Microsoft Azure クラウドへの ASAv の導入

Microsoft Azure クラウドに ASAv を導入できます。

Microsoft Azure クラウドへの ASAv 導入について

Microsoft Azure は、プライベート Microsoft Hyper V ハイパーバイザを使用するパブリック クラウド環境です。ASAv は、Hyper V ハイパーバイザの Microsoft Azure 環境でゲストとして実行されます。Microsoft Azure の ASAv では、Standard D3 および Standard D3_v2 インスタンスがサポートされ、4 つの vCPU、14 GB、および 4 つのインターフェイスを使用できます。

表 1. ASAv 権限付与に基づくライセンス機能の制限

パフォーマンス階層

インスタンスタイプ(コア/RAM)

レート制限(Rate Limit)

RA VPN セッション制限

ASAv5

D3_v2

4 コア/14 GB

100 Mbps

50

ASAv10

D3_v2

4 コア/14 GB

1 Gbps

250

ASAv30

D3_v2

4 コア/14 GB

[2 Gbps]

750

ASAv50

D4_v2

8 コア/28 GB

5.5 Gbps

10,000

ASAv100

D5_v2

16 コア/56 GB

11 Gbps

20,000

次の方法で Microsoft Azure に ASAv を導入できます。

  • 標準的な Azure パブリック クラウドおよび Azure Government 環境で、Azure Resource Manager を使用してスタンドアロン ファイアウォールとして導入

ASAv および Azure の前提条件およびシステム要件

  • Azure.com でアカウントを作成します。

    Microsoft Azure でアカウントを作成したら、ログインして、Microsoft Azure Marketplace 内で ASAv を選択し、ASAv を導入できます。

  • ASAv へのライセンス付与。

    ASAv にライセンスを付与するまでは、100 回の接続と 100 Kbps のスループットのみが許可される縮退モードで実行されます。「Smart Software Licensing for the ASAv」を参照してください。


    (注)  


    Azure に導入する場合、ASAv にはデフォルトで ASAv30 の権限が付与されています。ASAv5、ASAv10、ASAv30、ASAv50、および ASAv100 の権限付与の使用が許可されています。ただし、ASAv5、ASAv10、ASAv30、ASAv50、および ASAv100 の権限付与を使用するためには、スループットレベルを明示的に設定する必要があります。


  • インターフェイスの要件:

    4 つのネットワーク上の 4 つのインターフェイスとともに ASAv を導入する必要があります。任意のインターフェイスにパブリック IP アドレスを割り当てることができます。パブリック IP アドレスの作成、変更、削除など、パブリック IP に関する Azure のガイドラインについては、パブリック IP アドレス [英語] を参照してください。

  • 管理インターフェイス:

    Azure では、最初に定義されたインターフェイスが常に管理インターフェイスです。そして、Azure パブリック IP アドレスを関連付けることができる唯一のインターフェイスです。このため、Azure 内の ASAv は管理インターフェイス上でのデータトラフィックの通過を許可します。そのため、管理インターフェイスの初期設定には、[management-only] の設定は含まれていません。

  • 通信パス:

    • 管理インターフェイス:SSH アクセス、および ASAv を ASDM に接続するために使用されます。

    • 内部インターフェイス(必須):内部ホストに ASAv を接続するために使用されます。

    • 外部インターフェイス(必須):ASAv をパブリック ネットワークに接続するために使用されます。

    • DMZ インターフェイス(任意):Standard_D3 インターフェイスを使用する場合に、ASAv を DMZ ネットワークに接続するために使用されます。

  • ASAv ハイパーバイザおよび仮想プラットフォームのサポート情報については、Cisco ASA の互換性 [英語] を参照してください。

注意事項と制約事項

サポートされる機能

  • Microsoft Azure クラウドからの導入

  • 選択したインスタンスタイプに基づく最大 16 個の vCPU


    (注)  


