Microsoft Azure クラウドへの ASAv の導入

Microsoft Azure クラウドに ASAv を導入できます。

Microsoft Azure クラウドへの ASAv 導入について

Microsoft Azure は、プライベート Microsoft Hyper V ハイパーバイザを使用するパブリック クラウド環境です。ASAv は、Hyper V ハイパーバイザの Microsoft Azure 環境でゲストとして実行されます。Microsoft Azure の ASAv では、Standard D3 および Standard D3_v2 インスタンスがサポートされ、4 つの vCPU、14 GB、および 4 つのインターフェイスを使用できます。

表 1. ASAv 権限付与に基づくライセンス機能の制限

パフォーマンス階層

インスタンスタイプ(コア/RAM)

レート制限

RA VPN セッション制限

ASAv5

D3_v2

4 コア/14 GB

100 Mbps

50

ASAv10

D3_v2

4 コア/14 GB

1 Gbps

250

ASAv30

D3_v2

4 コア/14 GB

[2 Gbps]

750

ASAv50

D4_v2

8 コア/28 GB

5.5 Gbps

10,000

ASAv100

D5_v2

16 コア/56 GB

11 Gbps

20,000

次の方法で Microsoft Azure に ASAv を導入できます。

  • 標準的な Azure パブリック クラウドおよび Azure Government 環境で、Azure Resource Manager を使用してスタンドアロン ファイアウォールとして導入

  • Azure Security Center を使用して統合パートナー ソリューションとして導入

  • 標準的な Azure パブリック クラウドおよび Azure Government 環境で、Azure Resource Manager を使用してハイ アベイラビリティ(HA)ペアとして導入

Azure Resource Manager からの ASAv の導入」を参照してください。標準的な Azure パブリッククラウドおよび Azure Government 環境で ASAv HA 構成を導入できます。

ASAv および Azure の前提条件およびシステム要件

  • Azure.com でアカウントを作成します。

    Microsoft Azure でアカウントを作成したら、ログインして、Microsoft Azure Marketplace 内で ASAv を選択し、ASAv を導入できます。

  • ASAv へのライセンス付与。

    ASAv にライセンスを付与するまでは、100 回の接続と 100 Kbps のスループットのみが許可される縮退モードで実行されます。「Smart Software Licensing for the ASAv」を参照してください。


    (注)  

    Azure に導入する場合、ASAv にはデフォルトで ASAv30 の権限が付与されています。ASAv5、ASAv10、ASAv30、ASAv50、および ASAv100 の権限付与の使用が許可されています。ただし、ASAv5、ASAv10、ASAv30、ASAv50、および ASAv100 の権限付与を使用するためには、スループットレベルを明示的に設定する必要があります。

  • インターフェイスの要件:

    4 つのネットワーク上の 4 つのインターフェイスとともに ASAv を導入する必要があります。任意のインターフェイスにパブリック IP アドレスを割り当てることができます。パブリック IP アドレスの作成、変更、削除など、パブリック IP に関する Azure のガイドラインについては、パブリック IP アドレス [英語] を参照してください。

  • 管理インターフェイス:

    Azure では、最初に定義されたインターフェイスが常に管理インターフェイスです。

  • 通信パス:

    • 管理インターフェイス:SSH アクセス、および ASAv を ASDM に接続するために使用されます。

    • 内部インターフェイス(必須):内部ホストに ASAv を接続するために使用されます。

    • 外部インターフェイス(必須):ASAv をパブリック ネットワークに接続するために使用されます。

    • DMZ インターフェイス(任意):Standard_D3 インターフェイスを使用する場合に、ASAv を DMZ ネットワークに接続するために使用されます。

  • ASAv ハイパーバイザおよび仮想プラットフォームのサポート情報については、Cisco ASA の互換性 [英語] を参照してください。

注意事項と制約事項

サポートされる機能

  • Microsoft Azure クラウドからの導入

  • 選択したインスタンスタイプに基づく最大 16 個の vCPU


    (注)  
    Azure では L2 vSwitch 機能は設定できません。

  • インターフェイスのパブリック IP アドレス

    任意のインターフェイスにパブリック IP アドレスを割り当てることができます。パブリック IP アドレスの作成、変更、削除など、パブリック IP に関する Azure のガイドラインについては、パブリック IP アドレス [英語] を参照してください。

