Identity Services Engine(ISE)のアップグレード
内容
概要
このドキュメントでは、Cisco ISEアプライアンスと仮想マシン(VM)で設定されている現在のIdentity Services Engine(ISE)バージョン2.4.を2.6にアップグレードする方法について説明します。 また、アップグレードプロセスの開始前にUpgrade Readiness Tool(URT)を使用して構成データのアップグレードの問題を検出し、修正する方法についても説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Identity Services Engine(ISE)
- さまざまなタイプのISE導入の説明に使用される用語の理解
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- ISE、リリース2.4
- ISE、リリース2.6
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
Cisco ISE導入のアップグレードは複数の手順から成るプロセスであり、このドキュメントで指定する順序で実行する必要があります。このドキュメントに記載されている推定所要時間を使用して、最小限のダウンタイムでアップグレードを計画します。PSNグループの一部である複数のポリシーサービスノード(PSN)を使用する導入では、ダウンタイムはありません。アップグレードされるPSNを介して認証されるエンドポイントがある場合、要求はノードグループ内の別のPSNによって処理されます。エンドポイントが再認証され、認証が成功した後にネットワークアクセスが許可されます。
Upgrade Readiness Tool
アップグレードプロセスを開始する前に、URTを使用して設定データのアップグレードの問題を検出し、修正します。アップグレード障害のほとんどは、設定データのアップグレードの問題が原因で発生します。URTは、可能な限り、アップグレード前にデータを検証して、問題を特定し、レポートまたは修正します。URTは、Secondary Policy Administrationノードまたはスタンドアロンノードで実行できる個別のダウンロード可能バンドルとして使用できます。このツールを実行するためのダウンタイムはありません。
このビデオリンクでは、URTの使用方法について説明します。
URTは、セカンダリ管理ノードまたはスタンドアロンノードのいずれかで実行されます。
スタンドアロンノードでURTを実行する方法を示す例を次に示します(同じプロセスをセカンダリ管理ノードでも実行できます)。
ステップ1:URTバンドルをダウンロードします。
この計画ではバージョン2.6.にアップグレードする予定なので、次の図に示すように、Cisco.comで公開されているISE 2.6用のURTをダウンロードします。
2.6のURT
ステップ2:リポジトリを作成し、URTバンドルをコピーします。
パフォーマンスと信頼性を向上させるために、ファイル転送プロトコル(FTP)を使用することをお勧めします。低速なWANリンク上にあるリポジトリは使用しないでください。ノードにより近いローカルリポジトリを使用することをお勧めします。
図に示すように、ISE GUIから、[Administration] > [System] > [Maintenance] > [Repository] > [Add] に移動します。
リポジトリ
時間を節約するために、次のコマンドを使用して、URTバンドルをCisco ISEノードのローカルディスクにコピーすることもできます。
copy repository_url/path/ise-urtbundle-2.6.0.xxx-1.0.0.SPA.x86_64.tar.gz disk:/たとえば、Secure FTP(SFTP)を使用してアップグレードバンドルをコピーする場合は、次の手順を実行します。
(Add the host key if it does not exist) crypto host_key add host mySftpserver
copy sftp://aaa.bbb.ccc.ddd/ise-urtbundle-2.6.0.xxx-1.0.0.SPA.x86_64.tar.gz disk:/
aaa.bbb.ccc.dddはSFTPサーバのIPアドレスまたはホスト名で、ise-urtbundle-2.6.0.xxx-1.0.0.SPA.x86_64.tar.gzはURTバンドルの名前です。
ステップ3:URTバンドルを実行します。
application installコマンドを入力して、URTをインストールします。
application install ise-urtbundle-2.6.0.x.SPA.x86_64.tar.gz reponame
この警告は、ノードで実行されているサービスと、ユーザがこのノードで引き続きURTを実行するかどうかを示します。Yと入力して、図に示すように続行します。
