この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。
ハードウェア(HW)のライフサイクル中に、古いモデルのアプライアンスが存在する可能性があります。このアプライアンスは後で新しいハードウェアに置き換えられます。 AsyncOSバージョンがアップデートされると、サポート対象バージョンはサポート終了(EoL)およびサポート終了(EoS)ステータスになります。 EoL/EoSおよびHWのライフサイクルが、新しいハードウェアに出荷およびインストールされたAsyncOSのバージョンと一致するようにAsyncOSのバージョンをアップグレードできない段階に達する場合があります。([Cisco Email Security Cx70] > [Cisco Email Security Cx95]など)。
このドキュメントでは、古いハードウェアから新しいハードウェアに既存の設定を移行するために、バージョン間のギャップを埋めるための管理者オプションを提供します。
このドキュメントでは、交換対象のベースアプライアンスとしてCx70を使用します。 すべてのCx70モデルにAsyncOS 11.0.xにEoSが搭載されています。 AsyncOSリビジョン間のギャップを解消するには、既存の設定をvESAに移行し、そのvESAを使用して設定を新しいアプライアンスに同期する必要があります。
既存の設定を新しいハードウェアに移行するには、アプライアンスをアプライアンスの最新のAsyncOS General Deployment(GD)またはMaintenance Deployment(MD)リリースにアップグレードします。
AsyncOS 11.0 for Cisco Eメールセキュリティアプライアンスのリリースノートで、次の手順を使用してEメールセキュリティアプライアンスをアップグレードします。
リブート後、実行中のAsyncOSのバージョンを確認します。
注:クラスタ構成で複数のアプライアンスがすでに実行されている場合は、次のセクションをスキップできます。
クラスタを作成すると、既存の設定を共有できます。 クラスタを使用した一元管理については、ユーザーガイドを参照してください。 次のようにclusterconfig > Create a new clusterコマンドを使用します。
C170.local> clusterconfig
Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 2
Enter the name of the new cluster.
[]> migration.local
Should all machines in the cluster communicate with each other by hostname or by IP address?
1. Communicate by IP address.
2. Communicate by hostname.
[2]> 1
What IP address should other machines use to communicate with Machine C170.local?
1. 10.10.10.56 port 22 (SSH on interface Management)
2. Enter an IP address manually
[]> 1
Other machines will communicate with Machine C170.local using IP address 10.10.10.56 port 22. You can change this by using the COMMUNICATION subcommand of the clusterconfig command.
New cluster committed: Sat Jun 08 07:47:59 2019 GMT
Creating a cluster takes effect immediately, there is no need to commit.
Cluster migration.local
Choose the operation you want to perform:
- ADDGROUP - Add a cluster group.
- SETGROUP - Set the group that machines are a member of.
- RENAMEGROUP - Rename a cluster group.
- DELETEGROUP - Remove a cluster group.
- REMOVEMACHINE - Remove a machine from the cluster.
- SETNAME - Set the cluster name.
- LIST - List the machines in the cluster.
- CONNSTATUS - Show the status of connections between machines in the cluster.
- COMMUNICATION - Configure how machines communicate within the cluster.
- DISCONNECT - Temporarily detach machines from the cluster.
- RECONNECT - Restore connections with machines that were previously detached.
- PREPJOIN - Prepare the addition of a new machine over CCS.
[]>
(Cluster migration.local)
このドキュメントでは、交換対象のベースアプライアンスとしてCx70を使用します。 すべてのCx70モデルにAsyncOS 11.0.xにEoSが搭載されています。 AsyncOSリビジョン間のギャップを解消するには、既存の設定をvESAに移行し、そのvESAを使用して設定を新しいアプライアンスに同期する必要があります。
前提条件から、vESAイメージをダウンロードし、『Ciscoコンテンツセキュリティ仮想アプライアンスインストールガイド』に従って導入してください。
注:インストールガイドには、DHCP(interfaceconfig)に関する情報と、仮想ホスト上のデフォルトゲートウェイ(setgateway)の設定、および仮想アプライアンスライセンスファイルのロードが記載されています。 指示に従って読み、展開していることを確認してください。
vESAを導入したら、次のAsyncOSのバージョンを実行していることを確認します。
Cx70のAsyncOSを11.0.3-238にアップグレードした場合は、vESAで同じバージョンのAsyncOS for Email Securityを実行する必要があります。(例:11.0.3-238:11.0.0-274ではなく、11.0.3-238:11.0.3-238)
リブート後、実行中のAsyncOSのバージョンを確認します。
UIで、[Monitor] > [System Info]に移動します。
vESAのCLIから、clusterconfig > Join an existing...を実行します。 vESAをクラスタに追加するには、次の手順を実行します。
vESA.local> clusterconfig
Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 3
While joining a cluster, you will need to validate the SSH host key of the remote machine to which you are joining. To get the public host key fingerprint of the remote host, connect to the cluster and run: logconfig -> hostkeyconfig -> fingerprint.
