Cisco ISE アップグレードの概要
このマニュアルでは、Cisco ISE アプライアンスおよび仮想マシンで Cisco Identity Services Engine(ISE)ソフトウェアをリリース 2.4 にアップグレードする方法について説明します。(『 Release Notes For Cisco Identity Services Engine, release 2.4 』の「the NEW in Cisco ISE, release 2.4」のセクションを参照してください。)
 (注) |
Cisco ISE リリース 2.3 以降では、すべての既存のネットワーク アクセス ポリシーとポリシーセットを置き換える、新しい拡張された [ポリシーセット(Policy Sets)] ページが用意されています。以前のリリースからリリース 2.3 以降にアップグレードすると、すべてのネットワーク アクセス ポリシーの設定(認証および認可の条件、ルール、ポリシー、プロファイル、および例外を含む)が Cisco ISE GUI の新しい [ポリシーセット(Policy Sets)] ウィンドウに移行されます。ポリシーモデルの詳細については、『Cisco Identity Services Engine Administrator Guide, Release 2.3』の「New Policy Model」のセクションを参照してください。 |
Cisco ISE 展開環境のアップグレードは複数段階のプロセスであり、このマニュアルで指定されている順序で実行する必要があります。このマニュアルで示されている推定所要時間を使用して、最小限のダウンタイムでのアップグレードを計画してください。展開環境に含まれる複数のポリシーサービスノード(PSN)が 1 つの PSN グループに属している場合、ダウンタイムは発生しません。アップグレード対象の PSN で認証されるエンドポイントが存在する場合、要求はノードグループ内の別の PSN で処理されます。エンドポイントは、認証の成功後に再認証されて、ネットワークアクセス権が付与されます。
(注) |
スタンドアロン展開環境または単一の PSN のみの展開環境の場合は、その PSN がアップグレードされている間、すべての認証にダウンタイムが発生する可能性があります。 |
さまざまなタイプの展開
-
スタンドアロンノード:管理、ポリシーサービスおよびモニタリングのペルソナを担当する単一の Cisco ISE ノード
-
マルチノード展開:複数の ISE ノードによる分散展開。分散展開をアップグレードする手順については、次の参照先で説明しています。
アップグレードパス
シングルステップ アップグレード
次のリリースはすべて、リリース 2.4 に直接アップグレードできます。
-
Cisco ISE、リリース 2.0
-
Cisco ISE、リリース 2.0.1
-
Cisco ISE、リリース 2.1
-
Cisco ISE、リリース 2.2
-
Cisco ISE、リリース 2.3
アップグレードバンドルは Cisco.com からダウンロードすることができます。リリース 2.4 では、次のアップグレードバンドルを使用できます。
ise-upgradebundle-2.x-to-2.4.0.xxx.SPA.x86_64.tar.gz:リリース 2.0、2.0.1、2.1、2.2 または 2.3 から 2.4 にアップグレードするには、このバンドルを使用します
2 段階のアップグレード
Cisco ISE リリース 2.0 より前のバージョンを現在使用している場合は、はじめに上記のリリースのいずれかにアップグレードしてから、リリース 2.4 にアップグレードする必要があります。
仮想マシンでサポートされるオペレーティングシステム
Cisco ISE リリース 2.4 は、Red Hat Enterprise Linux(RHEL)7.0 および 7.3 をサポートしています。
VMware 仮想マシンの Cisco ISE ノードをアップグレードする場合は、アップグレードの完了後に、Red Hat Enterprise Linux(RHEL)のサポートされるバージョンにゲスト オペレーティング システムを変更します。これを行うには、VM の電源をオフにし、サポートされる RHEL バージョンにゲスト オペレーティング システムを変更し、変更後に VM の電源をオンにする必要があります。
一般に、Cisco ISE のアップグレードに RHEL(Red Hat Enterprise Linux)OS(Red Hat の後継バージョン)のアップグレードが含まれている場合は、ISE インスタンスあたりのアップグレード所要時間が長くなります。さらに、ISE の Oracle データベースバージョンに変更がある場合は、OS のアップグレード時に新しい Oracle パッケージがインストールされます。このためアップグレードに時間がかかる場合があります。アップグレードの時間を最小限にするには、ISE のアップグレード中に基盤となる OS がアップグレードされるかどうかを確認する必要があります。
次の表に、Cisco ISE のアップグレード時に OS のアップグレードが発生するかどうかを示します。表中の○は、ISE のアップグレード中に基盤となる OS のアップグレードが発生することを、-は ISE のアップグレード中に OS のアップグレードが発生しないことを示します。ISE アップグレードに OS アップグレードが伴うかどうかは、 シスコの ISE ソフトウェア ダウンロード センターのアップグレードバンドルのサイズから簡単にわかります。
|
アップグレード元 |
ISE 1.3 へのアップグレード |
ISE 1.4 へのアップグレード |
ISE 2.0 へのアップグレード |
ISE 2.0.1 へのアップグレード |
ISE 2.1 へのアップグレード |
ISE 2.2 へのアップグレード |
