- はじめに
- Cisco ISE でのネットワーク配置
- Cisco SNS-3400 シリーズ アプライアンス
- Cisco SNS-3400 シリーズ アプライアンスのインストールおよび設定
- VMware 仮想マシンでのリリース 1.2 ソフトウェアのインストール
- Cisco ISE 3300 シリーズ、Cisco NAC、および Cisco Secure ACS のアプライアンスへのリリース 1.2 ソフトウェアのインストール
- 管理者アカウントの管理
- インストール後のタスクの実行
- ラックへの Cisco SNS-3400 シリーズ アプライアンスの設置
- Cisco SNS-3400 シリーズ サーバの仕様
- Cisco SNS-3400 シリーズ アプライアンスのポート リファレンス
- Cisco ISE ライセンス
- Cisco ISE での証明書の管理
- Index
Cisco Identity Services Engine ハードウェア インストレーション ガイド リリース 1.2
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年5月29日
章のタイトル: VMware 仮想マシンでのリリース 1.2 ソフトウェアのインストール
VMware 仮想マシンでのリリース 1.2 ソフトウェアのインストール
この章では、Cisco Identity Services Engine(ISE)リリース 1.2 のソフトウェアを VMware 仮想マシン(VM)にインストールするためのシステム要件について説明します。次のトピックで、インストール プロセスに関する情報を提供します。
•
「リリース 1.2 における VMware vMotion に対する サポート」
• 「VMware ESX または ESXi サーバの設定」
• 「Cisco ISE ソフトウェアのインストールのための VMware システムの準備」
• 「VMware システムへの Cisco ISE ソフトウェアのインストール」
• 「シリアル コンソールを使用した Cisco ISE VMware サーバへの接続」
(注) インライン ポスチャ ノードは、Cisco SNS-3415 および Cisco ISE 3300 シリーズ アプライアンスでのみサポートされています。Cisco SNS-3495 シリーズまたは VMware サーバ システムではサポートされていません。その他の指定されたロールはすべて、VMware 仮想マシン上での使用がサポートされています。
サポートされる VMWare のバージョン
Cisco ISE は次の VMware サーバとクライアントをサポートしています。
• VMware Elastic Sky X(ESX)バージョン 4.0、4.0.1、および 4.1
• VMware ESXi バージョン 4. x および 5 x
• VMware vSphere Client 4. x および 5 x
(注) Cisco ISE リリース 1.2 は、VMware vMotion 機能(あるサーバから別のサーバへの仮想マシンのライブ マイグレーション)をサポートします。
リリース 1.2 における VMware vMotion に対する サポート
Cisco ISE リリース 1.2 では、ライブ仮想マシン(VM)インスタンス(任意のペルソナを実行)のホスト間での移行を可能にする、VMware vMotion 機能がサポートされます。該当の VMware vMotion 機能が機能するには、次の条件を満たす必要があります。
• 共有ストレージ:VM のストレージがストレージ エリア ネットワーク(SAN)に存在している必要があり、この SAN は、移動された VM をホストする可能性があるすべての VMware ホストからアクセスできる必要があります。
• VMFS ボリュームの共有:この VMware ホストは、共有 Virtual Machine File System(VMFS)ボリュームを使用する必要があります。
• ギガビット イーサネットの相互接続:SAN および VMware ホストは、ギガビット イーサネット リンクを使用して相互接続する必要があります。
• プロセッサの互換性:互換性のある一連のプロセッサを使用する必要があります。プロセッサは、vMotion の互換性のために、同じベンダーとプロセッサ ファミリのものである必要があります。
仮想マシンの要件
表 4-1 に、VMware 仮想マシンに Cisco ISE リリース 1.2 ソフトウェアをインストールし、100 のエンドポイントをサポートするための最小システム要件を示します。
Cisco ISE ハードウェア アプライアンスと同等のパフォーマンスと拡張性を実現するには、VMware 仮想マシンに Cisco SNS 3415 および 3495 アプライアンスと同等のシステム リソースが割り当てられている必要があります。詳細については、「配置の規模およびスケーリングについての推奨事項」および「VMWare アプライアンスの推奨サイズ」 を 参照してください。
|
|
|
|---|---|
200 GB ~ 2 TB のディスク ストレージ(サイズは展開とタスクによって異なります)。詳細については、 表 4-3 を参照してください。 VM ホスト サーバでは、最小速度が 10,000 RPM のハード ディスクを使用することを推奨します。Cisco ISE VM では、最低 50 MB/秒の書き込み帯域幅が必要です。ホスティング環境が 10,000 RPM のディスクを使用していれば、この帯域幅は簡単に実現可能です。 (注) Cisco ISE に対して仮想マシンを作成する場合は、ストレージ要件を満たす単一の仮想ディスクを使用します。ディスク領域要件を満たしている複数のディスクを使用する場合、インストーラがすべてのディスク領域を認識しない可能性があります。 |
|
| ストレージに VMFS を使用することを推奨します。他のストレージ プロトコルはテストされておらず、何らかのファイルシステム エラーの原因となる可能性があります。 |
|
1 GB の NIC インターフェイスが必要(複数の NIC が推奨されます)
