サーバ ポリシー
Cisco Intersight のポリシーでは、BIOS の設定、ファームウェア バージョン、ディスクグループの作成、Simple Mail Transfer Protocol(SMTP)、インテリジェント プラットフォーム管理インターフェイス(IPMI)の設定などを含む、UCS サーバの異なる構成が提供されます。一度設定したポリシーは、任意の数のサーバに割り当てることで、構成基準を提供できます。Cisco Intersight のポリシーはアプリケーションにネイティブなので、UCS システムからは直接インポートされません。サーバ プロファイルを使用したポリシーベースの構成は、Cisco Intersight Essentials の機能です。
Cisco Intersight のサーバポリシー作成ウィザードには、次の 2 つのページがあります。
-
[全般(General)]:組織を選択し、ポリシーの名前を入力できます。オプションで、ポリシーの識別に役立つ短い説明とタグ情報を含められます。タグは key:value 形式である必要があります。たとえば、Org: IT または Site: APJ などです。
-
[ポリシーの詳細(Policy Details)]:ポリシーの詳細ページには、スタンドアロン UCS サーバ、FI に接続された UCS サーバ、またはその両方に適用されるプロパティがあります。[すべてのプラットフォーム(All Platforms)] オプション、[UCS サーバ(スタンドアロン)(UCS Servers (Standalone))] オプション、 UCS Servers (FI-Attached)[UCS サーバ(FI 接続)(UCS Servers (FI-Attached))] オプションをクリックすると、各プロパティを個別に表示できます。
サーバポリシーは、Cisco IMC から Cisco C シリーズスタンドアロンサーバの設定の詳細(サーバプロファイルとポリシー)をインポートする一環としてインポートできます。詳細については、「サーバー プロファイルのインポート」を参照してください。
Cisco Intersight で構成できるサーバ ポリシーの説明を次のリストに示します。
-
[アダプタ構成ポリシー(Adapter Configuration Policy)]:VIC アダプタのイーサネット設定とファイバ チャネル設定を構成します。
-
[BIOS ポリシー(BIOS Policy)]:管理対象デバイスの BIOS 設定の構成を自動化します。BIOS 設定の分類方法を含む BIOS ポリシーを 1 つ以上作成できます。サーバの BIOS ポリシーを指定しない場合、BIOS の設定は変更されません。BIOS ポリシーを指定すると、サーバの以前設定されていた値(ベア メタル サーバの構成設定を含む)がポリシーで指定された値で置き換えられます。BIOS ポリシー設定を適用するには、サーバをリブートする必要があります。
-
[ブート順序ポリシー(Boot Order Policy)]:デバイスの線形順序を設定し、ブート順序とブート モードの変更を可能にします。さまざまなデバイス タイプに複数のデバイスを追加し、ブート順序を変更し、各ブート デバイス タイプのパラメータを設定することもできます。
インベントリビューでは、サーバに設定されている実際のブート順序を表示できます。ブート順序には、デバイス名、デバイスタイプ、ブートモード(レガシーまたは UEFI)、セキュアブートモード(有効または無効)などの設定の詳細が含まれます。
(注)
ブート順序ポリシーのサーバプロファイルで設定されたデバイスは、サーバのブート時にサーバ BIOS がデバイスを検出しない場合、実際のブート順序に表示されないことがあります。
Intersight は、ワンタイムブート (OTB) オプションを実行して、ブート順序ポリシーと既存のブート順序を一時的にオーバーライドするブートデバイスの設定機能を提供します。。ワンタイムブートデバイスを設定するには、[Servers Table] ビューまたは [Server Details] ページから [Power Cycle] または [Power On] を選択し、[Set One Time Boot Device] オプションをオンにします。この操作は、電源の再投入または電源投入アクションの一部として、ワンタイムブートデバイスからの起動を試みます。電源の再投入または電源投入後、OTB 設定はクリアされ、デフォルトのブート順序に従うように次のリブートが有効になります。
(注)
-
OTB オプションは、サーバプロファイルに関連付けられたブート順序ポリシーで設定されたサーバで使用できます。OTB を正常に設定するには、Intersight で事前にブート順序ポリシーを使用してサーバプロファイルを展開する必要があります。
-
アウトオブバンドブート順序の変更は、OTB デバイス設定の Intersight UI には反映されません。
PXE ブート設定の場合、サーバのブートポリシーで特定の PXE デバイスの MAC アドレスまたはスロットとポートの両方が存在しない場合、サーバポリシーをインポートしても PXE デバイスは作成されません。ただし、スロットとポートの両方が存在する場合、サーバ上の特定のスロットのブート可能インターフェイスブート順序は ANY に設定されます。非 VIC アダプタの場合は、MAC アドレス、スロットとポートの両方、またはスロットのみを使用して PXE ブートを設定できます。
レガシーモードの SAN ブートデバイス設定の場合は、ブートターゲット論理ユニット番号(LUN)、デバイススロット ID、インターフェイス名、およびターゲット WWPN を指定します。Unified Extensible Firmware Interface(UEFI)モードの SAN ブートデバイス設定の場合は、レガシーモードでリストされているフィールドに加えて、ブートローダ名、説明、およびパスを入力します。
iSCSI ブートの場合は、ターゲットインターフェイスの詳細、認証メカニズム、およびイニシエータ IP ソースを提供します。
-
-
Non-Volatile Memory Express(NVMe) ブートの場合は、NVMe ドライブを UEFI モードでブート可能として構成します。サーバー プロファイルの展開中には、この NVMe 構成設定により、定義された順序で BIOS を選択できます。
-
証明書管理ポリシー(Certificate Management Policy):外部証明書の証明書の詳細を指定し、ポリシーをサーバーにアタッチできます。Cisco Intersight は現在、次の証明書をサポートしています。
-
ルート CA 証明書
-
IMC 証明書
-
-
ディスク グループ ポリシー(Disk Group Policy):ディスク グループ ポリシーがストレージ ポリシーの一部になりました。
-
[デバイス コネクタ ポリシー(Device Connector Policy)]:[Intersight のみから構成(Configuration from Intersight only)] オプションを選択することができ、Cisco IMC に許可される構成変更を制御できます。[Intersight のみから設定(Configuration from Intersight only)] オプションは、デフォルトで有効になっています。Intersight でデバイス コネクタ ポリシーを展開すると、次の変更を確認できるようになります。
-
次の場合は検証タスクが失敗します。
-
Intersight の [読み取り専用(Read-only)] モードが要求済みデバイスで有効になっている場合。
-
Cisco UCS のスタンドアロン C シリーズ サーバーのファームウェアが 4.0(1) よりも前のバージョンの場合。
-
-
Intersight の読み取り専用モードが有効になっている場合は、Intersight から実行された場合にのみファームウェアのアップグレードが成功します。Cisco IMC からローカルで実行されたファームウェア アップグレードは失敗します。
-
IPMI over LAN の権限は、[読み取り専用(read-only)] レベルにリセットされることがあります。[Intersight のみから構成(Configuration from Intersight only)] がデバイス接続ポリシーを介して有効にされたか、または Cisco IMC のデバイス コネクタで同じ構成が有効になっている場合です。
注目
デバイス コネクタ ポリシーはサーバ プロファイルのインポートの一部としてインポートされません。
-
-
[イーサネット アダプタ ポリシー(Ethernet Adapter Policy)]:アダプタのトラフィック処理方法など、アダプタのホスト側の動作を制御します。VIC 仮想イーサネットインターフェイスごとに、VXLAN、NVGRE、ARFS、Interrupt 設定、および TCP Offload 設定などのさまざまな機能を設定できます。
このポリシーには、サポートされるサーバオペレーティングシステムの推奨されるデフォルト設定が含まれます。ポリシーは 16 のデフォルト設定をサポートします。ポリシーの作成時に、デフォルト設定を選択してインポートできます。
(注)
デフォルト設定を変更することはできません。ただし、デフォルト設定をインポートしたポリシーは変更できます。
-
[イーサネット ネットワーク ポリシー(Ethernet Network Policy)]:ポートが単一の VLAN(アクセス)または複数の VLAN(トランク)トラフィックを伝送できるようにすることの決定を許可します。vNIC のデフォルト VLAN および QinQ VLAN を構成できます。タグが見つからない場合には、イーサネットパケットに関連付けられた VLAN を指定できます。
-
[イーサネット ネットワーク制御ポリシー(Ethernet Network Control Policy)]:アプライアンス ポート、アプライアンス ポート チャネル、または vNIC のネットワーク制御設定を行います。
-
[イーサネットネットワークグループポリシー(Ethernet Network Group Policy):アプライアンス ポート、アプライアンス ポート チャネル、または vNIC の許可 VLAN およびネイティブ VLAN を構成します。
-
[イーサネット QoS ポリシー(Ethernet QoS Policy)]:vNIC の発信トラフィックにシステム クラスを割り当てます。このシステムクラスにより、そのトラフィックの QoS が決定されます。一部のアダプタでは、発信トラフィックでバーストやレートなどの付加的な制御を指定することもできます。
-
[ファイバ チャネル アダプタ ポリシー(Fibre Channel Adapter Policy)]:アダプタのトラフィック処理方法など、ホスト側のアダプタの動作を制御します。FCP エラーの修復の有効化、キューのデフォルト設定の変更、パフォーマンス強化のための割り込み処理を実行できます。
このポリシーには、サポートされるサーバオペレーティングシステムの推奨されるデフォルト設定が含まれます。ポリシーは 9 つのデフォルト設定をサポートします。ポリシーの作成時に、デフォルト設定を選択してインポートできます。
(注)
デフォルト設定を変更することはできません。ただし、デフォルト設定をインポートしたポリシーは変更できます。
-
[ファイバ チャネル ネットワーク ポリシー(Fibre Channel Network Policy)]:仮想インターフェイスの VSAN 構成を制御します。
-
[ファイバ チャネル QoS ポリシー(Fibre Channel QoS Policy)]:vHBA の発信トラフィックにシステム クラスを割り当てます。このシステムクラスにより、そのトラフィックの QoS が決定されます。一部のアダプタでは、発信トラフィックでバーストやレートなどの付加的な制御を指定することもできます。
-
[IPMI over LAN ポリシー(IPMI over LAN Policy)]:サーバ プラットフォームに組み込まれているサービス プロセッサとのインターフェイス用のプロトコルを定義します。Intelligent Platform Management Interface(IPMI)を使用すると、オペレーティング システムはシステムの正常性と制御システムのハードウェアに関する情報を取得し、適切なアクションを実行するよう Cisco IMC に指示します。IPMI メッセージを管理するための IPMI Over LAN ポリシーは、Cisco Intersight で作成できます。セッションごとに、次のユーザ ロールを IPMI ユーザに割り当てることができます。
-
[管理者(admin)]:IPMI ユーザは使用可能なすべてのアクションを実行できます。このオプションを選択した場合、管理者(Administrator)ロールを持つ IPMI ユーザは、管理者、ユーザ、および読み取り専用セッションをこのサーバで作成できます。
-
