Azure Cloud Services 上の Cisco ISE

Azure Cloud 上の Cisco ISE

Cisco ISE は Azure Cloud Services で利用できます。Azure Cloud で Cisco ISE を設定してインストールするには、Azure Cloud の機能とソリューションについてよく理解しておく必要があります。開始する前に理解しておく必要がある Azure Cloud の概念は次のとおりです。

サブスクリプションとリソースグループ
Azure 仮想マシン：インスタンス、イメージ、SSH キー、タグ、VM のサイズ変更を参照してください。

Cisco ISE は、Azure アプリケーションと仮想マシンの 2 つのバリアントとして Microsoft Azure のマーケットプレイスで入手できます。Cisco ISE ユーザーが使いやすいようにカスタマイズされていることから、Azure アプリケーションバリアントを使用することをお勧めします。

Azure Marketplace での Azure アプリケーションバリアントを使用した Cisco ISE インスタンスの作成
Azure Marketplace での仮想マシンバリアントを使用した Cisco ISE インスタンスの作成

Cisco ISE は、次の Azure VM サイズのいずれかを使用してインストールできます。

表 1. Cisco ISE でサポートされる Azure VM サイズ
Azure VM サイズ	vCPU	RAM（GB）
Standard_D4s_v4 （このインスタンスは、Cisco ISE 評価のユースケースをサポートしています。100 の同時アクティブエンドポイントがサポートされています）	4	16
Standard_D8s_v4	8	32
Standard_F16s_v2	16	32
Standard_F32s_v2	32	64
Standard_D16s_v4	16	64
Standard_D32s_v4	32	128
Standard_D64s_v4	64	256

Fsv2 シリーズの Azure VM サイズはコンピューティングに最適化され、コンピューティング集約型のタスクやアプリケーションの PSN として使用するのに最適です。

Dsv4 シリーズは、PAN または MnT ノード、またはその両方としての使用に最適な汎用の Azure VM サイズであり、データ処理タスクとデータベース操作を目的としています。

汎用インスタンスを PSN として使用する場合、パフォーマンスの数値は、PSN としてのコンピューティング最適化インスタンスのパフォーマンスよりも低くなります。

Standard_D8s_v4 VM サイズは、極小規模の PSN としてのみ使用する必要があります。

Azure VM サイズのスケールおよびパフォーマンスデータについては、『Performance and Scalability Guide for Cisco Identity Services Engine』を参照してください。

（注）

Cisco ISE インスタンスを作成するために、既存の Azure Cloud イメージを複製しないでください。

Microsoft Azure Cloud Services での Cisco ISE の既知の制限事項

仮想マシンバリアントを使用して Cisco ISE を作成すると、Microsoft Azure はデフォルトで DHCP サーバーを介して VM にプライベート IP アドレスを割り当てます。Microsoft Azure で Cisco ISE 展開を作成する前に、Microsoft Azure によって割り当てられた IP アドレスを使用して、フォワードおよびリバース DNS エントリを更新する必要があります。

または、Cisco ISE をインストールした後、Microsoft Azure でネットワークインターフェイスオブジェクトを更新して、VM に静的 IP アドレスを割り当てます。
1. VM を停止します。
2. VM の [プライベートIPアドレス設定（Private IP address settings）] エリアの [割り当て（Assignment）] エリアで、[静的（Static）] をクリックします。
3. VM を再起動します。
4. Cisco ISE シリアルコンソールで、IP アドレスを Gi0 として割り当てます。
5. Cisco ISE アプリケーションサーバーを再起動します。
Microsoft Azure で VM にセカンダリ NIC を追加するには、最初に VM の電源をオフにする必要があります。
Cisco ISE アップグレードワークフローは、Microsoft Azure 上の Cisco ISE では使用できません。新規インストールのみがサポートされています。ただし、設定データのバックアップと復元は実行できます。
パブリッククラウドはレイヤ 3 機能のみをサポートします。Microsoft Azure 上の Cisco ISE ノードは、レイヤ 2 の機能に依存する Cisco ISE 機能をサポートしません。たとえば、Cisco ISE CLI を介した DHCP SPAN プロファイラプローブおよび CDP プロトコル機能の使用は、現在サポートされていない機能です。
設定データの復元およびバックアップ機能を実行する場合、バックアップ操作が完了した後、まず CLI から Cisco ISE を再起動します。次に、Cisco ISE GUI から復元操作を開始します。Cisco ISE のバックアップおよび復元プロセスの詳細については、お使いのバージョンのリリースの『Cisco ISE Administrator Guide』の「Maintain and Monitor」の章を参照してください。
パスワードベースの認証を使用した Cisco ISE CLI への SSH アクセスは、Azure ではサポートされていません。キーペアを介してのみ Cisco ISE CLI にアクセスでき、このキーペアは安全に保存する必要があります。

