المقدمة
يوضح هذا المستند الخطوات اللازمة لاستكشاف أخطاء ترقية البنية الأساسية المرتكزة على التطبيقات (ACI) وإصلاحها وأفضل الممارسات التي يجب اتباعها قبل عملية الترقية وخلالها.
تتضمن ترقية قائمة التحكم في الوصول (ACI) تحديث برنامج ومحولات وحدة التحكم في البنية الأساسية لسياسة التطبيق (APIC) (terminal and spine). عادة ما تكون ترقية المحول عملية بسيطة للغاية، ولكن قد تشتمل ترقية APIC على بعض مشاكل نظام المجموعة. فيما يلي عدد قليل من التصحيحات المسبقة التي توصي Cisco بإعدادها قبل بدء ترقية.
قبل الترقية
قبل بدء ترقية قائمة التحكم في الوصول (ACI)، تأكد من إجراء بعض عمليات التحقق المسبقة لتجنب أي سلوك غير متوقع.
الأمور التي يجب القيام بها قبل ترقية APIC
- مسح كافة الأخطاء
يوجد العديد من الأخطاء في حالة بنية ACI حيث توجد سياسات غير صحيحة أو تتعارض أو حتى واجهات منفصلة وما إلى ذلك. تعرف على المشغل وقم بمسحه قبل بدء الترقية. انتبه، لعيوب مثل encap already been used
أو Routed port is in L2 mode
قد يؤدي إلى انقطاع غير متوقع. عندما يقوم أنت بترقية المفتاح، هو يجلب كل السياسات من APIC من البداية. ونتيجة لهذا فإن السياسات غير المتوقعة قد تسيطر على السياسات المتوقعة التي قد تتسبب في انقطاع التيار.
- مسح تداخل تجمع VLAN
VLAN بركة يعني تداخل ال نفسه VLAN id جزء من إثنان أو كثير VLAN بركة. إن نشرت ال نفسه VLAN id يكون على يتعدد ورقة مفتاح أي يكون جزء من مختلف VLAN بركة، هو يكون يتلقى مختلف VXLAN id على هذا مفتاح. بما أن ACI يستخدم معرف VXLAN لإعادة التوجيه، فإن حركة المرور الموجهة إلى شبكة VLAN معينة قد تنتهي في شبكة VLAN مختلفة أو قد يتم إسقاطها. بما أن الورقة يجلب التشكيل من APIC بعد ترقيته، الترتيب الذي يتم به نشر VLAN له دور رئيسي. لذلك، قد يؤدي هذا إلى انقطاع أو فقد اتصال متقطع بنقاط النهاية في بعض شبكات VLAN.
من المهم التحقق من تداخل معرف VLAN وتصحيحه قبل بدء الترقية. من المستحسن أن يكون هناك معرف VLAN واحد يكون جزءا من تجمع VLAN واحد فقط ويعيد إستخدام تجمع VLAN حيثما دعت الحاجة.
- تأكيد مسار الترقية المدعوم
تتضمن ترقية APIC تحويل البيانات من إصدار إلى آخر والذي يتم داخليا. من أجل نجاح تحويل البيانات، هناك بعض مشاكل توافق الإصدارات التي يجب الاهتمام بها. دائما تأكد من ما إذا كانت Cisco تدعم الترقية المباشرة من إصدار قائمة التحكم في الوصول (ACI) الحالي إلى إصدار الهدف الجديد الذي تقوم بالترقية إليه. وفي بعض الأحيان سيتعين عليك المرور عبر نقلات متعددة للوصول إلى الإصدار الهدف. إذا قمت بالترقية إلى إصدار غير مدعوم، فقد يؤدي ذلك إلى حدوث مشاكل في نظام المجموعة والتكوين.
دائما ما يتم سرد مسارات الترقية المدعومة في دليل ترقية Cisco ACI.
- تكوين APIC للنسخ الاحتياطي
تأكد من تصدير النسخ الاحتياطي للتكوين إلى خادم بعيد قبل بدء الترقية. يمكن إستخدام ملف النسخ الاحتياطي الذي تم تصديره لإعادة التكوين إلى APICs إذا فقدت جميع التكوين أو كان هناك تلف بيانات بعد الترقية.
ملاحظة: إذا قمت بتمكين التشفير للنسخ الاحتياطي، فتأكد من حفظ مفتاح التشفير. وإلا، فلن يتم إستيراد جميع كلمات مرور حساب المستخدم بما في ذلك كلمة مرور admin بشكل صحيح.
