Neue Split-Upgrades auf der Cisco ISE

Aktualisiert:29. August 2023
Dokument-ID:220857

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Artikel wird die in 3.2 P3 eingeführte verbesserte Split-Upgrade-Funktion im Vergleich zur herkömmlichen Split-Upgrade-Methode beschrieben.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • Grundkenntnisse der Cisco Identity Service Engine

    Verwendete Komponenten

    Dieses Dokument ist nicht auf bestimmte Software- und Hardware-Versionen beschränkt.

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen

    Methoden zur Aktualisierung der Benutzeroberfläche

    • Aufteilen
      • Schrittweiser sequenzieller Prozess zum Upgrade Ihrer Bereitstellung, solange die Services verfügbar sind.

    Old split upgradeAltes Split-Upgrade

    • Full-Commit
      • Zweistufiger Prozess zur parallelen Aktualisierung aller Knoten bei einem Serviceausfall.
      • Nimmt weniger Zeit in Anspruch als ein geteiltes Upgrade.

    Full upgradeVollständiges Upgrade

    • Neuer Split
      • Batch-Upgrade
      • Höhere Stabilität und weniger Ausfallzeiten
      • Geringerer Zeitaufwand als beim alten Split-Upgrade.
      • Vorprüfungen.
      • Kein URT.

    New split upgradeNeues Split-Upgrade

    Aktualisierungspfad

    • 2.6, 2.7, 3.0 > AUFTEILEN/VOLLSTÄNDIG > 3.1
    • 2,7, 3.0, 3.1 > AUFTEILEN/VOLLSTÄNDIG > 3.2
    • 3.0, 3.1, 3.2 > AUFTEILEN/VOLLSTÄNDIG > 3.3
      • Ab Version 3.2 P3 ersetzte das neue Split-Upgrade das alte Split-Upgrade, wobei nur zwei Optionen übrig blieben: Vollständiges Upgrade und Neue Split-Aktualisierung.

    Neues und altes Split-Upgrade

    Alter Split-Upgrade-Prozess

    joncasil_0-1692908130909Alte geteilte Upgrade-Schritte

    1. SPAN: Registrierung aufheben, Upgrade der Konfigurationsdaten durchführen, auf PAN heraufstufen.

    2. pMnT: Registrierung aufheben, Registrierung bei neuer Bereitstellung, Herunterladen und Importieren von Betriebsdaten-Upgrades

    3. PSN1: Registrierung aufheben, neue Bereitstellung registrieren, Daten herunterladen und importieren.

    4. PSN2: Registrierung aufheben, bei neuer Bereitstellung registrieren, Daten herunterladen und importieren.

    5. sMnT: Registrierung aufheben, sich bei neuer Bereitstellung registrieren, Betriebsdaten-Upgrade herunterladen und importieren.

    6. PPAN: Registrieren, Herunterladen und Importieren von Daten, Heraufstufen von SPAN, um dieselbe Bereitstellung wie vor dem Upgrade zu ermöglichen.

    joncasil_1-1693329658995Alte Aufteilung im Vergleich zur neuen Aufteilung

    Neue Split-Aktualisierung - Assistent

    joncasil_2-1692908558719Schritt 1

    joncasil_3-1692908577273Schritt 2: Checkliste

    joncasil_4-1692908609320Schritt 3: Knoten auswählen

    joncasil_5-1692908643516Schritt 4: Upgrade vorbereiten

    joncasil_6-1692908929538Schritt 5: Upgrade-Staging

    joncasil_7-1692908960216Schritt 6: Knoten aktualisieren

    joncasil_8-1692908973592Übersichtsseite

    note-icon

    Hinweis: Dieselben Schritte werden pro Iteration wiederholt.

