在思科 HyperFlex 上部署 ASAv

HyperFlex 系统可为任何应用程序和任何位置提供超融合。通过思科 Intersight 云运营平台管理的 HyperFlex 采用了思科统一计算系统 (Cisco UCS) 技术,可以在任何地方为应用程序和数据提供支持,优化从核心数据中心到边缘和公共云的运营,从而通过加速 DevOps 实践来提高灵活性。

本章介绍 ASAv 如何在思科 HyperFlex 环境中工作,包括功能支持、系统要求、准则和限制。


重要

ASAv 的最低内存要求为 2GB。如果当前 ASAv 的内存少于 2GB,您将无法在不增加 ASAv VM 内存的情况下,从早期版本升级到 9.13(1) 及更高版本。您也可以使用最新版本重新部署新的 ASAv VM。

准则和限制

您可以在 VMware vCenter 服务器上创建和部署多个思科 HyperFlex 实例。根据所需部署的实例数量和使用要求,ASAv 部署所使用的具体硬件可能会有所不同。创建的每台虚拟设备都需要主机满足最低资源配置要求,包括内存、CPU 数量和磁盘空间。


重要

ASAv 部署时的磁盘存储大小为 8 GB。无法更改磁盘空间的资源配置。

在部署 ASAv 之前,请查看以下准则和限制。

建议的 vNIC

为获得最佳性能,我们建议您使用 vmxnet3 vNIC。此 vNIC 是并行虚拟化的网络驱动程序,支持 10 Gbps 操作,但也需要 CPU 周期。此外,在使用 vmxnet3 时,请禁用 Large Receive Offload (LRO),以免 TCP 性能不佳。

OVF 文件准则

  • asav-vi.ovf - 适用于部署在 vCenter 上

  • ASAv OVF 部署不支持本地化(在非英语模式下安装组件)。请确保在 ASCII 兼容模式下在您的环境中安装 VMware vCenter 和 LDAP 服务器。

  • 在安装 ASAv 之前,必须将键盘设置成美式英语,才能使用 VM 控制台。

通过故障转移实现高可用性准则

对于故障转移部署,请确保备用设备具有相同的许可证权限;例如,两台设备均应具备 2Gbps 权限


重要

使用 ASAv 创建高可用性对时,您必须按相同顺序将数据接口添加到每个 ASAv。如果将完全相同的接口添加到每个 ASAv,但采用不同的顺序,您可能会在 ASAv 控制台上看到错误。故障转移功能可能也会受到影响。

IPv6 准则

首次使用 VMware vSphere Web 客户端部署 ASAv OVF 文件时,不能为管理接口指定 IPv6 地址;您可以在以后使用 ASDM 或 CLI 添加 IPv6 地址。

使用 vMotion 的原则

  • 按照 VMware 的要求,如果您在使用 vMotion,则只能使用共享存储。在 ASAv 部署过程中,如果有主机集群,则可以在本地(特定主机上)或共享主机上调配存储。但是,如果您尝试使用 vMotion 将 ASAv 移至其他主机,使用本地存储会造成错误。

适合吞吐量和许可的内存和 vCPU 分配

  • 分配给 ASAv 的内存大小专门针对吞吐量级别而定。除非您为不同的吞吐量级别申请许可证,否则不要在编辑设置 (Edit Settings) 对话框中更改内存设置或任何 vCPU 硬件设置。配置不足可能会影响性能。


    如果需要更改内存或 vCPU 硬件设置,请仅使用许可 ASA Virtual中记录的值。不要使用 VMware 建议的内存配置最小值、默认值和最大值。

CPU 预留

  • 默认情况下,ASAv 预留的 CPU 大小为 1000 MHz。您可以使用共享、预留和限制设置更改分配给 ASAv 的 CPU 资源量。编辑设置 (Edit Settings) > 资源 (Resources) > CPU。如果 ASAv 可以较低的设置在要求的流量负载下执行其所需的任务,则可以从 1000 MHz 降低 CPU 预留设置。ASAv 使用的 CPU 大小取决于正在运行的硬件平台以及正在进行的工作的类型和数量。