[読み取り専用(read-only)]:情報は確認できますが、変更を加えることはできません。「管理者(Administrator)」、「運用者(Operator)」、または「ユーザ(User)」ロールの IPMI ユーザは、それ以外に所有している IPMI 権限とは関係なく、読み取り専用の IPMI セッションのみ作成できます。
-
[ユーザ(user)]:IPMI ユーザは一部の機能を実行できますが、管理タスクは実行できません。このオプションを選択した場合、「Administrator」または「Operator」ユーザ ロールを持つ IPMI ユーザがこのサーバで作成できるのは、ユーザ セッションと読み取り専用セッションだけです。
重要
IPMI通信に使用する暗号キー。偶数桁の 16 進数を含めます。40 文字を超えないようにする必要があります。「00」を使用して、暗号化キーの使用を無効にすることができます。指定された暗号化キーが 40 文字未満の場合、IPMI コマンドは暗号化キーにゼロを追加して、40 文字の長さにする必要があります。
-
-
[LAN 接続ポリシー(LAN Connectivity Policy)]:ネットワーク上のサーバと LAN 間の接続とネットワーク通信を決定します。LAN 接続ポリシーの一部として、イーサネット アダプタ、イーサネット QoS、およびイーサネット ネットワーク ポリシーを作成する必要があります。IMM サーバの場合、MAC ポリシーまたは静的 MAC アドレスを使用して MAC アドレスをサーバに割り当て、サーバがネットワークとの通信に使用する vNIC を識別します。ネットワーク ポリシーの作成に関する詳細については、「ネットワーク ポリシーの作成」を参照してください。
-
[LDAP ポリシー(LDAP Policy)]:LDAP 構成の設定とエンドポイントの設定を指定します。エンドポイントでは、ネットワーク内のディレクトリ情報の保存と維持のために LDAP がサポートされています。LDAP ポリシーは、LDAP サーバの構成設定、DNS パラメータ(DNS SRV 要求に使用されるドメイン名を取得するオプションを含む)、バインド方式、検索パラメータ、およびグループ認証設定を決定します。LDAP ポリシーにより、複数の LDAP グループを作成して LDAP サーバ データベースに追加することもできます。
-
[ローカル ユーザ ポリシー(Local User Policy)]:ローカル ユーザ設定の構成を自動化します。設定する必要があるローカル ユーザのリストを含む、1 つ以上のローカル ユーザ ポリシーを作成できます。
-
[永続メモリ モジュール(Persistent Memory Policy)] は、メモリの低遅延とストレージの永続化を実現する不揮発性メモリ モジュールです。PMem モジュールは、モードに基づいて、データへのアクセスを高速化し、電源の再投入後もデータを保持します。Intersight では、USC M5 サーバでの Intel® Optane™ データセンター永続メモリモジュールのサポートが導入されました。このサーバは、第 2 世代 Intel® Xeon® スケーラブル プロセッサに基づいています。Intel® Optane™ PMem モジュールは、第二世代の Intel® Xeon® スケーラブル プロセッサとのみ、組み合わせて使用できます。永続メモリポリシーでは、永続メモリモジュールのセキュリティ、目標、、および名前空間を設定することができます。
-
[セキュリティ(Security)]:すべての永続メモリモジュールのセキュアパスフレーズを設定するために使用されます。
-
目標:サーバのすべてのソケットに接続されているすべての PMem モジュールの揮発性メモリとリージョンを設定するために使用されます。Intersight は、永続メモリポリシーの一部としての目標の作成と変更のみをサポートします。永続メモリポリシーの作成または変更中に目標が変更されると、一部のデータが失われます。データ損失の詳細については、参考資料の「永続メモリポリシーの設定と展開中のデータ損失」の表を参照してください。
-
名前空間:ソケット上の特定のソケットまたは PMem モジュールにマッピングされた領域を分割するために使用されます。Intersight は、永続メモリポリシーの一部として名前空間の作成と削除のみをサポートします。名前空間の変更はサポートされていません。永続メモリポリシーの作成中にネームスペースが作成または削除されると、一部のデータが失われます。データ損失の詳細については、参考資料の「永続メモリポリシーの設定と展開中のデータ損失」の表を参照してください。
