Introduzione
Questo documento descrive come aggiornare un'implementazione ISE esistente dalla versione 2.7 alla 3.1 utilizzando il metodo di aggiornamento completo.
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- Identity Services Engine (ISE)
- Comprensione della terminologia utilizzata per descrivere i diversi tipi di implementazioni ISE
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
- ISE, release 2.7, patch 4
- ISE, release 3.1
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Nota: la procedura è simile o identica ad altre versioni ISE. A meno che non sia specificato diversamente, questi passaggi possono essere utilizzati nella versione 2.6 per aggiornare la versione 3.1 e le versioni software ISE.
Premesse
Viene inoltre descritto come utilizzare la funzionalità Verifiche stato per rilevare e risolvere eventuali problemi di distribuzione. Il metodo di aggiornamento precedente è ora denominato Split Upgrade ed è disponibile come opzione alternativa se non si preferisce il metodo di aggiornamento completo.
Percorsi supportati
L'aggiornamento completo ad ISE 3.1 è supportato da
- ISE 2.6 patch 10 e versioni successive
- ISE 2.7 patch 4 e versioni successive
- ISE 3.0 patch 3 e versioni successive
L'aggiornamento split ad ISE 3.1 è supportato da ISE 2.6 e versioni successive, con o senza patch.
Confronto tra l'aggiornamento completo e il metodo di aggiornamento diviso
Sequenza di aggiornamento del nodo con metodo di aggiornamento suddiviso in una distribuzione distribuita
Richiede almeno 5 passaggi per una distribuzione completamente distribuita per eseguire l'aggiornamento alla versione più recente.
Considerando circa 240 minuti per ciascuna fase, il processo di aggiornamento totale qui richiederebbe 240*5 minuti = 20 ore.
Sequenza di aggiornamento dei nodi con il metodo di aggiornamento completo in una distribuzione distribuita
Sono necessari solo due passaggi per l'aggiornamento alla versione più recente di una distribuzione completa.
Anche in questo caso, considerando circa 240 minuti per ciascuna fase, il processo di aggiornamento totale è ora ridotto a 240*2 minuti = 8 ore.
Vantaggi dell'aggiornamento completo rispetto al metodo di aggiornamento suddiviso
- Il metodo di aggiornamento completo richiede meno tempo per l'attività complessiva in quanto i nodi vengono aggiornati in parallelo, mentre il metodo di aggiornamento diviso deve essere pianificato correttamente con una durata maggiore della finestra di manutenzione.
- Il metodo di aggiornamento completo non presenta problemi in termini di sequenza di aggiornamento, poiché prevede solo 2 passaggi. Il metodo Split Upgrade richiede che i nodi siano disposti in sequenza in modo appropriato prima di avviare il processo di aggiornamento.
- Il metodo Full Upgrade conserva i ruoli e le persone così come erano prima dell'aggiornamento. Il metodo Split Upgrade cambia i ruoli di amministratore primario e secondario nella versione aggiornata.
- I punti di errore sono stati ridotti nel metodo di aggiornamento completo eliminando la dipendenza dell'API dalle modifiche relative alla distribuzione durante il processo di aggiornamento.
- Il metodo Full Upgrade consente di tenere traccia dello stato di aggiornamento dal nodo di amministrazione secondario quando il nodo di amministrazione principale diventa inattivo per un aggiornamento. Ciò non è possibile nel metodo Split Upgrade.
- L'installazione delle patch dopo l'aggiornamento è automatizzata e viene fornita come opzione nel metodo di aggiornamento completo.
Attenzione: l'aggiornamento completo richiede un tempo di inattività completo perché tutti i PSN non sono disponibili per l'aggiornamento contemporaneamente. Verificare che l'attività sia pianificata durante un intervento di manutenzione pianificato.
Flusso di aggiornamento completo
Questo documento illustra il flusso di aggiornamento di una distribuzione a 4 nodi. Il processo complessivo rimane lo stesso per le distribuzioni a due nodi o a più nodi.