(注) ユーザが設定した任意の NIC のネットワーク接続を作成する場合は、[Adapter(アダプタ)] ドロップダウン リストから [E1000] を選択することを推奨します。Cisco ISE リリース 1.2 は、すべての NIC 用の E1000 および VMXNET3 アダプタをサポートします。その他の仮想 NIC ドライバはサポートされません。「VMware サーバの設定」の ステップ 10 を参照してください。 |
|
「サポートされる VMWare のバージョン」を参照してください。 |
VMWare アプライアンスの推奨サイズ
VMWare アプライアンスの仕様は、物理アプライアンスと同等にする必要があります。 表 4-2 に、実稼働環境の物理アプライアンスに対して推奨される VMware 仕様を示します。
|
|
|
|
|---|---|---|
プロセッサ1 |
||
合計ディスク2領域 |
||
イーサネット NIC3 |
| 1.仮想マシンのリソースは専用にする必要があります。VM リソースは複数の仮想マシン間で共有またはオーバーサブスクライブすることはできません。 2.仮想マシンのポリシー サービス ノードは管理またはモニタリング ノードよりも少ないディスク領域で導入できます。ポリシー サービス ノードのディスク領域として 150 から 200 GB を用意することを推奨します。さまざまなペルソナに必要なディスク領域の詳細については、「推奨される VMware ディスク領域」を参照してください。 3.仮想マシンは 1 ~ 4 つの NIC を使用して設定できます。2 つ以上の NIC を使用できるようにすることを推奨します。追加のインターフェイスは、プロファイリングや RADIUS などのさまざまなサービスをサポートするために使用できます。各ポートでサポートされるサービスに関する詳細については、付録 C「Cisco SNS-3400 シリーズ アプライアンスのポート リファレンス」を参照してください。 |
Cisco ISE リリース 1.2 は、従来のアプライアンスの仕様に基づいて仮想マシンにインストールできますが、パフォーマンスを改善するために、SNS-3400 シリーズのアプライアンスの仕様に基づいて新しい仮想マシンを導入することを推奨します。
ディスク スペースに関する要件
表 4-3 に、実動環境で VMware サーバを実行するために推奨される、Cisco ISE ディスク領域の割り当てを示します。Cisco ISE ソフトウェアの実行には、 表 4-1 に記載された、サポートされている VMware ESX および ESXi のサーバ バージョン使用してください。
|
|
|
|
|
|---|---|---|---|
600 GB ~2 TB4 |
|||
分散 ISE:管理専用5 |
|||
| 4.ディスク割り当ては、ロギングの保持要件によって異なります。詳細については、表 4-4を参照してください。 5.追加のディスク領域は、ローカル ロギングのサポートや、ローカル ディスク上のバックアップおよびアップグレード ファイルの保存に割り当てられる可能性があります。 |
Cisco ISE は、VMware 内の単一のディスクにインストールする必要があります。
(注) Cisco ISE リリース 1.2 仮想マシン(VM)に割り当てることができるディスク領域は最高で 2 TB のみです。
モニタリング ペルソナが有効になっている任意のノードでは、VM ディスク領域の 30 パーセントがログ ストレージ用に割り当てられます。25,000 のエンドポイントがある展開では、1 日あたり約 1 GB のログが生成されます。
たとえば、600 GB の VM ディスク領域があるモニタリング ノードがある場合、180 GB がログストレージ用に割り当てられます。100,000 のエンドポイントが毎日このネットワークに接続する場合、1 日あたり約 4 GB のログが生成されます。この場合、リポジトリに古いデータを転送し、モニタリング データベースからそのデータをパージすれば、モニタリング ノードのログを 38 日を保存することができます。
追加のログ ストレージ用に、VM ディスク領域を増やすことができます。追加するディスク スペースの100 GB ごとに、ログ ストレージ用に 30 GB が追加されます。要件に応じて、最大 2 TB または 614 GB のログ ストレージ分 VM ディスク サイズを増やすことができます。
仮想マシンのディスク サイズを増やす場合、Cisco ISE 1.2 にアップグレードする必要はありませんが、仮想マシン上で Cisco ISE 1.2 の新規インストールを実行してください。
表 4-4 に、モニタリング ノードに割り当てられたディスク領域とネットワークに接続するエンドポイントの数に基づいて、モニタリング ノードで保持できる日数を示します。
|
|
|
|
|
|
|
|---|---|---|---|---|---|
リリース 1.2 の評価
評価のために、Cisco ISE リリース 1.2 を、 表 4-1 に記載された要件に準拠した、サポートされる任意の VMware 仮想マシン(VM)にインストールすることができます。リリース 1.2 を評価する場合は、VM のディスク領域を少なく設定できますが、最低 100 GB のディスク領域を割り当てることは必要です。
(注) 200 GB 未満のディスク領域を使用して作成された VM から実稼働 VM にデータを移行することはできません。200 GB 以上のディスク領域を使用して作成された VM のデータのみを実稼働環境に移行できます。
Cisco ISE リリース 1.2 評価版ソフトウェア(R-ISE-EVAL-K9=)を入手するには、シスコのアカウント チームまたは認定されたシスコ チャネル パートナーにお問い合わせください。
評価システムから完全ライセンスを持つ実稼働環境のシステムに Cisco ISE 設定を移行するには、次のタスクを実行する必要があります。
• 実稼働 VM に必要なディスク領域があることを確認する。詳細については、「配置の規模およびスケーリングについての推奨事項」を参照してください。
(注) 評価の場合、100 人のユーザをサポートする VMware サーバに対するハードディスクの最小の割り当て要件は 100 GB です。より多くのユーザをサポートする実稼働環境に VMware サーバを移動する場合は、Cisco ISE インストールを必ず表 4-3 に記載された推奨される最小ディスク サイズ以上(最大許容サイズは 2 TB)に再設定してください。