    对于所有虚拟机,您可以从 CPU 使用率 (Mhz) 图(位于虚拟机性能选项卡的主页视图中)中查看主机的 CPU 使用率信息。建立 ASAv 处理典型流量时的 CPU 使用率基准后,您可以依据该信息来调整 CPU 预留设置。

    有关详细信息,请参阅CPU 性能增强建议链接。

  • 您可以使用 ASAvshow vm > show cpu 来查看资源配置以及过度调配或调配不足的任何资源

    命令或 ASDM

    主页 (Home) > 设备控制板 (Device Dashboard) > 设备信息 (Device Information) > 虚拟资源 (Virtual Resources)

    选项卡或

    监控 (Monitoring) > 属性 (Properties) > 系统资源图 (System Resources Graphs) > CPU 窗格

在 UCS B 和 C 系列硬件中使用透明模式的原则

据报告,一些配置为在思科 UCS B(计算节点)和 C(融合节点)系列硬件中以透明模式运行的 ASAv 存在 MAC 漂移问题。如果 MAC 地址显示为来自不同位置,则会造成丢包。

在 VMware 环境中以透明模式部署 ASAv 时,遵循下述原则可帮助您预防 MAC 漂移问题:

  • VMware NIC 组合 - 如需在 UCS B 或 C 系列硬件上以透明模式部署 ASAv,用于内部和外部接口的端口组必须只能有 1 个完全相同的活动上行链路。在 vCenter 中配置 VMware NIC 组合。

  • ARP 检测 - 在 ASAv 上启用 ARP 检测,然后在预期的接收接口上静态配置 MAC 和 ARP 条目。有关 ARP 检测功能及如何激活此功能的详细信息,请参阅《思科 ASA 系列通用操作配置指南》。

系统要求

HyperFlex HX 系列的配置和集群

配置 集群

HX220c 融合节点

  • 闪存集群

  • 最少 3 个节点集群(数据库、VDI、VSI)

HX240c 融合节点

  • 闪存集群

  • 最少 3 个节点集群(VSI:IT/商业应用、测试/开发)

HX220C 和 Edge(VDI、VSI、ROBO)

HX240C(VDI、VSI、测试/开发)

  • 混合集群

  • 最少 3 个节点集群

B200 + C240/C220

计算绑定应用/VDI

HyperFlex HX 系列的部署选项:

  • 混合集群

  • 闪存集群

  • HyperFlex 边缘

  • SED 驱动器

  • NVME 缓存

  • GPU

有关 HyperFlex HX 云支持的管理选项,请参阅思科 HyperFlex 系统安装指南中的部署 HyperFlex 交换矩阵互联连接的集群部分。

HyperFlex 组件和版本

组件 版本

VMware vSphere

7.0.2-18426014

HyperFlex 数据平台

4.5.2a-39429

支持的功能

  • 部署模式 - 路由(独立)、路由 (HA) 和透明

  • ASAv 本地高可用性

  • 巨型帧

  • VirtIO

  • HyperFlex 数据中心集群(不包括扩展集群)

  • HyperFlex Edge 集群

  • HyperFlex 全 NVMe、全闪存和混合融合节点

  • HyperFlex 纯计算节点

不支持的功能

与 SR-IOV 一起运行的 ASAv 尚未通过 HyperFlex 的认证。

HyperFlex 支持 SR-IOV,但除 MLOM VIC 外还需要 PCI-e NIC

部署 ASA Virtual

步骤

任务

更多信息

1

 查看准则和限制。 准则和限制

2

 查看前提条件。 ASAv 和思科 HyperFlex 的前提条件

3

 从 Cisco.com 下载 OVF 文件。 下载并解压缩 ASAv 软件

4

在思科 HyperFlex 上部署 ASAv。

 将思科 HyperFlex 上的 ASAv 部署到 vSphere vCenter

5

访问 ASAv 控制台。

 访问 ASAv 控制台

ASAv 和思科 HyperFlex 的前提条件

vSphere 标准交换机的安全策略

您可以使用 VMware vSphere Web 客户端、vSphere 独立客户端或 OVF 工具来部署思科 HyperFlex 上的 ASAv。有关系统要求,请参阅思科 ASA 兼容性

对于 vSphere 交换机,您可以编辑第 2 层安全策略,并对 ASAv 接口使用的端口组应用安全策略例外。请参阅以下默认设置:

  • 混合模式:拒绝

  • MAC 地址更改:接受

  • 伪传输:接受

您可能需要为后面的 ASAv 配置修改这些设置。有关详细信息,请参阅 vSphere 文档

表 1. 端口组安全策略例外

安全例外

路由防火墙模式

透明防火墙模式

无故障转移

故障转移

无故障转移

故障转移

混合模式

<任意>

<任意>

接受

接受

MAC 地址更改

<任意>

接受

<任意>

接受
伪传输

<任意>

接受

接受

接受

下载并解压缩 ASAv 软件

准备工作

在部署 ASAv 之前,您必须在 vSphere 中配置至少一个网络(用于管理)。

过程

步骤 1

从 Cisco.com 下载压缩文件,并将其保存到本地磁盘:

https://www.cisco.com/go/asa-software

 

需要 Cisco.com 登录信息和思科服务合同。

步骤 2

将该文件解压缩到工作目录。请勿删除该目录中的任何文件。其中包括以下文件:

  • asav-vi.ovf - 适用于 vCenter 部署。

  • boot.vmdk - 启动磁盘映像。

  • disk0.vmdk - ASAv 磁盘映像。

  • day0.iso - 包含 day0-config 文件和 idtoken 文件(可选)的 ISO。

  • asav-vi.mf - 适用于 vCenter 部署的清单文件。

将思科 HyperFlex 上的 ASAv 部署到 vSphere vCenter

遵照此程序可将 ASAv on HyperFlex 部署到 VMware vSphere vCenter。您可以使用 VMware Web 客户端(或 vSphere 客户端)部署和配置虚拟机。

开始之前

在 HyperFlex 上部署 ASAv 之前,您必须在 vSphere 中配置至少一个网络(用于管理)。

在 HyperFlex 集群上安装 ASAv 之前,您必须创建 HyperFlex 集群和共享数据存储库。有关详细信息,请参阅 HyperFlex 配置指南

过程

步骤 1

登录 vSphere Web 客户端。

步骤 2

使用 vSphere Web 客户端,通过点击 操作 (ACTIONS) > 部署 OVF 模板 (Deploy OVF Template) 来部署以前下载的 OVF 模板文件。

此时将出现“部署 OVF 模板”(Deploy OVF Template) 向导。

步骤 3

浏览文件系统以找到 OVF 模板源位置,然后点击下一步 (NEXT)

步骤 4

查看 OVF 模板详细信息 (OVF Template Details) 页面并验证 OVF 模板信息(产品名称、版本、供应商、下载大小、磁盘大小和说明), 然后点击下一步 (NEXT)

步骤 5

屏幕上随即会显示最终用户许可协议 (End User License Agreement) 页面。查看随 OVF 模板提供的许可协议(仅 VI 模板),点击接受 (Accept) 同意许可条款,然后点击下一步 (NEXT)

步骤 6

名称和位置 (Name and Location) 页面中,输入此部署的名称,然后在清单中选择要部署 HyperFlex 的的位置(共享数据存储或集群),然后点击下一步 (NEXT)。名称在清单文件夹中必须唯一,最多可以包含 80 个字符。

VSphere Web 客户端在清单视图中显示托管对象的组织层级。清单是 vCenter 服务器或主机用于组织托管对象的分层结构。此层次结构包括 vCenter 服务器中的所有受监控对象。

步骤 7

导航至并选择您想运行 ASAv HyperFlex 的资源池,然后点击下一步 (NEXT)

 

仅当集群包含资源池时,系统才会显示此页面。对于计算资源池,我们仅建议使用集群以获得最佳性能

步骤 8

选择部署配置 (Deployment Configuration)。从配置 (Configuration) 下拉列表中的三个受支持的 vCPU/内存值中选择一个,然后点击下一步 (NEXT)

步骤 9

选择要存储虚拟机文件的存储 位置,然后点击下一步 (NEXT)

在此页面上,选择已在目标集群上配置的数据存储库(数据存储库是使用 HX Connect 创建的 HX 集群共享数据存储库)。虚拟机配置文件和虚拟磁盘文件均存储在 Datastore 上。选择一个足够大的数据存储,以容纳虚拟机及其所有虚拟磁盘文件。

步骤 10

网络映射 (Network Mapping) 页面,将 OVF 模板中指定的网络映射到您清单中的网络,然后选择下一步 (NEXT)

确保将 Management0-0 接口关联到可以从互联网访问的 VM 网络。非管理接口可从 ASAv 管理中心或 ASAv 设备管理器配置,具体取决于您的管理模式。

重要

 

在创建虚拟设备时,HyperFlex 上的 ASAv 默认为 vmxnet3 接口。先前,默认值为 e1000。如果您使用的是 e1000 接口,我们强烈建议您进行切换。vmxnet3 设备驱动器和网络处理与 HyperFlex 集成,因此其使用更少的资源并提供更好的网络性能。

网络可能没有按字母顺序排序。如果很难找到您的网络,可以稍后在编辑设置对话框中更改网络。在部署后,右键点击实例,然后选择编辑设置 (Edit Settings)。但是,网络映射屏幕不会显示 ID(仅显示网络适配器 ID)。

请查看适用于接口的以下网络适配器、源网络和目标网络的一致性(注意这些是默认的 vmxnet3 接口):

表 2. 源网络与目标网络的映射 - VMXNET3

网络适配器 ID

ASAv 接口 ID

Network Adapter 1

Management 0/0

Network Adapter 2

GigabitEthernet 0/0

Network Adapter 3

GigabitEthernet 0/1

Network Adapter 4

GigabitEthernet 0/2

Network Adapter 5

GigabitEthernet 0/3

Network Adapter 6

GigabitEthernet 0/4

Network Adapter 7

GigabitEthernet 0/5

Network Adapter 8

GigabitEthernet 0/6

Network Adapter 9

GigabitEthernet 0/7

Network Adapter 10

GigabitEthernet 0/8

部署 ASAv 时,总共可以有 10 个接口。如果添加额外的数据接口,请确保源网络映射到正确的目标网络,而且每个数据接口都映射到一个唯一的子网或 VLAN。您无需使用所有接口;对于您不打算使用的接口,它们可在配置中保持禁用。

步骤 11

属性 (Properties) 页面,设定随 OVF 模板(仅 VI 模板)提供的用户可配置属性:

  • 密码 (Password) - 设置管理员访问的密码。

  • 网络 (Network) - 设置网络信息,包括完全限定的域名 (FQDN)、DNS、搜索域和网络协议(IPv4 或 IPv6)。

  • 管理接口 (Management Interface)- 设置管理配置,然后点击下拉列表,选择 DHCP/手动 (DHCP/Manual),并设置管理接口的 IP 配置。

  • 防火墙模式 (Firewall Mode) - 设定初始防火墙模式。点击防火墙模式 (Firewall Mode) 的下拉箭头,然后选择两种支持的模式之一:已路由 (Routed)透明 (Transparent)

步骤 12

点击下一步 (NEXT)。在即将完成 (Ready to Complete)部分中,查看并验证显示的信息。要使用这些设置开始部署,点击完成 (Finish)。要进行任何更改,请点击返回 (Back) 以返回之前的对话框。

(可选)选中部署后启动 (Power on after deployment)选项以启动 VM,然后点击完成 (Finish)

完成该向导后,vSphere Web 客户端将处理虚拟机;您可以在全局信息 (Global Information) 区域的最近任务 (Recent Tasks) 窗格中看到“初始化 OVF 部署”(Initialize OVF deployment) 状态。

完成后,您会看到 Deploy OVF Template 完成状态。

ASAv 实例会显示在清单中的指定数据中心下。启动新的 VM 最多可能需要 30 分钟。

 

您需要访问互联网才能向思科许可授权机构成功注册 ASAv HyperFlex。部署之后,可能需要执行其他配置,以实现互联网访问和成功注册许可证。

访问 ASAv 控制台

对于 ASDM,在某些情况下可能需要使用 CLI 进行故障排除。默认情况下,您可以访问内置 VMware vSphere 控制台,也可以配置网络串行控制台,它具有更好的功能,包括复制和粘贴。

使用 VMware vSphere 控制台

对于初始配置或故障排除,从通过 VMware vSphere Web 客户端提供的虚拟控制台访问 CLI。您可以稍后为 Telnet 或 SSH 配置 CLI 远程访问。

开始之前

对于 vSphere Web 客户端,安装客户端集成插件,该插件是访问 ASA virtual控制台所必需的。

过程

步骤 1

在 VMware vSphere Web 客户端中,右键点击“清单”中的 ASA virtual 实例,然后选择打开控制台 (Open Console)。或者,您可以点击“摘要”(Summary) 选项卡上的启动控制台 (Launch Console)

步骤 2

点击控制台,然后按 Enter 键。注意:按 Ctrl + Alt 可释放光标。

如果 ASA virtual 仍在启动,您会看到启动消息。

ASA virtual 首次启动时,将读取通过 OVF 文件提供的参数,并将它们添加到 ASA virtual 系统配置中。然后将自动重启引导过程,直到正常运行。仅当首次部署 ASA virtual 时,才会出现双重启动过程。

 

在安装许可证之前,吞吐量限制为 100 kbps,以便您可以执行初步连接测试。需要安装许可证才能正常运行。在安装许可证之前,您还会看到以下消息在控制台上重复出现:

Warning: ASAv platform license state is Unlicensed.
Install ASAv platform license for full functionality.

您将看到以下提示符:

ciscoasa>

此 提示符表明您正处于用户 EXEC 模式。用户 EXEC 模式仅能获取基本命令。

步骤 3

访问特权 EXEC 模式:

示例:
ciscoasa> enable

系统将显示以下提示:

Password:

步骤 4

Enter 键继续。默认情况下,密码为空。如果以前设置过启用密码,请输入该密码而不是按 Enter 键。

提示符更改为:

ciscoasa#

在特权 EXEC 模式中,所有非配置命令均可用。还可从特权 EXEC 模式进入 配置模式。

要退出特权模式,请输入 disableexitquit 命令。

步骤 5

访问全局配置模式:

ciscoasa# configure terminal

提示将更改为以下形式:

ciscoasa(config)#

可从全局配置模式开始配置 ASA virtual。要退出全局配置模式,请输入 exitquitend 命令。

配置网络串行控制台端口

为获得更好的控制台体验,可以单独配置网络串行端口或连接到虚拟串行端口集中器 (vSPC) 进行控制台访问。有关每种方法的详细信息,请参阅 VMware vSphere 文档。在 ASA virtual 上,您必须将控制台输出发送到串行端口而不是虚拟控制台。此程序介绍如何启用串行端口控制台。

过程

步骤 1

在 VMware vSphere 中配置网络串行端口。请参阅 VMware vSphere 文档。

步骤 2

ASA virtual 上的 disk0 的根目录下创建一个名为“use_ttyS0”的文件。此文件不需要有任何内容;它只需在以下位置存在:

disk0:/use_ttyS0

  • 在 ASDM 中,可以使用工具 (Tools) > 文件管理 (File Management)对话框上传该名称的空文本文件。

  • 在 vSphere 控制台中,您可以将文件系统中的现有文件(任何文件)复制为新名称。例如:

    ciscoasa(config)# cd coredumpinfo
ciscoasa(config)# copy coredump.cfg disk0:/use_ttyS0

步骤 3

重新加载 ASA virtual

  • 在 ASDM 中依次选择工具 (Tools) > 系统重新加载 (System Reload)

  • 在 vSphere 控制台中,输入 reload

    ASA virtual 停止发送到 vSphere 控制台,而是发送到串行控制台。

步骤 4

Telnet 到您在添加串行端口时指定的 vSphere 主机 IP 地址和端口号,或 Telnet 到 vSPC IP 地址和端口。

升级 vCPU 或吞吐量许可证

ASAv 使用吞吐量许可证,它会影响您可以使用的 vCPU 数量。

如果要增加(或减少)ASAv 的 vCPU 数量,您可以申请新许可证,应用新许可证,并在 VMware 中更改 VM 属性以匹配新值。

分配的 vCPU 数量必须与 ASAv 虚拟 CPU 许可证或吞吐量许可证相符。RAM 也必须针对 vCPU 数量进行正确调整。升级或降级时,请务必按照此过程操作并立即调整许可证和 vCPU。如果存在持续不匹配,ASAv 无法正常工作。

