アップグレード中の時間を最小限に抑えて効率を最大化するためのガイドライン
次のガイドラインに従うと、アップグレードプロセス中に発生する可能性のある現在の展開の問題に対処できます。これにより、全体的なアップグレードのダウンタイムが削減され、効率性が向上します。
-
アップグレードの開始前に、既存のバージョンで最新のパッチにアップグレードします。
-
実稼働ネットワークのアップグレード前に、ステージング環境でアップグレードをテストし、アップグレードの問題を特定して修正することをお勧めします。
-
データを交換するには、Cisco ISE 展開内のすべてのノードが同じパッチレベルにあることが必要です。
(注)
展開内のすべてのノードが同じ Cisco ISE バージョンおよびパッチバージョンにない場合、「 Upgrade cannot begin 」という警告メッセージが表示されます。このメッセージは、アップグレードがブロック状態にあることを示しています。アップグレードプロセスを開始する前に、展開のすべてのノードのバージョン(該当する場合はパッチバージョンを含む)が同じであることを確認します。
-
展開内の PSN の数と人員の可用性に基づいて、アップグレードする必要がある Cisco ISE の最終バージョンをインストールし、最新のパッチを適用して、対応可能な状態に保つことができます。
-
MnT ログを保持する場合は、MnT ノードに対して前述のタスクを実行し、MnT ノードとして新しい展開に参加します。ただし、操作ログを保持する必要がない場合は、MnT ノードを再イメージ化してこの手順をスキップできます。
-
実稼働環境に影響のないマルチノード展開がある場合、Cisco ISE のインストールを並行して実行できます。ISE サーバーを並列にインストールすると、特に以前のリリースのバックアップと復元を使用している場合、時間が節約されます。
-
新しい展開に PSN を追加して、PAN からの登録プロセス中に既存のポリシーをダウンロードすることができます。ISE の遅延と帯域幅の計算ツールを使用して、Cisco ISE の展開における遅延と帯域幅の要件を理解します。
-
古いログをアーカイブし、それらを新しい展開に転送しないことをお勧めします。これは、後で MnT ロールを変更する場合に、MnT で復元された操作ログが異なるノードに同期されないためです。
-
完全な分散型展開を使用する 2 つのデータセンター(DC)がある場合は、バックアップ DC をアップグレードし、プライマリ DC をアップグレードする前に使用例をテストします。
-
-
アップグレード前にローカルリポジトリでアップグレードソフトウェアをダウンロードおよび保存し、プロセスを高速化します。
-
アップグレードプロセスの開始前にアップグレード準備ツール(URT)を使用し、設定データのアップグレードの問題を検出して修正します。ほとんどのアップグレードの障害は、設定データのアップグレードの問題が原因で発生します。URT は、可能な場合は、必ずアップグレード前にデータを検証し、問題を特定、報告、または修正します。URT は、セカンダリポリシー管理ノードまたはスタンドアロンノードで実行できる個別のダウンロード可能なバンドルとして利用できます。このツールを実行するのにダウンタイムは発生しません。次のビデオでは、URT の使用方法について説明します。https://www.cisco.com/c/en/us/td/docs/security/ise/videos/urt/v1-0/cisco-urt.html
警告
プライマリポリシー管理ノードでは URT を実行しないでください。URT ツールは、MnT 運用データのアップグレードのシミュレーションは行いません。
-
GUI を使用して Cisco ISE をアップグレードする場合、ノードあたりのプロセスのタイムアウトは 4 時間です。アップグレード所要時間が 4 時間を超えると、アップグレードは失敗します。アップグレード準備ツール(URT)のアップグレードに 4 時間以上かかる場合は、このプロセスに CLI を使用することをお勧めします。
-
設定を変更する前に、ロードバランサのバックアップを作成します。アップグレードウィンドウ中にロードバランサから PSN を削除し、アップグレード後に再び追加できます。
-
自動 PAN フェールオーバーを無効にして(設定されている場合)、アップグレード中に PAN 間のハートビートを無効にします。
-
既存のポリシーとルールを確認し、古くて、冗長な、更新されていないポリシーおよびルールを削除します。
-
不要なモニターリングログとエンドポイントデータを削除します。
-
設定と動作のログのバックアップを作成し、ネットワークに接続されていない一時的なサーバーで復元することができます。アップグレードウィンドウ中はリモートロギングターゲットを使用できます。
アップグレード後に次のオプションを使用して、MnT ノードに送信されるログの量を削減し、パフォーマンスを向上させることができます。
-
MnT コレクションフィルタ([管理(Administration)] > [システム(System)] > [ロギング(Logging)] > [コレクションフィルタ(Collection Filters)])を使用して、着信ログをフィルタリングし、AAA ログでエントリが重複しないようにします。
-
リモートロギングターゲット([管理(Administration)] > [システム(System)] > [ロギング(Logging)] > [リモートロギングターゲット(Remote Logging Target)])を作成し、個々のロギングカテゴリを特定のロギングターゲット([システム(System)] > [ロギング(Logging)] > [ロギングカテゴリ(Logging categories)])にルーティングできます。
-
[管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロトコル(Protocols)] > [RADIUS] ウィンドウで [繰り返し発生する更新を無視(Ignore Repeated Updates)] オプションを有効にして、繰り返し発生するアカウンティングの更新を回避します。
-
-
アップグレードの最新のアップグレードバンドルをダウンロードして使用します。バグ検索ツールで次のクエリを使用して、アップグレードを探し、オープンで修正済みの関連不具合をアップグレードします。http://cs.co/ise-upgrade-bugsearch
-
ユーザー数を減らした新しい展開ですべての使用例をテストし、サービスの継続性を確保します。