VMware ESX または ESXi サーバの設定
この項では、VMware 仮想マシンで VMware ESX または ESXi サーバを設定する方法について説明します。
次の手順を実行するには、管理者権限を持つユーザ(root ユーザ)として ESXi サーバにログインする必要があります。次の手順の値や図は一例です。実際の値は導入の要件によって異なります。
VMware ESX または ESXi サーバを設定する前に、次をお読みください。
• Cisco ISE リリース 1.2 は、64 ビット システムです。64 ビット システムをインストールする前に、仮想化テクノロジー(VT)が ESX/ESXi サーバで有効になっていることを確認してください。また、仮想マシンのゲスト オペレーティング システムが 64 ビットに設定されていることも確認してください。詳細については、「ESX または ESXi サーバの仮想化テクノロジーの有効化」を参照してください。64 ビットのゲスト オペレーティング システムをサポートするハードウェアおよびファームウェアの要件については、次の VMware ナレッジ ベースを参照してください。
http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1011712
• ゲスト オペレーティング システムのタイプが Red Hat Enterprise Linux 5(64 ビット)に設定されていることも確認する必要があります。ゲスト オペレーティング システムの設定方法については、 http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=
displayKC&externalId=1005870 を参照してください。
• Red Hat Enterprise Linux 5 の場合、デフォルトの NIC タイプは、E1000 です。E1000 アダプタを選択することを推奨します。Cisco ISE は VMXNET3 アダプタもサポートします。Cisco ISE 仮想マシン用に最大 4 つの NIC を追加できますが、すべての NIC に対して必ず同じアダプタを選択するようにしてください。Cisco ISE リリース 1.2 は VMXNET2 アダプタをサポートしません。
• VMware 仮想マシンディスク領域の推奨量を割り当てていることを確認してください。詳細については、表 4-3を参照してください。
• VMware Virtual Machine File System(VMFS)を作成していない場合は、Cisco ISE 仮想アプライアンスをサポートするために作成する必要があります。VMFS は、VMware ホスト上に設定されたストレージ ボリュームごとに設定されます。
– VMFS5 を使用する場合、1 MB のブロック サイズは最大で 2 TB の仮想ディスク サイズをサポートします。
– VMFS3 を使用する場合は、VMware ホストでホストされる仮想ディスクの最大サイズに基づいて VMFS のブロック サイズを選択する必要があります。VMFS のブロック サイズを設定した後にこのサイズを変更するには、VMFS パーティションを再フォーマットする必要があります。VMFS-3 の場合、VMFS のブロック サイズは次の最大仮想ディスク サイズに基づいている必要があります。
|
|
|
|---|---|
• ストレージ タイプとして VMware シン プロビジョニングを選択しないでください。Cisco ISE ソフトウェアのこのリリースでは、サポートされるいずれの VMware サーバでも、ストレージ タイプとして VMware シン プロビジョニングを使用することはサポートされません。シン プロビジョニングは、デフォルト設定ではなく、ステップ 13 で選択することは推奨されません(図 4-13 を参照)。
• プロファイラ サービスを有効にしている場合は、「Cisco ISE プロファイラ サービスに対する VMware サーバ インターフェイスの設定」で説明されているタスクを読み、実行したことを確認します。
ESX または ESXi サーバの仮想化テクノロジーの有効化
Cisco ISE リリース 1.2 は 64 ビット システムで、バージョン 4.0、4.0.1、4.1 および ESXi バージョンの VMware ESX 4. x および 5. x をサポートします。これらの ESX および ESXi のバージョンは 64 ビットのハードウェアにのみインストールできます。したがって、ユーザは Cisco ISE リリース 1.1.x 仮想マシンをホストするのに使用していたのと同じハードウェアをリリース 1.2 で再利用できます。ただし、リリース 1.2 をインストールする前に、ESX または ESXi サーバで仮想化テクノロジー(VT)を有効にする必要があります。
すでに ESX または ESXi サーバをインストールしている場合は、マシンを再起動せずに、VT が有効かどうかを確認できます。これを行うには、 esxcfg-info コマンドを使用します。次に例を示します。
HV サポートの値が 3 の場合、VT は ESX または ESXi サーバで有効であるため、インストールに進むことができます。HV サポートの値が 2 の場合、VT はサポートされていますが、ESX または ESXi サーバで有効になっていません。BIOS 設定を編集し、ESX または ESXi サーバで VT を有効にする必要があります。 esxcfg-info コマンドの詳細については、次の VMware ナレッジ ベースを参照してください。
http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1011712
この項では、BIOS 設定を編集し、SNS-3400 シリーズ アプライアンスで VT を有効にする方法について説明します。この項の手順および図は、単なる例です。ご使用のハードウェアの BIOS メニューはこの例とは異なる場合があります。ESX または ESXi サーバで VT を有効にする前に、次の VMware ナレッジ ベースを参照してください。
http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1003944
