この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、Cisco Virtual Security Gateway(VSG)のハイ アベイラビリティ(HA)を設定する方法について説明します。
• 「別の Cisco VSG とアクティブ Cisco VSG とのペアリング」
• 「HA ペアでのスタンバイ Cisco VSG の置き換え」
Cisco VSG HA は Cisco NX-OS HA のサブセットです。冗長性または HA は 1 つのアクティブ Cisco VSG および 1 つのスタンバイ Cisco VSG によって提供されます。アクティブ Cisco VSG は、すべてのシステム アプリケーションを実行および制御します。各アプリケーションはスタンバイ Cisco VSG のスタンバイ モードで開始および初期化され、アクティブ Cisco VSG で同期化およびアップデートされます。フェールオーバーが発生すると、スタンバイ Cisco VSG はアクティブ Cisco VSG を引き継ぎます。次の HA 機能が、障害発生時のトラフィックの中断を防止または最小限に留めます。
• スーパーバイザおよび Cisco VSG のフェールオーバー:アクティブ/スタンバイ Cisco VSG の HA ペアリング
図 5-1 に、Cisco VSG HA モデルを示します。
• 「冗長性」
Cisco VSG の冗長性は、HA ペアリングと同等です。可能な冗長性状態はアクティブとスタンバイです。アクティブ Cisco VSG はスタンバイ Cisco VSG とペアです。HA ペアリングは Cisco VSG ID に基づきます。同一の ID が割り当てられる 2 つの Cisco VSG は自動的にペアになります。Cisco VSG で実行されるすべてのプロセスは、データ パスにおいて重要です。アクティブ Cisco VSG で 1 つのプロセスで障害が発生すると、ただちにスタンバイ Cisco VSG へのフェールオーバーが自動的に行われます。
Cisco VSG ソフトウェアには、「サービス」として知られる独立したプロセスが含まれます。 サービス はサブシステムまたはフィーチャ セットの機能または機能セットを実行します。各サービスおよびサービス インスタンスは、独立した保護プロセスとして実行されます。このアプローチにより、高いフォールトトレラントを備えたソフトウェア インフラストラクチャとサービス間での障害の分離を実現できます。サービス インスタンスに障害が発生しても、その時点で実行されている他のサービスに影響しません。また、サービスの各インスタンスは独立したプロセスとして実行できます。つまり、ルーティング プロトコルの 2 つのインスタンスは別々のプロセスとして実行できます。
フェールオーバーが発生した場合は、Cisco VSG HA ペア設定により、ステートフル フェールオーバーを使用した連続的なトラフィック転送が行われます。Cisco VSG のフェールオーバーの詳細については、「Cisco VSG HA ペアのフェールオーバー」を参照してください。
Cisco VSG は、ほとんどのプロセスおよびサービスでステートフル リスタートが可能です。プロセス、サービス、アプリケーションのバックエンド管理は、次の高レベルのシステム コントロール サービスによって実行されます。
図 5-2 に、システム コントロール サービスを示します。
システム マネージャ(SM)は、あらゆるシステム機能、システム管理、システム ヘルス モニタリングの実行を制御し、ハイ アベイラビリティ ポリシーを実施します。SM は、サービスの起動、停止、モニタリング、再起動を担当し、サービス状態とスーパーバイザ状態の同期を開始および管理します。
永続ストレージ サービス(PSS)は、運用の実行時情報とプラットフォーム サービスの設定を保存および管理します。PSS コンポーネントは、システム サービスとともに動作し、サービスの再起動が発生した場合に状態を回復します。これは状態および実行時情報のデータベースとして機能します。そのため、各サービスは、必要なときにいつでも、サービス自体の状態情報のチェックポイントを作成できます。再起動サービスは、障害が発生する直前の動作状態に回復できます。
PSS を使用する各サービスは、保存された情報を専用情報(当サービスだけ読み取り可能)または共有情報(他のサービスも読み取り可能)として定義できます。情報を共有する場合は、ローカル(同一スーパーバイザ上のサービスだけ読み取り可能)またはグローバル(スーパーバイザまたはモジュール上のサービスが読み取り可能)のどちらかを指定できます。
メッセージおよびトランザクション サービス(MTS)は、ハイアベイラビリティ セマンティクスに特化したプロセス間通信(IPC)メッセージ ブローカです。MTS は、モジュール内とモジュール間、およびスーパーバイザ間でメッセージのルーティングとキューイングを行います。また、イベント通知や同期などのメッセージ交換を容易にし、システム サービス間およびシステム コンポーネント間のメッセージ永続性を促進します。MTS では、永続メッセージおよびログ メッセージをキュー内に保管できるため、サービスの再起動後もそれらのメッセージにアクセスできます。
Cisco NX-OS ソフトウェアは通常、障害が発生したサービスの再起動方法を定義する一連の関連する内部 HA ポリシーを各サービスに持たせることができます。デバイスでプロセスに障害が発生すると、システム マネージャは、ステートフル再起動、ステートレス再起動、またはフェールオーバーのいずれかを実行します。
(注) Cisco VSG が VSM から借りたプロセスだけが再起動されます。ポリシー エンジンまたは Inspect などの Cisco VSG 固有のプロセスは再起動されません。Cisco VSG 固有のプロセスで障害が発生すると、自動フェールオーバーが発生します。
• 冗長性は、1 つのアクティブ Cisco VSG および 1 つのスタンバイ Cisco VSG によって提供されます。
• アクティブ Cisco VSG は、すべてのシステム アプリケーションを実行および制御します。
• 各アプリケーションはスタンバイ Cisco VSG のスタンバイ モードで開始および初期化されます。
• 各アプリケーションはスタンバイ Cisco VSG で同期化およびアップデートされます。
• フェールオーバーが発生すると、スタンバイ Cisco VSG はアクティブ Cisco VSG を引き継ぎます。
• スタンドアロン:このロールは、他の Cisco VSG と相互動作しません。システムに Cisco VSG が 1 つだけ存在する場合に、このロールを割り当てます。このロールはデフォルトです。
• プライマリ:このロールは、セカンダリ Cisco VSG とアクティブ/スタンバイ状態を調整します。これは、アクティブ/スタンバイ モードをネゴシエートするときにブートアップ中に優先されます。つまり、セカンダリ Cisco VSG がブートアップ時にアクティブ ロールを持たない場合は、プライマリ Cisco VSG がアクティブ ロールを担います。このロールは、HA Cisco VSG システムに最初にインストールする Cisco VSG に割り当てます。
• セカンダリ:このロールは、プライマリ Cisco VSG とアクティブ/スタンバイ状態を調整します。このロールは、Cisco VSG HA ペアに 2 番めに追加する Cisco VSG に割り当てます。
• アクティブ:Cisco VSG がアクティブで、システムを制御している状態を示します。これは、show system redundancy status コマンドにより表示できます。
• スタンバイ:Cisco VSG がアクティブな Cisco VSG と設定を同期し、障害発生または手動スイッチオーバー時に引き継ぎを行う準備が常にできている状態を示します。
アクティブおよびスタンバイ Cisco VSG は、一方の内部状態がアクティブで他方の内部状態がスタンバイである場合に自動的に同期します。
show system redundancy status コマンドの出力で、アクティブ Cisco VSG の動作冗長モードが表示されない場合、アクティブおよびスタンバイ Cisco VSG は同期していません。
次に、Cisco VSG HA ペアが同期しているときの内部状態の例を示します。
vsg# show system redundancy status
Cisco VSG HA ペアの設定により、障害が発生した場合にステートフル フェールオーバーを使用した連続的なトラフィック転送が行われます。Cisco VSG HA ペアは、アクティブ/スタンバイ構成で動作します。常に、どちらか一方だけがアクティブ状態にあり、もう一方はスタンバイ バックアップとして機能します。2 つの Cisco VSG は、ほとんどのサービスのステートフル フェールオーバーを実行するために、状態と設定が常に同期します。
フェールオーバーは、アクティブ Cisco VSG の障害発生時に、次の特性がある場合に発生します。
安定したスタンバイ Cisco VSG がアクティブ Cisco VSG で障害が発生したことを検出すると、フェールオーバーが開始され、アクティブに移行します。フェールオーバーが開始されると、安定したスタンバイ Cisco VSG が利用可能になるまで別のフェールオーバーを開始できません。安定していないスタンバイ Cisco VSG がアクティブ Cisco VSG で障害が発生したことを検出すると、フェールオーバーを開始する代わりにペアを再起動しようとします。
アクティブ Cisco VSG からスタンバイ Cisco VSG への手動フェールオーバーを開始するには、スタンバイ Cisco VSG が安定している必要があります。これを確認するには、「Cisco VSG ペアのフェールオーバーの準備ができていることの確認」を参照してください。スタンバイ Cisco VSG が安定していることを確認したら、フェールオーバーを手動で開始できます。これを確認するには、「アクティブ Cisco VSG からスタンバイ Cisco VSG への手動切り替え」を参照してください。フェールオーバー プロセスが開始されると、安定したスタンバイ Cisco VSG が使用可能になるまで別のフェールオーバー プロセスを開始できません。
HA ペアの設定に関する注意事項と制約事項は次のとおりです。
• プライマリ Cisco VSG とセカンダリ Cisco VSG は同じホストに存在させることができますが、冗長性を向上させるために異なるホストにインストールしてください。可能な場合は、異なるアップストリーム スイッチに接続します。
• スタンバイ Cisco VSG のコンソールは、プライマリがアクティブかどうかに応じて vSphere クライアントまたは attach module [1 | 2] コマンドによって利用できます。しかし設定は許可されず、コマンドの多くは制限されます。 attach module [1 | 2] コマンドは、アクティブ Cisco VSG のコンソールで実行する必要があります。
Cisco VSG の稼動後は、そのロールを次のいずれかに変更できます。
