了解Cisco ISE上的新拆分升级

已更新: 2023 年 8 月 29 日

文档 ID:220857

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文介绍了3.2 P3中引入的增强型拆分升级功能，与传统拆分升级方法相比。

先决条件

要求

Cisco 建议您了解以下主题：

思科身份服务引擎基础知识

使用的组件

本文档不限于特定的软件和硬件版本。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

GUI升级方法

拆分
- 在服务可用时升级部署的多步骤顺序流程。

Old split upgrade 旧的分割升级

全
- 两步过程，在出现服务中断时并行升级所有节点。
- 比拆分升级花费更少的时间。

Full upgrade 完全升级

新拆分
- 批量升级
- 提高稳定性并减少停机时间。
- 比旧的分割升级时间更短。
- 预检查。
- 没有URT。

New split upgrade 新的拆分升级

升级路径

2.6、2.7、3.0 >拆分/完全> 3.1
2、7、3.0、3.1 >拆分/完全> 3.2
3.0、3.1、3.2 >拆分/完全> 3.3
- 从3.2 P3开始，新的剥离升级取代了旧剥离升级，只留下两个选项：完全升级和新剥离。

新版本与旧版本拆分升级

旧的分割升级过程

joncasil_0-1692908130909 旧的分割升级步骤

1. SPAN：注销，配置数据升级，升级至PAN。

2. pMnT：注销、在新部署中注册、下载和导入操作数据升级。

3. PSN1：注销，在新部署中注册，下载和导入数据。

4. PSN2：注销，在新部署中注册，下载和导入数据。

5. sMnT:取消注册、注册新部署、下载和导入操作数据升级。

6. PPAN:注册、下载和导入数据，升级SPAN以便与升级前进行相同的部署。

joncasil_1-1693329658995 旧拆分与新拆分

新拆分升级 — 向导

joncasil_2-1692908558719 第1步

joncasil_3-1692908577273 第 2 步核对清单

joncasil_4-1692908609320 第3步：选择节点

joncasil_5-1692908643516 第4步：准备升级

joncasil_6-1692908929538 第5步：升级暂存

joncasil_7-1692908960216 第6步：升级节点

joncasil_8-1692908973592 “摘要”页面

注：每次迭代都会重复相同的步骤。

详细步骤

第3步选择迭代的节点

可以为同一部署选择不同的迭代。

joncasil_1-1692910405947 小版本选项

对于2个迭代，第3步开始选择节点。

joncasil_5-1692911080638 迭代1节点选择

第 4 步：准备升级

joncasil_6-1692911388355 节点选择

Pre joncasil_7-1692911526921 预检查

存储库验证检查是否为所有节点配置了存储库
捆绑包下载有助于下载。
内存检查检查PAN节点上是否有25%的可用内存空间，其他节点上是否有1GB的可用内存空间。
补丁捆绑包下载帮助下载所选节点的补丁捆绑包。
PAN故障切换验证检查检查是否启用了PAN高可用性。如果启用PAN故障切换，系统会通知您PAN故障切换将被禁用。
定时备份检查检查是否启用了定时备份。 — 非强制性。
配置备份检查检查配置备份最近是否完成。升级过程仅在备份完成后运行。
配置数据升级在配置数据库克隆上运行配置数据升级并创建升级数据转储。此检查在下载捆绑包后开始。
服务或进程故障指示服务或应用程序的状态（无论其是否正在运行或处于故障状态）
平台支持检查检查部署中支持的平台。它检查系统是否至少有12个核心CPU、300-GB硬盘和16-GB内存。它还检查ESXi版本是6.5还是更高。
部署验证检查部署节点的状态（无论是处于同步状态还是正在进行中）
DNS可解析性检查主机名和IP地址的正向和反向查找。
信任存储证书验证检查信任存储证书是否有效或已过期。
系统证书验证检查每个节点的系统证书验证。
磁盘空间检查检查硬盘是否有足够的可用空间来继续升级过程。
NTP验证检查系统中配置的NTP以及时间源是否来自NTP服务器。
平均负载检查按特定时间间隔检查系统负载。频率可以是1、5或15分钟。

注意：并非所有预检查都适用于所有节点，其中一些预检查仅在PAN中运行。

所有节点
- 存储库验证
- 捆绑下载
- 内存检查
- 补丁捆绑下载
- 服务或进程故障
- 平台支持检查
- DNS可解析性
- 磁盘空间检查
- NTP验证
- 平均负荷检查。
仅在PAN上
- PAN故障转移验证检查
- 计划备份检查
- 配置备份检查
- 配置数据升级
- 部署验证
- 信任存储证书验证
- 系统证书验证

所有预检查的状态可以是：

成功
警告
故障

修复后，可以重估带有Warnings和Failures的预检查。

joncasil_0-1692913633819 预检查状态

注意：执行预检查时，ISE服务将继续运行。报告的有效期为12小时，在此期间可触发升级。

注意：捆绑包下载、补丁捆绑包下载、平台检查、配置数据升级和磁盘空间检查的有效期为12小时。其他预检查将在3小时后过期，并且可以使用刷新失败检查按钮或单个刷新按钮重新验证。

第 5 步：暂存

成功通过下一步转移的所有预检查后，PAN会将之前步骤中准备的配置数据库转储复制到迭代中的其余节点。

伊特尔 joncasil_1-1692914094145 暂存

注意：继续升级试运行（通过点击开始试运行）步骤不会导致任何ISE服务暂停。即使ISE UI已关闭，预检查也将在后台继续执行。

步骤 6 升级

迭代中的所有节点并行升级，因此服务中断。
每个节点都有自己的进度条，还有一个进度条用于迭代的整体进度。
升级过程通过PPAN监控。

joncasil_3-1692914377225 升级

迭代2

应用相同的预检查。
在试运行期间，配置数据库转储（不是升级捆绑包）会从3.3中的“新”PPAN从迭代1复制。

joncasil_4-1692914765745 迭代2，暂存

通过新的PPAN(3.3)升级节点并监控状态

joncasil_0-1693329135755 迭代2，升级

故障排除

预检查失败

请参阅ADE.log和ise-psc.log文件。

show logging system ade/ADE.log
show logging application ise-psc.log

配置数据升级检查

请参阅辅助管理节点上的ADE.log、configdb-upgrade-[timestamp].log和dbupgrade-data-global-[timestamp].log。

show logging system ade/ADE.log
show logging application configdb-upgrade-[timestamp].log
show logging application dbupgrade-data-global-[timestamp].log

注意：收集支持捆绑包时，请确保启用完整配置数据库检查以包括configdb-upgrade日志。

升级问题，日志收集

升级其中一个节点失败，无法继续部署其余部分。

请参阅 :

ADE.log
ise-psc.log

show logging system ade/ADE.log
show logging application ise-psc.log

其他日志：

monit.log

升级问题，修复问题

joncasil_0-1693332346491 故障排除操作