ステップ 1 SNS-3400 シリーズ アプライアンスをリブートします。
ステップ 3 [Advanced(拡張)] > [Processor Configuration(プロセッサの設定)] を選択します。
図 4-1 SNS-3400 シリーズ アプライアンスの BIOS 設定の編集
ステップ 4 [Intel(R) VT] を選択して、有効にします。
図 4-2 SNS-3400 シリーズ アプライアンスでの VT の有効化
ステップ 5 変更を保存し、終了するには、F10 を押します。
Cisco ISE プロファイラ サービスに対する VMware サーバ インターフェイスの設定
VMware サーバ インターフェイスを、スイッチ ポート アナライザ(SPAN)またはミラー化されたトラフィックの Cisco ISE プロファイラ サービスの専用プローブ インターフェイスへの収集をサポートするように設定するには、次の手順に従います。
ステップ 1 以下のように選択します。[Configuration(設定)] > [Networking(ネットワーク)] > [Properties(プロパティ)] > [ VMNetwork (ご使用の VMware サーバ インスタンスの名前)] > [ VMswitch0 (ご使用の VMware ESXi サーバ インターフェイスの 1 つ)] > [Properties(プロパティ)] > [Security(セキュリティ)]
ステップ 2 [Security(セキュリティ)] タブの [Policy Exceptions(ポリシー例外)] ペインで [Promiscuous Mode(無差別モード)] チェックボックスをオンにします。
ステップ 3 [Promiscuous Mode(無差別モード)] ドロップダウン リストで、[Accept(許可)] を選択し、[OK] をクリックします。
SPAN またはミラー化されたトラフィックのプロファイラ データ収集に使用する他の VMware ESX サーバ インターフェイスで同じ手順を繰り返して行ってください。
図 4-3 [VMNetwork Properties(VMNetwork プロパティ)] ウィンドウ
VMware サーバの設定
この項では、VMware vSphere Client を使用して VMware サーバを設定する方法について説明します。
ステップ 2 VMware vSphere Client の左側のペインで、ホスト コンテナを右クリックして、[New Virtual Machine(新しい仮想マシン)] を選択します。
ステップ 3 [Configuration Type(設定タイプ)] ダイアログボックスで、VMware 設定として [Custom(カスタム)] を選択し(図 4-4 を参照)、[Next(次へ)] をクリックします。
図 4-4 [Virtual Machine Configuration(仮想マシンの設定)] ダイアログボックス
[Name and Location(名前とロケーション)] ダイアログボックスが表示されます(図 4-5 を参照)。
ステップ 4 VMware システムの名前を入力し、[Next(次へ)] をクリックします。
ヒント VMware ホストに使用するホスト名を使用します。
図 4-5 [Name and Location(名前とロケーション)] ダイアログボックス
[Datastore(データストア)] ダイアログボックスが表示されます(図 4-6 を参照)。
ステップ 5 推奨される使用可能な領域があるデータストアを選択し [Next(次へ)] をクリックします。詳細については、 表 4-3 を参照してください。
図 4-6 [Datastore(データストア)] ダイアログボックス
[Virtual Machine Version(仮想マシンのバージョン)] ダイアログボックスが表示されます。
ステップ 6 (オプション)VM ホストまたはクラスタが複数の VMware 仮想マシン バージョンをサポートする場合は、[Virtual Machine Version 7(仮想マシン バージョン 7)] などの仮想マシン バージョンを選択して、[Next(次へ)] をクリックします(図 4-7 を参照)。
[Guest Operating System(ゲスト オペレーティング システム)] ダイアログボックスが表示されます(図 4-8 を参照)。
ステップ 7 [Version(バージョン)] ドロップダウン リストから、[Linux] および [Red Hat Enterprise Linux 5 (64-bit)] を選択します。
図 4-8 [Guest Operating System(ゲスト オペレーティング システム)] ダイアログボックス
[Number of Virtual Processors(仮想プロセッサの数)] ダイアログボックスが表示されます(図 4-9 を参照)。
ステップ 8 [Number of virtual sockets(仮想ソケットの数)] および [Number of cores per virtual socket(仮想ソケットあたりのコア数)] ドロップダウン リストで、[2] を選択します。コアの総数は 4 にする必要があります。詳細については、 「実稼働環境向けの VMware アプライアンスの仕様」 を参照してください。[Next(次へ)] をクリックします。
図 4-9 [Number of Virtual Processors(仮想プロセッサの数)] ダイアログボックス
(オプション、一部の ESX サーバのバージョンに表示されます。[Number of virtual processors(仮想プロセッサの数)] のみが表示される場合は、[4] を選択します。
[Memory Configuration(メモリ設定)] ダイアログボックスが表示されます(図 4-10 を参照)。
ステップ 9 表 4-2 に記載されている推奨に基づいた値を入力し、[Next(次へ)] をクリックします。
図 4-10 [Memory Configuration(メモリ設定)] ダイアログボックス
[Network Interface Card (NIC) Configuration(ネットワーク インターフェイス カード(NIC)設定)] ダイアログボックスが表示されます(図 4-11 を参照)。
ステップ 10 NIC およびアダプタを選択し、[Next(次へ)] をクリックします。
