Déployer l’ASAv sur Nutanix

Ce chapitre décrit la marche à suivre pour déployer l’ASAv dans un environnement Nutanix.

Aperçu

L’appareil virtuelle de sécurité adaptative Cisco (ASAv) offre des fonctionnalités complètes de pare-feu aux environnements virtualisés afin de sécuriser le trafic des centres de données et les environnements multilocataires.

Vous pouvez déployer l’ASAv sur Nutanix.

Lignes directrices et limites relatives à la licence


Important

L’ASAv est déployé avec une taille de stockage sur disque de 8 Go. Il est impossible de modifier l’allocation des ressources de l’espace disque.

Passez en revue les lignes directrices et les limites suivantes avant de déployer l’ASAv.

vNIC recommandées

La vNIC suivante est recommandée pour des performances optimales.

VirtIO : un pilote de réseau para-virtualisé qui prend en charge le fonctionnement à 10 Gbit/s, mais qui nécessite également des cycles du CPU.

Épinglage de CPU

L’épinglage de CPU est nécessaire pour que l’ASAv fonctionne dans un environnement Nutanix; voir Activer l’épinglage du processeur (CPU).

Failover for High Availability

Pour les déploiements de basculement, assurez-vous que l’unité de secours a les mêmes droits de licence; par exemple, les deux unités doivent avoir le droit de 2 Gbit/s.


Important

Vous devez ajouter les interfaces de données à chaque ASAv dans le même ordre lors de la création d’une paire à haute accessibilité. Si exactement les mêmes interfaces sont ajoutées à chaque ASAv, mais dans un ordre différent, vous pouvez voir des erreurs sur la console ASAv, ce qui pourrait avoir une incidence sur la fonctionnalité de basculement.

Directives générales

  • Le nombre maximal d’interfaces prises en charge est de dix. Vous recevrez un message d’erreur si vous tentez d’ajouter plus de dix interfaces.


    Remarque

    • Par défaut, l’ASAv configure l’interface de gestion et l’interface interne sur le même sous-réseau.

    • Lorsque vous modifiez les interfaces réseau, vous devez désactiver le périphérique ASAv.

  • Par défaut, l’ASAv suppose que vous ayez configuré les interfaces de gestion et interne sur les différents sous-réseaux. L’interface de gestion a une « IP address DHCP setroute » (Adresse IP DHCP setroute) et la passerelle par défaut est fournie par DHCP.

  • L’ASAv doit être sous tension lors du premier démarrage avec au moins trois interfaces. Votre système ne sera pas déployé sans trois interfaces.

  • L’ASAv prend en charge un total de 10 interfaces : une interface de gestion (nic0) et un maximum de neuf interfaces réseau (nic1-9) pour le trafic de données. Les interfaces réseau pour le trafic de données peuvent suivre n’importe quel ordre.


    Remarque

    Le nombre minimum d’interfaces réseau pour l’ASAv est de trois interfaces de données.

  • Pour l’accès depuis la console, le serveur de terminaux est pris en charge par Telnet.

  • Voici les paramètres de mémoire et de vCPU pris en charge :

    CPU

    Mémoire

    Taille de la plateforme ASAv

    Type de licence

    1

    2 Go

    1 vCPU/2 Go (par défaut)

    1 G (ASAv10)

    4

    8 Go

    4vCPU/8 Go

    2 G (ASAv30)

    8

    16 Go

    8vCPU/16 Go

    10 G (ASAv50)

    16

    32 Go

    16 vCPU/32 Go

    20 G (ASAv100)

Fonctionnalités prises en charge

  • Mode routé (par défaut)

  • Mode transparent


    Remarque

    La chaîne de services dans une grappe multi-nœuds n’est pas prise en charge en mode transparent.

Consultez la concordance suivante concernant les adaptateurs réseau, les réseaux sources et les réseaux de destination pour les interfaces ASAv :

Adaptateur réseau

Réseau source

Réseaux de destination

Fonction

vnic0

Management0-0

Management0/0

Gestion

vnic1

GigabitEthernet0-1

GigabitEthernet 0/1

Partie

vnic2

GigabitEthernet0-2

GigabitEthernet 0/2

Intérieur

vnic3-9

Données

Données

Données

ASAv sur Proxmox VE

Proxmox Virtual Environment (VE) est une plateforme de virtualisation de serveurs à code source libre qui peut gérer les machines virtuelles Nutanix. Proxmox VE fournit également une interface de gestion web.

