Cisco ISE 用のハードウェアおよび仮想アプライアンスの要件
Cisco Identity Services Engine(Cisco ISE)は、Cisco Secure Network Server(SNS)のハードウェアまたは仮想アプライアンスにインストールできます。Cisco ISE ハードウェアアプライアンスと同等のパフォーマンスと拡張性を実現するには、仮想マシンに Cisco SNS ハードウェアアプライアンスと同等のシステムリソースが割り当てられている必要があります。このセクションでは、Cisco ISE のインストールに必要なハードウェア、ソフトウェア、および仮想マシンの要件を示します。
Note |
仮想環境を強化し、すべてのセキュリティ更新が最新の状態であることを確認します。シスコは、ハイパーバイザで検出されたセキュリティ上の問題については責任を負いません。 |
Note |
Cisco ISE では、ISE データのバックアップ用の VM スナップショットは、いずれの仮想環境(VMware、Linux KVM、Microsoft Hyper-V、Nutanix AHV)でもサポートされません。これは、VM スナップショットが特定の時点で VM のステータスを保存するためです。マルチノード Cisco ISE 環境では、すべてのノードのデータは、現在のデータベース情報と継続的に同期されます。スナップショットを復元すると、データベースのレプリケーションと同期の問題を引き起こす可能性があります。データのバックアップおよび復元用に、Cisco ISE に含まれるバックアップ機能を使用することを推奨します。スナップショットを使用して ISE データをバックアップすると、Cisco ISE サービスが停止します。ISE ノードを起動するには、再起動が必要です。 |
Caution |
VM でスナップショット機能が有効になっていると、VM 設定が破損する可能性があります。この問題が発生した場合、VM のイメージを再作成し、VM のスナップショットを無効にする必要があります。 |
Cisco Secured Network Server ハードウェアアプライアンス
Cisco Secured Network Server(SNS)ハードウェアアプライアンスの仕様については、『Cisco Secure Network Server Data Sheet』の「Table 1, Product Specifications」を参照してください。
Cisco SNS 3600 シリーズ アプライアンスについては、『Cisco SNS-3600 Series Appliance Hardware Installation Guide』を参照してください。
Cisco SNS 3700 シリーズ アプライアンスについては、『Cisco SNS-3700 Series Appliance Hardware Installation Guide』を参照してください。
Cisco ISE 3.3 でサポートされるハードウェア プラットフォームについては、「Supported Hardware」を参照してください。
Cisco Secure Network Server 3700 シリーズ アプライアンスのサポート
Cisco Secure Network Server(SNS)3700 シリーズ アプライアンスは、Cisco Unified Computing System(Cisco UCS)C220 ラックサーバーに基づいており、特に Cisco ISE をサポートするように構成されています。Cisco SNS 3700 シリーズ アプライアンスは、幅広いワークロードで高いパフォーマンスと効率性を提供するように設計されています。
Cisco SNS 3700 シリーズ アプライアンスには次のモデルがあります。
-
Cisco SNS 3715(SNS-3715-K9)
-
Cisco SNS 3755(SNS-3755-K9)
-
Cisco SNS 3795(SNS-3795-K9)
Cisco SNS 3715 アプライアンスは、小規模な展開向けに設計されています。Cisco SNS 3755 および Cisco SNS 3795 アプライアンスには、ハードディスクや電源などの複数の冗長コンポーネントがあり、信頼性の高いシステム構成を必要とする大規模な展開に適しています。PAN および MnT ペルソナには Cisco SNS 3795 が推奨されます。
Cisco ISE リリース 3.1 パッチ 6 以降および Cisco ISE リリース 3.2 パッチ 2 以降のバージョンでは、Cisco SNS 3700 シリーズ アプライアンスがサポートされます。
次の表では、Cisco SNS 3700 シリーズ アプライアンスのハードウェア仕様について説明します。
