ISE-PIC 노드 관리
보조 노드를 추가하거나 제거하고, 노드간에 데이터를 동기화하고, 보조 노드를 기본 노드로 승격하는 등의 작업을 수행합니다.
Cisco ISE-PIC 구축 설정
Cisco Identity Services Engine 하드웨어 설치 설명서에 설명된 것처럼 모든 노드에 Cisco ISE-PIC를 설치하고 나면 노드가 독립형 상태로 표시됩니다. 그러면 한 노드를 PAN(Primary Administration Node)으로 정의하고 보조 노드를 PAN에 등록해야 합니다.
모든 Cisco ISE-PIC 시스템 및 기능 관련 컨피그레이션은 PAN에서만 수행되어야 합니다. PAN에서 수행한 컨피그레이션 변경 사항은 구축 환경의 보조 노드로 복제됩니다. 보조 노드에서 수행할 수 있는 유일한 작업은 해당 보조 노드를 PAN으로 승격하는 것입니다.
보조 노드를 PAN으로 등록한 후에 보조 노드의 관리 포털에 로그인하는 동안 PAN의 로그인 자격 증명을 사용해야 합니다.
기본 노드에서 보조 ISE-PIC 노드로의 데이터 복제
Cisco ISE 노드를 보조 노드로 등록하는 경우 Cisco ISE-PIC에서는 즉시 기본 노드에서 보조 노드로 연결되는 데이터 복제 채널을 생성하고 복제 프로세스를 시작합니다. 복제는 기본 노드에서 보조 노드로 Cisco ISE-PIC 컨피그레이션 데이터를 공유하는 프로세스입니다. 복제를 통해 구축의 일부에 해당하는 모든 Cisco ISE-PIC 노드에 있는 컨피그레이션 데이터 간에 일관성을 유지할 수 있습니다.
전체 복제는 일반적으로 ISE-PIC 노드를 처음 보조 노드로 등록하는 경우에 발생합니다. 증분 복제는 전체 복제 후에 발생하고, PAN 컨피그레이션 데이터의 추가, 수정 또는 삭제와 같이 새롭게 변경된 내용이 보조 노드에 반영되도록 합니다. 복제 프로세스를 사용하면 구축의 모든 Cisco ISE-PIC 노드를 동기화할 수 있습니다. Cisco ISE-PIC 관리 포털의 구축 페이지에 있는 노드 상태 열에서 복제 상태를 확인할 수 있습니다. Cisco ISE-PIC 노드를 보조 노드로 등록하거나 PAN과의 수동 동기화를 수행하는 경우 노드 상태에는 요청한 작업이 진행 중임을 의미하는 주황색 아이콘이 표시됩니다. 작업이 완료되면 노드 상태는 보조 노드가 PAN과 동기화됨을 나타내는 녹색으로 바뀝니다.
Cisco ISE-PIC에서 노드 수정의 효과
Cisco ISE-PIC ISE의 노드를 다음과 같이 변경하면 해당 노드가 다시 시작되어 지연이 발생하게 됩니다.
-
노드 등록(독립형에서 보조로)
-
노드 등록 취소(보조에서 독립형으로)
-
기본 노드를 독립형으로 변경(다른 노드가 등록되지 않은 경우, 기본에서 독립형으로)
-
노드 승격(보조에서 기본으로)
-
기본 노드에서 백업을 복원하면 동기화 작업이 트리거되어 기본 노드에서 보조 노드로 데이터 복제
구축에서 2노드를 설정하기 위한 지침
Cisco ISE-PIC를 설정하기 전에 다음 정보를 신중히 읽어보십시오.
-
두 노드에 대해 동일한 NTP(Network Time Protocol) 서버를 선택합니다. 노드 사이의 시간대 문제를 방지하려면 각 노드 설정 시 동일한 NTP 서버 이름을 제공해야 합니다. 이 설정을 사용하면 구축의 다양한 노드에서 제공하는 보고서 및 로그가 항상 타임스탬프와 동기화될 수 있습니다.
-
Cisco ISE-PIC 설치 시 Cisco ISE-PIC Admin 비밀번호를 구성합니다. 이전의 Cisco ISE-PIC Admin 기본 로그인 자격 증명(admin/cisco)은 더 이상 유효하지 않습니다. 초기 설정 중에 생성된 사용자 이름 및 비밀번호나 현재 비밀번호(나중에 변경된 경우)를 사용합니다.
-
DNS(Domain Name System) 서버를 구성합니다. DNS 서버에서 구축에 포함되는 두 Cisco ISE-PIC 노드의 IP 주소 및 FQDN(Fully Qualified Domain Name)을 입력합니다. 그렇지 않으면, 노드 등록이 실패합니다.
- DNS 서버의 고가용성 구축에 있는 두 Cisco ISE-PIC 노드에 대한 정방향 및 역방향 DNS 조회를 구성합니다. 그렇지 않으면 Cisco ISE-PIC 노드를 등록하고 다시 시작할 때 구축 관련 문제가 발생할 수 있습니다. 두 노드에 대해 역방향 DNS 조회가 구성되지 않은 경우 성능이 저하될 수 있습니다.
-
(선택 사항) Cisco ISE-PIC를 PAN에서 제거하려면 보조 Cisco ISE-PIC 노드를 PAN에서 등록 취소합니다.
-
PAN 및 보조 노드로 등록하려는 독립형 노드에서 동일한 버전의 Cisco ISE-PIC를 실행하고 있는지 확인합니다.
구축 노드 확인
Deployment Nodes(구축 노드) 창에서는 구축에 포함된 모든 ISE-PIC 노드를 확인할 수 있습니다.
프로시저
단계 1 |
기본 Cisco ISE-PIC 관리 포털에 로그인합니다. |
단계 2 |
다음 메뉴를 선택합니다. .구축에 속하는 모든 Cisco ISE 노드가 나열됩니다. |
보조 Cisco ISE-PIC 노드 등록
보조 노드를 등록하고 나면 보조 노드의 컨피그레이션이 기본 노드의 데이터베이스에 추가되며 보조 노드의 애플리케이션 서버가 재시작됩니다. 재시작이 완료된 후 PAN의 구축 페이지에서 모든 컨피그레이션 변경사항을 확인할 수 있습니다. 그러나 변경사항이 적용되어 구축 페이지에 표시될 때까지는 5분 정도 걸릴 수 있습니다.
프로시저
단계 1 |
PAN에 로그인합니다. |
단계 2 |
다음 메뉴를 선택합니다. . |
단계 3 |
Add Secondary Node(보조 노드 추가) 섹션에서 보조 Cisco ISE 노드의 DNS 확인 가능 호스트 이름을 입력합니다. Cisco ISE-PIC 노드를 등록하는 동안 호스트 이름을 사용하는 경우에는 abc.xyz.com과 같이 등록하려는 독립형 노드의 FQDN(Fully Qualified Domain Name)이 PAN의 DNS 확인 가능 이름이어야 합니다. 그렇지 않으면 노드 등록이 실패합니다. DNS 서버에서 보조 노드의 FQDN 및 IP 주소를 이전에 정의한 상태여야 합니다. |
단계 4 |
Username(사용자 이름) 및 Password(비밀번호) 필드에 독립형 노드의 UI 기반 관리자 자격 증명을 입력합니다. |
단계 5 |
Save(저장)를 클릭합니다. Cisco ISE-PIC가 보조 노드에 연결하여 호스트 이름, 기본 게이트웨이 등의 몇 가지 기본 정보를 가져온 다음 표시합니다. |
구축에 보조 노드가 등록되면 노드가 재시작되며, 구축 페이지에서 보조 노드 정보가 표시되기까지 최대 5분이 걸릴 수 있습니다.
보조 노드가 성공적으로 등록되면 구축 페이지의 Secondary Node(보조 노드) 섹션에 해당 노드에 대한 세부 사항이 표시됩니다.
보조 노드가 정상적으로 등록되면 노드 등록 성공을 확인하는 경보가 PAN에 수신됩니다. 보조 노드를 PAN에 등록할 수 없는 경우에는 경보가 생성되지 않습니다. 노드가 등록되면 해당 노드에서 애플리케이션 서버가 재시작됩니다. 등록 및 데이터베이스 동기화가 성공한 후 기본 관리 노드의 자격 증명을 입력하여 보조 노드의 사용자 인터페이스에 로그인합니다.
참고 |
구축의 기존 기본 노드 외에 새 노드를 정상적으로 등록하면 새로 등록된 노드에 해당하는 경보는 표시되지 않습니다. 컨피그레이션 변경됨 경보는 새로 등록된 노드에 해당하는 정보를 반영합니다. 이 정보를 통해 새 노드 등록 성공을 확인할 수 있습니다. |
기본 및 보조 Cisco ISE-PIC 노드 동기화
기본 PAN을 통해서만 Cisco ISE-PIC의 구성을 변경할 수 있습니다. 컨피그레이션 변경사항은 모든 보조 노드로 복제됩니다. 복제가 정상적으로 수행되지 않는 경우에는 보조 PAN을 기본 PAN과 수동으로 동기화할 수 있습니다.
프로시저
단계 1 |
기본 PAN에 로그인합니다. |
단계 2 |
다음 메뉴를 선택합니다. . |
단계 3 |
기본 PAN과 동기화할 노드 옆의 체크 박스를 선택하고 Syncup을 클릭하여 전체 데이터베이스 복제를 강제로 수행합니다. |
보조 PAN을 기본으로 수동 승격
PAN 자동 장애 조치를 구성하지 않은 상태에서 기본 PAN에 오류가 보조 PAN을 수동으로 승격하여 새 기본 PAN으로 지정해야 합니다.