時にはURTの年齢が古いことに気づきます。バンドルがシスコのWebサイトからダウンロードした最新のバンドルである場合は、さらに進んでも構いません。最新のURTバンドルも45日以上前のものになります。Yと入力して続行します。
Case 1. URTの実行が成功する
1. URTが正常に実行されると、出力は次のようになります。
2. URTは、設定のサイズとMNTデータに基づいて、各ノードのアップグレードにかかる推定時間を提供します。
3. URTの実行が正常に完了したら、アップグレードに進みます。
4. URT:
- URTがサポートされているバージョンのCisco ISEで実行されているかどうかを確認します。サポートされるバージョンは、リリース2.1、2.2、2.3、および2.4(バージョン2.6にアップグレード)です。
- URTがスタンドアロンCisco ISEノード(セカンダリPAN)またはセカンダリポリシー管理ノード(セカンダリPAN)で実行されていることを確認します。
- URTバンドルが過去45日未満であるかどうかをチェックします。このチェックは、最新のURTバンドルを使用していることを確認するために行われます。
すべての前提条件が満たされているかどうかを確認します。
URTによって確認される前提条件は次のとおりです。
- バージョンの互換性
- ペルソナチェック
- ディスク領域
- NTP サーバ
- メモリ
- システムおよび信頼できる証明書の検証
5.構成データベースを複製します。
6.最新のアップグレードファイルをアップグレードバンドルにコピーします。
7.複製データベースでスキーマとデータのアップグレードを実行します。
-
複製されたデータベースのアップグレードが成功すると、アップグレードの終了にかかる時間の概算値が表示されます。
-
アップグレードが成功すると、複製されたデータベースが削除されます。
-
複製されたデータベースのアップグレードが失敗すると、必要なログが収集され、暗号化パスワードの入力を求められます。ログバンドルが生成され、ローカルディスクに保存されます。
ケース2:URTの実行が失敗する
1.アップグレードで問題を引き起こす可能性がある理由により、URTが失敗する可能性があります。この場合、URTは障害の原因を返します。
2. URT障害の実行例を次に示します。
3. URTが次の理由で失敗しました。フレンドリ名'VeriSign Class 3 Secure Server CA - G3'の信頼証明書が無効です:証明書の有効期限が切れています。
4.アップグレードの事前チェックで説明したように、ISEシステムに期限切れの証明書がある場合、アップグレードは失敗します。期限切れの証明書はすべて更新または交換する必要があります。
5. URTは障害ログを保存します。このログは、ユーザが障害の原因を特定できない場合にCisco TACと共有できます。
6.ログを暗号化するためのパスワードの入力を求められます。これらのURTログはローカルディスクに保存されます。
7.ローカルディスクからリポジトリにコピーし、Cisco TACと共有して解決します。
ISEのアップグレード
アップグレードを開始する前に、次のタスクが完了していることを確認します。
1. ISE設定と運用データのバックアップを取得します。
*Cisco ISEがVMwareで実行されている場合、VMwareスナップショットはISEデータのバックアップではサポートされません。
2.システムログのバックアップを取得します。
3.スケジュールバックアップを無効にします。展開アップグレードの完了後にバックアップスケジュールを再構成します。
4.証明書と秘密キーをエクスポートします。
5.リポジトリを構成します。アップグレードバンドルをダウンロードし、リポジトリに配置します。
6.必要に応じて、Active Directory(AD)参加クレデンシャルとRSA SecurIDノードシークレットをメモします。この情報は、アップグレード後にActive DirectoryまたはRSA SecurIDサーバに接続するために必要です。
7.アップグレードのパフォーマンスを向上させるために運用データを消去します。
8.リポジトリへのインターネット接続が良好であることを確認します。
アップグレードの準備:
これらのガイドラインは、アップグレードプロセスで発生する可能性がある現在の導入の問題に対処するのに役立ちます。これにより、アップグレード全体のダウンタイムが短縮され、効率が向上します。
最新のパッチ:アップグレードする前に、現在のバージョンの最新パッチにアップグレードします。
ステージング環境:実稼働ネットワークのアップグレードを行う前に、ステージング環境でアップグレードをテストして、アップグレードの問題を特定し、修正することを推奨します。
パッチレベル:Cisco ISE導入のすべてのノードは、データを交換するための同じパッチレベルにあります。