WARNING: All non-network settings will be lost. System will inherit the values set at the group or cluster mode for the non-network settings. Ensure that the cluster settings are compatible with your network settings (e.g. dnsconfig settings)
Exception:Centralized Policy, Virus, and Outbreak Quarantine settings are not inherited from the cluster. These settings on this machine will remain intact.
Do you want to enable the Cluster Communication Service on ironport.example.com? [N]> n
Enter the IP address of a machine in the cluster.
[]> 10.10.10.56
Enter the remote port to connect to. This must be the normal admin ssh port, not the CCS port.
[22]>
Would you like to join this appliance to a cluster using pre-shared keys? Use this option if you have enabled two-factor authentication on the appliance. [Y]> n
Enter the name of an administrator present on the remote machine
[admin]>
Enter passphrase:
Please verify the SSH host key for 10.10.10.56:
Public host key fingerprint: 80:22:44:aa:cc:55:ff:ff:11:66:77:ee:66:77:77:aa
Is this a valid key for this host? [Y]> y
Joining cluster group Main_Group.
Joining a cluster takes effect immediately, there is no need to commit.
Cluster migration.local
Choose the operation you want to perform:
- ADDGROUP - Add a cluster group.
- SETGROUP - Set the group that machines are a member of.
- RENAMEGROUP - Rename a cluster group.
- DELETEGROUP - Remove a cluster group.
- REMOVEMACHINE - Remove a machine from the cluster.
- SETNAME - Set the cluster name.
- LIST - List the machines in the cluster.
- CONNSTATUS - Show the status of connections between machines in the cluster.
- COMMUNICATION - Configure how machines communicate within the cluster.
- DISCONNECT - Temporarily detach machines from the cluster.
- RECONNECT - Restore connections with machines that were previously detached.
- PREPJOIN - Prepare the addition of a new machine over CCS.
[]>
(Cluster migration.local)>
この時点で、vESAは既存のCx70/HWと同じ構成になっています。
clustercheckコマンドを実行して、同期を検証し、既存のvESAとCx95の間に不整合があるかどうかを確認します。 (詳細については、「クラスタの不一致」を参照してください)。
注:vESAがメールを処理していません。 念のため、vESAを追加のMXとしてDNSレコードに追加するか、ESAの外部のロードバランシングプールに含める必要がありました。
vESAのCLIから、clusterconfigを実行し、removemachine操作を使用してクラスタからアプライアンスを削除します。
(Cluster migration.local)> clusterconfig
Cluster migration.local
Choose the operation you want to perform:
- ADDGROUP - Add a cluster group.
- SETGROUP - Set the group that machines are a member of.
- RENAMEGROUP - Rename a cluster group.
- DELETEGROUP - Remove a cluster group.
- REMOVEMACHINE - Remove a machine from the cluster.
- SETNAME - Set the cluster name.
- LIST - List the machines in the cluster.
- CONNSTATUS - Show the status of connections between machines in the cluster.
- COMMUNICATION - Configure how machines communicate within the cluster.
- DISCONNECT - Temporarily detach machines from the cluster.
- RECONNECT - Restore connections with machines that were previously detached.
- PREPJOIN - Prepare the addition of a new machine over CCS.
[]> removemachine
Choose the machine to remove from the cluster.
1. C170.local (group Main_Group)
2. vESA.local (group Main_Group)
[1]> 2
Warning:
- You are removing the machine you are currently connected to, and you will no longer be able to access the cluster.
- This change will happen immediately without a commit.
Are you sure you want to continue? [N]> y
Please wait, this operation may take a minute...
Machine vESA.local removed from the cluster.
この時点で、新しいHW/Cx95のリビジョンと一致するようにvESAをアップグレードする必要があります。 このドキュメントでは、Cx70に代わるアプライアンスとしてCx95を使用していることを前提としています。
AsyncOS 11.5.xを実行しているCx95ハードウェアが出荷されました。 11.5.xから12.5.xへのアップグレードを推奨します。
vESAは、AsyncOS for Email Securityと同じバージョンを実行している必要があります。(例:12.5.0-059:11.0.3-238ではなく、12.5.0-059:12.5.0-059)
アップグレードする前に、vESAのダイナミックホスト設定を変更する必要があります。 [これが必要な理由の説明:vESAがCx70クラスタに参加すると、HWアップデータ(update-manifests.ironport.com 443)のクラスタ構成が想定されます。 この時点で、vESAをアップグレードするには、VMアップデータを再ポイントする必要があります。]
これを実行するには、CLIから次のコマンドを実行します。
vESAおよびCx95をアップグレードするには、次の手順に従います。
リブート後、実行中のAsyncOSのバージョンを確認します。
このドキュメントでは、新しいハードウェア(Cx95)の基本的なネットワーク構成をすでに受信し、ラックに設置し、電源を入れ、完了していることを前提としています。 Cx95の詳細については、『Cisco EメールセキュリティアプライアンスC195、C395、C695、およびC695Fスタートアップガイド』を参照してください。
同じクラスタ名を再利用する場合は、Cx70クラスタから同じクラスタ名を使用して作成します。 または、新しいクラスタ名で新しいクラスタを作成します。 これは、vESA上で前述の手順を繰り返したものです。
vESA.local> clusterconfig
Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 2
Enter the name of the new cluster.
