アップグレード方法の選択
Cisco ISE のこのリリースでは、次のアップグレードプロセスがサポートされています。アップグレードの技術上の専門知識とアップグレードに割くことのできる時間に応じて、以下のアップグレードプロセスから選択できます。
-
バックアップと復元の手順を使用した Cisco ISE のアップグレード(推奨)
-
GUI からの Cisco ISE 展開環境のアップグレード
-
CLI からの Cisco ISE 展開環境のアップグレード
比較要素 |
バックアップと復元(推奨) |
GUI を使用したアップグレード |
CLI を使用したアップグレード |
---|---|---|---|
比較の概要 |
高速だが、より多くの管理作業が必要 |
時間がかかるが、必要な管理作業は少ない |
時間がかかり、必要な管理作業も多い |
難しさ |
困難 |
容易 |
適度 |
最小バージョン |
Cisco ISE 2.2 以降 |
Cisco ISE 2.2 以降 |
Cisco ISE 2.2 以降 |
VM |
十分なキャパシティがある場合は、新しい VM を事前設定して、新しい PAN にそれらの VM をすぐに参加させることができる |
各 PSN は順次アップグレードされ、合計アップグレード時間が直線的に増加する |
各 PSN はアップグレードされるが、同時にアップグレードされるため、合計アップグレード時間が短縮される |
時間 |
PSN は新しいバージョンでイメージ化され、アップグレードされないため、アップグレードのダウンタイムは最小 |
各 PSN は順次アップグレードされ、合計アップグレード時間が直線的に増加する |
各 PSN はアップグレードされるが、同時にアップグレードされるため、合計アップグレード時間が短縮される |
担当者 |
設定と運用のログをやりとりするさまざまな事業部門の複数の関係者が参加 |
手動操作の少ない自動アップグレードプロセス |
Cisco ISE に関する技術的な専門知識 |
ロールバック |
ノードの再イメージ化が必要 |
簡単なロールバックオプション |
簡単なロールバックオプション |
アップグレード方法の詳細な比較を以下に示します。
バックアップと復元方法を使用した Cisco ISE のアップグレード
Cisco ISE ノードの再イメージ化は、初期展開の一部としておよびトラブルシューティング時に実行されますが、新しいバージョンが展開された後、新しい展開にポリシーを復元している間に Cisco ISE ノードを再イメージ化して展開をアップグレードすることもできます。
リソースが制限されていて、新しい展開で並列の ISE ノードをスピンアップできない場合、他のノードがアップグレードされる前に、セカンダリ PAN と MnT がアップグレードされる実稼働展開から削除されます。ノードは新しい展開に移動します。設定と運用のバックアップは、1つの並列展開を作成している各ノード上の以前の展開から復元されます。これにより、手動で操作する必要なく、ポリシーセット、カスタムプロファイル、ネットワーク アクセス デバイス、およびエンドポイントを新しい展開に復元できます。
バックアップと復元プロセスを使用して Cisco ISE をアップグレードする利点は、次のとおりです。
-
以前の ISE 展開から設定と運用ログを復元できます。したがって、データ損失を防ぐことができます。
-
新しい展開で再利用する必要があるノードを手動で選択できます。
-
複数の PSN を同時にアップグレードすることで、アップグレードのダウンタイムを削減できます。
-
メンテナンス時間外にノードをステージングして、実稼働時のアップグレード時間を短縮できます。
必要なリソース:バックアップおよび復元によるアップグレードプロセスでは、リリース前に ISE 展開用に予約できる追加のリソースが必要です。既存のハードウェアを再利用する場合は、オンラインのままのノードに追加の負荷を分散させる必要があります。したがって、展開でノードあたりのユーザー数に対処できるように、展開の開始前に現在の負荷と遅延の制限を評価する必要があります。
必要な人員:アップグレードを実行するには、ネットワーク管理、セキュリティ管理、データセンター、仮想化リソースなど、複数の事業部門の参加が必要です。さらに、ノードを新しい展開に再参加させて、証明書を復元し、アクティブディレクトリに参加させて、ポリシーの動機を待機する必要があります。これにより、複数のリロードが行われ、新規展開のタイムフレームが必要になる場合があります。
ロールバックメカニズム:ノードの再イメージ化により、すべての情報と構成の設定は、以前の展開から消去されます。したがって、バックアップと復元によるアップグレードのロールバックメカニズムは、2 回目のノードの再イメージ化と同じ手順になります。
バックアップと復元によるアップグレードプロセスのベストプラクティスは次のとおりです。-
