ACI アップグレード/ダウングレード アーキテクチャ

APIC アップグレードとダウングレードの概要

APIC クラスタのアップグレードまたは、ダウングレードを実行する場合は、アップグレードまたは、ダウングレードされた APIC のデータがターゲット イメージと互換性があることを保証するとともに、各 APIC を個別にアップグレードまたは、ダウングレードするために発生する特定のシーケンスのイベントがあります。これらのイベントのほとんどはバックグラウンドで発生するため、APIC クラスタのアップグレードまたは、ダウングレードをトリガーするときに表示される内容を理解することが重要です。

  1. ファームウェア リポジトリにイメージを追加します。イメージはすべての APIC クラスタ メンバーに同期されます。

  2. 特定のターゲット バージョンへのアップグレードまたは、ダウングレードがトリガーされます。

  3. クラスタ内の各 APIC は、最初の grub パーティションに新しいイメージをインストールするプロセスを実行します。これは、アップグレードまたは、ダウングレード プロセスを高速化するために並行して行われます。

  4. イメージのインストールが完了すると、各 APIC は順番にデータベース ファイルのデータ変換プロセスを順番に実行します。これが発生すると、次のイベントが発生します。

    1. データ管理エンジン(DME)プロセスがシャットダウンします。これには、すべての API 要求を処理する nginx Web サーバが含まれます。このため、UI / API、およびその APIC で実行される他のバックエンド アプリケーションにアクセスできなくなります。

    2. データベース ファイルが初期バージョンからターゲット バージョンに変換されます。これにかかる時間は、ACI ファブリックに展開された設定のサイズによって異なります。このため、変換を完了するまでの合計時間は導入環境によって異なります。

      ソース バージョンが APIC リリース 6.0(3) 以降の場合、データベース変換プロセスが強化され、以前のリリースと比較してこのプロセスの待機時間が短くなることがあります。


      (注)  

      この段階で APIC に対して実行される破壊的なアクションがないことが重要です。詳細については、「アップグレードまたは、ダウングレードに関するガイドラインおよび制限事項」を参照してください。

    3. APIC は、データベース変換プロセスが正常に完了した後にリロードし、ターゲット バージョンで定義されたソフトウェアのバージョンで起動します。

  5. リロードを実行した APIC がオンラインに戻ると、4 で説明した一連のイベントがクラスタ内の次の APIC で発生します。その間、オンラインに戻ったAPICは、データベースの最終チェックとしてアップグレード後のアクティビティを開始します。このプロセスは、クラスタのすべてのメンバーがアップグレードまたは、ダウングレードされるまで繰り返されます。

  6. Cisco APIC 6.0(6) より前は、すべての APIC がオンラインに戻り、アップグレード後のアクティビティに関係なく完全に適合したときに、 APIC クラスタのアップグレードが完了したと見なされました。Cisco APIC 6.0(6) 以降、各 APIC ノードでアップグレード後のアクティビティが完了するまで、 APIC クラスタのアップグレードのステータスは「Post Upgrade Pending」に移行します。その後、アップグレードステータスが最終的に「Completed」になります。


    (注)  

    Cisco APIC リリース 6.06 または 6.07 にアップグレードすると、約 30 分追加されます(通常、 APIC クラスタのアップグレードは 120 ~ 150 分の範囲になります)。

    (注)  

    スイッチのアップグレードを続行する前に、 APIC でのアップグレード後のアクティビティを正常に完了する必要があります。一般に、 APIC クラスタとスイッチのアップグレードは同じメンテナンス期間中に発生しない可能性があるため、 APIC クラスタのアップグレード前とスイッチのアップグレード前に、それぞれ pre-upgrade validation script を実行することをお勧めしウィンドウ。ただし、Cisco APIC 6.0(6) より前では、同じメンテナンス ウィンドウ内で行われる場合でも、スイッチのアップグレード前にスクリプトを実行することを強くお勧めします。このスクリプトは、アップグレード前の検証だけでは、アップグレード後のアクティビティのステータスも確認して、APIC クラスタのアップグレード後にファブリックによりスイッチのアップグレードを続行する準備ができていることを確認するためです。


    (注)  

