CX Cloud Agent Overview v2.0
内容
概要
このドキュメントでは、シスコのカスタマーエクスペリエンス(CX)クラウドエージェントについて説明します。シスコの(CX)Cloud Agentは、軽量コンテナ化されたマイクロサービス機能をホストする、最新化されたモジュール型のオンプレミス型ソフトウェアプラットフォームです。クラウドから顧客のオンプレミス環境に機能をインストール、設定、管理できます。CX Cloud Agentは、新しいサービスの収益化を促進し、機能を拡張し、ビッグデータ、分析、自動化、機械学習/人工知能(ML/AI)、およびストリーミングによって推進される次世代サービスの開発を支援します。
CX Cloud Agent アーキテクチャ
前提条件
CX Cloud Agent は仮想マシン(VM)として実行され、オープン仮想アプライアンス(OVA)または仮想ディスク(VHD)としてダウンロードできます。
導入要件:
- 次のハイパーバイザのいずれか:
- VMware ESXi バージョン 5.5 以降
- Oracle Virtual Box 5.2.30
- Windows Hypervisorバージョン2012 ~ 2016
- ハイパーバイザは、次の要件を満たすVMをホストできます。
- 8 コア CPU
- 16GB メモリ/RAM
- 200GB のディスク容量
- 指定のシスコUSデータセンターを主なデータ領域として使用し、CX Cloudデータを保存するお客様は、次の手順を実行します。
CX Cloud Agentは、FQDNを使用し、TCPポート443でHTTPSを使用して、次に示すサーバに接続できる必要があります。
FQDN:agent.us.csco.cloud
FQDN:ng.acs.agent.us.csco.cloud
FQDN:cloudsso.cisco.com
FQDN:api-cx.cisco.com - 指定されたシスコヨーロッパデータセンターを主要なデータ領域として使用してCX Cloudデータを保存するお客様:
CX Cloud Agentは、FQDNを使用して、TCPポート443でHTTPSを使用して、次に示す両方のサーバに接続できる必要があります。
FQDN:agent.us.csco.cloud
FQDN:agent.emea.csco.cloud
FQDN:ng.acs.agent.emea.csco.cloud
FQDN:cloudsso.cisco.com
FQDN:api-cx.cisco.com - 指定されたシスコアジア太平洋データセンターをCX Cloudデータの保存に使用する主要なデータ領域として使用するお客様は、次の手順を実行します。
CX Cloud Agentは、FQDNを使用して、TCPポート443でHTTPSを使用して、次に示す両方のサーバに接続できる必要があります。
FQDN:agent.us.csco.cloud
FQDN:agent.apjc.csco.cloud
FQDN:ng.acs.agent.apjc.csco.cloud
FQDN:cloudsso.cisco.com
FQDN:api-cx.cisco.com
- 指定されたシスコヨーロッパおよびシスコアジア太平洋のデータセンターをプライマリデータ領域として使用するお客様は、FQDNに接続します。agent.us.csco.cloudは、初期セットアップ時にCX Cloud AgentをCX Cloudに登録する場合にのみ必要です。CX Cloud AgentがCX Cloudに正常に登録されると、この接続は不要になります。
- CX Cloud Agentのローカル管理では、ポート22にアクセスできる必要があります。
CX Cloud Agent に関するその他の注意事項:
- VM環境でDynamic Host Configuration Protocol(DHCP)が有効になっている場合、IPは自動的に検出されます。それ以外の場合は、空きIPv4アドレス、サブネットマスク、デフォルトゲートウェイIPアドレス、およびDNSサーバIPアドレスを使用できる必要があります。
- IPv6ではなく、IPv4のみがサポートされます。
- 1.2.8から1.3.3.9および2.1.2.0から2.2.3.5までのバージョンの認定シングルノードおよびハイアベイラビリティ(HA)クラスタのCisco Digital Network Architecture(DNA)Centerが必要です。
- ネットワークにSSL代行受信がある場合は、permit-list CX Cloud AgentのIPアドレスを使用します。
重要なドメインへのアクセス
CX Cloud Journeyを開始するには、ユーザがこれらのドメインにアクセスする必要があります。
| 主要ドメイン |
その他のドメイン |
| cisco.com |
mixpanel.com |
| csco.cloud |
cloudfront.net |
| split.io |
eum-appdynamics.com |
| appdynamics.com |
|
| tiqcdn.com |
|
| jquery.com |
地域に固有のドメイン:
| AMERICAS |
EMEA |
APJC |
| cloudsso.cisco.com |
cloudsso.cisco.com |
cloudsso.cisco.com |
| api-cx.cisco.com |
api-cx.cisco.com |
api-cx.cisco.com |
| agent.us.csco.cloud |
agent.us.csco.cloud |
agent.us.csco.cloud |
| ng.acs.agent.us.csco.cloud |
agent.emea.csco.cloud |
agent.apjc.csco.cloud |
| ng.acs.agent.emea.csco.cloud |
ng.acs.agent.apjc.csco.cloud |
CX Cloud Agent v2.0へのアップグレードの前提条件
CX Cloud Agent v2.0にアップグレードする前に、このセクションで説明する前提条件を満たす必要があります。
- アップグレードを開始する前に、CX Cloud Agent v1.12.x以降をインストールする必要があります。
- ドメインネームサーバ(DNS)がまだ設定されていない場合は、次の手順を実行して設定します。
- CX Cloud Agent Virtual Machineのコマンドラインインターフェイス(CLI)コンソールにログインします。
- cxcli agent configureDNSコマンドを実行します。
- DNS IPアドレスを入力します。
- クリック
Exit.
