はじめに

このドキュメントでは、Nutanixを使用してCx90機器の構成を仮想環境に移行するために必要な手順に関する包括的なガイドを提供します。最初の計画と評価から仮想環境の実行と検証に至るまで、移行プロセス全体をカバーします。ここで説明する手順に従うことで、組織はスムーズで効率的な移行を確実に行い、ダウンタイムを最小限に抑え、既存の構成の整合性を維持できます。

特定の手順の詳細については、ユーザガイドまたはその他の関連記事も参照してください。これらのリソースでは、このドキュメントで提供される情報を補完する追加の考察と手順を提供しています。

前提条件

移行プロセスを開始する前に、次の前提条件が満たされていることを確認して、スムーズで効率的な移行を促進します。

Cx90のソフトウェアバージョン要件：Cx90がバージョン15.0.3を使用していることを確認してください。このバージョンは、Nutanixでの設定移行プロセスにのみ必要であり、Nutanixの実稼働環境では使用しないでください。

1. スマートライセンスアカウント：この移行には、有効なスマートライセンスアカウントが必要です。移行プロセスを開始する前に、スマートライセンスのステータスを確認してください。

2.クラスタリングの基本的な理解:Cisco Secure Email Gateway(ESA)のクラスタリングの概念について理解します。 この基本的な知識は、移行を円滑に行うために不可欠です。

3.既存のHWクラスタのステータスの判別:

CLIの使用：コマンドClusterconfigを実行します。

GUIを使用する場合:Monitor > anyの順に選択します。

「Mode - Cluster: cluster_name」が表示された場合、アプライアンスはクラスタ構成で実行されています。

5.必要なソフトウェアのダウンロード：Cisco Secure Email Gateway(vESA)ソフトウェア、バージョン15.0.3モデルC600v for KVMをダウンロードします。

6. ネットワークリソース：新しいマシンに必要なネットワークリソース（IP、ファイアウォールルール、DNSなど）を準備します。

HW(Cx90)から15.0.3 AsyncOSへのアップグレード

移行を実行するには、x90クラスタにバージョン15.0.3がインストールされている必要があります。これは、Nutanixで設定を移行するために実行できる初期バージョンです。

注:Nutanixアプライアンスのバージョン15.0.3は設定の移行にのみ使用でき、実稼働環境ではEメールトラフィックを管理しません。15.0.3バージョンは、別の仮想環境および物理アプライアンスの実稼働環境でサポートされます。

既存のCx90/HWの15.0.3 AsyncOSへのアップグレード

Cisco Eメールセキュリティアプライアンス用AsyncOS 15.0のリリースノートから、次の手順に従ってEメールセキュリティアプライアンスをアップグレードしてください。

1. アプライアンスのXML設定ファイルを保存します。
2. セーフリスト/ブロックリスト機能を使用している場合は、アプライアンスからセーフリスト/ブロックリストデータベースをエクスポートします。
3. すべてのリスナーを一時停止します。
4. キューが空になるまで待ちます。
5. System Administrationタブで、System Upgradeを選択します。
6. Available Upgradesをクリックします。ページが更新され、使用可能なAsyncOSアップグレードバージョンのリストが表示されます。
7. Begin Upgradeボタンをクリックすると、アップグレードが開始されます。表示される質問に答えてください。アップグレードが完了したら、Reboot Nowボタンをクリックしてアプライアンスを再起動します。
8. すべてのリスナーを再開します。

再起動後、実行中のAsyncOSのバージョンを確認します。

• CLIの場合、コマンドversionを実行します。
• UIで、Monitor > System Infoの順に移動します。

注：クラスタ設定で複数のアプライアンスがすでに実行されている場合は、次のセクションを省略できます。

NutanixでのC600vの導入

前提条件から、vESA/C600vイメージをダウンロードし、『Ciscoコンテンツセキュリティ仮想アプライアンスインストールガイド』に従って導入します。

vESAのライセンス

このインストールでは、スマートライセンスを使用する必要があります。Nutanixの仮想化機器で実行されるバージョン16.0以降では、従来のライセンスモデルの代わりにスマートライセンスが必要になります。そのため、事前にスマートライセンスが適切にインストールされていることを確認する必要があります。

スマートライセンスの作成

次のリンクでは、アクティベーションプロセス、定義、およびESA/SMA/WSA上のスマートライセンスサービスのトラブルシューティング方法について説明します。

Smart Licensingの概要と、EメールおよびWebセキュリティのベストプラクティスについて理解する

Cisco Secure Email GatewayおよびCisco Secure Email and Web Managerのスマートライセンス導入ガイド

設定の移行プロセス

設定移行では、既存のX90クラスタに新しい機器を追加します。新しい機器がクラスタに接続されると、導入されたすべての設定が自動的にロードされ、シームレスな移行が保証されます。このプロセスでは、クラスタの既存の設定を利用して新しい仮想化機器を効率的に統合し、手動による介入なしに現在のすべての設定を保持します。このアプローチにより、中断の可能性が最小限に抑えられ、運用の継続性が確保されます。

ESAクラスタへのvESAの追加

vESAのCLIから、次のようにclusterconfig > Join an existing...を実行し、クラスタにvESAを追加します。

vESA.Nutanix> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 3

While joining a cluster, you will need to validate the SSH host key of the remote machine to which you are joining.  To get the public host key fingerprint of the remote host, connect to the cluster and run: logconfig -> hostkeyconfig -> fingerprint.

WARNING: All non-network settings will be lost. System will inherit the values set at the group or cluster mode for the non-network settings. Ensure that the cluster settings are compatible with your network settings (e.g. dnsconfig settings)

Exception:Centralized Policy, Virus, and Outbreak Quarantine settings are not inherited from the cluster.  These settings on this machine will remain intact.

Do you want to enable the Cluster Communication Service on ironport.example.com? [N]> n

Enter the IP address of a machine in the cluster.
[]> 192.168.100.10

Enter the remote port to connect to.  This must be the normal admin ssh port, not the CCS port.
[22]>

Would you like to join this appliance to a cluster using pre-shared keys? Use this option if you have enabled two-factor authentication on the appliance. [Y]> n

Enter the name of an administrator present on the remote machine
[admin]>

Enter passphrase:
Please verify the SSH host key for 192.168.100.10:
Public host key fingerprint: 08:23:46:ab:cd:56:ff:ef:12:89:23:ee:56:12:67:aa
Is this a valid key for this host? [Y]> y

Joining cluster group Main_Group.
Joining a cluster takes effect immediately, there is no need to commit.
Cluster cluster.Cx90

Choose the operation you want to perform:
- ADDGROUP - Add a cluster group.
- SETGROUP - Set the group that machines are a member of.
- RENAMEGROUP - Rename a cluster group.
- DELETEGROUP - Remove a cluster group.
- REMOVEMACHINE - Remove a machine from the cluster.
- SETNAME - Set the cluster name.
- LIST - List the machines in the cluster.
- CONNSTATUS - Show the status of connections between machines in the cluster.
- COMMUNICATION - Configure how machines communicate within the cluster.
- DISCONNECT - Temporarily detach machines from the cluster.
- RECONNECT - Restore connections with machines that were previously detached.
- PREPJOIN - Prepare the addition of a new machine over CCS.
[]>

(Cluster cluster.Cx90)>

この時点で、vESAは既存のCx90ハードウェアの構成をミラーリングします。これにより、すべての設定、ポリシー、および設定が両方のプラットフォームで一貫したものになります。

同期を検証し、既存のC600vとCx90の間に不一致がないことを確認するには、clustercheckコマンドを実行します。 

Cluster cluster.Cx90)> clustercheck

No inconsistencies found on available machines.
(Cluster cluster.Cx90)> 

このコマンドは、対処が必要な可能性のある潜在的な不整合を特定するのに役立ちます。

(cluster.Cx90)> clustercheck
Checking DLP settings...
Inconsistency found!
DLP settings at Cluster test:
vESA.Nutanix was updated Wed July 17 12:23:15 2024 GMT by 'admin' on C690.Machine C690.Machine was updated Wed Jun 13 06:34:45 2024 GMT by 'admin' on C690.Machine How do you want to resolve this inconsistency?

