AWS CloudFormation を使用した AWSでの Cisco DNA Center の手動展開
AWS の管理に精通している場合は、AWS CloudFormation を使用して AWS アカウントで Cisco DNA Center AMIを手動展開するオプションが用意されています。
この方法では、AWS インフラストラクチャを作成し、VPN トンネルを確立して、Cisco DNA Center を展開する必要があります。
この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
AWS の管理に精通している場合は、AWS CloudFormation を使用して AWS アカウントで Cisco DNA Center AMIを手動展開するオプションが用意されています。
この方法では、AWS インフラストラクチャを作成し、VPN トンネルを確立して、Cisco DNA Center を展開する必要があります。
このメソッドで AWS に Cisco DNA Center を展開するには、大まかに言って次の手順を実行します。
前提条件を満たします。AWS CloudFormation を使用した手動展開の前提条件を参照してください。
(任意)AWS 上の Cisco ISE と Cisco DNA Center VA を統合します。AWS での AWS 上の Cisco ISE と Cisco DNA Center の統合に関するガイドラインを参照してください。
AWS CloudFormation を使用して AWS に Cisco DNA Center を展開します。AWS CloudFormation を使用した AWS での Cisco DNA Center の手動展開を参照してください。
環境のセットアップと Cisco DNA Center VA の設定が正しく行われ、想定どおりに動作していることを確認します。展開の検証を参照してください。
AWS での Cisco DNA Center の展開を開始する前に、次のネットワーク、AWS、および Cisco DNA Center の要件が満たされていることを確認してください。
ご使用のネットワーク環境に関する次の情報を把握しておく必要があります。
エンタープライズ DNS サーバーの IP アドレス
(オプション)HTTPS ネットワークプロキシの詳細
次の AWS 環境要件を満たす必要があります。
AWS アカウントにアクセスするための有効なログイン情報を保有していること。
(注) |
リソースの独立性と分離を維持するために、AWS アカウントをサブアカウント(子アカウント)にすることを推奨します。サブアカウントを使用することで、Cisco DNA Center を展開しても既存のリソースは影響を受けません。 |
重要:お使いの AWS アカウントが AWS Marketplace の Cisco DNA Center Virtual Appliance - Bring Your Own License (BYOL) に登録されていること。
AWS アカウントに管理者アクセス権限が割り当てられていること(AWS では、ポリシー名は AdministratorAccess と表示されます)。
次のリソースとサービスを AWS で設定する必要があります。
VPC:推奨されている CIDR 範囲は /25 です。IPv4 CIDR 表記では、IP アドレスの最後のオクテット(4 番目のオクテット)の値に指定できるのは 0 または 128 のみです。(例:x.x.x.0 または x.x.x.128xxx)。
[Subnets]:推奨されるサブネット範囲は /28 です。企業のサブネットと重複しないようにする必要があります。
[Route Tables]:VPC サブネットが VPN GW または TGW を介してエンタープライズ ネットワークと通信できることを確認します。
[Security Groups]:AWS 上の Cisco DNA Center VA とエンタープライズ ネットワーク内のデバイス間の通信では、AWS 上の Cisco DNA Center VA に割り当てる AWS セキュリティグループで次のポートを許可する必要があります。
TCP 22、80、443、9991、25103、32626
UDP 123、162、514、6007、21730
Cisco DNA Center が使用するポート、それらのポート上で通信するサービス、ポート使用におけるアプライアンスの目的、および推奨アクションを次の表に示します。
ポート | サービス名 | 目的 | 推奨処置 | ||||
---|---|---|---|---|---|---|---|
— |
ICMP |
デバイスは ICMP メッセージを使用してネットワーク接続の問題を通知します。 |
ICMP を有効にします。 |
||||
TCP 22、80、443 |
HTTPS、SFTP、HTTP |
Cisco DNA Center からのソフトウェアイメージのダウンロードに HTTPS 443、SFTP 22、HTTP 80 を使用します。 Cisco DNA Center からの証明書のダウンロードに HTTPS 443、HTTP 80(Cisco 9800 ワイヤレスコントローラ、PnP)、センサー/テレメトリを使用します。
