Atualizar o ISE com o método de atualização completo

Opções de download

  • PDF     (1.6 MB)
    Ver no Adobe Reader em vários dispositivos
Atualizado:27 de janeiro de 2024
ID do documento:217509

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve como atualizar uma implantação do ISE existente da versão 2.7 para a 3.1 usando o método de atualização completa. 

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos: 

    • Identity services engine (ISE) 
    • Compreensão da terminologia usada para descrever diferentes tipos de implantações do ISE 

      

    Componentes Utilizados 

    As informações neste documento são baseadas nestas versões de software e hardware: 

    • ISE, versão 2.7, patch 4
    • ISE, versão 3.1

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Observação: o procedimento é semelhante ou idêntico a outras versões do ISE. Essas etapas podem ser usadas no 2.6 para atualizar para o 3.1 e as versões do software ISE, a menos que declarado de outra forma.

    Informações de Apoio

    Também inclui como usar o recurso Verificações de integridade para detectar e corrigir qualquer possível problema de implantação. O método legado de atualização agora é chamado de atualização dividida e está disponível como uma opção alternativa se o método de atualização completa não for preferido.

    Caminhos suportados

    A atualização completa para o ISE 3.1 é suportada a partir de

    • ISE 2.6 patch 10 e posterior
    • ISE 2.7 patch 4 e posterior
    • ISE 3.0 patch 3 e posterior

    O upgrade dividido para o ISE 3.1 é suportado a partir do ISE 2.6 e versões posteriores, com ou sem qualquer patch.

    Comparação da atualização completa com o método de atualização dividido

    Sequência de Atualização de Nó com Método de Atualização Dividida em uma Implantação Distribuída

    Requer um mínimo de 5 etapas para uma implantação totalmente distribuída para atualizar para a versão mais recente.

    Sequenciamento de Nós no Método de Atualização Dividida

    Considerando aproximadamente 240 minutos para cada etapa, o processo de atualização total aqui levaria 240*5 minutos = 20 horas.

    Sequência de Atualização de Nó com Método de Atualização Completa em uma Implantação Distribuída

    Requer apenas 2 etapas para uma implantação totalmente distribuída para atualizar para a versão mais recente.

    Sequenciamento de Nós em Método de Atualização Completa

    Novamente, considerando aproximadamente 240 minutos para cada etapa, o processo total de atualização agora é reduzido para 240*2 minutos = 8 horas.

    Vantagens da atualização completa em relação ao método de atualização dividido

    • O método de atualização completa consome menos tempo para a atividade geral porque os nós são atualizados em paralelo, enquanto o método de atualização dividida precisa ser bem planejado com uma duração maior da janela de manutenção.
    • O método de atualização completa é simples em termos de sequência de atualização, pois há apenas 2 etapas. O método Split Upgrade requer que os nós sejam sequenciados adequadamente antes de iniciar o processo de atualização.
    • O método de atualização completa mantém as funções e personas como eram antes da atualização. O método Split Upgrade alterna as funções de administrador principal e secundário na versão atualizada.
    • Os pontos de falhas foram reduzidos no método de atualização completa, eliminando a dependência de API com alterações relacionadas à implantação durante o processo de atualização.
    • O método de atualização completa permite rastrear o status da atualização do nó de administração secundário quando o nó de administração primário é desativado para uma atualização. Isso não é possível no método Split Upgrade.
    • A pós-atualização da instalação do patch é automatizada e é fornecida como uma opção no método de atualização completa.

    Cuidado: a atualização completa requer um tempo de inatividade completo, pois todas as PSNs são desativadas para atualização ao mesmo tempo. Certifique-se de que a atividade seja planejada durante uma janela de manutenção programada.

    Fluxo de atualização completo

    Este documento demonstra o fluxo de atualização de uma implantação de 4 nós. O processo geral permanece o mesmo para implantações de dois nós ou outras implantações de vários nós.

    Exemplo de uma implantação

    Atualizar interface do usuário

    Navegue para Administração > Sistema > Atualização para iniciar a atividade como mostrado na imagem.

    Selecionando a Opção de Atualização Completa

    Observação: somente o método de Split Upgrade é suportado no ISE 2.6 patch 9 e abaixo, ISE 2.7 patch 3 e abaixo e ISE 3.0 patch 2 e abaixo. Por padrão, a janela Dividir atualização é aberta para essas versões. O processo de atualização dividido pode ser consultado aqui. Selecione o botão de opção Full Upgrade e clique em Start Upgrade.

    Página de Boas-vindas

    Página de Boas-Vindas da Atualização Completa

    No assistente da página de boas-vindas, clique em Avançar para continuar.

    Lista de verificação

    Revise a lista de verificação e certifique-se de concluir as tarefas antes de continuar.

    Lista de verificação para atualização

    Marque a caixa de seleção que informa Eu revisei a lista de verificação e clique em Avançar.

    Preparação para o Upgrade

    Uma pré-verificação é executada na implantação completa antes da atualização e os resultados são exibidos nesta página. Além das verificações, nesta etapa o pacote de atualização é baixado em todos os nós, a atualização de dados off-line (ODU) é executada no nó administrativo secundário (isso é análogo à simulação da ferramenta de preparação para atualização (URT) do método de atualização dividida) e, finalmente, também exibe a estimativa de tempo para a atividade.

    O download do pacote de atualização deve ser feito na página Download de software da Cisco.

    O pacote de atualização em Cisco.com

    Para executar a verificação de pré-atualização, selecione o nome do Repositório no qual o pacote de atualização está colocado. Selecione o nome do arquivo do pacote de atualização na caixa suspensa Pacote.

