Secure Firewall Management Center Virtual アプライアンスの概要

Secure Firewall Management Center Virtual (旧 Firepower Management Center Virtual)は、仮想化環境に包括的なファイアウォール機能を提供し、データセンタートラフィックとマルチテナント環境のセキュリティを強化します。Management Center Virtual は物理アプライアンスおよび Secure Firewall Threat Defense Virtual (旧 Firepower Threat Defense Virtual)アプライアンスを管理して、完全な NGIPS アプライアンスと FirePOWER アプライアンスを提供できます。

Management Center Virtual のプラットフォームとサポート

メモリとリソースの要件

Management Center Virtual の各インスタンスには、パフォーマンスを最適化するため、ターゲットプラットフォーム上に最小リソース割り当て(メモリ容量、CPU 数、およびディスク容量)が必要です。


重要


Management Center Virtual をアップグレードする際、最新のリリースノートで詳細を参照し、新しいリリースが環境に影響を及ばさないことを確認してください。最新バージョンを展開するには、リソースの拡張が必要な場合があります。


アップグレードすることで、展開環境のセキュリティ機能とパフォーマンスの向上に役立つ最新の機能と修正プログラムが追加されます。

Management Center Virtual のアップグレード(6.6.0 以降)には 28 GB の RAM が必要

アップグレード時の新しいメモリ診断機能が Management Center Virtual プラットフォームに導入されました。仮想アプライアンスに割り当てた RAM が 28 GB 未満の場合、Management Center Virtual のバージョン 6.6.0 以降へのアップグレードは失敗します。


重要


デフォルト設定(ほとんどの Management Center Virtual インスタンスでは 32 GB RAM、Management Center Virtual 300(FMCv300)では 64 GB RAM)の値より小さくすることは推奨しません。パフォーマンスを向上させるためには、使用可能なリソースに応じて、仮想アプライアンスのメモリや CPU 数をいつでも増やすことができます。


サポート対象のプラットフォームにおいて、このメモリ診断の結果より低いメモリのインスタンスをサポートできません。重要な Management Center Virtual アップグレード情報については、仮想アプライアンスのパフォーマンスについてを参照してください。

Management Center Virtual の初期セットアップ(6.5.0 以降)

Management Center Virtual バージョン 6.5 以降では、初期セットアップのエクスペリエンスが改善され、次の点が変更および機能拡張されています。

  • 管理の DHCP:管理インターフェイス(eth0)では、DHCP がデフォルトモードで有効になっています。

    Management Center Virtual 管理インターフェイスは、DHCP によって割り当てられた IPv4 または IPv6 アドレスを受け入れるように事前設定されています。DHCP により Management Center Virtual に割り当てるように設定されている IP アドレスを確認するには、システム管理者に問い合わせてください。DHCP を使用できないシナリオでは、Secure Firewall Management Center (旧 Firepower Management Center)管理インターフェイスは、IPv4 アドレス 192.168.45.45 または IPv6 アドレスを使用します(例:2001:db8::a111:b221:1:abca/96)を使用します。


    (注)  


    DHCP を使用する場合は、割り当てられたアドレスが変更されないように、DHCP 予約を使用する必要があります。DHCP アドレスが変更されると、Management Center ネットワーク設定が同期しなくなるため、デバイスの登録は失敗します。DHCP アドレスの変更から回復するには、Management Center に接続し(ホスト名または新しい IP アドレスを使用)、 システム[システム歯車(system gear}] アイコン > [構成(Configuration)] > [管理インターフェイス(Management Interfaces)] の順に選択してネットワークをリセットします。


  • Web インターフェイスの URLManagement Center Virtual Web インターフェイスのデフォルトの URL が https://<-IP>:<port>/ui/login に変更されました。

  • パスワードのリセット:システムのセキュリティやプライバシーを確保するために、Management Center に初めてログインするときは、admin のパスワードを変更する必要があります。[バスワードの変更(Change Password)] ウィザード画面が表示されると、2 つのオプションが示されます。[新しいパスワード(New Password)] と [パスワードの確認(Confirm password)] テキストボックスに新しいパスワードを入力します。パスワードは、ダイアログに示された条件を満たす必要があります。