|
これらのポートで Cisco DNA Center にアクセスできるホストまたはネットワークデバイスの送信元 IP がファイアウォールルールで制限されていることを確認してください。
|
||||
UDP 123 |
NTP |
デバイスは時刻の同期に NTP を使用します。 |
デバイスが時刻を同期できるようにポートを開いておく必要があります。 |
||||
UDP 162 |
SNMP |
Cisco DNA Center はデバイスから SNMP ネットワークテレメトリを受信します。 |
SNMP に基づくデータ分析用にポートを開いておく必要があります。 |
||||
UDP 514 |
Syslog |
Cisco DNA Center はデバイスから syslog メッセージを受信します。 |
syslog に基づくデータ分析用にポートを開いておく必要があります。 |
||||
UDP 6007 |
NetFlow |
Cisco DNA Center はデバイスから NetFlow ネットワークテレメトリを受信します。 |
NetFlow に基づくデータ分析用にポートを開いておく必要があります。 |
||||
TCP 9991 |
Wide Area Bonjour サービス |
Cisco DNA Center は、Bonjour 制御プロトコルを使用して、サービス検出ゲートウェイ(SDG)エージェントからマルチキャスト ドメイン ネーム システム(mDNS)トラフィックを受信します。 |
Bonjour アプリケーションがインストールされている場合、Cisco DNA Center でポートを開いておく必要があります。 |
||||
UDP 21730 |
アプリケーション可視性サービス |
アプリケーション可視性サービスの CBAR デバイス通信。 |
ネットワークデバイスで CBAR が有効になっている場合、ポートを開いておく必要があります。 |
||||
TCP 25103 |
ストリーミングテレメトリが有効になっている Cisco 9800 ワイヤレスコントローラおよび Cisco Catalyst 9000 スイッチ |
テレメトリに使用されます。 |
Cisco DNA Center と Catalyst 9000 デバイス間のテレメトリ接続用にポートが開いている必要があります。 |
||||
TCP 32626 |
インテリジェントキャプチャ(gRPC)コレクタ |
Cisco DNA アシュアランス インテリジェントキャプチャ(gRPC)機能で使用されるトラフィック統計情報とパケットキャプチャデータの受信に使用されます。 |
Cisco DNA アシュアランス インテリジェントキャプチャ(gRPC)機能を使用する場合、ポートを開いておく必要があります。 |
[VPN Gateway (VPN GW)] または [Transit Gateway (TGW)]:エンタープライズ ネットワークへの既存の接続が必要です。これはカスタマーゲートウェイ(CGW)を指します。
CGW から AWS への既存の接続については、ファイアウォール設定またはプロキシゲートウェイのどちらでポートを開くかを問わず、Cisco DNA Center VA との間で送受信されるトラフィックフローに対して適切なポートが開いていることを確認する必要があります。アプライアンスで使用される既知のネットワークサービスポートの詳細については、『Cisco DNA Center First-Generation Appliance Installation Guide, Release 2.3.5』の「Plan the Deployment」の章に記載されている「Required Network Ports」[英語] を参照してください。
[Site-to-Site VPN Connection]:TGW アタッチメントと TGW ルートテーブルを使用できます。
AWS 環境は、次のいずれかのリージョンで設定する必要があります。
ap-northeast-1(東京)
ap-northeast-2(ソウル)
ap-south-1(ムンバイ)
ap-southeast-1(シンガポール)
ap-southeast-2(シドニー)
ca-central-1(カナダ)
eu-central-1(フランクフルト)
eu-south-1(ミラノ)
eu-west-1(アイルランド)
eu-west-2(ロンドン)
eu-west-3(パリ)
us-east-1(バージニア)
us-east-2(オハイオ)
us-west-1(北カリフォルニア)
us-west-2(オレゴン)
複数の IAM ユーザーが同じ環境設定を使用して Cisco DNA Center を設定できるようにするには、次のポリシーを持つグループを作成し、該当するユーザーをそのグループに追加する必要があります。
IAMReadOnlyAccess
AmazonEC2FullAccess
AWSCloudFormationFullAccess
Cisco DNA Center インスタンスのサイズは、次の最小リソース要件を満たす必要があります。
r5a.8xlarge
重要 |
