AWS での Cisco DNA Center のスタートアップガイド

AWS 上の Catalyst Center の概要


(注)  

Cisco DNA CenterCatalyst Center にブランド変更され、Cisco DNA Center VA 起動パッドCisco Global Launchpad にブランド変更されました。ブランド変更プロセスの進行中、以前の名前とブランド変更後の名前がさまざまな販促アイテムに表示されます。名前が異なっていても、Cisco DNA CenterCatalyst Center は同じ製品を指し、Cisco DNA Center VA 起動パッドCisco Global Launchpad は同じ製品を指します。

Catalyst Center には直感的な集中管理機能が備わっているため、ご使用のネットワーク環境全体でポリシーを素早く簡単に設計、プロビジョニングして適用できます。Catalyst Center のユーザーインターフェイスはネットワークを隅々まで見える化し、ネットワークインサイトを活用してネットワークパフォーマンスの最適化ならびにユーザーエクスペリエンスとアプリケーション エクスペリエンスの最適化を実現します。

Amazon Web Services(AWS) 上の Catalyst Center は、Catalyst Center アプライアンス環境で提供されるすべての機能を備えています。Catalyst Center 上の AWS は、AWS クラウド環境で実行され、クラウドからネットワークを管理します。

展開の概要

AWSCatalyst Center を展開するには、次の 3 つの方法があります。

  • 自動展開Cisco Global LaunchpadAWS 上の Catalyst Center を設定します。自動展開は、クラウド インフラストラクチャに必要なサービスとコンポーネントを作成する場合に便利です。たとえば、仮想プライベートクラウド(VPC)、サブネット、セキュリティグループ、IPSec VPN トンネル、およびゲートウェイの作成に役立ちます。このとき、Catalyst Center Amazon Machine Image(AMI) が、指定された設定でサブネット、トランジットゲートウェイ、その他の重要なリソース(モニタリング用の Amazon CloudWatch、ステートストレージ用の Amazon DynamoDB、セキュリティグループなど)とともに、Amazon Elastic Compute Cloud(EC2)として新しい VPC に展開されます。

    Cisco Global Launchpad を使用した 2 つの方法が用意されています。Cisco Global Launchpad をダウンロードしてローカルマシンにインストールすることも、シスコがホストする Cisco Global Launchpad にアクセスすることもできます。どちらの方法を使用するかに関係なく、Cisco Global Launchpad には Catalyst Center Virtual Appliance(VA)のインストールと管理に必要なツールが備わっています。

  • AWS CloudFormation を使用した手動展開AWSCatalyst Center AMI を手動展開します。Cisco Global Launchpad 展開ツールを使用する代わりに、AWS に搭載された展開ツールである AWS CloudFormation を使用します。Catalyst Center の手動設定では、AWS インフラストラクチャを作成し、VPN トンネルを確立して Catalyst Center VA を展開します。

  • AWS Marketplace を使用した手動展開AWSCatalyst Center AMI を手動展開します。Cisco Global Launchpad 展開ツールを使用する代わりに、AWS 内のオンライン ソフトウェア ストアである AWS Marketplace を使用します。Amazon EC2 起動コンソールを使用してソフトウェアを起動します。次に AWS インフラストラクチャの作成、VPN トンネルの確立、および Catalyst Center VA の設定を実行して Catalyst Center を手動展開します。この展開方式では、EC2 を介した起動のみがサポートされていることに注意してください。他の 2 つの起動オプション(Web サイトから起動およびサービスカタログにコピー)はサポートされていません。

AWS の管理経験がほとんどない場合は、Cisco Global Launchpad を使用した自動方式を使用すると、最も合理的なインストール支援プロセスが提供されます。AWS の管理に精通しており、既存の VPC がある場合は、手動方式によりインストールプロセスの別の選択肢が提供されます。

次の表を参照して、それぞれの方法のメリットとデメリットを考慮してください。

Cisco Global Launchpad を使用した自動展開 AWS CloudFormation を使用した手動展開 AWS Marketplace を使用した手動展開

  • VPC、サブネット、セキュリティグループ、IPSec VPN トンネル、ゲートウェイなどの AWS インフラストラクチャを AWS アカウントで作成するプロセスがサポートされます。

