Alibaba Cloud への ASA Virtual の導入

Cisco 適応型セキュリティ仮想アプライアンスは、物理的な Cisco ASA と同じソフトウェアを実行して、仮想フォームファクタにおいて実証済みのセキュリティ機能を提供します。パブリック Alibaba Cloud に ASA Virtual を導入および設定して、仮想および物理データセンターのワークロードを保護できます。ASA Virtual では、時間の経過とともに場所を拡張、縮小、または移動できます。


重要

9.13(1) 以降では、サポートされているすべての ASA Virtual vCPU/メモリ構成ですべての ASA Virtual ライセンスを使用できるようになり、ASA Virtual ライセンスを使用し、ASA Virtual を使用しているお客様は、さまざまな VM リソースフットプリントで実行できます。また、ASA Virtual ライセンスでは、サポート対象の Alibaba インスタンスタイプの数も増えます。

Alibaba Cloud への ASA Virtual の導入について

Alibaba がサポートするインスタンスタイプ

ASA Virtual は、次の Alibaba インスタンスタイプをサポートしています。


(注)  

ASA Virtual では、最低 3 つのインターフェース(ENI)およびインスタンスをサポートするために最大 4 つのインターフェースが必要です。

ネットワーク要件

  • 基本的な ASA Virtual サポート用に、最低 1 つの vSwitch(サブネット)を持つ 1 つの VPC を作成します。

  • vSwitch は、インスタンスの導入先と同じゾーンにある必要があり、同じゾーンにない場合は作成する必要があります。

関連資料

インスタンスタイプとその設定の詳細については、『Alibaba Cloud』を参照してください。

ASA Virtual および Alibaba の前提条件

  • https://www.alibabacloud.com/ でアカウントを作成します。

  • Cisco.com から ASA Virtual の qcow2 ファイルをダウンロードし、Linux ホストに格納します。

    http://www.cisco.com/go/asa-software


    (注)  

    Cisco.com のログインおよびシスコ サービス契約が必要です。

  • ASA Virtual にライセンスを付与します。ライセンスを付与するまで、ASA Virtual は、100 回の接続と 100 Kbps のスループットのみが許可される縮退モードで実行されます。「ASA 仮想 のライセンス」を参照してください。

  • インターフェイスの要件:

    • 管理インターフェイス

    • 内部および外部インターフェイス

  • 通信パス:

    • 管理インターフェイス:ASDM に ASA Virtual を接続するために使用され、トラフィックの通過には使用できません。

    • 内部インターフェイス(必須):内部ホストに ASA Virtual を接続するために使用されます。

    • 外部インターフェイス(必須):ASA Virtual をパブリックネットワークに接続するために使用されます。

  • ASA Virtual のシステム要件については、Cisco ASA の互換性 [英語] を参照してください。

ASA Virtual と Alibaba の機能サポートと制限事項

サポートされる機能

Alibaba 上の ASA Virtual は、次の機能をサポートしています。

  • QCOW2 イメージパッケージ

  • 基本的な製品の稼働

  • Day-0 構成

  • 公開キーまたはパスワードを使用した SSH

  • デバッグ目的で ASA Virtual にアクセスするための Alibaba UI コンソール。

  • Alibaba UI の停止/再起動

  • サポートされているインスタンスタイプ:ecs.g5ne.large、ecs.g5ne.xlarge、ecs.g5ne.2xlarge、および ecs.g5ne.4xlarge

  • BYOL ライセンスのサポート

サポートされない機能

Alibaba 上の ASA Virtual は、バージョン 7.2 では次の機能をサポートしていません。

  • 高可用性機能

  • 自動スケール

  • IPv6

  • SR-IOV

制限事項

  • サブネットレベルのルーティングが許可されていないため、Alibaba では同じ VPC 内の East-West トラフィックはサポートされていません。

  • トランスペアレントモード、インラインモード、およびパッシブモードは現在サポートされていません。

  • ASA Virtual アプリケーションを導入するには、ネットワーク拡張インスタンス仕様ファミリ g5ne を使用することを推奨します。

  • ジャンボフレームは、Alibaba の少数のインスタンスタイプに限定されているためサポートされていません。

関連資料

詳細については、Alibaba Cloud を参照してください。

Alibaba への ASA Virtual の導入

導入する ASA Virtual のイメージが [イメージの設定(Image Configuration)] ページに表示されていることを確認します。

手順

ステップ 1

https://www.alibabacloud.com/ にログインし、地域を選択します。

(注)  

 

Alibaba は互いに分離された複数の地域に分割されています。地域は、画面の右上隅に表示されます。ある地域内のリソースは、別の地域には表示されません。目的の地域内に自分がいることを定期的に確認してください。