  • ルーテッド ファイアウォール モード(デフォルト)


    (注)  
    ルーテッド ファイアウォール モードでは、ASAv はネットワーク内の従来のレイヤ 3 境界となります。このモードには、各インターフェイスの IP アドレスが必要です。Azure は VLAN タグ付きインターフェイスをサポートしていないため、IP アドレスはタグなしのトランク以外のインターフェイスで設定する必要があります。

既知の問題

アイドル タイムアウト

Azure 上の ASAv には、VM で設定可能なアイドルタイムアウトがあります。最小設定値は 4 分、最大設定値は 30 分です。ただし、SSH セッションでは最小設定値は 5 分、最大設定値は 60 分です。


(注)  

ASAv のアイドルタイムアウトにより、SSH タイムアウトは常に上書きされ、セッションが切断されることに注意してください。セッションがどちらの側からもタイムアウトしないように、VM のアイドルタイムアウトを SSH タイムアウトに合わせることができます。

プライマリ ASAv からスタンバイ ASAv へのフェールオーバー

Azure での ASAv HA 導入で Azure のアップグレードが発生すると、プライマリ ASAv からスタンバイ ASAv へのフェールオーバーが発生する場合があります。Azure のアップグレードにより、プライマリ ASAv が一時停止状態になります。プライマリ ASAv が一時停止している場合、スタンバイ ASAv は hello パケットを受信しません。スタンバイ ASAv がフェールオーバーホールド時間を経過しても hello パケットを受信しない場合、スタンバイ ASAv へのフェールオーバーが発生します。

また、フェールオーバーホールド時間を経過していなくてもフェールオーバーが発生する可能性があります。プライマリ ASAv が一時停止状態に入ってから 19 秒後に再開するシナリオを考えてみましょう。フェールオーバーホールド時間は 30 秒ですが、クロックは約 2 分ごとに同期されるため、スタンバイ ASAv は正しいタイムスタンプの hello パケットを受信しません。その結果、プライマリ ASAv からスタンバイ ASAv へのフェールオーバーが発生します。


(注)  

この機能は IPv4 のみをサポートし、ASA Virtual HA は IPv6 設定ではサポートされません。

サポートされない機能

  • コンソール アクセス(管理は、ネットワーク インターフェイスを介して SSH または ASDM を使用して実行される)

  • ユーザー インスタンス インターフェイスの VLAN タギング

  • ジャンボ フレーム

  • Azure の観点からの、デバイスが所有していない IP アドレスのプロキシ ARP

  • 無差別モード(スニファなし、またはトランスペアレント モードのファイアウォールのサポート)


    (注)  
    Azure ポリシーでは、インターフェイスは無差別モードでは動作できないため、ASAv はトランスペアレント ファイアウォール モードでは動作しません。

  • マルチ コンテキスト モード

  • クラスタ

  • ASAv ネイティブ HA

  • VM のインポート/エクスポート

  • デフォルトでは、Azureクラウド内で稼働する ASAv の FIPS モードは無効になっています。


    (注)  
    FIPS モードを有効にする場合は、ssh key-exchange group dh-group14-sha1 コマンドを使用して、Diffie-Helman キー交換グループをより強力なキーに変更する必要があります。Diffie-Helman グループを変更しないと、ASAv に SSH 接続できなくなるため、グループの変更が、最初に ASAv を管理する唯一の方法です。

  • IPv6

Azure DDoS Protection 機能

Microsoft Azure の Azure DDoS Protection は、ASAv の最前線に実装された追加機能です。仮想ネットワークでこの機能を有効にすると、ネットワークで予想されるトラフィックの 1 秒あたりのパケット数に応じて、一般的なネットワーク層攻撃からアプリケーションを保護するのに役立ちます。この機能は、ネットワーク トラフィック パターンに基づいてカスタマイズできます。

Azure DDoS Protection 機能の詳細については、『Azure DDoS Protection Standard overview』[英語] を参照してください。

導入時に作成されるリソース

Azure に ASAv を展開すると、次のリソースが作成されます。

  • ASAv マシン

  • リソース グループ(既存のリソース グループを選択していない場合)

    ASAv リソースグループは、仮想ネットワークとストレージアカウントで使用するリソースグループと同じである必要があります。

  • vm name-Nic0、vm name-Nic1、vm name-Nic2、vm name-Nic3 という名前の 4 つの NIC

    これらの NIC は、それぞれ ASAv インターフェイスの Management 0/0、GigabitEthernet 0/0、GigabitEthernet 0/1、および GigabitEthernet 0/2 にマッピングされます。


    (注)  

    要件に基づいて、IPv4 のみで VNet を作成できます。

  • VM 名-SSH-SecurityGroup という名前のセキュリティ グループ

    セキュリティグループは、ASAv Management 0/0 にマッピングされる VM の Nic0 にアタッチされます。

    セキュリティ グループには、VPN 目的で SSH、UDP ポート 500、および UDP 4500 を許可するルールが含まれます。導入後に、これらの値を変更できます。

  • パブリック IP アドレス(展開時に選択した値に従って命名)。

    パブリック IP アドレス(IPv4 のみ)

    任意のインターフェイスにパブリック IP アドレスを割り当てることができます。パブリック IP アドレスの作成、変更、削除など、パブリック IP に関する Azure のガイドラインについては、「パブリック IP アドレス」を参照してください。

  • 4 つのサブネットを備えた仮想ネットワーク(既存のネットワークを選択していない場合)

  • サブネットごとのルーティング テーブル(既存の場合は最新のもの)

    このテーブルの名前は、サブネット名-ASAv-RouteTable です。

    各ルーティングテーブルには、ASAv IP アドレスを持つ他の 3 つのサブネットへのルートがネクストホップとして含まれています。トラフィックを他のサブネットまたはインターネットに到達させる必要がある場合は、デフォルトルートを追加することもできます。

  • 選択したストレージアカウントの起動時診断ファイル

    起動時診断ファイルは、ブロブ(サイズの大きいバイナリオブジェクト)内に配置されます。

  • 選択したストレージ アカウントのブロブおよびコンテナ VHD にある 2 つのファイル(名前は、vm name-disk.vhd および vm name-<uuid>.status)

  • ストレージアカウント(既存のストレージアカウントが選択されていない場合)


    (注)  
    VM を削除すると、保持を希望する任意のリソースを除き、これらの各リソースを個別に削除する必要があります。

Azure ルーティング

Azure 仮想ネットワークでのルーティングは、仮想ネットワークの有効なルーティング テーブルによって決まります。有効なルーティング テーブルは、既存のシステム ルーティング テーブルとユーザー定義のルーティング テーブルの組み合わせです。


(注)  

ASAv では、Azure クラウドルーティングの特性により、EIGRP や OSPF などのダイナミックな内部ルーティングプロトコルを使用できません。有効なルーティング テーブルは、仮想クライアントにスタティック/ダイナミック ルートが設定されているかどうかに関係なく、ネクスト ホップを決定します。

現在、有効なルーティング テーブルまたはシステム ルーティング テーブルはどちらも表示できません。

ユーザー定義のルーティング テーブルは表示および編集できます。システム テーブルとユーザー定義のテーブルを組み合わせて有効なルーティング テーブルを形成した場合、最も限定的なルート(同位のものを含め)がユーザー定義のルーティング テーブルに含められます。システム ルーティング テーブルには、Azure の仮想ネットワーク インターネット ゲートウェイを指すデフォルトルート(0.0.0.0/0)が含まれます。また、システム ルーティング テーブルには、Azure の仮想ネットワーク インフラストラクチャ ゲートウェイを指すネクストホップとともに、他の定義済みのサブネットへの固有ルートが含まれます。

ASAv を介してトラフィックをルーティングするために、ASAv 導入プロセスで、ASAv をネクストホップとして使用する他の 3 つのサブネットへのルートが各サブネットに追加されます。サブネット上の ASAv インターフェイスを指すデフォルトルート(0.0.0.0/0)を追加することもできます。これで、サブネットからのトラフィックはすべて ASAv を介して送信されますが、場合によっては、トラフィックを処理する前に、ASAv ポリシーを設定する必要があります(通常は NAT/PAT を使用)。

システム ルーティング テーブル内の既存の限定的なルートのために、ユーザー定義のルーティングテーブルに、ネクストホップとして ASAv を指す限定的なルートを追加する必要があります。追加しないと、ユーザー定義のテーブル内のデフォルトルートではなく、システム ルーティング テーブル内のより限定的なルートが選択され、トラフィックは ASAv をバイパスします。

仮想ネットワーク内の VM のルーティング設定

Azure 仮想ネットワーク内のルーティングは、クライアントの特定なゲートウェイ設定ではなく、有効なルーティングテーブルに依存します。仮想ネットワーク内で稼働するクライアントは、DHCPによって、それぞれのサブネット上の 1 アドレスとなるルートを指定されることがあります。これはプレースホルダで、仮想ネットワークのインフラストラクチャ仮想ゲートウェイにパケットを送信するためにだけ使用されます。パケットは、VM から送信されると、有効なルーティングテーブル(ユーザー定義のテーブルによって変更された)に従ってルーティングされます。有効なルーティング テーブルは、クライアントでゲートウェイが 1 として、または ASAv アドレスとして設定されているかどうかに関係なく、ネクストホップを決定します。

Azure VM ARP テーブルには、すべての既知のホストに対して同じ MAC アドレス(1234.5678.9abc)が表示されます。これによって、Azure VM からのすべてのパケットが、有効なルーティングテーブルを使用してパケットのパスを決定する Azure ゲートウェイに到達するように保証されます。


(注)  

ASAv では、Azure クラウドルーティングの特性により、EIGRP や OSPF などのダイナミックな内部ルーティングプロトコルを使用できません。有効なルーティング テーブルは、仮想クライアントにスタティック/ダイナミック ルートが設定されているかどうかに関係なく、ネクスト ホップを決定します。

IP アドレス

次の情報は Azure の IP アドレスに適用されます。

  • ASAv インターフェイスの IP アドレスを設定するには、DHCP を使用する必要があります。

    Azure インフラストラクチャは、Azure に設定された IP アドレスが確実に ASAv インターフェイスに割り当てられるように動作します。

  • Management 0/0 には、それが接続されているサブネット内のプライベート IP アドレスが割り当てられます。

    パブリック IP アドレスは、プライベート IP アドレスに関連付けられる場合があり、Azure インターネット ゲートウェイは NAT 変換を処理します。

  • 任意のインターフェイスにパブリック IP アドレスを割り当てることができます。

  • ダイナミック パブリック IP アドレスは Azure の停止/開始サイクル中に変更される場合があります。ただし、Azure の再起動時および ASAv のリロード時には、パブリック IP アドレスは保持されます。

  • スタティック パブリック IP アドレスは Azure 内でそれらを変更するまで変わりません。

DNS

すべての Azure 仮想ネットワークが、次のように使用できる 168.63.129.16 で、組み込みの DNS サーバーにアクセスできます。

configure terminal
dns domain-lookup management
dns server-group DefaultDNS
 name-server 168.63.129.16
end

この構成は、Smart Licensing を設定し、専用の DNS サーバーをセットアップしていない場合に使用できます。

Microsoft Azure への ASAv の導入

Microsoft Azure に ASAv を導入できます。

  • 標準的な Azure パブリッククラウドおよび Azure Government 環境で、Azure Resource Manager を使用してスタンドアロン ファイアウォールとして ASAv を導入します。「Azure Resource Manager からの ASAv の導入」を参照してください。

  • Azure Security Center を使用して、Azure 内の統合パートナーソリューションとして ASAv を導入します。セキュリティを重視するお客様には、Azure ワークロードを保護するためのファイアウォールオプションとして ASAv が提供されます。セキュリティ イベントとヘルス イベントが単一の統合ダッシュボードからモニターされます。「Azure Security Center からの ASAv の導入」を参照してください。

  • Azure Resource Manager を使用して ASAv 高可用性ペアを導入します。冗長性を確保するために、ASAv をアクティブ/バックアップ高可用性(HA)設定で導入できます。パブリッククラウドでの HA では、アクティブな ASAv の障害時に、バックアップ ASAv へのシステムの自動フェールオーバーをトリガーできるステートレスなアクティブ/バックアップソリューションが実装されます。「Azure Resource Manager からの ASAv for High Availability の導入」を参照してください。

