Cisco Secure Firewall Threat Defense Virtual バージョン 7.4 スタートアップガイド

概要

このガイドでは、OpenStack 環境で Threat Defense Virtual を展開する方法について説明します。OpenStack は無料のオープンな標準規格のクラウドコンピューティングプラットフォームであり、ほとんどの場合は、ユーザーが仮想サーバーやその他のリソースを利用できるように Infrastructure-as-a-Service（IaaS）としてパブリッククラウドとプライベートクラウドの両方に展開します。

この展開では、KVM ハイパーバイザを使用して仮想リソースを管理します。KVM は、仮想化拡張機能（Intel VT など）を搭載した x86 ハードウェア上の Linux 向け完全仮想化ソリューションです。KVM は、コア仮想化インフラストラクチャを提供するロード可能なカーネルモジュール（kvm.ko）と kvm-intel.ko などのプロセッサ固有のモジュールで構成されています。

KVM を使用して、修正されていない OS イメージを実行している複数の仮想マシンを実行できます。各仮想マシンには、ネットワークカード、ディスク、グラフィックアダプタなどのプライベートな仮想化ハードウェアが搭載されています。

デバイスは KVM ハイパーバイザですでにサポートされているため、OpenStack サポートを有効にするために必要な追加のカーネルパッケージやドライバはありません。

（注）

OpenStack の Threat Defense Virtual は、最適化されたマルチノード環境にインストールできます。

エンドツーエンドの手順

次のフローチャートは、OpenStack に Threat Defense Virtual を展開する際のワークフローを示しています。


	ワークスペース	手順
	OpenStack	OpenStack への Threat Defense Virtual の展開：Threat Defense Virtual のイメージを OpenStack にアップロードします。
	OpenStack	OpenStack への Threat Defense Virtual の展開：OpenStack および Threat Defense Virtual のネットワークインフラストラクチャを作成します。
	OpenStack	OpenStack への Threat Defense Virtual の展開：Threat Defense Virtual の Heat テンプレートファイルを使用して、Threat Defense Virtual を OpenStack に展開します。
	Management Center	Management Center を使用した Threat Defense Virtual の管理

前提条件

software.cisco.com から qcow2 Threat Defense Virtual イメージを取得します。
Threat Defense Virtual は、オープンソースの OpenStack 環境と Cisco VIM 管理対象 OpenStack 環境での展開をサポートします。

OpenStack のガイドラインに従って OpenStack 環境をセットアップします。
- オープンソースの OpenStack ドキュメントを参照してください。
  
  Stein リリース：https://docs.openstack.org/project-deploy-guide/openstack-ansible/stein/overview.html
  
  Queens リリース：https://docs.openstack.org/project-deploy-guide/openstack-ansible/queens/overview.html
- Cisco Virtualized Infrastructure Manager（VIM）OpenStack のドキュメント（Cisco Virtualized Infrastructure Manager のマニュアル、3.4.3 ～ 3.4.5）を参照してください。
Cisco スマートアカウント。Cisco Software Central で作成できます。
Threat Defense Virtual へのライセンス付与。
- Management Center からセキュリティサービスのすべてのライセンス資格を設定します。
- ライセンスの管理方法の詳細については、『Secure Firewall Management Center Admin Guide』の「Licensing」を参照してください。
インターフェイスの要件：
- 管理インターフェイス（2）：1 つは Threat Defense Virtual を Management Center に接続するために使用されます。もう 1 つは診断目的に使用され、通過トラフィックには使用できません。
- 内部インターフェイスと外部インターフェイス：Threat Defense Virtual を内部のホストとパブリックインターフェイスに接続するために使用します。
通信パス：
- Threat Defense Virtual にアクセスするためのフローティング IP。
サポートされている Threat Defense Virtual の最小バージョン：
- バージョン 7.0
OpenStack の要件については、システム要件を参照してください。
Threat Defense Virtual システムの要件については、『Cisco Firepower Compatibility』を参照してください。

注意事項と制約事項

サポートされる機能

OpenStack 上の Threat Defense Virtual は次の機能をサポートします。

OpenStack 環境のコンピューティングノードで実行されている KVM ハイパーバイザへの Threat Defense Virtual の展開
OpenStack CLI
Heat テンプレートベースの展開
OpenStack Horizon ダッシュボード
ルーテッドモード（デフォルト）
IPv6
ライセンス：BYOL のみをサポート
Management Center を使用した Threat Defense Virtual の管理
ドライバ：VirtIO、VPP、および SR-IOV

