ISE 3.3에서 제어된 애플리케이션 재시작 구성
소개
이 문서에서는 ISE 3.3의 관리 인증서에 대해 Controlled Application Restart(제어된 애플리케이션 재시작)를 구성하는 방법에 대해 설명합니다.
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- ISE 노드/페르소나
- ISE 인증서 갱신/수정/생성
사용되는 구성 요소
이 문서의 정보는 다음 하드웨어 및 소프트웨어 버전을 기반으로 합니다.
- ISE(Identity Service Engine) 소프트웨어 버전 3.3
- 2 노드 구축
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
배경 정보
ISE에서 PAN(Primary Admin Node)의 관리 인증서가 변경되면 구축의 모든 노드가 다시 로드됩니다. 먼저 PAN을 로드한 다음 나머지 노드를 로드하면 모든 서비스가 중단됩니다.
관리 인증서가 다른 노드에서 대체 될 때, 다시 시작 되는 유일한 노드는 단일 노드 입니다.
ISE 3.3에는 노드가 다시 로드될 때 예약할 수 있는 새로운 기능이 도입되었습니다. 이렇게 하면 각 노드의 재시작을 보다 효과적으로 제어할 수 있으며 모든 서비스의 중단을 방지할 수 있습니다.
구성
다음과 같이 PAN 노드의 관리자 인증서를 변경하는 옵션이 다릅니다.
- CSR(Certificate Signing Request)을 생성하고 관리자 역할을 할당합니다.
- 인증서, 개인 키를 가져오고 관리자 역할을 할당합니다.
- 자체 서명 인증서를 만들고 관리자 역할을 할당합니다.
이 문서에서는 CSR을 사용하는 방법에 대해 설명합니다.
1단계. CSR(Certificate Signing Request) 생성
- ISE에서 Administration(관리) > System(시스템) > Certificates(인증서) > Certificate Signing Requests(인증서 서명 요청)로 이동합니다.
- Generate Certificate Signing Request (CSR)(CSR 생성)를 클릭합니다.
- Usage에서 Admin을 선택합니다.
- Node(s)(노드)에서 Primary Admin(기본 관리) 노드를 선택합니다.
- 인증서 정보를 완료합니다.
- Generate를 클릭합니다.
- 파일을 내보내고 유효한 권한으로 서명합니다.
CSR 생성
2단계. CSR에 서명한 루트 CA 가져오기
- ISE에서 Administration(관리) > System(시스템) > Certificates(인증서) > Trusted Certificates(신뢰할 수 있는 인증서)로 이동합니다.
- Import(가져오기)를 클릭합니다.
- Choose File(파일 선택)을 클릭하고 Root CA 인증서를 선택합니다.
- 이름을 입력하십시오.
- 확인란을 활성화합니다.
- ISE 내에서 인증을 신뢰합니다.
- Cisco Services의 인증을 신뢰합니다.
- Submit(제출)을 클릭합니다.
루트 인증서 가져오기
3단계. 서명된 CSR 가져오기
- ISE에서 Administration(관리) > System(시스템) > Certificates(인증서) > Certificate Signing Requests(인증서 서명 요청)로 이동합니다.
- CSR을 선택하고 Bind Certificate(인증서 바인딩)를 클릭합니다.
- Choose file(파일 선택)을 클릭하고 서명된 인증서를 선택합니다.
- 식별 이름을 구성합니다.
인증서 바인딩
인증서 바인딩
4단계. 재시작 시간 구성
- 이제 새 섹션을 볼 수 있습니다. 여기서 재시작 프로세스를 구성합니다.
- 노드당 시간을 구성하거나 두 노드를 모두 선택하고 동일한 컨피그레이션을 적용할 수 있습니다.
- 한 개의 노드를 선택하고 Set Restart Time을 클릭합니다.
- 날짜, 시간을 선택하고 저장을 클릭합니다.
- 시간을 확인하고 모든 사항이 정확하면 Submit(제출)을 클릭합니다.
재시작 시간 설정
재시작 시간 확인
다음을 확인합니다.
새 탭을 사용할 수 있습니다. Administration(관리) > System(시스템) > Certificates(인증서) > Admin Certificate Node Restart(관리자 인증서 노드 재시작)로 이동합니다. 구성이 완료되었는지 확인하고 필요한 경우 변경할 수 있습니다.
변경하려면 Set Restart Time(재시작 시간 설정) 또는 Restart Now(지금 재시작)를 클릭합니다.
다시 시작 상태 확인
프로세스 중에 노드 상태를 검증할 수 있습니다. 다음 이미지는 한 노드가 다시 로드되고 다른 노드가 진행 중인 경우의 예입니다.