[]> newcluster.local
Should all machines in the cluster communicate with each other by hostname or by IP address?
1. Communicate by IP address.
2. Communicate by hostname.
[2]> 1
What IP address should other machines use to communicate with Machine C170.local?
1. 10.10.10.58 port 22 (SSH on interface Management)
2. Enter an IP address manually
[]> 1
Other machines will communicate with Machine C195.local using IP address 10.10.10.58 port 22. You can change this by using the COMMUNICATION subcommand of the clusterconfig command.
New cluster committed: Sat Jun 08 11:45:33 2019 GMT
Creating a cluster takes effect immediately, there is no need to commit.
Cluster newcluster.local
Choose the operation you want to perform:
- ADDGROUP - Add a cluster group.
- SETGROUP - Set the group that machines are a member of.
- RENAMEGROUP - Rename a cluster group.
- DELETEGROUP - Remove a cluster group.
- REMOVEMACHINE - Remove a machine from the cluster.
- SETNAME - Set the cluster name.
- LIST - List the machines in the cluster.
- CONNSTATUS - Show the status of connections between machines in the cluster.
- COMMUNICATION - Configure how machines communicate within the cluster.
- DISCONNECT - Temporarily detach machines from the cluster.
- RECONNECT - Restore connections with machines that were previously detached.
- PREPJOIN - Prepare the addition of a new machine over CCS.
[]>
(Cluster newcluster.local)>
Cx95のCLIから、[clusterconfig] > [Join an existing...]を実行します。 vESAで構成された新しいクラスタにCx95を追加するには、次の手順を実行します。
C195.local> clusterconfig
Do you want to join or create a cluster?
1. No, configure as standalone.
2. Create a new cluster.
3. Join an existing cluster over SSH.
4. Join an existing cluster over CCS.
[1]> 3
While joining a cluster, you will need to validate the SSH host key of the remote machine to which you are joining. To get the public host key fingerprint of the remote host, connect to the cluster and run: logconfig -> hostkeyconfig -> fingerprint.
WARNING: All non-network settings will be lost. System will inherit the values set at the group or cluster mode for the non-network settings. Ensure that the cluster settings are compatible with your network settings (e.g. dnsconfig settings)
Exception:Centralized Policy, Virus, and Outbreak Quarantine settings are not inherited from the cluster. These settings on this machine will remain intact.
Do you want to enable the Cluster Communication Service on ironport.example.com? [N]> n
Enter the IP address of a machine in the cluster.
[]> 10.10.10.58
Enter the remote port to connect to. This must be the normal admin ssh port, not the CCS port.
[22]>
Would you like to join this appliance to a cluster using pre-shared keys? Use this option if you have enabled two-factor authentication on the appliance. [Y]> n
Enter the name of an administrator present on the remote machine
[admin]>
Enter passphrase:
Please verify the SSH host key for 10.10.10.56:
Public host key fingerprint: 80:11:33:aa:bb:44:ee:ee:22:77:88:ff:77:88:88:bb
Is this a valid key for this host? [Y]> y
Joining cluster group Main_Group.
Joining a cluster takes effect immediately, there is no need to commit.
Cluster newcluster.local
Choose the operation you want to perform:
- ADDGROUP - Add a cluster group.
- SETGROUP - Set the group that machines are a member of.
- RENAMEGROUP - Rename a cluster group.
- DELETEGROUP - Remove a cluster group.
- REMOVEMACHINE - Remove a machine from the cluster.
- SETNAME - Set the cluster name.
- LIST - List the machines in the cluster.
- CONNSTATUS - Show the status of connections between machines in the cluster.
- COMMUNICATION - Configure how machines communicate within the cluster.
- DISCONNECT - Temporarily detach machines from the cluster.
- RECONNECT - Restore connections with machines that were previously detached.
- PREPJOIN - Prepare the addition of a new machine over CCS.