- تأكيد وصول APIC CIMC
وحدة التحكم المتكاملة في الإدارة (CIMC) من Cisco هي الطريقة الأفضل للحصول على وصول وحدة التحكم عن بعد إلى APIC. إذا لم تتم إعادة تشغيل APIC بعد إعادة التمهيد أو تعلق العمليات، فقد لا تتمكن من الاتصال ب APIC من خلال الإدارة خارج النطاق أو داخل النطاق ل APIC. في هذه المرحلة، يمكنك تسجيل الدخول إلى CIMC والاتصال بوحدة تحكم KVM ل APIC لإجراء بعض التحققات واستكشاف المشكلة وإصلاحها.
- التحقق من توافق إصدار CIMC وتأكيده
دائما تأكد من تشغيل إصدار CIMC الموصى به من Cisco المتوافق مع إصدار ACI الهدف قبل بدء ترقية ACI. ارجع إلى إصدار APIC و CIMC الموصى بهما.
- تأكيد عدم تأمين عملية APIC
العملية تسمى عنصر الجهاز (AE) الذي يعمل في APIC هو المسؤول عن تشغيل الترقية في APIC. يوجد خطأ معروف في واجهة إدارة النظام الذكي (IPMI) لنظام التشغيل CentOS والذي يمكن أن يقفل عملية AE في APIC. إذا تم تأمين عملية AE، لن يتم تشغيل ترقية البرنامج الثابت APIC. تقوم هذه العملية باستعلام الهيكل IPMI كل 10 ثوان. إذا لم تستفسر عملية AE عن IPMI الخاص بالهيكل في آخر 10 ثوان، فإن ذلك قد يعني أن عملية AE تم تأمينها.
يمكنك التحقق من حالة عملية AE لمعرفة آخر استعلام IPMI. من واجهة سطر أوامر APIC، أدخل الأمر date
للتحقق من وقت النظام الحالي. الآن دخلت الأمر grep "ipmi" /var/log/dme/log/svc_ifc_ae.bin.log | tail -5
وتحقق من آخر مرة عندما استفسرت عملية AE عن IPMI. قارن الوقت مع وقت النظام للتحقق مما إذا كان آخر استعلام ضمن الإطار 10 ثانية لوقت النظام.
إذا فشلت عملية AE في الاستعلام عن IPMI في آخر 10 ثوان من وقت النظام، فيمكنك إعادة تشغيل APIC لاسترداد عملية AE قبل بدء الترقية.
ملاحظة: لا تقم بإعادة تشغيل بطاقتي APICs أو أكثر في نفس الوقت لتجنب أي مشاكل نظام مجموعة.
- التحقق من توفر NTP وتأكيده
من كل APIC، يتم إختبار الاتصال وتأكيد إمكانية الوصول إلى خادم NTP لتجنب المشاكل المعروفة بسبب عدم تطابق وقت APIC. يمكن العثور على مزيد من التفاصيل حول هذا الأمر في قسم أستكشاف الأخطاء وإصلاحها بهذا المقال.
- التحقق من حالة صحة APIC
تحقق من حالة صحة APIC في نظام المجموعة وأكدها قبل بدء الترقية. درجة الصحة 255 تعني أن APIC صحي. دخلت الأمر acidiag avread | grep id= | cut -d ' ' -f 9,10,20,26,46
من أي APIC CLI للتحقق من حالة صحة APIC. إذا لم تكن درجة الصحة 255 لأي APIC، فلا تبدأ الترقية.
- تقييم تأثير إصدار جديد
قبل بدء الترقية، راجع ملاحظات الإصدار الخاصة بإصدار واجهة التحكم في الوصول (ACI) الهدف الخاص بك وفهم أي تغييرات سلوكية تنطبق على تكوين البنية الخاصة بك لتجنب أي نتائج غير متوقعة بعد الترقية.
- تنظيم الترقية في المختبر
توصي Cisco بتجربة الترقية في بنية معملية أو إختبارية قبل بنية الإنتاج الفعلية لتعريف نفسك بالترقية والسلوكيات في الإصدار الجديد. يساعد ذلك أيضا في تقييم أي مشاكل محتملة يمكنك تشغيلها إلى ما بعد الترقية.