PAN 다시 시작됨
변경 사항을 확인하고 보고서로 다시 로드합니다.
컨피그레이션 변경 사항을 확인하려면 Operations(운영) > Reports(보고서) > Reports(보고서) > Audit(감사) > Change Configuration Audit(컨피그레이션 변경 감사)으로 이동합니다.
구성 보고서
재시작을 확인하려면 Operations(운영) > Reports(보고서) > Reports(보고서) > Audit(감사) > Operations Audit(운영 감사)으로 이동합니다.
보고서 다시 시작
***-ise-33-2, ise-psc.log의 샘플 로그:
Configuration applied:
2023-09-27 15:26:12,109 INFO [DefaultQuartzScheduler_Worker-6][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartStatusJob -:::::-
Restart is Not configured , Hence skipping restart status check for asc-ise33-1037 2023-09-27 15:26:57,775 INFO [admin-http-pool6][[]] cpm.admin.infra.action.RestartAction -::admin:::-
adminCertRestartData received --{"items":[{"hostName":"asc-ise33-1037","restartTime":"2023-09-27:10:00PM"},
{"hostName":"***-ise-33-2","restartTime":"2023-09-27:10:00PM"}]} Restart starts: 2023-09-27 21:59:11,952 INFO [DefaultQuartzScheduler_Worker-6][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartStatusJob -:::::-
Executing AdminCertControlledRestartStatusJob [AdminCertControlledRestart[id=4af7d9c4-31d9-48e0-83dc-19a6cf378528,hostname=***-ise-33-2,
noderestartconfig=2023-09-27:10:00PM,noderestartstatus=Not Restarted,details=Not Restarted,maxdate=Thu Oct 12 2023 14:26:59 GMT-0600 (hora estandar central)],
AdminCertControlledRestart[id=38b811df-03b5-4a64-87b6-363290b6b4ce,hostname=asc-ise33-1037,noderestartconfig=2023-09-27:10:00PM,
noderestartstatus=Not Restarted,details=Not Restarted,maxdate=Thu Oct 12 2023 14:43:01 GMT-0600 (hora estandar central)]] 2023-09-27 21:59:12,113 INFO [DefaultQuartzScheduler_Worker-6][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartStatusJob -:::::-
Restart configured , proceeding to trackRestartStatus for ***-ise-33-2 2023-09-27 21:59:12,113 INFO [DefaultQuartzScheduler_Worker-6][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartStatusJob -:::::-
Restart configured , proceeding to trackRestartStatus for asc-ise33-1037 2023-09-27 22:00:00,003 INFO [DefaultQuartzScheduler_Worker-3][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartSchedulerJob -:::::-
Executing AdminCertControlledRestartSchedulerJob 2023-09-27 22:00:00,022 INFO [DefaultQuartzScheduler_Worker-3][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartSchedulerJob -:::::-
Executing AdminCertControlledRestartSchedulerJob [AdminCertControlledRestart[id=4af7d9c4-31d9-48e0-83dc-19a6cf378528,hostname=***-ise-33-2,
noderestartconfig=2023-09-27:10:00PM,noderestartstatus=Not Restarted,details=Not Restarted,maxdate=Thu Oct 12 2023 14:26:59 GMT-0600 (hora estandar central)],
AdminCertControlledRestart[id=38b811df-03b5-4a64-87b6-363290b6b4ce,hostname=asc-ise33-1037,noderestartconfig=2023-09-27:10:00PM,
noderestartstatus=Not Restarted,details=Not Restarted,maxdate=Thu Oct 12 2023 14:43:01 GMT-0600 (hora estandar central)]] 2023-09-27 22:00:00,288 INFO [DefaultQuartzScheduler_Worker-3][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartSchedulerJob -:::::-
Restart failed or not restarted yet , hence preparing restart for ***-ise-33-2 2023-09-27 22:00:00,288 INFO [DefaultQuartzScheduler_Worker-3][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartSchedulerJob -:::::-
Configured Date is now , hence proceeding for restart , for ***-ise-33-2 023-09-27 22:00:00,288 INFO [DefaultQuartzScheduler_Worker-3][[]] cpm.infrastructure.certmgmt.api.AdminCertControlRestartUIAPI -:::::-
updateRestartStatus updating restarted status 2023-09-27 22:00:00,288 INFO [DefaultQuartzScheduler_Worker-3][[]] cpm.infrastructure.certmgmt.api.AdminCertControlRestartUIAPI -:::::-
Updating the data for node: ***-ise-33-2 2023-09-27 22:00:00,313 INFO [DefaultQuartzScheduler_Worker-3][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartSchedulerJob -:::::-
