使用 OpenStack 部署 Management Center Virtual

您可以在 OpenStack 上部署 Management Center Virtual。

概述

本指南介绍如何在 OpenStack 环境中部署 Management Center Virtual。OpenStack 是一个免费的开放标准云计算平台，主要作为公共服务和私有云中的基础设施即服务 (IaaS) 部署，其中虚拟服务器和其他资源可供用户使用。

Management Center Virtual 运行与物理管理中心相同的软件，以虚拟形式提供成熟的安全功能。Management Center Virtual 可以部署在 OpenStack 上。然后可以将其配置为管理虚拟和物理设备。

此部署使用 KVM 虚拟机监控程序来管理虚拟资源。KVM 是适用于基于 x86 硬件的 Linux 且包含虚拟化扩展（例如英特尔 VT）的完全虚拟化解决方案。其中包含可加载的⁪内核模块 kvm.ko（用于提供核心虚拟化基础设施）和一个处理器特定模块（例如 kvm-intel.ko）。您可以使用 KVM 来运行多个运行未修改的操作系统映像的虚拟机。每个虚拟机都有专用的虚拟化硬件：网卡、磁盘、图形适配器等等。

由于 KVM 虚拟机监控程序已支持设备，因此无需其他内核软件包或驱动程序即可启用 OpenStack 支持。

前提条件

从 software.cisco.com 下载 Management Center Virtual qcow2 文件并将其放在 Linux 主机上：

https://software.cisco.com/download/navigator.html
需要 software.cisco.com 和思科服务合同。
Management Center Virtual支持在开放源码 OpenStack 环境和思科 VIM 托管 OpenStack 环境中进行部署。

根据 OpenStack 准则来设置 OpenStack 环境。
- 请参阅开放源码 OpenStack 文档：
  
  Wallaby 版本 - https://docs.openstack.org/project-deploy-guide/openstack-ansible/wallaby/overview.html
- 请参阅思科虚拟化基础设施管理器 (VIM) OpenStack文档：思科虚拟化基础设施管理器文档，4.4.3
许可：
- 您可以在管理中心中配置安全服务的许可证授权。
- 有关如何管理许可证的更多信息，请参阅《Cisco Secure Firewall Management Center 配置指南》中的“系统许可”。

内存和资源要求：

处理器
- 需要 4 个 vCPU 或 8 个 vCPU
内存
- 最低要求 28 GB RAM/建议（默认）32 GB RAM
每个虚拟机的主机存储
- Management Center Virtual 需要 250 GB

注	您可以根据需要修改 vCPU 和内存值。

接口要求：
- 管理接口 - 用于将设备连接到管理中心的接口。
通信路径：
- 用于访问 Management Center Virtual 的浮动 IP。
最低支持的 Management Center Virtual 版本：
- 版本 7.0。
有关 OpenStack 要求，请参阅系统要求。
有关 Management Center Virtual 和系统兼容性，请参阅《Cisco Secure Firewall Threat Defense 兼容性指南》。

准则和限制

支持的功能

OpenStack 上的 Management Center Virtual 支持以下功能：

在 OpenStack 环境中在计算节点上运行的 KVM 虚拟机监控程序上部署 Management Center Virtual。
OpenStack CLI
基于 Heat 模板的部署
许可 - 仅支持 BYOL
驱动程序 - VIRTIO

不支持的功能

OpenStack 上的 Management Center Virtual 不支持以下各项：

自动缩放
集群

系统要求

OpenStack 环境必须符合以下支持的硬件和软件要求。

表 1. 硬件和软件要求
类别	支持的版本	说明
服务器	UCS C240 M5	建议使用 2 台 UCS 服务器，分别用于 os-controller 和 os-compute 节点。
驱动程序	VIRTIO	这些是支持的驱动程序。
操作系统	Ubuntu Server 20.04	这是 UCS 服务器上的建议操作系统。
OpenStack 版本	Wallaby 版本	有关各种 OpenStack 版本的详细信息，请访问： https://releases.openstack.org/

表 2. 思科 VIM 托管 OpenStack 的硬件和软件要求
类别	支持的版本	说明
服务器硬件	UCS C220-M5/UCS C240-M4	建议使用 5 台 UCS 服务器，其中 3 台用于 os-controller，两台或更多用于 os-compute 节点。
驱动因素	VIRTIO	这些是支持的驱动程序。
思科 VIM 版本	思科 VIM 4.4.3 支持的型号：操作系统 - Red Hat Enterprise Linux 8.4 OpenStack 版本 - OpenStack 16.2（培训版本）	有关详细信息，请参阅思科虚拟化基础设施管理器文档 4.4.3。

OpenStack 平台拓扑

下图显示了建议的拓扑，以支持使用两个 UCS 服务器的 OpenStack 中的部署。

网络拓扑示例

下图显示了 OpenStack 中 Management Center Virtual 的的网络拓扑示例。

图 2. OpenStack 上使用 Management Center Virtual 的拓扑示例

部署 Management Center Virtual

思科提供用于部署 Management Center Virtual 的示例 Heat 模板。创建 OpenStack 基础设施资源的步骤汇总在 Heat 热模板 (Deploy_os_infra.yaml) 文件中，以创建网络、子网和路由器接口。总体而言，Management Center Virtual 部署步骤分为以下几个部分。

将 Management Center Virtual qcow2 映像上传到 OpenStack Glance 服务。
创建网络基础设施。
- 网络
- 子网
- 路由器接口
创建 Management Center Virtual 实例。
- 类型
- 安全组
- 浮动 IP
- 实例

