Cisco Global Launchpad 2.0.x を使用した展開

Cisco Global Launchpad を使用した自動展開

この章では、Cisco Global Launchpad を使用して Catalyst CenterAWS に展開する方法を説明します。

この自動デプロイメントメソッドでは、 AWS アカウントに AWS インフラストラクチャを作成するために必要な詳細情報を Cisco Global Launchpad に提供します。 AWS インフラストラクチャには以下が含まれます。

  • VPC

  • IPsec VPNトンネル

  • ゲートウェイ

  • サブネット、および

  • セキュリティグループ。

これにより、Cisco Global Launchpad は、指定された設定どおりに Catalyst Center AMI を Amazon EC2 インスタンスとして個別の VPC に展開します。この設定では、次が対象に含まれます。

  • サブネット

  • トランジットゲートウェイ

  • モニタリング用の AWS CloudFormation、ステートストレージ用の Amazon DynamoDB、セキュリティグループなどの、他の重要なリソース

Cisco Global Launchpad を使用すると、VA とユーザー設定にアクセスして管理することも可能です。詳細については、『Cisco Global Launchpad Administrator Guide』を参照してください。

自動展開ワークフロー

Cisco Global Launchpad を使用して AWSCatalyst Center を展開するには、次の大まかな手順を実行します。

  1. 前提条件を満たします。自動展開の前提条件を参照してください。

  2. (任意)AWS 上の Cisco ISECatalyst Center VA を統合します。AWS 上の Cisco ISE を AWS 上の Catalyst Center に統合する際のガイドラインを参照してください。

  3. Cisco Global Launchpad をインストールするか、シスコがホストする Cisco Global Launchpad にアクセスします。Cisco Global Launchpad のインストール または ホストされている Cisco Global Launchpad へのアクセス を参照してください。

  4. Catalyst Center VA インスタンスに含める新しい VA ポッドを作成します。新しい VA ポッドの作成を参照してください。

  5. 優先するオンプレミス接続オプションとして既存の TGW と既存のアタッチメント(VPC など)を使用する場合は、AWS で TGW ルーティングテーブルを手動で設定します。次に、既存のカスタマーゲートウェイ(CGW)にルーティング設定を追加する必要があります。既存のゲートウェイまたは直接接続アタッチメントでのルーティングの手動設定を参照してください。

  6. Catalyst Center の新しいインスタンスを作成します。新規の Catalyst Center VA を作成を参照してください。

  7. (任意)必要に応じて、展開中に発生した問題をトラブルシュートします。Cisco Global Launchpad の展開のトラブルシューティングを参照してください。

  8. Cisco Global Launchpad を使用して Catalyst Center VA を管理します。Cisco Global Launchpad Administrator Guide』を参照してください。

自動展開の前提条件

Cisco Global Launchpad を使用して AWSCatalyst Center を展開する前に、次の Cisco Global LaunchpadCatalyst Center、および AWS の要件を満たしていることを確認してください。

Cisco Global Launchpad 要件

プラットフォームに Docker Community Edition(CE) がインストールされていること。

Cisco Global Launchpad は、Mac、Windows、および Linux プラットフォーム上の Docker CE をサポートしています。お使いのプラットフォーム固有の手順については、Docker の Web サイトに掲載されているドキュメントを参照してください。

Catalyst Center インスタンスの要件

Catalyst Center へのアクセス方法を問わず、Cisco Global Launchpad は次の最小リソース要件を満たしている必要があります。

  • r5a.8xlarge


    重要

    Catalyst Center は r5a.8xlarge インスタンスサイズのみをサポートします。この設定は変更できません。さらに、r5a.8xlarge インスタンスサイズは、特定の可用性ゾーンではサポートされていません。サポートされている可用性ゾーンのリストを表示するには、『Release Notes for Cisco Global Launchpad』[英語] を参照してください。

  • 32 個の仮想 CPU(vCPU)

  • 256 GB RAM

  • 4 TB のストレージ(EBS-gp3)

  • 2500 ディスク入出力処理/秒(IOPS)

  • 180 MBps のディスク帯域幅

Catalyst Centerバックアップインスタンスの要件

Catalyst Center バックアップインスタンスは、次の最小リソース要件を満たす必要があります。

  • t3.micro

  • 2 vCPU

  • 1GB RAM

  • 500 GB ストレージ

AWS アカウントの要件

AWS アカウントに関する次の要件を満たす必要があります。

  • AWS アカウントにアクセスするための有効なログイン情報を保有していること。

  • AWS アカウントが、リソースの独立性と分離を維持するためのサブアカウント(子アカウント)であること。サブアカウントを使用することで、Catalyst Center を展開しても既存のリソースは影響を受けません。

  • 重要:お使いの AWS アカウントが AWS MarketplaceCisco Catalyst Center 仮想アプライアンスのライセンス持ち込み(BYOL)に登録されていること。

  • 管理者ユーザーの場合は、AWS アカウントに管理者アクセス権限が割り当てられていること。AWS では、ポリシー名は AdministratorAccess と表示されます。

    管理者アクセスポリシーは、グループではなく、AWS アカウントに直接割り当てられます。このアプリケーションは、グループポリシーを介して列挙を実行しません。管理者アクセス権限を持つグループに追加されたユーザーであっても、必要なインフラストラクチャを作成できません。

    AWS の [Identity and Access Management (IAM)] ダッシュボードで、ユーザー権限ポリシーを見つけることができます。管理者アクセスポリシーは「AdministratorAccess」と表示されます。

  • サブユーザーの場合は、管理者によって CiscoDNACenter ユーザーグループに追加されています。

    管理者ユーザーが Cisco Global Launchpad に初めてログインすると、CiscoDNACenter ユーザーグループが AWS アカウント上に作成され、このグループに必要なすべてのポリシーが割り当てられます。管理者ユーザーがこのグループにサブユーザーを追加すると、サブユーザーが Cisco Global Launchpad にログインできるようになります。

    CiscoDNACenter ユーザーグループには、次のポリシーが含まれます。

    • AmazonDynamoDBFullAccess

    • IAMReadOnlyAccess

    • AmazonEC2FullAccess

    • AWSCloudFormationFullAccess

    • AWSLambda_FullAccess

    • CloudWatchFullAccess

    • ServiceQuotasFullAccess

    • AmazonEventBridgeFullAccess

    • service-role/AWS_ConfigRole

    • AmazonS3FullAccess

    • ClientVPNServiceRolePolicy(バージョン:2012-10-17)

      このポリシーでは、次のルールが許可されます。

      • ec2:CreateNetworkInterface

      • ec2:CreateNetworkInterfacePermission

      • ec2:DescribeSecurityGroups

      • ec2:DescribeVpcs

      • ec2:DescribeSubnets

      • ec2:DescribeInternetGateways

      • ec2:ModifyNetworkInterfaceAttribute

      • ec2:DeleteNetworkInterface

      • ec2:DescribeAccountAttributes

      • ds:AuthorizeApplication

      • ds:DescribeDirectories

      • ds:GetDirectoryLimits

      • ds:UnauthorizeApplication

      • logs:DescribeLogStreams

      • logs:CreateLogStream

      • logs:PutLogEvents

      • logs:DescribeLogGroups

      • acm:GetCertificate

      • acm:DescribeCertificate

      • iam:GetSAMLProvider

      • lambda:GetFunctionConfiguration

    • ConfigPermission(バージョン:2012-10-17、SID:VisualEditor0)