(注) E1000 アダプタを選択することを推奨します。Cisco ISE リリース 1.2 は、E1000 および VMXNET3 アダプタのみをサポートします。その他の仮想 NIC ドライバはサポートされません。
図 4-11 [NIC Configuration(NIC 設定)] ダイアログボックス
[SCSI Controller(SCSI コントローラ)] ダイアログ ボックスが表示されます。
ステップ 11 SCSI コントローラとして [LSI Logic Parallel(LSI 論理並列)] を選択し、[Next(次へ)] をクリックします。
[Select a Disk(ディスクの選択)] ダイアログ ボックスが表示されます(図 4-12 を参照)。
ステップ 12 [Create a new virtual disk(新しい仮想ディスクの作成)] を選択し、[Next(次へ)] をクリックします。
[Virtual Disk Size and Provisioning Policy(仮想ディスク サイズとプロビジョニング ポリシー)] ダイアログ ボックスが表示されます。
ステップ 13 [Disk Provisioning(ディスク プロビジョニング)] ダイアログ ボックスで、[Thick Provisioning Lazy Zeroed(Lazy Zeroed のシック プロビジョニング)] オプション ボタンをクリックします。[Next(次へ)] をクリックして続行します。(図 4-13 を参照)。
VMware クライアントの以前のバージョンを使用する場合、チェックボックスの選択を解除します。
a. [Allocate and commit space on demand (Thin Provisioning)(オンデマンドでスペースを割り当ててコミットする(シン プロビジョニング))] チェックボックスの選択を解除します。
b. [Support clustering features such as Fault Tolerance(フォルト トレランスのようなクラスタリング機能をサポートする)] チェックボックスの選択を解除します。
(注) [Thick Provisioned Lazy Zeroed(シックプロビジョニングされた Lazy Zeroed)] オプションが選択されていると、仮想ディスクはすべてのプロビジョニングされた領域に割り当てられ、ただちに仮想マシンからアクセスできるようになります。Lazy Zeroed ディスクはそれまでゼロ化されてないため、これにより、プロビジョニングが非常に高速になります。ただし、各ブロックは最初の書き込みが行われる前にゼロでクリアされるため、最初の書き込み時にはその分の遅延が発生します。
VMFS に I/O 集中型のアプリケーションを導入する場合は、[Thick Provisioned Eager Zeroed (Recommended for I/O intensive workloads)(シックプロビジョニングされた Eager Zeroed(I/O 集中型のワークロードに推奨))] オプションを推奨します。仮想ディスクはすべてのプロビジョニングされた領域に割り当てられ、VMDK ファイル全体がゼロでクリアされてから、仮想マシンがアクセスできるようになります。これは、仮想マシンが VMDK ファイルにアクセスできるようになるまでの時間が長くなるが、最初の書き込み時のゼロ化による追加の遅延は発生しないことを意味します。
図 4-13 [Disk Provisioning(ディスク プロビジョニング)] ダイアログ ボックス
[Advanced Options(拡張オプション)] ダイアログボックスが表示されます。
ステップ 14 詳細オプションを選択し、[Next(次へ)] をクリックします。
[Ready to Complete New Virtual Machine(新規仮想マシンを完了する準備ができました)] ダイアログボックスが表示されます(図 4-14 を参照)。
ステップ 15 新しく作成された VMware システムの名前、ゲスト OS、CPU、メモリ、およびディスク サイズなどの設定の詳細を確認します。次の値が確認されるはずです。
• ゲスト OS:Red Hat Enterprise Linux 5(64 ビット)
• ディスク サイズ:VMware ディスク領域の推奨事項に基づいて、200 GB ~ 2 TB
仮想マシンでの Cisco ISE のインストールを正常に行うには、このマニュアルに記載されている推奨事項に必ず従ってください。
図 4-14 [Ready to Complete(完了する準備ができました)] ダイアログボックス
ステップ 16 [Finish(完了)] をクリックします。
新しく作成された VMware システムをアクティブにするには、VMware クライアントのユーザ インターフェイスの左側のペインで [VM] を右クリックして、[Power(電源)] > [Power On(電源の投入)] を選択します。
Cisco ISE ソフトウェアのインストールのための VMware システムの準備
VMware システムを設定すると、Cisco ISE ソフトウェアをインストールする準備ができる状態になります。DVD から Cisco ISE ソフトウェアをインストールするには、DVD からブートするように VMware システムを設定する必要があります。このためには、仮想 DVD ドライブを使用して VMware システムを設定する必要があります。
このインストールは、ご使用のネットワーク環境に応じて異なる方法を使用して実行できます。VMware ESX サーバ ホストの DVD ドライブを使用して VMware システムを設定するには、「VMware システムを Cisco ISE ソフトウェア DVD から起動するための設定」を参照してください。
(注) Cisco ISE 1.2 ISO をダウンロードし、その ISO イメージを DVD に書き込み、Cisco ISE 1.2 を仮想マシンにインストールするために使用します。
VMware システムを Cisco ISE ソフトウェア DVD から起動するための設定
この項では、VMware ESX サーバ ホストの DVD ドライブを使用して、Cisco ISE ソフトウェア DVD から VMware システムを起動するように設定する方法について説明します。