    Azure では L2 vSwitch 機能は設定できません。
  • インターフェイスのパブリック IP アドレス

    任意のインターフェイスにパブリック IP アドレスを割り当てることができます。パブリック IP アドレスの作成、変更、削除など、パブリック IP に関する Azure のガイドラインについては、パブリック IP アドレス [英語] を参照してください。

  • ルーテッド ファイアウォール モード(デフォルト)


    (注)  


    ルーテッド ファイアウォール モードでは、ASAv はネットワーク内の従来のレイヤ 3 境界となります。このモードには、各インターフェイスの IP アドレスが必要です。Azure は VLAN タグ付きインターフェイスをサポートしていないため、IP アドレスはタグなしのトランク以外のインターフェイスで設定する必要があります。

既知の問題

アイドル タイムアウト

Azure 上の ASAv には、VM で設定可能なアイドルタイムアウトがあります。最小設定値は 4 分、最大設定値は 30 分です。ただし、SSH セッションでは最小設定値は 5 分、最大設定値は 60 分です。


(注)  


ASAv のアイドルタイムアウトにより、SSH タイムアウトは常に上書きされ、セッションが切断されることに注意してください。セッションがどちらの側からもタイムアウトしないように、VM のアイドルタイムアウトを SSH タイムアウトに合わせることができます。


プライマリ ASAv からスタンバイ ASAv へのフェールオーバー

Azure での ASAv HA 導入で Azure のアップグレードが発生すると、プライマリ ASAv からスタンバイ ASAv へのフェールオーバーが発生する場合があります。Azure のアップグレードにより、プライマリ ASAv が一時停止状態になります。プライマリ ASAv が一時停止している場合、スタンバイ ASAv は hello パケットを受信しません。スタンバイ ASAv がフェールオーバーホールド時間を経過しても hello パケットを受信しない場合、スタンバイ ASAv へのフェールオーバーが発生します。

また、フェールオーバーホールド時間を経過していなくてもフェールオーバーが発生する可能性があります。プライマリ ASAv が一時停止状態に入ってから 19 秒後に再開するシナリオを考えてみましょう。フェールオーバーホールド時間は 30 秒ですが、クロックは約 2 分ごとに同期されるため、スタンバイ ASAv は正しいタイムスタンプの hello パケットを受信しません。その結果、プライマリ ASAv からスタンバイ ASAv へのフェールオーバーが発生します。


(注)  


この機能は IPv4 のみをサポートし、ASA Virtual HA は IPv6 設定ではサポートされません。


サポートされない機能

  • コンソール アクセス(管理は、ネットワーク インターフェイスを介して SSH または ASDM を使用して実行される)

  • ユーザー インスタンス インターフェイスの VLAN タギング

  • ジャンボ フレーム

  • Azure の観点からの、デバイスが所有していない IP アドレスのプロキシ ARP

  • 無差別モード(スニファなし、またはトランスペアレント モードのファイアウォールのサポート)


    (注)  


    Azure ポリシーでは、インターフェイスは無差別モードでは動作できないため、ASAv はトランスペアレント ファイアウォール モードでは動作しません。
  • マルチ コンテキスト モード

  • クラスタ

  • ASAv ネイティブ HA。


    (注)  


    ステートレスのアクティブ/バックアップ高可用性(HA)設定で ASAv を Azure に展開できます。


  • VM のインポート/エクスポート

  • デフォルトでは、Azureクラウド内で稼働する ASAv の FIPS モードは無効になっています。


    (注)  


    FIPS モードを有効にする場合は、ssh key-exchange group dh-group14-sha1 コマンドを使用して、Diffie-Helman キー交換グループをより強力なキーに変更する必要があります。Diffie-Helman グループを変更しないと、ASAv に SSH 接続できなくなるため、グループの変更が、最初に ASAv を管理する唯一の方法です。
  • IPv6