この手順を開始する前に、次のことを確認または実行してください。
• プライマリ Cisco VSG からセカンダリ Cisco VSG への変更を有効にするには、次のいずれかの手順に従って、プライマリ Cisco VSG をリロードする必要があります。
– vSphere クライアントで Cisco VSG の電源をオフにし、次にオンにします。
• スタンドアロン Cisco VSG からプライマリ Cisco VSG への変更はすぐに実行されます。
スタンドアロン Cisco VSG をセカンダリ Cisco VSG に変更するには、「別の Cisco VSG とアクティブ Cisco VSG とのペアリング」を参照してください。
1. (任意) system redundancy role { standalone | primary | secondary }
|
|
|
---|---|---|
(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーし、リブート/再起動することで、実行コンフィギュレーションを永続的に保存します。 |
次に、Cisco VSG の HA ロールを指定する例を示します。
vsg# system redundancy role standalone
次に、スタンドアロン Cisco VSG のシステム冗長性状態を表示する方法を示します。
vsg# show system redundancy status
Internal state: Active with no standby
次に、実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーする例を示します。
vsg# copy running-config startup-config
• 「Cisco VSG ペアのフェールオーバーの準備ができていることの確認」
• 「アクティブ Cisco VSG からスタンバイ Cisco VSG への手動切り替え」
• フェールオーバーを手動で開始すると、2 つの Cisco VSG が存在することを示し、どちらがアクティブになるのかを識別するメッセージが生成されます。
フェールオーバーを実行する前に、アクティブおよびスタンバイ Cisco VSG の両方が設置され、稼動していることを確認します。
この手順を開始する前に、次のことを確認または実行してください。
• スタンバイ Cisco VSG が安定した状態にない場合は(状態は ha-standby である必要があります)、手動で開始したフェールオーバーを実行できません。
|
|
|
---|---|---|
次に、Cisco VSG ペアがフェールオーバーの準備ができていることを確認する例を示します。
この手順を開始する前に、次のことを確認または実行してください。
• アクティブ Cisco VSG CLI に EXEC モードでログインします。
• 「Cisco VSG ペアのフェールオーバーの準備ができていることの確認」の手順が完了し、システムでフェールオーバーを実行可能な状態です。
• フェールオーバーは、2 つの Cisco VSG が動作している場合にだけ実行できます。
• スタンバイ Cisco VSG が安定した状態にない場合は、手動フェールオーバーを開始できず、次のエラー メッセージが表示されます。
Failed to switchover (standby not ready to takeover in vdc 1)
• system switchover コマンドを入力すると、安定したスタンバイ Cisco VSG が使用可能になるまで、同じシステム上で別のフェールオーバー プロセスを開始できません。
• アクティブ Cisco VSG で使用可能だった実行コンフィギュレーションが保存されていない場合は、新しいアクティブ Cisco VSG にも保存されていません。この未保存の実行コンフィギュレーションは、 show running-config diff コマンドを使用して確認できます。必要な場合は、他の Cisco VSG の場合と同様に copy running-config startup-config コマンドを入力してコンフィギュレーションを保存します。
次に、アクティブ Cisco VSG をスタンバイ Cisco VSG に切り替える方法と、スタンバイ Cisco VSG がアクティブ Cisco VSG になったときにスタンバイ Cisco VSG で表示される出力を示します。
次に、実行コンフィギュレーションとスタートアップ コンフィギュレーションの差異を表示する方法を示します。
username admin password 5 $1$S7HvKc5G$aguYqHl0dPttBJAhEPwsy1 role network-admin
次に、実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーする例を示します。
vsg(config)# copy running-config startup-config
Cisco VSG HA ペアを作成できます。各 HA ペアは HA ペア ID と呼ばれる識別子(ID)によって識別されます。アクティブ Cisco VSG とスタンバイ Cisco VSG の間のコンフィギュレーション状態の同期化は、同じ HA ペア ID を使用する Cisco VSG ペアの間で行われます。
|
|
|
---|---|---|
別の Cisco VSG を追加してスタンドアロン Cisco VSG を HA ペアに変更できます。
• 「スタンドアロン Cisco VSG のプライマリ Cisco VSG への変更」
