Déployer l’ASA virtuel sur OpenStack

Vous pouvez déployer l’ASA virtuel sur OpenStack.

Aperçu

Vous pouvez déployer l’ASA virtuel dans un environnement OpenStack. OpenStack est un ensemble d’outils logiciels pour créer et gérer des plateformes d’informatique en nuage pour les clouds publics et privés. Il est parfaitement intégré à l’hyperviseur KVM.

L’activation de la prise en charge de la plateforme OpenStack pour ASA virtuel vous permet d’exécuter ASA virtuel sur des plateformes infonuagiques à code source libre. OpenStack utilise un hyperviseur KVM pour gérer les ressources virtuelles. Les appareils ASA virtuel sont déjà pris en charge sur l’hyperviseur KVM. Par conséquent, il n’y a pas d’ajout supplémentaire de paquets de noyau ou de pilotes pour activer la prise en charge d’OpenStack.

Préalables pour l’ASA virtuel et OpenStack

  • Téléchargez le fichier qcow2 ASA virtuel à partir de software.cisco.com et placez-le sur votre hôte Linux :

    http://www.cisco.com/go/asa-software

  • L’ASA virtuel prend en charge le déploiement sur l’environnement OpenStack à code source libre et l’environnement OpenStack géré par Cisco VIM.

    Configurez l’environnement OpenStack en fonction des lignes directrices OpenStack.

  • Obtenez une licence pour l’ASA virtuel. Jusqu’à ce que vous obteniez une licence pour l’ASA virtuel, il fonctionnera en mode dégradé, ce qui n’autorisera que 100 connexions et un débit de 100 kbit/s. Consultez Licences : gestion des licences Smart Software.

  • Exigences d’interface :

    • Interface de gestion

    • Interfaces interne et externe

  • Chemins de communication :

    • Interface de gestion : utilisée pour connecter l’ASA virtuel à ASDM; ne peut pas être utilisée pour le trafic.

    • Interface interne (requise) : utilisée pour connecter l’ASA virtuel aux hôtes internes.

    • Interface externe (requise) : utilisée pour connecter l’ASA virtuel au réseau public.

  • Chemins de communication :

    • Adresses IP flottantes pour l’accès à l’ASA virtuel.

  • Version ASA virtuel minimale prise en charge :

    • ASA 9.16.1

  • Pour les exigences d’OpenStack, consultez Exigences d’OpenStack.

  • Pour les exigences du système ASA virtuel, consultez Compatibilité Cisco Cisco Secure Firewall ASA.

Lignes directrices et limites relatives à la licence

Fonctionnalités prises en charge

L’ASA virtuel sur OpenStack prend en charge les fonctionnalités suivantes :

  • Déploiement d’ASA virtuel sur l’hyperviseur KVM s’exécutant sur un nœud de traitement de votre environnement OpenStack.

  • Interface de ligne de commande OpenStack

  • Déploiement basé sur un modèle Heat

  • Tableau de bord OpenStack Horizon

  • Licences : Seul le protocole BYOL est pris en charge

  • Gestion d’ASA virtuel à l’aide de l’interface de ligne de commande et ASDM

  • Pilotes : VIRTIO et SRIOV

  • IPv6

Fonctionnalités non prises en charge

L’ASA virtuel sur OpenStack ne prend pas en charge les éléments suivants :

  • Évolutivité automatique

  • Grappe

Configuration système requise

L’environnement OpenStack doit être conforme aux exigences matérielles et logicielles prises en charge suivantes.

Tableau 1. Configuration matérielle et logicielle requise

Type

Versions prises en charge

Notes

Serveur

UCS C240 M5

Il est recommandé de disposer de deux serveurs UCS, un pour le contrôleur OS et un pour le nœud de calcul OS.

Pilote

VIRTIO, IXGBE et I40E

Voici les pilotes pris en charge.

Système d’exploitation

Serveur Ubuntu 20.04

Il s’agit du système d’exploitation recommandé sur les serveurs UCS.

Version OpenStack

Version Wallaby

Des détails sur les différentes versions d’OpenStack sont disponibles à l’adresse suivante :

https://releases.openstack.org/
Tableau 2. Configuration matérielle et logicielle requise pour Cisco VIM Managed OpenStack

Type

Versions prises en charge

Notes

Matériel de serveur

UCS C220-M5/UCS C240-M4

Il est recommandé d’utiliser cinq serveurs UCS, trois pour le contrôleur OS et deux ou plus pour le nœud de calcul du système d’exploitation.

Moteurs

VIRTIO, IXGBE et I40E

Voici les pilotes pris en charge.

Version de Cisco VIM

Cisco VIM 4.4.3

Pris en charge par :

  • Système d’exploitation – Red Hat Enterprise Linux 8.4

  • Version d’OpenStack – OpenStack 16.2 (version Train)

Reportez-vous à la documentation de Cisco Virtualized Infrastructure Manager, 4.4.3, pour en savoir plus.

Illustration 1. Topologie de la plateforme OpenStack

La topologie de la plateforme OpenStack montre la configuration générale d’OpenStack sur deux serveurs UCS.

Exemple de topologie de réseau

La figure suivante montre la topologie de réseau recommandée pour l’ASA virtuel en mode pare-feu routé avec trois sous-réseaux configurés dans OpenStack pour l’ASA virtuel (gestion, interne et externe).

Illustration 2. Exemple d’ASA virtuel sur le déploiement OpenStack

Déployer l’ASA virtuel

Cisco fournit des exemples de modèles Heat pour le déploiement d’ASA virtuel. Les étapes de création des ressources d’infrastructure OpenStack sont combinées dans un fichier de modèle Heat (deploy_os_infra.uaml) pour créer des réseaux, des sous-réseaux et des interfaces de routeur. À un niveau supérieur, les étapes de déploiement de l’ASA virtuel sont classées dans les sections suivantes.