秘密キー（または PEM）ファイルを使用していてそのファイルを失った場合、Cisco ISE CLI にアクセスできなくなります。

パスワードベースの認証方式を使用して Cisco ISE CLI にアクセスする統合は、サポートされていません（たとえば、Cisco DNA Center リリース 2.1.2 以前）。

Azure Marketplace での仮想マシンバリアントを使用した Cisco ISE インスタンスの作成

始める前に

SSH キーペアを生成します。
必要な VN のゲートウェイ、サブネット、およびセキュリティグループを作成します。
Cisco ISE で使用するサブネットは、インターネットにアクセスできる必要があります。Microsoft Azure の [パブリックルートテーブル（Public Route Table）] ウィンドウで、サブネットの次のホップをインターネットとして設定します。

手順

ステップ 1	https://portal.azure.com に移動して Microsoft Azure アカウントにログインします。
ステップ 2	ウィンドウの上部にある検索フィールドを使用して、マーケットプレイスを検索します。
ステップ 3	[マーケットプレイスの検索（Search the Marketplace）] 検索フィールドを使用して、Cisco Identity Services Engine（ISE）を検索します。
ステップ 4	Cisco ISE の [仮想マシン（Virtual Machine）] バリアントをクリックします。
ステップ 5	表示される新しいウィンドウで、[作成（Create）] をクリックします。
ステップ 6	[基本（Basics）] タブで次の手順を実行します。 [プロジェクトの詳細（Project details）] エリアで、[サブスクリプション（Subscription）] および [リソースグループ（Resource group）] ドロップダウンリストから必要な値を選択します。 [インスタンスの詳細（Instance details）] エリアで、[仮想マシン名（Virtual Machine name）] フィールドに値を入力します。 [イメージ（Image）] ドロップダウンリストから、Cisco ISE イメージを選択します。 [サイズ（Size）] ドロップダウンリストから、Cisco ISE をインストールするインスタンスサイズを選択します。Azure Cloud 上の Cisco ISE のセクションの Cisco ISE でサポートされる Azure Cloud インスタンスというタイトルの表にリストされているように、Cisco ISE でサポートされるインスタンスを選択します。 [管理者アカウント（Administrator account）] > [認証タイプ（Authentication type）] エリアで、[SSH公開キー（SSH Public Key）] オプションボタンをクリックします。 [ユーザー名（Username）] フィールドに iseadmin と入力します。 [SSH公開キーソース（SSH public key source）] ドロップダウンリストから、[Azureに保存されている既存のキーを使用（Use existing key stored in Azure）] を選択します。 [保存されたキー（Stored keys）] ドロップダウンリストから、このタスクの前提条件として作成したキーペアを選択します。 [受信ポートの規則（Inbound port rules）] エリアで、[選択されたポートを許可する（Allow selected ports）] オプションボタンをクリックします。 [受信ポートの選択（Select inbound ports）] ドロップダウンリストから、アクセスを許可するすべてのプロトコルポートを選択します。 [ライセンス（Licensing）] エリアの [ライセンスタイプ（Licensing type）] ドロップダウンリストから、[その他（Other）] を選択します。
ステップ 7	[次へ：ディスク（Next: Disks）] をクリックします。
ステップ 8	[ディスク（Disks）] タブで、必須フィールドのデフォルト値をそのままにして、[次へ：ネットワーク（Next: Networking）] をクリックします。
ステップ 9	[ネットワークインターフェイス（Network Interface）] エリアで、[仮想ネットワーク（Virtual network）]、[サブネット（Subnet）]、および [ネットワークセキュリティグループの設定（Configure network security group）] ドロップダウンリストから、作成した仮想ネットワークとサブネットを選択します。パブリック IP アドレスを持つサブネットは、オンラインおよびオフラインのポスチャフィードの更新を受信しますが、プライベート IP アドレスを持つサブネットは、オフラインのポスチャフィードの更新のみを受信することに注意してください。
ステップ 10	[次へ：管理（Next: Management）] をクリックします。
ステップ 11	[管理（Management）] タブで、必須フィールドのデフォルト値をそのままにして、[次へ：詳細設定（Next: Advanced）] をクリックします。
ステップ 12	[ユーザーデータ（User data）] エリアで、[ユーザーデータを有効にする（Enable user data）] チェックボックスをオンにします。 [ユーザーデータ（User data）] フィールドに次の情報を入力します。 hostname=<hostname of Cisco ISE> primarynameserver=<IPv4 address> dnsdomain=<example.com> ntpserver=<IPv4 address or FQDN of the NTP server> timezone=<timezone> password=<password> ersapi=<yes/no> openapi=<yes/no> pxGrid=<yes/no> pxgrid_cloud=<yes/no> ユーザーデータエントリを使用して設定する各フィールドには、正しいシンタックスを使用する必要があります。[ユーザーデータ（User Data）] フィールドに入力した情報は、入力時に検証されません。誤った構文を使用すると、イメージの起動時に Cisco ISE サービスが表示されないことがあります。次に、[ユーザーデータ（User Data）] フィールドを使用して送信する設定のガイドラインを示します。 hostname：英数字とハイフン（-）のみを含むホスト名を入力します。ホスト名の長さは 19 文字以下で、下線（_）を含めることはできません。プライマリネームサーバー：プライマリネームサーバーの IP アドレス。サポートされているのは IPv4 アドレスだけです。 dnsdomain：DNS ドメインの FQDN を入力します。エントリには、ASCII 文字、数字、ハイフン（-）、およびピリオド（.）を含めることができます。 ntpserver：同期に使用する NTP サーバーの IPv4 アドレスまたは FQDN を入力します（例：time.nist.gov）。 timezone：タイムゾーンを入力します（例：Etc/UTC）。すべての Cisco ISE ノードを協定世界時（UTC）のタイムゾーンに設定することを推奨します（特に Cisco ISE ノードが分散展開されてインストールされている場合）。この手順では、展開内のさまざまなノードからのレポートとログのタイムスタンプが常に同期されるようにします。 password：Cisco ISE への GUI ベースのログインのパスワードを設定します。入力するパスワードは、Cisco ISE のパスワードポリシーに準拠している必要があります。たとえば、パスワードには、少なくとも 1 つの小文字、1 つの大文字、および 1 つの数字を含む 8 文字以上が含まれている必要があります。パスワードには、admin、cisco、password などの特定のディクショナリエントリを含めることはできません。ご使用のリリースの『Cisco ISE Administrator Guide』[英語] の「Basic Setup」の章にある「User Password Policy」のセクションを参照してください。 ersapi：ERS を有効にするには yes と入力し、ERS を拒否するには no と入力します。 openapi：OpenAPI を有効にするには yes と入力し、OpenAPI を拒否するには no と入力します。 pxGrid：pxGrid を有効にするには yes と入力し、pxGrid を拒否するには no と入力します。 pxgrid_cloud：pxGrid Cloud を有効にするには yes と入力し、pxGrid Cloud を拒否するには no と入力します。pxGrid クラウドを有効にするには、pxGrid を有効にする必要があります。pxGrid を無効にして pxGrid クラウドを有効にすると、pxGrid クラウドサービスは起動時に有効になりません。
ステップ 13	[次へ：タグ（Next: Tag）] をクリックします。
ステップ 14	リソースを分類し、複数のリソースとリソースグループを統合できる名前と値のペアを作成するには、[名前（Name）] フィールドと [値（Value）] フィールドに値を入力します。
ステップ 15	[次へ：確認して作成（Next: Review + Create）] をクリックします。
ステップ 16	これまでに提供した情報を確認し、[作成（Create）] をクリックします。 [展開が進行中です（Deployment is in progress）] ウィンドウが表示されます。Cisco ISE インスタンスが作成されて使用できるようになるまで、約 30 分かかります。Cisco ISE VM インスタンスが [仮想マシン（Virtual Machines）] ウィンドウに表示されます（ウィンドウを見つけるには、メインの検索フィールドを使用します）。

次のタスク

Microsoft Azure のデフォルト設定により、作成した Cisco ISE VM は 300 GB のディスクサイズのみで設定されます。通常、Cisco ISE ノードには 300 GB を超えるディスクサイズが必要です。Microsoft Azure から Cisco ISE を初めて起動したときに、仮想メモリ不足のアラームが表示される場合があります。[仮想マシン（Virtual Machines）] ウィンドウで次の手順を実行して、ディスクサイズを編集します。

Cisco ISE インスタンスを停止します。
左ペインで [ディスク（Disk）] をクリックし、Cisco ISE で使用しているディスクをクリックします。
左ペインで [サイズとパフォーマンス（Size + performance）] をクリックします。
[カスタムディスクサイズ（Custom disk size）] フィールドに、必要なディスクサイズを GiB 単位で入力します。

Azure Marketplace での Azure アプリケーションバリアントを使用した Cisco ISE インスタンスの作成

始める前に

リソースグループ、仮想ネットワーク、サブネット、SSH キーなど、必要な Azure リソースを作成します。

手順

ステップ 1	https://portal.azure.com に移動し Azure ポータルにログインします。
ステップ 2	ウィンドウの上部にある検索フィールドを使用して、マーケットプレイスを検索します。
ステップ 3	[マーケットプレイスの検索（Search the Marketplace）] 検索フィールドを使用して、Cisco Identity Services Engine（ISE）を検索します。
ステップ 4	Cisco ISE の Azure アプリケーションバリアントをクリックします。
ステップ 5	表示される新しいウィンドウで、[作成（Create）] をクリックします。
ステップ 6	5 つの手順のワークフローが表示されます。
ステップ 7	[基本（Basics）] タブで次の手順を実行します。 [リソースグループ（Resource Group）] ドロップダウンリストから、Cisco ISE に関連付けるオプションを選択します。 [リージョン（Region）] ドロップダウンリストから、リソースグループが配置されているリージョンを選択します。 [ホスト名（Hostname）] フィールドに、ホスト名を入力します。 [タイムゾーン（Time Zone）] ドロップダウンリストから、タイムゾーンを選択します。 [VMサイズ（VM Size）] ドロップダウンリストから、Cisco ISE に使用する Azure VM サイズを選択します。 [ディスクストレージタイプ（Disk Storage Type）] ドロップダウンリストからオプションを選択します。 [ボリュームサイズ（Volume Size）] フィールドに、Cisco ISE インスタンスに割り当てるボリュームを GB 単位で入力します。600 GB がデフォルト値です。
ステップ 8	[Next] をクリックします。
ステップ 9	[ネットワーク設定（Network Settings）] タブで次の手順を実行します。 [仮想ネットワーク（Virtual Network）] ドロップダウンリストで、選択したリソースグループで使用可能な仮想ネットワークのリストからオプションを選択します。 [サブネット（Subnet）] ドロップダウンリストで、選択した仮想グループに関連付けられたサブネットのリストからオプションを選択します。（任意） [ネットワークセキュリティグループ（Network Security Group）] ドロップダウンリストで、選択したリソースグループのセキュリティグループのリストからオプションを選択します。 [SSH公開キーソース（SSH public key source）] ドロップダウンリストから、対応するオプションをクリックして、新しいキーペアを作成するか、既存のキーペアを使用するかを選択します。前の手順で [Azureに保存されている既存のキーを使用（Use existing key stored in Azure）] オプションを選択した場合は、[保存されたキー（Stored Keys）] ドロップダウンリストから、使用するキーを選択します。静的 IP アドレスを Cisco ISE に割り当てるには、[プライベートIPアドレス（Private IP address）] フィールドに IP アドレスを入力します。この IP アドレスが、選択したサブネット内の他のリソースによって使用されていないことを確認してください。 [パブリックIPアドレス（Public IP Address）] ドロップダウンリストで、Cisco ISE で使用するアドレスを選択します。このフィールドを空白のままにすると、パブリック IP アドレスが Azure DHCP サーバーによってインスタンスに割り当てられます。 [DNS名（DNS Name）] フィールドに DNS ドメイン名を入力します。 [ネームサーバー（Name Server）] フィールドに、ネームサーバーの IP アドレスを入力します。この IP アドレスが誤った構文を使用している、または到達できない場合、Cisco ISE サービスが起動時に表示されないことがあります。 [NTPサーバー（NTP Server）] フィールドに、NTP サーバーの IP アドレスまたはホスト名を入力します。エントリは入力時に検証されません。IP アドレスが正しくない場合、Cisco ISE サービスが起動時に表示されないことがあります。
ステップ 10	[Next] をクリックします。
ステップ 11	[サービス（Service）] タブで次の手順を実行します。 [ERS] ドロップダウンリストから、[はい（Yes）] または [いいえ（No）] を選択します。 [オープンAPI（Open API）] ドロップダウンリストから、[はい（Yes）] または [いいえ（No）] を選択します。 [pxGrid] ドロップダウンリストから、[はい（Yes）] または [いいえ（No）] を選択します。 [pxGridクラウド（pxGrid Cloud）] ドロップダウンリストから、[はい（Yes）] または [いいえ（No）] を選択します。
ステップ 12	[Next] をクリックします。
ステップ 13	[ユーザーの詳細（User Details）] タブで次の手順を実行します。 [iseadminのパスワードの入力（Enter Password for iseadmin）] および [パスワードの確認（Confirm Password）] フィールドに、Cisco ISE のパスワードを入力します。パスワードは Cisco ISE のパスワードポリシーに準拠し、最大 25 文字である必要があります。
ステップ 14	[Next] をクリックします。
ステップ 15	[確認して作成（Review + create）] タブで、インスタンスの詳細を確認します。
ステップ 16	[作成（Create）] をクリックします。 [概要（Overview）] ウィンドウに、インスタンス作成プロセスの進行状況が表示されます。
ステップ 17	検索バーを使用して、[仮想マシン（Virtual Machines）] ウィンドウに移動します。作成した Cisco ISE インスタンスがウィンドウにリストされ、[ステータス（Status）] は [作成中（Creating）] になります。Cisco ISE インスタンスの作成には約 30 分かかります。

インストール後のタスク

Cisco ISE インスタンスを正常に作成した後に実行する必要があるインストール後のタスクについては、お使いのバージョンの Cisco ISE リリースの『Cisco ISE Installation Guide』の「Installation Verification and Post-Installation Tasks」の章を参照してください。

Azure Cloud 上の Cisco ISE の互換性情報

このセクションでは、Azure Cloud 上の Cisco ISE に固有の互換性情報について詳しく説明します。Cisco ISE の一般的な互換性の詳細については、お使いのバージョンのリリースの『Cisco Identity Services Engine Network Component Compatibility』ガイドを参照してください。

ロードバランサ統合のサポート

RADIUS トラフィックのロードバランシングのために、Azure ロードバランサを Cisco ISE と統合できます。ただし、次の注意事項が適用されます。

認可変更（CoA）機能は、Azure portal のロードバランシングルールでセッションの永続性のプロパティを設定するときにクライアント IP の保存を有効にしている場合にのみサポートされます。
Azure ロードバランサは送信元 IP アフィニティのみをサポートし、発信側ステーションの ID ベースのスティッキセッションをサポートしないため、不均等なロードバランシングが発生する可能性があります。
Azure ロードバランサは RADIUS ベースの正常性チェックをサポートしていないため、RADIUS サービスがノードでアクティブでない場合でも、トラフィックを Cisco ISE PSN に送信できます。

Azure ロードバランサの詳細については、『What is Azure Load Balancer?』を参照してください。

TACACS トラフィックのロードバランシングのために、Azure ロードバランサを Cisco ISE と統合できます。ただし、Azure ロードバランサは TACACS+ サービスに基づく正常性チェックをサポートしないため、ノードで TACACS サービスがアクティブでない場合でも、Cisco ISE PSN にトラフィックが送信されることがあります。

Azure Cloud でのパスワードの回復とリセット

次のタスクでは、Cisco ISE 仮想マシンのパスワードをリセットまたは回復するために役立つタスクについて説明します。必要なタスクを選択し、詳細な手順を実行します。

シリアルコンソールを介した Cisco ISE GUI パスワードのリセット

手順

ステップ 1	Azure Cloud にログインし、Cisco ISE 仮想マシンを含むリソースグループを選択します。
ステップ 2	リソースのリストから、パスワードをリセットする Cisco ISE インスタンスをクリックします。
ステップ 3	左側のメニューの [サポートとトラブルシューティング（Support + Troubleshooting）] セクションで、[シリアルコンソール（Serial console）] をクリックします。
ステップ 4	ここでエラーメッセージが表示された場合は、次の手順を実行してブート診断を有効にする必要がある場合があります。左側のメニューから、[ブート診断（Boot diagnostics）] をクリックします。 [カスタムストレージアカウントで有効にする（Enable with custom storage account）] をクリックします。ストレージアカウントを選択し、[保存（Save）] をクリックします。
ステップ 5	左側のメニューの [サポートとトラブルシューティング（Support + Troubleshooting）] セクションで、[シリアルコンソール（Serial console）] をクリックします。
ステップ 6	Azure Cloud Shell が新しいウィンドウに表示されます。
ステップ 7	画面が黒い場合は、Enter を押してログインプロンプトを表示します。
ステップ 8	シリアルコンソールにログインします。シリアルコンソールにログインするには、インスタンスのインストール時に設定された元のパスワードを使用する必要があります。このパスワードを覚えていない場合は、「パスワードの回復」セクションを参照してください。
ステップ 9	application reset-passwd ise iseadmin コマンドを使用して、iseadmin アカウントの新しい GUI パスワードを設定します。

新しい公開キーペアの作成

このタスクを通じて、追加のキーペアをリポジトリに追加します。Cisco ISE インスタンスの設定時に作成された既存のキーペアは、新しく作成する公開キーに置き換えられません。

手順

ステップ 1	Azure Cloud で新しい公開キーを作成します。『Generate and store SSH keys in the Azure portal』を参照してください。
ステップ 2	前のタスクで説明したように、Azure Cloud シリアルコンソールにログインします。
ステップ 3	公開キーを保存する新しいリポジトリを作成するには、『Azure Repos documentation』を参照してください。 CLI を介してアクセスできるリポジトリがすでにある場合は、手順 4 に進みます。
ステップ 4	新しい公開キーをインポートするには、コマンド crypto key import <public key filename> repository <repository name> を使用します。
ステップ 5	インポートが完了すると、新しい公開キーを使用して SSH 経由で Cisco ISE にログインできます。

Azure Cloud を使用した新しい公開キーペアの作成

手順

ステップ 1	Azure Cloud にログインし、Cisco ISE 仮想マシンを含むリソースグループを選択します。
ステップ 2	リソースのリストから、Cisco ISE インスタンスをクリックします。
ステップ 3	左側のメニューの [サポートとトラブルシューティング（Support + troubleshooting）] セクションで、[パスワードのリセット（Reset Password）] をクリックします。
ステップ 4	[SSH公開キーのリセット（Reset SSH public key）] をクリックします。
ステップ 5	ユーザー名に iseadmin と入力します。
ステップ 6	テキストボックスに新しい公開キーを入力し、[更新（Update）] をクリックします。

Azure Cloud でのパスワードの回復

手順

ステップ 1	Azure Cloud にログインし、Cisco ISE 仮想マシンを含むリソースグループを選択します。
ステップ 2	リソースのリストから、Cisco ISE インスタンスをクリックします。
ステップ 3	左側のメニューの [サポートとトラブルシューティング（Support + troubleshooting）] セクションで、[パスワードのリセット（Reset Password）] をクリックします。
ステップ 4	[パスワードのリセット（Reset Password）] をクリックします。
ステップ 5	ユーザー名に iseadmin と入力します。
ステップ 6	新しいパスワードを入力します。パスワードの長さは、12 ～ 19 文字にする必要があります。
ステップ 7	パスワードを確認のために再度入力し、[更新（Update）] をクリックします。

クラウドプラットフォームへの Cisco Identity Services Engine のネイティブな展開

偏向のない言語

翻訳について

Book Title

クラウドプラットフォームへの Cisco Identity Services Engine のネイティブな展開

Chapter Title