Threat Defense Virtual スマートライセンスのパフォーマンス階層

Threat Defense Virtual は、導入要件に基づいて異なるスループットレベルと VPN 接続制限を提供するパフォーマンス階層型ライセンスをサポートしています。

表 1. Threat Defense Virtual 権限付与に基づくライセンス機能の制限
パフォーマンス階層	デバイス仕様（コア/RAM）	レート制限	RA VPN セッション制限
FTDv5	4 コア/8 GB	100Mbps	50
FTDv10	4 コア/8 GB	1Gbps	250
FTDv20	4 コア/8 GB	3 Gbps	250
FTDv30	8 コア/16 GB	5 Gbps	250
FTDv50	12 コア/24 GB	10 Gbps	750
FTDv100	16 コア/32 GB	16 Gbps	10,000

Threat Defense Virtual デバイスのライセンス取得のガイドラインについては、『Secure Firewall Management Center Admin Guide』の「Licensing」の章を参照してください。

パフォーマンスの最適化

Threat Defense Virtual の最高のパフォーマンスを実現するために、VM とホストの両方を調整することができます。詳細については、「OpenStack での仮想化の調整と最適化」を参照してください。

Receive Side Scaling：Threat Defense Virtual は Receive Side Scaling（RSS）をサポートしています。これは、ネットワークアダプタによって複数のプロセッサコアにネットワーク受信トラフィックを分散するために使用されるテクノロジーです。バージョン 7.0 以降でサポートされています。詳細については、「Receive Side Scaling（RSS）用の複数の RX キュー」を参照してください。

Snort

Snort のシャットダウンに時間がかかったり、VM が全体的に遅くなったりといった異常な動作が見られる場合や、特定のプロセスが実行されるときには、Threat Defense Virtual および VM ホストからログを収集します。全体的な CPU 使用率、メモリ、I/O 使用率、および読み取り/書き込み速度のログの収集は、問題のトラブルシューティングに役立ちます。
Snort のシャットダウン時には、CPU と I/O の使用率が高くなります。十分なメモリがなく、専用の CPU がない単一のホスト上に多数の Threat Defense Virtual インスタンスが作成されている場合は、Snort のシャットダウンに時間がかかって Snort コアが作成されます。

サポートされない機能

OpenStack 上の Threat Defense Virtual は以下をサポートしません。

自動スケール
IPv6

システム要件

OpenStack 環境は、サポートされているハードウェアとソフトウェアの次の要件に準拠している必要があります。

表 2. Open Source OpenStack のハードウェアとソフトウェアの要件
カテゴリ	サポートされるバージョン	注記
サーバハードウェア	UCS C240 M5	2 台の UCS サーバーを推奨します。os-controller ノードと os-compute ノードに 1 台ずつです。
ドライバ	VIRTIO、IXGBE、I40E	サポートされているドライバは次のとおりです。
オペレーティングシステム	Ubuntu Server 18.04	これは、UCS サーバーで推奨されている OS です。
OpenStack バージョン	Stein リリース	さまざまな OpenStack リリースの詳細については、次の URL を参照してください。 https://releases.openstack.org/

表 3. Cisco VIM Managed OpenStack のハードウェアとソフトウェアの要件
カテゴリ	サポートされるバージョン	注記
サーバハードウェア	UCS C220-M5/UCS C240-M4	os-controller ノードごとに 3 台、os-compute ノードに 2 台以上で、5 台の UCS サーバーを推奨します。
ドライバ（Drivers）	VIRTIO、SRIOV、および VPP	サポートされているドライバは次のとおりです。
Cisco VIM バージョン	Cisco VIM 3.4.4 サポート対象：オペレーティングシステム - Red Hat Enterprise Linux 7.6 OpenStack バージョン - OpenStack 13.0（Queens リリース）	詳細については、シスコ仮想インフラストラクチャマネージャのドキュメント 3.4.3 ～ 3.4.5 を参照してください。さまざまな OpenStack リリースの詳細については、https://releases.openstack.org/ を参照してください。
Cisco VIM バージョン	Cisco VIM 4.2.1 サポート対象：オペレーティングシステム - Red Hat Enterprise Linux 8.2 OpenStack バージョン - OpenStack 16.1（トレインリリース）	詳細については、シスコ仮想インフラストラクチャマネージャのドキュメント 4.2.1 を参照してください。さまざまな OpenStack リリースの詳細については、https://releases.openstack.org/ を参照してください。

