ISEでの新しい分割アップグレードについて
内容
はじめに
このドキュメントでは、3.2 P3で導入された拡張スプリットアップグレード機能について、従来のスプリットアップグレード方式と比較して説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Cisco Identity Service Engine(ISE)に関する基礎知識
使用するコンポーネント
このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
バックグラウンド情報
GUIによるアップグレード方法
- 分割
- サービスが利用可能な状態で導入をアップグレードするための段階的な複数のプロセス。
古い分割アップグレード
- Full
- サービス停止と並行してすべてのノードをアップグレードする2段階プロセス。
- スプリットアップグレードよりも短い時間で済みます。
フルアップグレード
- 新しい分割
- 一括アップグレード。
- 安定性の向上とダウンタイムの短縮
- 古い分割アップグレードよりも短い時間。
- 事前チェック.
- URTはありません。
新しい分割アップグレード
アップグレードパス
- 2.6、2.7、3.0 >スプリット/フル> 3.1
- 2、7、3.0、3.1 >スプリット/フル> 3.2
- 3.0、3.1、3.2 >スプリット/フル> 3.3
- 3.2 P3以降では、新しい分割アップグレードによって古い分割アップグレードが置き換えられ、フルアップグレードと新しい分割の2つのオプションのみが残されました。
新規と古い分割アップグレード
古い分割アップグレードプロセス
古い分割アップグレード手順
1. SPAN:登録の解除、構成データのアップグレード、PANへの昇格。
2. pMnT:登録解除、新規導入での登録、運用データアップグレードのダウンロードおよびインポート。
3. PSN1:登録解除、新規導入での登録、データのダウンロードおよびインポート。
4. PSN2:登録解除、新規導入での登録、データのダウンロードおよびインポート。
5. sMnT:登録解除、新規導入での登録、運用データのアップグレードのダウンロードおよびインポート。
6. PPAN:データを登録、ダウンロード、およびインポートし、アップグレード前と同じ展開を行うようにSPANを昇格します。
古いスプリットと新しいスプリット
新しい分割アップグレード – ウィザード
ステップ 1:
ステップ 2チェックリスト
ステップ 3ノードの選択
ステップ 4アップグレードの準備
ステップ 6アップグレードノード
概要ページ
注記:イテレーションごとに同じステップが繰り返されます。
手順の詳細
ステップ 1:Cisco ISEアップグレードへようこそ
ステップ 2チェックリスト
ステップ3:反復するノードの選択
同じ展開に対して異なるイテレーションを選択できます。
反復オプション
2回の反復の場合、ステップ3はノードの選択を開始します。
Iteration1ノードの選択
ステップ 4アップグレードの準備
ノードの選択
事前チェック
事前チェック
- リポジトリの検証では、すべてのノードにリポジトリが設定されているかどうかがチェックされます。
- バンドルダウンロードは、ダウンロードに役立ちます。
- メモリチェックは、PANノードで25 %のメモリ領域が使用可能かどうかをチェックし、他のノードで1 GBのメモリ領域が使用可能かどうかをチェックします。
- パッチバンドルのダウンロードは、選択したノードのパッチバンドルのダウンロードに役立ちます。
- PANフェールオーバーの検証チェックでは、PANハイアベイラビリティが有効になっているかどうかが確認されます。PANフェールオーバーが有効な場合は無効になることを通知します。
- スケジュールされたバックアップチェックは、スケジュールされたバックアップが有効かどうかを確認します。 – 必須ではありません。
- Config Backup Checkは、設定のバックアップが最近行われたかどうかをチェックします。アップグレードプロセスは、バックアップの完了後にのみ実行されます。
- 構成データアップグレード:構成データベースのクローンで構成データのアップグレードを実行し、アップグレードデータダンプを作成します。このチェックは、バンドルのダウンロード後に開始されます。
- サービスまたはプロセスの障害は、サービスまたはアプリケーションの状態を示します(サービスが実行中か、または障害状態か)。
- プラットフォームサポートチェックは、展開でサポートされているプラットフォームを確認します。システムに最低でも12個のコアCPU、300 GBのハードディスク、および16 GBのメモリがあるかどうかを確認します。また、ESXiのバージョンが6.5以降であるかどうかも確認します。
- 展開の検証では、展開ノードの状態が確認されます(同期しているか、進行中であるかが確認されます)。
- DNS解決可能性は、ホスト名とIPアドレスの正引きおよび逆引きをチェックします。
- 信頼ストア証明書の検証では、信頼ストア証明書が有効であるか、有効期限が切れているかが確認されます。
- システム証明書検証は、各ノードのシステム証明書の検証を確認します。
- ディスク領域チェックは、アップグレードプロセスを続行するのに十分な空き領域がハードディスクにあるかどうかをチェックします。