- お客様のネットワークで、重要なドメインアクセスのドメイン名が移行中にクラウドエージェントの再登録を完了できることを確認します。CX Cloud Agentは、これらのドメインに到達できる必要があります。また、ドメインはDNSサーバから解決可能である必要があります。 到達不能なドメインがある場合は、ネットワークチームに連絡してください。
- v2.0のアップグレードを開始する前に、Cloud Agent VMのスナップショットを作成します(適切なアクセスが必要)。
次の条件が満たされると、セットアップは成功します。
- DNACとそのクレデンシャルのリスト
- AdminまたはObserverロールアクセス権を持つDNACユーザ
- DNACクラスタの仮想IPアドレスまたはスタンドアロン/物理IPアドレス
- Cloud AgentとDNAC間の正常な到達可能性
- DNACには最低1台の管理対象デバイスが必要
Cisco DNA Center 認定バージョン
認定単一ノードおよび HA クラスタの Cisco DNA Center のバージョンは、1.2.8 ~ 1.3.3.9 および 2.1.2.0 ~ 2.2.3.5 です。
マルチノード HA クラスタ Cisco DNA Center
サポートされるブラウザ
Cisco.comでの最適なエクスペリエンスを得るために、次のブラウザの最新の公式リリースをお勧めします。
- Google Chrome
- Microsoft Edge
- Mozilla Firefox
CX Cloud Agentの導入
CX Cloud Agent を導入するには、次の手順を実行します。
- cx.cisco.com をクリックして、CX Cloud にログインします。
- 選択
Campus Network次に移動しますASSETS & COVERAGEタイル。
ホームページ - バナーで[Set Up CX Cloud Agent] をクリックします。[Set Up CX Cloud Agent] - [Review deployment requirements] ウィンドウが開きます。
導入要件のレビュー - 「展開要件の確認」の前提条件を読み、[I set up this configuration on port 443] のチェックボックスをオンにします。
5. [Continue] をクリックします。[Set Up CX Cloud Agent - Accept the strong encryption agreement] ウィンドウが開きます。
暗号化契約
6. [First Name]、[Last Name]、[E-mail] および[CCO User Id] フィールドに入力されている情報を確認します。
7.適切なオプションを Business division’s function.
8. Confirmation チェックボックスをオンにして、使用条件に同意します。
9. [Continue] をクリックします。[Set Up CX Cloud Agent - Download image file]ウィンドウが開きます。
ダウンロード イメージ
10.インストールに必要なイメージファイルをダウンロードするための適切なファイル形式を選択します。
11. [I accept] チェックボックスをオンにして、シスコエンドユーザライセンス契約に同意します。
12. [Download and Continue] をクリックします。[Set Up CX Cloud Agent - Deploy and pair with your virtual machine]ウィンドウが開きます。
13. OVAのインストールのネットワーク設定を参照し、次のセクションに進んでCX Cloud Agentをインストールします。
CX Cloud AgentとCX Cloudの接続
- コンソールダイアログまたはコマンドラインインターフェイス(CLI)に表示されるペアコードを入力します。
ペアリングコード - [Continue] をクリックして、CX Cloud Agentを登録します。[Set Up CX Cloud Agent - Registration successful]ウィンドウが数秒間表示された後、[Configure Connection to CX Cloud] ウィンドウに自動的に移動します
登録が成功しました
接続の構成
3.データを入力し、[Connect This Data Source] をクリックします。「正常に接続されました」という確認メッセージが表示されます。
DNACが正常に追加されました
複数のDNACの追加
4. [Done Connecting Data Sources] をクリックします。[Data Sources] ウィンドウが開きます。
データソース
導入とネットワーク設定
次のいずれかのオプションを選択して、CX Cloud Agentを展開できます。
- [VMware vSphere/vCenter シッククライアント ESXi 5.5/6.0(VMware vSphere/vCenter Thick Client ESXi 5.5/6.0)] を選択する場合は、「シッククライアント」を参照します。
- [VMware vSphere/vCenter Web クライアント ESXi 6.0(VMware vSphere/vCenter Web Client ESXi 6.0)] を選択する場合は、「Web クライアント vSphere」または「vCenter」を参照します。
- [Oracle Virtual Box 5.2.30] を選択する場合は、「Oracle VM」を参照します。
- [Microsoft Hyper-V] を選択する場合は、「Hyper-V」を参照します。
OVA の導入
シッククライアント ESXi 5.5/6.0 のインストール
このクライアントでは、vSphereシッククライアントを使用してCX Cloud Agent OVAを導入できます。
- イメージをダウンロードしたら、VMware vSphere Clientを起動してログインします。
ログイン - 移動先
File > Deploy OVF Template.
vSphere クライアント - OVAファイルを参照して選択し、
Next.
OVA パス - Cisco IOSソフトウェアの
OVF Detailsをクリックし、Next.
テンプレートの詳細 - Enter a
Unique Nameをクリックし、Next.
名前と場所 - 次のいずれかを選択します。
Disk Formatをクリックし、Next(シンプロビジョニングを推奨)。
ディスクの書式設定 - 次のいずれかを選択します。
Power on after deploymentチェックボックスをオンにし、Finish.
終了準備の完了(Ready to Complete)
導入には数分かかることがあります。成功メッセージが表示されるまで待ちます。
展開中です
展開の完了 - 導入したVMを選択し、コンソールを開いて[Network Configuration] に移動します。
Web クライアント ESXi 6.0 のインストール
このクライアントは、vSphere Webを使用してCX Cloud Agent OVAを導入します。
- VMの導入に使用するESXi/ハイパーバイザクレデンシャルを使用して、VMWare UIにログインします。
VMware ESXi のログイン - 選択
Virtual Machine > Create / Register VM.
VM の作成
OVA の導入 - 選択
Deploy a virtual machine from an OVF or OVA fileをクリックし、Next. - VMの名前を入力し、ファイルを参照して選択するか、ダウンロードしたOVAファイルをドラッグアンドドロップします。
- クリック
Next.
OVA の選択 - 選択
Standard Storageをクリックし、Next.
ストレージの選択
導入オプション - 適切な導入オプションを選択し、
Next.
終了準備の完了(Ready to Complete)
正常終了 - 設定を確認し、
Finish. - 導入したVMを選択し、
Console > Open browser console.
[コンソールを開く(Open Console)] - [ネットワーク設定(Network Configuration)] に移動します。
Web クライアント vCenter のインストール
- ESXi/hypervisor クレデンシャルを使用してvCenterクライアントにログインします。
ログイン
[ホーム(Home)] 画面 - ホームページで、
Hosts and Clusters. - VMを選択し、
Action > Deploy OVF Template.
処理
テンプレートの選択(Select Template) - URLを直接追加するか、参照してOVAファイルを選択し、
Next. - 一意の名前を入力し、必要に応じて場所を参照します(図11を参照)。
- クリック
Next.
名前とフォルダ - コンピューティングリソースを選択し、
Next.
コンピューティングリソースの選択 - 詳細を確認し、
Next.
詳細の確認 - 仮想ディスクフォーマットを選択し、
Next.
ストレージの選択 - クリック
Next.
ネットワークの選択 - クリック
Finish.
終了準備の完了(Ready to Complete) - 新しいVMが追加されます。名前をクリックすると、ステータスが表示されます。
追加されたVM - インストールが完了したら、VMの電源をオンにし、コンソールを開きます。
[コンソールを開く(Open Console)] - [ネットワーク設定(Network Configuration)] に移動します。
Oracle Virtual Box 5.2.30 のインストール
このクライアントは、Oracle Virtual Boxを介してCX Cloud Agent OVAを導入します。
Oracle VM
- Oracle VM UIを開き、
File>Import Appliance. - インポートする OVA ファイルを参照します。
ファイルの選択 - クリック
Import.
ファイルのインポート - 導入したVMを選択し、
Start.
VM コンソールの起動
インポートしています - VMの電源をオンにします。コンソールが表示されます。
コンソールを開く - [ネットワーク設定(Network Configuration)] に移動します。
Microsoft Hyper-V のインストール
- 選択
Import Virtual Machine.
Hyper-V マネージャ - 参照してダウンロードフォルダを選択します。
- クリック
Next.
インポートするフォルダ - VMを選択し、
Next.
[VMの選択(Select VM)] - 次のいずれかを選択します。
Copy the virtual machine (create a new unique ID)オプションボタンをクリックし、Next.
インポート タイプ - VM ファイルのフォルダを参照して選択します。デフォルトパスを使用することを推奨します。
- クリック
Next.
フォルダの選択 - VM ディスクを保存するフォルダを参照して選択します。デフォルトパスを使用することを推奨します。
- クリック
Next.
仮想ディスクを保存するフォルダ - VMサマリーが表示されます。すべての入力を確認し、
Finish.
要約 - インポートが正常に完了すると、新しいVMがHyper-Vに作成されます。VM設定を開きます。
- 左側のペインでネットワークアダプタを選択し、使用可能な
Virtual Switchを選択します。
仮想スイッチ - 選択
ConnectVMを起動します。
VM の起動 - [ネットワーク設定(Network Configuration)] に移動します。
ネットワーク設定
VMコンソール
- クリック
Set Passwordcxcadminの新しいパスワードを追加するか、Auto Generate Password新しいパスワードを取得します。
パスワードの設定 - もし
Set Passwordを選択した場合は、cxcadminのパスワードを入力して確認します。クリックSet Passwordステップ3に進みます。
新しいパスワード
または
Auto Generate Passwordを選択した場合は、生成されたパスワードをコピーし、後で使用できるように保存します。クリックSave Passwordステップ4に進みます。
自動生成パスワード - クリック
Save Password認証に使用します。
パスワードの保存(Save Password) - 次を入力します。
IP Address、Subnet Mask、Gateway,とDNS Serverをクリックし、Continue.
ネットワーク設定 - エントリを確認し、
Yes,Continue.
確認 - プロキシの詳細を設定するには、
Yes,Set Up Proxyまたは、No, Continue to Configuration設定を完了し、ステップ8に進みます。
プロキシ設定 - 次を入力します。
Proxy Address、Port Number、Username,とPassword.
プロキシ設定 - クリック
Begin Configuration.設定が完了するまでに数分かかることがあります。
設定が進行中です - コピー
Pairing Codeセットアップを続行するには、CX Cloudに戻ります。
ペアリングコード
10.ペアリングコードが期限切れになったら、 Register to CX Cloud コードを再度取得します。
コードが期限切れです
11.クリック OK.
登録に成功しました
12. 「CX Cloud AgentとCX Cloudの接続」セクションに戻り、次の手順を実行します。
CLIを使用してペアリングコードを生成する別の方法
また、CLIオプションを使用してペアリングコードを生成することもできます。
CLIを使用してペアリングコードを生成するには、次の手順に従います。
- cxcadminユーザクレデンシャルを使用して、SSH経由でCloud Agentにログインします。
- cxcli agent generatePairingCode コマンドを使用してペアリングコードを生成します。
ペアリングコード CLI の生成 - コピー
Pairing Codeセットアップを続行するには、CX Cloudに戻ります。詳細については、「カスタマーポータルへの接続」を参照してください。
syslogをCX Cloud Agentに転送するためのCisco DNA Centerの設定
前提条件
サポートされているCisco DNA Centerのバージョンは、1.2.8から1.3.3.9および2.1.2.0から2.2.3.5です。
Syslog 転送設定
UIを使用してCisco DNA CenterでCX Cloud AgentへのSyslog転送を設定するには、次の手順を実行します。
- Cisco DNA Center を起動します。
- 次に
Design>Network Settings>Network. - 各サイトに CX Cloud Agent IP を Syslog サーバーとして追加します。
Syslog サーバー
情報レベルのSyslog設定の有効化
Syslog情報レベルを表示するには、次の手順を実行します。
- 移動先
Tools>Telemetry.