  • ネットワーク設定Management Center Virtual に、初期セットアップを実行するためのインストールウィザードが含まれるようになりました。

    • 完全修飾ドメイン名:デフォルト値が表示されている場合は、デフォルト値を受け入れるか、完全修飾ドメイン名(構文 <hostname>.<domain>)またはホスト名を入力します。

    • IPV4 または IPv6 接続のブートプロトコル:IP アドレスの割り当て方法として DHCP またはスタティック/手動のいずれかを選択します。

    • DNS グループManagement Center Virtual のデフォルトのドメイン ネーム サーバー グループは Cisco Umbrella DNS です。

    • NTPグループサーバー:デフォルトのネットワーク タイム プロトコル グループは、Sourcefire NTP プールに設定されます。

  • RAM 要件Management Center Virtual の RAM の推奨サイズは 32GB です。

  • VMware 用 FMCv300:新しい拡張された Management Center Virtual イメージは、最大 300 台のデバイスを管理でき、ディスク容量が大きい VMware プラットフォームで使用できます。

対応プラットフォーム

Management Center Virtual は、次のプラットフォームに導入できます。

  • VMware vSphere Hypervisor(ESXi)Management Center Virtual を VMware ESXi 上のゲスト仮想マシンとして導入できます。

  • カーネル仮想化モジュール(KVM)Management Center Virtual を KVM ハイパーバイザを実行している Linux サーバーに導入できます。

  • Amazon Web Services(AWS)Management Center Virtual を AWS クラウドの EC2 インスタンスに導入できます。

  • Microsoft AzureManagement Center Virtual を Azure Cloud に導入できます。

  • Google Cloud Platform(GCP)Management Center Virtual をパブリック GCP に導入できます。

  • Oracle Cloud Infrastructure(OCI)Management Center Virtual を OCI に導入できます。

  • OpenStackManagement Center Virtual を OpenStack に導入できます。この展開では、KVM ハイパーバイザを使用して仮想リソースを管理します。

  • Cisco HyperFlexManagement Center Virtual を Cisco HyperFlex に導入できます。

  • Nutanix:AHV ハイパーバイザを使用して Management Center Virtual を Nutanix 環境に導入できます。

  • Alibaba CloudManagement Center Virtual を Alibaba Cloud に導入できます。


(注)  


ハイアベイラビリティ(HA)の設定は、VMware、AWS、Azure、KVM、OCI、および HyperFlex での Management Center Virtual の導入でサポートされています。ハイアベイラビリティのシステム要件については、『Management Center Administration Guide』の「High Availability」を参照してください。


ハイパーバイザとバージョンのサポート

ハイパーバイザとバージョンのサポートについては、『Cisco Secure Firewall Threat Defense Compatibility』を参照してください。

Management Center Virtual ライセンス

Management Center Virtual ライセンスは、機能ライセンスではなく、プラットフォームライセンスです。ご購入いただく仮想ライセンスのバージョンによって、Management Center を介して管理可能なデバイスの数が決まります。たとえば、2 台、10 台、25 台、300 台のデバイスを管理可能なライセンスをご購入いただけます。

Management Center 機能ライセンスについて

組織にとって最適なシステムの展開を実現するために、さまざまな機能のライセンスを付与できます。Management Center では、これらの機能ライセンスを管理してデバイスに割り当てることができます。


(注)  


Management Center はデバイスの機能ライセンスを管理しますが、Management Center を使用するための機能ライセンスは必要ありません。


Management Center 機能ライセンスは、デバイスタイプに応じて異なります。

  • スマートライセンスは Threat Defense および Threat Defense Virtual デバイスに使用可能です。

  • 7000 および 8000 シリーズ、ASA FirePOWER、および NGIPSv デバイスにはクラシック ライセンスを使用できます。

従来のライセンスを使用するデバイスは、クラシック デバイスと呼ばれることもあります。1 つの Management Center で従来のライセンスとスマート ライセンスの両方を管理できます。