1. Force the entire cluster to use the vESA.Nutanix version.

2. Force the entire cluster to use the C690.Machine version.

3. Ignore.
[3]> 2

注：vESAはまだメールを処理していません。実稼働環境に移行する前に、vESAがバージョン16.0に更新されていることを確認します。この手順は、システムの安定性と互換性のために重要です。実稼働環境に移行する前に、次の手順に従ってください。

ESAクラスタからのvESAの削除

vESAのCLIから、clusterconfigを実行し、removemachine操作を使用してアプライアンスをクラスタから削除してください。

(Cluster cluster.Cx90)> clusterconfig

Cluster cluster.Cx90

Choose the operation you want to perform:
- ADDGROUP - Add a cluster group.
- SETGROUP - Set the group that machines are a member of.
- RENAMEGROUP - Rename a cluster group.
- DELETEGROUP - Remove a cluster group.
- REMOVEMACHINE - Remove a machine from the cluster.
- SETNAME - Set the cluster name.
- LIST - List the machines in the cluster.
- CONNSTATUS - Show the status of connections between machines in the cluster.
- COMMUNICATION - Configure how machines communicate within the cluster.
- DISCONNECT - Temporarily detach machines from the cluster.
- RECONNECT - Restore connections with machines that were previously detached.
- PREPJOIN - Prepare the addition of a new machine over CCS.
[]> removemachine

Choose the machine to remove from the cluster.
1. C690.Machine (group Main_Group)
2. vESA.Nutanix (group Main_Group)
[1]> 2

Warning:
- You are removing the machine you are currently connected to, and you will no longer be able to access the cluster.
- This change will happen immediately without a commit.
Are you sure you want to continue? [N]> y

Please wait, this operation may take a minute...
Machine vESA.Nutanix removed from the cluster.

vESAのアップグレード

設定の移行のこの段階では、vESAをバージョン16.0にアップグレードする必要があります。バージョン16.0が実稼働環境で正式にサポートされる最初のバージョンであるため、このアップグレードが必要です。アップグレードにより、仮想アプライアンスが最新の機能、セキュリティアップデート、および互換性の要件に確実に適合するようになります。バージョン16.0にアップグレードすると、vESAのパフォーマンスと信頼性が向上し、実稼働環境を完全にサポートできるようになります。このステップは、既存のインフラストラクチャ内でシームレスな統合と最適な運用を実現するために不可欠です。

vESA C600vをバージョン16.0にアップグレードするには、次の手順を実行します。

1. System Administrationタブで、System Upgradeを選択します。
2. Available Upgradesをクリックします。ページが更新され、使用可能なAsyncOSアップグレードバージョンのリストが表示されます。バージョン16.0を選択します。
3. Begin Upgradeボタンをクリックすると、アップグレードが開始されます。表示される質問に答えてください。アップグレードが完了したら、Reboot Nowボタンをクリックしてアプライアンスを再起動します。
4. 再起動後、実行中のAsyncOSのバージョンを確認します。

CLIの場合、versionコマンドを実行します。

UIで、Monitor > System Infoの順に移動します。

新しいクラスタの作成（vESA上）

同じクラスタ名を使用する場合は、Cx90クラスタで使用されている同じ名前を使用して新しいクラスタを作成する必要があります。または、新しいクラスタ名で新しいクラスタを作成します。これは、先ほどvESAで行った手順の繰り返しです。

vESA.Nutanix> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 2

Enter the name of the new cluster.
[]> newcluster.Virtual

Should all machines in the cluster communicate with each other by hostname or by IP address?
1. Communicate by IP address.
2. Communicate by hostname.
[2]> 1

What IP address should other machines use to communicate with Machine C170.local?
1. 192.168.101.100 port 22 (SSH on interface Management)
2. Enter an IP address manually
[]> 1

Other machines will communicate with Machine C195.local using IP address 192.168.101.100 port 22. You can change this by using the COMMUNICATION subcommand of the clusterconfig command.
New cluster committed: Sat Jun 08 11:45:33 2019 GMT
Creating a cluster takes effect immediately, there is no need to commit.

