AWS での Catalyst Center のスタートアップガイド

AWS 上の Catalyst Center

（注）

Cisco DNA Center は Cisco Catalyst Center にブランド変更され、Cisco DNA Center VA 起動パッドは Cisco Global Launchpad にブランド変更されました。ブランド変更プロセスの進行中、以前の名前とブランド変更後の名前がさまざまな販促アイテムに表示されます。名前が異なっていても、Cisco DNA Center と Catalyst Center は同じ製品を指し、Cisco DNA Center VA 起動パッドと Cisco Global Launchpad は同じ製品を指します。

AWS 上の Catalyst Center

Catalyst Center on Amazon Web Services（AWS) は、以下が特徴の展開モデルです。

Catalyst Center アプライアンス展開のすべての機能を提供する。
AWS クラウド環境で実行される。
クラウドからネットワークを管理する。

Catalyst Center には直感的な集中管理機能が備わっているため、ご使用のネットワーク環境全体でポリシーを素早く簡単に設計、プロビジョニングして適用できます。Catalyst Center のユーザーインターフェイスはネットワークを隅々まで見える化し、ネットワークインサイトを活用してネットワークパフォーマンスの最適化ならびにユーザーエクスペリエンスとアプリケーションエクスペリエンスの最適化を実現します。

AWS 上の Catalyst Center トポロジ

展開の方法

AWS 上の Catalyst Center を展開するための 3 つの方法は次のとおりです。

Cisco Global Launchpad を使用した自動展開、
AWS CloudFormation を使用した手動展開、
AWS Marketplace を使用した手動展開。

Cisco Global Launchpad を使用した自動展開

自動展開方式では、Cisco Global Launchpad は AWS 上の Catalyst Center を設定します。これは、AWS クラウドインフラストラクチャに必要なサービスやコンポーネントの作成と管理に役立ちます。たとえば、仮想プライベートクラウド（VPC）、サブネット、セキュリティグループ、IPSec VPN トンネル、およびゲートウェイの作成に役立ちます。このとき、Catalyst Center Amazon Machine Image（AMI）が、指定された設定でサブネット、トランジットゲートウェイ、その他の重要なリソース（モニタリング用の Amazon CloudWatch、ステートストレージ用の Amazon DynamoDB、セキュリティグループなど）とともに、Amazon Elastic Compute Cloud（EC2）として新しい VPC に展開されます。

Cisco Global Launchpad を使用した 2 つの方法が用意されています。これをダウンロードしてローカルマシンにインストールすることも、シスコがホストするサーバーにアクセスすることもできます。どちらの方法を使用するかに関係なく、Cisco Global Launchpad には Catalyst Center 仮想アプライアンス（VA）のインストールと管理に必要なツールが備わっています。

AWS CloudFormation を使用した手動展開

この手動展開方式では、Catalyst Center AMI を AWS に手動で展開します。Cisco Global Launchpad 展開ツールを使用する代わりに、AWS に搭載された展開ツールである AWS CloudFormation を使用します。Catalyst Center の手動設定では、AWS インフラストラクチャを作成し、VPN トンネルを確立して Catalyst Center VA を展開します。

AWS Marketplace を使用した手動展開

この手動展開方式では、Catalyst Center AMI を AWS に手動で展開します。Cisco Global Launchpad 展開ツールを使用する代わりに、AWS 内のオンラインソフトウェアストアである AWS Marketplace を使用します。Amazon EC2 起動コンソールを使用してソフトウェアを起動します。次に、AWS インフラストラクチャの作成、VPN トンネルの確立、および Catalyst Center VA の設定を実行して、Catalyst Center を手動展開します。この展開方式では、EC2 を介した起動のみがサポートされていることに注意してください。他の 2 つの起動オプション（Web サイトから起動およびサービスカタログにコピー）はサポートされていません。

展開方法の選び方

AWS の管理経験がほとんどない場合は、自動方式が、最も合理的なインストール支援プロセスになります。AWS の管理に精通していて、既存の VPC がある場合は、インストールプロセスで手動方式を選ぶこともできます。

次の表を参照して、それぞれの方法のメリットとデメリットを考慮してください。


Cisco Global Launchpad を使用した自動展開	AWS CloudFormation を使用した手動展開	AWS Marketplace を使用した手動展開
VPC、サブネット、セキュリティグループ、IPSec VPN トンネル、ゲートウェイなどの AWS インフラストラクチャを AWSAWS アカウントで作成するプロセスがサポートされます。 Catalyst Center のインストールが自動的に完了します。 VA へのアクセスが提供されます。 VA の管理性を備えています。展開にかかる時間は約 1 ～ 1 時間半です。自動アラートは、Amazon CloudWatch ダッシュボードに送信されます。自動クラウドバックアップまたはエンタープライズネットワークファイルシステム（NFS）バックアップを選択できます。 AWS 上の Catalyst Center の自動設定ワークフローに手動で変更を加えると、自動展開と競合する可能性があります。	AWS 上の Catalyst Center を作成するために AWS CloudFormation ファイルが必要です。ユーザーが VPC、サブネット、セキュリティグループなどの AWS インフラストラクチャを AWS アカウントで作成します。ユーザーが VPN トンネルを確立します。ユーザーが Catalyst Center を展開します。展開には数時間から数日かかります。 AWS コンソールを使用してモニタリングを手動で設定する必要があります。バックアップには、オンプレミス NFS のみを設定できます。	AWS 上の Catalyst Center を作成するために AWS CloudFormation ファイルは必要ありません。ユーザーが VPC、サブネット、セキュリティグループなどの AWS インフラストラクチャを AWS アカウントで作成します。ユーザーが VPN トンネルを確立します。ユーザーが Catalyst Center を展開します。展開には数時間から数日かかります。 AWS コンソールを使用してモニタリングを手動で設定する必要があります。バックアップには、オンプレミス NFS のみを設定できます。

展開の準備

ネットワーク要件およびアクセスに関する考慮事項

AWS 上の Catalyst Center を展開する前に、次を検討してください。

ネットワークの要件
サポートされている AWS 上の Catalyst Center 統合を実装する必要があるかどうか
AWS 上の Catalyst Center にアクセスする方法

Catalyst Center VA TAR ファイルの検証

Catalyst Center VA を展開する前に、ダウンロードした TAR ファイルがシスコ正規の TAR ファイルであるか確認することを推奨します。

リソースの準備

以下のリソースを活用して、展開を準備します。

高可用性（HA）ガイドラインを確認します。高可用性環境と AWS 上の Catalyst Centerを参照してください。
Cisco ISE 統合の注意事項を確認します。AWS 上の Cisco ISE を AWS 上の Catalyst Center に統合する際のガイドラインを参照してください。
Catalyst Center のアクセス注意事項を確認します。AWS 上の Catalyst Center にアクセスする際の注意事項を参照してください。
Catalyst Center VA TAR ファイルの真正性を確認します。Catalyst Center VA TAR ファイルの確認を参照してください。

高可用性環境と AWS 上の Catalyst Center

AWS 上の Catalyst Center の高可用性（HA）環境の実装は次のとおりです。

可用性ゾーン（AZ）内のシングルノード EC2 HA は、デフォルトで有効になっています。
Catalyst Center の EC2 インスタンスがクラッシュした場合、AWS は同じ IP アドレスを持つ別のインスタンスを自動的に起動します。これにより、中断のない接続が確保され、重要なネットワーク運用の中断が最小限に抑えられます。
エクスペリエンスと目標復旧時間（RTO）は、ベアメタル Catalyst Center アプライアンスの停電シーケンスと同様です。

AWS 上の Cisco ISE を AWS 上の Catalyst Center に統合する際のガイドライン

AWS 上の Cisco ISE は AWS 上の Catalyst Center と統合できます。これらをクラウドで統合する際は、以下のガイドラインを考慮してください。

AWS 上の Cisco ISE は、AWS 上の Catalyst Center で予約済みの VPC とは別の VPC に展開する必要があります。
AWS 上の Cisco ISE の VPC は、AWS 上の Catalyst Center の VPC と同じリージョンに配置することも、別のリージョンに配置することもできます。
環境に応じて、VPC またはトランジットゲートウェイ（TGW）のピアリングを使用します。
VPC または TGW ピアリングを使用して AWS 上の Catalyst Center と AWS 上の Cisco ISE を接続するには、VPC または TGW ピアリングルートテーブルと、AWS 上の Catalyst Center または AWS 上の Cisco ISE に関連付けられたサブネットに割り当てられているルートテーブルに、必要なルーティングエントリを追加します。
Cisco Global Launchpad は、Cisco Global Launchpad を使用して作成されたエンティティに対するアウトオブバンド変更を検出できません。こうしたエンティティには、VPC、VPN、TGW、TGW アタッチメント、サブネット、ルーティングなどが含まれます。

たとえば、Cisco Global Launchpad によって作成された VA ポッドを別のアプリケーションから削除または変更できますが、この変更が Cisco Global Launchpad で認識されない可能性があります。

Cisco ISE 統合の着信ポート

基本的なアクセスルールに加えて、クラウド内の Cisco ISE インスタンスにセキュリティグループを割り当てるために、次のインバウンドポートを許可する必要があります。

AWS 上の Catalyst Center と AWS 上の Cisco ISE の統合では、TCP ポート 9060 および 8910 を許可します。
RADIUS 認証では、UDP ポート 1812、1813、およびその他の有効なポートを許可します。
TACACS を介したデバイス管理では、TCP ポート 49 を許可します。
Datagram Transport Layer Security（DTLS）や Radius 認可変更（CoA）などを AWS 上の Cisco ISE に追加設定する場合は、対応するポートを許可します。

AWS 上の Catalyst Center にアクセスする際の注意事項

Catalyst Center の仮想インスタンスを作成すると、Catalyst Center の GUI および CLI を使用してアクセスできます。

重要	Catalyst Center の GUI および CLI には、パブリックネットワークからではなく、エンタープライズネットワークを介してのみアクセスできます。自動展開方式では、Cisco Global Launchpad によって、Catalyst Center がエンタープライズイントラネットからのみアクセス可能になります。手動展開方式では、セキュリティ上の理由から、パブリックイントラネット上で Catalyst Center にアクセスできないようにする必要があります。