[ツール]メニュー
2.を選択して展開します。 Site View サイト階層からサイトを選択します。
サイト ビュー
3.必要なサイトを選択し、 Device name チェックボックスをオンにします。
4. Actions ドロップダウン、選択 Optimal Visibility.
処理
セキュリティ
CX Cloud Agentは、エンドツーエンドセキュリティをお客様に保証します。CX CloudとCX Cloud Agent間の接続は暗号化されます。CX Cloud AgentのSecure Socket Shell(SSH)は、11種類の暗号をサポートしています。
物理セキュリティ
CX Cloud Agent OVAイメージを安全なVMwareサーバ会社に導入します。OVA は、シスコ ソフトウェア ダウンロード センターを通じて安全に共有されます。ブートローダー(シングルユーザーモード)には、一意のパスワードがランダムに設定されます。ユーザーは「FAQ」を参照して、このブートローダー(シングルユーザーモード)のパスワードを設定する必要があります。
ユーザーアクセス
CX Cloudユーザは、認証を取得してCloud Agent APIにアクセスすることしかできません。
アカウントのセキュリティ
導入時に、cxcadminユーザアカウントが作成されます。ユーザは初期設定中にパスワードを設定する必要があります。cxcadmin ユーザー/ログイン情報は、ssh 経由でのアプライアンスへの接続と、CX Cloud Agent API へのアクセスの両方に使用します。
cxcadminユーザは、最小権限でアクセスを制限されています。cxcadminパスワードはセキュリティポリシーに従い、90日の有効期限で一方向ハッシュされます。cxcadminユーザは、remoteaccountというユーティリティを使用してcxcrootユーザを作成できます。cxcroot ユーザーはルート権限を取得できます。パスフレーズはあと2日で期限切れになります。
ネットワーク セキュリティ
CX Cloud Agent VMには、cxcadminユーザクレデンシャルを使用してsshを使用してアクセスできます。着信ポートは 22(SSH)、514(Syslog)に制限されます。
[Authentication]
パスワードベースの認証:アプライアンスによって「cxcadmin」という単一のユーザーが管理されるため、ユーザーは CX Cloud Agent を認証して通信できます。
- ssh を使用したアプライアンスでのルート権限アクション
cxcadminユーザは、remoteaccountというユーティリティを使用してcxcrootユーザを作成できます。このユーティリティは、SWIMポータル(https://swims.cisco.com/abraxas/decrypt)からのみ復号化できるRSA/ECB/PKCS1v1_5暗号化パスワードを表示します。 このポータルにアクセスできるのは認定された担当者のみです。cxcroot ユーザーは、この復号化されたパスワードを使用してルート権限を取得できます。パスフレーズは 2 日間のみ有効です。cxcadmin ユーザーは、アカウントを再作成し、パスワードの期限切れ後に SWIM ポータルからパスワードを取得する必要があります。
強化
CX Cloud Agentアプライアンスは、CISの強化標準に準拠しています。
データセキュリティ
CX Cloud Agent アプライアンスには、お客様の個人情報は保存されません。
デバイスログイン情報アプリケーション(ポッドの 1 つとして実行)は、暗号化された Cisco DNA Center サーバーのログイン情報を保護されたデータベースに保存します。Cisco DNA Center で収集されたデータは、アプライアンス内にいかなる形式でも保存されません。収集されたデータは、収集が完了するとすぐにバックアップにアップロードされ、Agent からは削除されます。
データの伝送
登録パッケージには、必要な一意の X.509 iot Coreとのセキュアな接続を確立するためのデバイス証明書とキー。そのエージェントを使用して、MQTT over TLS v1.2を使用してセキュアな接続を確立します
ログとモニタリング
ログにはいかなる形式の機密情報も含まれません。監査ログには、CX Cloud Agentアプライアンスで実行されたセキュリティに影響を受けるすべてのアクションが記録されます。
セキュリティ サマリ
| セキュリティ機能 |
説明 |
| ブートローダーのパスワード |
ブートローダー(シングルユーザーモード)には、一意のパスワードがランダムに設定されます。ユーザーは「FAQ」を参照して、このブートローダー(シングルユーザーモード)のパスワードを設定する必要があります。 |
| ユーザーアクセス |
SSH:
|
| ユーザアカウント |
|
| cxcadmin パスワードポリシー |
|
| cxcroot パスワードポリシー |
|
| ssh ログインパスワードポリシー |
|
| ポート |
オープンな着信ポート - 514(Syslog)と 22(SSH) |
| データセキュリティ |
顧客情報は保存されません。 デバイスデータは保存されません。 Cisco DNA Center サーバーのログイン情報が暗号化され、データベースに保存されます。 |
よく寄せられる質問(FAQ)
CX Cloud Agent
導入
Q:[再インストール(Re-install)] オプションを選択すると、新しい IP アドレスで新しい Cloud Agent を導入できますか。
A:はい
Q – インストールに使用できるファイル形式を教えてください。
A:OVA および VHD
Q:インストール可能なファイルを導入できる環境は何ですか。
A:OVA
VMware ESXi バージョン 5.5 以降
Oracle Virtual Box 5.2.30以降
VHD
Windows Hypervisor 2012 ~ 2016
Q:CX Cloud Agent は DHCP 環境で IP アドレスを検出できますか。
