Rackspace 클라우드에 ASA 가상을 구축

Rackspace 클라우드에 ASA 가상을 구축할 수 있습니다.


중요사항

9.13(1)부터 모든 ASA 가상 라이선스는 지원되는 모든 ASA 가상 vCPU/메모리 구성에서 사용할 수 있습니다. 따라서 ASA 가상 고객은 다양한 VM 리소스 사용 공간에서 실행할 수 있습니다.

Rackspace 클라우드에 ASA 가상 구축 정보

Rackspace는 모든 주요 퍼블릭 및 프라이빗 클라우드 기술에서 전문 지식과 관리형드 서비스를 제공하는 최고의 업체입니다. Rackspace 클라우드는 유틸리티 컴퓨팅을 기준으로 청구되는 클라우드 컴퓨팅 제품 및 서비스 집합입니다.

Rackspace 클라우드에서 가상 어플라이언스로 Rackspace용 를 구축할 수 있습니다.ASA 가상 이 장에서는 단일 인스턴스 ASA 가상 어플라이언스를 설치하고 구성하는 방법을 설명합니다.

Rackspace 클라우드의 인스턴스 유형을 버전이라고 합니다. 버전이라는 용어는 서버의 RAM 크기, vCPU, 네트워크 처리량(RXTX 계수) 및 디스크 공간의 조합을 의미합니다. 다음 표에는 ASA 가상 구축에 적합한 Rackspace 버전이 나와 있습니다.

표 1. Rackspace 지원 버전

Flavor

특성

집계 대역폭

vCPUs

메모리(GB)

general 1-2

2

2

400 Mbps

general 1-4

4

4

800Mbps

general 1-8

8

8

1.6Gbps

compute 1-4

2

3.75

312.5Mbp

compute 1-8

4

7.5

625Mbps

compute 1-15

8

15

1.3Gbps

memory 1-15

2

15

625Mbps

memory 1-15

4

30

1.3Gbps

memory 1-15

8

60

2.5Gbps

Rackspace 유형 정보

Rackspace 가상 클라우드 서버 버전은 다음 클래스로 분류됩니다.

  • 범용 v1

    • 범용 워크로드에서 고성능 웹사이트에 이르는 다양한 사용 사례에 유용합니다.

    • vCPU는 초과 구독되고 "버스트 가능"합니다. 즉, 물리적 CPU 스레드 수보다 물리적 호스트의 클라우드 서버에 할당된 vCPU가 더 많습니다.

  • 컴퓨팅 v1

    • 웹 서버, 애플리케이션 서버 및 기타 CPU 집약적 워크로드에 최적화되어 있습니다.

    • vCPU는 "예약"됩니다. 즉, 호스트의 물리적 CPU 스레드 수는 물리적 호스트의 클라우드 서버에 할당된 vCPU를 절대로 초과하지 않습니다.

  • 메모리 v1

    • 메모리 집약적 워크로드에 권장됩니다.

  • I/O v1

    • 빠른 디스크 I/O가 도움이 되는 고성능 애플리케이션 및 데이터베이스에 적합합니다.

ASA 가상 및 Rackspace에 대한 사전 요건

  • Rackspace 계정을 만듭니다.

    모든 Rackspace 퍼블릭 클라우드 계정은 기본적으로 매니지드 인프라 서비스 수준으로 설정됩니다. 클라우드 제어판 내에서 관리형 운영 서비스 수준으로 업그레이드할 수 있습니다. 클라우드 제어판 상단에서 계정 사용자 이름을 클릭하고 Upgrade Service Level(서비스 수준 업그레이드)을 선택합니다.

  • ASA 가상에 라이선스를 부여합니다. ASA 가상 라이선스를 등록하기 전에는 저성능 모드에서 실행됩니다. 이 모드에서는 100개의 연결 및 100Kbps의 처리량만 허용됩니다. ASA 가상에 대한 라이선싱의 내용을 참조하십시오.