    Detaillierte Schritte

    SCHRITT 3 Knoten für Iterationen auswählen

    Für dieselbe Bereitstellung können verschiedene Iterationen ausgewählt werden.

    joncasil_1-1692910405947Iterationsoptionen

    Bei 2 Iterationen beginnt Schritt 3 mit der Auswahl der Knoten.

    joncasil_5-1692911080638Knotenauswahl Iteration1

    SCHRITT 4: Upgrade vorbereiten

    joncasil_6-1692911388355Knotenauswahl

    Vorherjoncasil_7-1692911526921Prechecks

    • Repository-Validierung Prüft, ob das Repository für alle Knoten konfiguriert ist
    • Paketdownload Hilfe zum Download.
    • Speicherüberprüfung Überprüft, ob auf dem PAN-Knoten 25 % und auf anderen Knoten 1 GB Speicherplatz verfügbar ist.
    • Download des Patch-Pakets Hilft, das Patch-Paket für die ausgewählten Knoten herunterzuladen.
    • PAN-Failover-Validierungsprüfung Überprüfen Sie, ob PAN-Hochverfügbarkeit aktiviert ist. Wir werden darüber informiert, dass PAN-Failover deaktiviert wird, wenn sie aktiviert ist.
    • Geplante Sicherung Überprüfen Sie, ob die geplante Sicherung aktiviert ist. - nicht obligatorisch.
    • Config Backup Check Überprüft, ob die Konfigurationssicherung kürzlich durchgeführt wurde. Der Aktualisierungsvorgang wird erst nach Abschluss der Sicherung ausgeführt.
    • Konfigurationsdaten-Upgrade Führt das Konfigurationsdaten-Upgrade auf dem Klon der Konfigurationsdatenbank aus und erstellt das Upgrade-Daten-Dump. Diese Prüfung beginnt nach dem Herunterladen des Pakets.
    • Dienste- oder Prozessfehler Gibt den Status des Dienstes oder der Anwendung an (unabhängig davon, ob dieser ausgeführt wird oder nicht).
    • Prüfung der Plattformunterstützung Prüft die unterstützten Plattformen in der Bereitstellung. Es überprüft, ob das System über mindestens 12 Core-CPUs, eine Festplatte mit 300 GB und 16 GB Speicher verfügt. Außerdem wird überprüft, ob die ESXi-Version 6.5 oder höher ist.
    • Bereitstellungsvalidierung Überprüft den Status des Bereitstellungsknotens (unabhängig davon, ob er synchronisiert ist oder gerade ausgeführt wird)
    • DNS-Auflösbarkeitsprüfungen für die Vor- und Rückwärtssuche von Hostname und IP-Adresse.
    • Zertifikatvalidierung des vertrauenswürdigen Speichers Überprüft, ob das Zertifikat des vertrauenswürdigen Speichers gültig ist oder abgelaufen ist.
    • Systemzertifikatüberprüfung Überprüft die Systemzertifikatüberprüfung für jeden Knoten.
    • Prüfung des Festplattenspeichers Überprüft, ob auf der Festplatte genügend freier Speicherplatz vorhanden ist, um den Upgrade-Prozess fortzusetzen.
    • NTP-Validierung Überprüft das im System konfigurierte NTP und ob die Zeitquelle vom NTP-Server stammt.
    • Durchschnittliche Prüfung laden Prüft die Systemauslastung in einem bestimmten Intervall. Die Frequenz kann 1,5 oder 15 Minuten betragen.
    note-icon

    Hinweis: Nicht alle Vorabprüfungen sind auf alle Knoten anwendbar, einige werden nur im PAN ausgeführt.

    • Alle Knoten
      • Repository-Validierung
      • Paketdownload
      • Speicherprüfung
      • Download des Patch-Pakets
      • Service- oder Prozessfehler
      • Prüfung der Plattformunterstützung
      • DNS-Auflösbarkeit
      • Prüfung des Festplattenspeichers
      • NTP-Validierung
      • Durchschnittsprüfung laden.
    • Nur bei PAN
      • PAN-Failover-Validierungsprüfung
      • Geplante Backup-Prüfung
      • Überprüfung der Konfigurationssicherung
      • Konfigurationsdaten-Upgrade
      • Bereitstellungsvalidierung
      • Zertifikatsvalidierung für Vertrauensspeicher
      • Überprüfung des Systemzertifikats

