了解ISE上的新拆分升级
简介
本文档介绍了3.2 P3中引入的增强型拆分升级功能,与传统拆分升级方法相比。
先决条件
要求
Cisco 建议您了解以下主题:
- 思科身份服务引擎基础知识
使用的组件
本文档不限于特定的软件和硬件版本。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
GUI升级方法
- 拆分
- 在服务可用时升级部署的多步骤顺序流程。
旧拆分升级
- 完全
- 两步过程,在出现服务中断时并行升级所有节点。
- 比拆分升级花费更少的时间。
完全升级
- 新拆分
- 批量升级。
- 提高稳定性并减少停机时间。
- 比旧的分割升级时间更短。
- 预检查.
- 没有URT。
新拆分升级
升级路径
- 2.6、2.7、3.0 >拆分/完全> 3.1
- 2、7、3.0、3.1 >拆分/完全> 3.2
- 3.0、3.1、3.2 >拆分/完全> 3.3
- 从3.2 P3开始,新的剥离升级取代了旧剥离升级,只留下两个选项:完全升级和新拆分。
新旧拆分升级
旧的分割升级过程
旧的分割升级步骤
1. SPAN:注销、配置数据升级、升级至PAN。
2.pMnT:取消注册、在新部署中注册、下载和导入操作数据升级。
3. PSN1:注销、在新部署中注册、下载和导入数据。
4. PSN2:注销、在新部署中注册、下载和导入数据。
5.sMnT:取消注册、在新部署中注册、下载和导入操作数据升级。
6. PPAN:注册、下载和导入数据,升级SPAN以便进行与升级前相同的部署。
旧拆分与新拆分
新剥离升级 — 向导
步骤1:
步骤2.检查表
步骤3.选择节点
步骤4.准备升级
步骤6.升级节点
“摘要”页面
注意:每次迭代重复相同的步骤。
详细步骤
步骤1.欢迎使用Cisco ISE升级
步骤2.检查表
第 3 步: 选择迭代的节点
可以为同一部署选择不同的迭代。
小版本选项
对于2个迭代,第3步开始选择节点。
迭代1节点选择
步骤4.准备升级
节点选择
预检查
预检查
- 存储库验证检查是否为所有节点配置了存储库。
- 捆绑包下载有助于下载。
- 内存检查检查PAN节点上是否有25%的内存空间可用,其他节点上是否有1GB的内存空间可用。
- 补丁捆绑包下载有助于下载所选节点的补丁捆绑包。
- PAN故障转移验证检查检查是否启用了PAN高可用性。请注意,如果启用PAN故障切换,则会将其禁用。
- 定时备份检查是否启用了定时备份。 — 非强制性。
- 配置备份检查最近是否完成了配置备份。升级过程仅在备份完成后运行。
- 配置数据升级在配置数据库克隆上运行配置数据升级并创建升级数据转储。此检查在下载捆绑包后开始。
- Services或Process Failures指示服务或应用程序的状态(无论是运行还是处于故障状态)。
- 平台支持检查会检查部署中支持的平台。它检查系统是否至少有12个核心CPU、300-GB硬盘和16-GB内存。它还检查ESXi版本是6.5还是更高。
- 部署验证检查部署节点的状态(同步或正在进行)。
- DNS可解析性检查主机名和IP地址的正向和反向查找。
- 信任存储证书验证检查信任存储证书是否有效或已过期。
- 系统证书验证检查每个节点的系统证书验证。
- 磁盘空间检查硬盘是否有足够的可用空间继续升级过程。
- NTP验证检查系统中配置的NTP以及时间源是否来自NTP服务器。
- 负载平均值检查按特定时间间隔检查系统负载。频率可以是1、5或15分钟。
注意:并非所有预检查都适用于所有节点,其中一些预检查仅在PAN中运行。
- 所有节点
- 存储库验证
- 捆绑包下载
- 内存检查
- 补丁捆绑包下载
- 服务或进程故障
- 平台支持检查
- DNS可解析性
- 磁盘空间检查
- NTP验证
- 平均负荷检查。
- 仅在PAN上
- PAN故障转移验证检查
- 计划备份检查
- 配置备份检查
- 配置数据升级
- 部署验证
- 信任存储证书验证
- 系统证书验证
所有预检查的状态可以是:
- 成功
- 警告
- 故障
修复后,可以重新评估带有Warnings和Failures的预检查。
预检查状态
注意:执行预检查时,ISE服务可以继续运行。报告的有效期为12小时,在此期间可触发升级。
注意:捆绑包下载、补丁捆绑包下载、平台检查、配置数据升级和磁盘空间检查的有效期为12小时。其他预检查将在3小时后过期,并且可以使用刷新失败检查按钮或单个刷新按钮重新验证。
注意:升级捆绑包已下载并存储在./storeddata/Installing/.upgrade/中。
步骤5.暂存
成功通过所有预检查后,下一步是暂存。PAN将在先前步骤中准备的配置数据库转储复制到迭代中的其余节点。
IterStaging
Iter暂存
注意:继续升级试运行(通过点击开始试运行)步骤不会导致任何ISE服务暂停。即使ISE UI已关闭,预检查也可在后台继续执行。
步骤6.升级
- 迭代中的所有节点并行升级,因此服务中断。
- 每个节点都有自己的进度条,还有一个进度条用于迭代的整体进度。
- 升级过程通过PPAN监控。
升级
迭代2
- 同样的预检查适用。
- 在转移过程中,配置数据库转储(不是升级捆绑包)从3.3中的新PPAN从迭代1复制。
迭代2暂存
- 通过新的PPAN(3.3)升级节点并监控状态。
迭代2升级
故障排除
预检查失败
请参阅ADE.log和ise-psc.log文件。
show logging system ade/ADE.log
show logging application ise-psc.log
配置数据升级检查
请参阅辅助管理节点上的ADE.log、configdb-upgrade-[timestamp].log和dbupgrade-data-global-[timestamp].log。
show logging system ade/ADE.log
show logging application configdb-upgrade-[timestamp].log
show logging application dbupgrade-data-global-[timestamp].log
注意:收集支持捆绑包时,请确保启用完整配置数据库检查以包括configdb-upgrade日志。
升级问题,日志收集
升级其中一个节点失败,无法继续部署其余部分。
要监控的日志:
- 在辅助节点上
(Accessible via admin CLI "show logging application" or "show logging system")
/configdb-upgrade-<timestamp>.log
/dbupgrade-schema-<timestamp>.log
/dbupgrade-data-global-<timestamp>.log
ade/ADE.log
- 在PAN上
show logging application ise-psc.log
升级问题,修复
故障排除操作
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
2.0 |
03-Apr-2025
|
更新的标题、简介、样式要求、机器翻译、图像标题和格式。 |
1.0 |
29-Aug-2023
|
初始版本 |
反馈