VMware での ASAv のガイドラインと制限事項
ESXi サーバーに ASAv の複数のインスタンスを作成して導入できます。ASAv の導入に使用される特定のハードウェアは、導入されるインスタンスの数や使用要件によって異なります。作成する各仮想アプライアンスには、ホスト マシン上での最小リソース割り当て(メモリ、CPU 数、およびディスク容量)が必要です。
重要 |
ASAv は、8GB のディスクストレージサイズで導入されます。ディスク容量のリソース割り当てを変更することはできません。 |
ASAv を導入する前に、次のガイドラインと制限事項を確認します。
VMWare ESXi での ASAv のシステム要件
最適なパフォーマンスを確保するために、以下の仕様に準拠していることを確認してください。ASAvASAv には、次の要件があります。
-
ホスト CPU は、仮想化拡張機能を備えたサーバークラスの x86 ベースの Intel または AMD CPU である必要があります。
たとえば、ASAv パフォーマンステストラボでは、2.6GHz で動作する Intel® Xeon® CPU E5-2690v4 プロセッサを搭載した Cisco Unified Computing System™(Cisco UCS®)C シリーズ M4 サーバーを最低限使用しています。
-
ASAv は、ESXi バージョン 6.0、6.5、6.7、7.0、7.0 アップグレード 1、7.0 アップグレード 2、および 7.0 アップグレード 3 をサポートします。
推奨される vNIC
最適なパフォーマンスを得るためには、次の vNIC を推奨します。
-
PCI パススルーでの i40e:サーバーの物理 NIC を VM に関連付け、DMA(ダイレクトメモリアクセス)を介して NIC と VM の間でパケットデータを転送します。パケットの移動に CPU サイクルは必要ありません。
-
i40evf/ixgbe-vf:実質的に上記と同じですが(NIC と VM 間の DMA パケット)、NIC を複数の VM 間で共有できます。SR-IOV は、導入の柔軟性が高いため、一般的に推奨されます。注意事項と制約事項を参照してください。
-
vmxnet3:10Gbps の動作をサポートしますが、CPU サイクルも必要な準仮想化ネットワークドライバです。これが VMware のデフォルトです。
vmxnet3 を使用する場合は、TCP パフォーマンスの低下を避けるために大量受信オフロード(LRO)を無効にする必要があります。
パフォーマンスの最適化
ASAv の最高のパフォーマンスを実現するために、VM とホストの両方を調整することができます。詳細については、VMware での ASAv のパフォーマンス調整を参照してください。
-
NUMA:ゲスト VM の CPU リソースを単一の Non-Uniform Memory Access(NUMA)ノードに分離することで、ASAv のパフォーマンスを向上できます。詳細については、NUMA のガイドラインを参照してください。
-
Receive Side Scaling:ASAv は Receive Side Scaling(RSS)をサポートしています。これは、ネットワークアダプタによって複数のプロセッサコアにネットワーク受信トラフィックを分散するために使用されるテクノロジーです。バージョン 9.13(1) 以降でサポートされています。詳細については、Receive Side Scaling(RSS)用の複数の RX キューを参照してください。
-
VPN の最適化:ASAv で VPN パフォーマンスを最適化するための追加の考慮事項については、VPN の最適化を参照してください。
OVF ファイルのガイドライン
導入対象に基づいて、asav-vi.ovf ファイルまたは asav-esxi.ovf ファイルを選択します。
-
asav-vi:vCenter に導入する場合
-
asav-esxi:ESXi に導入する場合(vCenter なし)
-
ASAv OVF の導入は、ローカリゼーション(非英語モードでのコンポーネントのインストール)をサポートしません。ご自身の環境の VMware vCenter と LDAP サーバーが ASCII 互換モードでインストールされていることを確認してください。
-
ASAv をインストールして VM コンソールを使用する前に、キーボードを [United States English] に設定する必要があります。
-
ASAv を導入すると、2 つの異なる ISO イメージが ESXi ハイパーバイザにマウントされます。
-
マウントされた最初のドライブには、vSphere によって生成された OVF 環境変数が備わってます。
-
マウントされた 2 番目のドライブは day0.iso です。
注目
ASAv マシンが起動したら、両方のドライブのマウントを解除できます。ただし、 [電源投入時に接続(Connect at Power On)] がオフになっている場合でも、ドライブ 1(OVF 環境変数を使用)は、ASAv の電源をオフ/オンにするたびに常にマウントされます。
-
vSphere の OVF テンプレートのエクスポート機能は、既存の ASAv インスタンスパッケージを OVF テンプレートとしてエクスポートするのに役立ちます。エクスポートされた OVF テンプレートを使用して、同じ環境または異なる環境に ASAv インスタンスを導入できます。エクスポートされた OVF テンプレートを使用して vSphere に ASAv インスタンスを導入する前に、OVF ファイルの構成の詳細を変更して、導入の失敗を防ぐ必要があります。
ASAv のエクスポートされた OVF ファイルを変更するには、次の手順を実行します。
-
OVF テンプレートをエクスポートしたローカルマシンにログインします。
-
テキストエディタで OVF ファイルを参照して開きます。
-
<vmw:ExtraConfig vmw:key="monitor_control.pseudo_perfctr" vmw:value="TRUE"></vmw:ExtraConfig>
タグが存在することを確認します。 -
<rasd:ResourceSubType>vmware.cdrom.iso</rasd:ResourceSubType>
タグを削除します。または
<rasd:ResourceSubType>vmware.cdrom.iso</rasd:ResourceSubType>
タグと<rasd:ResourceSubType>vmware.cdrom.remotepassthrough</rasd:ResourceSubType>
タグを交換します。詳細については、VMware が公開した「Deploying an OVF fails on vCenter Server 5.1/5.5 when VMware tools are installed (2034422)」を参照してください。
-
UserPrivilege
、OvfDeployment
、およびControllerType
のプロパティ値を入力します。次に例を示します。 - <Property ovf:qualifiers="ValueMap{"ovf", "ignore", "installer"}" ovf:type="string" ovf:key="OvfDeployment"> + <Property ovf:qualifiers="ValueMap{"ovf", "ignore", "installer"}" ovf:type="string" ovf:key="OvfDeployment" ovf:value="ovf"> - <Property ovf:type="string" ovf:key="ControllerType"> + <Property ovf:type="string" ovf:key="ControllerType" ovf:value="ASAv"> - <Property ovf:qualifiers="MinValue(0) MaxValue(255)" ovf:type="uint8" ovf:key="UserPrivilege"> + <Property ovf:qualifiers="MinValue(0) MaxValue(255)" ovf:type="uint8" ovf:key="UserPrivilege" ovf:value="15">
-
OVF ファイルを保存します。
-
OVF テンプレートを使用して、ASAv を導入します。VMware vSphere Web Client を使用した ASAv の導入 [英語] を参照してください。
ハイ アベイラビリティ ガイドラインのためのフェールオーバー
フェールオーバー配置の場合は、スタンバイ装置が同じライセンス権限付与を備えていることを確認してください(たとえば、両方の装置が 2Gbps の権限付与であることなど)。
重要 |
ASAv を使用して高可用性ペアを作成する場合は、データインターフェイスを各 ASAv に同じ順序で追加する必要があります。完全に同じインターフェイスが異なる順序で各 ASAv に追加されると、ASAv コンソールにエラーが表示されることがあります。また、フェールオーバー機能にも影響が出ることがあります。 |
ASAv 内部インターフェイスまたは ASAv フェールオーバーの高可用性リンクに使用される ESX ポートグループについては、2 つの仮想 NIC を使用して ESX ポートグループのフェールオーバー順序を設定します(1 つはアクティブアップリンク、もう 1 つはスタンバイアップリンク)。この設定は、2 つの VM が相互に ping を実行したり、ASAv 高可用性リンクを稼働させたりするために必要です。
vMotion に関するガイドライン
-
VMware では、vMotion を使用する場合、共有ストレージのみを使用する必要があります。ASAv の導入時に、ホスト クラスタがある場合は、ストレージをローカルに(特定のホスト上)または共有ホスト上でプロビジョニングできます。ただし、ASAv を vMotion を使用して別のホストに移行する場合、ローカル ストレージを使用するとエラーが発生します。
スループット用のメモリと vCPU の割り当てとライセンス
-
ASAv に割り当てられたメモリのサイズは、スループットレベルに合わせたものです。異なるスループットレベルのライセンスを要求する場合を除いて、[Edit Settings] ダイアログボックスのメモリ設定または vCPU ハードウェア設定は変更しないでください。アンダープロビジョニングは、パフォーマンスに影響を与える可能性があります。
(注)
メモリまたは vCPU ハードウェア設定を変更する必要がある場合は、ASAv のライセンスに記載されている値のみを使用してください。VMware が推奨するメモリ構成の最小値、デフォルト値、および最大値は使用しないでください。
CPU 予約
-
デフォルトでは、ASAv の CPU 予約は 1000 MHz です。共有、予約、および制限の設定([設定の編集(Edit Settings)] > [リソース(Resources)] > [CPU])を使用することで、ASAv に割り当てられる CPU リソースの量を変更できます。より低い設定で必要なトラフィック負荷が課されている状況で ASAv が目的を達成できる場合は、CPU 予約の設定を 1000 Mhz 未満にできます。ASAv によって使用される CPU の量は、動作しているハードウェア プラットフォームだけでなく、実行している作業のタイプと量によっても異なります。
仮想マシンの [Performance] タブの [Home] ビューに配置された [CPU Usage (MHz)] チャートから、すべての仮想マシンに関する CPU 使用率をホストの視点で確認できます。ASAv が標準的なトラフィック量を処理しているときの CPU 使用率のベンチマークを設定すると、その情報を CPU 予約の調整時の入力として使用できます。
詳細については、VMware から発行されている『CPU Performance Enhancement Advice』を参照してください。
-
リソース割り当てとオーバープロビジョニングまたはアンダープロビジョニングされたリソースを表示するには、ASAv show vm および show cpu コマンド、あるいは ASDM タブまたは ペインを使用できます。
UCS B シリーズ ハードウェアにおけるトランスペアレント モードに関するガイドライン
MAC フラップが、Cisco UCS B シリーズ ハードウェアのトランスペアレントモードで動作する一部の ASAv 設定で発生することがあります。MAC アドレスがさまざまな場所で出現した場合、パケットはドロップされます。
VMware 環境にトランスペアレントモードで ASAv を導入する場合に MAC フラップを回避するには、次のガイドラインを参考にしてください。
-
VMware NIC チーミング:UCS B シリーズにトランスペアレントモードで ASAv を導入する場合、内部および外部インターフェイスに使用するポートグループにはアクティブアップリンクを 1 つだけ設定し、アップリンクは同じである必要があります。vCenter で VMware NIC チーミングを設定します。
NIC チーミングの設定方法の詳細については、VMware ドキュメントを参照してください。
-
ARP インスペクション:ASAv で ARP インスペクションを有効にし、受信インターフェイスで MAC および ARP エントリを静的に設定します。ARP インスペクションと有効化の詳細については、Cisco ASA シリーズ コンフィギュレーション ガイド(一般的な操作)[英語] を参照してください。
その他のガイドラインと制限事項
-
ESXi 6.7、vCenter 6.7、ASA Virtual 9.12 以降を実行している場合、ASA Virtual は 2 つの CD/DVD IDE ドライブなしで起動します。
-
vSphere Web Client は ASAv OVA の導入ではサポートされないため、vSphere Client を使用してください。