OpenStack への Firewall Threat Defense Virtual の展開

概要

このガイドでは、OpenStack 環境で Firewall Threat Defense Virtual を展開する方法について説明します。OpenStack は無料のオープンな標準規格のクラウド コンピューティング プラットフォームであり、ほとんどの場合は、ユーザーが仮想サーバーやその他のリソースを利用できるように Infrastructure-as-a-Service(IaaS)としてパブリッククラウドとプライベートクラウドの両方に展開します。

この展開では、KVM ハイパーバイザを使用して仮想リソースを管理します。KVM は、仮想化拡張機能(Intel VT など)を搭載した x86 ハードウェア上の Linux 向け完全仮想化ソリューションです。KVM は、コア仮想化インフラストラクチャを提供するロード可能なカーネル モジュール(kvm.ko)と kvm-intel.ko などのプロセッサ固有のモジュールで構成されています。

KVM を使用して、修正されていない OS イメージを実行している複数の仮想マシンを実行できます。各仮想マシンには、ネットワーク カード、ディスク、グラフィック アダプタなどのプライベートな仮想化ハードウェアが搭載されています。

デバイスは KVM ハイパーバイザですでにサポートされているため、OpenStack サポートを有効にするために必要な追加のカーネルパッケージやドライバはありません。


(注)  


OpenStack の Firewall Threat Defense Virtual は、最適化されたマルチノード環境にインストールできます。


エンドツーエンドの手順

次のフローチャートは、OpenStack に Threat Defense Virtual を展開する際のワークフローを示しています。

ワークスペース

手順

OpenStack

OpenStack への Threat Defense Virtual の展開:Threat Defense Virtual のイメージを OpenStack にアップロードします。

OpenStack

OpenStack への Threat Defense Virtual の展開:OpenStack および Threat Defense Virtual のネットワーク インフラストラクチャを作成します。

OpenStack

OpenStack への Threat Defense Virtual の展開:Threat Defense Virtual の Heat テンプレートファイルを使用して、Threat Defense Virtual を OpenStack に展開します。

Management Center

Management Center を使用した Threat Defense Virtual の管理

前提条件

  • software.cisco.com から qcow2 Firewall Threat Defense Virtual イメージを取得します。

  • Firewall Threat Defense Virtual は、オープンソースの OpenStack 環境と Cisco VIM 管理対象 OpenStack 環境での展開をサポートします。

    OpenStack のガイドラインに従って OpenStack 環境をセットアップします。

  • Cisco スマートアカウント。Cisco Software Central で作成できます。

  • Firewall Threat Defense Virtual へのライセンス付与。

    • Firewall Management Center からセキュリティ サービスのすべてのライセンス資格を設定します。

    • ライセンスの管理方法の詳細については、『Secure Firewall Management Center Admin Guide』 の「Licensing」を参照してください。

  • インターフェイスの要件:

    • 管理インターフェイス(2):1 つは Firewall Threat Defense VirtualFirewall Management Center に接続するために使用されます。もう 1 つは診断目的に使用され、通過トラフィックには使用できません。

    • 内部インターフェイスと外部インターフェイス:Firewall Threat Defense Virtual を内部のホストとパブリックインターフェイスに接続するために使用します。

  • 通信パス:

    • Firewall Threat Defense Virtual にアクセスするためのフローティング IP。

  • サポートされている Firewall Threat Defense Virtual の最小バージョン:

    • バージョン 7.0

  • OpenStack の要件については、システム要件を参照してください。

  • Firewall Threat Defense Virtual のシステム要件については、『Cisco Secure Firewall Threat Defense Compatibility Guide』を参照してください。

注意事項と制約事項

サポートされる機能

OpenStack 上の Firewall Threat Defense Virtual は次の機能をサポートします。

  • OpenStack 環境のコンピューティングノードで実行されている KVM ハイパーバイザへの Firewall Threat Defense Virtual の展開

  • OpenStack CLI

  • Heat テンプレートベースの展開

  • OpenStack Horizon ダッシュボード

  • ハイ アベイラビリティ

  • ライセンス:BYOL のみをサポート

  • Firewall Management Center のみを使用した Firewall Threat Defense Virtual の管理。

  • ドライバ:VirtIO および SR-IOV

Firewall Threat Defense Virtual スマートライセンスのパフォーマンス階層

Firewall Threat Defense Virtual は、導入要件に基づいて異なるスループットレベルと VPN 接続制限を提供するパフォーマンス階層型ライセンスをサポートしています。

