Cisco Firepower Threat Defense Virtual スタートアップガイド(Microsoft Azure クラウド向け)

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Cisco Firepower Threat Defense Virtual スタートアップガイド(Microsoft Azure クラウド向け)

Chapter Title

Firepower Threat Defense Virtual Auto Scale for Azure の展開

検索結果

Updated:
2022年6月1日

章のタイトル: Firepower Threat Defense Virtual Auto Scale for Azure の展開

Firepower Threat Defense Virtual Auto Scale for Azure の展開

Azure での FTDv の Auto Scale ソリューション

Auto Scale ソリューションについて

FTDv Auto Scale for Azure は、Azure が提供するサーバーレス インフラストラクチャ(Logic App、Azure 関数、ロードバランサ、セキュリティグループ、仮想マシンスケールセットなど)を使用する完全なサーバーレス実装です。

FTDv Auto Scale for Azure の実装の主な機能には次のものがあります。

  • Azure Resource Manager(ARM)テンプレートベースの展開。

  • CPU およびメモリ(RAM)に基づくスケーリングメトリックのサポート:


    (注)  

    詳細については、「Auto Scale ロジック」を参照してください。

  • FTDv 展開とマルチ可用性ゾーンのサポート。

  • FMC による FTDv インスタンスの登録と登録解除の完全な自動化。

  • スケールアウトされた FTDv インスタンスへの NAT ポリシー、アクセスポリシー、およびルートの自動適用。

  • ロードバランサとマルチ可用性ゾーンのサポート。

  • Auto Scale 機能の有効化と無効化のサポート。

  • FMC でのみ動作。Firepower Device Manager はサポートされていません。

  • PAYG または BYOL ライセンスモードでの FTDv 展開のサポート。PAYG は、FTDv ソフトウェアバージョン 6.5 以降にのみ適用されます。「サポートされるソフトウェア プラットフォーム」を参照してください。

  • シスコでは、導入を容易にするために、Auto Scale for Azure 導入パッケージを提供しています。

サポートされるソフトウェア プラットフォーム

FTDv Auto Scale ソリューションは、FMC によって管理される FTDv に適用可能で、ソフトウェアバージョンに依存しません。『Cisco Firepower Compatibility Guide』を参照してください。このガイドには、オペレーティング システムとホスティング環境の要件を含む、Cisco Firepower ソフトウェアとハードウェアの互換性が記載されています。


(注)  

Azure Auto Scale ソリューションを導入するために、Azure 上の FTDv でサポートされる Firepower の最小バージョンはバージョン 6.4 です。

Auto Scale の導入例

FTDv Auto Scale for Azure は、FTDv スケールセットを Azure の内部ロードバランサ(ILB)と Azure の外部ロードバランサ(ELB)の間に配置する自動水平スケーリングソリューションです。

  • ELB は、インターネットからのトラフィックをスケールセット内の FTDv インスタンスに分散させます。その後、ファイアウォールがアプリケーションにトラフィックを転送します。

  • ILB は、アプリケーションからのアウトバウンド インターネット トラフィックをスケールセット内の FTDv インスタンスに分散させます。その後、ファイアウォールがインターネットにトラフィックを転送します。

  • ネットワークパケットが、単一の接続で両方(内部および外部)のロードバランサを通過することはありません。

  • スケールセット内の FTDv インスタンスの数は、負荷条件に基づいて自動的にスケーリングおよび設定されます。

図 1. FTDv Auto Scale の導入例の図

スコープ

このドキュメントでは、FTDv Auto Scale for Azure ソリューションのサーバーレスコンポーネントを展開する詳細な手順について説明します。


重要

  • 導入を開始する前に、ドキュメント全体をお読みください。

  • 導入を開始する前に、前提条件を満たしていることを確認します。

  • ここに記載されている手順と実行順序に従っていることを確認します。

導入パッケージのダウンロード

FTDv Auto Scale for Azure ソリューションは、Azure が提供するサーバーレス インフラストラクチャ(Logic App、Azure 関数、ロードバランサ、仮想マシンスケールセットなど)を使用する Azure Resource Manager(ARM)テンプレートベースの展開です。

FTDv Auto Scale for Azure ソリューションの起動に必要なファイルをダウンロードします。Firepower バージョン用の展開スクリプトとテンプレートは、次の GitHub リポジトリから入手できます。


注目

Auto Scale 用のシスコ提供の導入スクリプトおよびテンプレートは、オープンソースの例として提供されており、通常の Cisco TAC サポートの範囲内ではカバーされないことに注意してください。更新と ReadMe の手順については、GitHub を定期的に確認してください。

ASM_Function.zip パッケージの作成方法については、「付録:ソースコードからの Azure 関数の構築」を参照してください。

Auto Scale ソリューションのコンポーネント

FTDv Auto Scale for Azure ソリューションは、次のコンポーネントで構成されています。

Azure 関数(Function App)

Function App とは一連の Azure 関数です。基本的な機能は次のとおりです。

  • Azure メトリックを定期的に通信またはプローブします。

  • FTDv の負荷をモニターし、スケールイン/スケールアウト操作をトリガーします。

  • 新しい FTDv を FMC に登録します。

  • FMC を介して新しい FTDv を設定します。

  • スケールインした FTDv を FMC から登録解除(削除)します。

関数は、圧縮された Zip パッケージの形式で提供されます(「Azure Function App パッケージの構築」を参照)。関数は、特定のタスクを実行するために可能な限り独立しており、拡張機能や新しいリリースのサポートのために必要に応じてアップグレードできます。

Orchestrator(Logic App)

Auto Scale Logic App は、ワークフロー、つまり一連のステップの集合です。Azure 関数は独立したエンティティであり、相互に通信できません。この Orchestrator は、関数の実行を順序付けし、関数間で情報を交換します。

  • Logic App は、Auto Scale Azure 関数間で情報をオーケストレーションおよび受け渡すために使用されます。

  • 各ステップは、Auto Scale Azure 関数または組み込みの標準ロジックを表します。

  • Logic App は JSON ファイルとして提供されます。

  • Logic App は、GUI または JSON ファイルを使用してカスタマイズできます。

仮想マシンスケールセット(VMSS)

VMSS は、FTDv デバイスなどの同種の仮想マシンの集合です。

  • VMSS では、新しい同一の VM をセットに追加できます。

  • VMSS に追加された新しい VM は、ロードバランサ、セキュリティグループ、およびネットワーク インターフェイスに自動的に接続されます。

  • VMSS には組み込みの Auto Scale 機能があり、FTDv for Azure では無効になっています。

  • VMSS で FTDv インスタンスを手動で追加したり、削除したりしないでください。

Azure Resource Manager(ARM)テンプレート

ARM テンプレートは、FTDv Auto Scale for Azure ソリューションに必要なリソースを展開するために使用されます。

ARM テンプレートは、以下を含む Auto Scale Manager コンポーネントの入力を提供します。

  • Azure Function App

  • Azure Logic App

  • 仮想マシンスケールセット(VMSS)

  • 内部および外部ロードバランサ。

  • 展開に必要なセキュリティグループおよびその他のコンポーネント。


重要

ユーザー入力の検証に関しては、ARM テンプレートには限界があるため、展開時に入力を検証する必要があります。

Auto Scale ソリューションの前提条件

Azure のリソース

リソース グループ

このソリューションのすべてのコンポーネントを展開するには、既存または新しく作成されたリソースグループが必要です。


(注)  

後で使用するために、リソースグループ名、リソースグループが作成されたリージョン、および Azure サブスクリプション ID を記録します。

ネットワーキング

仮想ネットワークが使用可能または作成済みであることを確認します。Auto Scale 展開では、ネットワークリソースの作成、変更、管理は行われません。

FTDv には 4 つのネットワーク インターフェイスが必要なため、仮想ネットワークには次の 4 つのサブネットが必要です。

  1. 管理トラフィック

  2. 診断トラフィック

  3. 内部トラフィック

  4. 外部トラフィック

サブネットが接続されているネットワーク セキュリティ グループで、次のポートを開く必要があります。

  • SSH(TCP/22)

    ロードバランサと FTDv 間の正常性プローブに必要です。

    サーバーレス機能と FTDv 間の通信に必要です。

  • TCP/8305

    FTDv と FMC 間の通信に必要です。

  • HTTPS(TCP/443)

    サーバーレスコンポーネントと FMC 間の通信に必要です。

  • アプリケーション固有のプロトコルまたはポート

    ユーザーアプリケーションに必要です(TCP/80 など)。


(注)  

仮想ネットワーク名、仮想ネットワーク CIDR、 4 つすべてのサブネットの名前、および外部と内部のサブネットのゲートウェイ IP アドレスを記録します。

Azure Function App パッケージの構築

FTDv Azure Auto Scale ソリューションでは、ASM_Function.zip アーカイブファイルを作成する必要があります。このファイルから、圧縮された ZIP パッケージの形式で一連の個別の Azure 関数が提供されます。

ASM_Function.zip パッケージの作成方法については、「付録:ソースコードからの Azure 関数の構築」を参照してください。

関数は、特定のタスクを実行するために可能な限り独立しており、拡張機能や新しいリリースのサポートのために必要に応じてアップグレードできます。

Firepower Management Center の準備

フル機能のマルチデバイスマネージャである、Firepower Management Center(FMC)を使用して FTDv を管理できます。FTDv は、FTDv 仮想マシンに割り当てた管理インターフェイス上の FMC を登録して通信します。

デバイスグループを含め、FTDv の設定と管理に必要なすべてのオブジェクトを作成します。そうすることで、複数のデバイスにポリシーを簡単に展開して、更新をインストールできます。デバイスグループに適用されたすべての設定が FTDv インスタンスにプッシュされます。

後続の項では、FMC を準備するための基本的な手順の概要を説明します。詳細については、完全な『Firepower Management Center Configuration Guide』を参照してください。FMC を準備する際は、次の情報を必ず記録してください。

  • FMC パブリック IP アドレス。

  • FMC ユーザー名およびパスワード。

  • セキュリティポリシー名。

  • 内部および外部のセキュリティ ゾーン オブジェクト名。

  • デバイスグループ名。

新しい FMC ユーザーの作成

Auto Scale Manager だけが使用する管理者権限を持つ FMC で新しいユーザーを作成します。


重要

他の FMC セッションとの競合を防ぐために、FTDv Auto Scale ソリューション専用の FMC ユーザーアカウントを持つことが重要です。

手順
ステップ 1

管理者権限を持つ FMC で新しいユーザーを作成します。[システム(System)] > [ユーザー(Users)] の順にクリックし、[ユーザーの作成(Create User)] をクリックします。

ユーザー名は、次のように Linux に対して有効である必要があります。

  • 英数字、ハイフン(-)、およびアンダースコア(_)が使用可で、最大 32 文字

  • すべて小文字

  • 最初の文字にハイフン(-)は使用不可、すべて数字は不可、ピリオド(.)、アット マーク(@)、またはスラッシュ(/)は使用不可

ステップ 2

使用環境に必要なユーザーオプションを入力します。詳細については、『FMC configuration guide』を参照してください。

アクセス制御の設定

内部から外部へのトラフィックを許可するアクセス制御を設定します。アクセス コントロール ポリシー内では、アクセス コントロール ルールによって複数の管理対象デバイスでネットワーク トラフィックを処理する詳細な方法が提供されます。ルールを適切に設定して順序付けることは、効果的な導入を確立する上で不可欠な要素です。FMC 設定ガイド [英語] の「Best Practices for Access Control」を参照してください。

手順
ステップ 1

[ポリシー(Policies)] > [アクセス制御(Access Control)] を選択します。

ステップ 2

[新しいポリシー(New Policy)] をクリックします。

ステップ 3

[名前(Name)] に一意の名前を入力し、オプションで [説明(Description)] を入力します。

ステップ 4

導入のセキュリティ設定とルールを設定する場合は、『FMC configuration guide』を参照してください。

ライセンスの設定

すべてのライセンスは FMC によって FTD に提供されます。オプションで、次の機能ライセンスを購入できます。

  • 脅威:セキュリティ インテリジェンスと Cisco Firepower の次世代 IPS

  • マルウェア:強化されたネットワーク向けの高度なマルウェア防御(AMP)

  • URL:URL フィルタリング

  • RA VPN:AnyConnect Plus、AnyConnect Apex、または AnyConnect VPN 専用。


(注)  

脅威、マルウェア、または URL ライセンスを購入する場合は、1、3、または 5 年間アップデートにアクセスするための適合するサブスクリプション ライセンスも必要です。
始める前に

  • Cisco Smart Software Manager にマスター アカウントを持ちます。

    まだアカウントをお持ちでない場合は、リンクをクリックして新しいアカウントを設定してください。Smart Software Manager では、組織のマスター アカウントを作成できます。