Aggiorna interfaccia utente
Passare a Amministrazione > Sistema > Aggiorna per avviare l'attività come mostrato nell'immagine.
Nota: solo il metodo Split Upgrade è supportato su ISE 2.6 patch 9 e versioni successive, ISE 2.7 patch 3 e versioni successive e ISE 3.0 patch 2 e versioni successive. Per impostazione predefinita, per queste versioni viene visualizzata la finestra Dividi aggiornamento. Qui è possibile fare riferimento al processo di aggiornamento suddiviso. Selezionare il pulsante di opzione Aggiornamento completo e fare clic su Avvia aggiornamento.
Pagina iniziale
Nella procedura guidata della pagina di benvenuto, fare clic su Avanti per continuare.
Elenco di controllo
Esaminare l'elenco di controllo e assicurarsi di completare le attività prima di procedere.
Selezionare la casella di controllo che indica che l'elenco di controllo è stato rivisto e fare clic su Avanti.
Preparazione aggiornamento
Un controllo preliminare viene eseguito sull'intera distribuzione prima dell'aggiornamento e i risultati vengono visualizzati in questa pagina. A parte i controlli, in questa fase il bundle di aggiornamento viene scaricato su tutti i nodi, l'aggiornamento dei dati offline (ODU) viene eseguito sul nodo di amministrazione secondario (in modo analogo alla simulazione dello strumento di preparazione all'aggiornamento (URT, Upgrade Readiness Tool) del metodo Split Upgrade) e, infine, visualizza anche la stima del tempo per l'attività.
Il bundle di aggiornamento deve essere scaricato dalla pagina di download del software Cisco.
Per eseguire il controllo pre-aggiornamento, selezionare il nome del repository in cui è posizionato il bundle di aggiornamento. Selezionare il nome del file del bundle di aggiornamento dalla casella a discesa Bundle.
Nota: il metodo Full Upgrade introduce anche l'installazione automatica delle patch dopo l'aggiornamento. Il file patch deve essere posizionato nello stesso repository insieme al bundle di aggiornamento e il nome del file patch può essere selezionato dall'elenco a discesa se si desidera l'installazione automatica delle patch.
Fare clic su Start Preparation (Avvia preparazione) per avviare l'esecuzione dei controlli preliminari. Tutti i controlli preliminari, ad eccezione del controllo Download bundle e Aggiornamento dati di configurazione, scadono automaticamente dopo 4 ore dall'avvio della convalida del sistema. L'aggiornamento dei dati di configurazione, che è solo l'ODU, scade dopo 12 ore.
Nota: disabilitare l'impostazione di failover PAN prima dell'attività di aggiornamento. Se non viene eseguito manualmente, viene disattivato automaticamente una volta attivato l'aggiornamento.
Nota: ISE 3.0 e le versioni elencate richiedono l'uso di Smart Licensing. Non supporta le licenze tradizionali. Se le licenze Smart non sono abilitate o registrate prima dell'aggiornamento, ISE termina il periodo di valutazione delle licenze Smart per impostazione predefinita dopo l'aggiornamento. Link di riferimento per la migrazione delle licenze: Prodotti - ISE Licensing Migration Guide - Cisco. L'aggiornamento di ISE da 2. x a 3.x comporta la modifica del livello di licenza.
Attenzione: una volta attivato l'aggiornamento dei dati di configurazione, è necessario evitare tutti i tipi di modifiche alla configurazione di ISE. Eventuali modifiche apportate andranno perse dopo l'aggiornamento.
Se i controlli preliminari di uno dei componenti hanno esito negativo, vengono visualizzati in rosso o arancione in base alla criticità. Le carenze evidenziate in rosso devono essere obbligatoriamente corrette prima di procedere ulteriormente. Gli avvisi evidenziati in arancione non possono interrompere il processo di aggiornamento. È tuttavia consigliabile correggerli come procedura ottimale ed evitare di compromettere le funzionalità e le caratteristiche di installazione future.
