Cisco Secured Network Server シリーズ アプライアンスおよび仮想マシンの要件

Cisco ISE ハードウェアおよび仮想アプライアンスの要件

Cisco ISE は、Cisco Secure Network Server(SNS)のハードウェアまたは仮想アプライアンスにインストールできます。Cisco ISE ハードウェアアプライアンスと同様のパフォーマンスと拡張性を実現するには、仮想マシンに Cisco SNS ハードウェアアプライアンスと同じシステムリソースが必要です。このセクションでは、Cisco ISE をインストールするためのハードウェア、ソフトウェア、および仮想マシンの要件を示します。


(注)  

仮想環境を強化し、すべてのセキュリティ更新が最新の状態であることを確認します。シスコは、ハイパーバイザで検出されたセキュリティ上の問題については責任を負いません。

注意    

Cisco ISE は、仮想環境のデータをバックアップするための VM スナップショットをサポートしていません。VM でスナップショット機能を有効にすると、設定が破損する可能性があります。この場合は、VM の再イメージ化が必要になる可能性があります。

Cisco SNS ハードウェアアプライアンス

Cisco SNS 3500 シリーズ アプライアンスについては、『Cisco SNS-3500 Series Appliance Hardware Installation Guide』を参照してください。

Cisco SNS 3600 シリーズ アプライアンスについては、『Cisco SNS-3600 Series Appliance Hardware Installation Guide』を参照してください。

Cisco SNS 3700 シリーズ アプライアンスについては、『Cisco SNS-3700 Series Appliance Hardware Installation Guide』を参照してください。https://www.cisco.com/content/en/us/td/docs/security/ise/sns3700hig/sns_3700_hardware_install_guide.html


(注)  

Cisco ISE 3.1 は、Cisco SNS 3515 アプライアンスをサポートしていません。Cisco ISE 3.1 でサポートされるハードウェアプラットフォームについては、 「サポートされるハードウェア」を参照してください。

Cisco SNS 3700 シリーズ アプライアンスのサポート

Cisco SNS 3700 シリーズ アプライアンスは、Cisco Unified Computing System(Cisco UCS)C220 ラックサーバーに基づいており、特に Cisco ISE をサポートするように構成されています。Cisco SNS 3700 シリーズ アプライアンスは、幅広いワークロードで高いパフォーマンスと効率性を提供するように設計されています。

Cisco SNS 3700 シリーズ アプライアンスには次のモデルがあります。

  • Cisco SNS 3715(SNS-3715-K9)

  • Cisco SNS 3755(SNS-3755-K9)

  • Cisco SNS 3795(SNS-3795-K9)

Cisco SNS 3715 アプライアンスは、小規模な展開向けに設計されています。Cisco SNS 3755 および Cisco SNS 3795 アプライアンスには、ハードディスクや電源などの複数の冗長コンポーネントがあり、信頼性の高いシステム構成を必要とする大規模な展開に適しています。PAN および MnT ペルソナには Cisco SNS 3795 が推奨されます。

Cisco ISE リリース 3.1 パッチ 6 以降のバージョンでは、Cisco SNS 3700 シリーズ アプライアンスがサポートされます。


(注)  

SNS 3700 シリーズ アプライアンスには、ISE リリースが事前にインストールされています。Cisco ISE リリース 3.1 パッチ 6 を使用して SNS 3700 シリーズ アプライアンスを再イメージ化するには、次のイメージを使用する必要があります。

ise-3.1.0.518c.SPA.x86_64_SNS-37x5_APPLIANCE_ONLY.iso

次の表では、Cisco SNS 3700 シリーズ アプライアンスのハードウェア仕様について説明します。

表 1. Cisco SNS 3700 シリーズ アプライアンスハードウェアの仕様

Cisco SNS 3700 シリーズ アプライアンス

ハードウェア仕様

Cisco SNS-3715-K9

  • Cisco UCS C220 M6

  • インテル Xeon Silver 4310 CPU 2.10 GHz

  • 12 CPU コア、24 スレッド

  • 32 GB RAM

  • 600 GB HDD X 1、800 GB SSD X 1、または 900 GB SED X 1

  • [RAID-0]

  • 10GBase-T x 2

    10GE SFP x 4

Cisco SNS-3755-K9

  • Cisco UCS C220 M6

  • Intel Xeon Silver 4316 CPU 2.30 GHz

  • 20 CPU コア、40 スレッド

  • 96 GB RAM

  • 600 GB HDD X 4、800 GB SSD X 4、または 900 GB SED X 4

  • RAID 10

  • 10GBase-T x 2

    10GE SFP x 4

Cisco SNS-3795-K9

  • Cisco UCS C220 M6

  • Intel Xeon Silver 4316 CPU 2.30 GHz

  • 20 CPU コア、40 スレッド

  • 256 GB RAM

  • 600 GB HDD X 8、800 GB SSD X 8、または 900 GB SED X 8

  • RAID 10

  • 10GBase-T x 2

    10GE SFP x 4

(注)  

  • Cisco SNS 3700 シリーズ アプライアンスに、メモリ、プロセッサ、ハードディスクなどのハードウェアリソースを追加することはできません。

  • SNS ハードウェアアプライアンスに Cisco ISE をインストールするには、少なくとも 6 つの NIC が必要です。デフォルトでは、すべての SNS ハードウェアアプライアンスに 6 つの NIC が付属しています。

  • SAS/SATA ハードドライブと SAS/SATA SSD を混在させることはできません。SAS/SATA ハードドライブまたは SAS/SATA SSD のいずれかを使用する必要があります。

  • SSD は、ディスクの読み取り/書き込み操作、他の Cisco ISE 操作(起動、インストール、アップグレードなど)、およびバックアップ、レポート生成などのデータベース集約型タスクのパフォーマンスを向上させます。

  • SFP は別途注文する必要があります。コンポーネントの製品番号については、『Cisco UCS C-Series Rack Server Data Sheet』を参照してください。

詳細については、『Cisco SNS-3700 Series Appliance Hardware Installation Guide』を参照してください。

VMware 仮想マシンの要件

VMware の移行機能を使用して、VM インスタンス(任意のペルソナを実行)をホスト間で移行できます。Cisco ISE はホットマイグレーションとコールドマイグレーションの両方をサポートします。

  • ホットマイグレーションは、ライブマイグレーションまたは vMotion とも呼ばれます。ホットマイグレーション中に Cisco ISE をシャットダウンしたり、電源をオフにしたりする必要はありません。可用性を損なうことなく、Cisco ISE VM を移行できます。

  • コールドマイグレーションを行うには、Cisco ISE をシャットダウンして電源をオフにする必要があります。Cisco ISE では、コールドマイグレーション中にデータベース操作を停止または一時停止できません。したがって、コールドマイグレーション中は Cisco ISE が実行されておらず、アクティブでないことを確認します。


    (注)  

    データベースの破損の問題を防ぐために、halt コマンドを使用する前、または VM の電源をオフにする前に、application stop コマンドを使用する必要があります。

Cisco ISE は、VM に Cisco ISE をインストールし、展開するために使用できる、次の OVA テンプレートを提供します。

  • ISE-3.1.0.518b-virtual-SNS3615-SNS3655-300.ova

  • ISE-3.1.0.518b-virtual-SNS3615-SNS3655-600.ova

  • ISE-3.1.0.518b-virtual-SNS3655-SNS3695-1200.ova

  • ISE-3.1.0.518b-virtual-SNS3695-1800.ova


    (注)  

    SNS 3695 OVA テンプレートを VMware vCenter コンテンツライブラリにインポートする場合は、ISE-3.1.0.518b-virtual-SNS3695-1800.ova テンプレートを使用できます。この OVA テンプレートは ISE-3.1.0.518b-virtual-SNS3695-2400.ova テンプレートに似ていますが、ディスクサイズが 2 TB を超える OVA のインポートを防ぐ Vmware vCenter コンテンツライブラリの制限事項を回避するため、予約済みディスクサイズが 2400 GB から 1800 GB に削減されています。

  • ISE-3.1.0.518b-virtual-SNS3695-2400.ova

  • ISE-3.1.0.518b-ESXi-6.5-virtual-SNS3615-SNS3655-300.ova

  • ISE-3.1.0.518b-ESXi-6.5-virtual-SNS3615-SNS3655-600.ova

  • ISE-3.1.0.518b-ESXi-6.5-virtual-SNS3655-SNS3695-1200.ova

  • ISE-3.1.0.518b-ESXi-6.5-virtual-SNS3695-1800.ova

  • ISE-3.1.0.518b-ESXi-6.5-virtual-SNS3695-2400.ova


    (注)  

    ESXi 6.5 を使用している場合は、ファイル名に ESXi-6.5 を含む OVA テンプレートを使用する必要があります。その他の OVA テンプレートは、ESXi 6.7 以降のバージョン用です。

    ESXi 6.5 を使用している場合、次の警告メッセージが表示されることがあります。

    この仮想マシンに構成されたゲスト OS(Red Hat Enterprise Linux 7(64 ビット))は、現在実行されているゲスト(Red Hat Enterprise Linux 8(64 ビット))と一致しません。ゲスト固有の最適化を可能にするために、正しいゲスト OS を指定する必要があります。

    ただし、これは機能上の影響はありません。詳細については、CSCwb45787 を参照してください。

300 GB OVA テンプレートは、専用のポリシーサービスや pxGrid ノードとして動作する Cisco ISE ノードには十分です。

600 GB および 1.2 TB OVA テンプレートは、管理またはモニタリングペルソナを実行するノードの最小要件を満たすために推奨されています。

ディスク サイズ、CPU、またはメモリ配賦をカスタマイズする必要がある場合、標準の .iso イメージを使用して手動で Cisco ISE をデプロイできます。ただし、このドキュメントで指定されている最小要件およびリソース予約を確認することが重要です。OVA テンプレートは、各プラットフォームに必要な最小のリソースを自動的に適用することにより、ISE の仮想アプライアンスのデプロイメントを簡素化します。

表 2. OVA テンプレート予約

OVA テンプレートタイプ

CPU の数

CPU 予約(GHz)

メモリ(GB)

メモリ予約(GB)

評価

4

予約なし

16

予約なし

16

16

32

32

中規模

24

24

96

96

24

24

256

256

必要な割り当てに合った CPU とメモリのリソースを予約します。十分なリソースを予約しないと、ISE のパフォーマンスと安定性に大きな影響を与える可能性があります。

この表では、VMware 仮想マシンの要件を示します。

表 3. VMware 仮想マシンの要件

要件のタイプ

仕様

CPU

  • 評価

    • クロック速度:2.0 GHz 以上

    • CPU コア数:4 CPU コア

  • 実稼働

    • クロック速度:2.0 GHz 以上

    • コア数:

      • SNS 3500 シリーズ アプライアンス:

        • 中規模:16

        • 大規模:16

          (注)  

           

          コアの数は、ハイパースレッディングにより、Cisco SNS 3500 シリーズの 2 倍です。

      • SNS 3600 シリーズ アプライアンス:

        • 小規模:16

        • 中規模:24

        • 大規模:24

          (注)  

           

          コアの数は、ハイパースレッディングにより、Cisco SNS 3600 シリーズの 2 倍です。たとえば、小規模ネットワーク展開の場合、8 個の CPU コアまたは 16 個のスレッドを持つ SNS 3615 の CPU 仕様を満たすために、16 個の vCPU コアを割り当てる必要があります。

メモリ

  • 評価:16 GB

  • 実稼働

    • 小規模:SNS 3615 の場合は 32 GB

    • 中規模:SNS 3595 の場合は 64 GB、SNS 3655 の場合は 96 GB

    • 大規模:SNS 3695 の場合は 256 GB

ハード ディスク

  • 評価:300 GB

  • 実稼働

    300 GB ~ 2.4 TB のディスクストレージ(サイズは展開とタスクによって異なります)。

    VM ホスト サーバでは、最小速度が 10,000 RPM のハード ディスクを使用することをお勧めします。

(注)  

 

Cisco ISE に対して VM を作成する場合は、ストレージ要件を満たす単一の仮想ディスクを使用します。ディスク領域要件を満たしている複数の仮想ディスクを使用する場合、インストーラがすべてのディスク領域を認識しない可能性があります。

ストレージおよびファイルシステム

Cisco ISE 仮想アプライアンスのストレージ システムには、50 MB/秒の最小書き込みパフォーマンスと 300 MB/秒の読み取りパフォーマンスが必要です。これらのパフォーマンス基準を満たし、VMware サーバーでサポートされているストレージ システムをデプロイします。

show tech-support コマンドを使用して、読み取りおよび書き込みの評価指標を表示できます。

ここでは、最も広範にテストされているという理由で VMFS ファイル システムを推奨しますが、上記の要件を満たせば、その他のファイル システム、転送、およびメディアもデプロイできます。

ディスクコントローラ

Paravirtual(64 ビット RHEL 7 のデフォルト)または LSI Logic Parallel

最適なパフォーマンスと冗長性のために、キャッシュ RAID コントローラが推奨されます。さらに、バッテリバックアップ式コントローラ キャッシュは書き込み操作の効率をかなり高めることができます。

(注)  

 

Cisco ISE VM のディスク SCSI コントローラを別のタイプから VMware Paravirtual に更新すると、ブートできなくなる可能性があります。

NIC

1 つの NIC インターフェイスが必要(複数の NIC が推奨されます。6 つの NIC がサポートされます)。Cisco ISE は E1000 および VMXNET3 アダプタをサポートしています。

(注)  

 

デフォルトで正しいアダプタ順序を確保するために、E1000 を選択することをお勧めします。VMXNET3 を選択した場合、Cisco ISE のアダプタ順序と同期させるために ESXi アダプタを再マップしなければならない場合があります。

VMware 仮想ハードウェアバージョン/ハイパーバイザ

  • ESXi 6.5 の VMware バージョン 9

  • ESXi 6.7 および ESXi 7.0 の VMware バージョン 14

  • OVA テンプレート:ESXi 6.7 、ESXi 7.0、および ESXi 8.0 では VMware バージョン 14 以降。

  • ISO ファイルは ESXi 6.7、ESXi 7.0、および ESXi 8.0 をサポートしています。

Cisco ISE 向けの VMware HA および DRS 設定推奨事項

VMware 高可用性(HA)または分散リソーススケジューラ(DRS)ポリシーの設定が正しくない場合、誤ったホスト障害イベントがトリガーされ、ESXi が Cisco ISE 仮想マシンを予期せず再起動する可能性があります。展開の安定性を維持し、Cisco ISE サービスの中断を防ぐには、VMware 仮想マシンが VMware 推奨事項に従って設定されていることを確認します。

Linux KVM の要件

表 4. Linux KVM の要件

要件のタイプ

最小要件

CPU

  • 評価

    • クロック速度:2.0 GHz 以上

    • コア数:4 CPU コア

  • 実稼働

    • クロック速度:2.0 GHz 以上

    • コア数:

      • SNS 3500 シリーズ アプライアンス:

        • 中規模:16

        • 大規模:16

          (注)  

           

          コアの数は、ハイパースレッディングにより、Cisco SNS 3500 シリーズ アプライアンスのコア数の 2 倍です。

      • SNS 3600 シリーズ アプライアンス:

        • 小規模:16

        • 中規模:24

        • 大規模:24

          (注)  

           

          コアの数は、ハイパースレッディングにより、Cisco SNS 3600 シリーズ アプライアンスのコア数の 2 倍です。たとえば、小規模ネットワーク展開の場合、8 個の CPU コアまたは 16 個のスレッドを持つ SNS 3615 の CPU 仕様を満たすために、16 個の vCPU コアを割り当てる必要があります。

メモリ

  • 評価:16 GB

  • 実稼働

    • 小規模:SNS 3615 の場合は 32 GB

    • 中規模:SNS 3595 の場合は 64 GB、SNS 3655 の場合は 96 GB

    • 大規模:SNS 3695 の場合は 256 GB

ハード ディスク

  • 評価:300 GB

  • 実稼働

    300 GB ~ 2.4 TB のディスクストレージ(サイズは展開とタスクによって異なります)。

    VM ホストサーバーでは、最小速度が 10,000 RPM のハードディスクを使用することをお勧めします。

    (注)  

     

    Cisco ISE に対して VM を作成する場合は、ストレージ要件を満たす単一の仮想ディスクを使用します。ディスク容量の要件を満たすために複数の仮想ディスクを使用している場合は、インストーラが合計ディスク容量を検出できないことがあります。

KVM ディスク デバイス

ディスク バス:virtio、キャッシュ モード:なし、I/O モード:ネイティブ

事前割り当て済みの RAW ストレージ形式を使用します。

NIC

1 つの NIC インターフェイスが必要(複数の NIC インターフェイスが推奨されます。6 つの NIC インターフェイスがサポートされます)。

Cisco ISE は VirtIO ドライバをサポートします。パフォーマンスを向上させるには、VirtIO ドライバを推奨します。

ハイパーバイザ

QEMU 2.12.0-99 以降での KVM

Microsoft Hyper-V の要件

表 5. Microsoft Hyper-V の要件

要件のタイプ

最小要件

CPU

  • 評価

    • クロック速度:2.0 GHz 以上

    • コア数:4 CPU コア

  • 実稼働

    • クロック速度:2.0 GHz 以上

    • コア数:

      • SNS 3500 シリーズ アプライアンス:

        • 中規模:16

        • 大規模:16

          コアの数は、ハイパースレッディングにより、Cisco SNS 3500 シリーズのコア数の 2 倍です。

      • SNS 3600 シリーズ アプライアンス:

        • 小規模:16

        • 中規模:24

        • 大規模:24

          (注)  

           

          コアの数は、ハイパースレッディングにより、Cisco SNS 3600 シリーズのコア数の 2 倍です。たとえば、小規模ネットワーク展開の場合、8 個の CPU コアまたは 16 個のスレッドを持つ SNS 3615 の CPU 仕様を満たすために、16 個の vCPU コアを割り当てる必要があります。

メモリ

  • 評価:16 GB

  • 実稼働

    • 小規模:SNS 3615 の場合は 32 GB

    • 中規模:SNS 3595 の場合は 64 GB、SNS 3655 の場合は 96 GB

    • 大規模:SNS 3695 の場合は 256 GB

ハード ディスク

  • 評価:300 GB

  • 実稼働

    300 GB ~ 2.4 TB のディスクストレージ(サイズは展開とタスクによって異なります)。

    VM ホスト サーバでは、最小速度が 10,000 RPM のハード ディスクを使用することをお勧めします。

(注)  

 

ストレージ要件を満たす単一の仮想ディスクを使用して Cisco ISE に対して VM を作成します。複数の仮想ディスクを使用している場合は、インストーラが合計ディスク容量を検出できないことがあります。

NIC

1 つの NIC インターフェイスが必要(複数の NIC が推奨されます。6 つの NIC がサポートされます)。

ハイパーバイザ

Hyper-V(Microsoft)


(注)  

Cisco ISE は、Azure Stack HCI 23H2 以降のバージョンをサポートしています。Azure Stack HCI 内の Cisco ISE VM の仮想マシン要件とインストール手順は、Microsoft Hyper-V の場合と同じです。

Nutanix AHV の要件

Cisco ISE は、標準の Cisco ISE .iso イメージを使用して Nutanix AHV に展開する必要があります。Nutanix AHV では、OVA テンプレートを使用した Cisco ISE の展開はできません。

この表では、Nutanix AHV でのさまざまな展開タイプに推奨されるリソース予約を示します。

タイプ CPU の数 CPU 予約(GHz) メモリ(GB) メモリ予約(GB) ハード ディスク

評価

4

予約なし

16

予約なし

300 GB
16 16 32 32 600 GB
中規模 24 24 96 96 1.2 TB
24 24 256 256 2.4 TB(4*600 GB)

Cisco ISE をインストールする前に、Nutanix AHV で次の設定を行う必要があります。

  • Nutanix AHV で VM を作成し、VM の電源をオフのままにします。

  • AOS 6.8 以前のバージョンを使用している場合、ssh ログインを使用して Nutanix CVM にアクセスし、次のコマンドを実行します。

    • $acli

    • <acropolis> vm.serial_port_create <Cisco ISE VM Name> type=kServer index=0

    • <acropolis> vm.update <Cisco ISE VM Name> disable_branding=true

    • <acropolis> vm.update <Cisco ISE VM Name> disable_hyperv=true

    AOS 7.0 を使用している場合、ssh ログインを使用して Nutanix CVM にアクセスし、次のコマンドを実行します。

    • <acropolis> vm.serial_port_create <Cisco ISE VM Name> type=kServer index=0

    • <acropolis> vm.update <Cisco ISE VM Name> disable_branding=true

  • Acropolis CLI を終了し、VM の電源をオンにして、standard.iso イメージを使用して Cisco ISE をインストールします。

表 6. Nutanix AHV の要件

要件のタイプ

最小要件

CPU

  • 評価:

    • クロック速度:2.0 GHz 以上

    • コア数: 2 CPU コア

  • 実稼動:

    • クロック速度:2.0 GHz 以上

    • コア数

      • 小規模:12 プロセッサ(ハイパースレッディングが有効の 6 コア)

      • 大規模:16 プロセッサ(ハイパースレッディングが有効の 8 コア)

Cisco ISE はハイパースレッディングをサポートしています。可能であれば、ハイパースレッディングを有効にすることを推奨します。

(注)  

 

ハイパースレッディングにより全体的なパフォーマンスは向上しますが、各仮想マシンアプライアンスでサポートされるスケーリング制限は変更されません。論理プロセッサではなく、必要な物理コアの数に基づいて CPU リソースを割り当てます。

メモリ

  • 評価:

    • 基本:4 GB(ゲストアクセスと基本的なアクセスポリシーフローの評価用)

    • 拡張:16 GB(pxGrid、内部 CA、SXP、デバイス管理、パッシブ アイデンティティ サービスなどの高度な機能の評価用)

  • 実稼動:

    • 小規模:16 GB

    • 大規模:64 GB

ハード ディスク

  • 評価:300 GB

  • 実稼動:

    300 GB ~ 2 TB のディスクストレージ(サイズは展開とタスクによって異なります)。

    VM ホスト サーバでは、最小速度が 10,000 RPM のハード ディスクを使用することをお勧めします。

    (注)  

     

    2.4 TB のハードディスクサポートには、4 つの 600 GB のハードディスクを使用する必要があります。

KVM ディスクデバイス

ディスクバス:SCSI

NIC

1 GB の NIC インターフェイスが必要(複数の NIC が推奨されます。6 つの NIC がサポートされます)。

Cisco ISE は VirtIO ドライバをサポートします。パフォーマンスを向上させるには、VirtIO ドライバを推奨します。

ハイパーバイザ

AOS - 5.20.1.1 LTS、Nutanix AHV - 20201105.2096

AOS - 6.8、Nutanix AHV - 20230302.100169

AOS - 6.8 および 7.0、Nutanix AHV - 10.0

Cisco ISE の VMware クラウドソリューション

パブリック クラウド プラットフォームでは、VPN を構成して、VMware Engine からオンプレミスの展開、およびその他の必要なデバイスとサービスへの接続を許可します。次のパブリック クラウド プラットフォームを使用した VMware クラウドソリューションに Cisco ISE を展開できます。

  • Amazon Web Services(AWS)の VMware クラウド:Cisco ISE を AWS の VMware クラウドが提供するソフトウェア定義型データセンターでホストします。オンプレミス展開、その他の必要なデバイスとサービスへのアクセスを許可するために、適切なセキュリティ グループ ポリシーを VMware クラウドに設定します([Networking and Security] > [Security] > [Gateway Firewall Settings] ページ)。

  • Azure VMware ソリューション:Azure VMware ソリューションは、Microsoft Azure 上でネイティブに VMware ワークロードを実行します。Cisco ISE を VMware 仮想マシンとしてホストできます。

  • Google Cloud VMware Engine:Google Cloud VMware Engine は、VMware によってソフトウェアデファインド データセンターを実行します。VMware Engine を使用して、VMware 仮想マシンとして Cisco ISE をホストできます。

クラウドプラットフォームでの Cisco ISE の展開については、『Deploy Cisco Identity Services Engine Natively on Cloud Platforms』を参照してください。

仮想マシンのサイズについての推奨事項

VM アプライアンスの仕様は、実稼働環境で使用されている物理アプライアンスの仕様と一致している必要があります。

アプライアンスのリソースを割り当てる際は、次のガイドラインに従います。

  • 複数のゲスト VM 間でリソースを共有またはオーバーサブスクライブしないでください。OVF テンプレートを使用して、適切なリソースを割り当てます。ISO イメージを使用して Cisco ISE を手動でインストールする場合は、同等の予約を割り当てていることを確認します。

    指定されたリソースを割り当てないと、パフォーマンスの低下やサービスの障害が発生する可能性があります。これらの問題を回避するには、専用の VM リソースを展開します。

    推奨される予約を使用せずに Cisco ISE を手動で展開する場合は、アプライアンスのリソース使用率を詳しくモニターする必要があります。必要に応じてリソースを増やし、Cisco ISE 展開の適切な正常性と機能を確保します。

  • インストールに OVA テンプレートを使用している場合は、インストールが完了した後に [設定の編集(Edit Settings)] ページ([仮想ハードウェア(Virtual Hardware)] タブの下)で次の設定を確認します。

    • [CPU/メモリの予約(CPU/Memory Reservation)] フィールドでVMware 仮想マシンの要件のセクションに指定されているリソースの予約を割り当てて、Cisco ISE 展開の適切な正常正と機能を確保します。

    • [CPU制限(CPU Limit)] フィールドの CPU 使用率が [無制限(Unlimited)] に設定されていることを確認します。CPU 使用率の制限を設定すると、システムのパフォーマンスに影響します。制限が設定されている場合は、VM クライアントをシャットダウンし、その制限を削除して、クライアントを再起動します。

    • [メモリ制限(Memory Limit)] フィールドのメモリ使用率が [無制限(Unlimited)] に設定されていることを確認します。メモリ使用率の制限を設定すると、システムのパフォーマンスに影響します。

    • [ハードディスク(Hard Disk)] エリアで [共有(Shares)] オプションが [高(High)] に設定されていることを確認します。

      管理者ノードと MnT ノードは、ディスクの使用率に大きく依存しています。共有ディスクストレージ VMware 環境を使用すると、ディスクのパフォーマンスが低下する可能性があります。パフォーマンスを向上させるには、ノードに割り当てられているディスク共有数を増やす必要があります。

  • VM のポリシーサービスノードは、管理またはモニタリングノードよりも少ないディスク容量で展開できます。すべての実稼働 Cisco ISE ノードの最小ディスク領域は 300 GB です。

  • VM は、1 ~ 6 つの NIC を使用して設定できます。可能な場合は、少なくとも 2 つの NIC を使用して VM を設定します。追加のインターフェイスにより、プロファイリング、ゲストサービス、RADIUS などのサービスがサポートされます。


(注)  

VM の RAM または CPU の割り当てを減らす場合は、新しい VM 構成で Cisco ISE を再イメージ化する必要があります。ただし、RAM または CPU のキャパシティを増やす場合は、再イメージ化は必要ありません。

Cisco ISE 展開における VM のディスク容量の要件

この表では、実稼働展開で VM を実行するために推奨される Cisco ISE ディスク容量の割り当てを示します。


(注)  

2 TB 以上の GPT パーティションをブートするには、VM 設定のブートモードでファームウェアを BIOS から EFI に変更します。

表 7. VM の推奨ディスク容量

Cisco ISE ペルソナ

評価環境での最小ディスク容量

実稼働環境での最小ディスク容量

実稼働環境での推奨ディスク容量

最大ディスク容量

スタンドアロン Cisco ISE

300 GB

600 GB

600 GB ~ 2.4 TB

2.4 TB

分散型 ISE:管理専用

300 GB

600 GB

600 GB

2.4 TB

分散型 Cisco ISE、モニタリングのみ

300 GB

600 GB

600 GB ~ 2.4 TB

2.4 TB

分散型 Cisco ISE、ポリシーサービスのみ

300 GB

300 GB

300 GB

2.4 TB

分散型 Cisco ISE、pxGrid のみ

300 GB

300 GB

300 GB

2.4 TB

分散型 Cisco ISE:管理およびモニターリング(およびオプションで pxGrid)

300 GB

600 GB

600 GB ~ 2.4 TB

2.4 TB

分散型 Cisco ISE:管理、モニターリング、およびポリシーサービス(およびオプションで pxGrid)

300 GB

600 GB

600 GB ~ 2.4 TB

2.4 TB


(注)  

ローカルデバッグログとステージングファイルを保存するには、追加のディスク容量が必要です。プライマリ管理ノードが一時的にモニタリングノードになるときにも、アップグレード中にログデータを処理するために追加の容量が必要になります。

Cisco ISE のディスク容量に関するガイドライン

Cisco ISE のディスク容量を決定する際は、次のガイドラインを考慮します。

  • Cisco ISE は、VM の単一のディスクにインストールする必要があります。

  • ディスク割り当ては、ロギングの保持要件によって異なります。モニターリング ペルソナが有効になっている任意のノードでは、VM ディスク領域の 60 パーセントがログ ストレージ用に割り当てられます。25,000 のエンドポイントがあるデプロイメントでは、1 日あたり約 1 GB のログが生成されます。

    たとえば、600 GB の VM ディスク容量があるモニタリングノードがある場合、360 GB がログストレージ用に割り当てられます。100,000 のエンドポイントが毎日このネットワークに接続する場合、1 日あたり約 4 GB のログが生成されます。この場合、リポジトリに古いデータを転送し、モニターリング データベースからそのデータをパージすれば、モニターリング ノードのログを 76 日を保存することができます。

追加のログ ストレージ用に、VM ディスク領域を増やすことができます。追加するディスク スペースの 100 GB ごとに、ログ ストレージ用に 60 GB が追加されます。

最初のインストール後に仮想マシンのディスクサイズを増やす場合、Cisco ISE の新規インストールを実行します。これにより、Cisco ISE はディスク割り当て全体を適切に検出して使用できるようになります。

この表では、ディスク容量とエンドポイント数に基づいて、モニタリングノードでの RADIUS ログの保持期間を示します。これらの値は、次の前提に基づいています:ログ抑制が有効になっているエンドポイントごとに 1 日あたり 10 個以上の認証。

表 8. モニタリングノードのログストレージ(RADIUS の保持日数)

エンドポイントの数

300 GB

600 GB

1024 GB

2048 GB

5,000

504

1510

2577

5154

10,000

252

755

1289

2577

25,000

101

302

516

1031

50,000

51

151

258

516

100,000

26

76

129

258

150,000

17

51

86

172

200,000

13

38

65

129

250,000

11

31

52

104

500,000

6

16

26

52

この表では、ディスク容量とエンドポイント数に基づいて、モニタリングノードでの TACACS+ ログの保持期間を示します。これらの値は、次の前提に基づいています:スクリプトはすべての NAD に対して実行され、1 日あたり 4 セッション、セッションあたり 5 コマンド。

表 9. モニタリングノードのログストレージ(TACACS+ の保持日数)

エンドポイントの数

300 GB

600 GB

1024 GB

2048 GB

100

12,583

37,749

64,425

128,850

500

2,517

7,550

12,885

25,770

1,000

1,259

3,775

6,443

12,885

5,000

252

755

1,289

2,577

10,000

126

378

645

1,289

25,000

51

151

258

516

50,000

26

76

129

258

75,000

17

51

86

172

100,000

13

38

65

129

ディスクサイズの拡大

コンテキストと可視性の機能が低速であるか、ログのストレージ領域が不十分な場合は、ディスク容量の割り当てを増やす必要があります。

100 GB のディスク容量を追加するごとに 60 GB をログストレージ用に使用できます。

新しいディスクの割り当てを検出して使用するために Cisco ISE を有効にするには、ノードの登録を解除し、VM の設定を更新し、Cisco ISE を再インストールする必要があります。高可用性のために、新しいより大きいノードに Cisco ISE をインストールし、展開にそのノードを追加することができます。ノードを同期した後に、新しい VM をプライマリノードとして設定し、元の VM を登録解除します。

ディスクサイズの縮小

Cisco ISE のインストール後に VM 予約を減らす場合は、次の手順を実行する必要があります。

  1. Cisco ISE のバックアップを実行します。

  2. 更新された VM 設定で Cisco ISE を再イメージ化します。

  3. Cisco ISE を復元します。