ISE 2.3 へのアップグレード |
ISE 2.4 へのアップグレード |
リリース 2.6 へのアップグレード |
ISE 2.7 へのアップグレード |
|---|---|---|---|---|---|---|---|---|---|---|
|
ISE 1.3 |
- |
× |
× |
○ |
○ |
- |
- |
- |
- |
- |
|
ISE 1.4 |
- |
- |
× |
○ |
○ |
○ |
○ |
- |
- |
- |
|
ISE 2.0 |
- |
- |
- |
- |
○ |
○ |
○ |
○ |
○ |
○ |
|
ISE 2.0.1 |
- |
- |
- |
- |
○ |
○ |
○ |
○ |
○ |
○ |
|
ISE 2.0 |
- |
- |
- |
- |
- |
× |
○ |
○ |
○ |
○ |
|
ISE 2.1 |
- |
- |
- |
- |
- |
- |
- |
○ |
○ |
○ |
|
ISE 2.2 |
- |
- |
- |
- |
- |
- |
- |
○ |
○ |
○ |
|
ISE 2.3 |
- |
- |
- |
- |
- |
- |
- |
○ |
○ |
○ |
|
ISE 2.4 |
- |
- |
- |
- |
- |
- |
- |
○ |
○ |
○ |
ライセンスの変更
デバイス管理ライセンス
Cisco ISE 2.3 以前のバージョンでは、展開でのデバイス管理ノードの数にかかわらず、展開ごとにデバイス管理永久ライセンスが必要です。Cisco ISE 2.4 以降、デバイス管理ライセンスの数は、展開環境のデバイス管理ノード(デバイス管理サービス用に設定された PSN)の数と同じである必要があります。
現在、デバイス管理ライセンスを使用していてリリース 2.4 以降へのアップグレードを計画している場合、TACACS+ 機能はリリース 2.4 以降で 50 デバイス管理ノードに対しサポートされます。
新しい PID から生成された PAK をインストールすると、PAK ファイルで利用可能な数量に応じてデバイス管理ライセンス数が表示されます。必要なデバイス管理ノード数に基づいて、展開に複数のデバイス管理ライセンスを追加できます。Evaluation ライセンスでは、1 つのデバイス管理ノードをサポートします。
VM ノードのライセンス
Cisco ISE は、仮想アプライアンスとしても販売されています。リリース 2.4 以降では、展開に VM ノードの適切な VM ライセンスをインストールすることをお勧めします。VM ノードの数と CPU やメモリなどの各 VM ノードのリソースに基づいて、VM ライセンスをインストールする必要があります。そうでない場合、リリース 2.4 以降で VM ライセンスキーを調達してインストールする警告と通知が表示されますが、サービスは中断されません。
VM ライセンスは、小、中、大の 3 つのカテゴリで提供されます。たとえば、8 コアと 64 GB RAM を搭載した 3595 相当の VM ノードを使用している場合に、その VM で同じ機能をレプリケートするには、中カテゴリの VM ライセンスが必要になります。展開の要件に応じて、VM とそのリソースの数に基づいて、複数の VM ライセンスをインストールする必要があります。
VM ライセンスは、インフラストラクチャ ライセンスなので、展開で使用可能なエンドポイント ライセンスに関係なく VM ライセンスをインストールできます。展開に Evaluation、Base、Plus、Apex ライセンスのどれもインストールされていない場合でも、VM ライセンスをインストールできます。ただし、Base、Plus、または Apex ライセンスによって有効になる機能を使用するには、適切なライセンスをインストールする必要があります。
リリース 2.4 以降のインストールまたはアップグレードの後、展開済みの VM ノードの数とインストール済みの VM ライセンスの数の間に不一致がある場合、アラームが 14 日ごとに [アラーム(Alarms)] ダッシュレットに表示されます。アラームは、VM ノードのリソースに変化がある場合や、VM ノードが登録または登録解除されるたびにも表示されます。
VM ライセンスは永続ライセンスです。VM ライセンスの変更は、Cisco ISE GUI にログインするたびに表示され、通知ダイアログボックスで [このメッセージを再度表示しない(Do not show this message again)] チェックボックスをオンにすると表示されなくなります。
以前に ISE VM ライセンスのいずれも購入していない場合は、『ISE Ordering Guide』を参照して購入する適切な VM ライセンスを選択します。製品認証キー(PAK)が関連付けられていない ISE VM ライセンスを購入済みの場合、licensing@cisco.com で ISE VM 購入を反映する販売注文番号を使用して VM PAK を要求することができます。この要求は、過去に購入した ISE VM ごとに 1 つの中規模 VM ライセンスキーを提供するように処理されます。
次の表は、VM 最小リソースをカテゴリ別に示しています。
|
VM カテゴリ |
ハードウェアアプライアンス: |
RAM の範囲 |
CPU の数 |
|---|---|---|---|
|
小 |
SNS-3515 |
16 GB |
12 個の CPU |
|
中 |
SNS-3595 SNS-3655 |
64 GB |
16 個の CPU |
|
大 |
SNS-3695 |
256 GB |
16 個の CPU |
ライセンスの詳細については、『Cisco Identity Services Engine Administrator Guide』の「Cisco ISE Licenses」の章を参照してください。
フィードバック