OpenStack プラットフォームトポロジ

次の図に、2 台の UCS サーバーを使用して OpenStack での展開をサポートするための推奨トポロジを示します。

OpenStack 上の Threat Defense Virtual のネットワークトポロジ例

次の図に、Threat Defense Virtual 用の OpenStack に設定された 4 つのサブネット（管理、診断、内部、および外部）を備えたルーテッドファイアウォールモードの Threat Defense Virtual のネットワークトポロジの例を示します。

図 2. OpenStack で Threat Defense Virtual と Management Center Virtual を使用したトポロジの例

Threat Defense Virtual の導入

シスコでは、Threat Defense Virtual を展開するためのサンプルの Heat テンプレートを提供しています。OpenStack インフラストラクチャのリソースを作成する手順は、ネットワーク、サブネット、およびルータインターフェイスを作成するために、Heat テンプレート（deploy_os_infra.yaml）ファイルで結合されます。Threat Defense Virtual の展開手順は大まかに次の部分に分類されます。

Threat Defense Virtual qcow2 イメージを OpenStack Glance サービスにアップロードします。
ネットワークインフラストラクチャを作成します。
- ネットワーク
- サブネット
- ルータインターフェイス
Threat Defense Virtual インスタンスを作成します。
- フレーバ
- セキュリティグループ
- フローティング IP
- インスタンス

次の手順を使用して、OpenStack に Threat Defense Virtual を展開できます。

OpenStack への Threat Defense Virtual イメージのアップロード

Threat Defense Virtual qcow2 イメージを OpenStack コントローラノードにコピーし、イメージを OpenStack Glance サービスにアップロードします。

始める前に

Cisco.com から Threat Defense Virtual qcow2 ファイルをダウンロードし、Linux ホストに格納します。

https://software.cisco.com/download/navigator.html

（注）

Cisco.com のログインおよびシスコサービス契約が必要です。

手順

ステップ 1

qcow2 イメージファイルを OpenStack コントローラノードにコピーします。

ステップ 2

Threat Defense Virtual イメージを OpenStack Glance サービスにアップロードします。

root@ucs-os-controller:$ openstack image create <image_name> --public --disk-
format qcow2 --container-format bare --file ./<ftdv_qcow2_file>

ステップ 3

Threat Defense Virtual イメージが正常にアップロードされたことを確認します。

root@ucs-os-controller:$ openstack image list

例:

root@ucs-os-controller:$ openstack image list+--------------------------------------+-------------------+--------+
| ID                                   | Name              | Status |+--------------------------------------+-------------------+--------+
| 06dd7975-0b6e-45b8-810a-4ff98546a39d | ftdv-7-0-image    | active |+--------------------------------------+-------------------+--------+

アップロードしたイメージとそのステータスが表示されます。

次のタスク

deploy_os_infra.yaml テンプレートを使用してネットワークインフラストラクチャを作成します。

OpenStack と Threat Defense Virtual のネットワークインフラストラクチャの作成

始める前に

Heat テンプレートファイルは、フレーバ、ネットワーク、サブネット、ルータインターフェイス、セキュリティグループルールなど、ネットワークインフラストラクチャと Threat Defense Virtual に必要なコンポーネントを作成するために必要です。

deploy_os_infra.yaml
env.yaml

Threat Defense Virtual バージョンのテンプレートは、GitHub リポジトリの FTDv OpenStack Heat テンプレートから入手できます。

重要	シスコが提供するテンプレートはオープンソースの例として提供しているものであり、通常の Cisco TAC サポートの範囲内では扱われていません。更新と ReadMe の手順については、GitHub を定期的に確認してください。

手順

ステップ 1

インフラストラクチャ Heat テンプレートファイルを展開します。

root@ucs-os-controller:$ openstack stack create <stack-name> -e <environment files name> -t <deployment file name>

例:

root@ucs-os-controller:$ openstack stack create infra-stack -e env.yaml -t deploy_os_infra.yaml

ステップ 2

インフラストラクチャスタックが正常に作成されたかどうかを確認します。

root@ucs-os-controller:$ openstack stack list

次のタスク

OpenStack で Threat Defense Virtual インスタンスを作成します。

OpenStack への Threat Defense Virtual の展開

Threat Defense Virtual Heat テンプレートのサンプルを使用して、OpenStack に Threat Defense Virtual を展開します。