ステップ 2

カスタム仮想化イメージの作成

Alibaba は QCOW2 イメージのみをサポートしています。

  1. Object Storage Service(OSS)に移動し、バケットを作成して、次の手順を実行します。

    バケット名は、Alibaba プロジェクト内でグローバルに一意である必要があります。

    1. ローカルディレクトリから Alibaba バケットに QCOW2 イメージをアップロードします。

    2. 左側のナビゲーションウィンドウで[バケット(Buckets)] > [ASA Virtualバケット(ASA Virtualbucket)] > [アップロード(Upload)]の順に選択します。

    3. アップロードが正常に完了したら、[プライベート(Private)] を ACL として選択し、オブジェクトの詳細に記載されている OSS オブジェクトアドレスをコピーします。

    4. バケットからカスタムイメージの OSS オブジェクトアドレスを貼り付けます。

    5. [Linux] を OS としてを選択し、[その他のLinux(Others Linux)] をバリアントタイプとして選択します。

    6. システムアーキテクチャには [x86_64] をシステムアーキテクチャとして選択します。

    7. イメージ形式には [QCOW2] を選択します。

    8. [BYOL] をライセンス タイプとして 選択します。

  2. 前のステップの準仮想化イメージからインスタンスを作成します。

    1. 左側のナビゲーションウィンドウで[イメージ(Images)] > [カスタムイメージ(Custom Image)] > [アクション(Actions)] > [インスタンスの作成(Create Instance)]の順に選択します。

ステップ 3

カスタムイメージからインスタンスを作成

  1. Elasticコンピューティング サービス(Elastic Compute Service)] > [インスタンスの作成(Create Instance)]に移動して、以下を選択します。

    1. [課金方式 (Billing Method)]:従量制課金(Pay-As-You-Go)

    2. [地域(Region)]:要件に従って選択。

    3. [インスタンスタイプ(Instance Type)]: ecs.g5ne.large / ecs.g5ne.xlarge /ecs.g5ne.2xlarge /ecs.g5ne.4xlarge

    4. [数量(Quantity)]:必要に応じて設定。

    5. [イメージ(Image)]:前のセクションで作成したカスタムイメージ。

    6. [システムディスク(System Disk)]:最小値の 20GB。

  2. さらに続行するには、次の内容選択します。

    1. [VPC]:ASA Virtual が導入される VPC。

    2. [Vswitch]:プライマリインターフェイスのサブネット。

    3. [パブリックIPv4アドレスの割り当て(Assign Public IPv4 Address)]:SSH 経由で接続する必要があります(選択されていない場合、ASA Virtual には、UI から Alibaba のコンソール接続を介してのみアクセスできます)。

    4. [セキュリティグループ(Security Group)] : 適切なセキュリティグループを選択します。

    5. [インターフェイス(Interfaces)]:プライマリ インターフェイスは、手順 2 で選択したサブネットに属しています。インスタンスは 2 つのインターフェイスで展開でき、残りは展開後に紐づけできます。

  3. 次のセクションに移動して、以下を実行します。

    1. [キーペア(Key-Pair)]:キーベースのログインの場合、まだ行われていない場合はキー ペアを生成します。パスワードを使用してインスタンスにアクセスすることもできます。

    2. [インスタンス名(Instance-name)]:適切なインスタンスの名前。

    3. [第 0 日(ユーザーデータ)(Day-0 (User Data))]:要件に従って第 0 日用構成を指定します(Base64 エンコードは選択しないでください)。

      第 0 日用構成の例

      
! ASA Version 9.x! required config start
interface management0/0
management-only
nameif management
security-level 100
ip address dhcp
no shut
!
crypto key generate rsa modulus 2048 noconfirm
ssh 0 0 management
ssh timeout 60
ssh version 2
username admin nopassword privilege 15
username admin attributes
service-type admin
aaa authentication ssh console LOCAL
! required config end

  4. 利用規約に同意してインスタンスを作成します。

ステップ 4

[インスタンスの起動(Launch Instance)] をクリックして、ASA Virtual を導入します。

Alibaba での ASAv のパフォーマンス調整

VPN の最適化

Alibaba c5 インスタンスは、以前の c3、c4、および m4 インスタンスよりもはるかに高いパフォーマンスを提供します。c5 インスタンスファミリでのおおよその RA VPN スループット(AES-CBC 暗号化による 450B TCP トラフィックを使用する DTLS)は、以下のようである必要があります。

  • 0.5 Gbps(c5.large)

  • 1 Gbps(c5.xlarge)

  • 2 Gbps(c5.2xlarge)

  • 4Gbps(c5.4xlarge)