    Cisco APIC 6.1(1) 以降では、最新の OpenSSH ライブラリ(CSCwk67958)のパフォーマンスの問題により、アップグレード後のアクティビティの完了に時間がかかります。たとえば、3 つの APIC を持つリリース5.2 から 6.0への APIC クラスタのアップグレードは、通常 90 ~ 120 分の範囲で行われていました。これを、送信元バージョンが 6.0(3) 以降の場合、前述のデータベース変換プロセスの強化により、より短時間で変換できます。

    ただし、ターゲット バージョンが APIC リリース 6.1(1) 以降の場合は、約 60 分の追加の増加があります。送信元バージョンが 6.0(3) 以降の場合、openSSH ライブラリによる増加と拡張データベース変換による減少が相互にキャンセルされる可能性があり、以前の APIC クラスタのアップグレードよりもアップグレード時間が短くなったり長くなったりすることがあります。

    アップグレード/ダウングレードにかかる時間は、 APICクラスタのサイズ、構成などの複数の要因に依存し、常に改善されているエリアであることに注意してください。

5.2(4) リリース以降のデフォルト インターフェイスポリシー

5.2(4) 以降のリリースにアップグレードすると、Cisco Application Policy Infrastructure Controller (APIC) によって次のデフォルトのインターフェイスポリシーが自動的に作成されます。

  • CDP (cdpIfPol)

    • system-cdp-disabled

    • system-cdp-enabled

  • LLDP (lldpIfPol)

    • system-lldp-disabled

    • system-lldp-enabled

  • LACP (lacpLagPol)

    • system-static-on

    • system-lacp-passive

    • system-lacp-active

  • リンクレベル (fabricHIfPol)

    • system-link-level-100M-auto

    • system-link-level-1G-auto

    • system-link-level-10G-auto

    • system-link-level-25G-auto

    • system-link-level-40G-auto

    • system-link-level-100G-auto

    • system-link-level-400G-auto

  • ブレイクアウトポート グループマップ (infraBrkoutPortGrp)

    • system-breakout-10g-4x

    • system-breakout-25g-4x

    • system-breakout-100g-4x

アップグレード中に、これらのポリシーのいずれかとまったく同じ名前とパラメータを持つポリシーがすでに存在する場合、システムはそれらのポリシーの所有権を取得し、ポリシーは読み取り専用になります。そうではなく、system-cdp-disabled の設定が「有効」になっているなど、パラメータが異なる場合、ポリシーは引き続きユーザーポリシーになります。つまり、ユーザーはポリシーを変更できます。

スイッチ アップグレードとダウングレードの概要

ACI スイッチ ノードのアップグレードとダウングレードを実行すると、アップグレードとダウングレード中のデバイスで発生するイベントの特定のシーケンスがあります。これらのイベントのほとんどはバックグラウンドで発生するため、ACI スイッチ ノードのアップグレードをトリガーするときに表示される内容を理解することが重要です。

  1. イメージが APIC からスイッチにプッシュされます。

  2. スイッチのファイル システムとブートフラッシュをチェックして、イメージを抽出するのに十分な領域があることを確認します。

  3. イメージが抽出され、プライマリ GRUB パーティションがターゲット バージョンに更新されます。古いバージョンはリカバリ パーティションに移動されます。

  4. BIOS および EPLD イメージは、必要に応じてアップグレードされます。

  5. スイッチはクリーン リロードを実行し、新しいバージョンのソフトウェアを実行している ACI ファブリックに再参加します。

リリース 2.1(4) 以降では、サードパーティ製ミクロン ソリッド ステート ドライブ (SSD) ファームウェア自動更新のサポートが追加されました。標準的な Cisco APIC ソフトウェア アップグレードプロセスの一環として、アップグレード時にスイッチが再起動します。そのブート時のプロセスでは、システムは現在の SSD ファームウェアもチェックし、必要に応じて SSD ファームウェアへのアップグレードを自動的に実行します。システムが SSD ファームウェアのアップグレードを実行すると、スイッチは後でもう一度クリーン リブートします。

スイッチ アップグレードの詳細な概要

次の項では、スイッチ アップグレードの詳細な概要を示します。

スイッチのアップグレードとダウングレード段階の説明

ACI スイッチ ノードのアップグレードまたは、ダウングレード中は、完了した段階に基づいてアップグレードまたは、ダウングレードの進行状況が進みます。

次の表に、このアップグレードまたは、ダウングレード プロセスの各段階で行われる処理の詳細を示します。

アップグレードの経過表示

インストール ステージ

説明
0%

ファームウェア アップグレードのキュー

ファームウェアが APIC からスイッチにダウンロードされているときに表示されます。
5%

ファームウェアアップグレードが進行中です

アップグレード インストーラが開始し、アップグレード プロセスが開始されたときに表示されます。

45%

ファームウェアアップグレードが進行中です

ブートフラッシュチェックが完了し、イメージ抽出ステージが開始された後に表示されます。

60%

ファームウェアアップグレードが進行中です

イメージ抽出ステージが完了し、grub パーティションが新しいソフトウェア情報で更新されています。

70%

ファームウェアアップグレードが進行中です

ソフトウェアがスイッチで更新されました。

80%

ファームウェアアップグレードが進行中です

EPLD と BIOS のアップグレードが開始されました。

95 %

ファームウェアアップグレードが進行中です

EPLD と BIOS のアップグレードが完了し、スイッチのリブートが開始されました。

100%

アップグレード成功

ターゲット バージョンのソフトウェアを実行しているクリーン リロード後に、スイッチがファブリックに再参加しました。

アップグレードまたは、ダウングレードに関するガイドラインおよび制限事項

  • いずれかの時点で、アップグレードまたは、ダウングレードが停止または失敗したと思われる場合は、以下に示すアクションを実行しないことが重要です。

    • クラスタ内のApplication Policy Infrastructure ControllerAPIC) をリロードしないでください。

    • クラスタ内の Cisco APIC をデコミッションしないでください。

    • ファームウェアのターゲット バージョンを元のバージョンに戻さないでください。

    代わりに、これらのガイドラインに従ってください:

    1. 必要に応じて、「トラブルシューティング」の項で説明されているインストーラ ログ ファイルを表示します(APIC インストーラ ログ ファイル および ACI スイッチ インストーラのログ ファイル を参照)。これは、アップグレードまたは、ダウングレードされているデバイスでまだ進行中のアクティビティがあるかどうかを理解するのに役立ちます。

    2. 「トラブルシューティング」セクションで説明されているテクニカル サポート ファイルを収集します(テクニカル サポート ファイルの収集 を参照)。

    3. アップグレードまたは、ダウングレードが正常に完了しない場合は、Cisco TAC に連絡し、作成後に TAC ケースにテクニカル サポート ファイルをアップロードします。

  • Cisco APICリリース 4.2(6o)、4.2(7l)、5.2(1g)以降にアップグレードする場合は、リーフ スイッチのフロント パネルの VLAN プログラミングに明示的に使用している VLAN カプセル化ブロックがすべて「外部(ワイヤー)。」これらの VLAN カプセル化ブロックが代わりに「内部」に設定されている場合、アップグレードによって前面パネルのポート VLAN が削除され、データパスが停止する可能性があります。

  • ログ レコード オブジェクトは、いずれかの Cisco APIC のデータベースの 1 つのシャードにのみ保存されます。このため、アップグレードまたはダウングレードのために Cisco APICが再起動している間は、ログ レコードにアクセスできません。他のオブジェクトを介して読み取ることができる他のCisco APICとは異なります。

  • Cisco APICCisco APIC 4.0 以前から 5.1(1) 以降にアップグレードされると、サービス グラフが再レンダリングされます。これにより、サービス グラフとの vzAny-to-vzAny コントラクト、そしてサービス グラフとの別のコントラクトが同じサービス EPG を使用する場合、再レンダリングが完了するまでトラフィックが中断されます。

  • APIC バージョン 5.0 より前では、次の設定がある場合、プロバイダーからコンシューマへの方向のトラフィックが 誤って許可されていました。これは APIC 5.0 以降で修正されました。その結果、誤って許可されたトラフィックは、5.0 より前のバージョンから 5.0 以降のバージョンへのアップグレード後に動作を停止します。プロバイダーからコンシューマへの方向をドロップしない場合は、それに応じてその方向のコントラクトフィルタ処理を設定します。

    • 単方向コントラクト(「両方向の適用(Apply Both Direction)」フラグなしのコンシューマからプロバイダーへのフィルタ処理のみ)

    • 共有サービス(コントラスト プロバイダーとコンシューマが異なる VRF にある)

    • L3Out EPG はプロバイダー

    • L3Out EPG には「共有されたセキュリティ インポート サブネット( Security Import Subnet)」を持つ 0.0.0.0/0 があります。

    • トラフィックのプロバイダーIP は、L3Outサブネット0.0.0.0/0 に分類されます。

    • コンシューマ VRF で優先グループ(PG)が有効になっています。

    • コンシューマ EPG は PG に含まれています。

    • プロバイダー VRF はコンシューマ リーフ上にあります。

  • APIC バージョン 5.0 より前では、次の設定がある場合、設定が無効であっても、プロバイダーからコンシューマへの方向のトラフィックが 誤っ て許可されていました。「共有されたセキュリティ インポート サブネット(Shared Security Import Subnet)」範囲は必須の構成です。これは APIC 5.0 以降で修正されました。その結果、誤って許可されたトラフィックは、5.0 より前のバージョンから 5.0 以降のバージョンへのアップグレード後に動作を停止します。

    • 共有サービス(コントラクト プロバイダーとコンシューマが異なる VRF にある)

    • L3Out EPG はプロバイダー

    • L3Out EPG のすべての非 0.0.0.0/0 サブネットで「共有されたセキュリティ インポート サブネット(Shared Security Import Subnet)」範囲がありません。

    • これらの 0.0.0.0/0 以外のサブネットには、「外部 EPG の外部サブネット」範囲があります。

    • トラフィックのプロバイダー IP は、L3Out EPG の 0.0.0.0/0 以外のサブネットのいずれかに分類されます。

  • APICリリース 6.1(2) 以降にアップグレードするには、グローバル AES 暗号化を有効にする必要があります。

  • Cisco APIC6.0(2)リリース以降にアップグレードするには、次の手順を実行する必要があります。

    1. Cisco APIC6.0(2)以降のイメージをダウンロードし、ダウンロードしたリリースにAPICクラスタをアップグレードします。この手順が完了する前に、Cisco Application Centric Infrastructure( ACI) モード スイッチ イメージを Cisco APIC にダウンロードしないでください。6.0(2)リリースには 32 ビットと 64 ビットの両方のスイッチ イメージがありますが、6.0(2)より前のリリースは 64 ビット イメージをサポートしていません。その結果、この時点で 64 ビット イメージをダウンロードすると、エラーや予期しない結果が生じる可能性があります。ただし、6.0(1) リリースを除き Cisco APIC に 5.2(8) 以降のリリースがある場合は、この手順の前に、それ以前の他のアップグレード手順と同じように 6.0(2) の前に Cisco APIC にスイッチイメージをダウンロードできます。

    2. 32 ビットと 64 ビットの両方のCisco ACIモード スイッチ イメージをCisco APIC にダウンロードします。一つのイメージしかダウンロードしない場合、アップグレード中にエラーが生じることがあります。

      6.0(3) リリース以降、スイッチはスタティック マッピングに基づくのではなく、スイッチの使用可能なメモリに基づいて Cisco APIC からインストールするイメージを決定します。スイッチの使用可能なメモリが 24 GB 以下の場合、スイッチは 32 ビット イメージをインストールします。スイッチの使用可能なメモリが 32 GB 以上の場合、スイッチを最初に 32 ビット イメージにアップグレードしてから、再度 64 ビット イメージにアップグレードできます。この場合、アップグレード プロセス中に 2 回のリブートが発生します。

      モジュラ スパイン スイッチは、スイッチの使用可能なメモリに関係なく、64ビット イメージをインストールします。

    3. メンテナンス グループを作成し、通常どおりアップグレード手順をトリガーします。Cisco APICは、アップグレード プロセス中に適切なイメージをそれぞれのスイッチに自動的に展開します。