Aggiorna ISE con il metodo di aggiornamento completo

Opzioni per il download

  • PDF     (1.6 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (1.6 MB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.2 MB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:27 gennaio 2024
ID documento:217509

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento descrive come aggiornare un'implementazione ISE esistente dalla versione 2.7 alla 3.1 utilizzando il metodo di aggiornamento completo. 

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti: 

    • Identity Services Engine (ISE) 
    • Comprensione della terminologia utilizzata per descrivere i diversi tipi di implementazioni ISE 

      

    Componenti usati 

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware: 

    • ISE, release 2.7, patch 4
    • ISE, release 3.1

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Nota: la procedura è simile o identica ad altre versioni ISE. A meno che non sia specificato diversamente, questi passaggi possono essere utilizzati nella versione 2.6 per aggiornare la versione 3.1 e le versioni software ISE.

    Premesse

    Viene inoltre descritto come utilizzare la funzionalità Verifiche stato per rilevare e risolvere eventuali problemi di distribuzione. Il metodo di aggiornamento precedente è ora denominato Split Upgrade ed è disponibile come opzione alternativa se non si preferisce il metodo di aggiornamento completo.

    Percorsi supportati

    L'aggiornamento completo ad ISE 3.1 è supportato da

    • ISE 2.6 patch 10 e versioni successive
    • ISE 2.7 patch 4 e versioni successive
    • ISE 3.0 patch 3 e versioni successive

    L'aggiornamento split ad ISE 3.1 è supportato da ISE 2.6 e versioni successive, con o senza patch.

    Confronto tra l'aggiornamento completo e il metodo di aggiornamento diviso

    Sequenza di aggiornamento del nodo con metodo di aggiornamento suddiviso in una distribuzione distribuita

    Richiede almeno 5 passaggi per una distribuzione completamente distribuita per eseguire l'aggiornamento alla versione più recente.

    Sequenziamento dei nodi nel metodo di aggiornamento diviso

    Considerando circa 240 minuti per ciascuna fase, il processo di aggiornamento totale qui richiederebbe 240*5 minuti = 20 ore.

    Sequenza di aggiornamento dei nodi con il metodo di aggiornamento completo in una distribuzione distribuita

    Sono necessari solo due passaggi per l'aggiornamento alla versione più recente di una distribuzione completa.

    Sequenziamento dei nodi nel metodo di aggiornamento completo

    Anche in questo caso, considerando circa 240 minuti per ciascuna fase, il processo di aggiornamento totale è ora ridotto a 240*2 minuti = 8 ore.

    Vantaggi dell'aggiornamento completo rispetto al metodo di aggiornamento suddiviso

    • Il metodo di aggiornamento completo richiede meno tempo per l'attività complessiva in quanto i nodi vengono aggiornati in parallelo, mentre il metodo di aggiornamento diviso deve essere pianificato correttamente con una durata maggiore della finestra di manutenzione.
    • Il metodo di aggiornamento completo non presenta problemi in termini di sequenza di aggiornamento, poiché prevede solo 2 passaggi. Il metodo Split Upgrade richiede che i nodi siano disposti in sequenza in modo appropriato prima di avviare il processo di aggiornamento.
    • Il metodo Full Upgrade conserva i ruoli e le persone così come erano prima dell'aggiornamento. Il metodo Split Upgrade cambia i ruoli di amministratore primario e secondario nella versione aggiornata.
    • I punti di errore sono stati ridotti nel metodo di aggiornamento completo eliminando la dipendenza dell'API dalle modifiche relative alla distribuzione durante il processo di aggiornamento.
    • Il metodo Full Upgrade consente di tenere traccia dello stato di aggiornamento dal nodo di amministrazione secondario quando il nodo di amministrazione principale diventa inattivo per un aggiornamento. Ciò non è possibile nel metodo Split Upgrade.
    • L'installazione delle patch dopo l'aggiornamento è automatizzata e viene fornita come opzione nel metodo di aggiornamento completo.

    Attenzione: l'aggiornamento completo richiede un tempo di inattività completo perché tutti i PSN non sono disponibili per l'aggiornamento contemporaneamente. Verificare che l'attività sia pianificata durante un intervento di manutenzione pianificato.

    Flusso di aggiornamento completo

    Questo documento illustra il flusso di aggiornamento di una distribuzione a 4 nodi. Il processo complessivo rimane lo stesso per le distribuzioni a due nodi o a più nodi.

