ISEから設定および操作データのバックアップをエクスポートする方法
内容
概要
このドキュメントでは、Identity Service Engine(ISE)のオンデマンド設定(ON-Demand Configuration)データおよび運用データバックアップを取得する方法について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Identity Service Engine(ISE)の基礎知識。
- リポジトリの設定方法。
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- Cisco Identity Service Engine 2.7
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
背景説明
環境内のISEの可用性を保証するもう1つの重要な戦略は、堅牢なバックアップ戦略を持つことです。ISEバックアップには2つのタイプがあります。設定バックアップと運用バックアップ。
Cisco ISEでは、プライマリPANおよびモニタリングノードからデータをバックアップできます。バックアップは、CLIまたはユーザインターフェイスから実行できます。
設定データ:アプリケーション固有の設定データとCisco ADEオペレーティングシステムの設定データの両方が含まれます。バックアップは、プライマリPANからGUIまたはCLIを使用して実行できます。
運用データ:監視およびトラブルシューティングデータが含まれます。バックアップは、プライマリPAN GUIまたはモニタリングノードのCLIを使用して実行できます。
バックアップはリポジトリに保存され、同じリポジトリからリストアできます。バックアップを自動的に実行するようにスケジュールすることも、手動でオンデマンドで実行することもできます。バックアップのステータスはGUIまたはCLIから表示できますが、復元のステータスはCLIからのみ表示できます。
コンフィギュレーション
GUIからのオンデマンドISE設定データバックアップの実行
ステップ1:リポジトリの設定については、「ISEでのリポジトリの設定方法」を参照してください
ステップ2:ISEにログインし、[Administration] > [System] > [Backup & Restore]に移動し、[Configuration Data Backup]を選択し、図に示すように[Backup Now]をクリックします。
ステップ3:バックアップ名、リポジトリ名、暗号化キーを入力し、[バックアップ]をクリックします。
ISE CLIから内部認証局(CA)ストアを手動でバックアップするには、SSHを介してISEプライマリ管理ノード(PAN)ノードにログインし、コマンドアプリケーションconfigure ise > selectオプション7 to Export Internal CA Storeを実行します。
ise/admin# application configure ise
Selection configuration option
[1]Reset M&T Session Database
[2]Rebuild M&T Unusable Indexes
[3]Purge M&T Operational Data
[4]Reset M&T Database
[5]Refresh Database Statistics
[6]Display Profiler Statistics
[7]Export Internal CA Store
[8]Import Internal CA Store
[9]Create Missing Config Indexes
[10]Create Missing M&T Indexes
[11]Enable/Disable ACS Migration
[12]Generate Daily KPM Stats
[13]Generate KPM Stats for last 8 Weeks
[14]Enable/Disable Counter Attribute Collection
[15]View Admin Users
[16]Get all Endpoints
[17]Enable/Disable Wifi Setup
[18]Reset Config Wifi Setup
[19]Establish Trust with controller
[20]Reset Context Visibility
[21]Synchronize Context Visibility With Database
[22]Generate Heap Dump
[23]Generate Thread Dump
[24]Force Backup Cancellation
[25]CleanUp ESR 5921 IOS Crash Info Files
[0]Exit
7
Export Repository Name: FTP-Repo
Enter encryption-key for export:
Security Protocol list Start
Inside Session facade init
Old Memory Size : 7906192
Old Memory Size : 7906192
Export in progress...
Old Memory Size : 7906192
The following 5 CA key pairs were exported to repository 'FTP-Repo' at 'ise_ca_key_pairs_of_ise':
Subject:CN=Certificate Services Root CA - ise
Issuer:CN=Certificate Services Root CA - ise
Serial#:0x08f06033-2a4c4fcc-b297e75a-04f11bf9
Subject:CN=Certificate Services Node CA - ise
Issuer:CN=Certificate Services Root CA - ise
Serial#:0x3a0e8d8a-5a2846be-a902c280-b5d678aa
Subject:CN=Certificate Services Endpoint Sub CA - ise
Issuer:CN=Certificate Services Node CA - ise
Serial#:0x33b14150-596c4552-ad0a9ab1-9541f0bb
Subject:CN=Certificate Services Endpoint RA - ise
Issuer:CN=Certificate Services Endpoint Sub CA - ise
Serial#:0x37e17494-cf1d4372-bf0ba1e6-83653826
Subject:CN=Certificate Services OCSP Responder - ise
Issuer:CN=Certificate Services Node CA - ise
Serial#:0x68a694ed-bc48481d-bc6cc58e-60a44a61
ise CA keys export completed successfully
ステップ1:リポジトリの設定については、「ISEでのリポジトリの設定方法」を参照してください
ステップ2:PANノードのCLIにログインし、次のコマンドを実行します。
backup <backup file name> repository <repository name> ise-config encryption-key plain <encryption key>
ise/admin# backup ConfigBackup-CLI repository FTP-Repo ise-config encryption-key plain
ステップ1:リポジトリの設定については、「ISEでのリポジトリの設定方法」を参照してください
ステップ2:ISEの運用バックアップを開始します。
ISE GUIにログインし、[Administration] > [System] > [Backup & Restore]に移動し、[Operational Data Backup]を選択して、[Backup Now]をクリックします(図を参照)。
ステップ3:バックアップ名、リポジトリ名、暗号化キーを入力し、[バックアップ]をクリックします。
ステップ1:リポジトリの設定については、「ISEでのリポジトリの設定方法」を参照してください
ステップ2:プライマリMNTノードのCLIにログインし、次のコマンドを実行します。