Lorsque vous déployez l’ASAv sur Proxmox VE, vous devez configurer la VM pour qu’elle ait un port série émulé. Sans le port série, l’ASAv entrera en boucle pendant le processus de démarrage. Toutes les tâches de gestion peuvent être effectuées à l’aide de l’interface de gestion web Proxmox VE.


Remarque

Pour les utilisateurs avancés qui sont habitués au confort de l’interface Shell Unix ou de Windows Powershell, Proxmox VE fournit une interface de ligne de commande pour gérer tous les composants de votre environnement virtuel. Cette interface de ligne de commande dispose d’une fonction intelligente de complétion par tabulation et d’une documentation complète sous forme de pages de manuel UNIX.

Pour que l’ASAv démarre correctement, la VM doit avoir un périphérique série configuré :

  1. Dans le centre de gestion principal, sélectionnez la VM ASAv dans l’arborescence de navigation de gauche.

  2. Mettez la machine virtuelle hors tension.

  3. Choisissez Hardware (Matériel) > Add (Ajouter) > Network Device (Appareil réseau) et ajoutez un port série.

  4. Mettez l’ordinateur virtuel sous tension.

  5. Accédez à la VM ASAv à l’aide de Xterm.js.

Consultez la page Terminal série de Proxmox pour en savoir plus sur la configuration et l’activation du terminal sur l’invité ou le serveur.

Fonctionnalités non prises en charge

  • L’ASAv sur Nutanix AHV ne prend pas en charge l’enfichage à chaud de l’interface. N’essayez pas d’ajouter ou de supprimer des interfaces lorsque l’ASAv est sous tension.

  • Nutanix AHV ne prend pas en charge la virtualisation des E/S à racine unique (SR-IOV) ou l’ensemble de développement de plan de données Open vSwitch (DPDK-OVS).


    Remarque

    Nutanix AHV prend en charge DPDK sur invité à l’aide de VirtIO. Pour en savoir plus, consultez Prise en charge de DPDK sur AHV.

Documentation associée

Configuration système requise

Version d’ASA

9.16.2

Mémoire ASAv, vCPU et taille de disque

Le matériel spécifique utilisé pour les déploiements d’ASAv peut varier en fonction du nombre d’instances déployées et des exigences d’utilisation. Chaque instance d’ASAv nécessite une allocation minimale de ressources (quantité de mémoire, nombre de CPU et espace disque) sur le serveur.

Licences ASAv

  • Configurez tous les droits de licence pour les services de sécurité à partir de l’interface de ligne de commande d’ASAv.

  • Consultez ASAv : Configurer les licences logicielles Smart dans le Guide de configuration Cisco ASA pour en savoir plus sur la gestion des licences.

Composants et versions de Nutanix

Composant Version
Système d’exploitation Nutanix Acropolis (AOS)

5.15.5 LTS ou version ultérieure

Nutanix Cluster Check (NCC)

4.0.0.1

Nutanix AHV

20201105.12 et version ultérieure

Comment déployer l’ASAv sur Nutanix

Étape

Tâche

Autres renseignements

1

 Passez en revue les conditions préalables. Prérequis

2

 Chargez le fichier ASAv qcow2 dans l’environnement Nutanix. Charger le fichier QCOW2 dans Nutanix

3

 Préparez un fichier de configuration Day 0 (jour 0) avec les données de configuration initiale qui sont appliquées au moment du déploiement d’une machine virtuelle. Préparer le fichier de configuration Day0 (Jour0)

4

Déployez l’ASAv sur Nutanix.

 Déployer l’ASA virtuel

5

 Lancer l’ASAv. Lancer l’ASA virtuel

Prérequis

  • Téléchargez le fichier qcow2 ASAv à partir de Cisco.com et placez-le sur votre hôte Linux :

    http://www.cisco.com/go/asa-software


    Remarque

    Une connexion à Cisco.com et un contrat de service Cisco sont requis.

  • Pour la compatibilité du logiciel ASA et de l’ASAv HyperFlex, consultez la section Compatibilité Cisco ASA.

Charger le fichier QCOW2 dans Nutanix

Pour déployer l'ASAv dans l’environnement Nutanix, vous devez créer une image à partir du fichier disque qcow2 dans la console Web Prism.

Avant de commencer

Téléchargez le fichier disque qcow2 à partir de Cisco.com : https://software.cisco.com/download/navigator.html

Procédure

Étape 1

Connectez-vous à la console Web Nutanix Prism.