表 1. Firewall Threat Defense Virtual 権限付与に基づくライセンス機能の制限

パフォーマンス階層

デバイス仕様(コア/RAM)

レート制限

RA VPN セッション制限

FTDv5

4 コア/8 GB

100Mbps

50

FTDv10

4 コア/8 GB

1Gbps

250

FTDv20

4 コア/8 GB

3 Gbps

250

FTDv30

8 コア/16 GB

5 Gbps

250

FTDv50

12 コア/24 GB

10 Gbps

750

FTDv100

16 コア/32 GB

16 Gbps

10,000

Firewall Threat Defense Virtual デバイスのライセンス取得のガイドラインについては、『Secure Firewall Management Center Admin Guide』 の「Licensing」の章を参照してください。

パフォーマンスの最適化

Firewall Threat Defense Virtual の最高のパフォーマンスを実現するために、VM とホストの両方を調整することができます。詳細については、「OpenStack での仮想化の調整と最適化」を参照してください。

Receive Side ScalingFirewall Threat Defense Virtual は Receive Side Scaling(RSS)をサポートしています。これは、ネットワークアダプタによって複数のプロセッサコアにネットワーク受信トラフィックを分散するために使用されるテクノロジーです。バージョン 7.0 以降でサポートされています。詳細については、「Receive Side Scaling(RSS)用の複数の RX キュー」を参照してください。

展開

バージョン 7.4.3 以降を実行している Threat Defense 仮想インスタンスでは、最初の起動時にいくつかの初期化タスクが実行され、約 5 分後にコンソールが使用可能になります。この遅延は正常です。最初の起動から約 2 分以内にデバイスの電源がオフになっている場合、重要な初期化手順が中断され、セットアップが不完全になり予期しない動作をする可能性があります。

この問題を解決するには、新しいイメージを使用して仮想プラットフォームを再インストールする必要があります。

Snort

  • Snort のシャットダウンに時間がかかったり、VM が全体的に遅くなったりといった異常な動作が見られる場合や、特定のプロセスが実行されるときには、Firewall Threat Defense Virtual および VM ホストからログを収集します。全体的な CPU 使用率、メモリ、I/O 使用率、および読み取り/書き込み速度のログの収集は、問題のトラブルシューティングに役立ちます。

  • Snort のシャットダウン時には、CPU と I/O の使用率が高くなります。十分なメモリがなく、専用の CPU がない単一のホスト上に多数の Firewall Threat Defense Virtual インスタンスが作成されている場合は、Snort のシャットダウンに時間がかかって Snort コアが作成されます。

サポートされない機能

OpenStack 上の Firewall Threat Defense Virtual は以下をサポートしません。

  • 自動スケール

  • クラスタ

システム要件

OpenStack 環境は、サポートされているハードウェアとソフトウェアの次の要件に準拠している必要があります。

表 2. Open Source OpenStack のハードウェアとソフトウェアの要件

カテゴリ

サポートされるバージョン

注記

サーバ ハードウェア

UCS C240 M5

2 台の UCS サーバーを推奨します。os-controller ノードと os-compute ノードに 1 台ずつです。

ドライバ(Drivers)

VIRTIO、IXGBE、および I40E

サポートされているドライバは次のとおりです。

オペレーティングシステム

Ubuntu Server 20.04

これは、UCS サーバーで推奨されている OS です。

OpenStack バージョン

Wallaby リリース

さまざまな OpenStack リリースの詳細については、次の URL を参照してください。

https://releases.openstack.org/

Threat Defense Virtual ソフトウェアリリースとサポートされているオペレーティングシステム:

  • Threat Defense Virtual リリース 10.0(Caracal)の場合:

    Caracal リリースでは、次のオペレーティングシステムでの展開がサポートされています。

    • Ubuntu 20.04、22.04、および 24.04

    • RHEL バージョン 8.4 と CVIM/HVIM バージョン:5.0.3

  • Threat Defense Virtual リリース 7.2.9(Wallaby)より前の場合:

    Wallaby リリースでは、以下での展開がサポートされています。

    • Ubuntu 20.04

    • RHEL バージョン 8.4 と CVIM/HVIM バージョン:5.0.3

表 3. Cisco VIM Managed OpenStack のハードウェアとソフトウェアの要件

カテゴリ

サポートされるバージョン

注記

サーバ ハードウェア

UCS C220-M5/UCS C240-M4

os-controller ノードごとに 3 台、os-compute ノードに 2 台以上で、5 台の UCS サーバーを推奨します。

ドライバ(Drivers)

VIRTIO、IXGBE、および I40E

サポートされているドライバは次のとおりです。

Cisco VIM バージョン

Cisco VIM 4.4.3

サポート対象:

  • オペレーティングシステム - Red Hat Enterprise Linux 8.4

  • OpenStack バージョン - OpenStack 16.2(トレインリリース)

詳細については、シスコ仮想インフラストラクチャ マネージャのドキュメント 4.4.3 を参照してください。

OpenStack プラットフォームトポロジ

次の図に、2 台の UCS サーバーを使用して OpenStack での展開をサポートするための推奨トポロジを示します。

図 1. OpenStack プラットフォームトポロジ

OpenStack 上の Firewall Threat Defense Virtual のネットワークトポロジ例

次の図に、Firewall Threat Defense Virtual 用の OpenStack に設定された 4 つのサブネット(管理、診断、内部、および外部)を備えたルーテッド ファイアウォール モードの Firewall Threat Defense Virtual のネットワークトポロジの例を示します。

図 2. OpenStack で Firewall Threat Defense VirtualFirewall Management Center Virtual を使用したトポロジの例

Cisco Secure Firewall Threat Defense Virtual デバイスの管理方法

Cisco Secure Firewall Threat Defense Virtual を管理するには、2 つのオプションがあります。

Cisco Secure Firewall Management Center

多数のデバイスを管理している場合、または Firewall Threat Defense で許可される、より複雑な機能や設定を使用したい場合は、組み込みの Firewall Device Manager の代わりに Firewall Management Center を使用してデバイスを設定します。詳細については、Cisco Secure Firewall Management Center を使用した Cisco Secure Firewall Threat Defense Virtual の管理を参照してください。


重要


Firewall Device ManagerFirewall Management Center の両方を使用して Firewall Threat Defense デバイスを管理することはできません。いったん Firewall Device Manager の統合管理を有効にすると、ローカル管理を無効にして、Firewall Management Center を使用するように管理を再設定しない限り、Firewall Management Center を使用して Firewall Threat Defense デバイスを管理することはできなくなります。一方、Firewall Threat Defense デバイスを Firewall Management Center に登録すると、Firewall Device Manager のオンボード管理サービスは無効になります。



注意    


現在、シスコには Firewall Device Manager の設定を Firewall Management Center に移行するオプションはありません。その逆も同様です。Firewall Threat Defense デバイス用に設定する管理のタイプを選択する際は、このことを考慮してください。


Firewall Threat Defense Virtual の導入

シスコでは、Firewall Threat Defense Virtual を展開するためのサンプルの Heat テンプレートを提供しています。OpenStack インフラストラクチャのリソースを作成する手順は、ネットワーク、サブネット、およびルータインターフェイスを作成するために、Heat テンプレート(deploy_os_infra.yaml)ファイルで結合されます。Firewall Threat Defense Virtual の展開手順は大まかに次の部分に分類されます。

  • Firewall Threat Defense Virtual qcow2 イメージを OpenStack Glance サービスにアップロードします。

  • ネットワーク インフラストラクチャを作成します。

    • ネットワーク

    • サブネット

    • ルータ インターフェイス

  • Firewall Threat Defense Virtual インスタンスを作成します。

    • フレーバ

    • セキュリティ グループ

    • フローティング IP

    • インスタンス

次の手順を使用して、OpenStack に Firewall Threat Defense Virtual を展開できます。

OpenStack への Firewall Threat Defense Virtual イメージのアップロード

Firewall Threat Defense Virtual qcow2 イメージを OpenStack コントローラノードにコピーし、イメージを OpenStack Glance サービスにアップロードします。

始める前に

Cisco.com から Firewall Threat Defense Virtual qcow2 ファイルをダウンロードし、Linux ホストに格納します。

https://software.cisco.com/download/navigator.html


(注)  


Cisco.com のログインおよびシスコ サービス契約が必要です。


手順


ステップ 1

qcow2 イメージファイルを OpenStack コントローラノードにコピーします。

ステップ 2

Firewall Threat Defense Virtual イメージを OpenStack Glance サービスにアップロードします。

root@ucs-os-controller:$ openstack image create <image_name> --public --disk-
format qcow2 --container-format bare --file ./<ftdv_qcow2_file>

