HWモデル(Cx90)からNutanixへの構成の移行
ダウンロード オプション
偏向のない言語
この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
翻訳について
シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。
はじめに
このドキュメントでは、Nutanixを使用してCx90機器の構成を仮想環境に移行するために必要な手順に関する包括的なガイドを提供します。初期計画と評価から仮想環境の実行と検証に至るまで、移行プロセス全体をカバーします。ここで説明する手順に従うことで、組織はスムーズで効率的な移行を確実に行い、ダウンタイムを最小限に抑え、既存の構成の整合性を維持できます。
特定の手順の詳細については、ユーザガイドやその他の関連記事も参照してください。これらのリソースでは、このドキュメントで提供される情報を補完する追加の考察と手順を提供します。
前提条件
移行プロセスを開始する前に、スムーズで効率的な移行を促進するために、次の前提条件が満たされていることを確認してください。
Cのソフトウェアバージョン要件x90:Cx90がバージョン15.0.3を使用していることを確認します。このバージョンは、Nutanixの設定移行プロセスにのみ必要であり、Nutanixの実稼働環境では使用しないでください。
1. スマートライセンスアカウント:この移行には、有効なスマートライセンスアカウントが必要です。移行プロセスを開始する前に、スマートライセンスのステータスを確認してください。
2.クラスタリングの基本的な理解:Cisco Secure Email Gateway(ESA)のクラスタリングの概念について理解します。この基本的な知識は、移行を円滑に行うために不可欠です。
3.既存のハードウェアクラスタのステータスの判別:
CLIの使用:コマンドClusterconfigを実行します。
GUIを使用する場合: [Monitor] > [any]に移動します。
「Mode - Cluster: cluster_name」が表示される場合、アプライアンスはクラスタ構成で実行されています。
5.必要なソフトウェアのダウンロード:Cisco Secure Email Gateway(vESA)ソフトウェア、バージョン15.0.3モデルC600v for KVMをダウンロードします。
6. ネットワークリソース:新しいマシンに必要なネットワークリソース(IP、ファイアウォールルール、DNSなど)を準備します。
HW(Cx90)から15.0.3 AsyncOSへのアップグレード
移行を実行するには、x90クラスタにバージョン15.0.3がインストールされている必要があります。これは、設定の移行のためにNutanixで実行できる初期バージョンです。
注:Nutanixアプライアンスのバージョン15.0.3は設定の移行にのみ使用でき、実稼働環境では電子メールトラフィックを管理できません。15.0.3バージョンは、別の仮想環境および物理アプライアンスの実稼働環境でサポートされます。
既存のCx90/HWの15.0.3 AsyncOSへのアップグレード
『AsyncOS 15.0 for Cisco Email Security Appliancesのリリースノート』に記載されている手順に従って、Eメールセキュリティアプライアンスをアップグレードします。
- アプライアンスのXML設定ファイルを保存します。
- セーフリスト/ブロックリスト機能を使用している場合は、アプライアンスからセーフリスト/ブロックリストデータベースをエクスポートします。
- すべてのリスナーを一時停止します。
- キューが空になるまで待ちます。
- System Administrationタブで、System Upgrade
- Available Upgradesをクリックします。ページが更新され、使用可能なAsyncOSアップグレードバージョンのリストが表示されます。
- Begin Upgradeボタンをクリックすると、アップグレードが開始されます。表示された質問に答えてください。アップグレードが完了したら、Reboot Nowボタンをクリックしてアプライアンスを再起動します。
- すべてのリスナーを再開します。
再起動後、実行中のAsyncOSのバージョンを確認します。
- CLIの場合、コマンドversionを実行します。
- UIで、Monitor > System Infoの順に移動します。
注:クラスタ設定で複数のアプライアンスがすでに実行されている場合は、次のセクションを省略できます。
C600vをNutanixに導入
前提条件から、vESA/C600vイメージをダウンロードし、『シスコセキュリティ仮想アプライアンスインストールガイド』に従って導入します。
1. 機器とソフトウェアがすべてのシステム要件を満たしていることを確認します。この移行ではバージョン15.0.3とモデルC600vが使用されるため、バージョン16.0に指定されている要件と同じ要件に従ってください。
Nutanix AOS:バージョン6.5.5.7
Nutanix Prism Central:バージョンpc.2022.6.0.10
2. 仮想アプライアンスイメージ、モデルC600vバージョン15.0.3 for KVMをダウンロードします。
3. 仮想アプライアンスモデルに割り当てるRAMの容量とCPUコアの数を決定します。
| Cisco Secure Email仮想ゲートウェイ | AsyncOSリリース | モデル | 推奨されるディスクサイズ | メモリ | プロセッサコア |
|
AsyncOS 15.0 以降 |
C600v | 500 GB | 16 GB | 8 |
4. Nutanix Prismに仮想KVMイメージアプライアンスC600v (バージョン15.0.3)を展開します。(設置ガイド)
vESAのライセンス
このインストールでは、スマートライセンスを使用する必要があります。Nutanixの仮想化機器で実行されるバージョン16.0以降では、従来のライセンスモデルではなくスマートライセンスが必要です。そのため、事前にスマートライセンスが適切にインストールされていることを確認する必要があります。
スマートライセンスの作成
次のリンクでは、アクティベーションプロセス、定義、およびESA/SMA/WSAのスマートライセンスサービスのトラブルシューティング方法について説明します。
スマートライセンスの概要とEメールおよびWebセキュリティのベストプラクティスについて