Cisco DNA Center は r5a.8xlarge インスタンスサイズのみをサポートします。この設定は変更できません。さらに、r5a.8xlarge インスタンスサイズは、特定の可用性ゾーンではサポートされていません。サポートされている可用性ゾーンのリストを表示するには、『Release Notes for Cisco Global Launchpad』[英語] を参照してください。 |
32 vCPU
256 GB RAM
4 TB ストレージ
2500 ディスク入出力処理/秒(IOPS)
180 MBps のディスク帯域幅
次の AWS 情報を用意します。
サブネット ID
セキュリティ グループ ID
キーペア ID
環境名
CIDR 予約
Cisco DNA Center 環境が次の要件を満たす必要があります。
Cisco DNA Center GUI にアクセスできること。
次の Cisco DNA Center 情報を用意します。
NTP 設定
デフォルトゲートウェイ設定
CLI パスワード
UI のユーザー名とパスワード
スタティック IP
Cisco DNA Center VA IP アドレスの FQDN
AWS CloudFormation を使用して手動で AWS に Cisco DNA Center を展開することもできます。提供されている AWS CloudFormation のテンプレートには、すべての必須パラメータに関連する詳細情報が含まれています。
必要なすべてのコンポーネントを使用して AWS 環境がセットアップされていること。詳細については、AWS CloudFormation を使用した手動展開の前提条件を参照してください。
VPN トンネルが稼働していること。
ステップ 1 |
ダウンロードするファイルに応じて、次のいずれかを実行します。
両方の TAR ファイルに、Cisco DNA Center VA インスタンスの作成に使用する AWS CloudFormation テンプレートが含まれています。AWS CloudFormation テンプレートには複数の AMI が含まれており、それぞれの AMI には特定のリージョンに基づいて異なる AMI ID が割り当てられています。リージョンに適した AMI ID を使用してください。
|
||||||||||||||||||||||||||||||||
ステップ 2 |
TAR ファイルがシスコから正規に配布されていることを確認します。手順の詳細については、Cisco DNA Center VA の TAR ファイルの確認を参照してください。 |
||||||||||||||||||||||||||||||||
ステップ 3 |
AWS コンソールにログインします。 AWS コンソールが表示されます。 |
||||||||||||||||||||||||||||||||
ステップ 4 |
検索バーに「cloudformation」と入力します。 |
||||||||||||||||||||||||||||||||
ステップ 5 |
ドロップダウンメニューから [CloudFormation] を選択します。 |
||||||||||||||||||||||||||||||||
ステップ 6 |
[Create stack] をクリックして [With new resources (standard)] を選択します。 |
||||||||||||||||||||||||||||||||
ステップ 7 |
[Specify template] で、[Upload a template file] を選択し、ステップ 1 でダウンロードした AWS CloudFormation テンプレートを選択します。 |
||||||||||||||||||||||||||||||||
ステップ 8 |
スタック名を入力し、次のパラメータを確認します。
|
||||||||||||||||||||||||||||||||
ステップ 9 |
(任意) [Next] をクリックして、スタックオプションを設定します。 |
||||||||||||||||||||||||||||||||
ステップ 10 |
[Next] をクリックして、スタック情報を確認します。 |
||||||||||||||||||||||||||||||||
ステップ 11 |
設定に問題なければ、[Submit] をクリックして終了します。 スタックの作成プロセスには、通常 45 ~ 60 分かかります。 |
環境のセットアップと Cisco DNA Center VA の設定が正常に機能していることを確認するには、次の検証チェックを実行します。
AWS CloudFormation でスタックの作成時にエラーが発生していないことを確認します。
ステップ 1 |
Amazon EC2 コンソールから、ネットワークとシステムの設定を検証し、Cisco DNA Center IP アドレスが正しいことを確認します。 |
ステップ 2 |
Cisco DNA Center の IP アドレスに ping を送信して、ホストの詳細とネットワーク接続が有効であることを確認します。 |
ステップ 3 |
Cisco DNA Center との SSH 接続を確立して、Cisco DNA Center が認証されていることを確認します。 |
ステップ 4 |
次のいずれかのメソッドを使用して、Cisco DNA Center GUI への HTTPS アクセシビリティをテストします。
|