Déployer l’ASA virtuel sur Rackspace Cloud

Vous pouvez déployer l’ASA virtuel sur Rackspace Cloud


Important


À partir de la version 9.13(1), toute licence ASA virtuel peut être utilisée sur n’importe quelle configuration vCPU/mémoire ASA virtuel prise en charge. Cela permet aux clients ASA virtuel d’exécuter une grande variété d’empreintes de ressources de VM.


Aperçu

Rackspace est un chef de file d’expertise et de services gérés pour toutes les principales technologies de cloud public et privé. Rackspace Cloud est un ensemble de produits et de services informatiques en nuage facturés sur une base d’informatique utilitaire.

Vous pouvez déployer l’ASA virtuel pour Rackspace en tant qu’appliance virtuelle dans Rackspace Cloud. Ce chapitre explique comment installer et configurer un appareil ASA virtuel à instance unique.

Les types d’instances dans Rackspace Cloud sont appelés flavors (enveloppes). Le terme « enveloppe » fait référence à la combinaison de la taille de la RAM, des vCPU, du débit réseau (facteur RXTX) et de l’espace disque d’un serveur. Le tableau suivant répertorie les enveloppes Rackspace adaptées au déploiement d’ASA virtuel.

Tableau 1. Enveloppes prises en charge par Rackspace

Saveur

Attributs

Bande passante agrégée

vCPU

Mémoire (Go)

général 1-2

2

2

400 Mbit/sec

général 1-4

4

4

800 Mbit/s

général 1-8

8

8

1,6 Gbit/s

calcul 1-4

2

3,75

312,5 Mbit/s

calcul 1-8

4

7,5

625 Mbit/s

calcul 1-15

8

15

1,3 Gb/s

mémoire 1-15

2

15

625 Mbit/s

mémoire 1-15

4

30

1,3 Gb/s

mémoire 1-15

8

60

2,5 Gbit/sec

À propos des enveloppes Rackspace

Les enveloppes des serveurs en nuage virtuels Rackspace se répartissent dans les classes suivantes :

  • Objectif général v1

    • Utile pour une gamme de scénarios, des charges de travail à usage général aux sites Web hautes performances.

    • Les vCPU sont surexploités et peuvent être en « rafales »; en d’autres termes, il y a plus de vCPU alloués aux serveurs en nuage sur un hôte physique qu’il y a de fils CPU physiques.

  • Calcul v1

    • Optimisé pour les serveurs Web, les serveurs d’applications et d’autres charges de travail exigeantes en CPU.

    • Les vCPU sont « réservés »; en d’autres termes, il n’y a jamais plus de vCPU alloués aux serveurs en nuage sur un hôte physique qu’il y a de fils CPU physiques sur cet hôte.

  • Mémoire v1

    • Recommandé pour les charges de travail exigeantes en mémoire.

  • E/S v1

    • Idéal pour les applications et les bases de données hautes performances qui bénéficient d’E/S de disque rapide.

Prérequis

  • Créez un compte Rackspace.

    Tous les comptes Rackspace du nuage public sont définis par défaut au niveau de service Infrastructure gérée. Vous pouvez effectuer une mise à niveau vers le niveau de service Opérations gérées dans le panneau de commande du nuage. En haut du panneau de commande du nuage, cliquez sur le nom d’utilisateur de votre compte, puis sélectionnez Upgrade Service Level (Mettre à niveau le niveau de service).

  • Obtenez une licence pour l’ASA virtuel. Jusqu’à ce que vous obteniez une licence pour l’ASA virtuel, il fonctionnera en mode dégradé, ce qui n’autorisera que 100 connexions et un débit de 100 kbit/s. Consultez Gestion des licences pour l’ASA virtuel.

  • Exigences d’interface :

    • Interface de gestion

    • Interfaces interne et externe

    • (Facultatif) Sous-réseau supplémentaire (DMZ)

  • Chemins de communication :

    • Interface de gestion : utilisée pour connecter l’ASA virtuel à ASDM; ne peut pas être utilisée pour le trafic traversant.

    • Interface interne (requise) : utilisée pour connecter l’ASA virtuel aux hôtes internes.

    • Interface externe (requise) : utilisée pour connecter l’ASA virtuel au réseau public.

    • Interface DMZ (facultative) : utilisée pour connecter l’ASA virtuel au réseau DMZ.

  • Pour la compatibilité des systèmes ASA et ASA virtuel et les exigences, consultez Compatibilité Cisco Cisco Secure Firewall ASA.

Réseau Rackspace Cloud

Votre configuration en nuage peut inclure plusieurs types de réseaux, connectés selon vos besoins. Vous pouvez gérer les capacités de mise en réseau de vos serveurs en nuage de la même manière que vous gérez vos autres réseaux. Votre déploiement ASA virtuel interagira principalement avec trois types de réseaux virtuels dans Rackspace Cloud :

  • PublicNet : connecte les composants de l’infrastructure en nuage, comme les serveurs en nuage, les équilibreurs de charges en nuage et les appareils réseau à Internet.