  • Chargez l’image ASA virtuel qcow2 vers le service OpenStack Glance.

  • Créez l’infrastructure de réseau.

    • Réseau

    • Sous-réseau

    • Interface du routeur

  • Créez l'instance ASA virtuel.

    • Saveur

    • Groupes de sécurité

    • IP flottante

    • Instance

Vous pouvez déployer l’ASA virtuel sur OpenStack en utilisant les étapes suivantes.

Charger l’image ASA virtuel dans OpenStack

Copiez l’image qcow2 (asav-<version> .qcow2 ) sur le nœud de contrôleur OpenStack, puis chargez l’image sur le service OpenStack Glance.

Avant de commencer

Téléchargez le fichier qcow2 ASA virtuel à partir de Cisco.com et placez-le sur votre hôte Linux :

http://www.cisco.com/go/asa-software


Remarque

Une connexion à Cisco.com et un contrat de service Cisco sont requis.

Procédure

Étape 1

Copiez le fichier image qcow2 sur le nœud de contrôleur OpenStack.

Étape 2

Chargez l’image ASA virtuel sur le service OpenStack Glance. 

root@ucs-os-controller:$ openstack image create <image_name> --public --disk-
format qcow2 --container-format bare --file ./<asav_qcow2_file>

Étape 3

Vérifiez si le chargement de l’image ASA virtuel est réussi.

root@ucs-os-controller:$ openstack image list

Exemple:

root@ucs-os-controller:$ openstack image list
+--------------------------------------+----------------------+--------+
| ID                                   | Name                 | Status |+
| 06dd7975-0b6e-45b8-810a-4ff98546a39d | asav-<version>-image | active |+
L’image chargée et son état sont affichés.

Prochaine étape

Créez l’infrastructure réseau à l’aide du modèle deploy_os_infra.yaml.

Créer l’infrastructure réseau pour OpenStack et ASA virtuel

Avant de commencer

Les fichiers de modèle Heat sont nécessaires pour créer l’infrastructure réseau et les composants requis pour ASA virtuel, tels que la convivialité, les réseaux, les sous-réseaux, les interfaces de routeur et les règles de groupe de sécurité :

  • deploy_os_infra.yaml

  • env.yaml

Les modèles pour votre version ASA virtuel sont disponibles dans le référentiel GitHub sous Modèle Heat OpenStack ASA virtuel.


Important

Notez que les modèles fournis par Cisco sont fournis à titre d’exemples à code source libre et ne sont pas couverts par la portée normale du centre d’assistance technique Cisco. Vérifiez régulièrement GitHub pour connaître les mises à jour et les instructions ReadMe.

Procédure

Étape 1

Déployez le fichier de modèle Heat d’infrastructure.

root@ucs-os-controller:$ opensstack stack create<stack-name> -e<environment files name> -t<deployment file name>

Exemple:

root@ucs-os-controller:$ openstack stack create infra-stack -e env.yaml -t deploy_os_infra.yaml

Étape 2

Vérifiez si la pile d’infrastructure est créée avec succès.

root@ucs-os-controller:$ openstack stack list

Prochaine étape

Créez l’instance ASA virtuel sur OpenStack.

Créer l’instance ASA virtuel sur OpenStack

Utilisez l’exemple de modèle Heat ASA virtuel pour déployer ASA virtuel sur OpenStack.

Avant de commencer

Un modèle Heat est requis pour déployer l’ASA virtuel sur OpenStack :

  • deploy_asav.yaml

Les modèles pour votre version ASA virtuel sont disponibles dans le référentiel GitHub sous Modèle Heat OpenStack ASA virtuel.


Important

Notez que les modèles fournis par Cisco sont fournis à titre d’exemples à code source libre et ne sont pas couverts par la portée normale du centre d’assistance technique Cisco. Vérifiez régulièrement GitHub pour connaître les mises à jour et les instructions ReadMe.

Procédure

Étape 1

Déployez le fichier de modèle Heat ASA virtuel (deploy_asav.yaml) pour créer l’instance ASA virtuel.

root@ucs-os-controller:$ openstack stack create asav-stack -e env.yaml-t deploy_asav.yaml

Exemple:

+---------------------+-----------------------------+
| Field               | Value                                |
+---------------------+--------------------------------------+
| id                  | 14624af1-e5fa-4096-bd86-c453bc2928ae |
| stack_name          | asav-stack                           |
| description         | ASAvtemplate                         |
| updated_time        | None                                 |
| stack_status        | CREATE_IN_PROGRESS                   |
| stack_status_reason | Stack CREATE started                 |
+---------------------+--------------------------------------+

Étape 2

Vérifiez que votre pile ASA virtuel est créée avec succès.

root@ucs-os-controller:$ openstack stack list

Exemple:

+--------------------------------------+-------------+----------------------------------+--------+
| ID                                   | Stack Name  | Project                          | Stack Status    |
+--------------------------------------+-------------+----------------------------------+-----------------+
| 14624af1-e5fa-4096-bd86-c453bc2928ae | asav-stack  | 13206e49b48740fdafca83796c6f4ad5 | CREATE_COMPLETE |
| 198336cb-1186-45ab-858f-15ccd3b909c8 | infra-stack | 13206e49b48740fdafca83796c6f4ad5 | CREATE_COMPLETE |
+--------------------------------------+-------------+----------------------------------+-----------------+