Configurazione e risoluzione dei problemi dei criteri di gestione delle licenze Smart sulle piattaforme ACI
Sommario
Introduzione
In questo documento viene descritto come utilizzare la policy di gestione delle licenze Smart per gestire le licenze software sulla piattaforma Cisco Application Centric Infrastructure (ACI).
Prerequisiti
Requisiti
Nessun requisito specifico previsto per questo documento.
Componenti usati
Il documento può essere consultato per tutte le versioni software o hardware.
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Premesse
Questo documento descrive come utilizzare i criteri di gestione delle licenze Cisco Smart per risolvere i problemi, configurare e gestire le licenze software sulla piattaforma Cisco Application Centric Infrastructure (ACI).
Che cos'è la policy Cisco Smart Licensing (SLP)?
Cisco Smart Licensing è una piattaforma di gestione software che gestisce tutte le licenze dei prodotti Cisco. In base al feedback ricevuto, Cisco Smart Licensing è stato migliorato ed è stata proposta una nuova piattaforma, denominata SLP. Lo scopo di SLP è semplificare le licenze intelligenti e consentire la configurazione e la manutenzione. È stato introdotto nella versione ACI 5.2(4).
Non si ha familiarità con Smart Licensing e/o con l'amministrazione degli Smart Account?
iscriversi al nuovo corso di formazione per amministratori e registrarsi a
- Cisco Community - Get Smart with Cisco Smart Accounts/Smart Licensing and My Cisco Entitlements
- Per creare gli Smart Account, vedere Smart Account
- Per gestire gli Smart Account, vedere Smart Software Licensing
Che cos'è un token ID?
Utilizzato per registrare in modo sicuro i prodotti su uno Smart Account e un account virtuale. I token ID sono "identificatori organizzativi" utilizzati per stabilire l'identità quando un prodotto viene registrato. Questi token in SLP vengono utilizzati con un metodo di registrazione diverso descritto più avanti in questo documento.
Genera un token ID da CSM
Per eseguire la generazione, andare a Cisco Software Central e selezionare Manage Licenses > Inventory > General > New Token come mostrato nell'immagine.
Una volta generato, è possibile copiare o scaricare in Azioni:
Licenza SLP e stati del prodotto
In ACI SLP non sono necessari 90 giorni del periodo di valutazione e la registrazione del prodotto. La registrazione del prodotto non è più necessaria. È necessario segnalare l'utilizzo delle licenze nel miglior modo possibile. Inoltre, lo stato di autorizzazione della licenza nella visualizzazione client viene eliminato. A questo punto, un diritto di licenza ha due stati: In uso o non in uso. Poiché il controller APIC gestisce solo le licenze attualmente in uso, sull'interfaccia utente/CLI di APIC è possibile visualizzare solo le licenze che sono in uso.
Metodi supportati con SLP
Esistono diversi metodi per configurare i criteri di licenza intelligente che possono essere differenziati come segue:
1. Modalità in linea
2. Modalità offline
In ACI SLP, introdurre il concetto di report di misurazione dell'utilizzo delle risorse (report RUM). Un report RUM è un file in formato XML che contiene il report sull'utilizzo delle licenze. Pertanto, la terminologia license usage report e Rum reportsono intercambiabili; entrambi fanno riferimento al rapporto sull'utilizzo delle licenze. In modalità online, un utente deve configurare la rete e fare in modo che il controller APIC sia connesso al CSSM direttamente o indirettamente, anche in modalità online, APIC può inviare automaticamente rapporti RUM al CSSM e ottenere conferma.
In modalità offline, poiché APIC è completamente isolato senza alcuna connessione di rete con CSSM diretta o indiretta, un utente deve scaricare periodicamente il report RUM da APIC, importarlo in CSSM, scaricare la conferma da CSSM e importarlo in APIC.
In base alla connettività di APIC con CSSM, è possibile decidere se utilizzare la modalità online o offline, che dispone quindi anche di più metodi in modalità online, come illustrato di seguito:
Metodo 1. Connessione diretta a CSM
Si tratta della modalità di rete più utilizzata. Cisco APIC deve disporre di connettività Internet in modo che possa inviare rapporti RUM direttamente al CSSM. È necessario configurare il DNS e consentire il ping del nome host CSM (tools.cisco.com).