    Esempio di distribuzione

    Aggiorna interfaccia utente

    Passare a Amministrazione > Sistema > Aggiorna per avviare l'attività come mostrato nell'immagine.

    Selezione dell'opzione di aggiornamento completo

    Nota: solo il metodo Split Upgrade è supportato su ISE 2.6 patch 9 e versioni successive, ISE 2.7 patch 3 e versioni successive e ISE 3.0 patch 2 e versioni successive. Per impostazione predefinita, per queste versioni viene visualizzata la finestra Dividi aggiornamento. Qui è possibile fare riferimento al processo di aggiornamento suddiviso. Selezionare il pulsante di opzione Aggiornamento completo e fare clic su Avvia aggiornamento.

    Pagina iniziale

    Pagina di benvenuto dell'aggiornamento completo

    Nella procedura guidata della pagina di benvenuto, fare clic su Avanti per continuare.

    Elenco di controllo

    Esaminare l'elenco di controllo e assicurarsi di completare le attività prima di procedere.

    Elenco di controllo per l'aggiornamento

    Selezionare la casella di controllo che indica che l'elenco di controllo è stato rivisto e fare clic su Avanti.

    Preparazione aggiornamento

    Un controllo preliminare viene eseguito sull'intera distribuzione prima dell'aggiornamento e i risultati vengono visualizzati in questa pagina. A parte i controlli, in questa fase il bundle di aggiornamento viene scaricato su tutti i nodi, l'aggiornamento dei dati offline (ODU) viene eseguito sul nodo di amministrazione secondario (in modo analogo alla simulazione dello strumento di preparazione all'aggiornamento (URT, Upgrade Readiness Tool) del metodo Split Upgrade) e, infine, visualizza anche la stima del tempo per l'attività.

    Il bundle di aggiornamento deve essere scaricato dalla pagina di download del software Cisco.

    Pacchetto di aggiornamento su Cisco.com

    Per eseguire il controllo pre-aggiornamento, selezionare il nome del repository in cui è posizionato il bundle di aggiornamento. Selezionare il nome del file del bundle di aggiornamento dalla casella a discesa Bundle.

    Nota: il metodo Full Upgrade introduce anche l'installazione automatica delle patch dopo l'aggiornamento. Il file patch deve essere posizionato nello stesso repository insieme al bundle di aggiornamento e il nome del file patch può essere selezionato dall'elenco a discesa se si desidera l'installazione automatica delle patch.

    Preparazione aggiornamento

    Fare clic su Start Preparation (Avvia preparazione) per avviare l'esecuzione dei controlli preliminari. Tutti i controlli preliminari, ad eccezione del controllo Download bundle e Aggiornamento dati di configurazione, scadono automaticamente dopo 4 ore dall'avvio della convalida del sistema. L'aggiornamento dei dati di configurazione, che è solo l'ODU, scade dopo 12 ore.

    Controllo preliminare del sistema prima dell'aggiornamento

    Nota: disabilitare l'impostazione di failover PAN prima dell'attività di aggiornamento. Se non viene eseguito manualmente, viene disattivato automaticamente una volta attivato l'aggiornamento.

    Nota: ISE 3.0 e le versioni elencate richiedono l'uso di Smart Licensing. Non supporta le licenze tradizionali. Se le licenze Smart non sono abilitate o registrate prima dell'aggiornamento, ISE termina il periodo di valutazione delle licenze Smart per impostazione predefinita dopo l'aggiornamento. Link di riferimento per la migrazione delle licenze: Prodotti - ISE Licensing Migration Guide - Cisco. L'aggiornamento di ISE da 2. x a 3.x comporta la modifica del livello di licenza.

    Attenzione: una volta attivato l'aggiornamento dei dati di configurazione, è necessario evitare tutti i tipi di modifiche alla configurazione di ISE. Eventuali modifiche apportate andranno perse dopo l'aggiornamento.

    Se i controlli preliminari di uno dei componenti hanno esito negativo, vengono visualizzati in rosso o arancione in base alla criticità. Le carenze evidenziate in rosso devono essere obbligatoriamente corrette prima di procedere ulteriormente. Gli avvisi evidenziati in arancione non possono interrompere il processo di aggiornamento. È tuttavia consigliabile correggerli come procedura ottimale ed evitare di compromettere le funzionalità e le caratteristiche di installazione future.

    Una volta corretti gli errori, fare clic su Avvia staging per continuare.