  • (輸出コンプライアンス フラグを使用して有効化される)機能を使用するには、ご使用のシスコ スマート ソフトウェア ライセンシング アカウントで強力な暗号化(3DES/AES)ライセンスを使用できる必要があります。

手順
ステップ 1

お使いのスマート ライセンシング アカウントに、必要なライセンスが含まれていることを確認してください。

ライセンスは、シスコまたは販売代理店からデバイスを購入した際に、スマート ソフトウェア ライセンシング アカウントにリンクされています。ただし、主導でライセンスを追加する必要がある場合は、Cisco Commerce Workspace で [製品とソリューションの検索(Find Products and Solutions)] 検索フィールドを使用します。次のライセンス PID を検索します。

図 2. ライセンス検索
(注)   

PID が見つからない場合は、注文に手動で PID を追加できます。
ステップ 2

まだ追加していない場合は、Smart Licensing サーバーに FMC を登録します。

登録を行うには、Smart Software Manager で登録トークンを生成する必要があります。詳細については、『FMC Configuration Guide』を参照してください。

セキュリティ ゾーン オブジェクトの作成

展開用の内部および外部セキュリティ ゾーン オブジェクトを作成します。

手順
ステップ 1

[オブジェクト(Objects)] > [オブジェクト管理(Object Management)] を選択します。

ステップ 2

オブジェクトタイプのリストから、[インターフェイス(Interface)] を選択します。

ステップ 3

[追加(Add)] > [セキュリティゾーン(Security Zone)] をクリックします。

ステップ 4

[名前(Name)](inside、outside など)を入力します。

ステップ 5

[インターフェイスタイプ(Interface Type)] として [ルーテッド(Routed)] を選択します。
ステップ 6

[保存(Save)] をクリックします。

デバイスグループの作成

デバイス グループにより、複数デバイスへのポリシーの割り当てとインストール更新が簡単にできます。

手順
ステップ 1

[デバイス(Devices)] > [デバイス管理(Device Management)] の順に選択します。

図 3. Device Management
ステップ 2

[追加(Add)] ドロップダウン メニューから、[グループの追加(Add Group)] を選択します。

ステップ 3

名前を入力します。 例:AutoScaleGroup。

図 4. デバイスグループの追加
ステップ 4

[OK] をクリックして、デバイス グループを追加します。

図 5. 追加されたデバイスグループ

セキュアシェルアクセスの設定

FTD デバイス用のプラットフォーム設定では、互いに関連しないさまざまな機能を設定して、複数のデバイス間で各機能の値を共有できます。FTDv Auto Scale for Azure には、内部ゾーンと外部ゾーン、および Auto Scale グループ用に作成されたデバイスグループで SSH を許可するための FTD プラットフォーム設定ポリシーが必要です。これは、FTDv のデータインターフェイスがロードバランサからの正常性プローブに応答するために必要です。

始める前に

  • デバイスへの SSH 接続を許可するホストまたはネットワークを定義するネットワーク オブジェクトが必要です。手順の一部としてオブジェクトを追加できますが、IP アドレスのグループを特定するためにオブジェクト グループを使用する場合は、ルールで必要なグループがすでに存在することを確認します。[オブジェクト(Objects)] > [オブジェクト管理(Object Management)] を選択して、オブジェクトを設定します。例として、次の手順の azure-utility-ip(168.63.129.16)オブジェクトを参照してください。

手順
ステップ 1

[デバイス(Devices)] > [プラットフォーム設定(Platform Settings)] を選択し、FTD ポリシー(例:LBHealthProbeSettings)を作成または編集します。

図 6. FTD プラットフォーム設定ポリシー
ステップ 2

[セキュア シェル(Secure Shell)] を選択します。
ステップ 3

SSH 接続を許可するインターフェイスと IP アドレスを指定します。

  1. [追加(Add)] をクリックして新しいルールを追加するか、[編集(Edit)] をクリックして既存のルールを編集します。

  2. ルールのプロパティを設定します。

    • [IPアドレス(IP Address)]:SSH 接続を許可するホストまたはネットワークを特定するネットワークオブジェクト(例:azure-utility-ip(168.63.129.16))。オブジェクトをドロップダウンメニューから選択するか、または [+] をクリックして新しいネットワークオブジェクトを追加します。

    • [セキュリティ ゾーン(Security Zones)]:SSH 接続を許可するインターフェイスを含むゾーンを追加します。たとえば、内部インターフェイスを内部ゾーンに割り当て、外部インターフェイスを外部ゾーンに割り当てることができます。セキュリティゾーンは、FMC の [オブジェクト(Objects)] ページで作成できます。セキュリティゾーンの詳細については、FMC Configuration Guide を参照してください。

    • [OK] をクリックします。

    図 7. FTDv Auto Scale の SSH アクセス
ステップ 4

[Save(保存)] をクリックします。

これで、[展開(Deploy)] > [展開(Deployment)] をクリックし、割り当てたデバイスにポリシーを展開できるようになりました。変更はポリシーを展開するまで有効になりません。

NAT の設定

NAT ポリシーを作成し、外部インターフェイスからアプリケーションにトラフィックを転送するために必要な NAT ルールを作成し、このポリシーを Auto Scale 用に作成したデバイスグループにアタッチします。

手順
ステップ 1

[デバイス(Devices)] > [NAT] の順に選択します。

ステップ 2

[新しいポリシー(New Policy)] ドロップダウン リストで、[Threat Defense NAT] を選択します。

ステップ 3

[名前(Name)] に一意の名前を入力します。

ステップ 4

必要に応じて、[説明(Description)] を入力します。

ステップ 5

NAT ルールを設定します。NAT ルールの作成および NAT ポリシーの適用方法のガイドラインについては、『FMC configuration guide』の「Configure NAT for Threat Defense」の手順を参照してください。次の図に、基本的なアプローチを示します。

図 8. NAT ポリシーの例
(注)   

変換の問題やトラブルシューティングが困難な状況を避けるため、ルールはできるだけシンプルにすることを推奨します。NAT を実装する前に注意深く計画することが重要です。
ステップ 6

[保存(Save)] をクリックします。

入力パラメータ

次の表に、テンプレート パラメータおよび例を示します。各パラメータの値を決めたら、Azure サブスクリプションに ARM テンプレートを展開するときに、各パラメータを使用して FTDv デバイスを作成できます。「Auto Scale ARM テンプレートの展開」を参照してください。

表 1. テンプレートパラメータ

パラメータ名

使用できる値/タイプ

説明

リソースの作成タイプ

resourceNamePrefix

文字列*(3 ~ 10 文字)