始める前に

OpenStack で Threat Defense Virtual を展開するには、次の Heat テンプレートが必要です。

deploy_ftdv.yaml

Threat Defense Virtual バージョンのテンプレートは、GitHub リポジトリの FTDv OpenStack Heat テンプレートから入手できます。

重要	シスコが提供するテンプレートはオープンソースの例として提供しているものであり、通常の Cisco TAC サポートの範囲内では扱われていません。更新と ReadMe の手順については、GitHub を定期的に確認してください。

手順

ステップ 1

Threat Defense Virtual Heat テンプレートファイル（deploy_ftdv.yaml）を展開して、Threat Defense Virtual インスタンスを作成します。

root@ucs-os-controller:$ openstack stack create ftdv-stack -e env.yaml-t deploy_ftdv.yaml

例:

+---------------------+--------------------------------------+
| Field               | Value                                |
+---------------------+--------------------------------------+
| id                  | 14624af1-e5fa-4096-bd86-c453bc2928ae |
| stack_name          | ftdv-stack                           |
| description         | FTDvtemplate                         |
| creation_time       | 2020-12-07T14:55:05Z                 |
| updated_time        | None                                 |
| stack_status        | CREATE_IN_PROGRESS                   |
| stack_status_reason | Stack CREATE started                 |
+---------------------+--------------------------------------+

ステップ 2

Threat Defense Virtual スタックが正常に作成されたことを確認します。

root@ucs-os-controller:$ openstack stack list

例:

+--------------------------------------+-------------+----------------------------------+-----------------+----------------------+------+
| ID                                   | Stack Name  | Project                          | Stack Status    | Creation Time    | Updated Time |
+--------------------------------------+-------------+----------------------------------+-----------------+----------------------+--------------+
| 14624af1-e5fa-4096-bd86-c453bc2928ae | ftdv-stack  | 13206e49b48740fdafca83796c6f4ad5 | CREATE_COMPLETE | 2020-12-07T14:55:05Z | None         |
| 198336cb-1186-45ab-858f-15ccd3b909c8 | infra-stack | 13206e49b48740fdafca83796c6f4ad5 | CREATE_COMPLETE | 2020-12-03T10:46:50Z | None         |
+--------------------------------------+-------------+----------------------------------+-----------------+----------------------+--------------+

偏向のない言語

翻訳について

Book Title

Cisco Secure Firewall Threat Defense Virtual バージョン 7.4 スタートアップガイド

Chapter Title

OpenStack への Threat Defense Virtual の展開

検索結果

章のタイトル： OpenStack への Threat Defense Virtual の展開

OpenStack への Threat Defense Virtual の展開

概要

エンドツーエンドの手順

前提条件

注意事項と制約事項

サポートされる機能

Threat Defense Virtual スマートライセンスのパフォーマンス階層

パフォーマンスの最適化

Snort

サポートされない機能

システム要件

OpenStack プラットフォームトポロジ

OpenStack 上の Threat Defense Virtual のネットワークトポロジ例

Threat Defense Virtual の導入

OpenStack への Threat Defense Virtual イメージのアップロード

始める前に

手順

例:

次のタスク

OpenStack と Threat Defense Virtual のネットワークインフラストラクチャの作成

始める前に

手順

例:

次のタスク

OpenStack への Threat Defense Virtual の展開

始める前に

手順

例:

例:

このドキュメントは役に立ちましたか?

シスコに問い合わせ

Cisco Secure Firewall Threat Defense Virtual バージョン 7.4 スタートアップガイド

偏向のない言語

翻訳について

検索結果

章のタイトル： OpenStack への Threat Defense Virtual の展開

OpenStack への Threat Defense Virtual の展開

概要

エンドツーエンドの手順

前提条件

注意事項と制約事項

サポートされる機能

Threat Defense Virtual スマートライセンスのパフォーマンス階層

パフォーマンスの最適化

Snort

サポートされない機能

システム要件

OpenStack プラットフォームトポロジ

OpenStack 上の Threat Defense Virtual のネットワークトポロジ例

Threat Defense Virtual の導入

OpenStack への Threat Defense Virtual イメージのアップロード

始める前に

手順

例:

次のタスク

OpenStack と Threat Defense Virtual のネットワーク インフラストラクチャの作成

始める前に

手順

例:

次のタスク

OpenStack への Threat Defense Virtual の展開

始める前に

手順

例:

例:

このドキュメントは役に立ちましたか?

シスコに問い合わせ

OpenStack と Threat Defense Virtual のネットワークインフラストラクチャの作成