أشياء للقيام بها قبل ترقية المحول
- وضع قناة المنفذ الظاهري (vPC) وأزواج الوحدات الطرفية المكررة في مجموعات الصيانة المختلفة
تحتوي واجهة برمجة التطبيقات (ACI) على آلية للتحقق من ترقية العقد الطرفية لزوج خوادم vPC من إصدار معين أو إصدار أحدث وتأجيل ذلك الترقية. ومع ذلك، فمن أفضل الممارسات وضع محولات vPC المزدوجة في مجموعات صيانة مختلفة لتجنب إعادة تمهيد كل من محولات vPC في نفس الوقت.
في حالة وجود محولات غير خاصة بالكمبيوتر (vPC) مكررة، مثل ورقة الحدود، فتأكد من وضعها في مجموعات المنافذ المختلفة لتجنب أي حالات انقطاع.
أستكشاف مشكلات الترقية وإصلاحها
ابدأ دائما باستكشاف أخطاء APIC1 وإصلاحها في حالة توقف الترقية أو فشلها. إذا لم تنته ترقية APIC1 بعد، لا تفعل أي شيء في APIC2 و APIC3. تتم عملية ترقية APIC بشكل إضافي، ومن ثم لن تتم ترقية APIC2 إلا بعد إتمام APIC1 للترقية وإعلام APIC2 بها وما إلى ذلك. إذا، انتهاك هذا قد يضع نظام المجموعة في حالة تعطل مع قاعدة بيانات فاسدة وقد يطلب منك إعادة بناء نظام المجموعة.
السيناريو: معرف APIC 2 أو إصدار أحدث غير محمي عند 75٪
في هذا السيناريو، ترى أن APIC1 تمت ترقيته بنجاح، لكن APIC2 لا يزال عالقا عند 75٪. تحدث هذه المشكلة إذا لم يتم نشر معلومات إصدار ترقية APIC1 إلى APIC2 أو الأحدث. عليك أن تدرك أن svc_ifc_appliance_director
العملية مسؤولة عن مزامنة الإصدار بين APICs.
كيفية أستكشاف الأخطاء وإصلاحها
الخطوة 1: تأكد من أن APIC1 يمكنه إختبار اتصال بقية APICs مع عنوان IP لنقطة نهاية النفق (TEP) الخاصة بها لأن هذا سيحدد ما إذا كنت تحتاج إلى أستكشاف الأخطاء وإصلاحها من المحول الطرفي أو المتابعة من APIC نفسه. إذا تعذر على APIC1 إختبار اتصال APIC2، فقد ترغب في إستدعاء مركز المساعدة التقنية (TAC) لاستكشاف أخطاء المحول وإصلاحها. إذا تعذر على APIC1 إختبار اتصال APIC2، فتابع إلى الخطوة الثانية.
الخطوة 2: بما أن أجهزة APICs يمكنها الاتصال ببعضها البعض، كان ينبغي نسخ معلومات إصدار APIC1 إلى النظير، ولكن لم يقبلها النظير بطريقة ما. يتم تحديد معلومات الإصدار بواسطة الطابع الزمني للإصدار. يمكنك تأكيد الطابع الزمني للإصدار من APIC1 من CLI و APIC2 CLI الذي ينتظر عند 75٪.
في APIC1
apic1# acidiag avread | grep id=1 | cut -d ' ' -f20-21
version=2.0(2f) lm(t):1(2018-07-25T18:01:04.907+11:00)
على APIC2
apic2# acidiag avread | grep id=1 | cut -d ' ' -f20-21
version=2.0(1m) lm(t):1(2018-07-25T18:20:04.907+11:00)
كما ترى، الإصدار الطابع الزمني ل APIC2 (18:20:04) الذي يركض الإصدار 2.0(1m) في هذا المثال هو أعلى من الإصدار الطابع الزمني ل APIC1(18:01:04) الذي يركض الإصدار 2.0(2f). لذلك، تعتقد عملية مثبت APIC2 أن ترقية APIC1 لم تكتمل بعد وتنتظر عند 75٪. ستبدأ ترقية APIC2 عندما يكون الإصدار الطابع الزمني ل APIC1 أعلى الإصدار من الطابع الزمني ل APIC2. ومع ذلك، قد يكون هذا الكثير من الانتظار بناء على فرق الوقت. in order to إستردت النسيج من هذا دولة، أنت يستطيع فتحت حالة TAC أن يحصل مساعدة أن يتحرى ويصحح الإصدار من APIC1.