運用データ(ログ):古いログをアーカイブし、新しい展開に転送しないようにすることがベストプラクティスです。これは、MnTロールが後で変更された場合に、MnTsで復元された操作ログが異なるノードに同期されないためです。MnTログを保持する計画の場合は、MnTノードに対してこれらのタスクを実行し、MnTノードとして新しい導入に参加します。ただし、運用ログを保持する必要がない場合は、MnTノードを再イメージングすることでスキップできます。
必要な再イメージ化の場合:Cisco ISEのインストールは、実稼働環境に影響を与えずにマルチノード環境で行えば、並行して行うことができます。ISEサーバを並行してインストールすると、特に前のリリースからのバックアップと復元を使用する場合に時間を節約できます。PSNを新しい展開に追加して、PANからの登録プロセス時に現在のポリシーをダウンロードできます。
Cisco ISEの導入における遅延と帯域幅の要件を理解するには、ISE遅延と帯域幅の計算を使用します。
HAデータセンター:完全分散導入のデータセンター(DC)がある場合は、プライマリDCをアップグレードする前に、バックアップDCをアップグレードし、ユースケースをテストします。
ダウンロード日:アップグレードの前に、アップグレード用の最新のアップグレードバンドルをローカルリポジトリにダウンロードして保存し、プロセスを高速化します。
時間予測:GUIからのISEアップグレードの場合、プロセスのタイムアウトは4時間です。プロセスに4時間以上かかる場合、アップグレードは失敗します。URTに4時間以上かかる場合は、このプロセスにCLIを使用することを推奨します。
ロードバランサ:設定を変更する前に、ロードバランサのバックアップを作成します。アップグレードの時間帯にロードバランサからPSNを削除し、アップグレード後に追加し直します。
PANフェールオーバー:自動PANフェールオーバー(設定されている場合)を無効にし、アップグレード時にPAN間のハートビートを無効にします。
レビューポリシー:現在のポリシーとルールを確認し、古い、重複している、古いポリシーとルールを削除します。
不要なログ:不要なモニタリングログとエンドポイントデータを削除します。
バグチェック:Bug Search Toolを使用して、オープンまたは修正済みのアップグレード関連不具合を検索します。
アップグレード後:少ないユーザ数で新規導入のすべてのユースケースをテストし、サービスの継続性を確保します。
GUIからのISEのアップグレード
Cisco ISEは、AdminポータルからGUIベースの一元的なアップグレードを提供します。アップグレードプロセスが非常に簡素化され、アップグレードの進行状況とノードのステータスが画面に表示されます。[Administration] > [Upgrade] メニューオプションの[Overview]ページに、展開内のすべてのノード、それらのノードで有効になっているペルソナ、インストールされているISEのバージョン、およびノードのステータス(ノードがアクティブか非アクティブかを示す)が表示されます。アップグレードは、ノードがアクティブ状態の場合にのみ開始できます。
管理ポータルからのGUIベースのアップグレードは、ISEがリリース2.0以降であり、リリース2.0.1以降へのアップグレードが必要な場合にのみサポートされます。
次の警告メッセージが表示される場合:「The node has been reverted to its pre-upgrade state」、[Upgrade] ウィンドウに移動し、[Details] リンクをクリックします。[アップグレード失敗の詳細(Upgrade Failure Details)]ウィンドウに表示される問題に対処します。これらすべての問題を修正したら、[Upgrade] をクリックしてアップグレードを再開します。
ステップ1:管理ポータルの[Upgrade] タブをクリックします。
ステップ2:[Proceed] をクリックします。
[Review Checklist] ウィンドウが表示されます。図に示すように、与えられた指示をよく読んでください。
ステップ3:[I have reviewed the checklist]チェックボックスをオンにして、[Continue] をクリックします。
図に示すように、[Download Bundle to Nodes] ウィンドウが表示されます。
ステップ4:アップグレードバンドルをリポジトリからノードにダウンロードします。
1.バンドルをダウンロードするノードの横にあるチェックボックスをオンにします。
2. [Download] をクリックします。図に示すように、[Select Repository and Bundle]ウィンドウが表示されます。
3.リポジトリを選択します。
4.アップグレードに使用するバンドルの横にあるチェックボックスをオンにします。
5. [Confirm] をクリックします。バンドルがノードにダウンロードされると、ノードのステータスが[Ready for Upgrade] に変わります。
ステップ5:[Continue] をクリックします。[Upgrade Nodes]ウィンドウが表示されます。Upgradeをクリックして開始します。
CLIからのISEのアップグレード