Azure Resource Manager からの ASAv の導入

次の手順は、ASAv で Microsoft Azure をセットアップする手順の概略を示しています。Azure の設定の詳細な手順については、『Azure を使ってみる』を参照してください。

Azure に ASAv を導入すると、リソース、パブリック IP アドレス、ルートテーブルなどのさまざまな設定が自動的に生成されます。導入後に、これらの設定をさらに管理できます。たとえば、アイドルタイムアウト値を、デフォルトの短いタイムアウトから変更することができます。

手順

ステップ 1

Azure Resource Manager(ARM)ポータルにログインします。

Azure ポータルは、データセンターの場所に関係なく、現在のアカウントとサブスクリプションに関連付けられた仮想要素を表示します。

ステップ 2

Cisco ASAv のマーケットプレイスを検索し、導入する ASAv をクリックします。

ステップ 3

基本的な設定を行います。

  1. 仮想マシンの名前を入力します。この名前は Azure サブスクリプション内で一意である必要があります。

    重要

     
    名前が一意でなく、既存の名前を再使用すると、導入に失敗します。

  2. ユーザー名を入力します。

  3. 認証タイプとして、[パスワード(Password)] または [SSH公開キー(SSH public key)] を選択します。

    [パスワード(Password)] を選択した場合は、パスワードを入力して確定します。

  4. サブスクリプション タイプを選択します。

  5. [Resource group] を選択します。

    リソース グループは、仮想ネットワークのリソース グループと同じである必要があります。

  6. 場所を選択します。

    場所は、ネットワークおよびリソース グループと同じである必要があります。

  7. [OK] をクリックします。

ステップ 4

ASAv の設定項目を設定します。

  1. 仮想マシンのサイズを選択します。

    ASAv では、Standard D3 および Standard D3_v2 がサポートされます。

  2. ストレージアカウントを選択します。

    既存のストレージアカウントを使用するほか、新規に作成することもできます。ストレージ アカウントの場所はネットワークおよび仮想マシンと同じである必要があります。

  3. [Name] フィールドに IP アドレスのラベルを入力し、[OK] をクリックして、パブリック IP アドレスを要求します。

    Azure は、VM を停止して再起動すると変更される可能性のある、ダイナミック パブリック IP をデフォルトでは作成します。固定 IP アドレスを優先する場合は、ポータルのパブリック IP を開き、ダイナミック アドレスからスタティック アドレスに変更します。

  4. 必要に応じて、DNS のラベルを追加します。

    完全修飾ドメイン名は、DNS ラベルと Azure URL の組み合わせで、<dnslabel>.<location>.cloupapp.azure.com の形式になります。

  5. 既存の仮想ネットワークを選択するか、新しい仮想ネットワークを作成します。

  6. ASAv を導入する 4 つのサブネットを設定し、[OK] をクリックします。

    重要

     
    各インターフェイスを一意のサブネットにアタッチする必要があります。

  7. [OK] をクリックします。

ステップ 5

構成サマリを確認し、[OK] をクリックします。

ステップ 6

利用条件を確認し、[作成(Create)] をクリックします。

次のタスク

  • SSH を介して入力できる CLI コマンドを使用するか、または ASDM を使用して、設定を続行します。ASDM にアクセスする手順については、「ASDM の開始」を参照してください。

Azure Security Center からの ASAv の導入

Microsoft Azure Security Center は、お客様がクラウド導入に対するセキュリティ リスクを防御、検出、および軽減できるようにする Azure 向けのセキュリティ ソリューションです。Security Center のダッシュボードから、セキュリティ ポリシーを設定したり、セキュリティ設定をモニターしたり、セキュリティ アラートを表示したりできます。

Security Center は、Azure リソースのセキュリティ状態を分析して、潜在的なセキュリティの脆弱性を特定します。推奨事項のリストに従い、必要なコントロールを設定するプロセスを実行します。対象には、Azure のお客様に対するファイアウォール ソリューションとしての ASAv の導入を含めることができます。

Security Center の統合ソリューションのように、数クリックで ASAv をすばやく導入し、単一のダッシュボードからセキュリティイベントと正常性イベントをモニターできます。次の手順は、Security Center から ASAv を導入する手順の概要です。詳細については、『Azure Security Center』を参照してください。

手順

ステップ 1

Azure ポータルにログインします。

Azure ポータルは、データセンターの場所に関係なく、現在のアカウントとサブスクリプションに関連付けられた仮想要素を表示します。

ステップ 2

Microsoft Azure メニューから、[Security Center] を選択します。

初めて Security Center にアクセスする場合は、[Welcome] ブレードが開きます。[Yes! I want to Launch Azure Security Center] を選択して、[Security Center] ブレードを開き、データ収集を有効にします。

ステップ 3

[Security Center] ブレードで、[Policy] タイルを選択します。

ステップ 4

[Security policy] ブレードで、[Prevention policy] を選択します。

ステップ 5

[Prevention policy] ブレードで、セキュリティ ポリシーの一部として表示する推奨事項をオンにします。

  1. [Next generation firewall] を [On] に設定します。これで、ASAv が Security Center 内の推奨ソリューションとなります。

  2. 必要に応じて、他の推奨事項を設定します。

ステップ 6

[Security Center] ブレードに戻って、[Recommendations] タイルを選択します。

Security Center は、Azure リソースのセキュリティ状態を定期的に分析します。Security Center が潜在的なセキュリティの脆弱性を特定すると、[Recommendations] ブレードに推奨事項が表示されます。

ステップ 7

[Recommendations] ブレードで [Add a Next Generation Firewall] 推奨事項を選択して、詳細を表示したり、問題を解決するためのアクションを実行したりします。

ステップ 8

[新規作成(Create New)] または [既存のソリューションを使用(Use existing solution)] を選択してから、導入する ASAv をクリックします。

ステップ 9

基本的な設定を行います。

  1. 仮想マシンの名前を入力します。この名前は Azure サブスクリプション内で一意である必要があります。

    重要

     
    名前が一意でなく、既存の名前を再使用すると、導入に失敗します。

  2. ユーザー名を入力します。

  3. 認証のタイプとして、パスワードまたは SSH キーのいずれかを選択します。

    パスワードを選択した場合は、パスワードを入力して確定します。

  4. サブスクリプション タイプを選択します。

  5. リソース グループを選択します。

    リソース グループは、仮想ネットワークのリソース グループと同じである必要があります。

  6. 場所を選択します。

    場所は、ネットワークおよびリソース グループと同じである必要があります。

  7. [OK] をクリックします。

ステップ 10

ASAv の設定項目を設定します。

  1. 仮想マシンのサイズを選択します。

    ASAv では、Standard D3 および Standard D3_v2 がサポートされます。

  2. ストレージアカウントを選択します。

    既存のストレージアカウントを使用するほか、新規に作成することもできます。ストレージ アカウントの場所はネットワークおよび仮想マシンと同じである必要があります。

  3. [Name] フィールドに IP アドレスのラベルを入力し、[OK] をクリックして、パブリック IP アドレスを要求します。

    Azure は、VM を停止して再起動すると変更される可能性のある、ダイナミック パブリック IP をデフォルトでは作成します。固定 IP アドレスを優先する場合は、ポータルのパブリック IP を開き、ダイナミック アドレスからスタティック アドレスに変更します。

  4. 必要に応じて、DNS のラベルを追加します。

    完全修飾ドメイン名は、DNS ラベルと Azure URL の組み合わせで、<dnslabel>.<location>.cloupapp.azure.com の形式になります。

  5. 既存の仮想ネットワークを選択するか、新しい仮想ネットワークを作成します。

  6. ASAv を導入する 4 つのサブネットを設定し、[OK] をクリックします。

    重要

     
    各インターフェイスを一意のサブネットにアタッチする必要があります。

  7. [OK] をクリックします。

ステップ 11

構成サマリを確認し、[OK] をクリックします。

ステップ 12

利用条件を確認し、[作成(Create)] をクリックします。

次のタスク

  • SSH を介して入力できる CLI コマンドを使用するか、または ASDM を使用して、設定を続行します。ASDM にアクセスする手順については、「ASDM の開始」を参照してください。