[]>
(Cluster newcluster.local)>
このプロセスを繰り返して、追加のCx95をクラスタに参加させます。
この時点で、Cx95は既存のCx70/HWおよびvESAが実行されているのと同じ構成になっています。
clustercheckコマンドを実行して、同期を検証し、既存のvESAとCx95の間に不整合があるかどうかを確認します。 (詳細については、「クラスタの不一致」を参照してください)。
vESAのパート2の手順と同様に、HWアップデータを指定するupdateconfigを設定する必要があります。 これを実行するには、CLIから次のコマンドを実行します。
現時点では、Cx70アプライアンスの電源を切り、既存のIPアドレスと関連するホスト名をCx95に移行するための決定を行う必要があります。 このプロセスで確認する項目は次のとおりです。
また、仮想ESAを使用する方法を決定することもできます。 clusterconfig > removemachineを実行して既存のクラスタからこれを削除し、クラスタから削除する仮想アプライアンスの番号を選択します。
(Cluster newcluster.local)> clusterconfig
Cluster cluster
Choose the operation you want to perform:
- ADDGROUP - Add a cluster group.
- SETGROUP - Set the group that machines are a member of.
- RENAMEGROUP - Rename a cluster group.
- DELETEGROUP - Remove a cluster group.
- REMOVEMACHINE - Remove a machine from the cluster.
- SETNAME - Set the cluster name.
- LIST - List the machines in the cluster.
- CONNSTATUS - Show the status of connections between machines in the cluster.
- COMMUNICATION - Configure how machines communicate within the cluster.
- DISCONNECT - Temporarily detach machines from the cluster.
- RECONNECT - Restore connections with machines that were previously detached.
- PREPJOIN - Prepare the addition of a new machine over CCS.
[]> removemachine
Choose the machine to remove from the cluster.
1. vESA.local (group Main_Group)
2. C195.local (group Main_Group)
[1]> 1
Warning:
- This is the last machine in the cluster. Removing it from the cluster will destroy the cluster.
- This change will happen immediately without a commit.
Are you sure you want to continue? [N]> y
Please wait, this operation may take a minute...
Machine vESA.local removed from the cluster.
移行後の仮想アプライアンスの使用に関するアイデア:
注:仮想ライセンスファイルはXML形式で送信され、指定した電子メールアドレスに3時間以内に受信されます。
注:仮想ライセンスファイルはXML形式で送信され、指定した電子メールアドレスに3時間以内に受信されます。
11.0.3-238(リリース ノート) |
11.5.0-066(リリース ノート) |
12.5.0-059(リリース ノート) |
AsyncOS for Cx70のEoSバージョン |
Cx95向けに出荷された製造バージョン |
Cx80/Cx90/Cx95用の推奨GAリリース |
phebe-11-0-1-027 -> phebe-11-0-3-238 phebe-11-0-1-301 -> phebe-11-0-3-238 phebe-11-0-1-602 -> phebe-11-0-3-238 phebe-11-0-2-037 -> phebe-11-0-3-238 phebe-11-0-2-038 -> phebe-11-0-3-238 phebe-11-0-2-044 -> phebe-11-0-3-238 phebe-9-1-2-053 -> phebe-11-0-3-238 phebe-9-7-2-145 -> phebe-11-0-3-238 phebe-9-8-1-015 -> phebe-11-0-3-238
|
これはx95プラットフォームの製造リリースであるため、アップグレードパスは使用できません。 |
phebe-11-0-1-027 -> phebe-12-5-0-059 phebe-11-0-2-044 -> phebe-12-5-0-059 phebe-11-0-3-238 -> phebe-12-5-0-059 phebe-11-0-3-242 -> phebe-12-5-0-059 phebe-11-1-1-042 -> phebe-12-5-0-059 phebe-11-1-2-023 -> phebe-12-5-0-059 phebe-11-5-0-058 -> phebe-12-5-0-059 phebe-11-5-0-077 -> phebe-12-5-0-059 phebe-12-0-0-419 -> phebe-12-5-0-059 phebe-12-1-0-089 -> phebe-12-5-0-059
|
AsyncOS 12.xにアップグレードした後、アプライアンスがクラスタモードでDLPが設定されている場合、CLIを使用してclustercheckコマンドを実行すると、DLP設定の不一致が見られます。
この不整合を解決するには、クラスタ全体でクラスタ内の他のマシンのDLP設定を使用するように強制します。「この不整合を解決するには?」というプロンプトを使用します。 clustercheckコマンドで次の例のように入力します。
(Cluster)> clustercheck
Checking DLP settings...
Inconsistency found!
DLP settings at Cluster test:
mail1.example.com was updated Wed Jan 04 05:52:57 2017 GMT by 'admin' on mail2.example.com mail2.example.com was updated Wed Jan 04 05:52:57 2017 GMT by 'admin' on mail2.example.com How do you want to resolve this inconsistency?
1. Force the entire cluster to use the mail1.example.com version.
2. Force the entire cluster to use the mail2.example.com version.
3. Ignore.
[3]>
ESAで実行されているAsyncOSのバージョンに関するリリース・ノートを必ずお読みください。
参考資料:ESA クラスタの要件とセットアップ