概要
このドキュメントでは、6400ファブリックインターコネクト(FI)でセキュアなフィールドプログラマブルゲートアレイ(FPGA)を有効にする方法について説明します。
問題
6400(第4世代)FI上のリリース4.1(3)以降へのUnified Computing System Manager(UCS Manager)のアップグレードでは、次のメジャーエラーが表示されます。
Description: Endpoint FPGA firmware Unsecured.
Fault Code: F2023
これは、FPGAの黄金領域にコードが注入または変更される可能性がある既知のセキュアブートの脆弱性に対する新機能で、基本的にセキュアブートを無効にします。
解決方法
これは、6400シリーズFIでリリース4.1(3)以降にアップグレードする場合に予想されるメッセージです。これは、1つまたは両方のFIでのみ発生し、最初に出荷されたコードによって異なります。
セキュリティが低下する以外に、実稼働にリスクはありません。これは、次の計画されたメンテナンス期間まで延期できます。
FPGAは保護でき、SSHセッションまたはUCS ManagerのGUIを使用してこれらの手順でエラーをクリアできます。
注:これにより、各FIをリブートする必要があります。これは、サービスウィンドウで行うことをお勧めします。
SSHセッション
- ドメインへのSSHセッションを開きます。クラスタIPアドレスまたはFIのいずれかのIPアドレスが機能します。
UCS-A# scope fabric-interconnect a
UCS-A /fabric-interconnect# activate secure-fpga
UCS-A/fabric-interconnect*# commit-buffer
注:FIは短い遅延の後でリブートします。FIを手動でリブートしないでください。
- B FIでこのプロセスを繰り返します。
UCS-B# top
UCS-B# scope fabric-interconnect b
UCS-B /fabric-interconnect# activate secure-fpga
UCS-B/fabric-interconnect*# commit-buffer
注:FIは短い遅延の後でリブートします。FIを手動でリブートしないでください。
これで、エンドポイントFPGAファームウェアの非セキュアエラーがクリア状態になります。
UCS Manager Web UI
- ナビゲーションペインで、[Equipment] > [Fabric Interconnects] > [Fabric_Interconnect_Name]を選択します。
- 作業ペインで General タブをクリックします。
- [General]タブの[Actions]領域で、[Install Secure FPGA]をクリックします。
- ダイアログボックスで、[OK]をクリックします。
- Cisco UCS Managerの警告メッセージで[Yes]をクリックし、FIを再起動してログアウトし、Cisco UCS Manager GUIを切断します。
注:FIは短い遅延の後でリブートします。FIを手動でリブートしないでください。
「Install Secure FPGA」オプションが表示されない場合は、ブラウザのキャッシュをクリアするか、プライベートブラウジングセッションを使用します。
Secure FPGAのアップグレードの詳細については、『Release Notes for Cisco UCS Manager, Release 4.1』を参照してください。