Restart failed or not restarted yet , hence preparing restart for asc-ise33-1037 2023-09-27 22:00:00,313 INFO [DefaultQuartzScheduler_Worker-3][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartSchedulerJob -:::::-
Configured Date is now , hence proceeding for restart , forasc-ise33-1037 2023-09-27 22:00:00,324 INFO [DefaultQuartzScheduler_Worker-3][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartSchedulerJob -:::::-
restartNowList : ***-ise-33-2.aaamexrub.com,asc-ise33-1037.aaamexrub.com
***-ise-33-2, restartutil.log의 샘플 로그:
[main] Wed Sep 27 22:00:09 EST 2023:--------------------------------------------------------------- [main] Wed Sep 27 22:00:09 EST 2023:RestartUtil: BEGIN - Restart called with args apponly:1377:***-ise-33-2.aaamexrub.com,asc-ise33-1037.aaamexrub.com [main] Wed Sep 27 22:00:09 EST 2023:--------------------------------------------------------------- [main] Wed Sep 27 22:00:14 EST 2023:RestartUtil: Restarting Local node [main] Wed Sep 27 22:00:14 EST 2023:[/usr/bin/sudo, /opt/CSCOcpm/bin/cpmcontrol.sh, restart_appserver_es] [main] Wed Sep 27 22:27:13 EST 2023:RestartUtil: Restarted local node and waiting for it to come up... [main] Wed Sep 27 22:37:47 EST 2023:RestartUtil: Restart success for local node . [main] Wed Sep 27 22:37:48 EST 2023:RestartUtil: Restarting node asc-ise33-1037.aaamexrub.com [main] Wed Sep 27 22:37:54 EST 2023:RestartUtil: statusLine>>>HTTP/1.1 200 [main] Wed Sep 27 22:37:54 EST 2023:RestartUtil: Waiting for node asc-ise33-1037.aaamexrub.com to come up after restart... [main] Wed Sep 27 22:52:43 EST 2023:RestartUtil: Restart successful on node: asc-ise33-1037.aaamexrub.com [main] Wed Sep 27 22:52:43 EST 2023:RestartUtil: cred file deleted [main] Wed Sep 27 22:52:43 EST 2023:--------------------------------------------------------------- [main] Wed Sep 27 22:52:43 EST 2023:RestartUtil:END- Restart called with args apponly:1377:***-ise-33-2.aaamexrub.com,asc-ise33-1037.aaamexrub.com [main] Wed Sep 27 22:52:43 EST 2023:--------------------------------------------------------------- [main] Wed Sep 27 23:00:10 EST 2023: Usage RestartUtil local||remote apponly|full
asc-ise33-1037, restartutil.log의 샘플 로그:
main] Wed Sep 27 19:00:10 UTC 2023: Usage RestartUtil local||remote apponly|full [main] Thu Sep 28 04:37:14 UTC 2023:--------------------------------------------------------------- [main] Thu Sep 28 04:37:14 UTC 2023:RestartUtil: BEGIN - Restart called with args apponly:1377:localhost [main] Thu Sep 28 04:37:14 UTC 2023:--------------------------------------------------------------- [main] Thu Sep 28 04:37:16 UTC 2023:RestartUtil: Restarting Local node [main] Thu Sep 28 04:37:16 UTC 2023:[/usr/bin/sudo, /opt/CSCOcpm/bin/cpmcontrol.sh, restart_appserver_es] [main] Thu Sep 28 04:52:41 UTC 2023:RestartUtil: Restarted local node and waiting for it to come up... [main] Thu Sep 28 04:53:12 UTC 2023:RestartUtil: Restart success for local node . [main] Thu Sep 28 04:53:12 UTC 2023:RestartUtil: cred file deleted [main] Thu Sep 28 04:53:12 UTC 2023:--------------------------------------------------------------- [main] Thu Sep 28 04:53:12 UTC 2023:RestartUtil:END- Restart called with args apponly:1377:localhost [main] Thu Sep 28 04:53:12 UTC 2023:---------------------------------------------------------------
문제 해결
이 기능에 대한 정보를 확인하려면 다음 파일을 확인할 수 있습니다.
- ise-psc.log
- restartutil.log
명령줄에서 실시간으로 확인하려면 다음 명령을 사용할 수 있습니다.
show logging application restartutil.log tail
show logging application ise-psc.log tail
관련 정보
•Cisco 기술 지원 및 다운로드
개정 이력
| 개정 | 게시 날짜 | 의견 |
|---|---|---|
1.0 |
18-Apr-2024 |
최초 릴리스 |
피드백