  • 인터페이스 요건:

    • 관리 인터페이스

    • 내부 및 외부 인터페이스

    • (선택 사항) 추가 서브넷(DMZ)

  • 통신 경로:

    • 관리 인터페이스 - ASA 가상을 ASDM에 연결할 때 사용합니다. 통과 트래픽에는 사용할 수 없습니다.

    • 내부 인터페이스(필수)—ASA 가상를 내부 호스트에 연결하는 데 사용합니다.

    • 외부 인터페이스(필수)—ASA 가상를 공용 네트워크에 연결하는 데 사용합니다.

    • DMZ 인터페이스(선택 사항)—ASA 가상을 DMZ 네트워크에 연결하는 데 사용합니다.

  • ASA 및 ASA 가상 시스템 호환성과 요구 사항은 Cisco Secure Firewall ASA호환성을 참조하십시오.

Rackspace 클라우드 네트워크

클라우드 구성에는 필요에 따라 적절하게 연결되는 여러 유형의 네트워크가 포함될 수 있습니다. 클라우드 서버의 네트워킹 기능은 다른 네트워크에서와 동일한 방식으로 관리할 수 있습니다. ASA 가상 구축은 Rackspace 클라우드에서 주로 세 가지 유형의 가상 네트워크와 상호 작용합니다.

  • PublicNet - 클라우드 서버, 클라우드 로드 밸런서 및 네트워크 어플라이언스 같은 클라우드 인프라 구성 요소를 인터넷에 연결합니다.

    • PublicNet을 사용하여 ASA 가상을 인터넷에 연결합니다.

    • ASA 가상은 Management0/0 인터페이스를 통해 이 네트워크에 연결합니다.

    • PublicNet은 IPv4 및 IPv6에 대해 이중 스택됩니다. PublicNet을 사용하여 서버를 생성하는 경우 서버는 기본적으로 IPv4 주소 및 IPv6 주소를 수신합니다.

  • ServiceNet - 각 Rackspace 클라우드 영역 내의 내부 IPv4 전용 다중 테넌트 네트워크입니다.

    • ServiceNet은 구성 내 서버 간 트래픽 전달에 최적화되어 있습니다(east-west 트래픽).

    • 서버는 클라우드 파일, 클라우드 로드 밸런서, 클라우드 데이터베이스 및 클라우드 백업 같은 지역화된 서비스에 무료로 액세스할 수 있습니다.

    • 네트워크 10.176.0.0/12 및 10.208.0.0/12는 ServiceNet용으로 예약됩니다. ServiceNet에 연결이할 수 있는 모든 서버는 이러한 네트워크 중 하나의 IP 주소로 프로비저닝됩니다.

    • ASA 가상은 Gigabit0/0 인터페이스를 통해 이 네트워크에 연결합니다.

  • 프라이빗 클라우드 네트워크 - 클라우드 네트워크를 사용하면 클라우드에서 안전하고 격리된 네트워크를 생성하고 관리할 수 있습니다.

    • 이러한 네트워크는 완전한 단일 테넌트이며, 사용자는 네트워크 토폴로지, IP 주소 지정(IPv4 또는 IPv6) 및 연결되는 클라우드 서버를 완벽하게 제어할 수 있습니다.

    • 클라우드 네트워크의 범위는 지역적이며, 지정된 지역의 모든 클라우드 서버에 연결할 수 있습니다.

    • API를 통하거나 Rackspace 클라우드 제어판을 사용하여 클라우드 네트워크를 생성하고 관리할 수 있습니다.

      ASA 가상은 Gigabit0/1~Gigabit0/8 인터페이스를 통해 이러한 네트워크에 연결합니다.

Rackspace Day 0 컨피그레이션

VM이 Rackspace 클라우드에 구축되면 Rackspace 프로비저닝 정보가 포함된 파일이 들어 있는 CD-ROM 디바이스가 VM에 연결됩니다. 프로비저닝 정보에는 다음이 포함됩니다.

  • 호스트 이름

  • 필수 인터페이스의 IP 주소

  • 고정 IP 경로

  • 사용자 이름 및 비밀번호(SSH 공개 키(선택 사항))

  • DNS 서버

  • NTP 서버

이러한 파일을 초기 구축 중에 읽고 ASA 구성이 생성됩니다.