您可以按照以下步骤在 OpenStack 上部署 Management Center Virtual。

将 Management Center Virtual映像上传到 OpenStack

将 Management Center Virtual qcow2 映像复制到 OpenStack 控制器节点，然后将映像上传到 OpenStack Glance 服务。

开始之前

从 Cisco.com 下载 Management Center Virtual qcow2 文件并将其放在 Linux 主机上：

https://software.cisco.com/download/navigator.html

过程

步骤 1

将 qcow2 映像文件复制到 OpenStack 控制器节点。

步骤 2

将 Management Center Virtual 映像上传到 OpenStack Glance 服务。

root@ucs-os-controller:$ openstack image create <fmcv_image> --public --disk-
format qcow2 --container-format bare --file ./<fmcv_qcow2_file>

步骤 3

验证 Management Center Virtual 映像上传是否成功。

root@ucs-os-controller:$ openstack 映像列表

示例:

root@ucs-os-controller:$ openstack image list
+--------------------------------------+-------------------+---------+
| ID                                   | Name              | Status |+
| b957b5f9-ed1b-4975-b226-4cddf5887991 | fmcv-7-0-image    | active |+

系统将显示已上传的映像及其状态。

下一步做什么

使用 deploy_os_infra.yaml 模板来创建网络基础设施。

为 OpenStack 和 Management Center Virtual 创建网络基础设施

部署 OpenStack 基础设施 Heat 模板以创建网络基础设施。

开始之前

需要使用 Heat 模板文件来创建网络基础设施和 Management Center Virtual 所需的组件，例如终端、网络、子网、路由器接口和安全组规则：

env.yaml - 定义为支持计算节点上的 Management Center Virtual 而创建的资源，例如映像名称、接口和 IP 地址。
deploy_os_infra.yaml -定义 Management Center Virtual 的环境，例如网络和子网。

您的 Management Center Virtual 版本的模板可通过 FMCv OpenStack Heat 模板从 GitHub 存储库获取。

重要	请注意，思科提供的模板作为开源示例提供，不在常规思科 TAC 支持范围内。定期检查 GitHub 以了解更新和自述文件说明。

过程

步骤 1

部署基础设施 Heat 模板文件。

root@ucs-os-controller:$ openstack stack create <stack-name> -e <environment files name> -t <deployment file name>

示例:

root@ucs-os-controller:$ openstack stack create infra-stack -e env.yaml -t deploy_os_infra.yaml

步骤 2

验证是否已成功创建基础设施堆栈。

root@ucs-os-controller:$ openstackstack list

示例:

root@ucs-os-controller:$ openstack stack list
+--------------------------------------+-------------+----------------------------------+-----------------+
| ID                                   | Stack Name  | Project                          | Stack Status    |
+--------------------------------------+-------------+----------------------------------+-----------------+
| b30d5875-ce3a-4258-a841-bf2d09275929 | infra-stack | 13206e49b48740fdafca83796c6f4ad5 | CREATE_COMPLETE |
+--------------------------------------+-------------+----------------------------------+-----------------+

下一步做什么

在 OpenStack 上创建 Management Center Virtual 实例。

在 OpenStack 上创建 Management Center Virtual 实例

使用示例 Heat 模板在 OpenStack 上部署 Management Center Virtual。

开始之前

在 OpenStack上部署 Management Center Virtual 需要 Heat 模板：

deploy_fmcv.yaml

您的 Management Center Virtual 版本的模板可通过 FMCv OpenStack Heat 模板从 GitHub 存储库获取。

重要	请注意，思科提供的模板作为开源示例提供，不在常规思科 TAC 支持范围内。定期检查 GitHub 以了解更新和自述文件说明。

过程

步骤 1

部署 Management Center Virtual Heat 模板文件 (Deploy_fmcv.yaml) 以创建 Management Center Virtual 实例。

root@ucs-os-controller:$ openstack stack create fmcv-stack -e env.yaml-t deploy_fmcv.yaml

示例:

+---------------------+-----------------------------+
| Field               | Value                                |
+---------------------+--------------------------------------+
| id                  | 96c8c126-107b-4733-8f6c-eb15a637219f |
| stack_name          | fmcv-stack                           |
| description         | FMCv template                        |
| updated_time        | None                                 |
| stack_status        | CREATE_IN_PROGRESS                   |
| stack_status_reason | Stack CREATE started                 |
+---------------------+--------------------------------------+

步骤 2

验证是否已成功创建 Management Center Virtual 堆栈。

root@ucs-os-controller:$ openstack stack list

示例:

+--------------------------------------+-------------+----------------------------------+--------+
| ID                                   | Stack Name  | Project                          | Stack Status    | 
+--------------------------------------+-------------+----------------------------------+-----------------+
| 14624af1-e5fa-4096-bd86-c453bc2928ae | fmcv-stack  | 13206e49b48740fdafca83796c6f4ad5 | CREATE_COMPLETE |
| 198336cb-1186-45ab-858f-15ccd3b909c8 | infra-stack | 13206e49b48740fdafca83796c6f4ad5 | CREATE_COMPLETE |
+--------------------------------------+-------------+----------------------------------+-----------------+

思科 Cisco Secure Firewall Management Center Virtual 入门指南

非歧视性语言

当地语言翻译版本说明

Book Title

思科 Cisco Secure Firewall Management Center Virtual 入门指南

Chapter Title