    Der Status aller Vorabprüfungen kann wie folgt lauten:

    • Erfolg
    • Warnung
    • Fehler

    Sobald sie behoben sind, können die Vorabprüfungen mit Warnungen und Fehlern neu bewertet werden.

    joncasil_0-1692913633819Status "Vorlesen"

    note-icon

    Hinweis: ISE-Services werden weiterhin ausgeführt, solange Vorabprüfungen durchgeführt werden. Der Bericht ist 12 Stunden lang gültig und kann während dieser Zeit aktualisiert werden.

    note-icon

    Hinweis: Paketdownload, Paketdownload, Plattformüberprüfung, Konfigurationsdaten-Upgrade und Überprüfung des Festplattenspeichers sind 12 Stunden lang gültig. Andere Vorabprüfungen laufen nach 3 Stunden ab und können mithilfe der Schaltfläche zum Aktualisieren der Überprüfung oder der Schaltfläche zum Aktualisieren erneut validiert werden.

    SCHRITT 5: Staging

    Sobald alle Vorprüfungen im nächsten Schritt, dem Staging, erfolgreich durchgeführt wurden, kopiert der PAN den zuvor vorbereiteten Konfigurationsdatenbankdump in der Iteration in die übrigen Knoten.

    Iterjoncasil_1-1692914094145Staging

    note-icon

    Hinweis: Wenn Sie mit dem Upgrade des Staging (durch Klicken auf "Staging starten") fortfahren, werden die ISE-Services nicht ausgesetzt. Precheck setzt die Ausführung im Hintergrund fort, auch wenn die ISE-Benutzeroberfläche geschlossen ist.

    SCHRITT 6: Upgrade

    • Alle Knoten in der Iteration werden parallel aktualisiert, wodurch Dienste unterbrochen werden.
    • Jeder Knoten verfügt über einen eigenen Fortschrittsbalken und einen weiteren für den Gesamtfortschritt der Iteration.
    • Der Aktualisierungsfortschritt wird über PPAN überwacht.

    joncasil_3-1692914377225Upgrade

    Iteration 2

    • Es gelten die gleichen Vorprüfungen.
    • Während des Stagings wird das Konfigurationsdatenbank-Dump (nicht das Upgrade-Paket) aus dem "neuen" PPAN in Version 3.3 von Iteration 1 kopiert.

    joncasil_4-1692914765745Iteration 2, Staging

    • Knoten werden aufgerüstet und der Status wird über neues PPAN überwacht (3.3)

    joncasil_0-1693329135755Iteration 2, Upgrade

    Fehlerbehebung

    Vorprüfungen fehlgeschlagen

    Weitere Informationen finden Sie in den Dateien ADE.log und ise-psc.log.

    show logging system ade/ADE.log
    show logging application ise-psc.log

    Prüfung von Konfigurationsdaten-Upgrades

    Weitere Informationen finden Sie unter ADE.log, configdb-upgrade-[timestamp].log und dbupgrade-data-global-[timestamp].log auf dem sekundären Admin-Knoten.

    show logging system ade/ADE.log
    show logging application configdb-upgrade-[timestamp].log
    show logging application dbupgrade-data-global-[timestamp].log
    note-icon

    Hinweis: Wenn Sie das Support-Paket erfassen, stellen Sie sicher, dass Sie die vollständige Überprüfung der Konfigurationsdatenbank aktivieren, um die Protokolle configdb-upgrade aufzunehmen.

    Upgrade-Probleme, Protokollerfassung

    Upgrade in einem der Knoten fehlgeschlagen und kann nicht mit dem Rest der Bereitstellung fortgesetzt werden.

    Siehe:

    • ADE.log
    • ise-psc.log
    show logging system ade/ADE.log
    show logging application ise-psc.log

    Zusätzliche Protokolle:

    • monit.log

    Upgrade-Probleme, beheben

    joncasil_0-1693332346491Fehlerbehebung

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    29-Aug-2023
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Jonathan Casillas
      Security Technical Leader

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren