Firepower Threat Defense Virtual のハイパーバイザのサポートに関する最新情報については、『Cisco Firepower Compatibility Guide』を参照してください。
FTDv の導入に使用される特定のハードウェアは、導入されるインスタンスの数や使用要件によって異なります。FTDv の各インスタンスには、サーバ上での最小リソース割り当て(メモリ容量、CPU 数、およびディスク容量)が必要です。
VMware vCenter Server と ESXi のインスタンスを実行するシステムは、特定のハードウェアおよびオペレーティングシステム要件を満たす必要があります。サポートされるプラットフォームのリストについては、オンラインの『VMware Compatibility Guide』を参照してください。
表 2. Firepower Threat Defense Virtual アプライアンスのリソース
設定
|
値
|
コアおよびメモリの数
|
バージョン 6.4 以降
FTDv は、調整可能な vCPU およびメモリリソースを使用して展開されます。サポートされている vCPU/メモリのペアの値は、次の 3 つです。
-
4 vCPU/8 GB(デフォルト)
-
8 vCPU/16 GB
-
12 vCPU/24 GB
その他の vCPU/メモリ値を設定できますが、上記の 3 つの組み合わせのみがサポートされています。
(注)
|
vCPU/メモリの値を変更するには、最初に FTDv デバイスの電源をオフにする必要があります。
|
|
バージョン 6.3 以前
FTDv は、固定の vCPU およびメモリリソースを使用して展開されます。サポートされている vCPU/メモリのペアの値は次の 1 つだけです。
その他の vCPU/メモリ値を設定できますが、上記の 3 つの組み合わせのみがサポートされています。
(注)
|
vCPU とメモリの調整はサポートされていません。
|
|
ストレージ
|
ディスク形式の選択に基づきます。
|
vNIC
|
FTDv は次の仮想ネットワークアダプタをサポートしています。
-
VMXNET3:VMware 上の FTDv では、仮想デバイスを作成するときに、デフォルトが vmxnet3 インターフェイスになりました。以前は、デフォルトは e1000 でした。vmxnet3 ドライバは、2 つの管理インターフェイスを使用します。最初の 2 つのイーサネット アダプタは、管理インターフェイスとして設定する必要があります。1
つはデバイス管理/登録用で、もう 1 つは診断用です。
-
IXGBE:ixgbe ドライバは、2 つの管理インターフェイスを使用します。最初の 2 つの PCI デバイスは、管理インターフェイスとして設定する必要があります。1 つはデバイス管理/登録用で、もう 1 つは診断用です。ixgbe ドライバは、FTDv のフェールオーバー(HA)の展開をサポートしていません。
-
E1000:e1000 インターフェイスを使用する場合、e1000 ドライバ用の FTDv 管理インターフェイス(br1)は、2 つの MAC アドレス(1 つは管理用で、もう 1 つは診断用)とのブリッジインターフェイスです。
重要
|
6.4 よりも前のバージョンの Firepower では、VMware 上の FTDv のデフォルトインターフェイスは e1000 でした。リリース 6.4 以降では、VMware 上の FTDv のデフォルトが vmxnet3 インターフェイスになります。仮想デバイスで現在 e1000 インターフェイスを使用している場合は、インターフェイス vmxnet3 を変更することを強く推奨します。詳細については、「VMXNET3 インターフェイスの設定」を参照してください。
|
-
IXGBE-VF:ixgbe-vf(10 ギガビット/秒)ドライバは、SR-IOV をサポートするカーネルでのみアクティブ化できる仮想関数デバイスをサポートしています。SR-IOV には適切なプラットフォームおよび OS のサポートが必要です。詳細については、「SR-IOV
のサポート」を参照してください。
|
仮想化テクノロジーのサポート
-
仮想化テクノロジー(VT)は、動作中の仮想マシンのパフォーマンスを向上させる新しいプロセッサの機能拡張セットです。システムには、ハードウェア仮想化用のインテル VT または AMD-V の拡張機能をサポートする CPU が必要です。Intelと AMD はどちらも、CPU を識別して機能を確認するために役立つオンラインプロセッサ識別ユーティリティを提供しています。
-
VT をサポートする CPU を搭載する多くのサーバでは、VT がデフォルトで無効になっている可能性があります。その場合は、VT を手動で有効にする必要があります。システムで VT のサポートを有効にする手順については、製造元のマニュアルを参照してください。
(注) |
CPU が VT をサポートしているにもかかわらず BIOS にこのオプションが表示されない場合は、ベンダーに連絡して、VT のサポートを有効にすることができるバージョンの BIOS を要求してください。
|
SR-IOV のサポート
SR-IOV 仮想機能には特定のシステムリソースが必要です。SR-IOV 対応 PCIe アダプタに加えて、SR-IOV をサポートするサーバが必要です。以下のハードウェア検討事項に留意する必要があります。
-
使用可能な VF の数を含む SR-IOV NIC の機能は、ベンダーやデバイスによって異なります。次の NIC がサポートされています。
-
すべての PCIe スロットが SR-IOV をサポートしているわけではありません。
-
SR-IOV 対応 PCIe スロットは機能が異なる場合があります。
-
x86_64 マルチコア CPU:Intel Sandy Bridge 以降(推奨)。
(注) |
シスコでは、FTDv を 2.3GHz の Intel Broadwell CPU(E5-2699-v4)でテストしました。
|
-
コア
メーカーのマニュアルで、お使いのシステムの SR-IOV サポートを確認する必要があります。オンラインの『VMware Compatibility Guide』で、SR-IOV のサポートを含む推奨システムを検索できます。
SSSE3 のサポート
-
Firepower Threat Defense Virtual には、Intel によって作成された単一命令複数データ(SIMD)命令セットである Supplemental Streaming SIMD Extensions 3(SSSE3
または SSE3S)のサポートが必要です。
-
システムは SSSE3 をサポートする CPU(インテル Core 2 Duo、インテル Core i7/i5/i3、インテル Atom、AMD Bulldozer、AMD Bobcat およびそれ以降のプロセッサなど)を搭載している必要があります。
-
SSSE3 命令セットと SSSE3 をサポートする CPU の詳細については、このリファレンスページを参照してください。
CPU のサポートの確認
Linux コマンドラインを使用して、CPU ハードウェアに関する情報を取得できます。たとえば、/proc/cpuinfo ファイルには個々の CPU コアに関する詳細情報が含まれています。less または cat により、その内容を出力できます。
フラグセクションで次の値を確認できます。
-
vmx:インテル VT 拡張機能
-
svm:AMD-V拡張機能
-
ssse3:SSSE3 拡張機能
grep を使用すると、次のコマンドを実行して、ファイルにこれらの値が存在するかどうかを素早く確認することができます。
egrep “vmx|svm|ssse3” /proc/cpuinfo
システムが VT または SSSE3 をサポートしている場合は、フラグのリストに vmx、svm、または ssse3 が表示されます。次の例は、2 つの CPU を搭載しているシステムからの出力を示しています。
flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat
pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm syscall nx lm constant_tsc pni monitor
ds_cpl vmx est tm2 ssse3 cx16 xtpr lahf_lm
flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat
pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm syscall nx lm constant_tsc pni monitor
ds_cpl vmx est tm2 ssse3 cx16 xtpr lahf_lm