ステップ 1 新たに作成した VMware システムを強調表示して、[Edit Virtual Machine Settings(仮想マシン設定の編集)] を選択します。
[Virtual Machine Properties(仮想マシンのプロパティ)] ウィンドウが表示されます。図 4-15 に作成された VMware システムのプロパティを表示します。
図 4-15 [Virtual Machine Properties(仮想マシンのプロパティ)] ダイアログボックス
ステップ 2 [Virtual Machine Properties(仮想マシンのプロパティ)] ダイアログボックスで、[CD/DVD Drive 1(CD/DVD ドライブ 1)] を選択します。
[CD/DVD Drive1 properties(CD/DVD ドライブ 1 のプロパティ)] ダイアログ ボックスが表示されます。
ステップ 3 [Host Device(ホスト デバイス)] オプション ボタンをクリックし、ドロップダウン リストから DVD ホスト デバイスを選択します。
図 4-16 仮想マシンのプロパティ:[Host Device(ホスト デバイス)] オプション
ステップ 4 [Connect at Power On(電源投入時に接続)] オプションを選択し、[OK] をクリックして設定を保存します。
これで、VMware ESX サーバの DVD ドライブを使用して、Cisco ISE ソフトウェアをインストールできるようになりました。
このタスクを完了すると、VMware クライアント ユーザ インターフェイスで [Console(コンソール)] タブをクリックし、左側のペインで、[VM] を右クリックし、[Power(電源)] を選択して、[Reset(リセット)] を選択します。
VMware システムへの Cisco ISE ソフトウェアのインストール
ステップ 2 BIOS で協定世界時(UTC)が設定されていることを確認します。
a. VMware システムが起動している場合は、システムをオフにします。
c. F1 を押して、BIOS セットアップ モードにします。
d. 矢印キーを使用して [Date and Time(日付と時刻)] フィールドに移動し、Enter を押します。
e. UTC/グリニッジ標準時(GMT)タイム ゾーンを入力します。
(注) すべての Cisco ISE ノードを UTC タイム ゾーンに設定することを推奨します。このタイム ゾーンの設定により、展開におけるさまざまなノードからのレポート、ログ、およびポスチャ エージェントのログ ファイルが、タイムスタンプで常に同期されるようになります。
f. Esc を押して、メイン BIOS メニューを終了します。
g. Esc を押して、BIOS セットアップ モードを終了します。
(注) インストール後に永続ライセンスがインストールされない場合、Cisco ISE は自動的に最大 100 エンドポイントをサポートする 90 日間の評価ライセンスをインストールします。
ステップ 3 Cisco ISE ソフトウェア DVD を VMware ESX ホストの CD/DVD ドライブに挿入して、仮想マシンをオンにします。
(注) Cisco ISE リリース 1.2 ソフトウェアを Cisco ソフトウェアのダウンロード サイト(http://www.cisco.com/en/US/products/ps11640/index.html )からダウンロードし、DVD に書き込みます。Cisco.com クレデンシャルの提供が求められます。
To boot from the hard disk press <Enter>
[1] Cisco Identity Services Engine Installation (Monitor/Keyboard)
[2] Cisco Identity Services Engine Installation (Serial Console)
[3] Reset Administrator Password (Keyboard/Monitor)
[4] Reset Administrator Password (Serial Console)
Please enter boot option and press <Enter>.
初期セットアップを実行するには、モニタとキーボード ポートまたはコンソール ポートのいずれかを選択できます。
ステップ 4 システム プロンプトで、 1 と入力してモニタとキーボード ポートを選択するか、 2 と入力してコンソール ポートを選択し、Enter を押します。
インストーラが、VMware システムへの Cisco ISE ソフトウェアのインストールを開始します。
(注) インストール プロセスが完了するまで、20 分かかります。
インストール プロセスが終了すると、仮想マシンは自動的に再起動されます。
Type 'setup' to configure your appliance
ステップ 5 システム プロンプトで、 setup と入力し、Enter を押します。
セットアップ ウィザードが表示され、ウィザードに従って初期設定を実行します。セットアップ プロセスの詳細については、「Cisco ISE セットアップ プログラム パラメータ」を参照してください。
シリアル コンソールを使用した Cisco ISE VMware サーバへの接続
シリアル コンソールを使用して Cisco ISE VMWare サーバに接続するには、次の手順に従います。
ステップ 1 特定の VMware サーバ(たとえば ISE-120)の電源をオフにします。
ステップ 2 VMware サーバを右クリックし、[Edit(編集)] を選択します。
ステップ 3 [Hardware(ハードウェア)] タブで [Add(追加)] をクリックします(図 4-15 を参照) 。
ステップ 4 [Serial Port(シリアル ポート)] を選択し、[Next(次へ)] をクリックします(図 4-17 を参照)。
ステップ 5 [Serial Port Output(シリアル ポートの出力)] 領域で、[Use physical serial port on the host(ホスト上の物理シリアル ポートを使用する)] または [Connect via Network(ネットワーク経由で接続)] オプション ボタンを使用して、[Next(次へ)] をクリックします(図 4-18 を参照) 。