    • Utilisez PublicNet pour connecter l’ASA virtuel à Internet.

    • L’ASA virtuel s’associe à ce réseau par l’intermédiaire de l’interface Management0/0.

    • PublicNet est à double pile pour IPv4 et IPv6. Lorsque vous créez un serveur avec PublicNet, votre serveur reçoit une adresse IPv4 et une adresse IPv6 par défaut.

  • ServiceNet : un réseau multilocataire interne uniquement IPv4 dans chaque région de Rackspace Cloud.

    • ServiceNet est optimisé pour acheminer le trafic entre les serveurs au sein de votre configuration (trafic est-ouest).

    • Il fournit aux serveurs un accès sans frais aux services régionalisés tels que les fichiers en nuage, les équilibreurs de charges en nuage, les bases de données en nuage et la sauvegarde en nuage.

    • Les réseaux 10.176.0.0/12 et 10.208.0.0/12 sont réservés à ServiceNet. Tous les serveurs qui ont une connectivité ServiceNet recevront une adresse IP de l’un de ces réseaux.

    • L’ASA virtuel se connecte à ce réseau par l’intermédiaire de l’interface Gigabit0/0.

  • Réseaux en nuage privé : Cloud Networks (réseaux en nuage) vous permet de créer et de gérer des réseaux sécurisés et isolés dans le nuage.

    • Ces réseaux sont entièrement pour détenteur unique, et vous avez un contrôle total sur la topologie du réseau, l’adressage IP (IPv4 ou IPv6) et les serveurs en nuage qui sont associés.

    • Les réseaux en nuage ont une portée régionale et vous pouvez les associer à n’importe lequel de vos serveurs en nuage dans une région donnée.

    • Vous pouvez créer et gérer des réseaux en nuage par l’intermédiaire d’une API ou en utilisant le panneau de contrôle de Rackspace Cloud.

      L’ASA virtuel s’associe à ces réseaux par les interfaces Gigabit0/1 à Gigabit0/8.

Configuration Rackspace Day 0 (jour 0)

Lorsqu’une machine virtuelle est déployée dans Rackspace Cloud, un périphérique CD-ROM contenant des fichiers avec des informations de provisionnement Rackspace est connecté à la machine virtuelle. Les informations de provisionnement comprennent ce qui suit :

  • Nom d’hôte

  • Adresses IP pour les interfaces requises

  • Routes IP statiques

  • Nom d’utilisateur et mot de passe (clé publique SSH facultative)

  • Serveurs DNS

  • Serveurs NTP

Ces fichiers sont lus pendant le déploiement initial et la configuration ASA est générée.

Nom de domaine ASA virtuel

Par défaut, le nom de domaine ASA virtuel est le nom que vous attribuez à votre serveur en nuage lorsque vous commencez à créer votre ASA virtuel.


hostname rackspace-asav

La configuration du nom de domaine ASA n’acceptera qu’un nom de domaine conforme aux RFC 1034 et 1101 :
  • Doit commencer et se terminer par une lettre ou un chiffre.

  • Les caractères intérieurs doivent être une lettre, un chiffre ou un tiret.


Remarque


L’ASA virtuel modifiera le nom du serveur en nuage pour se conformer à ces règles tout en le rendant aussi proche que possible du nom du serveur en nuage d’origine. Il supprimera les caractères spéciaux du début et de la fin du nom du serveur en nuage et remplacera les caractères intérieurs non conformes par un tiret.

Par exemple, un serveur en nuage nommé ASAv-9.13.1.200 aura le nom de domaine ASAv-9-13-1-200.


Interfaces

Les interfaces sont configurées de la manière suivante :

  • Management0/0

    • Nommée « outside » (externe) parce qu’elle est connectée au PublicNet.

    • Rackspace attribue des adresses publiques IPv4 et IPv6 à l’interface PublicNet.

  • Gigabit0/0

    • Nommée « management » (gestion) parce qu’elle est connecté à ServiceNet.

    • Rackspace attribue une adresse IPv4 du sous-réseau ServiceNet pour la région Rackspace.

  • De Gigabit0/1 à Gigabit0/8

    • Nommées « inside » (interne), « inside02 », « inside03 », etc., car elles sont connectées à des réseaux en nuage privés.

    • Rackspace attribue une adresse IP du sous-réseau du réseau en nuage.