      このポリシーでは、次のルールが許可されます。

      • config:Get

      • config:*

      • config:*ConfigurationRecorder

      • config:Describe*

      • config:Deliver*

      • config:List*

      • config:Select*

      • tag:GetResources

      • tag:GetTagKeys

      • cloudtrail:DescribeTrails

      • cloudtrail:GetTrailStatus

      • cloudtrail:LookupEvents

      • config:PutConfigRule

      • config:DeleteConfigRule

      • config:DeleteEvaluationResults

    • PassRole(バージョン:2012-10-17、SID:VisualEditor0)

      このポリシーでは、次のルールが許可されます。

      • iam:GetRole

      • iam:PassRole

Cisco Global Launchpad のインストール

この手順では、サーバーおよびクライアント アプリケーションの Docker コンテナを使用して Cisco Global Launchpad をインストールする方法を示します。

始める前に

お使いのマシンに Docker CE がインストールされていることを確認してください。

手順

ステップ 1

シスコのソフトウェアダウンロードサイトに移動し、次のファイルをダウンロードします。

  • Launchpad-desktop-client-2.0.1.tar.gz

  • Launchpad-desktop-server-2.0.1.tar.gz

ステップ 2

TAR ファイルがシスコから正規に配布されたものであることを確認します。

ステップ 3

ダウンロードしたファイルから Docker イメージを読み込みます。

docker load < Launchpad-desktop-client-2.0.1.tar.gz

docker load < Launchpad-desktop-server-2.0.1.tar.gz

ステップ 4

docker images コマンドを活用して、リポジトリ内の Docker イメージのリストを表示します。サーバーとクライアント アプリケーションの最新コピーがあることを確認します。

ファイルには、[TAG] 列に [2.0] から始まる番号が表示されます。次に例を示します。

$ docker images

$ docker images の出力には、リポジトリ内の Docker イメージのリストと、2.0 から始まる番号を示す [TAG] 列が表示されます。

ステップ 5

サーバーアプリケーションを実行します。

docker run -d -p <server-port-number>:8080 -e DEBUG=true --name server <server_image_id>

次に例を示します。

$ docker run -d -p 9090:8080 -e DEBUG=true --name server f4f625f2411b

ステップ 6

クライアント アプリケーションを実行します。

docker run -d -p <client-port-number>:80 -e CHOKIDAR_USEPOLLING=true -e REACT_APP_API_URL=http://localhost:<server-port-number> --name client <client_image_id>

次に例を示します。

$ docker run -d -p 90:80 -e CHOKIDAR_USEPOLLING=true 
-e REACT_APP_API_URL=http://localhost:9090 --name client b7e2a0b1d3db

(注)  

 

公開されているサーバーのポート番号と REACT_APP_API_URL のポート番号が同じであることを確認します。前のステップでは、両方の例でポート番号 9090 が使用されています。

ステップ 7

docker ps -a コマンドを使用して、サーバーとクライアントのアプリケーションが実行されていることを確認します。

[STATUS] 列にアプリケーションが稼働中であることが示されている必要があります。次に例を示します。

$ docker ps -a

$ docker ps -a の出力は、サーバーとクライアント アプリケーションの両方が稼働していることを示しています。

(注)  

 

サーバーまたはクライアント アプリケーションの実行中に問題が発生した場合は、Docker のエラーと考えられる解決策を参照してください。

ステップ 8

次の形式で URL を入力して、サーバーアプリケーションにアクセスできることを確認します。

http://<localhost>:<server-port-number>/api/valaunchpad/aws/v1/api-docs/

次に例を示します。

http://192.0.2.2:9090/api/valaunchpad/aws/v1/api-docs/

Catalyst Center VA に使用されている API がウィンドウに表示されます。

ステップ 9

次の形式で URL を入力して、クライアント アプリケーションにアクセスできることを確認します。

http://<localhost>:<client-port-number>/valaunchpad

次に例を示します。

http://192.0.2.1:90/valaunchpad

Cisco Global Launchpad ログインウィンドウが表示されます。

(注)  

 

クライアントおよびサーバーアプリケーションでアーティファクトが読み込まれるため、Cisco Global Launchpad ログインウィンドウの読み込みに数分かかることがあります。

ホストされている Cisco Global Launchpad へのアクセス

このセクションでは、ホストされている Cisco Global LaunchpadCisco DNA ポータル 経由でアクセスする方法について説明します。手順は、Cisco DNA ポータル に精通しているかどうかに応じて異なります。

  • Cisco DNA ポータル を初めて使用する場合は、シスコアカウントと Cisco DNA ポータル アカウントを作成する必要があります。その後、Cisco DNA ポータル にログインして Cisco Global Launchpad にアクセスできます。

  • シスコアカウントと Cisco DNA ポータル アカウントをお持ちの場合は、Cisco DNA ポータル にログインして Cisco Global Launchpad にアクセスできます。

シスコアカウントの作成

シスコアカウントを作成するには、次の手順を実行します。


(注)  

Cisco DNA ポータル を介して Cisco Global Launchpad にアクセスするには、シスコアカウントが必要です。

手順

ステップ 1

ブラウザのアドレスバーに次の URL を入力します。

dna.cisco.com

Cisco DNA ポータル ログインウィンドウが表示されます。

Cisco DNA ポータル ログインウィンドウには、シスコでログインするためのオプション、または新しいアカウントを作成するためのオプションが表示されます。

ステップ 2

[Create a new account] をクリックします。

ステップ 3

Cisco DNA ポータル の [Welcome] ウィンドウで [Create a Cisco account] をクリックします。

ステップ 4

[Create Account] ウィンドウで必要なフィールドに入力し、[Register] をクリックします。

ステップ 5

次の手順を実行して、アカウントを確認します。

  1. アカウントの登録に使用した電子メールアドレスに移動します。

  2. 電子メールを開き、[Activate account] をクリックします。

    シスコからメールが送信され、[Activate Account] をクリックしてアカウントを有効化するように求められます。

Cisco DNA ポータル アカウントを作成する

Cisco DNA ポータル アカウントを作成するには、次の手順に従ってください。


(注)  

Cisco DNA ポータル を介して Cisco Global Launchpad にアクセスするには、Cisco DNA ポータル アカウントが必要です。

始める前に

シスコのアカウントがあることを確認します。この説明については、シスコアカウントの作成 を参照してください。

手順

ステップ 1

ブラウザのアドレスバーに次の URL を入力します。

dna.cisco.com

Cisco DNA ポータル ログインウィンドウが表示されます。

Cisco DNA ポータル ログインウィンドウに、シスコアカウントでログインするオプションが表示されます。

ステップ 2

[Log In With Cisco] をクリックします。

ステップ 3

[Log in]ページで、シスコ アカウントにログインします。

  1. [Email] フィールドにシスコアカウントの電子メールを入力します。

  2. [Next] をクリックします。

  3. [Password] フィールドに、シスコアカウントのパスワードを入力します。

  4. [Log in] をクリックします。

ステップ 4

Cisco DNA ポータル の [Welcome] ページで、[Name your account] フィールドに組織名またはチーム名を入力します。 [Continue] をクリックします。

ステップ 5

Cisco DNA ポータル[Confirm CCO Profile] ページで次の手順を実行して、アカウントを作成します。

  1. 表示される情報が正しいことを確認します。

  2. 利用規約をお読みください。次に、チェックボックスをオンにして利用規約に同意します。

  3. [Create Account] をクリックします。

    アカウントを作成すると、Cisco DNA ポータル ホームページが表示されます。

    Cisco DNA ポータル ホームページに「Subscribe and maintain your offers more efficiently with Cisco DNA ポータル. Select an offer below and enjoy your trip with Cisco DNA ポータル」というメッセージが表示されます。

シスコアカウントで Cisco DNA ポータル にログイン

Cisco DNA ポータル にログインして Cisco Global Launchpad にアクセスするには、次の手順を踏みます。

始める前に

シスコアカウントと Cisco DNA ポータル アカウントがあることを確認します。詳細については、シスコアカウントの作成およびCisco DNA ポータル アカウントを作成するを参照してください。

手順

ステップ 1

ブラウザのアドレスバーに次の URL を入力します。

dna.cisco.com

Cisco DNA ポータル ログインウィンドウが表示されます。

Cisco DNA ポータル ログインウィンドウに、シスコアカウントでログインするオプションが表示されます。

ステップ 2

[Log In With Cisco] をクリックします。

ステップ 3

[Log in]ページで、シスコ アカウントにログインします。

  1. [Email] フィールドにシスコアカウントの電子メールを入力します。

  2. [Next] をクリックします。

  3. [Password] フィールドに、シスコアカウントのパスワードを入力します。

  4. [Log in] をクリックします。

    Cisco DNA ポータル アカウントが 1 つしかない場合は、Cisco DNA ポータル ホームページが表示されます。

  5. (任意) 複数の Cisco DNA ポータル アカウントがある場合は、[Continue] ボタンをクリックして、ログインするアカウントを選択します。

    Cisco DNA ポータル ホームページが表示されます。

    Cisco DNA ポータル ホームページに「Subscribe and maintain your offers more efficiently with Cisco DNA ポータル. Select an offer below and enjoy your trip with Cisco DNA ポータル」というメッセージが表示されます。

新しい VA ポッドの作成

VA ポッドは、Catalyst Center VA 向けの AWS ホスティング環境です。このホスティング環境には、以下のような AWS リソースが含まれます。

  • Catalyst Center VA EC2 インスタンス

  • Amazon Elastic Block Storage(EBS)

  • バックアップ NFS サーバー

  • セキュリティグループ

  • ルーティング テーブル

  • Amazon CloudWatch ログ

  • Amazon Simple Notification Service(SNS)

  • VPN Gateway(VPN GW)

  • TGW

Cisco Global Launchpad を使用して、複数の VA ポッド(Catalyst Center VA ごとに 1 つの VA ポッド)を作成できます。


(注)  

  • AWS ネットワーク管理者は、各リージョンで作成できる VA ポッド数の上限を設定できます。Cisco Global Launchpad 以外のリソースに使用される VPC もこの数に含まれます。たとえば、AWS アカウントに設定された VPC の上限が 5 つで、そのうち 2 つが使用中の場合、選択したリージョンでさらに作成できる VA ポッドは 3 つまでです。

  • 一部の手順では、すべてのリソースが正しく設定された場合にのみ次の手順に進むことができます。すべてのリソースが正しく設定されていない場合、[Proceed] ボタンは無効になります。すべてのリソースが正しく設定されているにもかかわらず、[Proceed] ボタンが無効になっている場合は、リソースがロードされるまで数秒間お待ちください。すべての設定が完了すると、ボタンが有効になります。

  • 次の場合、VA ポッド構成は変更されません。

    • Cisco Global Launchpad を新しいリリースに更新する

    • Cisco Global Launchpad の以前のリリースにダウングレードする

    • VA ポッドが配置されているリージョンセットアップを更新する

    たとえば、Cisco Global Launchpad リリース 2.0.x で VA ポッドを作成した場合、バックアップパスワードは、バックアップインスタンスのスタック名とバックアップサーバーの IP アドレスを組み合わせたものになります。Cisco Global Launchpad リリース 1.9.0 などの以前のリリースでこの VA ポッドにアクセスする場合、バックアップパスワードは変更されません。

新しい VA ポッドを作成するには、次の手順を実行します。

始める前に

AWS アカウントに管理者アクセス権があることを確認します。詳細については、自動展開の前提条件を参照してください。

手順

ステップ 1

次のいずれかの方法を使用して、Cisco Global Launchpad にログインします。

  • [IAM Login]:ユーザーロールを使用してユーザーアクセス権限を定義します。

    Cisco Global Launchpad は、企業が必要とする場合に、任意の追加認証形式としての多要素認証(MFA)をサポートします。詳細については、『Cisco Global Launchpad Administrator Guide』の「Log In to Cisco Global Launchpad Using IAM」を参照してください。

  • [Federated Login]:この方法では、1 つのアイデンティティを使用して、他のオペレータが管理するネットワークまたはアプリケーションにアクセスします。

    詳細については、『Cisco Global Launchpad Administrator Guide』の「Generate Federated User Credentials Using saml2aws」または「Generate Federated User Credentials Using AWS CLI」を参照してください。

アクセスキー ID とシークレットアクセスキーを取得する方法については、AWS の Web サイトに掲載されている『AWS Identity and Access Management ユーザーガイド』[英語] の「AWS Managing access keys or IAM users」を参照してください。

ログインエラーが発生した場合は、エラーを解決して再度ログインする必要があります。トラブルシューティング情報については、ログインエラーと考えられる解決策を参照してください。

ステップ 2

初めてログインする管理者ユーザーの場合は、[Email ID] フィールドに電子メールアドレスを入力し、[Submit] をクリックします。

アマゾンSNS に登録することで、展開されたリソース、変更、およびリソースの過剰使用に関するアラートを受信できます。Amazon CloudWatchCisco Global Launchpad の異常な動作を検出した場合に通知するようにアラームを設定できます。さらに、AWS Config は設定されたリソースを評価し、結果の監査ログも送信します。詳細については、『Cisco Global Launchpad Administrator Guide』の「Subscribe to the アマゾンSNS Email Subscription」と「View Amazon CloudWatch Alarms」を参照してください。

電子メールを入力すると、いくつかのプロセスが実行されます。

  • 必要なすべてのポリシーが割り当てられた CiscoDNACenter ユーザーグループが AWS アカウント上に作成されます。管理者ユーザーがこのグループにサブユーザーを追加すると、サブユーザーが Cisco Global Launchpad にログインできるようになります。

  • Amazon S3 バケットは、展開の状態を保存するために自動的に作成されます。グローバルでも各リージョンでも、AWS アカウントからこのバケットや他のバケットを削除しないことを推奨します。このバケットまたは別のバケットを削除すると、Cisco Global Launchpad の展開ワークフローに影響を与える可能性があります。

  • リージョンに初めてログインすると、Cisco Global Launchpad によって AWS で複数のリソースが作成されます。リージョンが以前に有効だったかどうかによって、このプロセスは時間がかかる場合があります。プロセスが完了するまで、新しい VA ポッドは作成できません。この間、次のメッセージが表示されます。

    「Setting up the initial region configurations. This might take a couple of minutes.(初期リージョンを設定中です。この処理には数分かかる場合があります。)」というメッセージが表示されます。

正常にログインすると、[Dashboard] ペインが表示されます。

(注)  

 

リージョンの設定を更新するように求められた場合は、プロンプトに従って更新を完了します。詳細については、『Cisco Global Launchpad Administrator Guide』の「Update a Region Setup」を参照してください。