A:はい。DHCP 環境の場合、IP 設定中に IP アドレスが割り当てられます。ただし、CX Cloud Agent で今後発生しうる IP アドレスの変更はサポートされません。また、顧客には DHCP 環境の Cloud Agent 用に IP を予約することを推奨しています。
Q:CX Cloud Agent は IPv4 と IPv6 の両方の設定をサポートしていますか。
A:いいえ。IPv4 のみがサポートされています。
Q:IP 設定では IP アドレスの検証は行われますか。
A:はい。IP アドレス構文と IP アドレスの重複割り当てが検証されます。
Q:OVA の導入と IP 設定にかかる時間はどのくらいですか。
A:OVA の導入は、データをコピーする際のネットワーク速度に依存します。Kubernetes とコンテナの作成を含む IP 設定には約 8 ~ 10 分かかります。
Q:ハードウェアタイプに制限はありますか。
A:OVAが導入されているホスト・マシンは、CXポータルのセットアップの一部として提供される要件を満たす必要があります。CX Cloud Agentは、vCPU対CPU比を2:1に設定したIntel Xeon E5プロセッサを搭載したハードウェア上で動作するVMware/Virtual boxを使用してテストされます。使用するプロセッサCPUの処理能力が低い、またはより高い比率を使用すると、パフォーマンスが低下する可能性があります。
Q:ペアリングコードはいつでも生成できますか。
A:いいえ。ペアリングコードは、Cloud Agent が未登録の場合にのみ生成できます。
Q - DNAC(最大10のクラスタまたは20の非クラスタ)とエージェントの間の帯域幅要件は何ですか。
A:エージェントとDNACが顧客環境の同じLAN/WANネットワークにある場合、帯域幅は制約ではありません。5000台のデバイスのインベントリ収集に必要な最小ネットワーク帯域幅は、2.7 Mbit/秒です(エージェントからDNACへの接続では、アクセスポイントは13000です)。L2インサイトのためにsyslogを収集する場合、最小限必要な帯域幅は、5000デバイス+インベントリ用の13000アクセスポイント、5000デバイスのsyslog、およびスキャン用の2000デバイスの3.5 Mbit/秒です。これらはすべてエージェントから並行して実行されます。
リリースとパッチ
Q:CX Cloud Agent のアップグレードにはどのようなバージョンがありますか。
A:次に示すのは、リリースされたCX Cloud Agentの一連のバージョンです。
- A.x.0(x は最新の主要な製品機能リリース、例:1.3.0)
- A.x.y(A.x.0は必須であり、増分アップグレードを開始する必要がある)、xは最新の実稼働メジャー機能リリース、yは稼働中の最新のアップグレードパッチです。次に例を示します。1.3.1)をキャプチャします。
- A.x.y-z(ここで、A.x.0は必須であり、差分アップグレードを開始する必要があります。xは最新の製品メジャー機能リリース、yは稼働中の最新のアップグレードパッチ、zは非常に短期間のインスタント修正であるスポットパッチです。1.3.1-1)
ここで、Aは3 ~ 5年の長期リリースです。
Q – 最新リリースのCX Cloud Agentバージョンはどこで入手できますか。また、既存のCX Cloud Agentをアップグレードする方法を教えてください。
A:次へ Admin Settings > Data Sources.ポリシーの横の [レポート(Report)] View Update 画面で共有されている手順を実行します。
認証とプロキシ設定
Q:CX Cloud Agent アプリケーションのデフォルトユーザーは何ですか。
A:cxcadmin
Q – デフォルトユーザのパスワードはどのように設定されるのですか。
A:パスワードはネットワーク設定時に設定されます。
Q:Day-0 よりも後にパスワードをリセットできるオプションはありますか。
A:エージェントからはパスワードをリセットするオプションは提供されませんが、Linux コマンドを使用して cxcadmin のパスワードをリセットできます。
Q:CX Cloud Agent を設定するためのパスワードポリシーは何ですか。
A:パスワードポリシーは次のとおりです。
- パスワードの最大有効期間(長さ)は 90 日
- パスワードの最小有効期間(長さ)は 8 日
- 最長パスワードは 127 文字。
- 少なくとも1つの大文字と小文字を指定する必要があります。
- 特殊文字を少なくとも1つ含める必要があります(例: !$%^&*()_+|~-=\'{}[]:";'<>?,/)。
- これらの文字は使用できません
- 特殊な 8 ビット文字(例:¬£, √Å √´, √¥, √ë, ¬ø, √ü)
- Spaces
- 最後に使用した10個のパスワードをパスワードにすることはできません。
- 正規表現を含めることはできません。つまり、
- 次の語又はその派生物を含んではならない。cisco、sanjose、およびsanfran
Q:GRUB パスワードはどのように設定しますか。
A - Grubパスワードを設定するには、次の手順を実行します。
- cxcroot として SSH を実行し、トークンを入力します(サポートチームに連絡して cxcroot トークンを取得)。
- sudo su を実行し、同じトークンを指定します。
- コマンド grub-mkpasswd-pbkdf2 を実行し、GRUB パスワードを設定します。入力したパスワードのハッシュが印刷され、内容がコピーされます。
- vi を /etc/grub.d/00_header ファイルに追加します。ファイルの末尾に移動し、ハッシュ出力を置き換え、その後にコンテンツpassword_pbkdf2 root *****をステップ3で取得したパスワード用に取得したハッシュに置き換えます
- コマンド wq! を使用してファイルを保存します。
- コマンド update-grub を実行します。
Q:パスワードの有効期限はどれくらいですか。 cxcadmin?