すべてのリソースは、このプレフィックスを含む名前で作成されます。

注:小文字のみを使用してください。

例:ftdv

新規作成

virtualNetworkRg

文字列

仮想ネットワークのリソースグループの名前。

例:cisco-virtualnet-rg

既存

virtualNetworkName

文字列

仮想ネットワーク名(作成済み)

例:cisco-virtualnet

既存

virtualNetworkCidr

CIDR 形式

x.x.x.x/y

仮想ネットワークの CIDR(作成済み)

既存

mgmtSubnet

文字列

管理サブネット名(作成済み)

例:cisco-mgmt-subnet

既存

diagSubnet

文字列

診断サブネット名(作成済み)

例:cisco-diag-subnet

既存

insideSubnet

文字列

内部サブネット名(作成済み)

例:cisco-inside-subnet

既存

internalLbIp

文字列

内部サブネットの内部ロードバランサの IP アドレス(作成済み)。

例:1.2.3.4

既存

insideNetworkGatewayIp

文字列

内部サブネットのゲートウェイ IP アドレス(作成済み)

既存

outsideSubnet

文字列

外部サブネット名(作成済み)

例:cisco-outside-subnet

既存

outsideNetworkGatewayIp

文字列

外部サブネットゲートウェイ IP(作成済み)

既存

deviceGroupName

文字列

FMC のデバイスグループ(作成済み)

既存

insideZoneName

文字列

FMC の内部ゾーン名(作成済み)

既存

outsideZoneName

文字列

FMC の外部ゾーン名(作成済み)

既存

softwareVersion

文字列

FTDv バージョン(展開時にドロップダウンから選択)

既存

vmSize

文字列

FTDv インスタンスのサイズ(展開時にドロップダウンから選択)

該当なし

ftdLicensingSku

文字列

FTDv ライセンスモード(PAYG/BYOL)

注:PAYG はバージョン 6.5+ でサポートされています。

該当なし

licenseCapability

カンマ区切り文字列

BASE、MALWARE、URLFilter、THREAT

該当なし

ftdVmManagementUserName

文字列 *

FTDv VM 管理の管理者ユーザー名。

これは「admin」にはできません。VM 管理者ユーザー名のガイドラインについては、「Azure」を参照してください。

新規作成

ftdVmManagementUserPassword

文字列 *

FTDv VM 管理の管理者ユーザーのパスワード。

パスワードの長さは 12 〜 72 文字で、小文字、大文字、数字、特殊文字を使用する必要があります。また、文字の繰り返しは 2 回までにする必要があります。

(注)   

テンプレートには、このパラメータのコンプライアンスチェック機能はありません。

新規作成

fmcIpAddress

文字列

x.x.x.x

FMC のパブリック IP アドレス(作成済み)

既存

fmcUserName

文字列

管理権限を持つ FMC ユーザー名(作成済み)

既存

fmcPassword

文字列

前述の FMC ユーザー名の FMC パスワード(作成済み)

既存

policyName

文字列

FMC で作成されたセキュリティポリシー(作成済み)

既存

scalingPolicy

POLICY-1/POLICY-2

POLICY-1:設定された期間に、いずれかの FTDv の平均負荷がスケールアウトしきい値を超えるとスケールアウトがトリガーされます。

POLICY-2:設定された期間に、Auto Scale グループ内のすべての FTDv デバイスの平均負荷がスケールアウトしきい値を超えるとスケールアウトがトリガーされます。

どちらの場合も、スケールインロジックは同じままです。設定された期間に、すべての FTDv デバイスの平均負荷がスケールインしきい値を下回るとスケールインがトリガーされます。

該当なし

scalingMetricsList

文字列

スケーリングの決定に使用されるメトリック。

許可:CPU

CPU、メモリ

デフォルト:CPU

該当なし

cpuScaleInThreshold

文字列

CPU メトリックのスケールインしきい値(パーセント単位)。

デフォルト:10

FTDvメトリック(CPU 使用率)がこの値を下回ると、スケールインがトリガーされます。

Auto Scale ロジック」を参照してください。

該当なし

cpuScaleOutThreshold

文字列

CPU メトリックのスケールアウトしきい値(パーセント単位)。

デフォルト:80

FTDvメトリック(CPU 使用率)がこの値を上回ると、スケールアウトがトリガーされます。

cpuScaleOutThreshold」は、常に「cpuScaleInThreshold」より大きくする必要があります。

Auto Scale ロジック」を参照してください。

該当なし

memoryScaleInThreshold

文字列

メモリメトリックのスケールインしきい値(パーセント単位)。

デフォルト:0

FTDvメトリック(CPU 使用率)がこの値を下回ると、スケールインがトリガーされます。

Auto Scale ロジック」を参照してください。

該当なし

memoryScaleOutThreshold

文字列

メモリメトリックのスケールアウトしきい値(パーセント単位)。

デフォルト:0

FTDvメトリック(CPU 使用率)がこの値を上回ると、スケールアウトがトリガーされます。

「memoryScaleOutThreshold」は、常に「memoryScaleInThreshold」より大きくする必要があります。

Auto Scale ロジック」を参照してください。

該当なし
minFtdCount

整数

任意の時点でスケールセットで使用可能な最小 FTDv インスタンス数。

例:2。

該当なし

maxFtdCount

整数

スケールセットで許可される最大 FTDv インスタンス数。

例:10

(注)   

この数は FMC の容量によって制限されます。

Auto Scale ロジックではこの変数の範囲はチェックされないため、慎重に入力してください。

該当なし

metricsAverageDuration

整数

ドロップダウンから選択します。

この数値は、メトリックが平均化される時間(分単位)を表します。

この変数の値が 5(5 分)の場合、Auto Scale Manager がスケジュールされると、メトリックの過去 5 分間の平均がチェックされ、その結果に基づいてスケーリングの判断が行われます。

(注)   

Azure の制限により、有効な数値は 1、5、15、および 30 だけです。

該当なし

initDeploymentMode

BULK/STEP

主に最初の展開、またはスケールセットに FTDv インスタンスが含まれていない場合に適用されます。

BULK:Auto Scale Manager は、「minFtdCount」個の FTDv インスタンスを同時に展開しようとします。

(注)   

起動は並行して行われますが、FMC への登録は FMC の制限により順次実行されます。

STEP:Auto Scale Manager は、スケジュールされた間隔ごとに「minFtdCount」個の FTDvデバイスを 1 つずつ展開します。

(注)   

STEP オプションでは、「minFtdCount」個のインスタンスが FMC で起動および設定されて、動作可能になるまで時間がかかりますが、デバッグに役立ちます。

BULK オプションでは、(並行実行のため)「minFtdCount」個すべての FTDv を起動するのに 1 つの FTDv 起動と同じ時間がかかりますが、FMC の登録は順次実行されます。

「minFtdCount」個の FTDv を展開するための合計時間 =(1 つの FTDv の起動時間 + 1 つの FTDv 登録および設定時間 * minFtdCount)。

* Azure には、新しいリソースの命名規則に関する制限があります。制限を確認するか、またはすべて小文字を使用してくださいスペースやその他の特殊文字は使用しないでください

Auto Scale の展開

導入パッケージのダウンロード

FTDv Auto Scale for Azure ソリューションは、Azure が提供するサーバーレス インフラストラクチャ(Logic App、Azure 関数、ロードバランサ、仮想マシンスケールセットなど)を使用する Azure Resource Manager(ARM)テンプレートベースの展開です。

FTDv Auto Scale for Azure ソリューションの起動に必要なファイルをダウンロードします。Firepower バージョン用の展開スクリプトとテンプレートは、次の GitHub リポジトリから入手できます。


注目

Auto Scale 用のシスコ提供の導入スクリプトおよびテンプレートは、オープンソースの例として提供されており、通常の Cisco TAC サポートの範囲内ではカバーされないことに注意してください。更新と ReadMe の手順については、GitHub を定期的に確認してください。

ASM_Function.zip パッケージの作成方法については、「付録:ソースコードからの Azure 関数の構築」を参照してください。

Auto Scale ARM テンプレートの展開

ARM テンプレートは、FTDv Auto Scale for Azure に必要なリソースを展開するために使用されます。特定のリソースグループ内では、ARM テンプレートを展開することで次の内容が作成されます。

  • 仮想マシンスケールセット(VMSS)

  • 外部ロードバランサ

  • 内部ロードバランサ

  • Azure Function App

  • Logic App

  • セキュリティグループ(データインターフェイスおよび管理インターフェイス用)

始める前に

手順

ステップ 1

複数の Azure ゾーンに FTDv インスタンスを展開する必要がある場合は、展開リージョンで使用可能なゾーンに基づいて、ARM テンプレートを編集します。

例:


        "zones": [
            "1",
            "2",
            "3"
        ],

この例は、3 つのゾーンを持つ「Central US」リージョンを示しています。
ステップ 2

外部ロードバランサで必要なトラフィックルールを編集します。この「json」配列を拡張することで、任意の数のルールを追加できます。

例:


       {
        "type": "Microsoft.Network/loadBalancers",
        "name": "[variables('elbName')]",
        "location": "[resourceGroup().location]",
        "apiVersion": "2018-06-01",
        "sku": {
          "name": "Standard"
        },
        "dependsOn": [
          "[concat('Microsoft.Network/publicIPAddresses/', variables('elbPublicIpName'))]"             
        ],
        "properties": {
          "frontendIPConfigurations": [
            {
              "name": "LoadBalancerFrontEnd",
                "properties": {
                  "publicIPAddress": {
                    "id": "[resourceId('Microsoft.Network/publicIPAddresses/', variables('elbPublicIpName'))]"
                  }
                }
            }
          ],
          "backendAddressPools": [
            {
              "name": "backendPool"
            }
          ],
          "loadBalancingRules": [
            {
              "properties": {
                "frontendIPConfiguration": {
                  "Id": "[concat(resourceId('Microsoft.Network/loadBalancers', variables('elbName')), '/frontendIpConfigurations/LoadBalancerFrontend')]"
                },
                "backendAddressPool": {
                  "Id": "[concat(resourceId('Microsoft.Network/loadBalancers', variables('elbName')), '/backendAddressPools/BackendPool')]"
                },
                "probe": {
                  "Id": "[concat(resourceId('Microsoft.Network/loadBalancers', variables('elbName')), '/probes/lbprobe')]"
                },
                "protocol": "TCP",
                "frontendPort": "80",
                "backendPort": "80",
                "idleTimeoutInMinutes": "[variables('idleTimeoutInMinutes')]"
              },
              "Name": "lbrule"
            }
          ],
(注)   

このファイルを編集しない場合は、導入後に Azure ポータルから編集することもできます。
ステップ 3

Microsoft アカウントのユーザー名とパスワードを使用して、Microsoft Azure ポータルにログインします。
ステップ 4

[リソースグループ(Resource Groups)] ブレードにアクセスするには、サービスのメニューから [リソースグループ(Resource groups)] をクリックします。サブスクリプション内のすべてのリソースグループがブレードに一覧表示されます。

新しいリソースグループを作成するか、既存の空のリソースグループを選択します。たとえば、FTDv_AutoScale

図 9. Azure ポータル
ステップ 5

[リソースの作成(+)(Create a resource (+))] をクリックして、テンプレート展開用の新しいリソースを作成します。[リソースグループの作成(Create Resource Group)] ブレードが表示されます。

ステップ 6

[マーケットプレイスの検索(Search the Marketplace)] で、「テンプレートの展開(カスタム テンプレートを使用した展開)(Template deployment (deploy using custom templates))」と入力し、Enter を押します。

図 10. カスタムテンプレートの展開
ステップ 7

[作成(Create)] をクリックします。

ステップ 8

テンプレートを作成するためのオプションは複数あります。[エディタで独自のテンプレートを作成する(Build your own template in editor)] を選択します。

図 11. 独自のテンプレートの作成
ステップ 9

[テンプレートの編集(Edit template)] ウィンドウで、すべてのデフォルトコンテンツを削除し、更新した azure_ftdv_autoscale.json からコンテンツをコピーして、[保存(Save)] をクリックします。

図 12. Edit Template
ステップ 10

次のセクションで、すべてのパラメータを入力します。各パラメータの詳細については、「入力パラメータ」を参照してください。次に、[購入(Purchase)] をクリックします。

図 13. ARM テンプレートパラメータ
(注)   

[パラメータの編集(Edit Parameters)] をクリックして、JSON ファイルを編集するか、または事前入力されたコンテンツをアップロードできます。

ARM テンプレートの入力検証機能は限られているため、入力を検証するのはユーザーの責任です。
ステップ 11

テンプレートの展開が成功すると、FTDv Auto Scale for Azure ソリューションに必要なすべてのリソースが作成されます。次の図のリソースを参照してください。[タイプ(Type)] 列には、Logic App、VMSS、ロードバランサ、パブリック IP アドレスなどの各リソースが示されます。