    Aggiorna gestione temporanea

    Durante la gestione temporanea dell'aggiornamento, il file di database aggiornato viene copiato in tutti i nodi della distribuzione e viene eseguito il backup dei file di configurazione in tutti i nodi della distribuzione.

    Il file di dump è già presente nel nodo amministrativo secondario come parte dell'ODU. Pertanto, in questo passaggio il nodo di amministrazione secondario crea solo file di backup per il database CA NSS, le licenze Smart e la configurazione DHCP/DNS. Anche tutti gli altri nodi creano questi file, ma devono copiare il file di dump dal nodo di amministrazione secondario.

    Aggiorna gestione temporanea

    Fare clic su Avanti al termine della gestione temporanea per tutti i nodi.

    Aggiorna nodi

    Per avviare l'aggiornamento, fare clic su Start.

    Aggiornamento dei nodi

    Un messaggio popup conferma che l'aggiornamento è attivato e tutti i nodi sono visualizzati in una coda con lo stato di aggiornamento. Poiché l'aggiornamento viene avviato prima sul nodo di amministrazione principale, il sistema si disconnette da questo nodo e ora lo stato dell'aggiornamento può essere monitorato dalla GUI del nodo di amministrazione secondario. Per continuare a visualizzare lo stato, selezionare Amministrazione > Sistema > Aggiorna nella GUI del nodo di amministrazione secondario.

    Stato dell'aggiornamento dalla PAN secondaria

    Una volta aggiornato il nodo di amministrazione principale e attivati i servizi, il sistema si disconnette dalla GUI del nodo di amministrazione secondario. Gli utenti possono ora tornare al monitoraggio dello stato dalla GUI del nodo di amministrazione principale mentre tutti gli altri nodi dell'installazione sono inattivi per l'aggiornamento contemporaneamente.

    Stato dell'aggiornamento dalla PAN primaria

    Una volta completato l'aggiornamento di tutti i nodi, lo stato diventa verde.

    Stato completamento aggiornamento

    Se sono presenti nodi con errori, viene visualizzata una finestra popup con le informazioni sul nodo con errori. Fare clic su OK nella finestra popup per annullare la registrazione dei nodi con errori dalla distribuzione. Questi elementi devono essere aggiornati/re-imaging singolarmente e, se presenti, uniti all'installazione.

    Fare clic su Avanti per visualizzare i report riepilogativi complessivi dell'aggiornamento.

    Riepilogo

    Al termine del processo di aggiornamento, i report di aggiornamento diagnostici per la distribuzione possono essere visualizzati e scaricati da questa pagina.

    Riepilogo aggiornamento

    Controlli integrità

    Per convalidare lo stato della distribuzione dopo l'aggiornamento, viene eseguito automaticamente un controllo di integrità per verificare lo stato della distribuzione. Questo report può essere scaricato dalla pagina Riepilogo del flusso di aggiornamento. Se è richiesta una verifica dello stato su richiesta in qualsiasi momento, selezionare Amministrazione > Sistema > Verifiche dello stato, quindi fare clic su Avvia verifiche dello stato.

    Controllo dello stato dopo l'aggiornamento

    Task successivi all'aggiornamento

    Quando un utente accede alla GUI del nodo di amministrazione principale dopo aver completato l'aggiornamento, viene visualizzato un messaggio popup relativo alle operazioni successive all'aggiornamento.

    Task successivi all'aggiornamento

    Fare clic sul collegamento ipertestuale delle attività successive all'aggiornamento nel messaggio popup per esaminare i dettagli delle attività e completarle.

    Problemi e rimedi

    1. Se l'aggiornamento del nodo di amministrazione primario ha esito negativo, promuovere l'amministratore secondario all'amministratore primario, quindi riprovare a eseguire l'aggiornamento.
    2. Se l'aggiornamento ha esito negativo su qualsiasi altro nodo diverso dall'amministratore primario, è necessario annullare la registrazione del nodo dalla distribuzione. Questo nodo deve essere aggiornato singolarmente o con una nuova immagine direttamente alla versione aggiornata e può essere aggiunto nuovamente alla distribuzione.

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    4.0
    27-Jan-2024
    Traduzione automatica fissa, introduzione e ottimizzazione SEO.
    3.0
    17-Nov-2021
    Modifiche alla formattazione.
    2.0
    30-Oct-2021
    Release iniziale
    1.0
    30-Oct-2021
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Viraj Nagarmunoli
      Responsabile Security Architect
    • Rini Santra
      Cisco TAC Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti