Cisco Secured Network Server シリーズ アプライアンスおよび仮想マシンの要件

Cisco ISE 用のハードウェアおよび仮想アプライアンスの要件

Cisco Identity Services Engine(Cisco ISE)は、Cisco Secure Network Server(SNS)のハードウェアまたは仮想アプライアンスにインストールできます。Cisco ISE ハードウェアアプライアンスと同等のパフォーマンスと拡張性を実現するには、仮想マシンに Cisco SNS ハードウェアアプライアンスと同等のシステムリソースが割り当てられている必要があります。このセクションでは、Cisco ISE のインストールに必要なハードウェア、ソフトウェア、および仮想マシンの要件を示します。


(注)  

仮想環境を強化し、すべてのセキュリティ更新が最新の状態であることを確認します。シスコは、ハイパーバイザで検出されたセキュリティ上の問題については責任を負いません。

(注)  

Cisco ISE では、ISE データのバックアップ用の VM スナップショットは、いずれの仮想環境(VMware、Linux KVM、Microsoft Hyper-V、Nutanix AHV)でもサポートされません。これは、VM スナップショットが特定の時点で VM のステータスを保存するためです。マルチノード Cisco ISE 環境では、すべてのノードのデータは、現在のデータベース情報と継続的に同期されます。スナップショットを復元すると、データベースのレプリケーションと同期の問題を引き起こす可能性があります。データのバックアップおよび復元用に、Cisco ISE に含まれるバックアップ機能を使用することを推奨します。スナップショットを使用して ISE データをバックアップすると、Cisco ISE サービスが停止します。ISE ノードを起動するには、再起動が必要です。


注意    

VM でスナップショット機能が有効になっていると、VM 設定が破損する可能性があります。この問題が発生した場合、VM のイメージを再作成し、VM のスナップショットを無効にする必要があります。

Cisco Secured Network Server ハードウェアアプライアンス

Cisco Secured Network Server(SNS)ハードウェアアプライアンスの仕様については、『Cisco Secure Network Server Data Sheet』の「Table 1, Product Specifications」を参照してください。

Cisco SNS 3500 シリーズ アプライアンスについては、『Cisco SNS-3500 Series Appliance Hardware Installation Guide』を参照してください。

Cisco SNS 3600 シリーズ アプライアンスについては、『Cisco SNS-3600 Series Appliance Hardware Installation Guide』を参照してください。

Cisco SNS 3700 シリーズ アプライアンスについては、『Cisco SNS-3700 Series Appliance Hardware Installation Guide』を参照してください。


(注)  

Cisco ISE 3.1 は、Cisco SNS 3515 アプライアンスをサポートしていません。Cisco ISE 3.1 でサポートされるハードウェアプラットフォームについては、 「サポートされるハードウェア」を参照してください。

Cisco Secure Network Server 3700 シリーズ アプライアンスのサポート

Cisco Secure Network Server(SNS)3700 シリーズ アプライアンスは、Cisco Unified Computing System(Cisco UCS)C220 ラックサーバーに基づいており、特に Cisco ISE をサポートするように構成されています。Cisco SNS 3700 シリーズ アプライアンスは、幅広いワークロードで高いパフォーマンスと効率性を提供するように設計されています。

Cisco SNS 3700 シリーズ アプライアンスには次のモデルがあります。

  • Cisco SNS 3715(SNS-3715-K9)

  • Cisco SNS 3755(SNS-3755-K9)

  • Cisco SNS 3795(SNS-3795-K9)

Cisco SNS 3715 アプライアンスは、小規模な展開向けに設計されています。Cisco SNS 3755 および Cisco SNS 3795 アプライアンスには、ハードディスクや電源などの複数の冗長コンポーネントがあり、信頼性の高いシステム構成を必要とする大規模な展開に適しています。PAN および MnT ペルソナには Cisco SNS 3795 が推奨されます。

Cisco ISE リリース 3.1 パッチ 6 以降のバージョンでは、Cisco SNS 3700 シリーズ アプライアンスがサポートされます。


(注)  

SNS 3700 シリーズ アプライアンスには、ISE リリースが事前にインストールされています。Cisco ISE リリース 3.1 パッチ 6 を使用して SNS 3700 シリーズ アプライアンスを再イメージ化するには、次のイメージを使用する必要があります。

ise-3.1.0.518c.SPA.x86_64_SNS-37x5_APPLIANCE_ONLY.iso

次の表では、Cisco SNS 3700 シリーズ アプライアンスのハードウェア仕様について説明します。

表 1. Cisco SNS 3700 シリーズ アプライアンスハードウェアの仕様

Cisco SNS 3700 シリーズ アプライアンス

ハードウェア仕様

Cisco SNS-3715-K9

  • Cisco UCS C220 M6

  • インテル Xeon Silver 4310 CPU 2.10 GHz

  • 12 CPU コア、24 スレッド

  • 32 GB RAM

  • 600 GB HDD X 1、800 GB SSD X 1、または 900 GB SED X 1

  • [RAID-0]

  • 10GBase-T x 2

    10GE SFP x 4

Cisco SNS-3755-K9

  • Cisco UCS C220 M6

  • Intel Xeon Silver 4316 CPU 2.30 GHz

  • 20 CPU コア、40 スレッド

  • 96 GB RAM

  • 600 GB HDD X 4、800 GB SSD X 4、または 900 GB SED X 4

  • RAID 10

  • 10GBase-T x 2

    10GE SFP x 4

Cisco SNS-3795-K9

  • Cisco UCS C220 M6

  • Intel Xeon Silver 4316 CPU 2.30 GHz

  • 20 CPU コア、40 スレッド

  • 256 GB RAM

  • 600 GB HDD X 8、800 GB SSD X 8、または 900 GB SED X 8

  • RAID 10

  • 10GBase-T x 2

    10GE SFP x 4

(注)  

  • Cisco SNS 3700 シリーズ アプライアンスに、メモリ、プロセッサ、ハードディスクなどのハードウェアリソースを追加することはできません。

  • SNS ハードウェアアプライアンスに Cisco ISE をインストールするには、少なくとも 6 つの NIC が必要です。デフォルトでは、すべての SNS ハードウェアアプライアンスに 6 つの NIC が付属しています。

  • SAS/SATA ハードドライブと SAS/SATA SSD を混在させることはできません。SAS/SATA ハードドライブまたは SAS/SATA SSD のいずれかを使用する必要があります。

  • SSD は、ディスクの読み取り/書き込み操作、他の Cisco ISE 操作(起動、インストール、アップグレードなど)、およびバックアップ、レポート生成などのデータベース集約型タスクのパフォーマンスを向上させます。

  • SFP は別途注文する必要があります。コンポーネントの製品番号については、『Cisco UCS C-Series Rack Server Data Sheet』を参照してください。

詳細については、『Cisco SNS-3700 Series Appliance Hardware Installation Guide』を参照してください。

Cisco ISE 用の VMware 仮想マシンの要件

仮想マシン(VM)インスタンス(任意のペルソナを実行)のホスト間での移行を可能にする、VMware マイグレーション機能を使用できます。Cisco ISE はホットマイグレーションとコールドマイグレーションの両方をサポートします。

  • ホットマイグレーションは、ライブマイグレーションまたは vMotion とも呼ばれます。ホットマイグレーション中に Cisco ISE をシャットダウンしたり、電源をオフにしたりする必要はありません。可用性を損なうことなく、Cisco ISE VM を移行できます。

  • コールドマイグレーションを行うには、Cisco ISE をシャットダウンして電源をオフにする必要があります。Cisco ISE では、コールドマイグレーション中にデータベース操作を停止または一時停止できません。したがって、コールドマイグレーション中は Cisco ISE が実行されておらず、アクティブでないことを確認します。


    (注)  

    データベースの破損の問題を防ぐために、halt コマンドを使用する前、または VM の電源をオフにする前に、application stop コマンドを使用する必要があります。

Cisco ISE は、仮想マシン(VM)に Cisco ISE をインストールし、展開するために使用できる、次の OVA テンプレートを提供します。

  • ISE-3.1.0.518b-virtual-SNS3615-SNS3655-300.ova

  • ISE-3.1.0.518b-virtual-SNS3615-SNS3655-600.ova

  • ISE-3.1.0.518b-virtual-SNS3655-SNS3695-1200.ova

  • ISE-3.1.0.518b-virtual-SNS3695-1800.ova


    (注)  

    SNS 3695 OVA テンプレートを VMware vCenter コンテンツライブラリにインポートする場合は、ISE-3.1.0.518b-virtual-SNS3695-1800.ova テンプレートを使用できます。この OVA テンプレートは ISE-3.1.0.518b-virtual-SNS3695-2400.ova テンプレートに似ていますが、ディスクサイズが 2 TB を超える OVA のインポートを防ぐ VMware vCenter コンテンツライブラリの制限事項を回避するため、予約済みディスクサイズが 2400 GB から 1800 GB に削減されています。

  • ISE-3.1.0.518b-virtual-SNS3695-2400.ova

  • ISE-3.1.0.518b-ESXi-6.5-virtual-SNS3615-SNS3655-300.ova

  • ISE-3.1.0.518b-ESXi-6.5-virtual-SNS3615-SNS3655-600.ova

  • ISE-3.1.0.518b-ESXi-6.5-virtual-SNS3655-SNS3695-1200.ova

  • ISE-3.1.0.518b-ESXi-6.5-virtual-SNS3695-1800.ova

  • ISE-3.1.0.518b-ESXi-6.5-virtual-SNS3695-2400.ova


    (注)  

    ESXi 6.5 を使用している場合は、ファイル名に ESXi-6.5 を含む OVA テンプレートを使用する必要があります。その他の OVA テンプレートは、ESXi 6.7 以降のバージョン用です。

    ESXi 6.5 を使用している場合、次の警告メッセージが表示されることがあります。

    この仮想マシンに構成されたゲスト OS(Red Hat Enterprise Linux 7(64 ビット))は、現在実行されているゲスト(Red Hat Enterprise Linux 8(64 ビット))と一致しません。ゲスト固有の最適化を可能にするために、正しいゲスト OS を指定する必要があります。

    ただし、これは機能上の影響はありません。詳細については、CSCwb45787 を参照してください。

300 GB OVA テンプレートは、専用のポリシーサービスや pxGrid ノードとして動作する Cisco ISE ノードには十分です。

600 GB および 1.2 TB OVA テンプレートは、管理またはモニタリングペルソナを実行する ISE ノードの最小要件を満たすために推奨されています。

ディスクサイズ、CPU、またはメモリ割り当てをカスタマイズする必要がある場合、標準の .iso イメージを使用して手動で Cisco ISE を展開できます。ただし、このドキュメントで指定されている最小要件およびリソース予約を確認することが重要です。OVA テンプレートは、各プラットフォームに必要な最小のリソースを自動的に適用することにより、ISE の仮想アプライアンスの展開を簡素化します。

表 2. OVA テンプレートの予約

OVA テンプレートタイプ

CPU の数

CPU 予約(GHz)

メモリ(GB)

メモリ予約(GB)

評価

4

予約なし

16

予約なし

16

16

32

32

中規模

24

24

96

96

24

24

256

256

リソースの割り当てに合わせて CPU とメモリのリソースを予約することを強くお勧めします。これを行わない場合は ISE のパフォーマンスと安定性に大きく影響することがあります。

サポートされているオペレーティングシステムについては、Supported Operating System for Virtual Machinesを参照してください。

Cisco SNS アプライアンスの製品仕様については、『Cisco Secure Network Server データシート』を参照してください。

次の表に、VMware 仮想マシンの要件を示します。

表 3. VMware 仮想マシンの要件

要件のタイプ

仕様

CPU

  • 評価

    • クロック速度:2.0 GHz 以上

    • CPU コア数:4 CPU コア

  • 本稼働

    • クロック速度:2.0 GHz 以上

    • コア数:

      • SNS 3500 シリーズ アプライアンス:

        • 中規模:16

        • 大規模:16

          (注)  

           

          コアの数は、ハイパースレッディングにより、Cisco Secure Network Server 3500 シリーズのコア数の 2 倍です。

      • SNS 3600 シリーズ アプライアンス:

        • 小規模:16

        • 中規模:24

        • 大規模:24

          (注)  

           

          コアの数は、ハイパースレッディングにより、Cisco Secure Network Server 3600 シリーズのコア数の 2 倍です。たとえば、小規模ネットワーク展開の場合、8 個の CPU コアまたは 16 個のスレッドを持つ SNS 3615 の CPU 仕様を満たすために、16 個の vCPU コアを割り当てる必要があります。

メモリ

  • 評価:16 GB

  • 本稼働

    • 小規模:SNS 3615 の場合は 32 GB

    • 中規模:SNS 3595 の場合は 64 GB、SNS 3655 の場合は 96 GB

    • 大規模:SNS 3695 の場合は 256 GB

ハード ディスク

  • 評価300 GB

  • 本稼働

    300 GB ~ 2.4 TB のディスクストレージ(サイズは展開とタスクによって異なります)。

    以下のリンクで VM の推奨ディスク容量を参照してください:「ディスク領域に関する要件」。

    VM ホスト サーバーでは、最小速度が 10,000 RPM のハード ディスクを使用することをお勧めします。

    (注)  