デフォルトでは、 Cisco Global Launchpad は左側にナビゲーションウィンドウを表示し、右側に [Dashboard] ペインを表示します。 Dashboard ペインには、リージョンのマップと、選択したリージョン内の VA ポッドに関する情報が表示されます。

ステップ 3

[+ Add a VA pod] をクリックします。

ステップ 4

次の手順を実行して、リージョン、VPC、プライベートサブネット、ルーティングテーブル、セキュリティグループ、仮想ゲートウェイ、CGW を含む AWS インフラストラクチャを設定します。

  1. 次の [VA pod environment details] フィールドを設定します。

    • [Region name]:このドロップダウンリストからリージョンを選択します。

    • [VA pod name]:新しい VA ポッドに名前を割り当てます。

      (注)  

       

      VA ポッド名は、次の要件を満たしている必要があります。

      • 名前はリージョン内で一意である必要があります(これは複数のリージョンで同じ名前を使用できることを意味します)。

      • 名前は 4 ~ 12 文字にする必要があります。

      • 名前には、文字(A〜Z)、数字(0〜9)、およびダッシュ(-)を含めることができます。

    • [Availability Zone] :ドロップダウンリストから、適切な可用性ゾーンを選択します。

      可用性ゾーンは、選択したリージョン内の分離された場所です。

    • [AWS VPC CIDR]:AWS リソースの起動に使用する一意の VPC サブネットを入力します。

      (注)  

       

      次のガイドラインに留意してください。

      • 推奨されている CIDR 範囲は /25 です。

      • IPv4 CIDR 表記では、IP アドレスの最後のオクテット(4 番目のオクテット)は 0 または 128 のいずれかになります。

      • このサブネットは、企業のサブネットと重複しないようにする必要があります。

  2. [Transit gateway (TGW)] で、ゲートウェイオプションを選択します。

    状況

    実行する操作

    選択内容

    単一の VA ポッド

    VPN ゲートウェイを使用する

    VPN GW

    VPN GW は、サイト間 VPN 接続の Amazon 側の VPN エンドポイントです。1 つの VPC にのみ接続できます。

    複数の VA ポッドまたは VPC

    TGW を中継ハブとして使用して、複数の VPC とオンプレミスネットワークをインターコネクトする

    新しい VPN GW + 新しい TGW

    (注)  

     

    • また、TGW をサイト間 VPN 接続の Amazon 側の VPN エンドポイントとして使用することもできます。

    • リージョンごとに 1 つの TGW のみを作成できます。

    既存の TGW

    既存の TGW を使用する

    		 既存の TGW

    [Existing TGW]を選択した場合は、 [VPN/Direct Connect Attachment] の下で、ゲートウェイオプションを選択します。

    実行する操作

    選択内容

    既存の TGW 用に新しい VPN ゲートウェイを作成する

    新しい VPN GW

    既存の VPN または直接接続アタッチメントを使用する

    既存のアタッチメント

    [Select attachment ID] ドロップダウンリストから、アタッチメント ID を選択します。

    (注)  

     

    ドロップダウンリストに直接接続ゲートウェイ名を表示するには、管理者アカウントで Cisco Global Launchpad にログインして、必要な権限を付与する必要があります。

    このオプションを選択する場合は、既存のゲートウェイまたは直接接続アタッチメントでもルーティングを設定する必要があります。この説明については、既存のゲートウェイまたは直接接続アタッチメントでのルーティングの手動設定 を参照してください。

  3. ゲートウェイの選択に応じて、次の手順を実行します。

    選択内容

    結果

    優先する接続オプションとして [Existing TGW] と [Existing Attachments] を選択した場合

    手順 4.d に進みます。

    VPN GW新しい VPN GW + 新しい TGW、または 既存の TGW + 新しい VPN GW

    次の VPN の詳細を入力します。

    • [Customer gateway (Enterprise firewall/router)]:AWS VPN ゲートウェイとの IPsec トンネルを形成するためのエンタープライズ ファイアウォールまたはルータの IP アドレスを入力します。

    • [VPN vendor]:ドロップダウンリストから VPN ベンダーを選択します。

      [Barracudo]、[Sophos]、[Vyatta]、および [Zyxel] は、サポートされていない VPN ベンダーです。詳細については、VA ポッド設定のエラーと考えられる解決策を参照してください。

    • [Platform]:ドロップダウンリストからプラットフォームを選択します。

    • [Software]:ドロップダウンリストからソフトウェアを選択します。

  4. [Customer profile] のサイズは、デフォルト設定の [Medium] のままにします。

    カスタマープロファイルのサイズは、Catalyst Center VA インスタンスとバックアップインスタンスの両方に適用されます。 Catalyst Center インスタンスのサイズと Catalyst Center バックアップインスタンスのサイズについては、自動展開の前提条件 を参照してください。

  5. [Backup Target (NFS)] では、バックアップ先を選択します。

    必要な設定

    選択内容

    オンプレミス サーバーに保存するバックアップ

    エンタープライズのバックアップ

    バックアップストレージ要件の詳細については、Cisco Catalyst Center Administrator Guideの「バックアップストレージ要件」を参照してください。

    AWS に保存するバックアップ

    クラウドバックアップ

    クラウドバックアップを選択した場合、後で以下の情報を記録してください。後でクラウド バックアップ サーバーにログインする際に使用します。

    • SSH IP アドレス:<BACKUP VM IP>

    • SSH ポート:22

    • サーバーパス:/var/catalyst-backup/

    • ユーザー名:maglev

    • パスワード:<xxxx##########>

      バックアップサーバーのパスワードは動的に作成されます。パスワードは、VA ポッド名の最初の 4 文字とバックアップサーバーの IP アドレス(ピリオドなし)で構成されます。

      たとえば、VA ポッド名が DNAC-SJC で、バックアップサーバーの IP アドレスが 10.0.0.1 の場合、バックアップサーバーのパスワードは DNAC10001 になります。

      (注)  

       

      • VA ポッド名は、展開先のリージョンを選択した後に Dashboard ペインで確認できます。

      • バックアップサーバーの IP アドレスは、 [View Catalyst Center] ペインで確認できます。詳細については、『Cisco Global Launchpad Administrator Guide』の「View Catalyst Center VA Details」を参照してください。

    • パスフレーズ:<Passphrase>

      パスフレーズは、バックアップのセキュリティの影響を受けやすいコンポーネントを暗号化するために使用されます。これらのセキュリティに影響を受けやすいコンポーネントには、証明書とクレデンシャルが含まれます。

      パスフレーズは必須です。バックアップファイルを復元するときに、このパスフレーズの入力を求められます。このパスフレーズがなければ、バックアップファイルを復元できません。

    • オープンポート:22、2049、873、111

  6. [Next] をクリックします。

  7. [Summary] ペインで、環境と VPN の入力内容を確認します。問題がなければ、[Start Configuring AWS Infrastructure] をクリックします。

    重要

     

    設定が完了するまで約 20 分かかります。

    Cisco Global Launchpad で、この画面から他のページに移動できます。プロセスはバックグラウンドで続行されます。ただし、タブまたはウィンドウを閉じるか、ページを更新すると、アクティブなバックグラウンドプロセスは一時停止します。

    AWS インフラストラクチャが正しく設定されると、[AWS Infrastructure Configured] ペインが表示されます。

    [Add a VA Pod] ペインには、VA ポッドを作成するために設定する必要があるフィールドが表示されます。ステップ 3 で、Cisco Global Launchpad は IPsec トンネルの接続を確認します。

    AWS インフラストラクチャの設定が失敗した場合は、Cisco Global Launchpad を終了し、VA ポッド設定のエラーと考えられる解決策 を参照してください。

    AWS インフラストラクチャの設定に失敗し、AWS インフラストラクチャ図が赤色になっています。

ステップ 5

次の手順を実行して、オンプレミス構成ファイルをダウンロードします。

  1. AWS インフラストラクチャが正しく設定されたら、[Proceed to on-premises configuration] をクリックします。

  2. [Configure the On-Premises Tunnel Endpoint] ペインで、[Download configuration file] をクリックします。このファイルをネットワーク管理者に転送して、オンプレミス側の IPSec トンネルを設定します。

    このファイルは、AWS インフラストラクチャの設定時に選択されたオンプレミスのベンダー、プラットフォーム、およびバージョンに基づいて生成されます。ファイルには、VPC 用に作成された一意の VPN 接続 ID が含まれています。オンプレミスのファイアウォールまたはルータに応じて変更する必要があるのは、ごく一部です。たとえば、Cisco ASA ファイアウォール/ルータでは、選択した VPC サブネットへのスタティックルート設定を変更する必要があります。 

    route Tunnel-int-vpn-0bbef6e1331a37048-0 10.0.0.0 255.255.0.0 169.254.184.85 100

    ネットワーク管理者が IPSec トンネルを 1 つだけ設定していることを確認してください。

    (注)  

     

    • ネットワーク管理者がこの構成ファイルに必要な変更を加えてからエンタープライズ ファイアウォールまたはルータに適用すると、IPSec トンネルを起動できます。

      提供されている構成ファイルを使用すると、AWS とエンタープライズルータまたはファイアウォールの間で 2 つのトンネルを起動できます。

    • ほとんどの仮想プライベート ゲートウェイ ソリューションでは、1 つのトンネルが稼働し、もう 1 つのトンネルが停止しています。両方のトンネルを稼働すると、等コストマルチパス(ECMP)ネットワーキング機能を使用できます。ECMP 処理では、ファイアウォールまたはルータが等コストルートを使用して同じ宛先にトラフィックを送信できます。このとき、ルータまたはファイアウォールが ECMP をサポートしている必要があります。ECMP を使用しない場合は、1 つのトンネルを停止して手動でフェールオーバーするか、または IP SLA などのソリューションを使用して、フェールオーバーシナリオでトンネルを自動的に起動することを推奨します。

  3. [Proceed to Network Connectivity Check] をクリックします。

ステップ 6

AWS インフラストラクチャの設定時に選択した優先するオンプレミス接続に基づいて、ネットワーク構成のステータスを確認します。

  • 優先するオンプレミス接続オプションとして [VPN GW] を選択した場合、IPSec トンネルの設定ステータスが表示されます。

    • ネットワーク管理者が IPSec トンネルをまだ設定していない場合は、IPSec トンネルに南京錠アイコンが表示されます。

      VA ポッドとエンタープライズ ファイアウォールまたはルータを接続する IPsec トンネルは、設定されていないことを意味する南京錠の付いた灰色になっています。

    • エンタープライズ ファイアウォールまたはルータの IPSec トンネルが稼働していることを確認するようにネットワーク管理者に依頼してください。IPSec トンネルが稼働すると、IPSec トンネルが緑色に変わります。

      VA ポッドとエンタープライズ ファイアウォールまたはルータを接続する IPsec トンネルは、稼働中であることを意味する緑色になっています。

    (注)  

     

    IPsec トンネルが稼働状態になっているのに、CGW から Catalyst Center VA にアクセスできない場合は、IPsec トンネルの設定中に正しい値が渡されたことを確認します。Cisco Global LaunchpadAWS 由来のトンネルステータスを報告し、追加のチェックを実行しません。

  • 優先するオンプレミス接続オプションとして [New VPN GW + New TGW] または [Existing TGW and new VPN GW] を選択した場合、Cisco Global Launchpad は、VPC が TGW に接続されているかどうかを確認します。TGW はオンプレミスのファイアウォールまたはルータに接続されます。

    (注)  

     

    TGW からエンタープライズ ファイアウォールまたはルータへの接続に成功するには、ネットワーク管理者がオンプレミスのファイアウォールまたはルータにこの設定を追加する必要があります。

    • TGW からオンプレミスのファイアウォールまたはルータへの接続が確立されていない場合は、グレー表示されます。

      TGW とオンプレミスのファイアウォールまたはルータの間の接続は、接続されていないことを意味する灰色になっています。

    • TGW 接続が正常に確立されると、TGW 接続は緑色になります。

      TGW とオンプレミスのファイアウォールまたはルータの間の接続は、接続されていることを意味する緑色になっています。

  • 優先するオンプレミス接続オプションとして [Existing TGW] と [Existing Attachment] を選択した場合は、既存の TGW と新しく接続された VPC の間でルーティングが設定されていることを確認します。ここで Catalyst Center VA が起動されます。詳細については、既存のゲートウェイまたは直接接続アタッチメントでのルーティングの手動設定を参照してください。

    • VPC が TGW に接続されていない場合、TGW 接続はグレー表示されます。

      VA ポッドと TGW 間の接続は、接続されていないことを意味する灰色になっています。

    • TGW 接続が正常に確立されると、TGW 接続は緑色になります。

      VA ポッドと TGW 間の接続は、接続されていることを意味する緑色になっています。

ステップ 7

[Go to dashboard] をクリックして [Dashboard] ペインに戻ります。ここで、追加の VA ポッドを作成したり、既存の VA ポッドを管理したりすることができます。

既存のゲートウェイまたは直接接続アタッチメントでのルーティングの手動設定

新しい VA ポッドの作成時に、優先する接続オプションとして [Existing Transit Gateway] と [Existing Attachments] を選択した場合、Cisco Global Launchpad では Catalyst Center を起動するための VPC が作成され、この VPC が既存の TGW に接続されます。

Cisco Global Launchpad で TGW 接続を確立するには、AWS で TGW ルーティングテーブルを手動で設定し、既存の CGW または直接接続アタッチメントにそのルーティング設定を追加する必要があります。ルーティングを設定するには、次の手順を実行します。

手順

ステップ 1

AWS コンソールから、[VPC service] に移動します。

ステップ 2

左側のナビゲーションウィンドウの [Transit Gateways] で [Transit gateway route table] を選択し、次に既存の TGW ルートテーブルを選択します。

ステップ 3

[Transit gateway route tables] ページで、次の手順を実行します。

  1. [Associate] をクリックします。

  2. ドロップダウンリストから、関連付けるアタッチメントを選択します。

  3. [Create association)] をクリックします。

関連付けは、既存の CGW または直接接続アタッチメントになります。

[Transit gateway route tables] ページでは、[Create Association] ボタンが [Associations] ペインの右上隅にあります。

ステップ 4

[Transit gateway route table] ウィンドウで [Propagations] タブをクリックし、次に [Create propagation] をクリックします。

[Transit gateway route tables] ページでは、[Create propagation] ボタンが [Propagations] ペインの右上隅にあります。

ステップ 5

[Transit gateway route tables] ページで、次の手順を実行して、該当の VPC と VPN 間のスタティックルートがアクティブであることを確認します。