Cisco Secure Email GatewayおよびCisco Secure Email and Web Managerのスマートライセンス導入ガイド
設定の移行プロセス
設定の移行では、既存のX90クラスタに新しい機器を追加します。新しい機器がクラスタに接続されると、導入されたすべての設定が自動的にロードされ、シームレスな移行が保証されます。このプロセスでは、クラスタの既存の設定を活用して新しい仮想化機器を効率的に統合し、手動による介入なしに現在の設定をすべて保持します。このアプローチにより、中断の可能性が最小限に抑えられ、運用の継続性が確保されます。
ESAクラスタへのvESAの追加
vESAのCLIから、次のようにclusterconfig > Join an existing...を実行し、vESAをクラスタに追加します。
vESA.Nutanix> clusterconfig
Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 3
While joining a cluster, you will need to validate the SSH host key of the remote machine to which you are joining. To get the public host key fingerprint of the remote host, connect to the cluster and run: logconfig -> hostkeyconfig -> fingerprint.
WARNING: All non-network settings will be lost. System will inherit the values set at the group or cluster mode for the non-network settings. Ensure that the cluster settings are compatible with your network settings (e.g. dnsconfig settings)
Exception:Centralized Policy, Virus, and Outbreak Quarantine settings are not inherited from the cluster. These settings on this machine will remain intact.
Do you want to enable the Cluster Communication Service on ironport.example.com? [N]> n
Enter the IP address of a machine in the cluster.
[]> 192.168.100.10
Enter the remote port to connect to. This must be the normal admin ssh port, not the CCS port.
[22]>
Would you like to join this appliance to a cluster using pre-shared keys? Use this option if you have enabled two-factor authentication on the appliance. [Y]> n
Enter the name of an administrator present on the remote machine
[admin]>
Enter passphrase:
Please verify the SSH host key for 192.168.100.10:
Public host key fingerprint: 08:23:46:ab:cd:56:ff:ef:12:89:23:ee:56:12:67:aa
Is this a valid key for this host? [Y]> y
Joining cluster group Main_Group.
Joining a cluster takes effect immediately, there is no need to commit.
Cluster cluster.Cx90
Choose the operation you want to perform:
- ADDGROUP - Add a cluster group.
- SETGROUP - Set the group that machines are a member of.
- RENAMEGROUP - Rename a cluster group.
- DELETEGROUP - Remove a cluster group.
- REMOVEMACHINE - Remove a machine from the cluster.
- SETNAME - Set the cluster name.
- LIST - List the machines in the cluster.
- CONNSTATUS - Show the status of connections between machines in the cluster.
- COMMUNICATION - Configure how machines communicate within the cluster.
- DISCONNECT - Temporarily detach machines from the cluster.
- RECONNECT - Restore connections with machines that were previously detached.
- PREPJOIN - Prepare the addition of a new machine over CCS.
[]>
(Cluster cluster.Cx90)>この時点で、vESAは既存のCx90ハードウェアの構成をミラーリングします。これにより、すべての設定、ポリシー、および設定が両方のプラットフォームで一貫したものになります。
同期を検証し、既存のC600vとCx90との間に不一致がないことを確認するには、clustercheckコマンドを実行します。
Cluster cluster.Cx90)> clustercheck
No inconsistencies found on available machines.