Azure DDoS Protection 機能

Microsoft Azure の Azure DDoS Protection は、ASAv の最前線に実装された追加機能です。仮想ネットワークでこの機能を有効にすると、ネットワークで予想されるトラフィックの 1 秒あたりのパケット数に応じて、一般的なネットワーク層攻撃からアプリケーションを保護するのに役立ちます。この機能は、ネットワーク トラフィック パターンに基づいてカスタマイズできます。

Azure DDoS Protection 機能の詳細については、『Azure DDoS Protection Standard overview』[英語] を参照してください。

導入時に作成されるリソース

Azure に ASAv を展開すると、次のリソースが作成されます。

  • ASAv マシン

  • リソース グループ(既存のリソース グループを選択していない場合)

    ASAv リソースグループは、仮想ネットワークとストレージアカウントで使用するリソースグループと同じである必要があります。

  • vm name-Nic0、vm name-Nic1、vm name-Nic2、vm name-Nic3 という名前の 4 つの NIC

    これらの NIC は、それぞれ ASAv インターフェイスの Management 0/0、GigabitEthernet 0/0、GigabitEthernet 0/1、および GigabitEthernet 0/2 にマッピングされます。


    (注)  


    要件に基づいて、IPv4 のみで VNet を作成できます。


  • VM 名-SSH-SecurityGroup という名前のセキュリティ グループ

    セキュリティグループは、ASAv Management 0/0 にマッピングされる VM の Nic0 にアタッチされます。

    セキュリティ グループには、VPN 目的で SSH、UDP ポート 500、および UDP 4500 を許可するルールが含まれます。導入後に、これらの値を変更できます。

  • パブリック IP アドレス(展開時に選択した値に従って命名)。

    パブリック IP アドレス(IPv4 のみ)

    任意のインターフェイスにパブリック IP アドレスを割り当てることができます。パブリック IP アドレスの作成、変更、削除など、パブリック IP に関する Azure のガイドラインについては、「パブリック IP アドレス」を参照してください。

  • 4 つのサブネットを備えた仮想ネットワーク(既存のネットワークを選択していない場合)

  • サブネットごとのルーティング テーブル(既存の場合は最新のもの)

    このテーブルの名前は、サブネット名-ASAv-RouteTable です。

    各ルーティングテーブルには、ASAv IP アドレスを持つ他の 3 つのサブネットへのルートがネクストホップとして含まれています。トラフィックを他のサブネットまたはインターネットに到達させる必要がある場合は、デフォルトルートを追加することもできます。

  • 選択したストレージアカウントの起動時診断ファイル

    起動時診断ファイルは、ブロブ(サイズの大きいバイナリオブジェクト)内に配置されます。

  • 選択したストレージ アカウントのブロブおよびコンテナ VHD にある 2 つのファイル(名前は、vm name-disk.vhd および vm name-<uuid>.status)

  • ストレージアカウント(既存のストレージアカウントが選択されていない場合)


    (注)  


    VM を削除すると、保持を希望する任意のリソースを除き、これらの各リソースを個別に削除する必要があります。

Azure ルーティング

Azure 仮想ネットワークでのルーティングは、仮想ネットワークの有効なルーティング テーブルによって決まります。有効なルーティング テーブルは、既存のシステム ルーティング テーブルとユーザー定義のルーティング テーブルの組み合わせです。


(注)  


ASAv では、Azure クラウドルーティングの特性により、EIGRP や OSPF などのダイナミックな内部ルーティングプロトコルを使用できません。有効なルーティング テーブルは、仮想クライアントにスタティック/ダイナミック ルートが設定されているかどうかに関係なく、ネクスト ホップを決定します。