Per configurare:
Passaggio 1. Accedere all'interfaccia utente grafica di Cisco APIC.
Passaggio 2. Sulla barra dei menu, passare a System > Smart Licensing > Actions > Configure Network Settings.
Passaggio 3. Selezionare Direct connect to CSSM.
Passaggio 4. L'URL e il numero di porta non possono essere modificati.
Passaggio 5. Incollare il token ID istanza prodotto, già ottenuto dall'account virtuale CSSM.
Passaggio 6. Fare clic su OK.
Token ID istanza prodotto
Una volta completata la sincronizzazione con CSM, i nomi degli Smart Account e degli account virtuali vengono aggiornati nella pagina Smart Licensing, come mostrato nell'immagine.
I nomi dello Smart Account e dell'account virtuale vengono aggiornati
Metodo 2. Cisco Transport Gateway
Con questo metodo, Cisco APIC non richiede la connettività Internet. Cisco APIC invia i rapporti RUM al CSSM con l'aiuto del gateway di trasporto. Il middleware del gateway di trasporto Cisco deve essere già installato nel centro dati e raggiungibile da APIC. Per la modalità Transport Gateway, il formato dell'URL è: http://, dove IP o nomehost è l'IP o il nome host di Transport Gateway. Se non si tratta della porta HTTP 80 o HTTPS 443 predefinita, è necessario immettere il numero di porta. È inoltre necessario un token ID istanza prodotto che può essere ottenuto dall'account virtuale CSM.
Per installare e configurare Transport Gateway, è possibile fare riferimento alla documentazione di Cisco Transport Gateway:
https://www.cisco.com/c/dam/en/us/td/docs/switches/lan/smart_call_home/user_guides/SCH_Ch4.pdf
Per configurare:
Passaggio 1. Accedere all'interfaccia utente grafica di Cisco APIC.
Passaggio 2. Sulla barra dei menu, passare a System > Smart Licensing > Actions > Configure Network Settings.
Passaggio 3. Selezionare Cisco Transport Gateway.
Passaggio 4. Modificare l'URL con l'IP (IP del gateway di trasporto Cisco) e la porta corretti;http://.
Passaggio 5. Incollare il token ID istanza prodotto, già ottenuto dall'account virtuale CSSM.
Passaggio 6. Fare clic su OK.
Metodo 3. Proxy HTTP/HTTPS
Con questo metodo, Cisco APIC non richiede la connettività Internet. Cisco APIC invia i report RUM al CSM dal proxy Web. Verificare che il server proxy Web sia configurato in modo da consentire i messaggi di gestione licenze smart. Inoltre, il firewall deve avere delle regole per passare la comunicazione e raggiungere la destinazione (https://tools.cisco.com/its/service/oddce/services/DDCEService).
In modalità Proxy, l'utente deve configurare l'IP e la porta proxy. Inoltre, è necessario un token ID istanza del prodotto che può essere ottenuto dall'account virtuale CSSM dell'utente.
Per configurare:
Passaggio 1. Accedere all'interfaccia utente grafica di Cisco APIC.
Passaggio 2. Sulla barra dei menu, passareSystem > Smart Licensing > a
Passaggio 3. SelezionareCisco HTTP/HTTPS Proxy.
Passaggio 4. Fornire l'indirizzo IP e il numero di porta del proxy.
Passaggio 5. Incollare il token ID istanza prodotto, che può essere ottenuto dall'account virtuale CSSM.
Passaggio 6. Fare clicOKsu.
Metodo 4. In Loco
Con questo metodo, Cisco APIC non richiede la connettività a Internet, mentre On-Prem richiede la connettività a Internet. L'APIC Cisco invia i rapporti RUM al CSM tramite l'On-Prem. Il middleware locale deve essere già installato nel centro dati. Questa modalità era già nota come Cisco Smart Software Manager Satellite (Manager Satellite) in Cisco ACI Smart Licensing (SL).
Per configurare:
Passaggio 1. Accedere all'interfaccia utente grafica di Cisco APIC.
