OpenStack への ASA 仮想 の展開

OpenStack に ASA 仮想 を導入できます。

概要

OpenStack 環境に ASA 仮想 を展開できます。OpenStack は、パブリック クラウドとプライベート クラウドの、クラウド コンピューティング プラットフォームを構築および管理するための一連のソフトウェア ツールで、KVM ハイパーバイザと緊密に統合されています。

ASA 仮想 に対する OpenStack プラットフォームのサポートを有効にすると、オープン ソース クラウド プラットフォームで ASA 仮想 を実行できます。OpenStack は、KVM ハイパーバイザを使用して仮想リソースを管理します。ASA 仮想 デバイスは、KVM ハイパーバイザですでにサポートされています。したがって、OpenStack のサポートを有効にするためにカーネルパッケージやドライバを追加する必要はありません。

ASA 仮想 と OpenStack の前提条件

  • software.cisco.com から ASA 仮想 qcow2 ファイルをダウンロードし、Linux ホストに格納します。

    http://www.cisco.com/go/asa-software

  • ASA 仮想 は、オープンソースの OpenStack 環境と Cisco VIM 管理対象 OpenStack 環境での展開をサポートします。

    OpenStack のガイドラインに従って OpenStack 環境をセットアップします。

  • ASA 仮想 へのライセンス付与。ASA 仮想 にライセンスを付与するまでは、100 回の接続と 100 Kbps のスループットのみが許可される縮退モードで実行されます。「Licenses: Smart Software Licensing」を参照してください。

  • インターフェイスの要件:

    • 管理インターフェイス

    • 内部および外部インターフェイス

  • 通信パス:

    • 管理インターフェイス:ASDM に ASA 仮想 を接続するために使用され、トラフィックには使用できません。

    • 内部インターフェイス(必須):内部ホストに ASA 仮想 を接続するために使用されます。

    • 外部インターフェイス(必須):ASA 仮想 をパブリック ネットワークに接続するために使用されます。

  • 通信パス:

    • ASA 仮想 にアクセスするためのフローティング IP。

  • サポートされている ASA 仮想 の最小バージョン:

    • ASA 9.16.1

  • OpenStack の要件については、「OpenStack の要件」を参照してください。

  • ASA 仮想 システム要件については、Cisco Secure Firewall ASA の互換性 [英語] を参照してください。

注意事項と制約事項

サポートされる機能

OpenStack 上の ASA 仮想 は次の機能をサポートします。

  • OpenStack 環境のコンピューティングノードで実行されている KVM ハイパーバイザへの ASA 仮想 の展開

  • OpenStack CLI

  • Heat テンプレートベースの展開

  • OpenStack Horizon ダッシュボード

  • ライセンス:BYOL のみをサポート

  • CLI および ASDM を使用した ASA 仮想 の管理

  • ドライバ:VIRTIO および SRIOV

  • IPv6

サポートされない機能

OpenStack 上の ASA 仮想 は以下をサポートしません。

  • 自動スケール

  • クラスタ

システム要件

OpenStack 環境は、サポートされているハードウェアとソフトウェアの次の要件に準拠している必要があります。

表 1. ハードウェアおよびソフトウェアの要件

カテゴリ

サポートされるバージョン

注記

サーバー

UCS C240 M5

2 台の UCS サーバーを推奨します。os-controller ノードと os-compute ノードに 1 台ずつです。

要因

VIRTIO、IXGBE、および I40E

サポートされているドライバは次のとおりです。

オペレーティングシステム

Ubuntu Server 20.04

これは、UCS サーバーで推奨されている OS です。

OpenStack バージョン

Wallaby リリース

さまざまな OpenStack リリースの詳細については、次の URL を参照してください。

https://releases.openstack.org/
表 2. Cisco VIM Managed OpenStack のハードウェアとソフトウェアの要件

カテゴリ

サポートされるバージョン

注記

サーバ ハードウェア

UCS C220-M5/UCS C240-M4

os-controller ノードごとに 3 台、os-compute ノードに 2 台以上で、5 台の UCS サーバーを推奨します。

ドライバ(Drivers)

VIRTIO、IXGBE、および I40E

サポートされているドライバは次のとおりです。

Cisco VIM バージョン

Cisco VIM 4.4.3

サポート対象:

  • オペレーティングシステム - Red Hat Enterprise Linux 8.4

  • OpenStack バージョン - OpenStack 16.2(トレインリリース)

詳細については、シスコ仮想インフラストラクチャ マネージャのドキュメント 4.4.3 を参照してください。

図 1. OpenStack プラットフォームトポロジ

OpenStack プラットフォームトポロジは、2 台の UCS サーバーでの一般的な OpenStack セットアップを示しています。

ネットワークトポロジの例

次の図は、ASA 仮想 用の 3 つのサブネット(管理、内部、外部)が OpenStack 内に設定されているルーテッド ファイアウォール モードの ASA 仮想 の推奨ネットワークトポロジを示しています。

図 2. OpenStack への ASA 仮想 の導入例

ASA 仮想 の導入

シスコでは、ASA 仮想 を展開するためのサンプルの Heat テンプレートを提供しています。OpenStack インフラストラクチャのリソースを作成する手順は、ネットワーク、サブネット、およびルータインターフェイスを作成するために、Heat テンプレート(deploy_os_infra.yaml)ファイルで結合されます。ASA 仮想 の展開手順は大まかに次の部分に分類されます。