別の Cisco VSG をスタンドアロン システムに追加する前に、次のことを認識または実行する必要があります。
• プライマリ Cisco VSG とセカンダリ Cisco VSG は同じホストに存在させることができますが、それらを異なるホストにインストールすることにより、冗長性を向上できます。可能な場合は、異なるアップストリーム スイッチに接続します。
• 2 番めの Cisco VSG をインストールする場合は、セカンダリ ロールを割り当てます。
• 両方のホストで同じパラメータを使用してデュアル Cisco VSG VM のポート グループを設定します。
• セカンダリ Cisco VSG がペアになると、次のことが自動的に行われます。
– セカンダリ Cisco VSG がリロードされ、システムに追加されます。
– セカンダリ Cisco VSG がプライマリ Cisco VSG とネゴシエートし、スタンバイ Cisco VSG になります。
1. system redundancy role primary
|
|
|
---|---|---|
|
||
(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーし、リブート/再起動することで、実行コンフィギュレーションを永続的に保存します。 |
次に、スタンドアロン Cisco VSG をプライマリ Cisco VSG に変更する例を示します。
次に、Cisco VSG の現在のシステム冗長性状態を表示する例を示します。
次に、実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーする例を示します。
vsg(config)# copy running-config startup-config
この手順を開始する前に、次のことを確認または実行してください。
• 単一の Cisco VSG ロールがスタンドアロンからプライマリにすでに変更されています。「スタンドアロン Cisco VSG のプライマリ Cisco VSG への変更」を参照してください。
|
|
|
---|---|---|
次に、システムの Cisco VSG の現在の冗長性状態を表示する例を示します。この例では、シングル Cisco VSG システムからデュアル Cisco VSG システムへの変更の後にプライマリ Cisco VSG とセカンダリ Cisco VSG が表示されています。
Other supervisor (sup-2)
------------------------
Redundancy state: Standby
Supervisor state: HA standby
Internal state: HA standby
HA ペアでスタンバイ/セカンダリ Cisco VSG を置き換えることができます。
(注) 機器の停止:この手順では、電源をオフにし、Cisco VSG を再インストールする必要があります。この間、システムは単一の Cisco VSG で動作します。
ステップ 1 スタンバイ Cisco VSG の電源をオフにします。
ステップ 2 既存の Cisco VSG と同じドメイン ID を使用し、新しい Cisco VSG をスタンバイとしてインストールします。
新しい Cisco VSG は、システムに追加された後、既存の Cisco VSG と同期します。
HA ペアでアクティブ/プライマリ Cisco VSG を置き換えることができます。
この手順を開始する前に、次のことを確認または実行してください。
• 新しいプライマリ Cisco VSG が設定時にセカンダリ Cisco VSG または VEM と通信できないようポート グループを設定する必要があります。プライマリまたはセカンダリ冗長性ロールを持つ Cisco VSG には、アクティブ状態の 2 つの Cisco VSG 間の差異を検出し、解決するメカニズムが組み込まれています。新しいプライマリ Cisco VSG の設定中にこれらのメカニズムを使用することを回避するには、セカンダリ Cisco VSG から新しいプライマリ Cisco VSG を分離する必要があります。
(注) 機器の停止:この手順では、電源をオフにし、Cisco VSG を再インストールする必要があります。この間、システムは単一の Cisco VSG で動作します。
ステップ 1 アクティブ Cisco VSG の電源をオフにします。
ステップ 2 vSphere クライアントで、設定中にセカンダリ Cisco VSG および VEM と通信しないよう新しいプライマリ Cisco VSG のポート グループの設定を変更します。
ステップ 3 既存の Cisco VSG と同じドメイン ID を使用し、新しい Cisco VSG をプライマリとしてインストールします。
ステップ 4 vSphere クライアントで、セカンダリ Cisco VSG および VEM との通信を許可するよう新しいプライマリ Cisco VSG のポート グループの設定を変更します。
ステップ 5 新しいプライマリ Cisco VSG の電源をオンにします。
新しいプライマリ Cisco VSG が起動し、セカンダリ Cisco VSG(現在アクティブな Cisco VSG)とすべての設定データを自動的に同期します。既存の Cisco VSG がアクティブであるため、新しいプライマリ Cisco VSG はスタンバイ Cisco VSG になり、既存のアクティブ Cisco VSG からすべての設定データを受け取ります。
|
|
|
---|---|---|
次に、すべてのプロセスの状態と開始カウントを表示する例を示します。