Cisco ISE ハードウェアおよび仮想アプライアンスの要件
Cisco ISE は、Cisco Secure Network Server(SNS)のハードウェアまたは仮想アプライアンスにインストールできます。Cisco ISE ハードウェアアプライアンスと同様のパフォーマンスと拡張性を実現するには、仮想マシンに Cisco SNS ハードウェアアプライアンスと同じシステムリソースが必要です。このセクションでは、Cisco ISE をインストールするためのハードウェア、ソフトウェア、および仮想マシンの要件を示します。
 (注) |
仮想環境を強化し、すべてのセキュリティ更新が最新の状態であることを確認します。シスコは、ハイパーバイザで検出されたセキュリティ上の問題については責任を負いません。 |
 注意 |
Cisco ISE は、仮想環境のデータをバックアップするための VM スナップショットをサポートしていません。VM でスナップショット機能を有効にすると、設定が破損する可能性があります。この場合は、VM の再イメージ化が必要になる可能性があります。 |
Cisco SNS ハードウェアアプライアンス
Cisco SNS 3600 シリーズ アプライアンスについては、『Cisco SNS-3600 Series Appliance Hardware Installation Guide』を参照してください。
Cisco SNS 3700 シリーズ アプライアンスについては、『Cisco SNS-3700 Series Appliance Hardware Installation Guide』を参照してください。https://www.cisco.com/content/en/us/td/docs/security/ise/sns3700hig/sns_3700_hardware_install_guide.html
Cisco SNS 3800 シリーズ アプライアンスについては、『Cisco SNS-3800 Series Appliance Hardware Installation Guide』を参照してください。
お使いのバージョンの Cisco ISE でサポートされるハードウェア プラットフォームの詳細については、『Release Notes for Cisco Identity Services Engine』を参照してください。
Cisco SNS 3800 シリーズ アプライアンスのサポート
Cisco SNS 3800 シリーズ アプライアンスは、Cisco Unified Computing System(Cisco UCS)C225 M8 ラックサーバーに基づいており、特に Cisco ISE をサポートするように構成されています。Cisco SNS 3800 シリーズ アプライアンスは、幅広いワークロードで高いパフォーマンスと効率性を提供するように設計されています。
Cisco SNS 3800 シリーズ アプライアンスには次のモデルがあります。
-
Cisco SNS 3815(SNS-3815-K9)
-
Cisco SNS 3855(SNS-3855-K9)
-
Cisco SNS 3895(SNS-3895-K9)
Cisco SNS 3815 アプライアンスは、小規模な展開に適しています。Cisco SNS 3855 および Cisco SNS 3895 アプライアンスには、ハードディスクや電源などの複数の冗長コンポーネントがあり、信頼性の高いシステム構成を必要とする大規模な展開に適しています。PAN および MnT ペルソナには Cisco SNS 3895 が推奨されます。
(注) |
|
次の表では、Cisco SNS 3800 シリーズ アプライアンスのハードウェア仕様について説明します。
|
Cisco SNS 3800 シリーズ アプライアンス |
RAM |
CPU コア |
ハードディスク数 |
総ディスク容量 |
RAID |
|---|---|---|---|---|---|
|
Cisco SNS-3815-K9 |
64 GB |
コア X 16、スレッド X 32 |
NVME-1 |
960 GB |
NA |
|
64 GB |
コア X 16、スレッド X 32 |
SED-1 |
960 GB |
[RAID-0] |
|
|
64 GB |
コア X 16、スレッド X 32 |
SED-FIPS-1 |
1.6 TB |
[RAID-0] |
|
|
Cisco SNS-3855-K9 |
128 GB |
24 コア、48 スレッド |
NVME-1 |
960 GB |
NA |
|
128 GB |
24 コア、48 スレッド |
NVME-4 |
1.9 TB |
RAID-10 |
|
|
128 GB |
24 コア、48 スレッド |
SED-1 |
960 GB |
[RAID-0] |
|
|
128 GB |
24 コア、48 スレッド |
SED-4 |
1.9 TB |
RAID-10 | |
|
128 GB |
24 コア、48 スレッド |
SED-FIPS-1 |
1.6 TB |
[RAID-0] |
|
|
128 GB |
24 コア、48 スレッド |
SED-FIPS-4 |
3.2 TB |
RAID-10 |
|
|
Cisco SNS-3895-K9 |
256 GB |
24 コア、48 スレッド |
NVME-8 |
3.8 TB |
RAID-10 |
|
256 GB |
24 コア、48 スレッド |
SED-8 |
3.8 TB |
RAID-10 |
|
|
256 GB |
24 コア、48 スレッド |
SED-FIPS-8 |
6.4 TB |
RAID-10 |
詳細については、『Cisco SNS 3800 Series Appliance Hardware Installation Guide』[英語] を参照してください。
VMware 仮想マシンの要件
VMware の移行機能を使用して、VM インスタンス(任意のペルソナを実行)をホスト間で移行できます。Cisco ISE はホットマイグレーションとコールドマイグレーションの両方をサポートします。
-
ホットマイグレーションは、ライブマイグレーションまたは vMotion とも呼ばれます。ホットマイグレーション中に Cisco ISE をシャットダウンしたり、電源をオフにしたりする必要はありません。可用性を損なうことなく、Cisco ISE VM を移行できます。
-
コールドマイグレーションを行うには、Cisco ISE をシャットダウンして電源をオフにする必要があります。Cisco ISE では、コールドマイグレーション中にデータベース操作を停止または一時停止できません。したがって、コールドマイグレーション中は Cisco ISE が実行されておらず、アクティブでないことを確認します。
(注)
データベースの破損の問題を防ぐために、halt コマンドを使用する前、または VM の電源をオフにする前に、application stop コマンドを使用する必要があります。
300 GB OVA テンプレートは、専用のポリシーサービスや pxGrid ノードとして動作する Cisco ISE ノードには十分です。
600 GB および 1.2 TB OVA テンプレートは、管理またはモニタリングペルソナを実行するノードの最小要件を満たすために推奨されています。
ディスク サイズ、CPU、またはメモリ配賦をカスタマイズする必要がある場合、標準の .iso イメージを使用して手動で Cisco ISE をデプロイできます。ただし、このドキュメントで指定されている最小要件およびリソース予約を確認することが重要です。OVA テンプレートは、各プラットフォームに必要な最小のリソースを自動的に適用することにより、ISE の仮想アプライアンスのデプロイメントを簡素化します。
|
OVA テンプレートタイプ |
CPU の数 |
CPU 予約(GHz) |
メモリ(GB) |
メモリ予約(GB) |
|---|---|---|---|---|
|
評価 |
4 |
予約なし |
16 |
予約なし |
|
極小規模 |
8 |
8 |
32 |
32 |
|
小規模(SNS 3615) |
16 |
16 |
32 |
32 |
|
中規模(SNS 3655) |
24 |
24 |
96 |
96 |
|
大規模(SNS 3695) |
24 |
24 |
256 |
256 |
|
小規模(SNS 3715) |
24 |
24 |
32 |
32 |
|
中規模(SNS 3755) |
40 |
40 |
96 |
96 |
|
大規模(SNS 3795) |
40 |
40 |
256 |
256 |
|
小規模(SNS 3815) |
32 |
32 |
64 |
64 |
|
中規模(SNS 3855) |
48 |
48 |
128 |
128 |
|
大規模(SNS 3895) |
48 |
48 |
256 |
256 |
(注) |
極小規模な VM では PSN ペルソナのみを有効にできます。このノードでは、PAN ペルソナと MnT ペルソナはサポートされていません。 |
必要な割り当てに合った CPU とメモリのリソースを予約します。十分なリソースを予約しないと、ISE のパフォーマンスと安定性に大きな影響を与える可能性があります。
この表では、VMware 仮想マシンの要件を示します。
|
要件のタイプ |
仕様 |
||||||
|---|---|---|---|---|---|---|---|
|
CPU |
|
||||||
|
メモリ |
|
||||||
|
ハード ディスク |
|
||||||
|
ストレージおよびファイルシステム |
Cisco ISE 仮想アプライアンスのストレージ システムには、50 MB/秒の最小書き込みパフォーマンスと 300 MB/秒の読み取りパフォーマンスが必要です。これらのパフォーマンス基準を満たし、VMware サーバーでサポートされているストレージ システムをデプロイします。 show tech-support コマンドを使用して、読み取りおよび書き込みの評価指標を表示できます。 ここでは、最も広範にテストされているという理由で VMFS ファイル システムを推奨しますが、上記の要件を満たせば、その他のファイル システム、転送、およびメディアもデプロイできます。 |
||||||
|
ディスクコントローラ |
Paravirtual(64 ビット RHEL 7 のデフォルト)または LSI Logic Parallel 最適なパフォーマンスと冗長性のために、キャッシュ RAID コントローラが推奨されます。さらに、バッテリバックアップ式コントローラ キャッシュは書き込み操作の効率をかなり高めることができます。
|
||||||
|
NIC |
1 つの NIC インターフェイスが必要(複数の NIC が推奨されます。6 つの NIC がサポートされます)。 Cisco ISE では E1000E および VMXNET3 アダプタがサポートされています。
|
||||||
|
VMware 仮想ハードウェアバージョン/ハイパーバイザ |
|
Cisco ISE 向けの VMware HA および DRS 設定推奨事項
VMware 高可用性(HA)または分散リソーススケジューラ(DRS)ポリシーの設定が正しくない場合、誤ったホスト障害イベントがトリガーされ、ESXi が Cisco ISE 仮想マシンを予期せず再起動する可能性があります。展開の安定性を維持し、Cisco ISE サービスの中断を防ぐには、VMware 仮想マシンが VMware 推奨事項に従って設定されていることを確認します。
Linux KVM の要件
|
要件のタイプ |
最小要件 |
||||||
|---|---|---|---|---|---|---|---|
|
CPU |
|
||||||
|
メモリ |
|
||||||
|
ハード ディスク |
|
||||||
|
KVM ディスク デバイス |
ディスク バス:virtio、キャッシュ モード:なし、I/O モード:ネイティブ 事前割り当て済みの RAW ストレージ形式を使用します。 |
||||||
|
NIC |
1 つの NIC インターフェイスが必要(複数の NIC インターフェイスが推奨されます。6 つの NIC インターフェイスがサポートされます)。 Cisco ISE は VirtIO ドライバをサポートします。パフォーマンスを向上させるには、VirtIO ドライバを推奨します。 |
||||||
|
ハイパーバイザ |
QEMU 2.12.0-99 以降での KVM |
Microsoft Hyper-V の要件
|
要件のタイプ |
最小要件 |
||||||
|---|---|---|---|---|---|---|---|
|
CPU |
|
||||||
|
メモリ |
|
||||||
|
ハード ディスク |
|
||||||
|
NIC |
1 つの NIC インターフェイスが必要(複数の NIC が推奨されます。6 つの NIC がサポートされます)。 |
||||||
|
ハイパーバイザ |
Hyper-V(Microsoft) |
(注) |
Cisco ISE は、Azure Stack HCI 23H2 以降のバージョンをサポートしています。Azure Stack HCI 内の Cisco ISE VM の仮想マシン要件とインストール手順は、Microsoft Hyper-V の場合と同じです。 |
Nutanix AHV の要件
Cisco ISE は、標準の Cisco ISE .iso イメージを使用して Nutanix AHV に展開する必要があります。Nutanix AHV では、OVA テンプレートを使用した Cisco ISE の展開はできません。
この表では、Nutanix AHV でのさまざまな展開タイプに推奨されるリソース予約を示します。
| タイプ | CPU の数 | CPU 予約(GHz) | メモリ(GB) | メモリ予約(GB) | ハード ディスク |
|
評価 |
4 |
予約なし |
16 |
予約なし |
300 GB |
|
極小規模 |
8 |
8 |
32 |
32 |
300 GB |
| 小 | 16 | 16 | 32 | 32 | 600 GB |
| 中規模 | 24 | 24 | 96 | 96 | 1.2 TB |
| 大 | 24 | 24 | 256 | 256 | 2.4 TB(4*600 GB) |
Cisco ISE をインストールする前に、Nutanix AHV で次の設定を行う必要があります。
-
Nutanix AHV で VM を作成し、VM の電源をオフのままにします。
-
AOS 6.8 以前のバージョンを使用している場合、ssh ログインを使用して Nutanix CVM にアクセスし、次のコマンドを実行します。
-
<acropolis> vm.serial_port_create <Cisco ISE VM Name> type=kServer index=0
-
<acropolis> vm.update <Cisco ISE VM Name> disable_branding=true
-
<acropolis> vm.update <Cisco ISE VM Name> disable_hyperv=true
AOS 7.0 を使用している場合、ssh ログインを使用して Nutanix CVM にアクセスし、次のコマンドを実行します。
-
<acropolis> vm.serial_port_create <Cisco ISE VM Name> type=kServer index=0
-
<acropolis> vm.update <Cisco ISE VM Name> disable_branding=true
-
-
Acropolis CLI を終了し、VM の電源をオンにして、standard.iso イメージを使用して Cisco ISE をインストールします。
|
要件のタイプ |
最小要件 |
||
|---|---|---|---|
|
CPU |
Cisco ISE はハイパースレッディングをサポートしています。可能であれば、ハイパースレッディングを有効にすることを推奨します。
|
||
|
メモリ |
|
||
|
ハード ディスク |
|
||
|
KVM ディスクデバイス |
ディスクバス:SCSI |
||
|
NIC |
1 GB の NIC インターフェイスが必要(複数の NIC が推奨されます。6 つの NIC がサポートされます)。 Cisco ISE は VirtIO ドライバをサポートします。パフォーマンスを向上させるには、VirtIO ドライバを推奨します。 |
||
|
ハイパーバイザ |
AOS - 6.8 および 7.0、Nutanix AHV - 10.0 |
Red Hat OpenShift の要件
Cisco ISE リリース 3.4 パッチ 4 以降の VM を Red Hat OpenShift Virtualization プラットフォームに展開できます。これにより、単一のプラットフォームで VM とコンテナのワークロードの両方を管理することが可能になります。
Red Hat OpenShift プラットフォームに Cisco ISE VM を展開する前に、これらの要件を確認してください。
-
Cisco ISE は、標準の Cisco ISE ISO イメージを使用して OpenShift プラットフォームに展開する必要があります。OVA テンプレートを使用した Cisco ISE の展開はサポートされていません。
-
Cisco ISE は、Red Hat OpenShift コンテナプラットフォーム 4.19 以降のバージョンをサポートしています。
-
Cisco ISE を展開するには、OpenShift Virtualization プラグインをインストールする必要があります。
-
ネットワーク設定用に OpenShift Container Network Interface(CNI)をインストールする必要があります。
OpenShift プラットフォームに Cisco ISE をインストールする前に、次の前提条件を満たしていることを確認します。
-
OpenShift プラットフォームで Cisco ISE のストレージ インフラストラクチャを作成します。Cisco ISE VM の CPU、メモリ、およびその他のリソース要件を満たすように、永続ボリューム、ストレージクラス、および永続ボリューム要求を設定します。
-
Cisco ISE ISO ファイルのブート可能ボリュームを作成します。[ブート可能ボリューム(Bootable Volume)] > [ボリュームの追加(Add Volume)] > [ISOイメージ(ISO image)] を選択し、Cisco ISE ISO ファイルをアップロードします。[ボリュームモード(Volume Mode)]、[アクセスモード(Access Mode)]、[ボリューム名(Volume Name)]、および [設定(Preferences)] フィールドに必要な詳細を入力し、[保存(Save)] をクリックします。
-
セカンダリ VLAN インターフェイスを設定します。[ネットワーキング(Networking)] > [ネットワーク接続定義(Network Attachment Definitions)] を選択し、セカンダリネットワークを作成します。
Cisco ISE 設定にはポッドネットワークを使用しないでください。
-
VM を設定するための YAML ファイルを作成します。YAML ファイルで、CPU コア、ディスク、ブート順序などの VM 設定を指定します。
-
[仮想化(Virtualization)] > [概要(Overview)] > [仮想コマンドラインツールの作成(Create Virtual Command Line Tools)] を選択し、oc および virtctrl の OpenShift コマンド ライン インターフェイス ユーティリティを使用して、Cisco ISE VM のリソース要件に基づいてパーティションを作成します。
ISO ファイルをアップロードするためのポッドを作成することもできます。
-
永続ボリューム要求と VM が同じノード上にあることを確認します。
[仮想マシン(Virtual Machine)] > [作成(Create)] > [YAMLファイル(YAML file)] を選択して、VM を作成します。[コンソール(Console)] > [VNC] ページからインストールの進行状況をモニターできます。
OpenShift プラットフォームでの Cisco ISE のインストールプロセスは、他の VM プラットフォームでのインストールプロセスと同じです。ISO イメージを使用して Cisco ISE をインストールする方法については、CIMC を使用した Cisco ISE のインストールを参照してください。
(注) |
Cisco ISE リリース 3.4 に対しては、Red Hat OpenShift プラットフォームをサポートするには、次の ISO ファイルのみを使用する必要があります。 ise-3.4.0.608b.SPA.x86_64.iso |
フィードバック