развертывание Cisco ISE DR DC

Kamran Mustafayev

Здравствуйте, команда! У нас есть два небольших физических устройства ISE в основном центре обработки данных, оба используют одинаковые персональные данные (MnT, PSN, PAN и т. д.). Если я хочу добавить два виртуальных устройства ISE (той же модели, что и физические) в центр обработки данных для аварийного восстановления, означает ли это, что мне нужно добавить их в существующий кластер и нет возможности сделать их «активными» и «резервными», а узлы в центре обработки данных для аварийного восстановления будут иметь разные IP-адреса? Если я создам объединенный кластер, включающий узлы ISE в центре обработки данных и центре обработки данных для аварийного восстановления, то, полагаю, нагрузка будет распределена между всеми 4 узлами (конечно, если я настрою это на каждом NAS). Мне интересно, какова лучшая практика в этом случае. Заранее спасибо.

Ben Walters

Я бы предложил разместить все узлы ISE в одной развертывании, это целесообразно с точки зрения конфигурации, а затем создать группы развертывания для PSN. Исходя из развертывания с 4 узлами, Cisco рекомендует разделить функциональность PSN от PAN/MnT при более чем 2 узлах. В этом случае ваше развертывание должно состоять из 2 PAN/MnT и 2 PSN. С учетом этого, после завершения развертывание должно выглядеть следующим образом: 2 физических узла — 1 основной PAN/MnT и 1 PSN 2 узла DR VM — 1 вторичный PAN/MnT и 1 PSN Направьте NAD на PSN и просто выберите физический PSN в качестве первого варианта, хотя я бы лично включил второй PSN и обеспечил бы балансировку нагрузки между устройствами, где это возможно. С такой конфигурацией можно масштабировать до 6 PSN, если вам когда-нибудь понадобится расширение.

Marcelo Morais

Привет
[, @Kamran Mustafayev]
, в дополнение к тому, что сказал
@Ben Walters
... пожалуйста, ознакомьтесь с:
Руководством по производительности и масштабируемости Cisco Identity Services Engine
, найдите
таблицу 2. Типы развертываний Cisco ISE
. Что касается вашего вопроса о
времени простоя
... пожалуйста, посмотрите:
Руководство администратора Cisco Identity Services Engine, версия 3.4
, найдите раздел
«Высокая доступность для административного узла
» (обратите особое внимание на
таблицу 10. Доступность функций
). Надеюсь, это поможет!

Marcelo Morais

@Камран Мустафаев
, каждый раз, когда вы добавляете новые
узлы
в
развертывание
, вы должны импортировать
сертификаты
для этих
узлов,
сгенерированные вашим
центром сертификации
, в разделе
«Администрирование» > «Система» > «Сертификаты» > «Управление сертификатами» > «Сертификаты системы
». Надеюсь, это поможет!

Kamran Mustafayev

Спасибо за ответ, только один дополнительный вопрос: если я разверну два новых узла ISE в ЦОД и изменю роли, т. е. перемещу роли MnT и Adm на узлы ISE ЦОД DR, возникнет ли при этом какое-либо время простоя? Спасибо.

Kamran Mustafayev

Спасибо, вкратце Если я отключу вторичный узел в главном ЦОД MnT и ADM и перемещу его на третичный узел в резервном ЦОД, это ни на что не повлияет Еще один вопрос: когда я добавляю новые узлы в развертывание, будут ли системные сертификаты автоматически развернуты на новых узлах с административного узла? Спасибо.

Marcelo Morais

Привет
[, @Камран Мустафаев]
, в разделе
«Администрирование» > «Система» > «Сертификаты» > «Управление сертификатами» > «Сертификаты системы» >
вы используете
самоподписанный сертификат
или сертификат
ЦС
(посмотрите в столбце
«Используется»
)? Примечание
: не забудьте удалить
старые сертификаты
. См. [ISE - CSCwo05386 - Baltimore CyberTrust Root expirando (ISE 3.x)]
. [ISE - Ошибка ссылки очереди]
, поиск: «удалить старые внутренние сертификаты
» Надеюсь, это поможет!

Kamran Mustafayev

Здравствуйте, Марчелло Мы используем некоторые сертификаты CA

Kamran Mustafayev

Похоже, они загружаются автоматически, когда мы добавляем новые узлы ISE в развертывание из узла администрирования.