この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
Amazon Web Sources(AWS)クラウドに ASAv を導入できます。
AWS は、プライベート Xen ハイパーバイザを使用するパブリック クラウド環境です。ASAv は Xen ハイパーバイザの AWS 環境内でゲストとして実行されます。AWS 上の ASAv は、次のインスタンス タイプをサポートします。
注:ASAv10 と ASAv30 はどちらも c3.large インスタンス上でサポートされます。ただし、リソースがプロビジョニング中のため、c3.large 上の ASAv30 の導入はお勧めできません。
注:ASAv30 のみが c3.xlarge でサポートされます。
注: ASAv は AWS 環境外部の Xen ハイパーバイザをサポートしていません。
AWS にアカウントを作成し、AWS ウィザードを使用して ASAv をセットアップして、Amazon Machine Image(AMI)を選択します。AMI はインスタンスを起動するために必要なソフトウェア構成を含むテンプレートです。
–管理インターフェイス:ASDM に ASAv を接続するために使用され、トラフィックの通過には使用できません。
–内部インターフェイス(必須):内部ホストに ASAv を接続するために使用されます。
–外部インターフェイス(必須):ASAv をパブリック ネットワークに接続するために使用されます。
–DMZ インターフェイス(任意):c3.xlarge インターフェイスを使用する場合に、DMZ ネットワークに ASAv を接続するために使用されます。
SSH 公開キー認証使用時のアップグレードの影響:SSH 認証が更新されることにより、SSH 公開キー認証を有効にするための新たな設定が必要となります。そのため、アップグレード後は、公開キー認証を使用した既存の SSH 設定は機能しません。公開キー認証は、Amazon Web サービス(AWS)の ASAv のデフォルトであるため、AWS のユーザはこの問題を確認する必要があります。SSH 接続を失なう問題を避けるには、アップグレードの前に設定を更新します。または(ASDM アクセスが有効になっている場合)アップグレード後に ASDM を使用して設定を修正できます。
ssh authentication コマンドを使用するには、アップグレードの前に次のコマンドを入力します。
nopassword キーワードが存在している場合、これを維持するのではなく、代わりにユーザ名に対応したパスワードを設定することを推奨します。 nopassword キーワードは、パスワードが入力できないのではなく、どのようなパスワードでも入力できることを意味します。9.6(2) より前のバージョンでは、 aaa コマンドは SSH 公開キー認証に必須ではありませんでした。このため、 nopassword キーワードはトリガーされませんでした。9.6(2) では aaa コマンドが必須となり、 password (または nopassword )キーワードが存在する場合、自動的に username の通常のパスワード認証を許可するようになりました。
アップグレード後は、 username コマンドに対する password または nopassword キーワードの指定は任意となり、ユーザがパスワードを入力できなくするよう指定できるようになります。よって、公開キー認証のみを強制的に使用する場合は、 username コマンドを入力しなおします。
図 1は、ASAv 用に AWS 内で設定された 4 つのサブネット(管理、内部、外部、および DMZ)を備えるルーテッド ファイアウォール モードの ASAv の推奨トポロジを示しています。
次の手順は、ASAv で AWS をセットアップする手順の概略を示しています。セットアップの詳細な手順については、「AWS の使用開始ドキュメント」を参照してください。
1. aws.amazon.com にログインし、地域を選択します。
AWS は互いに分離された複数の地域に分割されます。地域は、画面の右上隅に表示されます。ある地域内のリソースは、別の地域には表示されません。定期的に、目的の地域内に存在していることを確認してください。
2. [Networking] の下で [My Account] > [AWS Management Console] をクリックし、[VPC] > [Start VPC Wizard] をクリックして、単一のパブリック サブネットを選択して VPC を作成し、次をセットアップします(特記のないかぎり、デフォルト設定を使用できます)。
–内部および外部のサブネット:VPC およびサブネットの名前を入力します。
–インターネット ゲートウェイ:インターネット経由の直接接続を有効にします(インターネット ゲートウェイの名前を入力します)。
–外部テーブル:インターネットへの発信トラフィックを有効にするためのエントリを追加します(インターネット ゲートウェイに 0.0.0.0/0 を追加します)。
3. [My Account] > [AWS Management Console] > [EC2] をクリックし、さらに、[Create an Instance] をクリックします。
–AMI(たとえば、Ubuntu Server 14.04 LTS)を選択します。
–ASAv(たとえば、c3.large)によってサポートされるインスタンス タイプを選択します。
–[Advanced Details] で、必要に応じて第 0 日用構成を追加します。第 0 日構成に詳細情報を設定する方法の手順については、第 0 日のコンフィギュレーション ファイルの準備を参照してください。
–タグ インスタンス:デバイスを分類するため、多数のタグを作成できます。タグを容易に見つけるために使用できる名前を付けます。
–セキュリティ グループ:セキュリティ グループを作成して名前を付けます。セキュリティ グループは、着信および発信トラフィックを制御するためのインスタンスの仮想ファイアウォールです。
デフォルトでは、セキュリティ グループはすべてのアドレスに対して開かれています。ASAv にアクセスするために使用するアドレスからの SSH 接続だけを許可するように、ルールを変更します。
キー ペアにわかりやすい名前を付け、キーを安全な場所にダウンロードします。再度、ダウンロードすることはできません。キー ペアを失った場合は、インスタンスを破棄し、それらを再度導入する必要があります。
5. [Launch Instance] をクリックして、ASAv を導入します。
6. [My Account] > [AWS Management Console] > [EC2] > [Launch an Instance] > [My AMIs] をクリックします。
7. ASAv のインターフェイスごとに [Source/Destination Check] が無効になっていることを確認します。
AWS のデフォルト設定では、インスタンスは、その IP アドレス宛てのトラフィックの受信のみが許可され、さらに、自身の IP アドレスからのトラフィックの送信のみが許可されます。ASAv のルーテッド ホップとしての動作を有効にするには、ASAv の各トラフィック インターフェイス(内部、外部、および DMZ)の [Source/Destination Check] を無効にする必要があります。