Cisco ISEでの新しい分割アップグレードについて

概要

この記事では、従来のスプリットアップグレード方式と比較して、3.2 P3で導入された拡張スプリットアップグレード機能について説明します。

前提条件

要件

次の項目に関する知識があることが推奨されます。

• Cisco Identity Service Engine(ISE)の基礎知識

使用するコンポーネント

このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

背景説明

GUIアップグレード方式

• 分割
  • サービスが利用可能な状態で導入をアップグレードするための段階的な複数のプロセス。

古い分割アップグレード

• Full
  • サービスの停止と並行してすべてのノードをアップグレードする2ステップのプロセス。
  • スプリットアップグレードよりも時間がかからない。

フルアップグレード

• 新しい分割
  • 一括アップグレード
  • 安定性の向上とダウンタイムの短縮
  • 古いスプリットアップグレードよりも短い時間。
  • 事前チェック
  • URTはありません。

新しい分割アップグレード

アップグレードパス

• 2.6、2.7、3.0 >分割/完全> 3.1
• 2、7、3.0、3.1 >分割/完全> 3.2
• 3.0、3.1、3.2 >分割/完全> 3.3
  • 3.2 P3を開始すると、古いスプリットアップグレードが新しいスプリットアップグレードに置き換えられ、2つのオプション（フルアップグレードと新しいスプリット）のみが残されました。

新規と古い分割アップグレード

古い分割アップグレードプロセス

古い分割アップグレード手順

1. SPAN:登録の解除、設定データのアップグレード、PANへの昇格。

2. pMnT:登録解除、新規導入の登録、運用データアップグレードのダウンロードとインポート。

3. PSN1:登録を解除し、新しい展開に登録し、データをダウンロードしてインポートします。

4. PSN2:登録を解除し、新しい展開に登録し、データをダウンロードしてインポートします。

5. sMnT:登録解除、新規導入の登録、運用データアップグレードのダウンロードとインポート。

6. PPAN：データの登録、ダウンロード、およびインポートを行い、アップグレード前と同じ導入ができるようにSPANをプロモートします。

古い分割と新しい分割

新しい分割アップグレード – ウィザード

手順1

ステップ 2Checklist

ステップ 3ノードの選択

ステップ 4アップグレードの準備

ステップ 5ステージングのアップグレード

ステップ 6ノードのアップグレード

概要ページ

手順の詳細

ステップ3反復するノードの選択

同じ展開に対して異なるイテレーションを選択できます。

反復オプション

2回の反復の場合、ステップ3はノードの選択を開始します。

Iteration1ノードの選択

ステップ 4。アップグレードの準備

ノードの選択

導入前事前チェック

• リポジトリの検証すべてのノードにリポジトリが構成されているかどうかを確認します。
• バンドルダウンロードダウンロードに役立ちます。
• メモリチェック:PANノードで25 %のメモリ領域が使用可能かどうか、および他のノードで1 GBのメモリ領域が使用可能かどうかをチェックします。
• パッチバンドルのダウンロード：選択したノードのパッチバンドルをダウンロードします。
• PANフェールオーバー検証チェック:PANハイアベイラビリティが有効になっているかどうかを確認します。PANフェールオーバーが有効になると、フェールオーバーが無効になることを通知されます。
• スケジュールバックアップチェック：スケジュールされたバックアップが有効になっているかどうかを確認します。 – 必須ではありません。
• Config Backup Check：設定のバックアップが最近行われたかどうかを確認します。アップグレードプロセスは、バックアップの完了後にのみ実行されます。
• 構成データアップグレード：構成データベースのクローンで構成データアップグレードを実行し、アップグレードデータダンプを作成します。このチェックは、バンドルのダウンロード後に開始されます。
• Services or Process Failures：サービスまたはアプリケーションの状態（実行中か、障害状態か）を示します。
• プラットフォームサポートの確認：導入環境内のサポートされているプラットフォームを確認します。システムに最低12個のコアCPU、300 GBのハードディスク、および16 GBのメモリがあるかどうかを確認します。また、ESXiのバージョンが6.5以降であるかどうかも確認します。
• 展開の検証展開ノードの状態を確認します（ノードが同期しているか、進行中か）
• DNS Resolvability：ホスト名とIPアドレスの正引きおよび逆引きをチェックします。
• 信頼ストア証明書の検証：信頼ストア証明書が有効であるか、有効期限が切れているかどうかを確認します。
• システム証明書検証：各ノードのシステム証明書の検証を確認します。
• ディスク領域チェック：ハードディスクにアップグレードプロセスを続行するための十分な空き領域があるかどうかを確認します。
• NTPの検証：システムに設定されているNTPがあるかどうか、およびNTPサーバから時刻源が取得されているかどうかを確認します。
• ロード平均チェック：特定のインターバルのシステム負荷をチェックします。頻度は1、5、または15分です。

• すべてのノード
  • リポジトリの検証
  • バンドルダウンロード
  • メモリチェック
  • パッチバンドルダウンロード
  • サービスまたはプロセスの障害
  • プラットフォームのサポート確認
  • DNS解決可能性
  • ディスク領域の確認
  • NTPの検証
  • ロード平均チェック。
• PANのみ
  • PANフェールオーバー検証チェック
  • スケジュールされたバックアップチェック
  • 設定のバックアップチェック
  • 構成データのアップグレード
  • 導入の検証
  • 信頼ストア証明書の検証
  • システム証明書の検証

すべてのプレチェックのステータスは次のとおりです。

• 成功
• warning
• 失敗

修正すると、警告と失敗のプレチェックを再評価できます。

ステータスの事前確認

ステップ 5。ステージング

すべてのプレチェックが次のステップであるステージングに成功すると、PANは前のステップで準備した設定データベースダンプをイテレーション内の残りのノードにコピーします。

イーターステージング

ステップ 6：アップグレード

• イテレーション内のすべてのノードは並行してアップグレードされるため、サービスは中断されます。
• 各ノードには独自のプログレスバーがあり、イテレーションの全体的な進行状況を示す別のバーがあります。
• アップグレードの進行状況は、PPANを介して監視されます。

アップグレード

イテレーション2

• 同じ事前確認が適用されます。
• ステージング中に、設定データベースのダンプ（アップグレードバンドルではない）は、3.3の「新しい」PPANからイテレーション1からコピーされます。

イテレーション2、ステージング

• ノードがアップグレードされ、新しいPPAN(3.3)によってステータスが監視される

イテレーション2、アップグレード

（「トラブルシューティング」）

事前確認に失敗しました

ADE.logファイルとise-psc.logファイルを参照してください。

show logging system ade/ADE.log
show logging application ise-psc.log

設定データのアップグレードチェック

セカンダリ管理ノードのADE.log、configdb-upgrade-[timestamp].log、およびdbupgrade-data-global-[timestamp].logを参照してください。

show logging system ade/ADE.log
show logging application configdb-upgrade-[timestamp].log
show logging application dbupgrade-data-global-[timestamp].log

アップグレードの問題、ログ収集

いずれかのノードでアップグレードが失敗し、残りの展開を続行できません。

次を参照してください。

• ADE.log
• ise-psc.log

show logging system ade/ADE.log
show logging application ise-psc.log

追加のログ：

• モニタ.log

アップグレードの問題を修正する

トラブルシューティングアクション

関連情報