  1. [Routes] をクリックします。

  2. [Create Static Route] をクリックします。

ステップ 6

AWS 環境の CGW または直接接続アタッチメントに割り当てられた CIDR 範囲に向けてネットワークトラフィックをルーティングするように、オンプレミスルータの設定が更新されていることを確認します。

例:route tunnel-int-vpn-0b57b508d80a07291-1 10.0.0.0 255.255.0.0 192.168.44.37 200

新規の Catalyst Center VA を作成

新規 Catalyst Center VA を構成する手順は、次のとおりです。

手順

ステップ 1

[Dashboard] ペインで、Catalyst Center VA を作成する VA ポッドを見つけます。

[Dashboard] ペインにはすべてのリージョンのマップが表示され、マップの下に既存の VA ポッドすべてのリストが表示されます。

ステップ 2

VA ポッドカードで、[Create/Manage Catalyst Center(s)] をクリックします。

ステップ 3

[VA Pod Dashboard] ペインで、[+ Create a new Catalyst Center] をクリックします。

ステップ 4

次の詳細を入力します。

  • [Catalyst Center version]:ドロップダウンリストから、バージョンを選択します。

  • [Enterprise DNS]:エンタープライズ DNS の IP アドレスを入力します。

    このエンタープライズ DNS が、Catalyst Center VA を作成する VA ポッドから到達可能であることを確認してください。

    (注)  

     

    • Cisco Global Launchpad は、UDP ポート 53 と入力した DNS サーバーの IP アドレスを使用して、オンプレミスのネットワーク接続を確認します。

    • Catalyst Center VAAWS に展開した後、Cisco Global Launchpad を使用して DNS サーバーを更新することはできません。ただし、AWS コンソールを使用すると DNS サーバーを更新できます。詳細については、AWS コンソールを使用した、Catalyst Center VA における DNS サーバーの更新を参照してください。

  • [FQDN ]:DNS サーバーで設定されている Catalyst Center VA の 完全修飾ドメイン名(FQDN)を入力します。

    (注)  

     

    • このフィールドの下に Catalyst Center IPアドレスが表示されます。

    • ドメイン名を使用して Catalyst Center に直接アクセスするには、FQDN とこの IP アドレスを使用して A レコード(アドレスレコード)をエンタープライズ DNS に追加します。

  • [Proxy Details]:次のいずれかの HTTPS ネットワーク プロキシ オプションを選択します。

    • [No proxy]:プロキシサーバーは使用されません。

    • [Unauthenticated]:プロキシサーバーは認証を必要としません。プロキシサーバーの URL とポート番号を入力します。

    • [Proxy authentication]:プロキシサーバーは認証を必要とします。プロキシサーバーの URL、ポート番号、ユーザー名、およびパスワードの詳細を入力します。

  • [CLI password]: Catalyst Center VA にログインするための CLI パスワードを入力します。

    次の表に、パスワードの要件と制限を示します。

    パスワード要件

    パスワードの制限

    パスワードは次の条件を満たす必要があります。

    • 長さが 9 ~ 64 文字であること。

    • 次のうち少なくとも 3 つのカテゴリの文字を含むこと。

      • 大文字の A ~ Z

      • 小文字の a ~ z

      • 数字(0 ~ 9)

      • 特殊文字(!、$、# など)

    パスワードに以下を含めることはできません。

    • ユーザー名またはユーザー名の連続する 2 文字

    • コンテキスト固有の単語(サービス名、ユーザー名、派生語など)

    • 4 連続の文字(特殊文字を除く)

    • タブまたは改行

    後でログインできるように、このパスワードを記録しておきます。

    (注)  

     

    ユーザー名は maglev です。

  • [Customer CIDR to access the Catalyst Center]: Catalyst Center VA にアクセスするための、ローカル ネットワーク ゲートウェイの CIDR ブロックを入力します。

    この CIDR ブロックは、Catalyst Center ネットワークの許可リストに追加されます。

    CIDR が不明でも、クラウドアカウントのセキュリティ ポリシーに準拠している場合は、0.0.0.0/0 を入力します。

ステップ 5

[Validate] をクリックして、DNS サーバーに設定されているエンタープライズ DNS サーバーと FQDN を検証します。

(注)  

 

DNS サーバー、プロキシサーバー、または FQDN のチェックに失敗した場合は、失敗したチェックに応じて、次の手順で設定を続行します。

  • DNS サーバーの検証に失敗した場合は、Catalyst Center VA の作成を続行できません。入力した DNS サーバーの IP アドレスが VA ポッドから到達可能であることを確認してください。

  • プロキシサーバーの検証に失敗した場合でも、設定を続行できます。無効なプロキシの詳細が修正されなくても、Catalyst Center VA は機能するからです。

  • FQDN の検証に失敗した場合でも、Catalyst Center VA の作成を続行できます。ただし、FQDN 設定を修正する必要があります。

ステップ 6

[Summary] ページで、設定の詳細を確認します。

(注)  

 

Catalyst Center の IP アドレスは静的に割り当てられた IP アドレスであり、中断のない接続を確保し、重要なネットワーク運用中の障害を最小限に抑えるため、AWS 可用性ゾーンの停止後もそのまま保たれます。

ステップ 7

[Generate PEM key file] をクリックします。

ステップ 8

[Download PEM key file] ダイアログボックスで、[Download PEM key file] をクリックします。

[Cancel] をクリックすると、[ Summary] ページに戻ります。

重要

 

PEM キーファイルをダウンロードする必要があります。このファイルが AWS アカウントに保存されておらず、作成中の Catalyst Center VA へのアクセスに必要になるためです。

ステップ 9

[Start Catalyst Center configuration] をクリックします。

Cisco Global Launchpad により Catalyst Center VA 環境が設定されます。環境設定が完了すると、Catalyst Center VA が起動します。最初は、Cisco Global Launchpad で外側のリングがグレー表示されます。ポート 2222 が検証されると、イメージがオレンジに変わります。ポート 443 が検証されると、イメージが緑色に変わります。

(注)  

 

  • このプロセスは 45 ~ 60 分かかります。

  • Cisco Global Launchpad で、この画面から他のページに移動できます。プロセスはバックグラウンドで続行されます。ただし、タブまたはウィンドウを閉じるか、ページを更新すると、アクティブなバックグラウンドプロセスは一時停止します。

  • [Catalyst Center configuration in progress] ページが表示されている間に、バックアップサーバーの IP アドレスを後で使用できるように記録します。バックアップサーバーのパスワードは、VA ポッド名の最初の 4 文字とバックアップサーバーの IP アドレス(ピリオドを除く)を組み合わせたものです。

Catalyst Center [Configuration In Progress] ページに、Catalyst Center の詳細と、外側のリングが緑色で内側のリングがオレンジ色の図が表示されます。

Catalyst Center VA の起動が完了すると、設定は完了です。これで、Catalyst Center VA の詳細を表示できるようになります。

設定に失敗した場合は、[VA pod dashboard] ペインに戻ります。トラブルシューティング情報については、Catalyst Center VA のエラーと考えられる解決策を参照してください。

設定に失敗すると、[Cisco Catalyst Center Configuration In Progress] ウィンドウに「Environment Setup failed」のメッセージと、外側のリングが緑色で内側のリングが赤色の図が表示されます。