Cisco SNS 3700 シリーズ アプライアンス |
ハードウェア仕様 |
---|---|
Cisco SNS-3715-K9 |
|
Cisco SNS-3755-K9 |
|
Cisco SNS-3795-K9 |
|
(注) |
|
詳細については、『Cisco SNS-3700 Series Appliance Hardware Installation Guide』を参照してください。
トラステッド プラットフォーム モジュール
Cisco SNS 3700 シリーズ アプライアンスには、トラステッド プラットフォーム モジュール(TPM)アダプタが事前にビルドされています。これにより、サーバーの認証に使用するアーティファクトを安全に保存できます。これらのアーティファクトには、パスワード、証明書、または暗号キーを収録できます。TPM は、セキュリティ向上のための乱数生成にも使用されます。
VMware ESXi サーバー(ESXi 7.0 Update 3 以降)で仮想トラステッド プラットフォーム モジュール(vTPM)を設定できます。手順は次のとおりです。
-
vCenter version 7 update 3 以降をインストールします。
vCenter のインストール中に、FQDN を適切に設定する必要があります。DNS サーバーは、FQDN を解決できる必要があります。
-
ネイティブキープロバイダーを次のように設定します。
-
vCenter GUI で、[vCenter IP] > [Configure] > [Security] > [Key Provider] > [Add Key Provider] の順に選択します。
-
[Native Key Provider] をクリックし、キープロバイダーの名前を入力します。
-
[Take Backup] をクリックします。
キープロバイダーのステータスが [Active] と表示されていることを確認します。
-
-
vCenter でクラスタを作成し、ESXi ホストをクラスタに追加します。
-
クラスタに新しい VM を作成します。
-
[Customize Hardware] ウィンドウで、[Add New Device] > [Trusted Platform Module] の順に選択します。
[Secure Boot] オプションを無効にする必要があります。[Encryption] オプションが [Required] に設定されていることを確認します。
-
Cisco ISE ISO を新しい VM にマッピングし、インストールを完了します。
Cisco ISE 用の VMware 仮想マシンの要件
仮想マシン(VM)インスタンス(任意のペルソナを実行)のホスト間での移行を可能にする、VMware マイグレーション機能を使用できます。Cisco ISE はホットマイグレーションとコールドマイグレーションの両方をサポートします。
-
ホットマイグレーションは、ライブマイグレーションまたは vMotion とも呼ばれます。ホットマイグレーション中に Cisco ISE をシャットダウンしたり、電源をオフにしたりする必要はありません。可用性を損なうことなく、Cisco ISE VM を移行できます。
-
コールドマイグレーションを行うには、Cisco ISE をシャットダウンして電源をオフにする必要があります。Cisco ISE では、コールドマイグレーション中にデータベース操作を停止または一時停止できません。したがって、コールドマイグレーション中は Cisco ISE が実行されておらず、アクティブでないことを確認します。
Note
データベースの破損の問題を防ぐために、halt コマンドを使用する前、または VM の電源をオフにする前に、application stop コマンドを使用する必要があります。
SNS 3600 シリーズ アプライアンスには、次の OVA テンプレートを使用できます。
OVA テンプレート |
ISE ノードサイズ |
---|---|
Cisco-vISE-300-3.3.0.430.ova |
評価 |
極小規模 |
|
小規模 |
|
中規模 |
|
Cisco-vISE-600-3.3.0.430.ova |
小規模 |
中規模 |
|
Cisco-vISE-1200-3.3.0.430.ova |
中規模 |
大規模 |
|
Cisco-vISE-1800-3.3.0.430.ova |
大規模 |
Cisco-vISE-2400-3.3.0.430.ova |
大規模 |
次の OVA テンプレートは、SNS 3600 および SNS 3700 シリーズ アプライアンスの両方に使用できます。
OVA テンプレート |
ISE ノードサイズ |
|