スタンドアロン環境を作成するか、または RADIUS 要求の仮想 IP アドレスを切り替える専用のロードバランサを用意します。
-
メンテナンス期間の前に余裕を持って展開プロセスを開始し、ユーザーのロードバランサの切り替え先を新しい展開環境に設定できます。
GUI からの Cisco ISE 展開環境のアップグレード
また、カスタマイズ可能なオプションを使用して、GUI からワンクリックで Cisco ISE をアップグレードすることもできます。
アップグレード中、セカンダリ PAN がアップグレードされた展開に自動的に移動して、最初にアップグレードされ、次にプライマリ MnT がアップグレードされます。その結果、これらのアップグレードのいずれかが失敗した場合、ノードを以前のバージョンにロールバックして、以前の ISE 展開に再参加する必要があります。後から PSN が 1 つずつ新しい展開に移動し、アップグレードされます。アップグレードに失敗した場合に、アップグレードの続行、または中止を選択することもできます。これにより、同じ Cisco ISE 展開のデュアルバージョンが作成され、アップグレードを続行する前にトラブルシューティングを行えます。すべての PSN がアップグレードされると、セカンダリ MnT とプライマリ PAN がアップグレードされて、新しい Cisco ISE 展開に参加します。
このアップグレードプロセスに必要な技術知識はわずかであるため、1 人の管理者がアップグレードを開始し、NOC または SOC エンジニアを割り当てて、アップグレードのステータスをモニターしてレポートするか、TAC ケースをオープンします。
GUI から Cisco ISE をアップグレードする利点は次のとおりです。
-
アップグレードが最小限の操作で自動化されます。
-
PSN のアップグレード順序を選択すると、特にデータセンター間で冗長性が得られる場合、可能な限り継続性を確保できます。
-
追加の人員、サードパーティ製のハイパーバイザ、またはネットワーク アクセス デバイスを使用せずに、1 人の管理者だけでアップグレードを実行できます。
失敗した場合の続行:アップグレードに失敗した場合に、アップグレードの続行、または中止を選択することもできます。これにより、同じ Cisco ISE 展開のデュアルバージョンが作成され、アップグレードを続行する前にトラブルシューティングを行えます。シスコのアップグレード準備ツールで非互換性や不良構成が示されますが、[続行(Proceed)] フィールドがオンになっている場合、アップグレード前にデューデリジェンスが機能しないと、追加のエラーが発生する可能性があります。
ロールバックメカニズム:PAN ノードまたは MnT ノードでアップグレードが失敗した場合、ノードは自動的にロールバックされます。ただし、PSN がアップグレードに失敗した場合、ノードは同じ Cisco ISE バージョンに残り、修正できますが、冗長性が低下します。この間、Cisco ISE はまだ動作しているため、再イメージ化しない限りロールバック機能は制限されます。
必要な時間:各 PSN のアップグレードには約 90 ~ 120 分かかります。したがって、PSN の数が多い場合は、それらすべてをアップグレードする時間が必要です。
GUI からのアップグレードのベストプラクティス:PSN の数が多い場合は、PSN をまとめてグループ化し、アップグレードを実行してください。
CLI からの Cisco ISE 展開環境のアップグレード
CLI からの Cisco ISE のアップグレードは複雑なプロセスであり、管理者がアップグレードイメージをローカルノードにダウンロードして、アップグレードを実行し、アップグレードプロセス全体を通じて各ノードを個別にモニターする必要があります。アップグレードのシーケンスは GUI によるアップグレードの場合と基本的に似ていますが、このアプローチではモニターリングと操作に手間がかかります。
CLI からのアップグレードは、必要な作業レベルが高いため、トラブルシューティング目的でのみ使用することをお勧めします。
CLI から Cisco ISE をアップグレードする利点は次のとおりです。
-
CLI では、アップグレードの実行中に管理者に追加のロギングメッセージが示されます。
-
アップグレードされるノードは、より細かな制御のうえで選択して、同時にアップグレードできます。アップグレードされていないノードは、エンドポイントが展開全体で再調整されるため、追加の負荷に対処できます。
-
CLI でのロールバックは、スクリプトで以前の変更を取り消すことができるため、はるかに簡単です。
-
イメージはノード上にローカルに存在するため、PAN と PSN の間のコピーエラー(存在する場合)は排除されます。
CLI を使用して Cisco ISE をアップグレードするには、技術的な専門知識が必要で、時間もかかります。