     

    Cisco ISE に対して仮想マシンを作成する場合は、ストレージ要件を満たす単一の仮想ディスクを使用します。ディスク領域要件を満たしている複数の仮想ディスクを使用する場合、インストーラがすべてのディスク領域を認識しない可能性があります。

ストレージおよびファイル システム

Cisco ISE 仮想アプライアンスのストレージ システムには、50 MB/秒の最小書き込みパフォーマンスと 300 MB/秒の読み取りパフォーマンスが必要です。これらのパフォーマンス基準を満たし、VMware サーバーでサポートされているストレージ システムを展開します。

show tech-support コマンドを使用して、読み取りおよび書き込みの評価指標を表示できます。

ここでは、最も広範にテストされているという理由で VMFS ファイル システムを推奨しますが、上記の要件を満たせば、その他のファイル システム、転送、およびメディアも展開できます。

ディスク コントローラ

Paravirtual(64 ビット RHEL 7 のデフォルト)または LSI Logic Parallel

最適なパフォーマンスと冗長性のために、キャッシュ RAID コントローラが推奨されます。RAID 10(1+0)などのコントローラ オプションは、たとえば RAID 5 よりも全体のパフォーマンスと冗長性が優れている可能性があります。さらに、バッテリバックアップ式コントローラ キャッシュは書き込み操作の効率をかなり高めることができます。

(注)  

 

ISE VM のディスク SCSI コントローラを別のタイプから VMware Paravirtual に更新すると、ブートできなくなる可能性があります。

NIC

1 つの NIC インターフェイスが必要(複数の NIC が推奨されます。6 つの NIC がサポートされます)。Cisco ISE は E1000 および VMXNET3 アダプタをサポートしています。

(注)  

 

デフォルトで正しいアダプタ順序を確保するために、E1000 を選択することをお勧めします。VMXNET3 を選択した場合、ISE のアダプタ順序と同期させるために ESXi アダプタを再マップしなければならない場合があります。

VMware 仮想ハードウェア バージョンまたはハイパーバイザ

  • ESXi 6.5 の VMware バージョン 9

  • ESXi 6.7 および ESXi 7.0 の VMware バージョン 14

  • OVA テンプレート:ESXi 6.7 、ESXi 7.0、および ESXi 8.0 では VMware バージョン 14 以降。

  • ISO ファイルは ESXi 6.7、ESXi 7.0、および ESXi 8.0 をサポートしています。

Cisco ISE 用の Linux KVM の要件

表 4. Linux KVM 仮想マシンの要件

要件のタイプ

最小要件

CPU

  • 評価

    • クロック速度:2.0 GHz 以上

    • コア数:4 CPU コア

  • 本稼働

    • クロック速度:2.0 GHz 以上

    • コア数:

      • SNS 3500 シリーズ アプライアンス:

        • 中規模:16

        • 大規模:16

          (注)  

           

          コアの数は、ハイパースレッディングにより、Cisco Secure Network Server 3500 シリーズのコア数の 2 倍です。

      • SNS 3600 シリーズ アプライアンス:

        • 小規模:16

        • 中規模:24

        • 大規模:24

          (注)  

           

          コアの数は、ハイパースレッディングにより、Cisco Secure Network Server 3600 シリーズのコア数の 2 倍です。たとえば、小規模ネットワーク展開の場合、8 個の CPU コアまたは 16 個のスレッドを持つ SNS 3615 の CPU 仕様を満たすために、16 個の vCPU コアを割り当てる必要があります。

メモリ

  • 評価:16 GB

  • 本稼働

    • 小規模:SNS 3615 の場合は 32 GB

    • 中規模:SNS 3595 の場合は 64 GB、SNS 3655 の場合は 96 GB

    • 大規模:SNS 3695 の場合は 256 GB

ハード ディスク

  • 評価300 GB

  • 本稼働

    300 GB ~ 2.4 TB のディスクストレージ(サイズは展開とタスクによって異なります)。

    以下のリンクで VM の推奨ディスク容量を参照してください:「ディスク領域に関する要件」。

    VM ホスト サーバーでは、最小速度が 10,000 RPM のハード ディスクを使用することをお勧めします。

    (注)  

     

    Cisco ISE に対して仮想マシンを作成する場合は、ストレージ要件を満たす単一の仮想ディスクを使用します。ディスク領域要件を満たしている複数の仮想ディスクを使用する場合、インストーラがすべてのディスク領域を認識しない可能性があります。

KVM ディスク デバイス

ディスク バス:virtio、キャッシュ モード:なし、I/O モード:ネイティブ

事前割り当て済みの RAW ストレージ形式を使用します。

NIC

1 つの NIC インターフェイスが必要(複数の NIC が推奨されます。6 つの NIC がサポートされます)。Cisco ISE は VirtIO ドライバをサポートします。パフォーマンスを向上させるには、VirtIO ドライバを推奨します。

ハイパーバイザ

QEMU 2.12.0-99 以降での KVM

Cisco ISE 用の Microsoft Hyper-V の要件

表 5. Microsoft Hyper-V 仮想マシンの要件

要件のタイプ

最小要件

CPU

  • 評価

    • クロック速度:2.0 GHz 以上

    • コア数: 4 CPU コア

  • 本稼働

    • クロック速度:2.0 GHz 以上

    • コア数:

      • SNS 3500 シリーズ アプライアンス:

        • 中規模:16

        • 大規模:16

          コアの数は、ハイパースレッディングにより、Cisco Secure Network Server 3500 シリーズのコア数の 2 倍です。

      • SNS 3600 シリーズ アプライアンス:

        • 小規模:16

        • 中規模:24

        • 大規模:24

          (注)  

           

          コアの数は、ハイパースレッディングにより、Cisco Secure Network Server 3600 シリーズのコア数の 2 倍です。たとえば、小規模ネットワーク展開の場合、8 個の CPU コアまたは 16 個のスレッドを持つ SNS 3615 の CPU 仕様を満たすために、16 個の vCPU コアを割り当てる必要があります。

メモリ

  • 評価:16 GB

  • 本稼働

    • 小規模:SNS 3615 の場合は 32 GB

    • 中規模:SNS 3595 の場合は 64 GB、SNS 3655 の場合は 96 GB

    • 大規模:SNS 3695 の場合は 256 GB

ハード ディスク

  • 評価300 GB

  • 本稼働

    300 GB ~ 2.4 TB のディスクストレージ(サイズは展開とタスクによって異なります)。

    以下のリンクで VM の推奨ディスク容量を参照してください:「ディスク領域に関する要件」。

    VM ホスト サーバーでは、最小速度が 10,000 RPM のハード ディスクを使用することをお勧めします。

(注)  

 

Cisco ISE に対して仮想マシンを作成する場合は、ストレージ要件を満たす単一の仮想ディスクを使用します。ディスク領域要件を満たしている複数の仮想ディスクを使用する場合、インストーラがすべてのディスク領域を認識しない可能性があります。

NIC

1 つの NIC インターフェイスが必要(複数の NIC が推奨されます。6 つの NIC がサポートされます)。

ハイパーバイザ

Hyper-V(Microsoft)


(注)  

Cisco ISE は、Azure Stack HCI 23H2 以降のバージョンをサポートしています。Azure Stack HCI 内の Cisco ISE VM の仮想マシン要件とインストール手順は、Microsoft Hyper-V の場合と同じです。

Cisco ISE に関する Nutanix AHV の要件

Cisco ISE は、標準の Cisco ISE .iso イメージを使用して Nutanix AHV に展開する必要があります。OVA テンプレートを使用した Cisco ISE の展開は、Nutanix AHV ではサポートされていません。

次の表に、Nutanix AHV でのさまざまな展開タイプに推奨されるリソース予約を示します。

タイプ CPU の数 CPU 予約(GHz) メモリ(GB) メモリ予約(GB) ハード ディスク

評価

4

予約なし

16

予約なし

300 GB
16 16 32 32 600 GB
中規模 24 24 96 96 1.2 TB
24 24 256 256 2.4 TB(4*600 GB)

Cisco ISE のインストールを進める前に、Nutanix AHV で次の設定を行う必要があります。

  • Nutanix AHV で仮想マシン(VM)を作成し、VM の電源をオフのままにします。

  • AOS 6.8 以前のバージョンを使用している場合、ssh ログインを使用して Nutanix CVM にアクセスし、次のコマンドを実行します。

    • $acli

    • <acropolis> vm.serial_port_create <Cisco ISE VM Name> type=kServer index=0

    • <acropolis> vm.update <Cisco ISE VM Name> disable_branding=true

    • <acropolis> vm.update <Cisco ISE VM Name> disable_hyperv=true

    AOS 7.0 を使用している場合、ssh ログインを使用して Nutanix CVM にアクセスし、次のコマンドを実行します。

    • <acropolis> vm.serial_port_create <Cisco ISE VM Name> type=kServer index=0

    • <acropolis> vm.update <Cisco ISE VM Name> disable_branding=true

  • Acropolis CLI を終了し、VM の電源をオンにして、standard.iso イメージを使用してCisco ISE のインストールを続行します。

表 6. Nutanix AHV の要件

要件のタイプ

最小要件

CPU

  • 評価:

    • クロック速度:2.0 GHz 以上

    • コア数:2 CPU コア

  • 実稼動:

    • クロック速度:2.0 GHz 以上

    • コア数

      • 小規模:12 プロセッサ(ハイパースレッディングが有効の 6 コア)

      • 大規模:16 プロセッサ(ハイパースレッディングが有効の 8 コア)

Cisco ISE はハイパースレッディングをサポートしています。可能であれば、ハイパースレッディングをイネーブルにすることを推奨します。

(注)  

 

ハイパースレッディングによって全体のパフォーマンスが向上する場合にも、仮想マシン アプライアンスごとにサポートされるスケーリング制限は変更されません。また、CPU リソースは、論理プロセッサの数ではなく、必要な物理コアの数に基づいて割り当てる必要があります。

メモリ

  • 評価:

    • 基本:4 GB(ゲストアクセスと基本的なアクセスポリシーフローの評価用)

    • 拡張:16 GB(pxGrid、内部 CA、SXP、デバイス管理、パッシブ アイデンティティ サービスなどの高度な機能の評価用)

  • 実稼動:

    • 小規模:16 GB

    • 大規模:64 GB

ハード ディスク

  • 評価:300 GB

  • 実稼動:

    300 GB ~ 2 TB のディスクストレージ(サイズは展開とタスクによって異なります)。

    VM ホスト サーバでは、最小速度が 10,000 RPM のハード ディスクを使用することをお勧めします。

    (注)  

     

    2.4 TB のハードディスクサポートには 4 *600 GB を使用する必要があります。

KVM ディスク デバイス

ディスクバス:SCSI

NIC

1 GB の NIC インターフェイスが必要(複数の NIC が推奨されます。6 つの NIC がサポートされます)。Cisco ISE は VirtIO ドライバをサポートします。パフォーマンスを向上させるには、VirtIO ドライバを推奨します。

ハイパーバイザ

AOS - 5.20.1.1 LTS、Nutanix AHV - 20201105.2096

AOS - 6.8、Nutanix AHV - 20230302.100169

AOS - 6.8 および 7.0、Nutanix AHV - 10.0

VMware クラウドソリューション上の Cisco ISE

パブリック クラウド プラットフォームでは、VPN を構成して、VMware Engine からオンプレミスの展開、およびその他の必要なデバイスとサービスへの到達可能性を有効にする必要があります。次のパブリック クラウド プラットフォーム上の VMware クラウドソリューションに Cisco ISE を展開できます。

  • Amazon Web サービス(AWS)の VMware クラウド:Cisco ISE をAWS の VMware クラウドが提供するソフトウェアデファインド データセンターでホストします。オンプレミス展開、その他の必要なデバイスとサービスへの到達可能性を有効にするために、適切なセキュリティ グループ ポリシーを VMware クラウドに設定します([ネットワーキングとセキュリティ(Networking&Security)] > [セキュリティ(Security)] > [ゲートウェイファイアウォール設定(Gateway Firewall Settings)] ウィンドウ)。

  • Azure VMware ソリューション:Azure VMware ソリューションは、Microsoft Azure 上でネイティブに VMware ワークロードを実行します。Cisco ISE を VMware 仮想マシンとしてホストできます。

  • Google Cloud VMware Engine:Google Cloud VMware Engine は、VMware によってソフトウェアデファインド データセンターを実行します。VMware Engine を使用して、VMware 仮想マシンとして Cisco ISE をホストできます。

クラウドプラットフォームでの Cisco ISE の展開については、『Deploy Cisco Identity Services Engine Natively on Cloud Platforms』を参照してください。

Cisco ISE の仮想マシンアプライアンスサイズについての推奨事項

仮想マシン(VM)アプライアンスの仕様は、実稼働環境で動作している物理アプライアンスと同等である必要があります。

アプライアンスのリソースを割り当てる際は、次のガイドラインに留意してください。

  • 指定したリソースの割り当てに失敗すると、パフォーマンスの低下やサービスの障害が発生する可能性があります。専用の VM リソースを展開し、複数のゲスト VM 間ではリソースを共有またはオーバーサブスクライブしないことを強くお勧めします。OVF テンプレートを使用して Cisco ISE 仮想アプライアンスを展開すると、十分なリソースが各 VM に割り当てられます。OVF テンプレートを使用しない場合は、ISO イメージを使用して Cisco ISE を手動でインストールするときに、必ず同等のリソース予約を割り当てるようにしてください。


    (注)  

    推奨する予約なしで Cisco ISE を手動で展開する場合は、密接にアプライアンスのリソース使用率を監視し、必要に応じてリソースを増やすことに責任を負い、Cisco ISE 展開の適切な状態および機能を確保する必要があります。

  • インストールに OVA テンプレートを使用している場合は、インストールが完了した後に次の設定を確認します。

    • [CPU/メモリの予約(CPU/Memory Reservation)] フィールド([設定の編集(Edit Settings)] ウィンドウの [仮想ハードウェア(Virtual Hardware)] タブの下)の Cisco ISE 用の VMware 仮想マシンの要件 のセクションに指定されているリソースの予約を割り当てて、Cisco ISE 導入環境の正しい状態と機能が維持されるようにします。

    • [CPU の制限(CPU Limit)] フィールド([設定の編集(Edit Settings)] ウィンドウの [仮想ハードウェア(Virtual Hardware)] タブの下)の CPU 使用率が [無制限(Unlimited)] に設定されていることを確認します。CPU 使用率の制限を設定すると(CPU 使用率の制限を 12000 MHz に設定するなど)、システムのパフォーマンスに影響します。制限が設定されている場合は、VM クライアントをシャットダウンし、その制限を削除して、VM クライアントを再起動する必要があります。

    • [メモリの制限(Memory Limit)] フィールド([設定の編集(Edit Settings)] ウィンドウの [仮想ハードウェア(Virtual Hardware)] タブの下)の メモリ使用率が [無制限(Unlimited)] に設定されていることを確認します。メモリ使用率の制限を設定すると(制限を 12000 MB に設定するなど)、システムのパフォーマンスに影響します。

    • [共有(Shares)] オプションが、[ハードディスク(Hard Disk)] 領域([設定の編集(Edit Settings)] ウィンドウの [仮想ハードウェア(Virtual Hardware)] タブの下)で [高(High)] に設定されていることを確認します。

      管理者ノードと MnT ノードは、ディスクの使用率に大きく依存しています。共有ディスクストレージ VMware 環境を使用すると、ディスクのパフォーマンスに影響する可能性があります。ノードのパフォーマンスを向上させるには、ノードに割り当てられているディスク共有数を増やす必要があります。

  • VM のポリシー サービス ノードは管理またはモニタリングノードよりも少ないディスク領域で展開できます。すべての実稼働 Cisco ISE ノードの最小ディスク領域は 300 GB です。

  • VM は 1 ~ 6 つの NIC を使用して設定できます。2 つ以上の NIC を使用できるようにすることをお勧めします。追加のインターフェイスは、プロファイリングやゲスト サービス、RADIUS などのさまざまなサービスをサポートするために使用できます。


(注)  

VM の RAM または CPU の割り当てを減らす場合は、変更された VM 構成で Cisco ISE を再イメージ化する必要があります。ただし、RAM または CPU のキャパシティを増やす場合は、再イメージ化は必要ありません。

Cisco ISE 展開における VM のディスク容量の要件

次の表に、実稼働展開で仮想マシンを実行するために推奨される Cisco ISE ディスク領域の割り当てを示します。


(注)  

2 TB 以上の GPT パーティションをブートするには、VM 設定のブート モードでファームウェアを BIOS から EFI に変更する必要があります。

表 7. 仮想マシンに推奨されるディスク領域

Cisco ISE ペルソナ

評価環境での最小ディスク容量

実稼働環境での最小ディスク容量

実稼働環境用に推奨されるディスク領域

最大ディスク領域

スタンドアロン Cisco ISE

300 GB

600 GB

600 GB ~ 2.4 TB

2.4 TB

分散型 ISE:管理専用

300 GB

600 GB

600 GB

2.4 TB

分散型 Cisco ISE、モニタリングのみ

300 GB

600 GB

600 GB ~ 2.4 TB

2.4 TB

分散型 Cisco ISE、ポリシーサービスのみ

300 GB

300 GB

300 GB

2.4 TB

分散型 Cisco ISE、pxGrid のみ

300 GB

300 GB

300 GB

2.4 TB

分散型 Cisco ISE:管理およびモニタリング(およびオプションで pxGrid)

300 GB

600 GB

600 GB ~ 2.4 TB

2.4 TB

分散型 Cisco ISE:管理、モニタリング、およびポリシーサービス(およびオプションで pxGrid)

300 GB

600 GB

600 GB ~ 2.4 TB

2.4 TB


(注)  

追加のディスク領域は、プライマリ管理ノードが一時的にモニタリングノードになるときに、ローカルデバッグログ、ステージングファイルを格納し、アップグレード中にログデータを処理するために必要です。

Cisco ISE のディスク容量に関するガイドライン

Cisco ISE のディスク容量を決定するときは、次のガイドラインに留意してください。

  • Cisco ISE は、仮想マシンの単一のディスクにインストールする必要があります。

  • ディスク割り当ては、ロギングの保持要件によって異なります。モニタリングペルソナが有効になっている任意のノードでは、VM ディスク領域の 60 パーセントがログ ストレージ用に割り当てられます。25,000 のエンドポイントがある展開では、1 日あたり約 1 GB のログが生成されます。

    たとえば、600 GB の VM ディスク領域があるモニタリングノードがある場合、360 GB がログストレージ用に割り当てられます。100,000 のエンドポイントが毎日このネットワークに接続する場合、1 日あたり約 4 GB のログが生成されます。この場合、リポジトリに古いデータを転送し、モニタリングデータベースからそのデータをパージすれば、モニタリングノードのログを 76 日を保存することができます。

追加のログ ストレージ用に、VM ディスク領域を増やすことができます。追加するディスク スペースの 100 GB ごとに、ログ ストレージ用に 60 GB が追加されます。

最初のインストール後に仮想マシンのディスクサイズを増やす場合、Cisco ISE の新規インストールを実行します。新規インストールは、ディスク割り当て全体を適切に検出して利用するのに役立ちます。

次の表に、割り当てられたディスク領域とネットワークに接続するエンドポイントの数に基づいて、モニタリングノードで RADIUS ログを保持できる日数を示します。数値は、次の前提に基づいています:ログ抑制が有効になっているエンドポイントごとに 1 日あたり 10 個以上の認証。

表 8. ノード ログ記憶域のモニタリング:RADIUS の保持日数

エンドポイント数

300 GB

600 GB

1024 GB

2048 GB

5,000

504

1510

2577

5154

10,000

252

755

1289

2577

25,000

101

302

516

1031

50,000

51

151

258

516

100,000

26

76

129

258

150,000

17

51

86

172

200,000

13

38

65

129

250,000

11

31

52

104

500,000

6

16

26

52

次の表に、割り当てられたディスク領域とネットワークに接続するエンドポイントの数に基づいて、モニタリングノードで TACACS+ ログを保持できる日数を示します。数値は、次の前提に基づいています:スクリプトはすべての NAD に対して実行され、1 日あたり 4 セッション、セッションあたり 5 コマンド。

表 9. ノード ログ記憶域のモニタリング:TACACS+ の保持日数

エンドポイント数

300 GB

600 GB

1024 GB

2048 GB

100

12,583

37,749

64,425

128,850

500

2,517

7,550

12,885

25,770

1,000

1,259

3,775

6,443

12,885

5,000

252

755

1,289

2,577

10,000

126

378

645

1,289

25,000

51

151

258

516

50,000

26

76

129

258

75,000

17

51

86

172

100,000

13

38

65

129

ディスク サイズを増やす

コンテキストと可視性の機能が低速であるか、ログのストレージ領域が不十分な場合は、ディスク容量の割り当てを増やす必要があります。

ログストレージの追加を計画するには、100 GB のディスク容量を追加するごとに 60 GB をログストレージ用に使用できます。

ISE を検出して新しいディスクの割り当てを利用するために、ノードの登録を解除し、VM の設定を更新し、Cisco ISE を再インストールする必要があります。これを行う 1 つの方法は、新しい、より大きいノードに Cisco ISE をインストールし、高可用性としての展開にそのノードを追加することです。ノードが同期された後、新しい VM をプライマリノードとして設定し、元の VM を登録解除します。

ディスクサイズの縮小

Cisco ISE のインストール後に VM 予約を減らす場合は、次の手順を実行する必要があります。

  1. Cisco ISE のバックアップを実行します。

  2. 変更された VM 設定で Cisco ISE を再イメージ化します。

  3. Cisco ISE を復元します。