Passaggio 2. Sulla barra dei menu, passareSystem > Smart Licensing > Actions > Configure Network Settingsa
Passaggio 3. Selezionare Cisco Smart Software Manager On-Prem.
È necessario fornire l'URL di Cisco Smart Software Manager On-Prem. Per ottenere l'URL, accedere alla GUI locale di Cisco Smart Software Manager. IndividuareInventory > General e fare clic sul collegamentoCSLU TransportURL.
Passaggio 4. Copiare l'URL CSLU e incollarlo nel campo URL nell'interfaccia utente grafica di Cisco APIC.
Non è necessario specificare il token ID istanza prodotto. Cisco APIC utilizza un certificato incorporato per comunicare con Cisco Smart Software Manager On-Prem.
Una volta completata la sincronizzazione, Smart-Software-Manager On-Prem Inventory viene aggiornato con le licenze in uso.
Metodo 5. Cisco Smart Licensing Utility
Con questo metodo, Cisco APIC non richiede la connettività Internet. Cisco APIC invia i rapporti RUM al CSSM tramite CSLU. La CSLU, ovvero la versione Microsoft Windows del middleware, deve essere già installata nel centro dati. L'URL per la CSLU può essere configurato in APIC nel seguente formato:http://ip_or_hostname:port/cslu/v1/pi
Qui IP o nomehost è l'indirizzo IP o il nome host CSLU. HTTPS non supportato.
Per configurare:
Passaggio 1. Accedere all'interfaccia utente grafica di Cisco APIC.
Passaggio 2. Sulla barra dei menu, passare a Inventory System > Smart Licensing >
Passaggio 3. Selezionare Cisco Smart Licensing Utility (CSLU).
Nell'URL precedente, la porta viene utilizzata come porta di servizio dell'istanza del prodotto nelle preferenze della GUI CSLU.
Se la sincronizzazione ha esito positivo, la pagina delle licenze viene aggiornata con il nome dello Smart Account e il nome dell'account virtuale, come mostrato nell'immagine.
Metodo 6. Metodo non in linea
In modalità offline, Cisco APIC è isolato senza alcuna connessione di rete con il CSM, direttamente o indirettamente. Poiché Cisco APIC non può raggiungere il CSSM tramite una connessione di rete, ogni 12 mesi è necessario scaricare un report RUM da Cisco APIC e importarlo nel CSSM. In seguito, è necessario scaricare una conferma dal CSM e importarla nell'APIC Cisco.
Per configurare:
Passaggio 1. Accedere all'interfaccia utente grafica di Cisco APIC.
Passaggio 2. Sulla barra dei menu, passare aSystem > Smart Licensing.
Passaggio 3. Nel riquadro di lavoro, passare aActions > Download Rum Report.
Il file del report RUM viene scaricato automaticamente nella cartella predefinita del browser.
Dopo aver scaricato il report (LicenseUsageRumReport.xml), è possibile importarlo in CSM.
Passaggio 4. Accedere a Software.cisco.com e selezionare Manage License (Gestisci licenza).
Passaggio 5. Dal Menu, fare clic suReportse selezionare l'Usage Data Filesopzione come mostrato nell'immagine.
Passaggio 6. Fare clic su Upload Usage Datauno e selezionareLicenseUsageRumReport.xmlfilecome mostrato nell'immagine.
Passaggio 7. Selezionare gli account virtuali che dispongono delle licenze.
Una volta inviati, è necessario attendere che lo stato della segnalazione diventiNo Errorse che il campo Conferma abbia l'opzione di scaricare.
Passaggio 8. Quando l'opzione di download è disponibile, fare clic su Download,Acknowledgementil file viene scaricato comeACK_LicenseUsageRumReport.xmlnome file, come mostrato nell'immagine.
È necessario importare la conferma in APIC:
Passaggio 9. Accedere all'interfaccia utente grafica di Cisco APIC.
Passaggio 10. Sulla barra dei menu passareSystem > Smart Licensinga.
Passaggio 11. Nel riquadro di lavoro, passareActions > Import Acknowledgementa.