시작하기 전에
기본 PAN으로 승격하려는 두 번째 Cisco ISE-PIC 노드를 구성했는지 확인해 주십시오.
프로시저
단계 1 |
보조 PAN의 사용자 인터페이스에 로그인합니다. |
단계 2 |
다음 메뉴를 선택합니다. . |
단계 3 |
Promote to Primary(기본으로 승격)를 클릭합니다. |
단계 4 |
Save(저장)를 클릭합니다. |
다음에 수행할 작업
원래 기본 PAN이었던 노드가 다시 작동하면 승격된 노드는 자동으로 강등되며 보조 PAN이 됩니다. 이 노드(원래 기본 PAN)에서 수동 동기화를 수행하여 구축으로 다시 가져와야 합니다.
구축에서 노드 제거
구축에서 노드를 제거하려면 노드 등록을 취소해야 합니다. 등록 취소된 노드는 독립형 Cisco ISE-PIC 노드로 설정됩니다.
노트의 등록을 취소하면 엔드포인트 데이터가 손실됩니다. 노드가 독립형 노드가 된 후 노드의 엔드 포인트 데이터를 유지하려는 경우 기본 PAN에서 백업을 가져 와서 이 데이터 백업을 복원할 수 있습니다.
기본 PAN의 구축 창에서 이러한 변경사항을 확인할 수 있습니다. 그러나 이러한 변경사항이 적용되어 구축 창에 표시될 때까지는 5분 정도 지연될 수 있습니다.
시작하기 전에
구축에서 노드를 제거하려면 노드 등록을 취소해야 합니다. PAN에서 보조 노드를 등록 취소하면 등록 취소된 노드의 상태가 독립형으로 변경되고 기본 노드와 보조 노드 간 연결이 끊어집니다. 업데이트는 더 이상 등록 취소된 독립형 노드로 전송되지 않습니다.
구축에서 보조 노드를 제거하기 전에 Cisco ISE-PIC 컨피그레이션의 백업을 수행해 주십시오. 필요한 경우 나중에 이 백업을 복원할 수 있습니다.
프로시저
단계 1 |
다음 메뉴를 선택합니다. . |
단계 2 |
보조 노드 세부 사항 옆에있는 Deregister(등록 취소)를 클릭합니다. |
단계 3 |
OK(확인)를 클릭합니다. |
단계 4 |
기본 PAN에서 경보가 수신되는지 확인하여 보조 노드가 정상적으로 등록 취소되었음을 확인합니다. 보조 노드가 기본 PAN에서 등록 취소되지 않으면 경보는 생성되지 않습니다. |
Cisco ISE-PIC 노드의 호스트 이름 또는 IP 주소 변경
독립형 Cisco ISE-PIC 노드의 호스트 이름, IP 주소 또는 도메인 이름을 변경할 수 있습니다. 노드의 호스트 이름으로 localhost
를 사용할 수 없습니다.
시작하기 전에
Cisco ISE-PIC 노드가 2노드 구축의 일부분인 경우에는 구축에서 해당 노드를 제거하고 독립형 노드인지를 확인해야 합니다.
프로시저
단계 1 |
ISE-PIC 노드의 호스트 이름 또는 IP 주소는 hostname , ip address , 또는 ip domain-name 명령을 사용하여 변경할 수 있습니다. |
||
단계 2 |
Cisco ISE-PIC CLI에서 application stop ise 명령을 사용하여 Cisco ISE 애플리케이션 컨피그레이션을 재설정하여 모든 서비스를 재시작합니다. |
||
단계 3 |
Cisco ISE-PIC 노드가 2노드 구축의 일부분인 경우에는 기존 PAN에 해당 노드를 등록합니다.
Cisco ISE-PIC 노드를 보조 노드로 등록하고 나면 기본 PAN이 IP 주소, 호스트 이름 또는 도메인 이름의 변경사항을 구축의 다른 Cisco ISE-PIC 노드로 복제합니다. |
Cisco ISE-PIC 어플라이언스 하드웨어 교체
Cisco ISE-PIC 어플라이언스 하드웨어는 문제가 있는 경우에만 교체해야 합니다. 소프트웨어 문제의 경우에는 어플라이언스를 재이미지화하고 Cisco ISE-PIC 소프트웨어를 다시 설치할 수 있습니다.
프로시저
단계 1 |
새 노드에서 Cisco ISE-PIC 소프트웨어를 재이미지화하거나 다시 설치합니다. |
단계 2 |
기본 및 보조 PAN용 UDI가 포함된 라이센스를 얻어 기본 PAN에 설치합니다. |
단계 3 |
교체한 기본 PAN에서 백업을 복원합니다. |
단계 4 |
새 노드를 보조 노드로 기본 PAN에 등록합니다. |