Nutanix で ASAv を使い始める
Cisco 適応型セキュリティ仮想アプライアンス(ASAv)は、仮想化環境に包括的なファイアウォール機能を提供し、データセンター トラフィックとマルチテナント環境のセキュリティを強化します。
Nutanix 上で ASAv を展開します。
Nutanix での ASAv のガイドラインと制限
重要 |
ASAv は、8 GB のディスクストレージサイズで展開されます。ディスク容量のリソース割り当てを変更することはできません。 |
ASAv を展開する前に、次のガイドラインと制限事項を確認します。
推奨される vNIC
最適なパフォーマンスを得るには、次の vNIC をお勧めします。
VirtIO:10 Gbps の動作をサポートしますが、CPU サイクルも必要な準仮想化ネットワークドライバです。
CPU ピニング
Nutanix 環境で ASAv を機能させるには、CPU ピニングが必要です。「CPU ピンニングの有効化」を参照します。
ハイ アベイラビリティのためのフェールオーバー
フェールオーバー配置の場合は、スタンバイ装置が同じライセンス権限付与を備えていることを確認してください(たとえば、両方の装置が 2 Gbps の権限付与であることなど)。
重要 |
ハイアベイラビリティペアを作成するときは、同じ順序で各 ASAv にデータインターフェイスを追加する必要があります。完全に同じインターフェイスが各 ASAv に追加されているが、順序が異なる場合、ASAv コンソールにエラーが表示され、フェールオーバー機能に影響を与える可能性があります。 |
一般的な注意事項
-
サポートされるインターフェイスの最大数は 10 です。10 を超える数のインターフェイスを追加しようとすると、エラーメッセージが表示されます。
(注)
-
デフォルトでは、ASAv は同じサブネット上に管理インターフェイスと内部インターフェイスを設定します。
-
ネットワーク インターフェイスを変更するときは、ASAv デバイスをオフにする必要があります。
-
-
デフォルトでは、ASAv は、異なるサブネット上に管理インターフェイスと内部インターフェイスの両方を設定したことを前提としています。管理インターフェースには「IP address DHCP setroute」があり、デフォルトゲートウェイは DHCP によって提供されます。
-
ASAv は、3 つ以上のインターフェイスを使用して最初の起動時にパワーアップする必要があります。システムは、3 つのインターフェースなしでは展開されません。
-
ASAv は、データトラフィック用に 1 つの管理インターフェイス(nic0)と最大 9 つのネットワーク インターフェイス(nic1-9)の合計 10 のインターフェイスをサポートします。データトラフィックのネットワーク インターフェイスは、任意の順序に従うことができます。
(注)
ASAv のネットワーク インターフェイスの最小数は、3 つのデータインターフェイスです。
-
コンソールアクセスの場合、ターミナルサーバーは telnet を介してサポートされます。
-
サポートされている vCPU とメモリのパラメータは次のとおりです。
CPU
メモリ
ASAv プラットフォームのサイズ
ライセンスのタイプ
1
2 GB
1vCPU/2 GB(デフォルト)
1G(ASAv10)
4
8 GB
4 vCPU/8 GB
2G(ASAv30)
8
16 GB
8 vCPU/16 GB
10G(ASAv50)
16
32 GB
16vCPU/32GB
20G(ASAv100)
サポートされる機能
-
ルーテッドモード(デフォルト)
-
トランスペアレント モード
(注)
マルチノードクラスタのサービスチェーンは、トランスペアレントモードではサポートされていません。
インターフェイスのネットワークアダプタ、送信元ネットワーク、宛先ネットワークに関する以下の用語索引を参照してください。
ネットワーク アダプタ |
送信元ネットワーク |
宛先ネットワーク |
機能 |
---|---|---|---|
vnic0 |
Management0-0 |
Management0/0 |
管理 |
vnic1 |
GigabitEthernet0-1 |
GigabitEthernet 0/1 |
Outside |
vnic2 |
GigabitEthernet0-2 |
GigabitEthernet 0/2 |
内側 |
vnic3-9 |
データ |
データ |
データ |
Proxmox VE 上の ASAv
Proxmox Virtual Environment(VE)は、Nutanix 仮想マシンを管理できるオープンソースのサーバー仮想化プラットフォームです。Proxmox VE は、Web ベースの管理インターフェイスも提供します。
Proxmox VE に ASAv を導入する場合は、エミュレートされたシリアルポートを持つように VM を設定する必要があります。シリアルポートがないと、スタートアッププロセス中に ASAv がループ状態になります。すべての管理タスクは、Proxmox VE Web ベース管理インターフェイスを使用して実行できます。
(注) |
Unix シェルまたは Windows Powershell に慣れている上級ユーザー向けに、Proxmox VE は仮想環境のすべてのコンポーネントを管理するコマンド ライン インターフェイスを提供します。このコマンド ライン インターフェイスには、インテリジェントなタブ補完機能と UNIX の man ページ形式の完全なドキュメントがあります。 |
ASAv を正しく開始するには、VM にシリアルデバイスを設定する必要があります。
-
メイン Management Center の左側のナビゲーションツリーで ASAv VM を選択します。
-
仮想マシンの電源をオフにします。
-
を選択して、シリアルポートを追加します。
-
仮想マシンの電源をオンにします。
-
Xterm.js を使用して ASAv VM にアクセスします。
ゲスト/サーバーで端末をセットアップしてアクティブ化する方法については、Proxmox シリアル端末のページを参照してください。
サポートされない機能
-
Nutanix AHV 上の ASAv は、インターフェイスのホットプラグをサポートしていません。ASAv の電源がオンになっているときに、インターフェイスを追加または削除しないでください。
-
Nutanix AHV は、Single Root I/O Virtualization(SR-IOV)または Data Plane Development Kit-Open vSwitch(DPDK-OVS)をサポートしていません。
(注)
Nutanix AHV は、VirtIO を使用したゲスト内 DPDK をサポートします。詳細については、AHV での DPDK サポートを参照してください。
関連資料
ASAv と Nutanix のシステム要件
ASA のバージョン
9.16.2
ASAv メモリ、vCPU、およびディスクのサイジング
ASAv の導入に使用される特定のハードウェアは、導入されるインスタンスの数と使用要件によって異なります。ASAv の各インスタンスには、サーバー上での最小リソース割り当て(メモリ容量、CPU 数、およびディスク容量)が必要です。
ASAv ライセンス
-
ASAv CLI からセキュリティサービスのすべてのライセンス資格を設定します。
-
ライセンスの管理方法の詳細については、『Cisco ASA コンフィギュレーション ガイド』の「ASAv のスマート ソフトウェア ライセンシングの設定」を参照してください。
Nutanix のコンポーネントとバージョン
コンポーネント | バージョン |
---|---|
Nutanix Acropolis OS(AOS) |
5.15.5 LTS 以降 |
Nutanix クラスタチェック(NCC) |
4.0.0.1 |
Nutanix AHV |
20201105.12 以降 |