Passaggio 12. Fare clicChoose Filesu, passare al percorso in cui è stato scaricato il file di conferma, scegliere il file e fare clic suOpen.
Passaggio 13. Fare clic suOK.
Se la sincronizzazione ha esito positivo, la pagina delle licenze viene aggiornata con il nome dello Smart Account e il nome dell'account virtuale, come mostrato nell'immagine.
Risoluzione dei problemi relativi ai criteri di licenza Smart ACI di Cisco
Errori
In ACI un errore viene generato quando si verifica una condizione di problema o un avviso specifico prima di iniziare la risoluzione del problema. È sempre consigliabile verificare l'esistenza di eventuali errori che reindirizzano l'utente nella direzione corretta. Nella tabella sono elencati gli errori relativi alle licenze intelligenti:
|
F3057 |
Si tratta di un errore di avviso che indica che non è stata ancora configurata un'impostazione di rete. Anche se si desidera scegliere la modalità non in linea, configurare l'impostazione Rete non in linea. Configurare un'impostazione di rete che elimini l'errore. |
|
F4290 |
Questo errore indica che il token dell'ID istanza del prodotto immesso non è valido o è scaduto. Accedere al modulo CSM e creare un nuovo token di registrazione dell'istanza del prodotto. Accedere alla GUI di Cisco Application Policy Infrastructure Controller (APIC) per immettere il nuovo token ID e riconfigurare l'impostazione di rete. L'azione consente di eliminare il guasto. |
|
F4291 |
Questo errore indica che la connettività di rete tra Cisco APIC e CSM o tra Cisco APIC e il server di trasporto (gateway, proxy, locale o CSLU) ha un problema. Cisco APIC non è in grado di comunicare con il CSM o il server di trasporto. Dopo aver risolto il problema di connettività di rete, accedere all'interfaccia utente grafica di Cisco APIC, selezionare |
|
F422 |
Questo errore indica che Cisco APIC non ha ricevuto conferma di un report RUM per molto tempo e la conferma è scaduta. In modalità offline, scarica manualmente un report RUM e importa la conferma. Quando si importa il file di conferma in Cisco APIC, il messaggio di errore viene cancellato. Nelle modalità online, questo errore indica che, a causa di un problema di rete, Cisco APIC non è sincronizzato con il CSM da molto tempo. Risolvere i problemi di connettività di rete tra Cisco APIC e CSM o tra Cisco APIC e il server di trasporto, nonché tra il server di trasporto e CSM. Dopo aver risolto il problema di connettività di rete, accedere all'interfaccia utente grafica di Cisco APIC, selezionare |
|
F4310 |
Questo errore indica che è stata importata la conferma errata di un report RUM. Una conferma è associata in modo univoco a un report RUM. La conferma importata deve corrispondere al report RUM scaricato. Scaricare di nuovo manualmente il report RUM e importare la conferma corretta in Cisco APIC, eliminando così il problema. |
Comandi show
Per risolvere il problema, è possibile usare dueshow comandi CLI. Per utilizzare questi comandi, accedere al nodo 1 di Cisco Application Policy Infrastructure Controller (APIC) nel cluster come utente amministratore.
N. show license all
Questo comando show visualizza le informazioni sulle licenze smart dall'archivio di attendibilità di Smart Agent (SA). La sezione "Report utilizzo" visualizza l'indicatore orario dell'ultimo report RUM inviato e dell'ultima conferma ricevuta, nonché quando inviare il report RUM successivo e quando eseguire il polling della conferma successiva. Se l'indicatore orario dell'ultima conferma ricevuta è più recente dell'ultimo report RUM inviato, significa che Cisco APIC ha inviato correttamente il report RUM e ha ricevuto la conferma.
N. show license tech support
Questo comando show visualizza informazioni molto più dettagliate di show license all. La console non può visualizzare il risultato completo a causa della sua lunghezza, ma è possibile aprire il file /tmp/SA_Show_Tech_Support.txt per visualizzare tutto l'output.
Log
Log
Se si verifica un problema con le licenze intelligenti, raccogliere i seguenti log:
/var/log/dme/log/svc_ifc_licensemgr.bin.log
/var/log/dme/log/ch_dbg.log
/var/log/dme/log/sa.log
Assistenza tecnica da APIC.