Una volta corretti gli errori, fare clic su Avvia staging per continuare.
Aggiorna gestione temporanea
Durante la gestione temporanea dell'aggiornamento, il file di database aggiornato viene copiato in tutti i nodi della distribuzione e viene eseguito il backup dei file di configurazione in tutti i nodi della distribuzione.
Il file di dump è già presente nel nodo amministrativo secondario come parte dell'ODU. Pertanto, in questo passaggio il nodo di amministrazione secondario crea solo file di backup per il database CA NSS, le licenze Smart e la configurazione DHCP/DNS. Anche tutti gli altri nodi creano questi file, ma devono copiare il file di dump dal nodo di amministrazione secondario.
Fare clic su Avanti al termine della gestione temporanea per tutti i nodi.
Aggiorna nodi
Per avviare l'aggiornamento, fare clic su Start.
Un messaggio popup conferma che l'aggiornamento è attivato e tutti i nodi sono visualizzati in una coda con lo stato di aggiornamento. Poiché l'aggiornamento viene avviato prima sul nodo di amministrazione principale, il sistema si disconnette da questo nodo e ora lo stato dell'aggiornamento può essere monitorato dalla GUI del nodo di amministrazione secondario. Per continuare a visualizzare lo stato, selezionare Amministrazione > Sistema > Aggiorna nella GUI del nodo di amministrazione secondario.
Una volta aggiornato il nodo di amministrazione principale e attivati i servizi, il sistema si disconnette dalla GUI del nodo di amministrazione secondario. Gli utenti possono ora tornare al monitoraggio dello stato dalla GUI del nodo di amministrazione principale mentre tutti gli altri nodi dell'installazione sono inattivi per l'aggiornamento contemporaneamente.
Una volta completato l'aggiornamento di tutti i nodi, lo stato diventa verde.
Se sono presenti nodi con errori, viene visualizzata una finestra popup con le informazioni sul nodo con errori. Fare clic su OK nella finestra popup per annullare la registrazione dei nodi con errori dalla distribuzione. Questi elementi devono essere aggiornati/re-imaging singolarmente e, se presenti, uniti all'installazione.
Fare clic su Avanti per visualizzare i report riepilogativi complessivi dell'aggiornamento.
Riepilogo
Al termine del processo di aggiornamento, i report di aggiornamento diagnostici per la distribuzione possono essere visualizzati e scaricati da questa pagina.
Controlli integrità
Per convalidare lo stato della distribuzione dopo l'aggiornamento, viene eseguito automaticamente un controllo di integrità per verificare lo stato della distribuzione. Questo report può essere scaricato dalla pagina Riepilogo del flusso di aggiornamento. Se è richiesta una verifica dello stato su richiesta in qualsiasi momento, selezionare Amministrazione > Sistema > Verifiche dello stato, quindi fare clic su Avvia verifiche dello stato.
Task successivi all'aggiornamento
Quando un utente accede alla GUI del nodo di amministrazione principale dopo aver completato l'aggiornamento, viene visualizzato un messaggio popup relativo alle operazioni successive all'aggiornamento.
Fare clic sul collegamento ipertestuale delle attività successive all'aggiornamento nel messaggio popup per esaminare i dettagli delle attività e completarle.
Problemi e rimedi
- Se l'aggiornamento del nodo di amministrazione primario ha esito negativo, promuovere l'amministratore secondario all'amministratore primario, quindi riprovare a eseguire l'aggiornamento.
- Se l'aggiornamento ha esito negativo su qualsiasi altro nodo diverso dall'amministratore primario, è necessario annullare la registrazione del nodo dalla distribuzione. Questo nodo deve essere aggiornato singolarmente o con una nuova immagine direttamente alla versione aggiornata e può essere aggiunto nuovamente alla distribuzione.