Entender a nova atualização da divisão no ISE
Contents
Introdução
Este documento descreve o recurso de atualização de divisão avançada introduzido no 3.2 P3 em comparação com o método de atualização de divisão tradicional.
Pré-requisitos
Requisitos
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Conhecimento básico do Cisco Identity Service Engine
Componentes Utilizados
Este documento não se restringe a versões de software e hardware específicas.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Informações de Apoio
Métodos de atualização da GUI
- Dividir
- Processo sequencial de várias etapas para atualizar sua implantação enquanto os serviços estão disponíveis.
Atualização de divisão antiga
- Completo
- Processo em duas etapas para atualizar todos os nós em paralelo com a interrupção do serviço.
- Leva menos tempo do que a atualização dividida.
Atualização completa
- Nova divisão
- Atualizar em lotes.
- Aumente a estabilidade e reduza o tempo de inatividade.
- Tempo menor do que a antiga atualização dividida.
- Verificações prévias.
- Sem URT.
Nova atualização de divisão
Caminhos de atualização
- 2.6, 2.7, 3.0 > DIVIDIR/COMPLETO > 3.1
- 2,7, 3,0, 3,1 > DIVIDIR/COMPLETO > 3,2
- 3.0, 3.1, 3.2 > DIVIDIR/COMPLETO > 3.3
- A partir do 3.2 P3, a nova atualização dividida substituiu a atualização dividida antiga, deixando apenas duas opções: Atualização completa e nova divisão.
Atualização de divisão nova vs antiga
Processo Antigo de Atualização Dividida
Etapas de Atualização da Divisão Antiga
1. CALIBRE: Cancele o registro, configure a atualização de dados, promova para PAN.
2. MnT: Cancele o registro, registre-se em uma nova implantação, baixe e importe a atualização de dados operacionais.
3. PSN1: Cancele o registro, registre-se em uma nova implantação, baixe e importe dados.
4. PSN2: Cancele o registro, registre-se em uma nova implantação, baixe e importe dados.
5. MnT: Cancele o registro, registre-se em uma nova implantação, baixe e importe a atualização de dados operacionais.
6. PAN: Registre, faça download e importe dados, promova o SPAN para fazer a mesma implantação que antes da atualização.
Divisão Antiga vs Nova Divisão
Nova Atualização de Divisão - Assistente
Etapa 1.
Etapa 2. Lista de verificação
Etapa 3. Selecionar Nós
Etapa 4. Preparar para fazer o upgrade
Etapa 6. Atualizar Nós
Página Resumo
Note: As mesmas etapas são repetidas por iteração.
Etapas detalhadas
Etapa 1. Bem-vindo à atualização do Cisco ISE
Etapa 2. Lista de verificação
Etapa 3. Selecionar Nós para Iterações
Diferentes iterações podem ser selecionadas para a mesma implantação.
Opções de Iteração
No caso de 2 iterações, a Etapa 3 começa a selecionar os nós.
Seleção de Nó de Iteração1
Etapa 4. Preparar-se para o Upgrade
Seleção de Nó
Pré-verificações
Pré-verificações
- A validação do repositório verifica se o repositório está configurado para todos os nós.
- O download do pacote ajuda a fazer o download.
- A Verificação de Memória verifica se há 25% de espaço de memória disponível no nó PAN e se há espaço de memória de 1 GB disponível em outros nós.
- O download do pacote de patches ajuda a fazer o download do pacote de patches para os nós selecionados.
- A verificação de validação de failover de PAN verifica se a alta disponibilidade de PAN está habilitada. Seja notificado de que o failover do PAN será desativado se estiver ativado.
- Backup Programado Verifica se o backup programado está ativado. - não obrigatório.
- Config Backup Verifica se o backup da configuração foi feito recentemente. O processo de atualização é executado somente após a conclusão do backup.
- O Upgrade de Dados de Configuração executa o upgrade dos dados de configuração no clone do banco de dados de configuração e cria o dump de dados de upgrade. Essa verificação começa após o download do pacote.
- Falhas de Serviços ou Processos indica o estado do serviço ou aplicativo (se ele está em execução ou em um estado de falha).
- A verificação de suporte da plataforma verifica as plataformas suportadas na implantação. Ele verifica se o sistema tem um mínimo de 12 CPUs centrais, disco rígido de 300 GB e memória de 16 GB. Ele também verifica se a versão do ESXi é 6.5 ou posterior.
- A validação de implantação verifica o estado do nó de implantação (se ele está em sincronia ou em andamento).
- A capacidade de resolução de DNS verifica a pesquisa direta e reversa de nome de host e endereço IP.