Problema noto
1. Registrazione non riuscita a causa di un problema di comunicazione (DNS non configurato)
In modalità Connessione diretta a CSM, se si è dimenticato di configurare il DNS nella comunicazione Cisco Application Policy Infrastructure Controller (APIC) a tools.cisco.com non riesce.
verificare che il DNS sia configurato in APIC ed eseguire il ping tools.cisco.com
Per verificare se DNS è configurato,cat /etc/resolv.confeseguire APIC CLI:
apic1# cat /etc/resolv.conf # Generated by IFC search apic.local nameserver 10.0.0.1 nameserver XX.163.128.140
Per verificare il corretto funzionamento del ping, eseguire il ping sulla CLI del controller APIC. Il ping deve funzionare per tools.cisco.com.
apic1# ping tools.cisco.com PING tools.cisco.com (XX.163.4.38) 56(84) bytes of data. 64 bytes from tools1.cisco.com (XX.163.4.38): icmp_seq=1 ttl=235 time=250 ms 64 bytes from tools1.cisco.com (XX.163.4.38): icmp_seq=2 ttl=235 time=249 ms 64 bytes from tools1.cisco.com (XX.163.4.38): icmp_seq=3 ttl=235 time=249 ms
2. Considerazioni sull'aggiornamento dei criteri di licenza per Cisco ACI Smart
Se si intende eseguire l'aggiornamento a Cisco Application Policy Infrastructure Controller (APIC) versione 5.2(4) o successive e Cisco APIC è già registrato e la modalità di rete o di trasporto è Connessione diretta a CSM, Transport Gateway o Proxy HTTP/HTTPS, è possibile aggiornare direttamente Cisco APIC da Cisco Application Centric Infrastructure (ACI) Smart Licensing (SL) a SLP. Non è necessario eseguire alcuna procedura speciale. Dopo l'aggiornamento, l'APIC Cisco è ancora connesso al CSSM e può inviare i report RUM al CSSM senza alcun problema.
Se invece Cisco APIC è già registrato e la rete o la modalità di trasporto è Gestione satellite, non è possibile aggiornare direttamente Cisco APIC da SSL a SLP. Infatti, sia il tipo di trasporto sia l'URL vengono modificati per la modalità di rete locale di Cisco Smart Software Manager che sostituisce il satellite di Manager. È necessario eseguire le azioni seguenti:
-
Aggiornare Manager Satellite all'ultima versione di Cisco Smart Software Manager On-Prem che supporta SLP. Dopo l'aggiornamento, verificare che On-Prem disponga di connettività di rete con il CSM e che la sincronizzazione funzioni ancora tra On-Prem e il CSM.
-
Aggiornare Cisco APIC alla versione 5.2(4) o successive. Dopo l'aggiornamento, sull'interfaccia utente di Cisco APIC viene visualizzato che la modalità di rete è Transport Gateway anziché Manager Satellite. È necessario riconfigurare la modalità rete su Cisco Smart Software Manager on-prem e copiare l'URL corretto dalla GUI locale.
3. Errore - Impossibile inviare il messaggio HTTP di chiamata a domicilio (CA radice Quo Vadis)
QuoVadis Root CA 2 è decommissionato e può influire sulla comunicazione SSL da APIC, quindi genera un errore "Fail to send out Call Home HTTP". Per verificare lo stesso, è possibile analizzare i log delle chiamate principali in/var/log/dme/log/ch_dbg.log. Se vengono stampate queste righe, segue il BUG e la notifica sul campo specificati:
CH-TRANS-ERROR: ch_pf_curl_send_msg[539], failed to perform, err code 60, err string "Peer certificate cannot be authenticated with given CA certificates" *
CH-TRANS-DETAIL: ch_pf_http_long_buf_dump[264], dump:"SSL certificate problem: self signed certificate in certificate chain"
https://www.cisco.com/c/en/us/support/docs/field-notices/721/fn72115.html
Cronologia delle revisioni
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
1.0 |
26-Sep-2022
|
Versione iniziale |
Feedback