ステップ 3

Firewall Threat Defense Virtual イメージが正常にアップロードされたことを確認します。

root@ucs-os-controller:$ openstack image list

例:

root@ucs-os-controller:$ openstack image list
+--------------------------------------+-------------------+---------+
| ID                                   | Name              | Status |+
| 06dd7975-0b6e-45b8-810a-4ff98546a39d | ftdv-7-0-image    | active |+
アップロードしたイメージとそのステータスが表示されます。

次のタスク

deploy_os_infra.yaml テンプレートを使用してネットワーク インフラストラクチャを作成します。

OpenStack と Firewall Threat Defense Virtual のネットワーク インフラストラクチャの作成

始める前に

Heat テンプレートファイルは、フレーバ、ネットワーク、サブネット、ルータインターフェイス、セキュリティグループルールなど、ネットワーク インフラストラクチャと Firewall Threat Defense Virtual に必要なコンポーネントを作成するために必要です。

  • deploy_os_infra.yaml

  • env.yaml

Firewall Threat Defense Virtual バージョンのテンプレートは、GitHub リポジトリの FTDv OpenStack Heat テンプレートから入手できます。


重要


シスコが提供するテンプレートはオープンソースの例として提供しているものであり、通常の Cisco TAC サポートの範囲内では扱われていません。更新と ReadMe の手順については、GitHub を定期的に確認してください。


手順


ステップ 1

インフラストラクチャ Heat テンプレートファイルを展開します。

root@ucs-os-controller:$ openstack stack create <stack-name> -e <environment files name> -t <deployment file name>

例:

root@ucs-os-controller:$ openstack stack create infra-stack -e env.yaml -t deploy_os_infra.yaml

ステップ 2

インフラストラクチャ スタックが正常に作成されたかどうかを確認します。

root@ucs-os-controller:$ openstack stack list


次のタスク

OpenStack で Firewall Threat Defense Virtual インスタンスを作成します。

OpenStack への Firewall Threat Defense Virtual の展開

Firewall Threat Defense Virtual Heat テンプレートのサンプルを使用して、OpenStack に Firewall Threat Defense Virtual を展開します。

始める前に

OpenStack で Firewall Threat Defense Virtual を展開するには、次の Heat テンプレートが必要です。

  • deploy_ftdv.yaml

Firewall Threat Defense Virtual バージョンのテンプレートは、GitHub リポジトリの FTDv OpenStack Heat テンプレートから入手できます。


重要


シスコが提供するテンプレートはオープンソースの例として提供しているものであり、通常の Cisco TAC サポートの範囲内では扱われていません。更新と ReadMe の手順については、GitHub を定期的に確認してください。


手順


ステップ 1

Firewall Threat Defense Virtual Heat テンプレートファイル(deploy_ftdv.yaml)を展開して、Firewall Threat Defense Virtual インスタンスを作成します。

root@ucs-os-controller:$ openstack stack create ftdv-stack -e env.yaml-t deploy_ftdv.yaml

例:

+---------------------+-----------------------------+
| Field               | Value                                |
+---------------------+--------------------------------------+
| id                  | 14624af1-e5fa-4096-bd86-c453bc2928ae |
| stack_name          | ftdv-stack                           |
| description         | FTDvtemplate                         |
| updated_time        | None                                 |
| stack_status        | CREATE_IN_PROGRESS                   |
| stack_status_reason | Stack CREATE started                 |
+---------------------+--------------------------------------+

ステップ 2

Firewall Threat Defense Virtual スタックが正常に作成されたことを確認します。

root@ucs-os-controller:$ openstack stack list

例:

+--------------------------------------+-------------+----------------------------------+--------+
| ID                                   | Stack Name  | Project                          | Stack Status    |
+--------------------------------------+-------------+----------------------------------+-----------------+
| 14624af1-e5fa-4096-bd86-c453bc2928ae | ftdv-stack  | 13206e49b48740fdafca83796c6f4ad5 | CREATE_COMPLETE |
| 198336cb-1186-45ab-858f-15ccd3b909c8 | infra-stack | 13206e49b48740fdafca83796c6f4ad5 | CREATE_COMPLETE |
+--------------------------------------+-------------+----------------------------------+-----------------+