  • Security Center 内の推奨事項がどのように Azure リソースの保護に役立つかの詳細については、Security Center から入手可能なマニュアルを参照してください。

Azure Resource Manager からの ASAv for High Availability の導入

次の手順は、Microsoft Azure で高可用性(HA)ASAv ペアを設定する手順の概略を示しています。Azure の設定の詳細な手順については、『Azure を使ってみる』を参照してください。

Azure の ASAv HA では、2 つの ASAv を可用性セットに導入し、リソース、パブリック IP アドレス、ルートテーブルなどの各種設定を自動的に生成します。導入後に、これらの設定をさらに管理できます。

手順

ステップ 1

Azure ポータルにログインします。

Azure ポータルは、データセンターの場所に関係なく、現在のアカウントとサブスクリプションに関連付けられた仮想要素を表示します。

ステップ 2

マーケットプレイスで [Cisco ASAv] を検索し、[ASAv 4 NIC HA] をクリックして、フェールオーバー ASAv 構成を導入します。

ステップ 3

[Basics] 設定を構成します。

  1. ASAv マシン名のプレフィックスを入力します。ASAv の名前は「プレフィックス」-A と「プレフィックス」-B になります。

    重要

     
    既存のプレフィックスを使用していないことを確認します。使用すると、導入は失敗します。

  2. ユーザー名を入力します。

    これは両方の仮想マシンの管理ユーザー名です。

    重要

     
    Azure では、admin というユーザー名は使用できません。

  3. 両方の仮想マシンに認証タイプとして、[Password] または [SSH public key] のいずれかを選択します。

    [パスワード(Password)] を選択した場合は、パスワードを入力して確定します。

  4. サブスクリプション タイプを選択します。

  5. [Resource group] を選択します。

    [Create new] を選択して新しいリソース グループを作成するか、[Use existing] で既存のリソース グループを選択します。既存のリソース グループを使用する場合は、空である必要があります。そうでない場合は、新しいリソース グループを作成する必要があります。

  6. [Location] を選択します。

    場所は、ネットワークおよびリソース グループと同じである必要があります。

  7. [OK] をクリックします。

ステップ 4

[Cisco ASAv settings] を設定します。

  1. 仮想マシンのサイズを選択します。

    ASAv では、Standard D3 および Standard D3_v2 がサポートされます。

  2. [Managed] または [Unmanaged OS disk] ストレージを選択します。

    重要

     
    ASA HA モードでは常に [Managed] を使用します。

ステップ 5

[ASAv-A] 設定を構成します。

  1. (オプション)[Create new] を選択して、[Name] フィールドに IP アドレスのラベルを入力し、[OK] をクリックしてパブリック IP アドレスを要求します。パブリック IP アドレスが必要ない場合は、[None] を選択します。

    (注)  

     

    Azure は、VM を停止して再起動すると変更される可能性のある、ダイナミック パブリック IP をデフォルトでは作成します。固定 IP アドレスを優先する場合は、ポータルのパブリック IP を開き、ダイナミック アドレスからスタティック アドレスに変更します。

  2. 必要に応じて、DNS のラベルを追加します。

    完全修飾ドメイン名は、DNS ラベルと Azure URL の組み合わせで、<dnslabel>.<location>.cloupapp.azure.com の形式になります。

  3. ASAv-A 起動時診断のストレージ アカウントに必要な設定を構成します。

ステップ 6

[ASAv-B] 設定についても、この手順を繰り返します。

ステップ 7

既存の仮想ネットワークを選択するか、新しい仮想ネットワークを作成します。

  1. ASAv を導入する 4 つのサブネットを設定し、[OK] をクリックします。

    重要

     
    各インターフェイスを一意のサブネットにアタッチする必要があります。

  2. [OK] をクリックします。

ステップ 8

構成の [Summary] を確認し、[OK] をクリックします。

ステップ 9

利用条件を確認し、[作成(Create)] をクリックします。

次のタスク

  • SSH を介して入力できる CLI コマンドを使用するか、または ASDM を使用して、設定を続行します。ASDM にアクセスする手順については、「ASDM の開始」を参照してください。

  • Azure の ASAv HA 構成の詳細については、『ASA Series General Operations Configuration Guide』の「Failover for High Availability in the Public Cloud」の章を参照してください。