A:パスワードの有効期限は 90 日です。
Q:ログイン試行に連続して失敗すると、アカウントが無効化されますか。
A:はい。5 回連続して失敗すると、アカウントは無効になります。ロックアウト時間は 30 分です。
Q:パスフレーズはどのようにして生成しますか。
A:次の手順を実行します。
- SSH を実行し、cxcadmin ユーザーとしてログインします。
- remoteaccount cleanup -fコマンドを実行します。
- remoteaccount createコマンドを実行します。
Q:プロキシホストはホスト名と IP の両方をサポートしていますか。
A:はい。ただし、ホスト名を使用するには、ネットワーク設定時にユーザがDNS IPを指定する必要があります。
セキュアシェル(SSH)
Q:SSH シェルでサポートされている暗号方式は何ですか。
A:chacha20-poly1305@openssh.com、aes256-gcm@openssh.com、aes128-gcm@openssh.com、aes256-ctr、aes192-ctr、aes128-ctr です。
Q:コンソールへはどのようにしてログインしますか。
A:次の手順に従ってログインします。
- cxcadmin ユーザーとしてログインします。
- cxcadminパスワードを入力します。
Q:SSH ログインは記録されますか。
A:はい。これらはvar/logs/audit/audit.logディレクトリの一部として記録されます。
Q:アイドルセッションのタイムアウトとは何ですか。
A:クラウドエージェントが5分間アイドル状態になると、SSHセッションタイムアウトが発生します。
ポートとサービス
Q:CX Cloud Agent でデフォルトで開いているポートは何ですか。
A:次のポートが使用可能です。
Outbound port:導入されたCX Cloud Agentは、HTTPSポート443の表に示されているようにシスコのバックエンドに接続するか、プロキシ経由でデータをシスコに送信できます。導入されたCX Cloud Agentは、HTTPSポート443でCisco DNA Centerに接続できます。
.
| AMERICAS |
EMEA |
APJC |
| cloudsso.cisco.com |
cloudsso.cisco.com |
cloudsso.cisco.com |
| api-cx.cisco.com |
api-cx.cisco.com |
api-cx.cisco.com |
| agent.us.csco.cloud |
agent.emea.csco.cloud |
agent.apjc.csco.cloud |
| ng.acs.agent.us.csco.cloud |
ng.acs.agent.emea.csco.cloud |
ng.acs.agent.apjc.csco.cloud |
Inbound port:CX Cloud Agentのローカル管理では、514(syslog)および22(ssh)にアクセス可能である必要があります。お客様は、ファイアウォールのポート443がCX Cloudからデータを受信することを許可する必要があります。
Cisco DNA Center と CX Cloud Agent の接続
Q:Cisco DNA Center と CX Cloud Agent の目的と 2 つの関係は何ですか。
A:Cisco DNA Centerは、顧客宅内ネットワークデバイスを管理するクラウドエージェントです。CX Cloud Agent は、設定済みの Cisco DNA Center からデバイスのインベントリ情報を収集し、CX Cloud で「アセットビュー」として利用可能なインベントリ情報をアップロードします。
Q:ユーザーは CX Cloud Agent のどこに Cisco DNA Center の詳細を入力できますか。
A - 0日目のCX Cloud Agentのセットアップ中に、CX Cloud PortalからCisco DNA Centerの詳細を追加できます。さらに、N日目の手術では、以下の方法でDNAセンターを追加できます。 Admin Settings > Data source.
Q:Cisco DNA Center はいくつまで追加できますか。
A:10個のCisco DNACクラスタまたは20個の非クラスタ。
Q - Cisco DNA Centerユーザにはどのような役割がありますか。
A:ユーザロールは次のいずれかになります admin または observer.
Q – 接続されたDNA Center資格情報の変更によるCXエージェントの変更をどのように反映しますか。
A:CX Cloud Agentコンソールから次のコマンドを実行します。
cxcli agent modifyController
DNACクレデンシャルの更新中に発生した問題については、サポートに連絡してください。
Q:Cisco DNA Center の詳細は CX Cloud Agent にどのように保管されますか。
A:Cisco DNA Center のログイン情報が AES-256 を使用して暗号化され、CX Cloud Agent データベースに保存されます。CX Cloud Agent データベースは、セキュアなユーザー ID とパスワードで保護されます。
Q:CX Cloud Agent から Cisco DNA Center API にアクセスする際、どのような暗号化方式が使用されますか。
A:Cisco DNA Center と CX Cloud Agent 間の通信には HTTPS over TLS 1.2 が使用されます。
Q:統合された Cisco DNA Center Cloud Agent では、CX Cloud Agent によってどのような操作が実行されますか。
A:CX Cloud Agentは、Cisco DNA Centerが所有するネットワークデバイスに関するデータを収集し、Cisco DNA Centerコマンドランナーインターフェイスを使用してエンドデバイスと通信し、CLIコマンド(showコマンド)を実行します。 config changeコマンドは実行されません
Q:Cisco DNA Center から収集され、バックエンドにアップロードされるデフォルトのデータは何ですか。
A-
- ネットワークエンティティ
- Modules
- Show version
- config
- デバイスイメージ情報
- タグ
Q:Cisco DNA Center から収集され、シスコのバックエンドにアップロードされる追加データは何ですか。
A:すべての情報がここに表示されます。
Q:インベントリデータはどのようにバックエンドにアップロードされますか。
A:CX Cloud Agent は、TLS 1.2 プロトコル経由でシスコのバックエンドサーバーにデータをアップロードします。
Q:インベントリのアップロード頻度はどのくらいですか。
A:ユーザ定義のスケジュールに従って収集がトリガーされ、シスコのバックエンドにアップロードされます。
Q:ユーザーはインベントリを再スケジュールできますか。
A – はい。スケジュール情報を変更するオプションがあります。 Admin Settings> Data Sources.