Étape 2

Cliquez sur l’icône en forme d’engrenage pour ouvrir la page Settings (paramètres).

Étape 3

Cliquez sur Image Configuration (configuration de l’image) dans le volet gauche.

Étape 4

Cliquez sur Upload Image (charger une image).

Étape 5

Créez l’image.

  1. Saisissez un nom pour l’image.

  2. Dans la liste déroulante Image Type (type d’image), sélectionnez DISK (disque).

  3. Dans la liste déroulante Storage Container (conteneur de stockage), choisissez le conteneur souhaité.

  4. Précisez l’emplacement du fichier disque qcow2.

    Vous pouvez soit préciser une URL (pour importer le fichier à partir d’un serveur Web), soit charger le fichier à partir de votre ordinateur.

  5. Cliquez sur Save (enregistrer).

Étape 6

Attendez que la nouvelle image s’affiche dans la page Image Configuration (configuration d’image).

Préparer le fichier de configuration Day0 (Jour0)

Vous pouvez préparer un fichier de configuration Day0 (Jour0) avant de déployer l’ASAv. Ce fichier est un fichier texte qui contient les données de configuration initiale qui sont appliquées lors du déploiement d’une machine virtuelle.

Si vous effectuez le déploiement avec un fichier de configuration Day0 (Jour0), le processus vous permet d’effectuer la configuration initiale complète de l’appareil ASAv.

Dans le fichier, vous pouvez spécifier les éléments suivants :

  • Un nom de domaine pour le système.

  • Un nouveau nom d’utilisateur et un nouveau mot de passe d’administrateur pour le compte admin.

  • Le mode de pare-feu initial; définit le mode de pare-feu initial, routed (routé) ou transparent.

    Si vous prévoyez de gérer votre déploiement à l’aide du réseau local, vous ne pouvez saisir que routed (routé) pour le mode de pare-feu. Vous ne pouvez pas configurer des interfaces en mode de pare-feu transparent à l’aide du gestionnaire d’appareil ASAv.

  • ASDM à activer :

    • activation du serveur http

    • accès mondial à tous les groupes

    • gestion de http 0.0.0.0 0.0.0.0

  • Liste d’accès

  • Serveur de noms

  • Paramètres réseau qui permettent à l’appareil de communiquer sur votre réseau de gestion.


Remarque

Vous pouvez soit charger le fichier de configuration Day0 (Jour0), soit copier et coller le contenu dans la zone de texte fournie.

Procédure

Étape 1

Créez un nouveau fichier texte à l’aide d’un éditeur de texte de votre choix.

Étape 2

Saisissez les détails de la configuration dans le fichier texte, comme illustré dans l’exemple suivant :

Exemple:

ASA Version 9.16.2
!
console serial
interface management0/0
nameif management
security-level 100
ip address 192.168.1.2 255.255.255.0
no shutdown
interface gigabitethernet0/0
nameif inside
security-level 100
ip address 10.1.1.2 255.255.255.0
no shutdown
interface gigabitethernet0/1
nameif outside
security-level 0
ip address 198.51.100.2 255.255.255.0
no shutdown
http server enable
http 192.168.1.0 255.255.255.0 management
crypto key generate rsa modulus 1024
username AdminUser password paSSw0rd
ssh 192.168.1.0 255.255.255.0 management
aaa authentication ssh console LOCAL
La première ligne doit commencer par la version de l’ASA. La configuration day0-config doit être une configuration ASA valide. La meilleure façon de générer la configuration day0 (jour0) est de copier les parties pertinentes d’une configuration en cours d’exécution à partir d’un ASA ou d’un ASAv existant. L’ordre des lignes dans day0-config est important et doit correspondre à l’ordre observé dans une sortie de commande show running-config existante.
Configuration day0 (jour0) possible

  • Nom d’hôte

  • Nom de domaine

  • Mot de passe administratif

  • Interfaces

  • Adresses IP

  • du routage statique;

  • Serveur DHCP

  • Règles de traduction d'adresse réseau

Remarque

 

Le contenu du fichier de configuration Day0 (Jour0) doit être au format JSON. Vous devez valider le texte à l’aide d’un outil de validation JSON.

Étape 3

Enregistrez le fichier sous le nom day0-config.txt.

Étape 4

Sélectionnez l’option Custom Script (Personnaliser le script).

Étape 5

Vous pouvez soit charger le fichier day0-config.txt, soit copier et coller le fichier dans la zone de texte fournie.