図 14. FTDv Auto Scale テンプレートの展開

Azure Function App の展開

ARM テンプレートを展開すると、Azure によってスケルトン Function App が作成されます。このアプリは、Auto Scale Manager ロジックに必要な関数を使用して手動で更新および設定する必要があります。

始める前に

手順

ステップ 1

ARM テンプレートを展開したときに作成した Function App に移動し、関数が存在しないことを確認します。ブラウザで次の URL にアクセスします。

https://<Function App Name>.scm.azurewebsites.net/DebugConsole

Auto Scale ARM テンプレートの展開」の例の場合、次のようになります。

https://ftdv-function-app.scm.azurewebsites.net/DebugConsole

ステップ 2

ファイルエクスプローラで、site/wwwroot に移動します。
ステップ 3

ASM_Function.zip をファイルエクスプローラの右隅にドラッグアンドドロップします。

図 15. FTDv Auto Scale 関数のアップロード
ステップ 4

アップロードが成功すると、すべてのサーバーレス関数が表示されます。

図 16. FTDv サーバーレス関数
ステップ 5

PuTTY SSH クライアントをダウンロードします。

Azure 関数は、SSH 接続を介して FTDv にアクセスする必要があります。ただし、サーバーレスコードで使用されるオープンソースライブラリは、FTDv で使用される SSH キー交換アルゴリズムをサポートしていません。したがって、事前に構築された SSH クライアントをダウンロードする必要があります。

www.putty.org から PuTTY コマンドライン インターフェイスを PuTTY バックエンド(plink.exe)にダウンロードします。

図 17. PuTTY のダウンロード
ステップ 6

SSH クライアントの実行ファイル plink.exe の名前を ftdssh.exe に変更します。

ステップ 7

ftdssh.exe をファイルエクスプローラの右隅(前のステップで ASM_Function.zip をアップロードした場所)にドラッグアンドドロップします。

ステップ 8

SSH クライアントが Function App とともに存在することを確認します。必要に応じてページを更新します。

設定の微調整

Auto Scale Manager を微調整したり、デバッグで使用したりするために使用できる設定がいくつかあります。これらのオプションは、ARM テンプレートには表示されませんが、Function App で編集できます。

始める前に


(注)  

設定はいつでも編集できます。設定を編集する場合は、次の手順に従います。

  • Function App を無効にします。

  • 既存のスケジュール済みタスクが終了するまで待ちます。

  • 設定を編集して保存します。

  • Function App を有効にします。

手順

ステップ 1

Azure ポータルで、FTDv Function App を検索して選択します。

図 18. FTDv Function App
ステップ 2

ここでは、ARM テンプレートを介して渡された設定も編集できます。変数名は、ARM テンプレートとは異なる場合がありますが、変数の目的は名前から簡単に識別できます。

図 19. アプリケーションの設定

ほとんどのオプションは、名前を見ればわかります。次に例を示します。

  • [構成名(Configuration Name)]:「DELETE_FAULTY_FTD」([デフォルト値](Default value )]:YES)

    スケールアウト中に、新しい FTDv インスタンスが起動し、FMC に登録されます登録が失敗した場合、このオプションに基づいて、Auto Scale Manager がその FTDv インスタンスを保持するか、削除するかを決定します。([はい(Yes)]:障害のある FTDv を削除します。[いいえ(No)]:FMC に登録できない場合でも、FTDv インスタンスを保持します)。

  • Function App 設定では、Azure サブスクリプションにアクセスできるユーザーは、すべての変数(「password」などのセキュアな文字列を含んでいる変数を含む)をクリアテキスト形式で表示できます。

    この点に関するセキュリティ上の懸念がある場合(たとえば、Azure サブスクリプションが組織内の低い権限を持つユーザー間で共有されている場合)、ユーザーは Azure の Key Vault サービスを使用してパスワードを保護できます。この設定をすると、関数の設定でクリアテキストの「password」を入力する代わりに、ユーザーは、パスワードが保存されている Key Vault によって生成された、セキュアな識別子を入力する必要があります。

    (注)   

    Azure のドキュメントを検索して、アプリケーションデータを保護するためのベストプラクティスを見つけてください。

仮想マシンスケールセットでの IAM ロールの設定

Azure Identity and Access Management(IAM)は、Azure Security and Access Control の一部として使用され、ユーザーの ID を管理および制御します。Azure リソースのマネージド ID は、Azure Active Directory で自動的にマネージド ID が Azure サービスに提供されます。

これにより、明示的な認証ログイン情報がなくても、Function App が仮想マシンスケールセット(VMSS)を制御できます。

手順

ステップ 1

Azure ポータルで、VMSS に移動します。
ステップ 2

[アクセス制御(IAM)(Access control (IAM))] をクリックします。

ステップ 3

[追加(Add)] をクリックしてロールの割り当てを追加します。

ステップ 4

[ロール割り当ての追加(Add role assignment)] ドロップダウンから、[共同作成者(Contributor)] を選択します。

ステップ 5

[アクセスの割り当て先(Assign access to)] ドロップダウンから、[Function App] を選択します。

ステップ 6

FTDv Function App を選択します。

図 20. AIM ロールの割り当て
ステップ 7

[保存(Save)] をクリックします。

(注)   

まだ FTDv インスタンスが起動していないことも確認する必要があります。

Azure セキュリティグループの更新

ARM テンプレートは、管理インターフェイス用とデータインターフェイス用の 2 つのセキュリティグループを作成します。管理セキュリティグループは、FTDv 管理アクティビティに必要なトラフィックのみを許可します。ただし、データインターフェイスのセキュリティグループはすべてのトラフィックを許可します。

手順

展開のトポロジとアプリケーションのニーズに基づいてセキュリティグループのルールを微調整します。

(注)   

データインターフェイスのセキュリティグループは、少なくともロードバランサからの SSH トラフィックを許可する必要があります。

Azure Logic App の更新

Logic App は、Auto Scale 機能の Orchestrator として機能します。ARM テンプレートによってスケルトン Logic App が作成されます。このアプリケーションを手動で更新して、Auto Scale Orchestrator として機能するために必要な情報を提供する必要があります。

手順

ステップ 1

リポジトリから、LogicApp.txt ファイルをローカルシステムに取得し、次のように編集します。

重要 

手順をすべて読んで理解してから続行してください。

手動の手順は、ARM テンプレートでは自動化されないため、Logic App のみ後で個別にアップグレードできます。

  1. すべての「SUBSCRIPTION_ID」を検索し、サブスクリプション ID 情報に置き換えます。

  2. すべての「RG_NAME」を検索し、リソースグループ名に置き換えます。

  3. すべての「FUNCTIONAPPNAME」を検索し、Function App 名に置き換えます。次の例は、LogicApp.txt ファイルの行の一部を示しています。

    
  "AutoScaleManager": {
      "inputs": {
          "function": {
              "id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RG_NAME/providers/Microsoft.Web/sites/FUNCTIONAPPNAME/functions/AutoScaleManager"
          }
.
.
                      },
                      "Deploy_Changes_to_FTD": {
                          "inputs": {
                              "body": "@body('AutoScaleManager')",
                              "function": {
                                  "id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RG_NAME/providers/Microsoft.Web/sites/FUNCTIONAPPNAME/functions/DeployConfiguration"
                              }
.
.
                      "DeviceDeRegister": {
                          "inputs": {
                              "body": "@body('AutoScaleManager')",
                              "function": {
                                  "id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RG_NAME/providers/Microsoft.Web/sites/FUNCTIONAPPNAME/functions/DeviceDeRegister"
                              }
                          },
                          "runAfter": {
                              "Delay_For_connection_Draining": [

  4. (任意) トリガー間隔を編集するか、デフォルト値(5)のままにします。これは、Auto Scale 機能が定期的にトリガーされる時間間隔です。次の例は、LogicApp.txt ファイルの行の一部を示しています。

    
        "triggers": {
            "Recurrence": {
                "conditions": [],
                "inputs": {},
                "recurrence": {
                    "frequency": "Minute",
                    "interval": 5
                },

  5. (任意) ドレインする時間を編集するか、デフォルト値(5)のままにします。これは、スケールイン操作中にデバイスを削除する前に、FTDv から既存の接続をドレインする時間間隔です。次の例は、LogicApp.txt ファイルの行の一部を示しています。

    
         "actions": {
              "Branch_based_on_Scale-In_or_Scale-Out_condition": {
                  "actions": {
                      "Delay_For_connection_Draining": {
                          "inputs": {
                              "interval": {
                                  "count": 5,
                                  "unit": "Minute"
                              }

  6. (任意) クールダウン時間を編集するか、デフォルト値(10)のままにします。これは、スケールアウト完了後に NO ACTION を実行する時間です。次の例は、LogicApp.txt ファイルの行の一部を示しています。

    
                 "actions": {
                     "Branch_based_on_Scale-Out_or_Invalid_condition": {
                         "actions": {
                             "Cooldown_time": {
                                 "inputs": {
                                     "interval": {
                                         "count": 10,
                                         "unit": "Second"
                                  }
(注)   

これらの手順は、Azure ポータルからも実行できます。詳細については、Azure のドキュメントを参照してください。
ステップ 2

[Logic Appコードビュー(Logic App code view)] に移動し、デフォルトの内容を削除して、編集した LogicApp.txt ファイルの内容を貼り付け、[保存(Save)] をクリックします。

図 21. Logic App コードビュー
ステップ 3

Logic App を保存すると、[無効(Disabled)] 状態になります。Auto Scale Manager を起動する場合は、[有効化(Enable)] をクリックします。

図 22. Logic App の有効化
ステップ 4

有効にすると、タスクの実行が開始されます。[実行中(Running)] ステータスをクリックしてアクティビティを表示します。

図 23. Logic App の実行ステータス
ステップ 5

Logic App が起動すると、導入関連のすべての手順が完了します。
ステップ 6

FTDv インスタンスが作成されていることを VMSS で確認します。

図 24. FTDv 実行中のインスタンス

この例では、ARM テンプレートの展開で「'minFtdCount'」が「3」に設定され、「initDeploymentMode」が「BULK」に設定されているため、3 つの FTDv インスタンスが起動されます。

FTDv のアップグレード

FTDv アップグレードは、仮想マシンスケールセット(VMSS)のイメージアップグレードの形式でのみサポートされます。したがって、FTDv は Azure REST API インターフェイスを介してアップグレードします。


(注)  

任意の REST クライアントを使用して FTDv をアップグレードできます。次に簡単な例を示します。

始める前に

  • 市場で入手可能な新しい FTDv イメージバージョンを取得します(例:650.32.0)。

  • 元のスケールセットの展開に使用する SKU を取得します(例:ftdv-azure-byol)。

  • リソースグループと仮想マシンスケールセット名を取得します。

手順

ステップ 1

ブラウザで次の URL にアクセスします。

https://docs.microsoft.com/en-us/rest/api/compute/virtualmachinescalesets/update#code-try-0

ステップ 2

パラメータセクションに詳細を入力します。

図 25. FTDvのアップグレード
ステップ 3

新しい FTDv イメージバージョン、SKU、トリガー RUN を含む JSON 入力を [本文(Body)] セクションに入力します。 


{
 "properties": {
        "virtualMachineProfile": {
              "storageProfile": {
                      "imageReference": {
                           "publisher": "cisco",
                           "offer": "cisco-ftdv",
                           "sku": "ftdv-azure-byol",
                            "version": "650.32.0"
                      }
                },
           }
     }
}
ステップ 4

VMSS が変更を受け入れると、Azure から成功の応答が返ってきます。

新しいイメージは、スケールアウト操作の一環として起動される新しい FTDv インスタンスで使用されます。

  • 既存の FTDv インスタンスは、スケールセットに存在している間、古いソフトウェアイメージを使用し続けます。

  • 前述の動作を上書きし、既存の FTDv インスタンスを手動でアップグレードできます。これを行うには、VMSS の [アップグレード(Upgrade)] ボタンをクリックします。選択した FTDv インスタンスが再起動されて、アップグレードされます。アップグレードされた FTDv インスタンスは手動で再登録および再設定する必要があります。この方法は推奨されません。

Auto Scale ロジック

スケーリングメトリック

ARM テンプレートは、FTDv Auto Scale ソリューションに必要なリソースを展開するために使用されます。ARM テンプレートの展開中に、スケーリングメトリックに次のオプションがあります。

  • CPU

  • CPU、メモリ(バージョン 6.7 以降)。


    (注)  

    CPU メトリックは Azure から、メモリメトリックは FMC から収集されます。

スケールアウトロジック

  • POLICY-1:設定された期間に、いずれか FTDvの平均負荷がスケールアウトしきい値を超えるとスケールアウトがトリガーされます。「CPU、MEMORY」スケーリングメトリックを使用する場合、スケールアウトしきい値は、スケールセット内の任意の FTDv の平均 CPU またはメモリ使用率です。