(Cluster cluster.Cx90)> このコマンドは、対処が必要な潜在的な不整合を特定するのに役立ちます。
(cluster.Cx90)> clustercheck
Checking DLP settings...
Inconsistency found!
DLP settings at Cluster test:
vESA.Nutanix was updated Wed July 17 12:23:15 2024 GMT by 'admin' on C690.Machine C690.Machine was updated Wed Jun 13 06:34:45 2024 GMT by 'admin' on C690.Machine How do you want to resolve this inconsistency?
1. Force the entire cluster to use the vESA.Nutanix version.
2. Force the entire cluster to use the C690.Machine version.
3. Ignore.
[3]> 2注:vESAはまだメールを処理していません。実稼働環境に移行する前に、vESAがバージョン16.0に更新されていることを確認します。この手順は、システムの安定性と互換性を保つために重要です。実稼働環境に移行する前に、次の手順に従ってください。
ESAクラスタからのvESAの削除
vESAのCLIで、clusterconfigを実行し、removemachine操作を使用してアプライアンスをクラスタから削除します。
(Cluster cluster.Cx90)> clusterconfig
Cluster cluster.Cx90
Choose the operation you want to perform:
- ADDGROUP - Add a cluster group.
- SETGROUP - Set the group that machines are a member of.
- RENAMEGROUP - Rename a cluster group.
- DELETEGROUP - Remove a cluster group.
- REMOVEMACHINE - Remove a machine from the cluster.
- SETNAME - Set the cluster name.
- LIST - List the machines in the cluster.
- CONNSTATUS - Show the status of connections between machines in the cluster.
- COMMUNICATION - Configure how machines communicate within the cluster.
- DISCONNECT - Temporarily detach machines from the cluster.
- RECONNECT - Restore connections with machines that were previously detached.
- PREPJOIN - Prepare the addition of a new machine over CCS.
[]> removemachine
Choose the machine to remove from the cluster.
1. C690.Machine (group Main_Group)
2. vESA.Nutanix (group Main_Group)
[1]> 2
Warning:
- You are removing the machine you are currently connected to, and you will no longer be able to access the cluster.
- This change will happen immediately without a commit.
Are you sure you want to continue? [N]> y
Please wait, this operation may take a minute...
Machine vESA.Nutanix removed from the cluster.
vESAのアップグレード
設定の移行のこの段階では、vESAをバージョン16.0にアップグレードする必要があります。バージョン16.0が実稼働環境で正式にサポートされる最初のバージョンであるため、このアップグレードが必要です。アップグレードにより、仮想アプライアンスが最新の機能、セキュリティアップデート、および互換性の要件に確実に適合するようになります。バージョン16.0にアップグレードすると、vESAのパフォーマンスと信頼性が向上し、実稼働環境を完全にサポートできるようになります。このステップは、既存のインフラストラクチャ内でシームレスな統合と最適な運用を実現するために不可欠です。
vESA C600vをバージョン16.0にアップグレードするには、次の手順を実行します。
- System Administrationタブで、System Upgrade
- Available Upgradesをクリックします。ページが更新され、使用可能なAsyncOSアップグレードバージョンのリストが表示されます。バージョン16.0を選択します。
- Begin Upgradeボタンをクリックすると、アップグレードが開始されます。表示された質問に答えてください。アップグレードが完了したら、Reboot Nowボタンをクリックしてアプライアンスを再起動します。
- 再起動後、実行中のAsyncOSのバージョンを確認します。
CLIの場合、versionコマンドを実行します。
UIで、Monitor > System Infoの順に移動します。
新しいクラスタの作成(vESA上)
同じクラスタ名を使用する場合は、Cx90クラスタで使用されている名前を使用して新しいクラスタを作成する必要があります。または、新しいクラスタ名で新しいクラスタを作成します。これは、vESAで先ほどの手順を繰り返したものです。
vESA.Nutanix> clusterconfig
Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 2
Enter the name of the new cluster.
[]> newcluster.Virtual
Should all machines in the cluster communicate with each other by hostname or by IP address?
1. Communicate by IP address.
2. Communicate by hostname.
[2]> 1
What IP address should other machines use to communicate with Machine C170.local?
