt erstellten Konfigurationsdatenbankabbild in den Rest der Knoten in der Iteration.
IterStaging
Iter-Staging
Anmerkung: Wenn Sie mit dem Upgrade des Staging fortfahren (indem Sie auf "Staging starten" klicken), können Sie die Nutzung von ISE-Services nicht aussetzen. Precheck kann die Ausführung im Hintergrund fortsetzen, auch wenn die ISE-Benutzeroberfläche geschlossen ist.
Schritt 6: Upgrade
- Alle Knoten in der Iteration werden parallel aktualisiert, wodurch Dienste unterbrochen werden.
- Jeder Knoten verfügt über einen eigenen Fortschrittsbalken und einen weiteren für den Gesamtfortschritt der Iteration.
- Der Aktualisierungsfortschritt wird über PPAN überwacht.
Upgrade
Iteration 2
- Es gelten die gleichen Vorprüfungen.
- Während des Stagings wird das Konfigurationsdatenbank-Dump (nicht das Upgrade-Paket) aus dem neuen PPAN in Version 3.3 von Iteration 1 kopiert.
Iteration 2 Staging
- Die Knoten werden aktualisiert, und der Status wird über das neue PPAN (3.3) überwacht.
Iteration-2-Upgrade
Fehlerbehebung
Vorprüfungen fehlgeschlagen
Weitere Informationen finden Sie in den Dateien ADE.log und ise-psc.log.
show logging system ade/ADE.log
show logging application ise-psc.log
Prüfung von Konfigurationsdaten-Upgrades
Weitere Informationen finden Sie unter ADE.log, configdb-upgrade-[timestamp].log und dbupgrade-data-global-[timestamp].log auf dem sekundären Admin-Knoten.
show logging system ade/ADE.log
show logging application configdb-upgrade-[timestamp].log
show logging application dbupgrade-data-global-[timestamp].log
Anmerkung: Wenn Sie das Support-Paket erfassen, stellen Sie sicher, dass Sie die vollständige Überprüfung der Konfigurationsdatenbank aktivieren, um die Protokolle configdb-upgrade einzuschließen.
Upgrade-Probleme, Protokollerfassung
Upgrade in einem der Knoten fehlgeschlagen und kann nicht mit dem Rest der Bereitstellung fortgesetzt werden.
Siehe:
show logging system ade/ADE.log
show logging application ise-psc.log
Zusätzliche Protokolle:
Upgrade-Probleme, Behebung von Problemen
Maßnahmen zur Fehlerbehebung
Zugehörige Informationen