  • POLICY-2:設定された期間に、すべてFTDv デバイスの平均負荷がスケールアウトしきい値を超えるとスケールアウトがトリガーされます。「CPU、MEMORY」スケーリングメトリックを使用する場合、スケールアウトしきい値は、スケールセット内のすべての FTDv デバイスの平均 CPU またはメモリ使用率です。

スケールインロジック

  • 設定された期間に、すべてFTDv デバイスの CPU 使用率が設定されたスケールインしきい値を下回った場合。「CPU、MEMORY」スケーリングメトリックを使用する場合、スケールセット内のすべての FTDv デバイスの CPU およびメモリ使用率が、設定された期間に設定されたスケールインしきい値を下回ると、CPU の負荷が最小の FTDv が終了用に選択されます

注意

  • スケールイン/スケールアウトは 1 つずつ行われます(つまり、一度に 1 つの FTDv だけがスケールインまたはスケールアウトされます)。

  • FMC から受信したメモリ消費量のメトリックは、経時的に計算された平均値ではなく、瞬間的なスナップショット/サンプル値です。したがって、スケーリングを決定する際にメモリメトリックだけを考慮することはできません。展開時にメモリのみのメトリックを使用するオプションはありません。

Auto Scale のロギングとデバッグ

サーバーレスコードの各コンポーネントには、独自のロギングメカニズムがあります。また、ログはアプリケーションインサイトにパブリッシュされます。

  • 個々の Azure 関数のログを表示できます。

    図 26. Azure 関数ログ

  • Logic App とその個々のコンポーネントの実行ごとに同様のログを表示できます。

    図 27. Logic App の実行ログ

  • 必要な場合は、Logic App で実行中のタスクをいつでも停止または終了できます。ただし、現在実行中の FTDv デバイスが起動または終了すると、一貫性のない状態になります。

  • 各実行または個々のタスクにかかった時間は、Logic App で確認できます。

  • Function App は、新しい zip をアップロードすることでいつでもアップグレードできます。Logic App を停止し、すべてのタスクの完了を待ってから、Function App をアップグレードします。

Auto Scale のガイドラインと制約事項

FTDv Auto Scale for Azure を導入する場合は、次のガイドラインと制限事項に注意してください。

  • (バージョン 6.6 以前)スケーリングの決定は、CPU 使用率に基づきます。

  • (バージョン 6.7 以降)スケーリングの決定には、CPU のみの使用率、または CPU とメモリの使用率を使用できます。

  • FMC 管理が必要です。FDM はサポートされていません。

  • FMC にはパブリック IP アドレスが必要です。

  • FTDv 管理インターフェイスは、パブリック IP アドレスを持つように設定されます。

  • IPv4 だけがサポートされます。

  • FTDv Auto Scale for Azure は、デバイスグループに適用され、スケールアウトされた FTDv インスタンスに伝播されるアクセスポリシー、NAT ポリシー、プラットフォーム設定などの設定のみをサポートします。FMC を使用してデバイスグループの設定のみ変更できます。デバイス固有の設定はサポートされていません。

  • ARM テンプレートの入力検証機能は限られているため、入力を正しく検証するのはユーザーの責任です。

  • Azure 管理者は、Function App 環境内の機密データ(管理者ログイン情報やパスワードなど)をプレーンテキスト形式で確認できます。Azure Key Vault サービスを使用して、センシティブデータを保護できます。

Auto Scale のトラブルシューティング

次に、FTDv Auto Scale for Azure の一般的なエラーシナリオとデバッグのヒントを示します。

  • FMC への接続に失敗する:FMC の IP またはログイン情報を確認してください。FMC が障害または到達不能状態であるか確認します。

  • FTDv に SSH 接続できない:複雑なパスワードがテンプレートを介して FTDv に渡されているか確認します。セキュリティグループで SSH 接続が許可されているか確認します。

  • ロードバランサのヘルスチェックエラー:FTDv がデータインターフェイスの SSH に応答しているか確認します。セキュリティグループの設定を確認します。

  • トラフィックの問題:ロードバランサルール、FTDv で設定された NAT ルールおよびスタティックルートを確認します。テンプレートとセキュリティグループルールで提供される Azure 仮想ネットワーク/サブネット/ゲートウェイの詳細を確認します。

  • FTDv を FMC に登録できない:新しい FTDv デバイスに対応するために FMC の容量を確認します。ライセンスを確認します。FTDv バージョンの互換性を確認します。

  • Logic App が VMSS にアクセスできない:VMSS の IAM ロール設定が正しいか確認します。

  • Logic App の実行時間が長すぎる:スケールアウトされた FTDv デバイスで SSH アクセスを確認します。FMC でデバイス登録の問題を確認します。Azure VMSS で FTDv デバイスの状態を確認します。

  • サブスクリプション ID 関連の Azure 関数のスローエラー:アカウントでデフォルトのサブスクリプションが選択されていることを確認します。

  • スケールイン操作の失敗:Azure でのインスタンスの削除には長時間かかることがあります。このような状況では、スケールイン操作がタイムアウトし、エラーが報告されますが、最終的にはインスタンスが削除されます。

  • 設定を変更する前に、Logic App を無効にし、実行中のすべてのタスクが完了するまで待ちます。

付録:ソースコードからの Azure 関数の構築

システム要件

  • Microsoft Windows デスクトップ/ラップトップ。

  • Visual Studio(Visual Studio 2019 バージョン 16.1.3 でテスト済み)


    (注)  

    Azure 関数は C# を使用して記述されます。

  • 「Azure 開発」ワークロードを Visual Studio にインストールする必要があります。

Visual Studio を使用したビルド

  1. 「code」フォルダをローカルマシンにダウンロードします。

  2. FTDAutoScaleManager」フォルダに移動します。

  3. Visual Studio でプロジェクトファイル「FTDAutoScaleManager」を開きます。

  4. クリーンアップしてビルドするには、Visual Studio の標準手順を使用します。

    図 28. Visual Studio ビルド

  5. ビルドが正常にコンパイルされたら、\bin\Release\netcoreapp2.1 フォルダに移動します。

  6. すべての内容を選択し、[送信先(Send to)] > [圧縮(ZIP)フォルダ(Compressed (zipped) folder)] の順にクリックして、ZIP ファイルを ASM_Function.zip として保存します。

    図 29. ASM_Function.zip のビルド

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