Cluster newcluster.Virtual

Choose the operation you want to perform:
- ADDGROUP - Add a cluster group.
- SETGROUP - Set the group that machines are a member of.
- RENAMEGROUP - Rename a cluster group.
- DELETEGROUP - Remove a cluster group.
- REMOVEMACHINE - Remove a machine from the cluster.
- SETNAME - Set the cluster name.
- LIST - List the machines in the cluster.
- CONNSTATUS - Show the status of connections between machines in the cluster.
- COMMUNICATION - Configure how machines communicate within the cluster.
- DISCONNECT - Temporarily detach machines from the cluster.
- RECONNECT - Restore connections with machines that were previously detached.
- PREPJOIN - Prepare the addition of a new machine over CCS.
[]>

(Cluster newcluster.Virtual)>
Join Your Cx00v to Your ESA Cluster
From the CLI on the Cx00v, run clusterconfig > Join an exisiting... to add your Cx00v into your new cluster configured on your vESA, similar to the following:

C600v.Nutanix> clusterconfig

Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 3

While joining a cluster, you will need to validate the SSH host key of the remote machine to which you are joining.  To get the public host key fingerprint of the remote host, connect to the cluster and run: logconfig -> hostkeyconfig -> fingerprint.

WARNING: All non-network settings will be lost. System will inherit the values set at the group or cluster mode for the non-network settings. Ensure that the cluster settings are compatible with your network settings (e.g. dnsconfig settings)

Exception:Centralized Policy, Virus, and Outbreak Quarantine settings are not inherited from the cluster.  These settings on this machine will remain intact.

Do you want to enable the Cluster Communication Service on ironport.example.com? [N]> n

Enter the IP address of a machine in the cluster.
[]> 192.168.101.100

Enter the remote port to connect to.  This must be the normal admin ssh port, not the CCS port.
[22]>

Would you like to join this appliance to a cluster using pre-shared keys? Use this option if you have enabled two-factor authentication on the appliance. [Y]> n

Enter the name of an administrator present on the remote machine
[admin]>

Enter passphrase:
Please verify the SSH host key for 10.10.10.56:
Public host key fingerprint: 00:61:32:aa:bb:84:ff:ff:22:75:88:ff:77:48:84:eb
Is this a valid key for this host? [Y]> y

Joining cluster group Main_Group.
Joining a cluster takes effect immediately, there is no need to commit.
Cluster newcluster.Virtual

Choose the operation you want to perform:
- ADDGROUP - Add a cluster group.
- SETGROUP - Set the group that machines are a member of.
- RENAMEGROUP - Rename a cluster group.
- DELETEGROUP - Remove a cluster group.
- REMOVEMACHINE - Remove a machine from the cluster.
- SETNAME - Set the cluster name.
- LIST - List the machines in the cluster.
- CONNSTATUS - Show the status of connections between machines in the cluster.
- COMMUNICATION - Configure how machines communicate within the cluster.
- DISCONNECT - Temporarily detach machines from the cluster.
- RECONNECT - Restore connections with machines that were previously detached.
- PREPJOIN - Prepare the addition of a new machine over CCS.
[]>

(Cluster newcluster.Virtual)>

結論

このドキュメントで説明されている手順に従うことで、Nutanixを使用する仮想環境にX90機器の設定を移行できました。vESAをバージョン16.0にアップグレードします。これは、実稼働環境でサポートされる最初のバージョンであり、仮想アプライアンスが実稼働環境の要求を完全に処理できることを確認します。このアップグレードにより、最新の機能、セキュリティの強化、および互換性の向上にアクセスできるようになり、最適なパフォーマンスと信頼性が確保されます。

最後のステップとして、DNSレコードとロードバランシングの設定が更新されてvESAが含まれるようになることを確認します。これにより、メールを効果的に処理できるようになります。これらの設定を行うことで、vESAを既存のインフラストラクチャ内で運用する準備が整い、堅牢なEメールセキュリティとシームレスな統合が実現します。