先に進む前に、「Before you begin」の章を必ずお読みください。CLIからのスタンドアロンISEノードアップグレードの例を次に示します。
ステップ1:使用するリポジトリに、show repository reponameコマンドを使用して存在するアップグレードファイルがあるかどうかを確認します(次の図を参照)。
ステップ2:Cisco ISEコマンドラインインターフェイス(CLI)から、application upgrade prepareコマンドをバンドルファイル名とファイルが保存されているリポジトリ名で入力します。
このコマンドは、アップグレードバンドルをローカルリポジトリにコピーします。
ステップ3:図に示すように、Cisco ISE CLIからapplication upgrade proceedコマンドを入力します。
このメッセージが表示されたら、30分後にSSHセッションを開始し、show application status iseコマンドを実行して進行状況を確認します。次のメッセージが表示されます。% NOTICE:Identity Services Engineのアップグレードが進行中です…
アップグレードは、予想されるすべてのサービスのステータスが実行中に変更されたときに完了したと見なされます。
一般的な問題
1.バンドルのリポジトリからのダウンロードに時間がかかりすぎたり、GUI経由でダウンロードしたときにタイムアウトした場合:
- バンドルダウンロードを処理するのに十分な帯域幅があることを確認します。
- アップグレードバンドルがリポジトリからノードにダウンロードされると、ダウンロードが完了するまでに35分以上かかると、ダウンロードがタイムアウトします。リポジトリへのインターネット接続が良好であることを確認します。
2.分散配置のアップグレードでは、次の場合に「No Secondary Administration Node in the Deployment」というエラーが表示されます。
-
展開にセカンダリ管理ノードがありません。
-
セカンダリ管理ノードがダウンしている。
-
セカンダリ管理ノードがアップグレードされ、アップグレードされた展開に移動します。これは通常、セカンダリ管理ノードのアップグレード後に[展開の詳細を更新]オプションを使用した場合に発生します。
この問題を解決するには、必要に応じて次のいずれかのタスクを実行します。
-
展開にセカンダリ管理ノードがない場合は、セカンダリ管理ノードを構成して、アップグレードを再試行してください。
-
セカンダリ管理ノードがダウンしている場合は、ノードを起動してアップグレードを再試行します。
-
セカンダリ管理ノードがアップグレードされ、アップグレードされた展開に移動した場合は、CLIを使用して展開内の他のノードを手動でアップグレードします。
3.ノードのアップグレードステータスが変更されていない場合:
- GUIでアップグレードステータスが長期間変化しない(80 %のままである)場合は、CLIからアップグレードログを確認するか、コンソールからアップグレードのステータスを確認します。
- CLIにログインするか、Cisco ISEノードのコンソールを表示して、アップグレードの進行状況を確認します。show logging applicationコマンドを使用して、upgrade-uibackend-cliconsole.logとupgrade-postosupgrade-yyyymmdd-xxxxxx.logを表示します。
- CLIからshow logging applicationコマンド(DB Data Upgrade Log、DB Schema Log、およびPost OS Upgrade Log)を使用して、これらのアップグレードログを表示します。
4.前のバージョンのISOイメージにロールバックします。
- まれに、Cisco ISEアプライアンスを以前のバージョンのイメージで再イメージし、バックアップファイルからデータを復元する必要がある場合があります。データの復元後、古い導入に登録し、古い導入で実行したペルソナを有効にします。したがって、アップグレードプロセスを開始する前に、Cisco ISEの設定と運用データをバックアップすることをお勧めします。
- 構成および監視データベースの問題が原因で発生したアップグレード障害が、自動的にロールバックされないことがあります。この場合、データベースがロールバックされていないことを示す通知とアップグレード失敗メッセージが表示されます。このようなシナリオでは、システムを手動で再イメージ化し、Cisco ISEをインストールして、設定データと運用データを復元します(MnTペルソナが有効になっている場合)。
- ロールバックまたはリカバリを試みる前にbackup-logsコマンドを使用してサポートバンドルを生成し、必要に応じて後でTACが調査できるようにサポートバンドルをリモートリポジトリに配置します。
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
15-May-2020 |
初版 |
フィードバック