La configuration d’interface pour un ASA virtuel avec 3 interfaces ressemblerait à ceci :


interface GigabitEthernet0/0
 nameif management
 security-level 0
 ip address 10.176.5.71 255.255.192.0 
!
interface GigabitEthernet0/1
 nameif inside
 security-level 100
 ip address 172.19.219.7 255.255.255.0 
!
interface Management0/0
 nameif outside
 security-level 0
 ip address 162.209.103.109 255.255.255.0 
 ipv6 address 2001:4802:7800:1:be76:4eff:fe20:1763/64

Routes statiques

Rackspace provisionne les routes IP statiques suivantes :

  • Route IPv4 par défaut par le biais de l’interface PublicNet (outside) (externe).

  • Route IPv6 par défaut par le biais de l’interface PublicNet.

  • Routes de sous-réseau d’infrastructure sur l’interface ServiceNet (management) (gestion).


route outside 0.0.0.0 0.0.0.0 104.130.24.1 1
ipv6 route outside ::/0 fe80::def
route management 10.176.0.0 255.240.0.0 10.176.0.1 1
route management 10.208.0.0 255.240.0.0 10.176.0.1 1

Coordonnées de connexion

Un nom d’utilisateur « admin » est créé avec un mot de passe créé par Rackspace. Une clé publique pour l’utilisateur « admin » est créée si le serveur en nuage est déployé avec une clé publique pour Rackspace.


username admin password <admin_password> privilege 15
username admin attributes
 ssh authentication publickey <public_key>

La configuration SSH de Day0  (jour 0):

  • SSH par le biais de l’interface PublicNet (outside) (externe) est activé pour IPv4 et IPv6.

  • SSH par le biais de l'interface ServiceNet (management) (gestion), est activé pour IPv4.

  • Configurer le groupe d’échange de clés renforcé à la demande de Rackspace.


aaa authentication ssh console LOCAL
ssh 0 0 management
ssh 0 0 outside
ssh ::0/0 outside
ssh version 2
ssh key-exchange group dh-group14-sha1

DNS et NTP

Rackspace fournit deux adresses de service IPv4 à utiliser pour DNS et NTP.


dns domain-lookup outside
dns server-group DefaultDNS
 name-server 69.20.0.164 
 name-server 69.20.0.196

ntp server 69.20.0.164
ntp server 69.20.0.196

Déployer l’ASA virtuel

Vous pouvez déployer l’ASA virtuel en tant qu’appliance virtuelle dans Rackspace Cloud. Cette procédure vous montre comment installer un périphérique à instance unique ASA virtuel .

Avant de commencer

Passez en revue la rubrique Configuration Rackspace Day 0 (jour 0) pour obtenir une description des paramètres de configuration que Rackspace Cloud active pour un déploiement ASA virtuel réussi, y compris les exigences de nom de domaine, le provisionnement d’interface et les informations sur le réseau.

Procédure


Étape 1

Sur le portail Rackspace mycloud, accédez à SERVERS (serveurs) > CREATE RESOURCES (créer des ressources) > Cloud Server (serveur en nuage).

Étape 2

Dans la page Create Server (créer un serveur), saisissez les détails de votre serveur :

  1. Saisissez le nom de votre machine ASA virtuel dans le champ Server Name (nom du serveur).

  2. Sélectionnez votre région dans la liste déroulante Region (région).

Étape 3

Sous Image, choisissez Linux/Appliances > ASAv > Version.

Remarque

 

Vous choisirez généralement la version la plus récente prise en charge lors du déploiement d’un nouveau ASA virtuel.

Étape 4

Sous Flavor, choisissez une Flavor Class qui correspond à vos besoins en ressources; consultez Tableau 1 pour obtenir la liste des machines virtuelles appropriées.

Important

 

À partir de la version 9.13(1), la mémoire minimale requise pour l’ASA virtuel est de 2 Go. Lors du déploiement d’un ASA virtuel avec plus de 1 vCPU, la mémoire minimale requise pour l’ASA virtuel est de 4 Go.

Étape 5

(Facultatif) Sous Advanced Options(options avancées), configurez une clé SSH.

Consultez Gestion de l’accès avec les clés SSH pour obtenir des renseignements complets sur les clés SSH dans Rackspace Cloud.

Étape 6

Passez en revue toutes les Recommended Installs (installations recommandées) et les Itemized Charges (frais détaillés) applicables pour votre ASA virtuel, puis cliquez sur Create Server (créer un serveur).

Le mot de passe de l'administrateur racine s'affiche. Copiez le mot de passe, puis ignorez la boîte de dialogue.

Étape 7

Après avoir créé le serveur, la page des détails du serveur s’affiche. Attendez que le serveur affiche un état actif. Cela prend quelques minutes.


Prochaine étape

  • Connectez-vous au ASA virtuel.

  • Poursuivez la configuration à l’aide des commandes CLI disponibles pour une entrée par le biais du protocole SSH ou utilisez ASDM. Consultez Démarrer ASDM pour obtenir des instructions concernant l’accès à ASDM.