  • ASA 仮想 qcow2 イメージを OpenStack Glance サービスにアップロードします。

  • ネットワーク インフラストラクチャを作成します。

    • ネットワーク

    • サブネット

    • ルータ インターフェイス

  • ASA 仮想 インスタンスを作成します。

    • フレーバ

    • セキュリティ グループ

    • フローティング IP

    • インスタンス

次の手順を使用して、OpenStack に ASA 仮想 を展開できます。

OpenStack への ASA 仮想 イメージのアップロード

qcow2 イメージ(asav-<version>.qcow2)を OpenStack コントローラノードにコピーし、イメージを OpenStack Glance サービスにアップロードします。

始める前に

Cisco.com から ASA 仮想 qcow2 ファイルをダウンロードし、Linux ホストに格納します。

http://www.cisco.com/go/asa-software


(注)  

Cisco.com のログインおよびシスコ サービス契約が必要です。

手順

ステップ 1

qcow2 イメージファイルを OpenStack コントローラノードにコピーします。

ステップ 2

ASA 仮想 イメージを OpenStack Glance サービスにアップロードします。 

root@ucs-os-controller:$ openstack image create <image_name> --public --disk-
format qcow2 --container-format bare --file ./<asav_qcow2_file>

ステップ 3

ASA 仮想 イメージが正常にアップロードされたことを確認します。

root@ucs-os-controller:$ openstack image list

例:

root@ucs-os-controller:$ openstack image list
+--------------------------------------+----------------------+--------+
| ID                                   | Name                 | Status |+
| 06dd7975-0b6e-45b8-810a-4ff98546a39d | asav-<version>-image | active |+
アップロードしたイメージとそのステータスが表示されます。

次のタスク

deploy_os_infra.yaml テンプレートを使用してネットワーク インフラストラクチャを作成します。

OpenStack と ASA 仮想 のネットワーク インフラストラクチャの作成

始める前に

Heat テンプレートファイルは、フレーバ、ネットワーク、サブネット、ルータインターフェイス、セキュリティグループルールなど、ネットワーク インフラストラクチャと ASA 仮想 に必要なコンポーネントを作成するために必要です。

  • deploy_os_infra.yaml

  • env.yaml

ASA 仮想 バージョンのテンプレートは、GitHub リポジトリの ASA Virtual OpenStack Heat テンプレートから入手できます。


重要

シスコが提供するテンプレートはオープンソースの例として提供しているものであり、通常の Cisco TAC サポートの範囲内では扱われていません。更新と ReadMe の手順については、GitHub を定期的に確認してください。

手順

ステップ 1

インフラストラクチャ Heat テンプレートファイルを展開します。

root@ucs-os-controller:$ openstack stack create <stack-name> -e <environment files name> -t <deployment file name>

例:

root@ucs-os-controller:$ openstack stack create infra-stack -e env.yaml -t deploy_os_infra.yaml

ステップ 2

インフラストラクチャ スタックが正常に作成されたかどうかを確認します。

root@ucs-os-controller:$ openstack stack list

次のタスク

OpenStack で ASA 仮想 インスタンスを作成します。

OpenStack での ASA 仮想 インスタンスの作成

ASA 仮想 Heat テンプレートのサンプルを使用して、OpenStack に ASA 仮想 を導入します。

始める前に

OpenStack で ASA 仮想 を展開するには、次の Heat テンプレートが必要です。

  • deploy_asav.yaml

ASA 仮想 バージョンのテンプレートは、GitHub リポジトリの ASA Virtual OpenStack Heat テンプレートから入手できます。


重要

シスコが提供するテンプレートはオープンソースの例として提供しているものであり、通常の Cisco TAC サポートの範囲内では扱われていません。更新と ReadMe の手順については、GitHub を定期的に確認してください。

手順

ステップ 1

ASA 仮想 Heat テンプレートファイル(deploy_asav.yaml)を展開して、ASA 仮想 インスタンスを作成します。

root@ucs-os-controller:$ openstack stack create asav-stack -e env.yaml-t deploy_asav.yaml

例:

+---------------------+-----------------------------+
| Field               | Value                                |
+---------------------+--------------------------------------+
| id                  | 14624af1-e5fa-4096-bd86-c453bc2928ae |
| stack_name          | asav-stack                           |
| description         | ASAvtemplate                         |
| updated_time        | None                                 |
| stack_status        | CREATE_IN_PROGRESS                   |
| stack_status_reason | Stack CREATE started                 |
+---------------------+--------------------------------------+

ステップ 2

ASA 仮想 スタックが正常に作成されたことを確認します。

root@ucs-os-controller:$ openstack stack list

例:

+--------------------------------------+-------------+----------------------------------+--------+
| ID                                   | Stack Name  | Project                          | Stack Status    |
+--------------------------------------+-------------+----------------------------------+-----------------+
| 14624af1-e5fa-4096-bd86-c453bc2928ae | asav-stack  | 13206e49b48740fdafca83796c6f4ad5 | CREATE_COMPLETE |
| 198336cb-1186-45ab-858f-15ccd3b909c8 | infra-stack | 13206e49b48740fdafca83796c6f4ad5 | CREATE_COMPLETE |
+--------------------------------------+-------------+----------------------------------+-----------------+