ステップ 10

[VA Pod Dashboard] ペインに戻るには、[Back to VA Pod Dashboard] をクリックします。

Cisco Global Launchpad の展開のトラブルシューティング

Cisco Global Launchpad は、最小限の介入で AWS 上の Catalyst Center をシームレスに設定できるように設計されています。ここでは、AWS 上の Catalyst Center の自動展開時の一般的な問題をトラブルシュートする方法について説明します。


(注)  

AWS コンソールを介して Cisco Global Launchpad でワークフローを手動で変更することは推奨されません。手動で変更すると、 Cisco Global Launchpad では解決できない問題が発生する可能性があります。

ここに記載されていない問題がある場合は、Cisco TAC にご連絡ください。

Docker のエラーと考えられる解決策

Cisco Global LaunchpadDocker イメージの実行中に「port is already in use」というエラーメッセージが発生した場合は、考えられる解決策を使用してトラブルシュートできます。

次の表には、Docker のエラーシナリオとその考えられる解決策を示します。

エラーシナリオ

考えられる解決策

サーバーアプリケーションの実行中に「port is already in use」というエラーが表示された場合は、考えられる解決策を確認します。

Docker で、サーバーアプリケーションを実行します。

docker run -d -p <server-port-number>:8080 -e SECRET_KEY=<your-secret-key> --name server --pull=always dockerhub.cisco.com/maglev-docker/server:x.x.x-latest

(注)  

 

使用可能なサーバーポートをどれでも使用できます。

サーバーアプリケーションの実行中に、クライアント アプリケーションを実行します。

docker run -d -p 90:80 -e REACT_APP_API_URL=http://localhost:<client-port-number> --name client --pull=always dockerhub.cisco.com/maglev- docker/client:x.x.x

(注)  

 

サーバーアプリケーションの実行で使用したものと同じポート番号を使用する必要があります。

クライアント アプリケーションの実行中に「port is already in use」というエラーが表示された場合は、考えられる解決策を確認します。

Docker でクライアント アプリケーションを実行します。

docker run -d -p <client-port-name>:80 --name client --pull=always dockerhub.cisco.com/maglev-docker/client:x.x.x

(注)  

 

使用可能なサーバーポートをどれでも使用できます。

ログインエラーと考えられる解決策

Cisco Global Launchpad にログインする際に、ログインエラーが発生する場合があります。

次の表に、一般的なログインエラー、および考えられる原因と解決策を示します。

エラー 考えられる原因と解決策

Invalid credentials.(無効なログイン情報です。)

ログイン情報を再入力し、正しく入力されていることを確認します。

You don't have enough access.(十分なアクセス権がありません。)

管理者ユーザーの場合は、アカウントに管理者アクセス権があることを確認します。

サブユーザーの場合は、管理者によって CiscoDNACenter ユーザーグループに追加されていることを確認します。

An operation to delete is in progress, please try again after some time.(削除操作が進行中です。しばらくしてからもう一度お試しください。)

管理者ユーザーが AWS アカウントから <AccountId>-cisco-dna-center グローバルバケットを削除した後にログインしようとすると、このログインエラーが発生することがあります。削除が完了するまで 5 分待ちます。

ホステッド型 Cisco Global Launchpad のエラーと、考えられる解決策

ホステッド型 Cisco Global Launchpad では、根本原因分析(RCA)をトリガーすると、レート超過エラーが発生する可能性があります。このエラーは、1 つのリージョンで最大数の API 要求(1 秒あたり 10,000)を受信した場合に発生します。

このエラーを解決するには、次の考えられる解決策を検討します。

  • Service Quotas サービスで AWS の制限を増やします。

  • 数秒後に操作を再試行してください。

リージョンの問題と考えられるソリューション

次の表に、リージョンの問題、および考えられる解決策を示します。

問題 考えられる解決策

新しいリージョンで VA ポッドを作成している間、 Cisco Global Launchpad には次のいずれかが表示されます。

  • エラーメッセージ。

  • 画面が 5 分を超えてフリーズする。設定中であることを示すメッセージが表示されない。

AWS コンソールでの手動プロセスが正常に完了したことを確認してください。その後、この手順を再試行してください。問題が解決しない場合は、TAC にご連絡ください。

(注)  

 

このような競合状態を回避するには、VA ポッドを手動で変更しないでください。代わりに、すべてのアクションに Cisco Global Launchpad を使用してください。

リージョンのセットアップが失敗し、Cisco Global Launchpad に次のような [Bucket [name] did not stabilize] エラーが表示されます。

Bucket 059356112352-cisco-dna-center-eu-south-1.va.storage did not stabilize.

AWS でケースを開き、失敗したリソースをバックエンドから削除するように依頼します。

VA ポッド設定のエラーと考えられる解決策

次の表に、VA ポッドの設定エラー、および考えられる原因と解決策を示します。

エラー 考えられる原因と解決策

[+ Create VA Pod] ボタンが無効になっている。

無効になっているボタンにカーソルを合わせると、無効になっている理由の詳細が表示されます。

次の理由により、新しい VA ポッドを作成できない場合があります。

  • VPC サービスクォータの上限数に達している:各リージョンでは、作成できる VPC 数の上限が AWS 管理者によって設定されています。通常、各リージョンは 5 つの VPC を許可し、各 VPC は 1 つの VA ポッドのみをサポートします。ただし正確な数については、AWS 管理者にお問い合わせください。

    Cisco Global Launchpad の外部のリソースに使用される VPC も、この制限にカウントされます。たとえば、AWS アカウントに設定された VPC の上限が 5 つで、そのうち 2 つが使用中の場合、そのリージョンでさらに作成できる VA ポッドは最大 3 つになります。

    さらに VA ポッドを作成するには、AWS 管理者に上限数の変更を依頼するか、AWS アカウントで既存の VA ポッドまたは VPC の一部を削除します。詳細については、 AWS の Web サイトで『AWS Support User Guide』 の AWSCreating a service quota increase」[英語] のトピックを参照してください。

  • [Pod deletion in progress]:リージョン内の最後の VA ポッドの削除が進行中です。数分間待機します。その後、新しい VA ポッドの作成を再試行します。

AMI ID for this region is not available for your account.(このリージョンの AMI IDは、お使いのアカウントでは使用できません。)

[+ Create a new VA pod] をクリックすると、Cisco Global Launchpad は選択したリージョンの AMI ID を検証します。

このエラーが発生した場合、検証に失敗しており、このリージョンで新しいポッドを作成できません。Cisco TAC に連絡して、サポートを受けてください。

Your VPN configuration is invalid. At this step you cannot update it so please delete the instance and create a new one.(VPN の設定が無効です。このステップでは設定を更新できないため、インスタンスを削除してから新しいインスタンスを作成してください。)

VA ポッドを設定する場合、次の VPN ベンダーはサポートされません。

  • Barracuda

  • Sophos

  • Vyatta

  • Zyxel

サポートされていない VPN ベンダーを使用している場合は、[Configure the on-premises tunnel endpoint] ページに次のエラーメッセージが表示されます。

Your VPN configuration is invalid. At this step, you cannot update it, 
so please delete the instance and create a new one.

CustomerGateway with type "ipsec.1", ip-address "xx.xx.xx.xx", and bgp-asn "65000" already exists (RequestToken: f78ad45d-b4f8-d02b-9040-f29e5f5f86cf, HandlerErrorCode: AlreadyExists)(タイプ「ipsec.1」、IP アドレス「xx.xx.xx.xx」、 bgp-asn「65000」のカスタマーゲートウェイはすでに存在します)

失敗した VA ポッドを削除して、新しいポッドを作成します。一度に 1 つの VA ポッドのみを作成するようにしてください。

一度に複数の VA ポッドを作成しようとすると、このエラーが表示される可能性があります。

AWS infrastructure failed.