  • Catalyst Center のインストールが自動的に完了します。

  • VA へのアクセスが提供されます。

  • VA の管理性を備えています。

  • 展開時間は約 1 ~ 1 時間半です。

  • 自動アラートは、Amazon CloudWatch ダッシュボードに送信されます。

  • 自動クラウドバックアップまたはエンタープライズ ネットワーク ファイル システム(NFS)バックアップを選択できます。

  • AWS での Catalyst Center の自動設定ワークフローに手動で変更を加えると、自動展開と競合する可能性があります。

  • AWSCatalyst Center VA を作成するために AWS CloudFormation ファイルが必要です。

  • ユーザーが VPC、サブネット、セキュリティグループなどの AWS インフラストラクチャを AWS アカウントで作成します。

  • ユーザーが VPN トンネルを確立します。

  • ユーザーが Catalyst Center を展開します。

  • 展開には数時間から数日かかります。

  • AWS コンソールを使用してモニタリングを手動で設定する必要があります。

  • バックアップには、オンプレミス NFS のみを設定できます。

  • AWSCatalyst Center VA を作成するために AWS CloudFormation ファイルは必要ありません。

  • ユーザーが VPC、サブネット、セキュリティグループなどの AWS インフラストラクチャを AWS アカウントで作成します。

  • ユーザーが VPN トンネルを確立します。

  • ユーザーが Catalyst Center を展開します。

  • 展開には数時間から数日かかります。

  • AWS コンソールを使用してモニタリングを手動で設定する必要があります。

  • バックアップには、オンプレミス NFS のみを設定できます。

展開の準備

AWSCisco DNA Center を展開する前に、ネットワーク要件、サポートされている AWS 上の Cisco DNA Center の統合機能を実装する必要があるかどうか、および AWS 上の Cisco DNA Center へのアクセス方法を検討してください。

また、ダウンロードした Cisco DNA Center VA TAR ファイルが正規の Cisco TAR ファイルであることを確認することを強く推奨します。Catalyst Center VA の TAR ファイルの確認を参照してください。

高可用性と AWS 上の Cisco DNA Center

AWS 上の Cisco DNA Center の高可用性(HA)環境は次のとおりです。

  • 可用性ゾーン(AZ)内のシングルノード EC2 HA は、デフォルトで有効になっています。

  • Cisco DNA Center の EC2 インスタンスがクラッシュした場合、AWS は同じ IP アドレスを持つ別のインスタンスを自動的に起動します。これにより、中断のない接続が確保され、重要なネットワーク運用の中断が最小限に抑えられます。


    (注)  

    Cisco Global Launchpad を使用して AWSCisco DNA Center を展開したときに、Cisco DNA Center の EC2 インスタンスがクラッシュした場合、AWS は同じ AZ 内の別のインスタンスを自動的に起動します。この場合、AWSCisco DNA Center に別の IP アドレスを割り当てることができます。

  • エクスペリエンスと目標復旧時間(RTO)は、ベアメタル Cisco DNA Center アプライアンスの停電シーケンスと同様です。

AWS 上の Cisco ISEAWS 上の Catalyst Center の統合に関するガイドライン

AWS 上の Cisco ISEAWS 上の Catalyst Center と統合できます。これらをクラウドで統合する際、次のガイドラインを遵守してください。

  • AWS 上の Cisco ISE は、Cisco Global Launchpad で予約済みの VPC とは別の VPC に展開する必要があります。

  • AWS 上の Cisco ISE の VPC は、AWS 上の Catalyst Center の VPC と同じリージョンに配置することも、別のリージョンに配置することもできます。

  • 環境に応じて、VPC またはトランジットゲートウェイ(TGW)のピアリングを使用できます。

  • VPC または TGW ピアリングを使用して AWS 上の Cisco ISEAWS 上の Catalyst Center を接続するには、VPC または TGW ピアリングルートテーブルと、AWS 上の Cisco ISE または AWS 上の Catalyst Center に関連付けられたサブネットに割り当てられているルートテーブルに、必要なルーティングエントリを追加します。

  • Cisco Global Launchpad は、Cisco Global Launchpad によって作成されたエンティティに対するアウトオブバンド変更を検出できません。こうしたエンティティには、VPC、VPN、TGW、TGW アタッチメント、サブネット、ルーティングなどが含まれます。たとえば、Cisco Global Launchpad によって作成された VA ポッドを別のアプリケーションから削除または変更できますが、この変更が Cisco Global Launchpad で認識されない可能性があります。

基本的なアクセスルールに加えて、クラウド内の Cisco ISE インスタンスにセキュリティグループを割り当てるために、次のインバウンドポートを許可する必要があります。

  • AWS 上の Cisco ISEAWS 上の Catalyst Center の統合では、TCP ポート 9060 および 8910 を許可します。

  • RADIUS 認証では、UDP ポート 1812、1813、およびその他の有効なポートを許可します。

  • TACACS を介したデバイス管理では、TCP ポート 49 を許可します。

  • Datagram Transport Layer Security(DTLS)や Radius 認可変更(CoA)などを AWS 上の Cisco ISE に追加設定する場合は、対応するポートを許可します。

AWS 上の Cisco DNA Center にアクセスする際の注意事項

Cisco DNA Center の仮想インスタンスを作成すると、Cisco DNA Center の GUI および CLI を使用してアクセスできます。


重要

Cisco DNA Center の GUI および CLI には、パブリックネットワークからではなく、エンタープライズ ネットワークを介してのみアクセスできます。自動展開方式では、Cisco Global Launchpad によって確実に Cisco DNA Center がエンタープライズ イントラネットからのみアクセス可能になります。手動展開方式では、セキュリティ上の理由から、パブリックイントラネット上で Cisco DNA Center にアクセスできないようにする必要があります。