Utilisation et rapport d’utilisation du processeur (CPU)

Le rapport sur l’utilisation du processeur résume le pourcentage du processeur utilisé pendant la période précisée. En règle générale, le cœur fonctionne sur environ 30 à 40 % de la capacité totale du processeur en dehors des heures de pointe et sur environ 60 à 70 % de capacité pendant les heures de pointe.

Utilisation de vCPU dans ASA virtuel

L’utilisation du vCPU ASA virtuel affiche la quantité de vCPU utilisée pour le chemin de données, le point de contrôle et les processus externes.

L’utilisation de vCPU signalée par Rackspace comprend l’utilisation de l’ASA virtuel comme décrit plus :

  • Délai d’inactivité d’ASA virtuel

  • %SYS surdébit utilisé pour la machine ASA virtuel

  • Surdébit du déplacement des paquets entre les vSwitches, les vNIC et les pNIC. Ce surdébit peut être assez important.

Exemple d’utilisation du processeur

La commande show cpu usage (afficher l’utilisation du processeur) peut être utilisée pour afficher les statistiques d’utilisation du processeur.

Exemple

Ciscoasa#show cpu usage

Utilisation du processeur pendant 5 secondes = 1 %; 1 minute : 2 %; 5 minutes : 1 %

Voici un exemple dans lequel l’utilisation de vCPU signalée est sensiblement différente :

  • Rapports ASA virtuel : 40 %

  • DP : 35 %

  • Processus externes : 5 %

  • ASA (comme les rapports ASA virtuel) : 40 %

  • Interrogation ASA inactive : 10 %

  • Frais généraux : 45 %

Le surdébit est utilisé pour effectuer des fonctions d’hyperviseur et pour déplacer des paquets entre les NIC et les vNIC à l’aide du vSwitch.

Rapport d’utilisation du processeur (CPU) de Rackspace

En plus d’afficher les renseignements de configuration du CPU, de la RAM et de l’espace disque pour les serveurs en nuage disponibles, vous pouvez également afficher les renseignements sur le disque, les E/S et le réseau. Utilisez ces renseignements pour vous aider à décider quel serveur en nuage correspond à vos besoins. Vous pouvez afficher les serveurs disponibles par le biais du client nova de ligne de commande ou de l’interface du panneau de commande en nuage.

Dans la ligne de commande, exécutez la commande suivante :

nova flavor-list

Toutes les configurations de serveur disponibles sont affichées. La liste contient les renseignements suivants :

  • ID – ID de configuration du serveur

  • Name – nom de la configuration, étiqueté par taille de RAM et type de performance

  • Mémoire_Mo – la quantité de RAM pour la configuration

  • Disque – la taille du disque en Go (pour les serveurs en nuage à usage général, la taille du disque système)

  • Éphémère – la taille du disque de données

  • Permutation – la taille de l’espace de permutation

  • VCPU – le nombre de CPU virtuels associés à la configuration

  • Facteur_RXTX – la quantité de bande passante, en Mbit/s, allouée aux ports PublicNet, aux ports ServiceNet et aux réseaux isolés (réseaux en nuage) reliés à un serveur.

  • Est_Public – non utilisé

Graphiques ASA virtuel et Rackspace

Il existe des différences dans les numéros de % du CPU entre l’ASA virtuel et Rackspace :

  • Les numéros de graphique Rackspace sont toujours supérieurs aux numéros de l’ASA virtuel.

  • Rackspace l’appelle « %CPU usage » (% d’usage du CPU); l’ASA virtuel l’appelle « %CPU utilization » (% d’utilisation du CPU).

Les termes « %CPU utilization » et « %CPU usage » ont des significations différentes :

  • CPU utilization fournit des statistiques sur les CPU physiques.

  • CPU usage fournit des statistiques sur les CPU logiques, qui sont basées sur l’hyperthreading du processeur. Mais, comme un seul vCPU est utilisé, l’hyperthreading n’est pas activé.

Rackspace calcule le pourcentage d’usage du CPU comme suit :

Nombre de processeur (CPU) virtuels utilisés activement, spécifié en pourcentage du nombre total de CPU disponibles

Ce calcul est la vue de l’hôte de l’utilisation du CPU, et non la vue du système d’exploitation invité, et est l’utilisation moyenne du CPU sur tous les CPU virtuels disponibles dans la machine virtuelle.

Par exemple, si une machine virtuelle avec un CPU virtuel fonctionne sur un hôte qui a quatre CPU physiques et que l’usage des CPU est de 100 %, la machine virtuelle utilise complètement un CPU physique. Le calcul de l’usage du CPU virtuel est l’usage en MHz/nombre de CPU virtuels x fréquence du cœur