    Observação: o método de atualização completa também introduz a instalação automática de patch após a atualização. O arquivo de patch deve ser colocado no mesmo repositório, juntamente com o pacote de atualização, e o nome do arquivo de patch pode ser selecionado no menu suspenso se a instalação automática de patch for desejada.

    Preparação para o Upgrade

    Clique em Start Preparation para iniciar a execução das pré-verificações. Todas as pré-verificações, exceto a verificação Download de pacote e Atualização de dados de configuração, expiram automaticamente após 4 horas do início da validação do sistema. O upgrade dos dados de configuração, que nada mais é que o ODU, expira após 12 horas.

    Pré-verificação do sistema antes da atualização

    Observação: desabilite a configuração de failover de PAN antes da atividade de atualização. Se não for feito manualmente, ele será desativado automaticamente assim que a atualização for acionada.

    Observação: o ISE 3.0 e as listas determinam o uso do Smart Licensing. Ele não oferece suporte ao licenciamento tradicional. Caso o Smart Licensing não esteja habilitado ou registrado antes da atualização, o ISE entra no período de Avaliação do Smart Licensing por padrão após a atualização. Link de referência para Migração de licença: Produtos - Guia de migração de licenciamento do ISE - Cisco. Quando você atualiza o ISE de 2. x para 3.x, isso envolve alterações no nível de licenciamento.

    Cuidado: todos os tipos de alterações de configuração no ISE devem ser evitados assim que a atualização de dados de configuração for acionada. Qualquer alteração feita será perdida após a atualização.

    Se qualquer uma das pré-verificações de componente falhar, eles serão exibidos em vermelho ou laranja com base em sua criticidade. As falhas assinaladas a vermelho têm de ser obrigatoriamente corrigidas antes de prosseguir. Os avisos destacados em laranja não podem interromper o processo de atualização, no entanto, é bom corrigi-los como prática recomendada e evitar impactar os recursos e as funcionalidades da implantação no futuro.

    Quando os erros forem corrigidos, clique em Start Staging (Iniciar preparação) para continuar.

    Atualizar Preparação

    Durante a preparação da atualização, o arquivo de banco de dados atualizado é copiado para todos os nós na implantação e os arquivos de configuração são copiados em todos os nós da implantação.

    O arquivo de despejo já está presente no nó do administrador secundário como parte do ODU. Portanto, nesta etapa, o nó de administração secundário cria apenas arquivos de backup para a configuração do CA NSS DB, Smart Licensing e DHCP/DNS. Todos os outros nós também criam esses arquivos, mas precisam copiar adicionalmente o arquivo de dump do nó admin secundário.

    Atualizar Preparação

    Clique em Próximo quando a preparação for concluída para todos os nós.

    Atualizar nós

    Clique em Start para disparar a atualização.

    Atualizando nós

    Uma mensagem pop-up confirma que a atualização é disparada e todos os nós são exibidos em uma fila com o status da atualização. Como a atualização é iniciada primeiro no nó de administração primário, o sistema faz logoff desse nó e agora o status da atualização pode ser monitorado na GUI do nó de administração secundário. Navegue para Administration > System > Upgrade na GUI do nó do administrador secundário para continuar a exibir o status.

    Progresso da atualização do PAN secundário

    Quando o nó de administração principal é atualizado e os serviços são ativados, o sistema faz logoff da GUI do nó de administração secundário. Agora, os usuários podem voltar a monitorar o status na GUI do nó de administração principal, enquanto todos os outros nós da implantação são desativados para a atualização simultaneamente.

    Andamento da atualização do PAN principal

    Quando todos os nós forem atualizados com êxito, o status mudará para a cor verde.

    Status de Conclusão da Atualização

    Se houver algum nó com falha, uma janela pop-up com informações sobre o nó com falha será exibida. Clique em OK na janela pop-up para cancelar o registro dos nós com falha da implantação. Eles precisam ser atualizados/recriados individualmente e adicionados novamente à implantação, se houver.

    Clique em Avançar para exibir os relatórios resumidos da atualização geral.

    Summary

    Após a conclusão do processo de atualização, os relatórios de atualização de diagnóstico para a implantação podem ser exibidos e baixados desta página.

    Resumo da atualização

    Verificações de Integridade

    Para validar o status da implantação após a atualização, uma verificação de integridade é executada automaticamente para verificar o status da implantação. Esse relatório pode ser baixado na página Resumo do fluxo de atualização. Se uma verificação de integridade sob demanda for necessária a qualquer momento, navegue para Administração > Sistema > Verificações de integridade e clique em Iniciar verificações de integridade.

    Verificação de Integridade Após Atualização

    Tarefas pós-atualização

    Quando um usuário faz login na GUI do nó do administrador principal depois que você conclui a atualização, uma mensagem pop-up é exibida com relação às tarefas de pós-atualização.

    Tarefas de pós-atualização

    Clique no hiperlink de tarefas de pós-atualização na mensagem pop-up para revisar os detalhes da tarefa e concluí-los.

    Problemas e soluções

    1. Se a atualização do nó de administração principal falhar, promova o administrador secundário para o administrador principal e tente a atualização novamente.
    2. Se a atualização falhar em qualquer outro nó além do administrador principal, o registro do nó da implantação teria que ser cancelado. Este nó deve ser atualizado individualmente ou ter sua imagem recriada diretamente na versão atualizada e pode ser adicionado de volta à implantação.

    Histórico de revisões

    Revisão Data de publicação Comentários
    4.0
    27-Jan-2024
    Tradução de máquina fixa, introdução e otimização de SEO.
    3.0
    17-Nov-2021
    Edições de formatação.
    2.0
    30-Oct-2021
    Versão inicial
    1.0
    30-Oct-2021
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Viraj Nagarmunoli
      Líder do arquiteto de segurança
    • Rini Santra
      Engenheiro do Cisco TAC

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos