Configurar e solucionar problemas de política de Smart Licensing em plataformas ACI

Introdução

Este documento descreve como usar a política de Smart Licensing para gerenciar licenças de software na plataforma Cisco Application Centric Infrastructure (ACI).

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Informações de Apoio

Este documento descreve como trabalhar com a Política de Licenciamento Inteligente da Cisco para solucionar problemas, configurar e gerenciar licenças de software na plataforma Cisco Application Centric Infrastructure (ACI).

O que é a Cisco Smart Licensing Policy (SLP)?

O Cisco Smart Licensing é uma plataforma de gerenciamento de software que gerencia todas as licenças de produtos da Cisco. Com base no seu feedback, o Cisco Smart Licensing foi aprimorado e uma nova plataforma, chamada SLP, foi proposta. A finalidade do SLP é simplificar o licenciamento inteligente e possibilitar a configuração e a manutenção. Ele é apresentado na versão 5.2(4) da ACI.

Você é novo na administração de Smart Licensing e/ou Smart Account?

Visite e inscreva-se no novo curso de treinamento e gravação do administrador:

• Comunidade Cisco - Obtenha inteligência com as Smart Accounts/Smart Licensing da Cisco e as qualificações do My Cisco
• As Smart Accounts podem ser criadas aqui: Smart Accounts 
• As Smart Accounts podem ser gerenciadas aqui: Smart Software Licensing

O que é um token de ID?

Usado para registrar produtos com segurança em uma Smart Account e uma Virtual Account. Os Tokens de ID são "identificadores organizacionais" usados para estabelecer a identidade quando um produto é registrado. Esses tokens no SLP são usados com um método diferente de registro, que será explicado mais adiante neste documento.

Gerar um token de ID do CSSM

Para gerar, vá para o Cisco Software Central e navegue para Manage Licenses > Inventory > General > New Token como mostrado na imagem.

Depois de gerada, você pode copiar ou baixar em Ações:

Licença SLP e Estados do Produto

No ACI SLP, a necessidade de 90 dias do período de avaliação e registro do produto é eliminada. O registro do produto não é mais necessário. Você precisa relatar o uso da licença com o melhor esforço. Além disso, o status de autorização de licença na visualização do cliente é eliminado. Uma licença tem dois status agora: Em uso ou Não em uso. Como o controlador APIC gerencia apenas as licenças que estão atualmente em uso, na interface de usuário/CLI do APIC você pode ver apenas todas as qualificações de licença que estão em uso. 

Métodos suportados com SLP

Há diferentes métodos para configurar a Política de Licença Inteligente que podem ser diferenciados da seguinte forma: 

1. Modo Online

2. Modo Offline

No SLP da ACI, apresente o conceito do relatório de Medição da Utilização de Recursos (relatório RUM). Um relatório RUM é um arquivo no formato XML que contém o relatório de uso de licença. Portanto, a terminologia license usage report e Rum reportsão intercambiáveis; ambos se referem ao uso de licença de relatório. Com o modo on-line, um usuário precisa configurar a rede e fazer com que o controlador APIC seja conectado ao CSSM direta ou indiretamente, também no modo on-line, o APIC pode enviar automaticamente relatórios de RUM para o CSSM e obter a confirmação dele.

No modo off-line, como o APIC é completamente isolado sem qualquer conexão de rede com o CSSM direta ou indiretamente, um usuário precisa fazer o download periódico do relatório RUM do APIC, importá-lo para o CSSM, fazer o download da confirmação do CSSM e importá-lo para o APIC.

Com base na conectividade do APIC com o CSSM, você pode decidir se deseja usar o modo on-line ou off-line, que, portanto, também tem vários métodos no modo on-line, explicados da seguinte forma: 



Método 1. Conexão direta com CSSM

Esse método é o modo de rede mais comumente usado. O APIC da Cisco deve ter conectividade com a Internet para que o APIC da Cisco possa enviar relatórios de RUM diretamente ao CSSM. O DNS deve ser configurado e o nome de host CSSM (tools.cisco.com) deve ser passível de ping.

Para configurar:

Etapa 1. Faça login na GUI do Cisco APIC.

Etapa 2. Na barra de menus, navegue até System > Smart Licensing > Actions > Configure Network Settings.

Etapa 3. Selecione Direct connect to CSSM.

Etapa 4. URL e número de porta são inalteráveis aqui.

Etapa 5. Cole o token de ID da instância do produto, que já foi obtido da sua conta virtual do CSSM.

Etapa 6. Clique em OK.

Token de ID da instância do produto

Depois de sincronizado com o CSSM, os nomes da Conta inteligente e da Conta virtual são atualizados na página Smart Licensing, como mostrado na imagem.

Smart Account e Virtual AccountNames estão atualizados

Método 2. Cisco Transport Gateway

Com esse método, o Cisco APIC não exige conectividade com a Internet. O APIC da Cisco envia relatórios de RUM ao CSSM com a ajuda do gateway de transporte. O middleware do gateway de transporte da Cisco já deve estar instalado no data center e acessível ao APIC. Para o modo Transport Gateway, o formato da URL é: http<s>://<ip or hostname>:<port>/Transportgateway/services/DeviceRequestHandler, onde IP ou nome do host é o IP ou nome do host do Transport Gateway. O número da porta deverá ser inserido se não for a porta 80 HTTP padrão ou a porta 443 HTTPS. Junto com isso, um token de ID de instância de produto é necessário e pode ser obtido de sua conta virtual CSSM.

Para instalar e configurar o Transport Gateway, um usuário pode consultar a documentação do Cisco Transport Gateway:

https://www.cisco.com/c/dam/en/us/td/docs/switches/lan/smart_call_home/user_guides/SCH_Ch4.pdf

Para configurar:

Etapa 1. Faça login na GUI do Cisco APIC.

Etapa 2. Na barra de menus, navegue até System > Smart Licensing > Actions > Configure Network Settings.

Etapa 3. Selecione Cisco Transport Gateway.

Etapa 4. Edite o URL com o IP (IP do Cisco Transport Gateway) e a porta corretos;http<s>://<ip or hostname><port>/Transportgateway/services/DeviceRequestHandler.

Etapa 5. Cole o token de ID da instância do produto, que já foi obtido da sua conta virtual do CSSM.

Etapa 6. Clique em OK.

Método 3. Proxy HTTP/HTTPS

Com esse método, o Cisco APIC não exige conectividade com a Internet. O APIC da Cisco envia relatórios RUM para o CSSM a partir do proxy da Web. Verifique se o servidor proxy da Web está configurado para permitir as mensagens de licenciamento inteligente. Além disso, o firewall deve ter regras para transmitir a comunicação para alcançar o destino (https://tools.cisco.com/its/service/oddce/services/DDCEService).

No modo Proxy, um usuário precisa configurar o IP e a porta do proxy. Além disso, um token de ID de instância de produto é necessário e pode ser obtido na conta virtual CSSM do usuário.

Para configurar:

Etapa 1. Faça login na GUI do Cisco APIC.

Etapa 2. Na barra de menus, navegue atéSystem > Smart Licensing > Actions > Configure Network Settings.

Etapa 3. SelecioneCisco HTTP/HTTPS Proxy.

Etapa 4. Forneça o endereço IP e o número da porta do proxy.

Etapa 5. Cole o token de ID da instância do produto, que pode ser obtido da sua conta virtual do CSSM.

Etapa 6. CliqueOK em.

Método 4. No local

Com esse método, o APIC da Cisco não exige conectividade com a Internet, enquanto o local precisa de conectividade com a Internet. O APIC da Cisco envia relatórios de RUM para o CSSM através do On-Prem. O middleware no local já deve estar instalado no data center. Esse modo era conhecido anteriormente como Cisco Smart Software Manager Satellite (Manager Satellite) no Cisco ACI Smart Licensing (SL). 

Para configurar:



Etapa 1. Faça login na GUI do Cisco APIC.

Etapa 2. Na barra de menus, navegue atéSystem > Smart Licensing > Actions > Configure Network Settings.

Etapa 3. Selecione Cisco Smart Software Manager On-Prem.

Você deve fornecer o URL para o Cisco Smart Software Manager On-Prem. Para obter o URL, faça login na GUI local do Cisco Smart Software Manager. Navegue até Inventory > General e clique no link CSLU TransportURL.

Etapa 4. Copie a URL da CSLU e cole-a no campo URL na GUI do Cisco APIC.

Não é necessário especificar o token da ID da instância do produto. O Cisco APIC usa um certificado integrado para se comunicar com o Cisco Smart Software Manager On-Prem.

Uma vez sincronizado com êxito, o Smart-Software-Manager On-Prem Inventory é atualizado com as licenças em uso.



Método 5. Utilitário Cisco Smart Licensing

Com esse método, o Cisco APIC não exige conectividade com a Internet. O APIC da Cisco envia relatórios de RUM ao CSSM através do CSLU. A CSLU, que é a versão Microsoft Windows do middleware, já deve estar instalada no data center. A URL da CSLU pode ser configurada no APIC de acordo com este formato:http://ip_or_hostname:port/cslu/v1/pi

Aqui IP ou nome do host é o endereço IP ou nome do host da CSLU. Não há suporte para HTTPS.



Para configurar:

Etapa 1. Faça login na GUI do Cisco APIC.

Etapa 2. Na barra de menus, navegue até Inventory System > Smart Licensing > Actions > Configure Network Settings .

Etapa 3. Selecione Cisco Smart Licensing Utility (CSLU).

No URL anterior, a porta é retirada do como Product Instance Service Port nas preferências da GUI do CSLU.

Depois de bem-sucedida, a página de licenciamento de sincronização é atualizada com o nome da Smart Account e o nome da Virtual Account, como mostrado na imagem.

Método 6. Método Offline

No modo off-line, o Cisco APIC é isolado sem qualquer conexão de rede com o CSSM, direta ou indiretamente. Como o APIC da Cisco não pode acessar o CSSM por meio de uma conexão de rede, a cada 12 meses você deve baixar um relatório de RUM do APIC da Cisco e importar o relatório para o CSSM. Depois, você deve baixar uma confirmação do CSSM e importá-la para o APIC da Cisco.

Para configurar:

Etapa 1. Faça login na GUI do Cisco APIC.

Etapa 2. Na barra de menus, navegue até System > Smart Licensing.

Etapa 3. No painel Trabalho, navegue até Actions > Download Rum Report.

O arquivo de relatório RUM é baixado automaticamente para a pasta padrão no navegador.


Após o download do relatório (LicenseUsageRumReport.xml), você poderá importá-lo para o CSSM.

Etapa 4. Faça login em Software.cisco.com e navegue até Gerenciar licença.

Etapa 5. No menu, clique em Reportse selecione a Usage Data Filesopção como mostrado na imagem.

Etapa 6. Clique  Upload Usage Dataem e selecione LicenseUsageRumReport.xmlos arquivos conforme mostrado na imagem.

Passo 7. Selecione as Virtual Accounts que têm as licenças.

Depois de enviado, você deve aguardar até que o status do relatório se torne No Errorse o campo Confirmação tenha a opção de fazer o download.

Etapa 8. Quando a opção de download estiver disponível, clique em Download eAcknowledgement será baixado como ACK_LicenseUsageRumReport.xmlnome do arquivo conforme mostrado na imagem.

Você precisa importar a confirmação para o APIC:

Etapa 9. Faça login na GUI do Cisco APIC.

Etapa 10. Na barra de menus, navegue atéSystem > Smart Licensing.

Etapa 11. No painel Trabalho, navegue atéActions > Import Acknowledgement.

Etapa 12. CliqueChoose File, navegue até o local onde você fez o download do arquivo de confirmação, escolha o arquivo e clique em Open.

Etapa 13. Clique em OK.



Depois de bem-sucedida, a página de licenciamento de sincronização é atualizada com o nome da Smart Account e o nome da Virtual Account, como mostrado na imagem.

Solucionar problemas da política de Smart Licensing da Cisco ACI

Falhas

Na ACI, uma falha é gerada quando uma condição ou aviso problemático específico ocorre antes que você comece a solucionar o problema. É sempre bom verificar se existe alguma falha que nos redirecione na direção certa, a tabela lista as falhas de licenciamento inteligente:

F3057	Essa é uma falha de aviso, que indica que você ainda não definiu uma configuração de rede. Mesmo que você queira escolher o modo off-line, defina a configuração de rede Off-line. Defina uma configuração de rede que elimine essa falha.
F4290	Essa falha indica que o token de ID da instância do produto inserido é inválido ou expirou. Faça login no CSSM e crie um novo token de registro de instância de produto. Faça login na GUI do Cisco Application Policy Infrastructure Controller (APIC) para inserir o novo token de ID e redefinir a configuração de rede. Essa ação elimina a falha.
F4291	Essa falha indica que a conectividade de rede entre o Cisco APIC e o CSSM ou entre o Cisco APIC e o servidor de transporte (gateway, proxy, no local ou CSLU) tem um problema. O Cisco APIC não pode se comunicar com o CSSM ou o servidor de transporte. Depois de resolver o problema de conectividade de rede, faça login na GUI do Cisco APIC, navegue até System > Smart Licensing e selecioneActions > Synchronize CSSM. Essa ação apaga a falha logo depois.
F422	Essa falha indica que o Cisco APIC não recebeu a confirmação de um relatório RUM por um longo tempo e a confirmação expirou. No modo off-line, baixe manualmente um relatório RUM e importe a confirmação. Quando você importa o arquivo de confirmação para o Cisco APIC, ele elimina a falha. Nos modos on-line, essa falha indica que, devido a um problema de rede, o Cisco APIC está fora de sincronia com o CSSM há muito tempo. Solucionar problemas de conectividade de rede entre o Cisco APIC e o CSSM ou entre o Cisco APIC e o servidor de transporte, bem como entre o servidor de transporte e o CSSM. Depois de resolver o problema de conectividade de rede, faça login na GUI do Cisco APIC, navegue até System > Smart Licensing e selecione Actions > Synchronize CSSM. Essa ação força o APIC da Cisco a enviar o relatório RUM novamente. Se a configuração de rede for On-Prem (No local), faça login na GUI On-Prem (No local) para fazer uma sincronização manual do On-Prem (No local) ou CSLU para o CSSM. Após a conclusão da sincronização, a falha é eliminada dentro de 10 a 15 minutos.
F4310	Essa falha indica que você importou a confirmação incorreta de um relatório RUM. Uma confirmação é exclusivamente associada a um relatório de RUM. A confirmação importada deve corresponder ao relatório RUM que você baixou. Baixe manualmente o relatório RUM novamente e importe a confirmação correta para o Cisco APIC, que elimina a falha.

comandos show

Há dois show comandos CLI que são úteis para solucionar problemas. Para usar esses comandos, faça login no nó 1 do Cisco Application Policy Infrastructure Controller (APIC) no cluster como o usuário administrador.

# show license all

Este comando show exibe informações de licenciamento inteligente do armazenamento confiável do Agente Inteligente (SA). A seção "Relatório de uso" exibe o carimbo de data/hora do último relatório de RUM enviado e a última confirmação recebida, bem como quando enviar o próximo relatório de RUM e quando sondar a próxima confirmação. Se o carimbo de data/hora da última confirmação recebida for mais recente do que o carimbo de data/hora do último relatório de RUM enviado, isso indica que o APIC da Cisco enviou com êxito o relatório de RUM e recebeu a confirmação.

# show license tech support

Esse comando show exibe informações muito mais detalhadas do que show license all. O console não pode exibir o resultado completo devido ao seu comprimento, mas você pode abrir o arquivo /tmp/SA_Show_Tech_Support.txt para exibir toda a saída.


Logs

Quando houver um problema com o Smart Licensing, colete estes logs:

/var/log/dme/log/svc_ifc_licensemgr.bin.log
/var/log/dme/log/ch_dbg.log
/var/log/dme/log/sa.log

Suporte técnico do APIC.

Problema conhecido

1. Falha no registro devido a um problema de comunicação (DNS não configurado)

No modo Direct Connect to CSSM, se você esquecer de configurar o DNS na comunicação do Cisco Application Policy Infrastructure Controller (APIC) para tools.cisco.com, ocorrerá uma falha.

verifique se o DNS está configurado no APIC e se você pode fazer ping em tools.cisco.com

Para verificar se o DNS está configurado, cat /etc/resolv.confexecute no APIC CLI:

apic1# cat /etc/resolv.conf # Generated by IFC search apic.local nameserver 10.0.0.1 nameserver XX.163.128.140

Para verificar se o ping funciona, execute o ping na CLI do controlador APIC, o ping deve funcionar para tools.cisco.com.

apic1# ping tools.cisco.com PING tools.cisco.com (XX.163.4.38) 56(84) bytes of data. 64 bytes from tools1.cisco.com (XX.163.4.38): icmp_seq=1 ttl=235 time=250 ms 64 bytes from tools1.cisco.com (XX.163.4.38): icmp_seq=2 ttl=235 time=249 ms 64 bytes from tools1.cisco.com (XX.163.4.38): icmp_seq=3 ttl=235 time=249 ms

2. Consideração de Atualização da Política de Licença Inteligente da Cisco ACI

Se você planeja atualizar para a versão do Cisco Application Policy Infrastructure Controller (APIC) 5.2(4) ou posterior, e o Cisco APIC já estiver registrado e a rede ou o modo de transporte for Direct Connect to CSSM, Transport Gateway ou HTTP/HTTPS Proxy, você pode atualizar diretamente o Cisco APIC de Cisco Application Centric Infrastructure (I) Smart Licensing (SL) para o LP. Não há necessidade de executar nenhum procedimento especial. Após a atualização, o Cisco APIC ainda está conectado ao CSSM e pode enviar relatórios de RUM para o CSSM sem qualquer problema.

Se, em vez disso, o Cisco APIC já estiver registrado e a rede ou o modo de transporte for satélite do gerente, você não poderá atualizar diretamente o Cisco APIC de SL para SLP. Isso ocorre porque o tipo de transporte e o URL são alterados para o modo de rede Cisco Smart Software Manager On-Prem que substitui o satélite do gerente. Você deve executar estas ações:

1. Atualize o satélite do gerenciador para a versão mais recente do Cisco Smart Software Manager On-Prem que suporta SLP. Após a atualização, verifique se o On-Prem tem conectividade de rede com o CSSM e se a sincronização ainda funciona entre o On-Prem e o CSSM.

2. Atualize o Cisco APIC para a versão 5.2(4) ou posterior. Após a atualização, a GUI do Cisco APIC exibe que o modo de rede é Transport Gateway em vez de Manager Satellite. Você deve reconfigurar o modo de rede para Cisco Smart Software Manager On-Prem e copiar o URL correto da GUI On-Prem.

3. Erro - Falha ao Enviar Mensagem HTTP do Call Home (CA raiz do Quo Vadis)

QuoVadis Root CA 2 é descomissionado e pode afetar a comunicação SSL do APIC, portanto, gera uma falha "Falha ao enviar Call Home HTTP". Para verificar o mesmo, você pode analisar os registros do call home em/var/log/dme/log/ch_dbg.log. Se ele imprimir essas linhas, siga o BUG fornecido e o Field Notice:

 CH-TRANS-ERROR: ch_pf_curl_send_msg[539], failed to perform, err code 60, err string "Peer certificate cannot be authenticated with given CA certificates" * 

 CH-TRANS-DETAIL: ch_pf_http_long_buf_dump[264], dump:"SSL certificate problem: self signed certificate in certificate chain" 

https://www.cisco.com/c/en/us/support/docs/field-notices/721/fn72115.html

ID de bug Cisco CSCwa97230