a. [Connect via Network(ネットワーク経由で接続)] オプションを選択した場合は、ESX サーバ上のファイアウォール ポートを開く必要があります。
b. ホスト上の物理シリアル ポートを選択する場合は、そのポートを選択します。次の 2 つのいずれかのオプションを選択できます。
• /dev/ttyS0 (DOS または Windows オペレーティング システムで、これは COM1 として表示されます)。
• /dev/ttyS1 (DOS または Windows オペレーティング システムで、これは COM2 として表示されます)。
ステップ 6 [Next(次へ)] をクリックします(図 4-19 を参照)。
ステップ 7 [Device Status(デバイスのステータス)] 領域で、適切なチェックボックスをオンにします。デフォルトは [Connected(接続済み)] です(図 4-20 を参照)。
ステップ 8 Cisco ISE VMware サーバに接続するには、[OK] をクリックします。
Cisco ISE 仮想マシンの複製
Cisco ISE ノードの厳密なレプリカを作成することで、Cisco ISE VMware 仮想マシン(VM)を複製できます。たとえば、複数のポリシー サービス ノード(PSN)を使用した分散導入環境で、VM の複製は PSN を迅速かつ効率的に導入するのに役立ちます。PSN をそれぞれ別個にインストールして設定する必要はありません。
テンプレートを使用して Cisco ISE VM を複製することもできます。詳細については、「テンプレートを使用した Cisco ISE 仮想マシンの複製」を参照してください。
• 複製する Cisco ISE VM がシャット ダウンされていることを確認します。vSphere クライアントで、複製する Cisco ISE VM を右クリックし、[Power(電源)] > [Shut Down Guest(ゲストをシャットダウン)] を選択します。
• 複製されたマシンの IP アドレスとホスト名を変更したことを確認してから、そのマシンの電源をオンにして、ネットワークに接続します。
ステップ 1 管理者権限を持つユーザ(root ユーザ)として ESXi サーバにログインします。
ステップ 2 複製する Cisco ISE VM を右クリックし、[Clone(複製)] をクリックします(図 4-21 を参照)。
ステップ 3 [Name and Location(名前とロケーション)] ダイアログ ボックスに作成する新しいマシンの名前を入力し、[Next(次へ)] をクリックします。
これは、新しく作成する Cisco ISE VM のホスト名ではなく、参照のための説明となる名前です。
ステップ 4 新しい Cisco ISE VM を実行するホストまたはクラスタを選択し、[Next(次へ)] をクリックします。
ステップ 5 新しい Cisco ISE VM 用のデータストアを選択して、[Next(次へ)] をクリックします。
このデータストアは、ESX または ESXi サーバ上のローカル データストアまたはリモート ストレージの場合があります。サポートされるストレージ タイプについては、表 4-1 を参照してください。データストアに表 4-3 に記載されている十分なディスク領域があることを確認します。
ステップ 6 [Disk Format(ディスクのフォーマット)] ダイアログ ボックスで [Same format as source(ソースと同じフォーマット)] オプション ボタンをクリックし、[Next(次へ)] をクリックします。
このオプションは、この新しいマシン複製元である Cisco ISE VM で使用されているのと同じフォーマットをコピーします。
ステップ 7 [Guest Customization(ゲスト カスタマイズ)] ダイアログ ボックスで [Do not customize(カスタマイズしない)] オプション ボタンをクリックし、[Next(次へ)] をクリックします。
[Ready to Complete(完了する準備ができました)] ダイアログ ボックスが表示されます(図 4-22 を参照)。
• 「複製された仮想マシンの IP アドレスおよびホスト名の変更」
• 「複製された Cisco 仮想マシンのネットワークへの接続」
• 「テンプレートを使用した Cisco ISE 仮想マシンの複製」
テンプレートを使用した Cisco ISE 仮想マシンの複製
vCenter を使用している場合は、VMware テンプレートを使用して、Cisco ISE 仮想マシン(VM)を複製できます。テンプレートに Cisco ISE ノードを複製し、そのテンプレートを使用して、複数の新しい Cisco ISE ノードを作成できます。テンプレートを使用した仮想マシンの複製は、次の 2 つのステップで構成される手順です。
仮想マシン テンプレートの作成
• 複製する Cisco ISE VM がシャット ダウンされていることを確認します。vSphere クライアントで、複製する Cisco ISE VM を右クリックし、[Power(電源)] > [Shut Down Guest(ゲストをシャットダウン)] を選択します。
• テンプレートは、インストールしたばかりでセットアップ プログラムを実行していない Cisco ISE リリース 1.2 VM から作成することを推奨します。次に、IP アドレスおよびホスト名を個別に作成し、設定した Cisco ISE の各ノードでセットアップ プログラムをそれぞれ実行します。
ステップ 1 管理者権限を持つユーザ(root ユーザ)として ESXi サーバにログインします。
ステップ 2 複製する Cisco ISE VM を右クリックし、[Clone(複製)] > [Clone to Template(テンプレートに複製)] を選択します。
ステップ 3 テンプレートの名前を入力し、[Name and Location(名前とロケーション)] ダイアログ ボックスでテンプレートを保存する場所を選択して、[Next(次へ)] をクリックします。
ステップ 4 テンプレートを保存する ESX ホストを選択して、[Next(次へ)] をクリックします。