永続メモリモジュールの取り付けまたは交換、およびポリシーの展開を行う前に、永続メモリモジュールのメモリパフォーマンスのガイドラインと装着ルールを考慮することが重要です。PMem モジュールの装着に関するガイドラインは、CPU ソケットの数に基づいて次のように分類できます。
-
デュアル CPU: UCS S3260 M5 サーバ
永続メモリポリシーの作成、ポリシーの例外、およびポリシーに関するその他の注意事項の詳細については、参考資料 の「リソースの永続メモリポリシー」を参照してください。
-
-
[SAN 接続ポリシー(SAN Connectivity Policy)]:ネットワーク ストレージ リソースと、ネットワーク上のサーバと SAN 間の接続を決定します。このポリシーを使用して、サーバがストレージエリアネットワークとの通信に使用するvHBAを設定できます。WWNN および WWPN アドレスプール、または静的 WWNN および WWPN アドレスを使用して、vHBA を追加して設定できます。ファイバ チャネル アダプタ、ファイバ チャネル QoS、およびファイバ チャネル ネットワークのポリシーは、SAN 接続ポリシーの一部として作成する必要があります。ネットワーク ポリシーの作成に関する詳細については、「ネットワーク ポリシーの作成」を参照してください。
-
[SD カード ポリシー(SD Card Policy)]:Cisco UCS C シリーズのスタンドアロン M4 サーバと M5 サーバに Cisco FlexFlash カードと FlexUtil Secure Digital(SD)カードを構成します。 このポリシーは、SD カードの仮想ドライブの詳細を指定します。SD カードは、オペレーティングシステムのみ、ユーティリティのみ、またはオペレーティングシステム+ユーティリティのモードで設定できます。
Cisco FlexFlash コントローラに 2 つのカードがあり、SD カードポリシーでオペレーティングシステムが選択されている場合、設定された OS パーティションがミラーリングされます。Cisco FlexFlash コントローラで使用できるカードが 1 つだけの場合、設定されている OS パーティションは非 RAID です。ユーティリティパーティションは常に非 RAID として設定されます。
.(注)
-
このポリシーは、現在 Cisco UCS M6 サーバではサポートされていません。
-
Cisco UCS M5 サーバでは最大 2 つのユーティリティ仮想ドライブを有効化でき、Cisco UCS M4 サーバでは任意の数のサポートされているユーティリティ仮想ドライブを有効化できます。
-
診断は Cisco UCS M5 サーバでのみサポートされています。
-
Cisco UCS M4 サーバでのみ User Partition ドライブの名前を変更できます。
-
FlexFlash 構成は、C460 M4 サーバではサポートされていません。
-
オペレーティング システムとユーティリティ モードでは、Cisco UCS M4 サーバには FlexFlash カード 2 枚、Cisco UCS M5 サーバには少なくとも FlexFlash カード 1 枚と FlexUtil カード 1 枚が必要です。
-
-
[SMTP ポリシー(SMTP Policy)]:管理対象デバイスで SMTP クライアントの状態を設定します。発信通信の優先設定を指定し、報告する障害のシビラティ(重大度)とその報告を受け取る受信者を選択できます。
-
[SOL ポリシー(SOL Policy)]:管理対象システムのシリアル ポートの入出力を IP 経由でリダイレクトできるようにします。サーバ/サーバ群のニーズを条件に特定の Serial over LAN 属性を分類する Serial over LAN ポリシーを 1 つ以上作成できます。
-
[SSH ポリシー(SSH Policy)]:SSH クライアントを有効にし、暗号化されたセキュアな接続を確立します。サーバ/サーバ群の SSH プロパティの分類方法を含む SSH ポリシーを 1 つ以上作成できます。
-