ASA 가상 호스트 이름

기본적으로 ASA 가상 호스트 이름은 ASA 가상 구축을 시작할 때 클라우드 서버에 할당하는 이름입니다. 


hostname rackspace-asav
ASA 호스트 이름 구성은 RFC 1034 및 1101을 준수하는 호스트 이름만 수락합니다.

  • 문자 또는 숫자로 시작하고 끝나야 합니다.

  • 내부 문자는 문자, 숫자 또는 하이픈이어야 합니다.


참고

ASA 가상은 이러한 규칙을 준수하도록 클라우드 서버 이름을 변경하지만, 원래 클라우드 서버 이름에 최대한 가깝게 만듭니다. 클라우드 서버 이름의 시작과 끝 부분에 있는 특수 문자를 삭제하고 호환되지 않는 내부 문자를 하이픈으로 대체합니다.

예를 들어 이름이 ASAv-9.13.1.200인 클라우드 서버의 호스트 이름은 ASAv-9-13-1-200입니다.

인터페이스

인터페이스는 다음과 같은 방식으로 구성됩니다.

  • Management 0/0

    • PublicNet에 연결되어 있으므로 'outside'로 이름이 지정됩니다.

    • Rackspace는 IPv4 및 IPv6 공용 주소를 PublicNet 인터페이스에 할당합니다.

  • Gigabit0/0

    • ServiceNet에 연결되어 있으므로 'management'로 이름이 지정됩니다.

    • Rackspace는 Rackspace 영역에 대한 ServiceNet 서브넷의 IPv4 주소를 할당합니다.

  • Gigabit0/1~Gigabit0/8

    • 프라이빗 클라우드 네트워크에 연결되어 있으므로 'inside', 'inside02', 'inside03' 등으로 이름이 지정됩니다.

    • Rackspace는 클라우드 네트워크 서브넷의 IP 주소를 할당합니다.

인터페이스 3개가 있는 ASA 가상의 인터페이스 구성은 다음과 같은 모습입니다. 


interface GigabitEthernet0/0
 nameif management
 security-level 0
 ip address 10.176.5.71 255.255.192.0 
!
interface GigabitEthernet0/1
 nameif inside
 security-level 100
 ip address 172.19.219.7 255.255.255.0 
!
interface Management0/0
 nameif outside
 security-level 0
 ip address 162.209.103.109 255.255.255.0 
 ipv6 address 2001:4802:7800:1:be76:4eff:fe20:1763/64

Static Routes(고정 경로)

Rackspace는 다음 고정 IP 경로를 프로비저닝합니다.

  • PublicNet 인터페이스를 통한 기본 IPv4 경로(outside).

  • PublicNet 인터페이스를 통한 기본 IPv6 경로.

  • ServiceNet 인터페이스의 인프라 서브넷 경로(management). 


route outside 0.0.0.0 0.0.0.0 104.130.24.1 1
ipv6 route outside ::/0 fe80::def
route management 10.176.0.0 255.240.0.0 10.176.0.1 1
route management 10.208.0.0 255.240.0.0 10.176.0.1 1

로그인 자격 증명

Rackspace에서 생성한 비밀번호를 사용하여 사용자 이름 'admin'을 생성합니다. 클라우드 서버가 Rackspace 공개 키를 사용하여 구축되었다면, 사용자 'admin'에 대한 공개 키가 생성됩니다. 


username admin password <admin_password> privilege 15
username admin attributes
 ssh authentication publickey <public_key>

Day0 SSH 컨피그레이션:

  • PublicNet 인터페이스를 통한 SSH(outside)는 IPv4 및 IPv6에 대해 활성화됩니다.

  • ServiceNet 인터페이스를 통한 SSH(management)는 IPv4에 대해 활성화됩니다.

  • Rackspace의 요청에 따라 더 강력한 키 교환 그룹을 구성합니다.


aaa authentication ssh console LOCAL
ssh 0 0 management
ssh 0 0 outside
ssh ::0/0 outside
ssh version 2
ssh key-exchange group dh-group14-sha1

DNS 및 NTP

Rackspace는 DNS 및 NTP에 사용할 IPv4 서비스 주소 2개를 제공합니다. 


dns domain-lookup outside
dns server-group DefaultDNS
 name-server 69.20.0.164 
 name-server 69.20.0.196

ntp server 69.20.0.164
ntp server 69.20.0.196

Rackspace 클라우드에 ASA 가상을 구축

Rackspace 클라우드에서 ASA 가상을 가상 어플라이언스로서 구축할 수 있습니다. 이 절차에서는 단일 인스턴스 ASA 가상 어플라이언스를 설치하는 방법을 보여줍니다.

시작하기 전에

호스트 이름 요구 사항, 인터페이스 프로비저닝 및 네트워킹 정보를 포함하여 성공적인 ASA 가상 구축을 위해 Rackspace 클라우드가 활성화하는 구성 매개변수에 대한 설명은 Rackspace Day 0 컨피그레이션 항목을 검토하십시오.

프로시저

단계 1

Rackspace mycloud 포털에서 SERVERS(서버) > CREATE RESOURCES(리소스 생성) > Cloud Server(클라우드 서버)로 이동합니다.

단계 2

Create Server(서버 생성) 페이지에서 Server Details(서버 세부 정보)를 입력합니다.

  1. Server Name(서버 이름) 필드에 ASA 가상 머신의 이름을 입력합니다.

  2. Region(지역) 드롭다운 목록에서 지역을 선택합니다.

단계 3

Image(이미지)에서 Linux/Appliances(Linux/어플라이언스) > ASAv > Version(버전)을 선택합니다.

참고 

ASA 가상을 구축할 때는 대부분 지원되는 최신 버전을 선택합니다.

단계 4

Flavor(버전)에서 리소스 요구 사항에 맞는 Flavor Class(버전 클래스)를 선택합니다. 적절한 VM 목록은 표 1를 참조하십시오.

중요사항 

9.13(1)부터 ASA 가상의 최소 메모리 요구 사항은 2GB입니다. 2개 이상의 vCPU로 ASA 가상을 구축할 경우 ASA 가상의 최소 메모리 요구 사항은 4GB입니다.

단계 5

(선택 사항) Advanced Options(고급 옵션)에서 SSH 키를 구성합니다.

Rackspace 클라우드의 SSH 키에 대한 자세한 내용은 SSH 키로 액세스 관리를 참조하십시오.

단계 6

ASA 가상에 적용 가능한 Recommended Installs(권장 설치)Itemized Charges(항목화된 요금)을 검토하고, Create Server(서버 생성)를 클릭합니다.

루트 관리자 비밀번호가 표시됩니다. 비밀번호를 복사한 다음 대화 상자를 닫습니다.
단계 7

서버가 생성되면 서버 세부 정보 페이지가 표시됩니다. 서버가 활성 상태로 표시될 때까지 기다립니다. 이 작업은 일반적으로 몇 분 정도 걸립니다.

다음에 수행할 작업

  • ASA 가상에 연결합니다.

  • SSH를 통해 입력 가능한 CLI 명령을 사용하여 컨피그레이션을 계속하거나 ASDM을 사용합니다. ASDM 액세스에 대한 지침은 ASDM 시작을 참조하십시오.

CPU 사용량 및 보고

CPU Utilization(CPU 사용률) 보고서에는 지정된 시간 내에 사용된 CPU의 백분율이 요약되어 있습니다. 일반적으로 코어는 사용량이 적은 시간에는 총 CPU 용량의 약 30~40%, 사용량이 많은 시간에는 약 60~70%로 작동합니다.

ASA Virtual의 vCPU 사용량

ASA virtual vCPU 사용량에서는 데이터 경로, 제어 지점, 외부 프로세스에 사용된 vCPU 양을 확인할 수 있습니다.

Rackspace에서 보고하는 vCPU 사용량에는 앞서 설명한 ASA virtual 사용량과 함께 다음 항목도 포함되어 있습니다.