ステップ 5 テンプレートを保存するデータストアを選択して、[Next(次へ)] をクリックします。
このデータストアに必要なディスク領域があることを確認します。詳細については、表 4-3を参照してください。
ステップ 6 [Disk Format(ディスクのフォーマット)] ダイアログ ボックスで [Same format as source(ソースと同じフォーマット)] オプション ボタンをクリックし、[Next(次へ)] をクリックします。
[Ready to Complete(完了する準備ができました)] ダイアログボックスが表示されます。
仮想マシン テンプレートの導入
仮想マシン テンプレートを作成したら、他の仮想マシン(VM)に導入できます。
ステップ 1 作成した Cisco ISE VM テンプレートを右クリックして、[Deploy Virtual Machine from this template(このテンプレートから仮想マシンを導入)] を選択します。
ステップ 2 新しい Cisco ISE ノードの名前を入力し、[Name and Location(名前とロケーション)] ダイアログ ボックスでノードの場所を選択して、[Next(次へ)] をクリックします。
ステップ 3 新しい Cisco ISE ノードを保存する ESX ホストを選択して、[Next(次へ)] をクリックします。
ステップ 4 新しい Cisco ISE に使用するデータストアを選択して、[Next(次へ)] をクリックします。
このデータストアに必要なディスク領域があることを確認します。詳細については、表 4-3を参照してください。
ステップ 5 [Disk Format(ディスクのフォーマット)] ダイアログ ボックスで [Same format as source(ソースと同じフォーマット)] オプション ボタンをクリックし、[Next(次へ)] をクリックします。
ステップ 6 [Guest Customization(ゲスト カスタマイズ)] ダイアログ ボックスの [Guest Customization(ゲスト カスタマイズ)] オプション ボタンをクリックします。
[Ready to Complete(完了する準備ができました)] ダイアログボックスが表示されます。
ステップ 7 [Edit Virtual Hardware(仮想ハードウェアの編集)] チェックボックスをオンにして、[Continue(続行)] をクリックします。
[Virtual Machine Properties(仮想マシンのプロパティ)] ページが表示されます。
ステップ 8 [Network Adapter(ネットワーク アダプタ)] を選択し、 チェックボックスおよび [Connect at power on(電源投入時に接続)] チェックボックスをオフにして、[OK] をクリックします。
この Cisco ISE ノードの電源を投入し、IP アドレスとホスト名を設定し、ネットワークに接続できるようになりました。
• 「複製された仮想マシンの IP アドレスおよびホスト名の変更」
複製された仮想マシンの IP アドレスおよびホスト名の変更
Cisco ISE 仮想マシン(VM)を複製したら、そのマシンの電源を入れて、IP アドレスとホスト名を変更する必要があります。ノードのホスト名として「localhost」を使用することはできません。
• Cisco ISE ノードがスタンドアロン状態であることを確認します。
• 新しく複製された Cisco ISE VM に電源を入れるときに、このマシンにネットワーク アダプタが接続されていないことを確認します。[Connected(接続済み)] および [Connect at power on(電源投入時に接続)] チェック ボックスをオフにします。図 4-23を参照してください。 そうでない場合は、このノードが起動すると、複製元のマシンと同じ IP アドレスが使用されます。
• 新しく複製された VM マシンの電源が投入されたらすぐに、このマシン用に設定するホスト名と IP アドレスがあることを確認します。この IP アドレスおよびホスト名のエントリは DNS サーバにある必要があります。
• 新しい IP アドレスまたはホスト名に基づく Cisco ISE ノードの証明書があることを確認します。
ステップ 1 新しく複製された Cisco ISE VM を右クリックして、[Power(電源)] > [Power On(電源の投入)] を選択します。
ステップ 2 新しく複製された Cisco ISE VM を選択して、[Console(コンソール)] タブをクリックします。
ステップ 3 Cisco ISE CLI で、次のコマンドを入力します。
hostname は、設定する新しいホスト名です。Cisco ISE サービスが再起動されます。
ip_address は、ステップ 3 で入力したホスト名に対応するアドレスであり、 netmask はその ip_address のサブネット マスクです。システムにより、Cisco ISE サービスを再起動するように求められます。
ステップ 5 Y を入力して、Cisco ISE サービスを再起動します。
『 Cisco Identity Services Engine CLI Reference Guide, Release 1.2(Cisco Identity Services Engine CLI リリース 1.2) 』を参照して、 ip address コマンドおよび hostname コマンドについて確認してください。
複製された Cisco 仮想マシンのネットワークへの接続
電源を入れ、IP アドレスおよびホスト名を変更したら、ネットワークに Cisco ISE ノードを接続する必要があります。
ステップ 1 新しく複製された Cisco ISE 仮想マシン(VM)を右クリックして、[Edit Settings(設定の編集)] をクリックします。
ステップ 2 [Virtual Machine Properties(仮想マシンのプロパティ)] ダイアログ ボックスで [Network Adapter(ネットワーク アダプタ)] をクリックします。
ステップ 3 [Device Status(デバイスのステータス)] 領域で、[Connected(接続済み)] チェックボックスおよび [Connect at power on(電源投入時に接続)] チェックボックスをオンにします。
フィードバック