[Simple Network Management Protocol(SNMP)ポリシー(Simple Network Management Protocol (SNMP) Policy)]:管理対象デバイスから SNMP トラップを利用して障害およびアラート情報を送信するための SNMP を設定します。管理対象デバイスに設定されている既存の SNMP ユーザまたは SNMP トラップは削除され、このポリシーで設定するユーザまたはトラップに置き換えられます。ポリシーにユーザやトラップを追加していない場合、サーバ上の既存のユーザやトラップは削除されますが、置き換えられません。
-
[ストレージポリシー(Storage Policy)]:ストレージポリシーでは、ドライブグループ、仮想ドライブの作成、仮想ドライブのストレージ容量の設定、および M.2 RAID コントローラの設定を行うことができます。
-
[Syslog ポリシー(Syslog Policy)]:エンドポイントから収集したログ ファイルをレポートするログ レベル(最低限のシビラティ(重大度))、Syslog メッセージを保存する宛先、ホスト名/IP アドレス、ポート情報、リモート ロギングサーバ用の通信プロトコルを定義します。
-
[仮想メディアポリシー(Virtual Media Policy)]:KVM コンソールと仮想メディアを使用してサーバにオペレーティングシステムをインストールし、リモートファイル共有からホストにファイルをマウントして、仮想メディア暗号化を有効化できます。別の OS イメージの仮想メディアマッピング、を含む 1 つ以上の仮想メディアポリシーを作成し、最大 2 つの仮想メディアマッピングを設定できます。1 つは ISO ファイル (CDD 経由)、もう 1 つは IMG ファイル (HDD 経由) です。
仮想メディアのボリュームのさまざまなマウント オプションに関する詳細については、「仮想メディアのマウント オプション」を参照してください。 -
[仮想 KVM ポリシー(Virtual KVM Policy)]:特定の仮想 KVM プロパティをグループ—化することができます。このポリシーにより、許可される同時 KVM セッション、ポート情報、およびビデオ暗号化オプションを指定できます。
-
[IMC アクセス ポリシー(IMC Access Policy)]:IP プールとシャーシプロファイルのマッピングを介して、ネットワーク設定および管理できます。このポリシーを使用すると、VLAN を設定し、IP プールアドレスを介して IP アドレスと関連付けることができます。
インバンド IP アドレス、アウトオブバンド IP アドレス、またはインバンド IP アドレスとアウトオブバンド IP アドレスの両方は、IMC アクセス ポリシーを使用して設定でき、次でサポートされます。
-
ドライブ セキュリティ、SNMP、Syslog、および vMedia ポリシー
-
vKVM クライアントを使用した vKVM、IPMI、SOL、および vMedia ポリシー
-
-
[電源ポリシー(Power Policy)]:FI 接続サーバおよびシャーシの電源管理を有効にします。このポリシーを使用すると、サーバーの電力優先度であるシステムの電力プロファイリングと、電力復元状態を設定できます。詳細については、サーバーの電源ポリシーの作成を参照してください。
-
[NTP ポリシー(NTP Policy)]:Intersight 管理型 Cisco IMC(スタンドアロン)サーバで NTP サービスを有効にできます。NTP サービスで NTP サーバを使用して時刻を同期します。NTP サービスを有効にし、4 つの NTP サーバのうち最低 1 つの IP アドレスまたは DNS を指定することにより、NTP サービスを設定する必要があります。
NTP ポリシーでは、Cisco IMC(スタンドアロン)サーバでタイムゾーンを設定することもできます。NTP サービスを有効にし、タイムゾーンを選択すると、Cisco Intersight は NTP の詳細と、エンドポイントのタイムゾーンを設定します。
-
FC ゾーン ポリシー:ホストとストレージ デバイスの間のアクセス制御をセットアップできるようにします。FC ストレージ範囲が設定された VSAN 上に、単一のイニシエータの単一のターゲット、または単一のイニシエータの複数のターゲット ゾーンを作成し、ゾーン ポリシーを vHBA を使用して SAN 接続ポリシーにアタッチできます。
(注)
ゾーンは、ファブリック インターコネクトが FC スイッチング モードの場合にのみ構成できます。
構成のばらつきの検出は、FC ゾーン ポリシーではサポートされていません。