Q:Cisco DNA Center と Cloud Agent 間の接続タイムアウトはいつ発生しますか。
A:タイムアウトは次のように分類されます。
- 初期接続の場合、タイムアウトは最大 300 秒です。5 分以内に Cisco DNA Center と Cloud Agent 間の接続が確立されない場合、接続は終了します。
- 繰り返し、標準、または更新の場合:応答タイムアウトは 1800 秒です。応答が受信されないか 30 分以内に読み取れない場合、接続は終了します。
CX Cloud Agent で診断スキャンを使用
Q:スキャン時にデバイスで実行されるコマンドは何ですか。
A:スキャンのためにデバイス上で実行する必要があるコマンドは、スキャンプロセス中に動的に決定されます。コマンドのセットは、同じデバイスに対しても(診断スキャンの制御ではなく)、時間の経過とともに変化する可能性があります。
Q:スキャン結果が保存されて、プロファイリングされる場所はどこですか。
A:スキャン結果はシスコのバックエンドに保存されて、プロファイリングされます。
Q:Cisco DNA Center における(ホスト名または IP)の重複は、Cisco DNA Center のソースがプラグインされたときに診断スキャンに追加されますか。
A:いいえ。重複はフィルタリングされ、一意のデバイスのみが抽出されます。
Q:コマンドスキャンのうち 1 つが失敗するとどうなりますか。
A:デバイススキャンが完全に停止し、失敗としてマークされます。
CX Cloud Agent システムログ
Q – どのような健康情報がCX Cloudに送信されますか。
A:アプリケーションログ、ポッドステータス、Cisco DNA Center の詳細、監査ログ、システムの詳細、ハードウェアの詳細があります。
Q:収集されるシステムの詳細とハードウェアの詳細を教えてください。
A:サンプル出力:
system_details":{
"os_details":{
"containerRuntimeVersion":"docker://19.3.12",
"kernelVersion":"5.4.0-47-generic",
"kubeProxyVersion":"v1.15.12",
"kubeletVersion":"v1.15.12",
"machineID":"81edd7df1c1145e7bcc1ab4fe778615f",
"operatingSystem":"linux",
"osImage":"Ubuntu 20.04.1 LTS",
"systemUUID":"42002151-4131-2ad8-4443-8682911bdadb"
},
"hardware_details":{
"total_cpu":"8",
"cpu_utilization":"12.5%",
"total_memory":"16007MB",
"free_memory":"9994MB",
"hdd_size":"214G",
"free_hdd_size":"202G"
}
}
}
Q:ヘルスデータはどのようにバックエンドに送信されますか。
A:CX Cloud Agentを使用すると、ヘルスサービス(サービサビリティ)によってデータがシスコのバックエンドにストリーミングされます。
Q:バックエンドでの CX Cloud Agent のヘルスデータログ保持ポリシーは何ですか。
A:バックエンドでの CX Cloud Agent のヘルスデータログ保持ポリシーは 120 日です。
Q:使用可能なアップロードのタイプは何ですか。
A:使用可能な3種類のアップロード、
- 在庫のアップロード
- Syslogのアップロード
- エージェント状態のアップロード:ヘルスアップロードの一部としての3つの項目
- サービスの状態 – 5分ごと
- ポッドログ – 1時間ごと
- 監査ログ – 1時間ごと
トラブルシューティング
問題:設定された IP にアクセスできません。
ソリューション:設定された IP を使用して SSH を実行します。接続がタイムアウトした場合、考えられる原因はIPの設定ミスです。この場合は、有効な IP を設定して再インストールします。この操作は、ポータルで再インストールオプションを使用して Admin Setting ページを使用します。
問題:登録後にサービスが稼働しているか確認するにはどうすればよいですか。
ソリューション:ここに示すコマンドを実行し、ポッドが稼働しているかどうかを確認します。
- cxcadmin として設定された IP に SSH 接続します。
- パスワードを入力します。
- コマンドkubectl get podsを実行します。
ポッドは、実行中、初期化中、コンテナ作成中など、任意の状態にすることができますが、20分後にはポッドが実行状態になっている必要があります。
状態がnot runningまたはPod Initializingの場合は、次に示すコマンドでポッドの説明を確認します
kubectl describe pod <podname>
出力結果から、ポッドの状態に関する情報を得られます。
問題:カスタマープロキシでSSLインターセプタが無効になっているかどうかを確認する方法
ソリューション:サーバ証明書のセクションを確認するには、ここに示すcurlコマンドを実行します。応答には、concowebサーバの証明書の詳細が含まれます。
curl -v —header '許可:Basic xxxxxx' https://concsoweb-prd.cisco.com/
*サーバ証明書:
*件名:C = US;ST=カリフォルニア;L = SAN JOSE;O=シスコCN=concsoweb-prd.cisco.com
*開始日:2021年2月16日11:55:11 GMT
*有効期限:2月16日12:05:00 2022 GMT
* subjectAltName:ホスト「concsoweb-prd.cisco.com」が証明書の「concsoweb-prd.cisco.com」と一致しました。
*発行者:C = US;O=HydrantID(Avalanche Cloud Corporation);CN=HydrantID SSL CA G3
* SSL証明書の確認は正常です。
> GET / HTTP/1.1
問題:kubectlコマンドが失敗し、「The connection to the server X.X.X.X:6443 was refused - did you specify the right host or port」というエラーが表示される
ソリューション:
- リソースの可用性を確認します。[例:CPU メモリ]
- Kubernetes サービスの開始を待ちます。
問題:コマンド/デバイスの収集失敗の詳細情報を取得するにはどうすればよいですか。
ソリューション:
- 実行