- NTP検証:システムで設定されているNTPを確認し、時刻源がNTPサーバからのものかどうかを確認します。
- ロード平均チェック:特定の間隔でシステムの負荷をチェックします。頻度は1、5、または15分です。
注:すべてのプレチェックがすべてのノードに適用されるわけではありません。一部のプレチェックはPANでのみ実行されます。
- すべてのノード
- リポジトリの検証
- バンドルダウンロード
- メモリチェック
- パッチバンドルのダウンロード
- サービスまたはプロセスの障害
- プラットフォームサポートチェック
- DNS解決可能性
- ディスク領域の確認
- NTPの検証
- 平均チェックを読み込みます。
- PANのみ
- PANフェールオーバー検証チェック
- 予定されたバックアップチェック
- 構成のバックアップチェック
- 構成データのアップグレード
- 導入の検証
- 信頼ストア証明書の検証
- システム証明書の検証
すべての事前チェックのステータスは次のとおりです。
- 成功
- warning
- 失敗
修正すると、警告と失敗のプレチェックを再評価できます。
状態の事前確認
注:ISEサービスは、プレチェックの実行中も実行し続けることができます。レポートは12時間有効で、その間にアップグレードをトリガーできます。
注:バンドルのダウンロード、パッチバンドルのダウンロード、プラットフォームのチェック、構成データのアップグレード、およびディスク容量のチェックは、12時間有効です。その他の事前確認は3時間後に期限切れになり、失敗した確認の更新ボタンまたは個別の更新ボタンを使用して再検証できます。
注:アップグレードバンドルはダウンロードされ、./storeddata/Installing/.upgrade/に保存されます。
ステップ 5ステージング
すべてのプレチェックに成功すると、次のステップはステージングになります。PANは、以前の手順で準備した設定データベースダンプをイテレーション内の残りのノードにコピーします。
分析ステージング
Iterステージング
注:ステージングのアップグレード([ステージングの開始]をクリック)手順に進んでも、ISEサービスは停止しません。ISE UIが閉じていても、プリチェックはバックグラウンドで実行を続行できます。
ステップ 6アップグレード
- イテレーション内のすべてのノードは並行してアップグレードされるため、サービスは中断されます。
- 各ノードには独自の進行状況バーがあり、イテレーションの全体的な進行状況を示す別のバーがあります。
- アップグレードの進行状況は、PPANを介してモニタされます。
アップグレード
イテレーション2
- 同じ事前確認が適用されます。
- ステージング中に、構成データベースのダンプ(アップグレードバンドルではない)が、3.3の新しいPPANからiteration 1からコピーされます。
イテレーション2ステージング
- ノードはアップグレードされ、新しいPPAN(3.3)によってステータスが監視される。
Iteration 2のアップグレード
トラブルシューティング
事前確認に失敗しました
ADE.logファイルとise-psc.logファイルを参照してください。
show logging system ade/ADE.log
show logging application ise-psc.log
構成データのアップグレードチェック
セカンダリ管理ノードのADE.log、configdb-upgrade-[timestamp].log、およびdbupgrade-data-global-[timestamp].logを参照してください。
show logging system ade/ADE.log
show logging application configdb-upgrade-[timestamp].log
show logging application dbupgrade-data-global-[timestamp].log
注:サポートバンドルを収集するときは、configdb-upgradeログを含むように完全な設定データベースチェックを有効にしてください。
アップグレードの問題、ログ収集
いずれかのノードでアップグレードに失敗し、残りの展開を続行できません。
監視するログ:
- セカンダリノード
(Accessible via admin CLI "show logging application" or "show logging system")
/configdb-upgrade-<timestamp>.log
/dbupgrade-schema-<timestamp>.log
/dbupgrade-data-global-<timestamp>.log
ade/ADE.log
- PAN上
show logging application ise-psc.log
アップグレードの問題の修正
トラブルシューティングアクション
関連情報
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
2.0 |
03-Apr-2025
|
タイトル、概要、スタイル要件、機械翻訳、画像キャプション、およびフォーマットを更新。 |
1.0 |
29-Aug-2023
|
初版 |
フィードバック