1. 192.168.101.100 port 22 (SSH on interface Management)
2. Enter an IP address manually
[]> 1
Other machines will communicate with Machine C195.local using IP address 192.168.101.100 port 22. You can change this by using the COMMUNICATION subcommand of the clusterconfig command.
New cluster committed: Sat Jun 08 11:45:33 2019 GMT
Creating a cluster takes effect immediately, there is no need to commit.
Cluster newcluster.Virtual
Choose the operation you want to perform:
- ADDGROUP - Add a cluster group.
- SETGROUP - Set the group that machines are a member of.
- RENAMEGROUP - Rename a cluster group.
- DELETEGROUP - Remove a cluster group.
- REMOVEMACHINE - Remove a machine from the cluster.
- SETNAME - Set the cluster name.
- LIST - List the machines in the cluster.
- CONNSTATUS - Show the status of connections between machines in the cluster.
- COMMUNICATION - Configure how machines communicate within the cluster.
- DISCONNECT - Temporarily detach machines from the cluster.
- RECONNECT - Restore connections with machines that were previously detached.
- PREPJOIN - Prepare the addition of a new machine over CCS.
[]>
(Cluster newcluster.Virtual)>
Join Your Cx00v to Your ESA Cluster
From the CLI on the Cx00v, run clusterconfig > Join an exisiting... to add your Cx00v into your new cluster configured on your vESA, similar to the following:
C600v.Nutanix> clusterconfig
Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 3
While joining a cluster, you will need to validate the SSH host key of the remote machine to which you are joining. To get the public host key fingerprint of the remote host, connect to the cluster and run: logconfig -> hostkeyconfig -> fingerprint.
WARNING: All non-network settings will be lost. System will inherit the values set at the group or cluster mode for the non-network settings. Ensure that the cluster settings are compatible with your network settings (e.g. dnsconfig settings)
Exception:Centralized Policy, Virus, and Outbreak Quarantine settings are not inherited from the cluster. These settings on this machine will remain intact.
Do you want to enable the Cluster Communication Service on ironport.example.com? [N]> n
Enter the IP address of a machine in the cluster.
[]> 192.168.101.100
Enter the remote port to connect to. This must be the normal admin ssh port, not the CCS port.
[22]>
Would you like to join this appliance to a cluster using pre-shared keys? Use this option if you have enabled two-factor authentication on the appliance. [Y]> n
Enter the name of an administrator present on the remote machine
[admin]>
Enter passphrase:
Please verify the SSH host key for 10.10.10.56:
Public host key fingerprint: 00:61:32:aa:bb:84:ff:ff:22:75:88:ff:77:48:84:eb
Is this a valid key for this host? [Y]> y
Joining cluster group Main_Group.
Joining a cluster takes effect immediately, there is no need to commit.
Cluster newcluster.Virtual
Choose the operation you want to perform:
- ADDGROUP - Add a cluster group.
- SETGROUP - Set the group that machines are a member of.
- RENAMEGROUP - Rename a cluster group.
- DELETEGROUP - Remove a cluster group.
- REMOVEMACHINE - Remove a machine from the cluster.
- SETNAME - Set the cluster name.
- LIST - List the machines in the cluster.
- CONNSTATUS - Show the status of connections between machines in the cluster.
- COMMUNICATION - Configure how machines communicate within the cluster.
- DISCONNECT - Temporarily detach machines from the cluster.
- RECONNECT - Restore connections with machines that were previously detached.
- PREPJOIN - Prepare the addition of a new machine over CCS.
[]>
(Cluster newcluster.Virtual)>結論
このドキュメントで概説されている手順に従うことで、Nutanixを使用してX90機器の設定を仮想環境に移行できました。vESAをバージョン16.0にアップグレードします。これは、実稼働環境でサポートされる最初のバージョンです。これにより、仮想アプライアンスが実稼働環境の要求を完全に処理できるようになります。このアップグレードにより、最新の機能、セキュリティの強化、および互換性の改善が提供され、最適なパフォーマンスと信頼性が確保されます。
最後に、DNSレコードとロードバランシングの設定がvESAを含むように更新されていることを確認し、メールを効果的に処理できるようにします。これらの設定を行うことで、vESAは既存のインフラストラクチャ内で動作する準備が整い、堅牢なEメールセキュリティとシームレスな統合を提供します。
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
16-Oct-2024 |
初版 |
フィードバック