  • ASA virtual 유휴 시간

  • ASA 가상 머신에 사용된 %SYS 오버헤드

  • vSwitch, vNIC, pNIC 간 패킷 이동의 오버헤드. 이 오버헤드가 상당히 클 수 있습니다.

CPU 사용량의 예

show cpu usage 명령을 사용하여 CPU 사용률 통계를 표시할 수 있습니다. 

Ciscoasa#show cpu usage

CPU utilization for 5 seconds = 1%; 1 minute: 2%; 5 minutes: 1%

다음은 보고된 vCPU 사용량이 상당한 차이를 보이는 예입니다.

  • ASA Virtual 보고서: 40%

  • DP: 35%

  • 외부 프로세스: 5%

  • ASA(ASA Virtual 보고서): 40%

  • ASA 유휴 폴링: 10%

  • 오버헤드: 45%

이 오버헤드는 하이퍼바이저 기능을 수행하고 vSwitch를 사용하여 NIC와 vNIC 간에 패킷을 이동하는 데 사용됩니다.

Rackspace CPU 사용량 보고

사용 가능한 클라우드 서버에 대한 CPU, RAM 및 디스크 공간 컨피그레이션 정보는 물론 디스크, I/O 및 네트워킹 정보도 볼 수 있습니다. 이 정보를 사용하여 요구 사항에 적합한 클라우드 서버를 결정하십시오. 명령줄 nova 클라이언트나 Cloud Control Panel(클라우드 제어판) 인터페이스를 통해 사용 가능한 서버를 볼 수 있습니다.

명령줄에서 다음 명령을 실행합니다.

nova flavor-list

사용 가능한 모든 서버 컨피그레이션이 표시됩니다. 목록에는 다음 정보가 포함됩니다.

  • ID - 서버 컨피그레이션 ID

  • Name - RAM 크기 및 성능 유형별로 레이블이 지정된 컨피그레이션의 이름

  • Memory_MB - 컨피그레이션에 대한 RAM 크기

  • Disk - GB 단위의 디스크 크기(범용 클라우드 서버의 경우 시스템 디스크의 크기)

  • Ephemeral - 데이터 디스크의 크기

  • Swap - 스왑 공간의 크기

  • VCPUs - 컨피그레이션과 연결된 가상 CPU의 수

  • RXTX_Factor - PublicNet 포트, ServiceNet 포트, 서버에 할당된 격리된 네트워크(클라우드 네트워크)에 할당된 대역폭(Mbps)

  • Is_Public - 사용하지 않음

ASA Virtual 및 Rackspace 그래프

ASA Virtual과 Rackspace의 CPU % 수치가 다릅니다.

  • Rackspace 그래프 수치가 항상 ASA Virtual 수치보다 높습니다.

  • Rackspace에서는 이를 %CPU usage, ASA Virtual에서는 %CPU utilization이라고 부릅니다.

용어 “%CPU utilization”과 “%CPU usage”의 의미는 서로 다릅니다.

  • CPU utilization은 물리적 CPU의 통계를 제공합니다.

  • CPU usage는 논리적 CPU의 통계로서 CPU 하이퍼스레딩을 기반으로 합니다. 그러나 단 하나의 vCPU가 사용되므로 하이퍼스레딩은 켜져 있지 않습니다.

Rackspace는 %CPU usage를 다음과 같이 계산합니다.

활발하게 사용 중인 가상 CPU의 양 - 총 가용 CPU 기준 백분율로 표시

이 계산은 게스트 운영 체제가 아닌 호스트의 관점에서 본  CPU 사용량입니다. 그리고 가상 머신에 있는 사용 가능한 모든 가상 CPU의 평균 CPU 사용률입니다.

예를 들어, 가상 CPU 1개를 사용하는 가상 시스템이 4개의 물리적 CPU를 가진 호스트에서 실행되는 중이고 CPU usage가 100%라면 가상 머신에서 하나의 물리적 CPU를 온전히 사용하는 것입니다. 가상 CPU 사용량 계산: 사용량(MHz) / 가상 CPU 수 x 코어 주파수