Cisco DNA Center の GUI にアクセスする際の注意事項

Cisco DNA Center GUI にアクセスするには、次の手順を実行します。

  • サポートされているブラウザを使用してください。サポートされるブラウザの最新リストについては、『Release Notes for Cisco Global Launchpad』[英語] を参照してください。

  • 次の形式でブラウザに Cisco DNA Center インスタンスの IP アドレスを入力します。

    http://ip-address/dna/home

    次に例を示します。

    http://192.0.2.27/dna/home

  • 初回ログイン時に次のログイン情報を使用します。

    ユーザ名:admin

    パスワード:maglev1@3


    (注)  

    Cisco DNA Center に初めてログインすると、このパスワードを変更するよう求められます。パスワードは、以下のルールに従う必要があります。

    • タブまたは改行を省略する

    • 8 文字以上にする

    • 次のうち少なくとも 3 つのカテゴリの文字を含める

      • 小文字(a ~ z)

      • 大文字(A ~ Z)

      • 数字(0 ~ 9)

      • 特殊文字(! や # など)

Cisco DNA Center の CLI にアクセスする際の注意事項

Cisco DNA Center CLI にアクセスするには、次の手順を実行します。

  • Cisco DNA Center の展開方式に応じた IP アドレスとキーを使用します。

    • Cisco Global Launchpad を使用して Cisco DNA Center を展開した場合は、Cisco Global Launchpad によって提供された IP アドレスとキーを使用します。

    • AWS を使用して Cisco DNA Center を手動で展開した場合は、AWS によって提供された IP アドレスとキーを使用します。


      (注)  

      キーは .pem ファイルである必要があります。キーファイルが key.cer ファイル形式でダウンロードされている場合は、ファイル名を key.pem に変更する必要があります。

  • key.pem ファイルのアクセス権限を手動で 400 に変更します。アクセス権限を変更するには、Linux の chmod コマンドを使用します。次に例を示します。

    chmod 400 key.pem

  • Cisco DNA Center の CLI にアクセスするには、次の Linux コマンドを使用します。

    ssh -i key.pem maglev@ip-address -p 2222

    次に例を示します。

    ssh -i key.pem maglev@192.0.2.27 -p 2222

Catalyst Center VA の TAR ファイルの確認

Catalyst Center VA を展開する前に、ダウンロードした TAR ファイルが正規の Cisco TAR ファイルであるかを確認することを強く推奨します。

始める前に

Catalyst Center VA の TAR ファイルは、必ず Cisco ソフトウェアダウンロードサイトからダウンロードする必要があります。

手順

ステップ 1

シスコの指定した場所から署名検証用のシスコ公開キー(cisco_image_verification_key.pub)をダウンロードします。

ステップ 2

シスコが指定した場所から TAR ファイルのセキュア ハッシュ アルゴリズム(SHA512)チェックサムファイルをダウンロードします。

ステップ 3

TAR ファイルの署名ファイル(.sig)をシスコサポートから電子メールで入手するか、セキュアなシスコの Web サイト(利用可能な場合)からダウンロードします。

ステップ 4

(任意) SHA 検証を実行して、不完全なダウンロードによって TAR ファイルが破損していないかを確認します。

オペレーティングシステムに応じて、次のコマンドのいずれかを実行します。

  • Linux システムの場合:sha512sum <tar-file-filename>

  • Mac システムの場合:shasum -a 512 <tar-file-filename>

Microsoft Windows には組み込みのチェックサムユーティリティはありませんが、certutil ツールを使用できます。

certutil -hashfile <filename> sha256

次に例を示します。

certutil -hashfile D:\Customers\Launchpad-desktop-server-1.x.0.tar.gz sha256

Windowsでは、Windows PowerShell を使用してダイジェストを生成することもできます。次に例を示します。 

PS C:\Users\Administrator> Get-FileHash -Path D:\Customers\Launchpad-desktop-server-1.x.0.tar.gz

Algorithm Hash Path
SHA256 <string> D:\Customers\Launchpad-desktop-server-1.x.0.tar.gz

コマンドの出力とダウンロードした SHA512 チェックサムファイルを比較します。コマンド出力が一致しない場合は、TAR ファイルを再度ダウンロードし、もう一度適切なコマンドを実行します。それでも出力が一致しない場合は、シスコサポートにお問い合わせください。

ステップ 5

署名を確認し、TAR ファイルが正規のシスコ製であることを確認します。

openssl dgst -sha512 -verify cisco_image_verification_key.pub -signature <signature-filename> <tar-file-filename>

(注)  

 

このコマンドは Mac と Linux の両方の環境で動作します。Windows の場合、OpenSSL がまだインストールされていなければ、ダウンロードしてインストールする必要があります(OpenSSL Downloads から入手可能)。

TAR ファイルが正規であれば、このコマンドを実行すると、「Verified OK」というメッセージが表示されます。このメッセージが表示されない場合は、TAR ファイルをインストールせず、シスコサポートにご連絡ください。