---|---|---|
Cisco-vISE-300-3.3.0.430a.ova |
評価 |
300-Eval |
極小規模 |
300-ExtraSmall |
|
小規模 |
300-Small_36xx |
|
300-Small_37xx |
||
中規模 |
300-Medium_36xx |
|
300-Medium_37xx |
||
Cisco-vISE-600-3.3.0.430a.ova |
小規模 |
600-Small_36xx |
600-Small_37xx |
||
中規模 |
600-Medium_36xx |
|
600-Medium_37xx |
||
Cisco-vISE-1200-3.3.0.430a.ova |
中規模 |
1200-Medium_36xx |
1200-Medium_37xx |
||
大規模 |
1200-Large_36xx |
|
1200-Large_37xx |
||
Cisco-vISE-2400-3.3.0.430a.ova |
大規模 |
2400-Large_36xx |
2400-Large_37xx |
300 GB OVA テンプレートは、専用のポリシーサービスや pxGrid ノードとして動作する Cisco ISE ノードには十分です。
600 GB および 1.2 TB OVA テンプレートは、管理またはモニターリング ペルソナを実行する ISE ノードの最小要件を満たすために推奨されています。
ディスク サイズ、CPU、またはメモリ配賦をカスタマイズする必要がある場合、標準の .iso イメージを使用して手動で Cisco ISE をデプロイできます。ただし、このドキュメントで指定されている最小要件およびリソース予約を確認することが重要です。OVA テンプレートは、各プラットフォームに必要な最小のリソースを自動的に適用することにより、ISE の仮想アプライアンスのデプロイメントを簡素化します。
OVA テンプレートタイプ |
CPU の数 |
CPU 予約(GHz) |
メモリ(GB) |
メモリ予約(GB) |
---|---|---|---|---|
評価 |
4 |
予約なし |
16 |
予約なし |
極小規模 |
8 |
8 |
32 |
32 |
小規模(SNS 3615) |
16 |
16 |
32 |
32 |
中規模(SNS 3655) |
24 |
24 |
96 |
96 |
大規模(SNS 3695) |
24 |
24 |
256 |
256 |
小規模(SNS 3715) |
24 |
24 |
32 |
32 |
中規模(SNS 3755) |
40 |
40 |
96 |
96 |
大規模(SNS 3795) |
40 |
40 |
256 |
256 |
Note |
|
リソースの割り当てに合わせて CPU とメモリのリソースを予約することを強くお勧めします。これを行わない場合は ISE のパフォーマンスと安定性に大きく影響することがあります。
サポートされているオペレーティングシステムについては、『Supported Operating System for Virtual Machines』を参照してください。
Cisco SNS アプライアンスの製品仕様については、『Cisco Secure Network Server データシート』を参照してください。
次の表に、VMware 仮想マシンの要件を示します。
要件のタイプ |
仕様 |
||||
---|---|---|---|---|---|
CPU |
|
||||
メモリ |
|
||||
ハード ディスク |
|
||||
ストレージおよびファイル システム |
Cisco ISE 仮想アプライアンスのストレージ システムには、50 MB/秒の最小書き込みパフォーマンスと 300 MB/秒の読み取りパフォーマンスが必要です。これらのパフォーマンス基準を満たし、VMware サーバーでサポートされているストレージ システムをデプロイします。 show tech-support コマンドを使用して、読み取りおよび書き込みの評価指標を表示できます。 ここでは、最も広範にテストされているという理由で VMFS ファイル システムを推奨しますが、上記の要件を満たせば、その他のファイル システム、転送、およびメディアもデプロイできます。 |
||||
ディスク コントローラ |
Paravirtual(64 ビット RHEL 7 のデフォルト)または LSI Logic Parallel 最適なパフォーマンスと冗長性のために、キャッシュ RAID コントローラが推奨されます。RAID 10(1+0)などのコントローラ オプションは、たとえば RAID 5 よりも全体のパフォーマンスと冗長性が優れている可能性があります。さらに、バッテリバックアップ式コントローラ キャッシュは書き込み操作の効率をかなり高めることができます。