「使用権」機能ライセンスに加えて、多くの機能にはサービス サブスクリプションが必要です。使用権ライセンスに有効期限はありませんが、サービス サブスクリプションは定期的に更新する必要があります。

ライセンスプラットフォームの詳細については、『Cisco Secure Firewall Management Center Administration Guide』の「Licenses」を参照してください。

スマートライセンス、クラシックライセンス、使用権ライセンス、およびサービスサブスクリプションに関するよくある質問への回答については、『Cisco Secure Firewall Management Center Feature Licenses』を参照してください。

仮想アプライアンスのパフォーマンスについて

仮想アプライアンスのスループットおよび処理能力を正確に予測することは不可能です。次のように、多数の要因がパフォーマンスに大きく影響します。

  • ホストのメモリと CPU の容量

  • ホストで実行されている仮想マシンの総数

  • 導入されるセンシング インターフェイスのネットワーク パフォーマンス、インターフェイス速度、および数

  • 各仮想アプライアンスに割り当てられたリソースの量

  • ホストを共有する他の仮想アプライアンスのアクティビティのレベル

  • 仮想デバイスに適用されるポリシーの複雑さ

スループットに満足できない場合は、 ホストを共有する仮想アプライアンスに割り当てられたリソースを調整します。

作成する各仮想アプライアンスでは、 ホストに一定量のメモリ、CPU、およびハードディスク スペースが必要です。デフォルトの設定は、システム ソフトウェアの実行の最小要件であるため、減らさないでください。ただし、使用可能なリソースによっては、パフォーマンスを向上させるために仮想アプライアンスのメモリと CPU の数を増やすことができます。

次の表は、サポートされる Management Center Virtual の制限について一覧表示したものです。

表 1. サポートされる Management Center Virtual の制限

コンポーネント

FMCv2/FMCv10/FMCv25

FMCv300

vCPU

8/4 vCPU

32 vCPU
メモリ 32 GB 64 GB
イベント記憶域 250 GB 2.2 TB
最大ネットワークマップサイズ(ホスト/ユーザー) 50,000/50,000 150,000/150,000
最大イベントレート(イベント数/秒) 5,000 12,000 eps

Management Center Virtual のデフォルトおよび最小メモリ要件

すべての Management Center Virtual 実装に同じ RAM 要件が適用され、32 GB が推奨、28 GB が必須となりました(FMCv300 の場合は 64 GB)。仮想アプライアンスに割り当てられたメモリが 28 GB 未満の場合、バージョン 6.6.0+ へのアップグレードは失敗します。アップグレード後、メモリ割り当てを引き下げると、正常性モニターがアラートを発行します。

これらの新しいメモリ要件は、すべての仮想環境にわたって一貫した要件を適用し、パフォーマンスを向上させ、新しい機能を利用できるようにします。デフォルト設定を引き下げないことをお勧めします。使用可能なリソースによっては、パフォーマンスを向上させるために仮想アプライアンスのメモリと CPU の数を増やすことができます。


重要


バージョン 6.6.0 リリースの時点で、クラウドベースの Management Center Virtual の展開(AWS、Azure)でのメモリ不足インスタンスのタイプが完全に廃止されました。以前のバージョンであっても、それらを使用して新しい Management Center Virtual インスタンスは作成できません。既存のインスタンスは引き続き実行できます。


次の表に、メモリが不足している Management Center Virtual 展開のアップグレード前の要件を示します。

表 2. バージョン 6.6.0 以降 にアップグレードする場合の Management Center Virtual のメモリ要件

プラットフォーム

アップグレード前のアクション

詳細

VMware

28 GB 以上(推奨 32 GB)を割り当てます。

最初に仮想マシンの電源をオフにします。

手順については、VMware のマニュアルを参照してください。

KVM

28 GB 以上(推奨 32 GB)を割り当てます。

手順については、ご使用の KVM 環境のマニュアルを参照してください。

AWS

インスタンスのサイズを変更します。

  • c3.xlarge から c3.4xlarge

  • c3.2.xlarge から c3.4xlarge

  • c4.xlarge から c4.4xlarge

  • c4.2xlarge から c4.4xlarge

また、新規展開用に c5.4xlarge インスタンスも用意しています。

サイズを変更する前にインスタンスを停止します。これを行うと、インスタンスストアのボリューム上のデータが失われるため、最初にインスタンスストアによってバックアップされたインスタンスを最初に移行してください。さらに、管理インターフェイスに復元力のある IP アドレスがない場合は、そのパブリック IP アドレスが解放されます。

手順については、Linux インスタンスの AWS ユーザーガイドのインスタンスタイプの変更に関するマニュアルを参照してください。

Azure

インスタンスのサイズを変更します。

  • Standard_D3_v2 から Standard_D4_v2

Azure ポータルまたは PowerShell を使用します。サイズを変更する前にインスタンスを停止する必要はありませんが、停止すると追加のサイズが表示される場合があります。サイズ変更により、実行中の仮想マシンが再起動されます。

手順については、Windows VM のサイズ変更に関する Azure のマニュアルを参照してください。

GCP

GCP インスタンスタイプに基づいてメモリを割り当てます。

詳細については、「GCP マシンタイプのサポート」を参照してください。

OCI

OCI インスタンスタイプに基づいてメモリを割り当てます。

詳細については、「OCI のコンピューティングシェイプ」を参照してください。

OpenStack

28 GB 以上(推奨 32 GB)を割り当てます。

詳細については、「メモリとリソースの要件」を参照してください。

[HyperFlex]

28 GB 以上(推奨 32 GB)を割り当てます。

詳細については、「ホストシステム要件」を参照してください。

Nutanix

28 GB 以上(推奨 32 GB)を割り当てます。

詳細については、「ホストシステム要件」を参照してください。

Management Center Virtual 導入パッケージのダウンロード

Management Center Virtual 導入パッケージは Cisco.com からダウンロードできます。パッチまたはホットフィックスの場合は Management Center 内からダウンロードできます。

Management Center Virtual 導入パッケージをダウンロードするには、次の手順に従います。

手順


ステップ 1

シスコのソフトウェア ダウンロード ページに移動します。

(注)  

 

Cisco.com のログインおよびシスコ サービス契約が必要です。

ステップ 2

[すべて参照(Browse all)] をクリックして Management Center Virtual 導入パッケージを検索します。

ステップ 3

[セキュリティ(Security)] > [ファイアウォール(Firewalls)] > [ファイアウォールの管理(Firewall Management)] を選択し、[Firepower Management Center Virtual アプライアンス(Firepower Management Center Virtual Appliance)] を選択します。

ステップ 4

ご使用のモデル > [FireSIGHT システム ソフトウェア(FireSIGHT System Software)] > バージョンの順に選択します。

次の表に、Cisco.com 上の Management Center Virtual ソフトウェアについての命名規則と情報を示します。

モデル パッケージ タイプ パッケージ名

Management Center Virtual

ソフトウェアのインストール:VMware

Cisco_Firepower_Management_Center_Virtual_VMware-version.tar.gz

ソフトウェアのインストール:KVM

Cisco_Firepower_Management_Center_Virtual-version.qcow2

ソフトウェアのインストール:AWS

クラウド サービスにログインし、マーケットプレイスから展開します。

ソフトウェアのインストール:Azure

クラウド サービスにログインし、マーケットプレイスから展開します。

ステップ 5

導入パッケージを見つけ、サーバーまたは管理コンピュータにダウンロードします。

名前が似ているパッケージが多数あります。確認して正しいものをダウンロードしてください。

シスコ サポートおよびダウンロード サイトから直接ダウンロードします。電子メールで導入パッケージを転送すると、破損する可能性があります。


次のタスク

導入プラットフォームに対応する章を参照してください。