过程

步骤 1

请求新的 ASAv 虚拟 CPU 许可证或吞吐量许可证。

步骤 2

应用新许可证。对于故障转移对,将新许可证应用到两个设备。

步骤 3

执行以下操作之一,具体取决于是否使用故障转移:

  • 使用故障转移 - 在 vSphere Web 客户端中,关闭备用 ASAv。例如,点击 ASAv,然后点击关闭虚拟机 (Power Off the virtual machine),或者右键点击 ASAv,然后选择关闭访客操作系统 (Shut Down Guest OS)

  • 不使用故障转移 - 在 vSphere Web 客户端中,关闭 ASAv。例如,点击 ASAv,然后点击关闭虚拟机 (Power Off the virtual machine),或者右键点击 ASAv,然后选择关闭访客操作系统 (Shut Down Guest OS)

步骤 4

点击 ASAv,然后点击编辑虚拟机设置 (Edit Virtual machine settings)(或者右键点击 ASAv,然后选择编辑设置 (Edit Settings))。

系统将显示编辑设置 (Edit Settings) 对话框。

步骤 5

请参阅许可 ASA Virtual中的 CPU/内存要求以确定新 vCPU 许可证的正确值。

步骤 6

虚拟硬件 (Virtual Hardware) 选项卡上,从下拉列表中为 CPU 选择新值。

步骤 7

对于 Memory,输入 RAM 的新值。

步骤 8

点击确定 (OK)

步骤 9

启动 ASAv。例如,点击启动虚拟机 (Power On the Virtual Machine)

步骤 10

对于故障转移对:

  1. 打开主用设备的控制台或启动主用设备上的 ASDM。

  2. 备用设备完成启动后,故障转移到备用设备:

    • ASDM:依次选择监控 (Monitoring) > 属性 (Properties) > 故障转移 (Failover) > 状态 (Status),然后点击设为备用 (Make Standby)

    • CLI: failover active

  3. 对活动设备重复步骤 3 到 9。

下一步做什么

有关详细信息,请参阅许可 ASA Virtual

性能调优

ASAv 是一种高性能设备,但可能需要调整思科 HyperFlex 才能获得最佳效果。

以下是在 HyperFlex 环境中实现 ASAv 最佳性能的最佳实践与建议。

启用巨型帧

MTU 越大,能发送的数据包就越大。加大数据包可能有利于提高网络效率。请参阅以下准则:

  • 匹配流量路径上的 MTU - 我们建议您将流量路径的所有 ASAv 接口及其他设备接口的 MTU 都设置为同一值。匹配 MTU 可防止中间设备对数据包进行分片。

  • 容纳巨型帧 - MTU 最大可设置为 9198 字节。ASAv 的最大值为 9000。

此程序介绍如何在以下环境中启用巨型帧:

vSphere 7.0.1 上的 HyperFlex 集群 > VMware vSphere vSwitch> 思科 UCS 交换矩阵互联 (FI)。

过程

步骤 1

更改已部署 ASAv 的 ASAv 主机的 MTU 设置。

  1. 使用 vSphere Web 客户端连接到 vCenter 服务器。

  2. 在 HyperFlex 主机的高级系统设置 (Advanced System Settings) 中,将配置参数 Net.Vmxnet3NonTsoPacketGtMtuAllowed 的值设置为 1

  3. 保存更改,然后重启主机。

有关详细信息,请参阅https://kb.vmware.com/s/article/1038578

步骤 2

更改 VMware vSphere vSwitch 的 MTU 设置。

  1. 使用 vSphere Web 客户端连接到 vCenter 服务器。

  2. 编辑 VMware vSphere vSwitch 的属性,并将 MTU 的值设置为 9000

步骤 3

更改思科 UCS 交换矩阵互联 (FI) 的 MTU 设置。

  1. 登录思科 UCS 管理控制台。

  2. 要编辑 QoS 系统类,请选择 LAN > LAN 云 (LAN Cloud) > QoS 系统类 (QoS System Class)。在常规 (General) 选项卡下,将 MTU 的值设置为 9216。

  3. 要编辑 vNIC,请选择 LAN > 策略 (Policies) > root > 子组织 (Sub-Organizations)

    <your-hyperflex-org>vNIC 模板 <your-vnic>。在常规 (General) 选项卡下,将 MTU 的值设置为 9000。