現在、有効なルーティング テーブルまたはシステム ルーティング テーブルはどちらも表示できません。


ユーザー定義のルーティング テーブルは表示および編集できます。システム テーブルとユーザー定義のテーブルを組み合わせて有効なルーティング テーブルを形成した場合、最も限定的なルート(同位のものを含め)がユーザー定義のルーティング テーブルに含められます。システム ルーティング テーブルには、Azure の仮想ネットワーク インターネット ゲートウェイを指すデフォルト ルート(0.0.0.0/0)が含まれます。また、システム ルーティング テーブルには、Azure の仮想ネットワーク インフラストラクチャ ゲートウェイを指すネクスト ホップとともに、他の定義済みのサブネットへの限定的なルートが含まれます。

ASAv を介してトラフィックをルーティングするために、ASAv 導入プロセスで、ASAv をネクストホップとして使用する他の 3 つのサブネットへのルートが各サブネットに追加されます。サブネット上の ASAv インターフェイスを指すデフォルトルート(0.0.0.0/0)を追加することもできます。これで、サブネットからのトラフィックはすべて ASAv を介して送信されますが、場合によっては、トラフィックを処理する前に、ASAv ポリシーを設定する必要があります(通常は NAT/PAT を使用)。

システム ルーティング テーブル内の既存の限定的なルートのために、ユーザー定義のルーティングテーブルに、ネクストホップとして ASAv を指す限定的なルートを追加する必要があります。追加しないと、ユーザー定義のテーブル内のデフォルトルートではなく、システム ルーティング テーブル内のより限定的なルートが選択され、トラフィックは ASAv をバイパスします。

仮想ネットワーク内の VM のルーティング設定

Azure 仮想ネットワーク内のルーティングは、クライアントの特定なゲートウェイ設定ではなく、有効なルーティング テーブルに依存します。仮想ネットワーク内で稼働するクライアントは、DHCPによって、それぞれのサブネット上の 1 アドレスとなるルートを指定されることがあります。これはプレースホルダで、仮想ネットワークのインフラストラクチャ仮想ゲートウェイにパケットを送信するためにだけ使用されます。パケットは、VM から送信されると、有効なルーティング テーブル(ユーザー定義のテーブルによって変更された)に従ってルーティングされます。有効なルーティング テーブルは、クライアントでゲートウェイが 1 として、または ASAv アドレスとして設定されているかどうかに関係なく、ネクストホップを決定します。

Azure VM ARP テーブルには、すべての既知のホストに対して同じ MAC アドレス(1234.5678.9abc)が表示されます。これによって、Azure VM からのすべてのパケットが、有効なルーティング テーブルを使用してパケットのパスを決定する Azure ゲートウェイに到達するように保証されます。


(注)  


ASAv では、Azure クラウドルーティングの特性により、EIGRP や OSPF などのダイナミックな内部ルーティングプロトコルを使用できません。有効なルーティング テーブルは、仮想クライアントにスタティック/ダイナミック ルートが設定されているかどうかに関係なく、ネクスト ホップを決定します。


IP アドレス

次の情報は Azure の IP アドレスに適用されます。

  • ASAv インターフェイスの IP アドレスを設定するには、DHCP を使用する必要があります。

    Azure インフラストラクチャは、Azure に設定された IP アドレスが確実に ASAv インターフェイスに割り当てられるように動作します。

  • Management 0/0 には、それが接続されているサブネット内のプライベート IP アドレスが割り当てられます。

    パブリック IP アドレスは、プライベート IP アドレスに関連付けられる場合があり、Azure インターネット ゲートウェイは NAT 変換を処理します。

  • 任意のインターフェイスにパブリック IP アドレスを割り当てることができます。

  • ダイナミック パブリック IP アドレスは Azure の停止/開始サイクル中に変更される場合があります。ただし、Azure の再起動時および ASAv のリロード時には、パブリック IP アドレスは保持されます。

  • スタティック パブリック IP アドレスは Azure 内でそれらを変更するまで変わりません。

DNS

すべての Azure 仮想ネットワークが、次のように使用できる 168.63.129.16 で、組み込みの DNS サーバーにアクセスできます。

configure terminal
dns domain-lookup management
dns server-group DefaultDNS
 name-server 168.63.129.16
end