[Dashboard] ペインに戻り、新しい VA ポッドを作成します。詳細については、新しい VA ポッドの作成を参照してください。

(注)  

 

設定に失敗した VA ポッドを削除できます。

AWS configuration fails when editing a VA Pod.

AWS コンソールでの手動プロセスが正常に完了したことを確認してください。その後、この手順を再試行してください。問題が解決しない場合は、TAC にご連絡ください。

(注)  

 

このような競合状態を回避するには、VA ポッドを手動で変更しないことを推奨します。代わりに、すべてのアクションに Cisco Global Launchpad を使用します。

Deleting VA Pod has failed.

AWS コンソールでの手動プロセスが正常に完了したことを確認してください。その後、この手順を再試行してください。問題が解決しない場合は、TAC にご連絡ください。

(注)  

 

このような競合状態を回避するには、VA ポッドを手動で変更しないことを推奨します。代わりに、すべてのアクションに Cisco Global Launchpad を使用します。

The resource you are trying to delete has been modified recently. Please refresh the page get the latest changes and try again.

VA ポッドの削除中にこのエラーが発生した場合は、Cisco TAC にご連絡ください。

ネットワーク接続の問題と考えられる解決策

次の表に、ネットワーク接続の問題と、考えられる解決策を示します。

問題

考えられる解決策

VA ポッドの作成中は、IPSecトンネルまたは TGW 接続が確立されない。

トンネルがオンプレミスのファイアウォールまたはルータで稼働していることを確認してください。

VA ポッドから TGW へのトンネルが緑色で、TGW から CGW へのトンネルが灰色になる。

この図には、VA ポッドを TGW に接続し、オンプレミスのファイアウォールまたはルータに接続する 2 つのトンネルが表示されます。VA ポッドと TGW 間のトンネルは緑色になっており、このトンネルが稼働していることを意味します。TGW とオンプレミスのファイアウォールまたはルータ間のトンネルは灰色になっており、このトンネルが稼働していないことを意味します。

これらのアクションが正常に完了したことを確認します。

  • 正しい構成ファイルがネットワーク管理者に転送されている。

  • ネットワーク管理者が構成ファイルに必要な変更を加えている。

  • ネットワーク管理者がエンタープライズ ファイアウォールやルータに対してこの構成を適用している。

  • 優先するネットワーク接続として [Existing TGW] と [Existing Attachments] を選択した場合は、既存のゲートウェイまたは直接接続アタッチメントでのルーティングの手動設定 に正しく従っていることを確認してください。

Catalyst Center VA のエラーと考えられる解決策

次の表に、Catalyst Center VA の設定中または削除中に発生する可能性のあるエラーと、考えられる解決策を示します。

エラー 考えられる解決策

Environment Setup failed(環境設定に失敗)

  1. Cisco Global Launchpad の [Create/Manage Cisco Catalyst Center(s)] ペインに戻ります。

  2. Catalyst Center VA を削除します。

  3. 新しい Catalyst Center VA を作成します。

Delete Failed(削除に失敗)

Catalyst Center VA の削除に失敗した場合は、Cisco TAC にご連絡ください。

同時実行エラーおよび考えられる解決策

次の表に、VA ポッドまたは Catalyst Center VA に関連する同時実行エラー、および考えられる理由と解決策を示します。

エラー

考えられる原因と解決策

Unable to delete a Pod or a Catalyst Center created by another user.

次の場合、VA ポッドや Catalyst Center VA などのコンポーネントを削除できません。

  • 別のユーザーが作成した場合、かつ

  • コンポーネントで別のアクションが進行中の場合。

アクションが完了した後、自分または他のユーザーがそのコンポーネントを削除できます。

たとえば、VA ポッドや Catalyst Center VA が次のプロセス中または状態にある場合は削除できません。

  • 別のユーザーが Catalyst Center VA を作成中の場合。

  • 別のユーザーが Catalyst Center VA を削除中の場合。

  • 削除試行の後、Catalyst Center VA がエラー状態にある場合。

The status of a Pod has been changed recently.(ポッドのステータスが最近変更されました。)

VA ポッドを削除しようとした場合、VA ポッドを作成した元のユーザーアカウントが同時アクションを実行した可能性があります。このような同時実行の問題が発生すると、選択した VA ポッドのステータスが変更されます。

VA ポッドの更新されたステータスを表示するには、[Refresh] をクリックします。

TGW アタッチメントのエラーと考えられる解決策

次の表に、TGW アタッチメントのエラー、およびその考えられる原因と解決策を示します。

エラー 考えられる原因と解決策

The transit gateway attachment for this VA pod is in "modifying" state. Check the attachment on your AWS console to resolve this issue.

VA ポッドの作成中にこのエラーが表示された場合は、AWS ポータルで TGW アタッチメントが変更されたことを意味します。

VA ポッドの TGW アタッチメントが [Modifying] 状態になります。

状態が [Modifying] から [Complete] に変わるまで待ちます。状態が [Complete] になったら、VA ポッドの作成を続行できます。

The transit gateway attachment for this VA pod is not found.

このエラーは、TGW アタッチメントが手動で削除されたことを意味します。これを解決するには、この VA ポッドを削除し、TGW アタッチメントを使用して新しい VA ポッドを作成する必要があります。

その他のデプロイメント問題と、考えられる解決策

次の表に、その他の AWS 上の Catalyst Center デプロイメントの問題、および考えられる理由と解決策を示します。

問題

考えられる原因と解決策

リソースは緑色だが、[Proceed] ボタンが無効になる。

一部の手順は、すべてのリソースが正常にセットアップされている場合にのみ続行できます。展開の完全性を確保するため、セットアップが完了し、すべてのリソースが設定およびロードされるまで、[Proceed] ボタンは無効のままになります。

リソースが正常にセットアップされたことが画面に表示されても、[Proceed] ボタンが無効のままになることがあります。残りのリソースが読み込まれるまで、さらに数秒間待ちます。すべてのリソースが設定およびロードされると、[Proceed] ボタンが有効になります。

1 つのリージョンで同じ CGW を持つ複数の VA ポッドを展開するとエラーが発生する。

次のことを確認してください。

  • CGW IP アドレスがエンタープライズ ファイアウォールまたはルータの IP アドレスであること。

  • CGW IP アドレスが有効なパブリックアドレスであること。

  • CGW IP アドレスが同じリージョン内の別の VA ポッドに使用されていないこと。各リージョンでは、複数の VA ポッドが同じ CGW IP アドレスを持つことはできません。複数の VA ポッドで同じ CGW IP アドレスを使用するには、各 VA ポッドを異なるリージョンに展開してください。

Catalyst Center VA に SSH または ping を実行できない。

トンネルが稼働しており、アプリケーションが完了(緑色)しているにもかかわらず、 Catalyst Center VAに ping できない場合または SSH を介して接続できない場合は、CGW の設定を確認して再試行します。

この問題は、オンプレミスの CGW が正しく設定されていない場合に発生する可能性があります。

セッションが終了する。

RCA のトリガーなどの操作の進行中にセッションがタイムアウトすると、操作が突然終了し、セッション終了通知が表示されることがあります。

セッションがタイムアウトした場合は、[OK] をクリックし、再度ログインして操作を再開してください。