|
||||
NIC |
1 つの NIC インターフェイスが必要(複数の NIC が推奨されます。6 つの NIC がサポートされます)。Cisco ISE では E1000E および VMXNET3 アダプタがサポートされています。
|
||||
VMware 仮想ハードウェア バージョンまたはハイパーバイザ |
|
Cisco ISE 用の Linux KVM の要件
要件のタイプ |
最小要件 |
||||
---|---|---|---|---|---|
CPU |
|
||||
メモリ |
|
||||
ハード ディスク |
|
||||
KVM ディスク デバイス |
ディスク バス:virtio、キャッシュ モード:なし、I/O モード:ネイティブ 事前割り当て済みの RAW ストレージ形式を使用します。 |
||||
NIC |
1 つの NIC インターフェイスが必要(複数の NIC が推奨されます。6 つの NIC がサポートされます)。Cisco ISE は VirtIO ドライバをサポートします。パフォーマンスを向上させるには、VirtIO ドライバを推奨します。 |
||||
ハイパーバイザ |
QEMU 2.12.0-99 以降での KVM |
Cisco ISE 用の Microsoft Hyper-V の要件
要件のタイプ |
最小要件 |
||||
---|---|---|---|---|---|
CPU |
|
||||
メモリ |
|
||||
ハード ディスク |
|
||||
NIC |
1 つの NIC インターフェイスが必要(複数の NIC が推奨されます。6 つの NIC がサポートされます)。 |
||||
ハイパーバイザ |
Hyper-V(Microsoft) |
Cisco ISE に関する Nutanix AHV の要件
Cisco ISE は、標準の Cisco ISE .iso イメージを使用して Nutanix AHV に展開する必要があります。OVA テンプレートを使用した Cisco ISE の展開は、Nutanix AHV ではサポートされていません。
次の表に、Nutanix AHV でのさまざまな展開タイプに推奨されるリソース予約を示します。
タイプ | CPU の数 | CPU 予約(GHz) | メモリ(GB) | メモリ予約(GB) | ハード ディスク |
評価 |
4 |
予約なし |
16 |
予約なし |
300 GB |
極小規模 |
8 |
8 |
32 |
32 |
300 GB |
小 | 16 | 16 | 32 | 32 | 600 GB |
中規模 | 24 | 24 | 96 | 96 | 1.2 TB |
大 | 24 | 24 | 256 | 256 | 2.4 TB(4*600 GB) |
Cisco ISE のインストールを進める前に、Nutanix AHV で次の設定を行う必要があります。
-
Nutanix AHV で仮想マシン(VM)を作成し、VM の電源をオフのままにします。
-
ssh ログインを使用して Nutanix CVM にアクセスし、次のコマンドを実行します。
-
$acli
-
<acropolis> vm.serial_port_create <Cisco ISE VM Name> type=kServer index=0
-
<acropolis> vm.update <Cisco ISE VM Name> disable_branding=true
-
<acropolis> vm.update <Cisco ISE VM Name> extra_flags=”enable_hyperv_clock=False”
-
-
Acropolis CLI を終了し、VM の電源をオンにして、standard.iso イメージを使用してCisco ISE のインストールを続行します。
要件のタイプ |
最小要件 |
||
---|---|---|---|
CPU |
Cisco ISE はハイパースレッディングをサポートしています。可能であれば、ハイパースレッディングをイネーブルにすることを推奨します。
|
||
メモリ |
|
||
ハード ディスク |
|
||
KVM ディスク デバイス |
ディスクバス:SCSI |
||
NIC |
1 GB の NIC インターフェイスが必要(複数の NIC が推奨されます。6 つの NIC がサポートされます)。Cisco ISE は VirtIO ドライバをサポートします。パフォーマンスを向上させるには、VirtIO ドライバを推奨します。 |
||
ハイパーバイザ |
AOS - 6.5.2.7 LTS、Nutanix AHV - 20220304.392 |