この構成は、Smart Licensing を設定し、専用の DNS サーバーをセットアップしていない場合に使用できます。

Microsoft Azure への ASAv の導入

Microsoft Azure に ASAv を導入できます。

  • 標準的な Azure パブリッククラウドおよび Azure Government 環境で、Azure Resource Manager を使用してスタンドアロン ファイアウォールとして ASAv を導入します。「Azure Resource Manager からの ASAv の導入」を参照してください。

Azure Resource Manager からの ASAv の導入

次の手順は、ASAv で Microsoft Azure をセットアップする手順の概略を示しています。Azure の設定の詳細な手順については、『Azure を使ってみる』を参照してください。

Azure に ASAv を導入すると、リソース、パブリック IP アドレス、ルートテーブルなどのさまざまな設定が自動的に生成されます。導入後に、これらの設定をさらに管理できます。たとえば、アイドルタイムアウト値を、デフォルトの短いタイムアウトから変更することができます。

手順


ステップ 1

Azure Resource Manager(ARM)ポータルにログインします。

Azure ポータルは、データセンターの場所に関係なく、現在のアカウントとサブスクリプションに関連付けられた仮想要素を表示します。

ステップ 2

Cisco ASAv のマーケットプレイスを検索し、導入する ASAv をクリックします。

ステップ 3

基本的な設定を行います。

  1. 仮想マシンの名前を入力します。この名前は Azure サブスクリプション内で一意である必要があります。

    重要

     
    名前が一意でなく、既存の名前を再使用すると、導入に失敗します。
  2. ユーザー名を入力します。

  3. 認証タイプとして、[パスワード(Password)] または [SSH公開キー(SSH public key)] を選択します。

    [パスワード(Password)] を選択した場合は、パスワードを入力して確定します。

  4. サブスクリプション タイプを選択します。

  5. [Resource group] を選択します。

    リソース グループは、仮想ネットワークのリソース グループと同じである必要があります。

  6. 場所を選択します。

    場所は、ネットワークおよびリソース グループと同じである必要があります。

  7. [OK] をクリックします。

ステップ 4

ASAv の設定項目を設定します。

  1. 仮想マシンのサイズを選択します。

    ASAv では、Standard D3 および Standard D3_v2 がサポートされます。

  2. ストレージアカウントを選択します。

    既存のストレージアカウントを使用するほか、新規に作成することもできます。ストレージ アカウントの場所はネットワークおよび仮想マシンと同じである必要があります。

  3. [Name] フィールドに IP アドレスのラベルを入力し、[OK] をクリックして、パブリック IP アドレスを要求します。

    Azure は、VM を停止して再起動すると変更される可能性のある、ダイナミック パブリック IP をデフォルトでは作成します。固定 IP アドレスを優先する場合は、ポータルのパブリック IP を開き、ダイナミック アドレスからスタティック アドレスに変更します。

  4. 必要に応じて、DNS のラベルを追加します。

    完全修飾ドメイン名は、DNS ラベルと Azure URL の組み合わせで、<dnslabel>.<location>.cloupapp.azure.com の形式になります。

  5. 既存の仮想ネットワークを選択するか、新しい仮想ネットワークを作成します。

  6. ASAv を導入する 4 つのサブネットを設定し、[OK] をクリックします。

    重要

     
    各インターフェイスを一意のサブネットにアタッチする必要があります。
  7. [OK] をクリックします。

ステップ 5

構成サマリを確認し、[OK] をクリックします。

ステップ 6

利用条件を確認し、[作成(Create)] をクリックします。


次のタスク

  • SSH を介して入力できる CLI コマンドを使用するか、または ASDM を使用して、設定を続行します。ASDM にアクセスする手順については、「ASDM の開始」を参照してください。