backup <backup file name> repository <repository name> ise-operational encryption-key plain <encryption key>
ise/admin# backup Ops-Backup-CLI repository FTP-Repo ise-operational encryption-key plain <backup password> % Creating backup with timestamped filename: Ops-Backup-CLI-OPS10-200326-0719.tar.gpg % backup in progress: Starting Backup...10% completed % backup in progress: starting dbbackup using expdp.......20% completed % backup in progress: starting cars logic.......50% completed % backup in progress: Moving Backup file to the repository...75% completed % backup in progress: Completing Backup...100% completed ise/admin#
図に示すように、[Administration] > [System] > [Backup & Restore]に移動して、構成データのバックアップの進行状況を表示します。
図に示すように、[Administration] > [System] > [Backup & Restore]に移動し、[Operational Data Backup]の進行状況を確認します。
PANノードのCLIから設定バックアップの進行状況を確認することもできます。
ise/admin# show backup status %% Configuration backup status %% ---------------------------- % backup name: ConfigBackup-CLI % repository: FTP-Repo % start date: Thu Mar 26 07:05:11 IST 2020 % scheduled: no % triggered from: CLI % host: % status: Backup is in progress % progress %: 50 % progress message: Backing up ISE Logs %% Operation backup status %% ------------------------ % No data found. Try 'show backup history' or ISE operation audit report ise/admin#
バックアップが完了すると、[バックアップの状態]が[成功]と表示されます。
ISE Indexing EngineサービスがISE Adminノードで実行されていることを確認します。
ise-1/admin# show application status ise ISE PROCESS NAME STATE PROCESS ID -------------------------------------------------------------------- Database Listener running 15706 Database Server running 89 PROCESSES Application Server running 25683 Profiler Database running 23511 ISE Indexing Engine running 28268 AD Connector running 32319 M&T Session Database running 23320 M&T Log Processor running 16272
ISEでバックアップの復元をデバッグするには、次のデバッグを使用します。
ise-1/admin# debug backup-restore backup ? <0-7> Set level, from 0 (severe only) to 7 (all) <cr> Carriage return. ise-1/pan# debug backup-restore backup 7 ise-1/pan#
ise-1/pan# 6 [25683]:[info] backup-restore:backup: br_history.c[549] [system]: ISE backup/restore initiated by web UI as ise.br.status is 'in-progress' in /tmp/ise-cfg-br-flags
7 [25683]:[debug] backup-restore:backup: br_backup.c[600] [system]: initiating backup Config-Backup to repos FTP-Repo
7 [25683]:[debug] backup-restore:backup: br_backup.c[644] [system]: no staging url defined, using local space
7 [25683]:[debug] backup-restore:backup: br_backup.c[60] [system]: flushing the staging area
7 [25683]:[debug] backup-restore:backup: br_backup.c[673] [system]: creating /opt/backup/backup-Config-Backup-1587431770
7 [25683]:[debug] backup-restore:backup: br_backup.c[677] [system]: creating /opt/backup/backup-Config-Backup-1587431770/backup/cars
7 [25683]:[debug] backup-restore:backup: br_backup.c[740] [system]: creating /opt/backup/backup-Config-Backup-1587431770/backup/ise
7 [25683]:[debug] backup-restore:backup: br_backup.c[781] [system]: calling script /opt/CSCOcpm/bin/isecfgbackup.sh
6 [25683]:[info] backup-restore:backup: br_backup.c[818] [system]: adding ADEOS files to backup
6 [25683]:[info] backup-restore:backup: br_backup.c[831] [system]: Backup password provided by user
6 [25683]:[info] backup-restore:backup: br_backup.c[190] [system]: No post-backup entry in the manifest file for ise
7 [25683]:[debug] backup-restore:backup: br_backup.c[60] [system]: flushing the staging area
6 [25683]:[info] backup-restore:backup: br_backup.c[912] [system]: backup Config-Backup-CFG10-200421-0646.tar.gpg to repository FTP-Repo: success
6 [25683]:[info] backup-restore:backup: br_history.c[487] [system]: updating /tmp/ise-cfg-br-flags with status: complete and message: backup Config-Backup-CFG10-200421-0646.tar.gpg to repository FTP-Repo: success
no debug backup-restore backup 7を使用して、ノードのデバッグを無効にします。
ise-1/admin# no debug backup-restore backup 7
フィードバック