Étape 6

Répétez les étapes 1 à 3 pour créer des fichiers de configuration par défaut uniques pour chaque ASAv que vous souhaitez déployer.

Déployer l’ASA virtuel

Avant de commencer

Assurez-vous que l’image de l’ASAv que vous prévoyez de déployer apparaît sur la page Image Configuration (Configuration de l’image).

Procédure

Étape 1

Connectez-vous à la console Web Nutanix Prism.

Étape 2

Dans la barre de menu principale, cliquez sur la liste déroulante View (Afficher) et sélectionnez VM.

Étape 3

Dans le tableau de bord de la VM, cliquez sur Create VM (Créer une VM).

Étape 4

Procédez comme suit :

  1. Saisissez un nom pour l’instance ASAv.

  2. (Facultatif) Saisissez une description pour l’instance ASAv.

  3. Sélectionnez le fuseau horaire que vous souhaitez que l’instance ASAv utilise.

Étape 5

Entrez les détails du calcul.

  1. Saisissez le nombre de CPU virtuels à allouer à l’instance ASAv.

  2. Saisissez le nombre de cœurs qui doivent être affectés à chaque CPU virtuel.

  3. Saisissez la quantité de mémoire (en Go) à allouer à l’instance ASAv.

Étape 6

Associez un disque à l’instance ASAv.

  1. Sous Disks (Disques), cliquez sur Add New Disk (Ajouter un nouveau disque).

  2. Dans la liste déroulante Type, choisissez DISK (DISQUE).

  3. Dans la liste déroulante Operation (Opération), choisissez Clone from Image Service (Cloner à partir du service d’image).

  4. Dans la liste déroulante Bus Type (Type de bus), choisissez DISK (DISQUE).

  5. Dans la liste déroulante Image, choisissez l’image que vous souhaitez utiliser.

  6. Cliquez sur Add (Ajouter).

Étape 7

Configurez au moins trois interfaces de réseau virtuel.

Sous Network Adapters (NIC) (Adapateurs réseau (NIC)), cliquez sur Add New NIC (Ajouter une nouvelle carte réseau), sélectionnez un réseau et cliquez sur Add (Ajouter).

Répétez ce processus pour ajouter d’autres interfaces réseau.

L’ASAv sur Nutanix prend en charge un total de dix interfaces : une interface de gestion et un maximum de neuf interfaces réseau pour le trafic de données. Les affectations interface-réseau doivent être ordonnées comme suit :

  • vnic0 : interface de gestion (obligatoire)

  • vnic1 : interface externe (obligatoire)

  • vnic2 : interface interne (obligatoire)

  • vnic3-9 : interface de données (facultatif)

Étape 8

Configurez la politique d’affinité pour l’ASAv.

Sous VM Host Affinity (Affinité d’hôte VM), cliquez sur Set Affinity (Définir l’affinité), sélectionnez les hôtes et cliquez sur Save (Enregistrer).

Sélectionnez plusieurs hôtes pour vous assurer que la VM peut s’exécuter même en cas de défaillance de nœud.

Étape 9

Si vous avez préparé un fichier de configuration Day0 (Jour0), procédez comme suit :

  1. Sélectionnez Custom Script (Script personnalisé).

  2. Cliquez sur Upload A File (Charger un fichier) et sélectionnez le fichier de configuration Day0 (Jour0) day0-config.txt ou copiez et collez le contenu dans une zone de texte.

Remarque

 

Toutes les autres options de scripts personnalisés ne sont pas prises en charge dans la version.

Étape 10

Cliquez sur Save (Enregistrer) pour déployer l’instance ASAv. L’instance apparaît dans la vue du tableau de la VM.

Étape 11

Dans la vue du tableau la VM, sélectionnez l’instance nouvellement créée, et cliquez sur Power On (Démarrer).

Lancer l’ASA virtuel

Une fois que la machine virtuelle est sous tension, sélectionnez ASAv-VM > Launch Console (lancer la console) avec le nom d’utilisateur et le mot de passe prédéfinis en y accédant par le biais du fichier day0-config.


Remarque

Pour modifier l’un de ces paramètres d’un appareil virtuel après avoir terminé la configuration initiale, vous devez utiliser l’interface de ligne de commande.

Procédure

Étape 1

Cliquez sur Launch Console (lancer la console) pour accéder à l’ASAv déployé.

Étape 2

À l’invite asav login (connexion d’asav), connectez-vous avec le nom d’utilisateur et le mot de passe de day0-config.