- A Validação de Certificado de Repositório Confiável verifica se o certificado de repositório confiável é válido ou expirou.
- A Validação de certificado do sistema verifica a validação do certificado do sistema para cada nó.
- Espaço em Disco Verifique se o disco rígido tem espaço livre suficiente para continuar com o processo de atualização.
- Validação de NTP Verifica o NTP configurado no sistema e se a fonte de tempo é do servidor NTP.
- Load Average Check verifica a carga do sistema em um intervalo específico. A frequência pode ser de 1,5 ou 15 minutos.
Note: Nem todas as pré-verificações são aplicáveis em todos os nós, algumas delas são executadas apenas no PAN.
- Todos os nós
- Validação do repositório
- Download do pacote
- Verificação de memória
- Download do pacote de patches
- Falhas de serviço ou processo
- Verificação de suporte da plataforma
- capacidade de resolução de DNS
- Verificação de Espaço em Disco
- validação de NTP
- Verificação da média de carga.
- Somente no PAN
- Verificação de validação de failover de PAN
- Verificação de backup agendado
- Verificação de backup de configuração
- Atualização de dados de configuração
- Validação da implantação
- Validação de certificado de armazenamento confiável
- Validação de certificado do sistema
O estado de todas as pré-verificações pode ser:
- Sucesso
- Aviso
- Falha
Uma vez corrigidas, as pré-verificações com Avisos e Falhas podem ser reavaliadas.
Status de pré-verificação
Note: Os serviços do ISE podem continuar a ser executados enquanto as pré-verificações são executadas. O relatório pode ser válido por 12 horas durante as quais a atualização pode ser acionada.
Note: Download de pacote, download de pacote de patch, verificação de plataforma, atualização de dados de configuração e verificação de espaço em disco são válidos por 12 horas. Outras pré-verificações expiram após 3 horas e podem ser revalidadas usando o botão Atualizar verificações com falha ou o botão Atualizar individual.
Note: O pacote de atualização é baixado e armazenado em ./storeddata/Installing/.upgrade/.
Etapa 5. Preparação
Depois que todas as pré-verificações forem aprovadas, a próxima etapa será a preparação. O PAN copia o dump do banco de dados de configuração preparado em uma etapa anterior para o resto dos nós na iteração.
IterPreparação
Estágios do Iter
Note: Prosseguir com a etapa de preparação de atualização (clicando em iniciar preparação) não pode causar a suspensão de nenhum serviço do ISE. A pré-verificação pode continuar a execução em segundo plano mesmo se a interface do usuário do ISE estiver fechada.
Etapa 6. Atualizar
- Todos os nós na iteração são atualizados em paralelo, portanto, os serviços são interrompidos.
- Cada nó tem sua própria barra de progresso e há outra para o progresso geral da iteração.
- O progresso da atualização é monitorado através do PPAN.
Atualização
Iteração 2
- As mesmas pré-verificações se aplicam.
- Durante a preparação, o dump do banco de dados de configuração (não o pacote de atualização) é copiado do novo PPAN no 3.3 da iteração 1.
Preparação da Iteração 2
- Os nós são atualizados e o status é monitorado através do novo PPAN (3.3).
Atualização da Iteração 2
Troubleshooting
Falha nas pré-verificações
Consulte os arquivos ADE.log e ise-psc.log.
show logging system ade/ADE.log
show logging application ise-psc.log
Verificação de Atualização de Dados de Configuração
Consulte ADE.log, configdb-upgrade-[timestamp].log e dbupgrade-data-global-[timestamp].log no nó admin secundário.
show logging system ade/ADE.log
show logging application configdb-upgrade-[timestamp].log
show logging application dbupgrade-data-global-[timestamp].log
Note: Ao coletar o pacote de suporte, certifique-se de ativar a verificação completa do banco de dados de configuração para incluir os logs configdb-upgrade.
Problemas de atualização, Coleta de logs
Falha na atualização em um dos nós e não é possível continuar com o restante da implantação.
Logs a serem monitorados:
- No nó secundário
(Accessible via admin CLI "show logging application" or "show logging system")
/configdb-upgrade-<timestamp>.log
/dbupgrade-schema-<timestamp>.log
/dbupgrade-data-global-<timestamp>.log
ade/ADE.log
- No PAN
show logging application ise-psc.log
Problemas de atualização, corrija-os
Ações de Troubleshooting
Informações Relacionadas
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
2.0 |
03-Apr-2025
|
Título, introdução, requisitos de estilo, tradução automática, legendas de imagem e formatação atualizados. |
1.0 |
29-Aug-2023
|
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)