kubectl get pods収集ポッド名を取得します。 - 実行
kubectl logsコマンド/デバイス固有の詳細情報を取得します。
問題:kubectl コマンドが次のエラーにより機能しません。「[authentication.go:64] Unable to authenticate the request due to an error:[x509:certificate has expired or is not yet valid, x509:certificate has expired or is not yet valid]」
解決策:次に示すコマンドをcxcrootユーザとして実行します
rm /var/lib/rancher/k3s/server/tls/dynamic-cert.json
systemctl restart k3s
kubectl —insecure-skip-tls-verify=true delete secret -n kube-system k3s-serving
systemctl restart k3s
収集失敗の応答
収集失敗の原因は、追加されたコントローラまたはコントローラ内に存在するデバイスで発生した制約や問題であると考えられます。
ここに示す表には、収集プロセス中にCollection microserviceの下に表示される使用例に対するエラースニペットが含まれています。
| 使用例 | コレクション マイクロサービスのログスニペット |
|---|---|
| 要求されたデバイスが Cisco DNA Center で見つからない場合 |
|
| 要求されたデバイスに Cisco DNA Center からアクセスできない場合 |
|
| 要求されたデバイスに Cisco DNA Center からアクセスできない場合 |
|
| 要求されたコマンドがデバイスで使用できない場合 |
|
| 要求されたデバイスにSSHv2がなく、Cisco DNA CenterがデバイスをSSHv2で接続しようとする場合 |
|
| コレクション マイクロサービスでコマンドが無効になっている場合 |
|
| コマンドランナータスクが失敗し、タスク URL が Cisco DNA Center から返されない場合 |
|
| Cisco DNA Center でコマンドランナータスクを作成できなかった場合 |
|
| コレクション マイクロサービスが Cisco DNA Center からのコマンドランナー要求に対する応答を受信していない場合 |
|
| Cisco DNA Center が設定されたタイムアウト(コレクション マイクロサービスのコマンドあたり 5 分)内にタスクを完了しない場合 |
|
| コマンドランナータスクが失敗し、Cisco DNA Center によって送信されたタスクのファイル ID が空の場合 |
|
| コマンドランナータスクが失敗し、Cisco DNA Center からファイル ID タグが返されない場合 |
|
| デバイスがコマンドランナーの実行に適格でない場合 |
|
| コマンドランナーがユーザーに対して無効になっている場合 |
|
診断スキャン失敗の応答
スキャンの失敗と原因は、次にリストしたコンポーネントのいずれかである可能性があります。
ユーザーがポータルからスキャンを開始すると、「失敗:内部サーバーエラー」と表示されることがあります。内部サーバエラー”
問題の原因は、リストされているコンポーネントのいずれかである可能性があります
- コントロールポイント
- ネットワーク データ ゲートウェイ
- コネクタ
- 診断スキャン
- CX Cloud Agent マイクロサービス(デバイスマネージャ、コレクション)
- Cisco DNA Center
- APix
- Mashery
- Ping アクセス
- IRONBANK
- IRONBANK GW
- ビッグデータブローカー(BDB)
ログを表示するには、次の手順に従います。
- CX Cloud Agentコンソールにログインします。
- ssh で cxcadmin にアクセスし、パスワードを入力します。
- 実行
kubectl get pods - コレクション、コネクタ、およびサービサビリティのポッド名を取得します。
- コレクション、コネクタ、およびサービサビリティマイクロサービスログを確認する
- 実行
kubectl logs - 実行
kubectl logs - 実行
kubectl logs
次の表は、コンポーネントの問題や制約によって発生するCollection microserviceおよびserviceability microserviceログに表示されるエラースニペットを示しています。
| 使用例 | コレクション マイクロサービスのログスニペット |
|---|---|
| デバイスは到達可能でサポート可能ですが、そのデバイス上で実行するコマンドはCollectionマイクロサービスにブロックリストされています |
|
| スキャン対象のデバイスが利用できない場合 ポータル、診断スキャン、CX コンポーネント、Cisco DNA Center などのコンポーネント間に同期の問題がある場合に発生します。 |
|
| スキャンが試行されたデバイスがビジー状態の場合。なお、(シナリオでは)同じデバイスが他のジョブの一部であり、デバイスに対する Cisco DNA Center からの並列要求が処理されていません。 |
|
| デバイスでスキャンがサポートされていない場合 |
|
| スキャン対象のデバイスが到達不能な場合 |
|
| Cisco DNA Center が Cloud Agent から到達できない場合、または Cloud Agent のコレクション マイクロサービスが Cisco DNA Center からのコマンドランナー要求に対する応答を受信していない場合 |
|
| 使用例 | コントロール ポイント エージェントのマイクロサービスのログスニペット |
|---|---|
| スキャン要求にスケジュールの詳細がない場合 |
|
| スキャン要求にデバイスの詳細が含まれていない場合 |
|
| CPA との接続がダウンしている場合 |
|
| 要求されたスキャン対象デバイスで診断スキャンを利用できない場合 |
|
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
7.0 |
22-Mar-2022 |
バージョン 2.0 |
6.0 |
21-Oct-2021 |
マイナーアップデート |
5.0 |
08-Oct-2021 |
書式のマイナー更新 |
4.0 |
08-Oct-2021 |
書式のマイナー更新。 |
3.0 |
28-Sep-2021 |
マイナーフォーマット |
2.0 |
22-Sep-2021 |
初版リリース |
1.0 |
05-Aug-2021 |
初版 |
フィードバック