AWS 上の Catalyst Center の GUI にアクセスする際の注意事項

Catalyst Center GUIにアクセスする際は、次の注意事項に配慮してください。

サポートされているブラウザを使用してください。

サポートされるブラウザの詳細については、「Cisco Global Launchpad リリースノート」[英語] を参照してください。
次の形式でブラウザに Catalyst Center インスタンスの IP アドレスを入力します。

http://ip-address/dna/home

次に例を示します。
```
http://192.0.2.27/dna/home
```

初回ログイン時に次のログイン情報を使用します。

ユーザ名：admin
パスワード：maglev1@3

（注）

初めてログインする際は、このパスワードを変更するよう求められます。

パスワードは次の条件を満たす必要があります。

タブまたは改行を省略する
最低 8 文字
次のうち少なくとも 3 つのカテゴリの文字を含むこと。
- 小文字の a ～ z
- 大文字の A ～ Z
- 数字（0 ～ 9）
- 特殊文字（! や # など）

Catalyst Center の CLI にアクセスする際の注意事項

Catalyst Center CLIにアクセスする際は、次の注意事項に配慮してください。

Catalyst Center の展開方式に応じた IP アドレスとキーを使用します。

Cisco Global Launchpad を使用した場合は、 Cisco Global Launchpad によって提供された IP アドレスとキーを使用します。

AWS CloudFormation または AWS Marketplace を使用した場合は、AWS によって提供された IP アドレスとキーを使用します。

（注）

キーは .pem ファイルである必要があります。キーファイルが key.cer ファイル形式でダウンロードされている場合は、ファイル名を key.pem に変更する必要があります。

key.pem ファイルのアクセス権限を手動で 400 に変更します。アクセス権限を変更するには、Linux の chmod コマンドを使用します。

次に例を示します。

chmod 400 key.pem
Catalyst Center の CLI にアクセスするには、次の Linux コマンドを使用します。
ssh -i key.pem maglev@ip-address -p 2222
次に例を示します。
ssh -i key.pem maglev@192.0.2.27 -p 2222

Catalyst Center VA TAR ファイルの確認

Catalyst Center VA を展開する前に、ダウンロードした TAR ファイルがシスコ正規の TAR ファイルであるか確認することを推奨します。

始める前に

Catalyst Center VA の TAR ファイルは、必ずシスコソフトウェアダウンロードサイトからダウンロードしてください。

手順

ステップ 1

シスコの指定した場所から署名検証用のシスコ公開キー（cisco_image_verification_key.pub）をダウンロードします。

ステップ 2

シスコが指定した場所から TAR ファイルのセキュアハッシュアルゴリズム（SHA512）チェックサムファイルをダウンロードします。

ステップ 3

TAR ファイルの署名ファイル（.sig）をシスコサポートから電子メールで入手するか、セキュアなシスコの Web サイト（利用可能な場合）からダウンロードします。

ステップ 4

（任意） SHA 検証を実行して、不完全なダウンロードによって TAR ファイルが破損していないかを確認します。

オペレーティングシステムに応じて、次のコマンドのいずれかを実行します。

Linux の場合：sha512sum <tar-file-filename>
Mac の場合：shasum -a 512 <tar-file-filename>

Microsoft Windows には組み込みのチェックサムユーティリティはありませんが、certutil ツールを使用できます。

certutil -hashfile <filename> sha256

次に例を示します。

certutil -hashfile D:\Customers\Launchpad-desktop-server-1.x.0.tar.gz sha256

Windowsでは、Windows PowerShell を使用してダイジェストを生成することもできます。次に例を示します。

PS C:\Users\Administrator> Get-FileHash -Path D:\Customers\Launchpad-desktop-server-1.x.0.tar.gz

Algorithm Hash Path
SHA256 <string> D:\Customers\Launchpad-desktop-server-1.x.0.tar.gz

コマンドの出力とダウンロードした SHA512 チェックサムファイルを比較します。コマンド出力が SHA512 チェックサムファイルと一致しない場合は、TAR ファイルを再度ダウンロードし、もう一度適切なコマンドを実行します。それでも出力が一致しない場合は、シスコサポートにお問い合わせください。

ステップ 5

署名を確認し、TAR ファイルが正規のシスコ製であることを確認します。

openssl dgst -sha512 -verify cisco_image_verification_key.pub -signature <signature-filename> <tar-file-filename>

（注）

このコマンドは Mac と Linux の両方の環境で動作します。Windows の場合、OpenSSL がまだインストールされていなければ、ダウンロードしてインストールする必要があります（OpenSSL Downloads から入手可能）。

TAR ファイルが正規であれば、このコマンドを実行すると、「Verified OK」というメッセージが表示されます。このメッセージが表示されない場合は、TAR ファイルをインストールせず、シスコサポートにご連絡ください。

Cisco Cisco Catalyst 2.3.7.x AWS 展開ガイド

偏向のない言語

翻訳について

Book Title

Cisco Cisco Catalyst 2.3.7.x AWS 展開ガイド

Chapter Title