ACIを構成するAPICおよびNexus 9000スイッチは、OutboundおよびInboundの両方で管理することが可能です。APICとNexus 9000はいずれもSSHによる接続と管理に対応しており、標準ではユーザ名とパスワードを利用してログインすることが可能です。また、Linuxなどと同様にAPICのローカルアカウントにSSH接続元サーバの公開鍵を登録することによって、パスワードを使用することなくAPICとそのAPICによって管理されているNexus 9000スイッチ全台に対してSSHログインすることが可能となります。

■APICへの公開鍵の登録

ACI バージョン 6.1 の場合、APIC 側のアカウントに公開鍵を登録するには、[Admin] - [AAA] - [Users] - 登録対象のアカウントの右端の [ ... ] をクリックして [Add SSH Authorization] を選択して登録します。

ACI バージョン 3.X の場合、APIC側のアカウントに公開鍵を登録するには、[Admin] - [AAA] - [Security Management] - [Local Users]配下で登録対象のアカウントを選択し[SSH Keys]欄に登録します。

(参考) Linuxサーバ側

ACIに対する特別な考慮は不要です。ssh-keygenコマンドで鍵を生成して下さい。貼り付ける範囲は、公開鍵の内容全て(ssh-rsa .... @hostname)です。

# ssh-keygen -t rsa

Generating public/private rsa key pair.

Enter file in which to save the key (/root/.ssh/id_rsa):

/root/.ssh/id_rsa already exists.

Overwrite (y/n)? y

Enter passphrase (empty for no passphrase):

Enter same passphrase again:

Your identification has been saved in /root/.ssh/id_rsa.

Your public key has been saved in /root/.ssh/id_rsa.pub.

The key fingerprint is:

01:02:03:04:05:06:07:08:09:10:11:12:13:14:15:16 root@hostname

The key's randomart image is:

+--[ RSA 2048]----+

| .o+o. oo E. |

| ..o..+..oo |

| . .o.o+. . |

| . o+.o. |

| . S .o. |

| . . . |

| . . o |

| . + |

| |

+-----------------+

# cat ~/.ssh/id_rsa.pub

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC9uElsjXoAwbS2wfAWloKOHMtvp3OrOJYeQjHhoHye8T+LCTFGKaleF6M2YETe+zMFtKXQfE2u1SmozY4ZCVHmd/LLiEFxeqxewMEF+AfYelu8uPxdKpIW6LiLcAk+qRIagN/SXdOvRQ0Dd4bKlwWQl2pOQ47rF4D/CiRGWoYpx6H20TbGapp7835aC8L/sMp4bTcb8TNIHkfhHaFDArt64dr350xVVCy3KkrXUjCoOkzbHLCV9nWD2hlMxGlW8Wdn0ACJGbttfhu48wAxIjwMOhiEo1+/dWTO1Lv4kiUfRdnyS//0eCUIRfOvm1FAs3IRFP0s46TCQvCvFyVsqykX root@hostname

　　※上記例は全て実際の出力を改変済です

■SSH接続

SSH公開鍵をAPIC側に登録することによって、APIC全台とAPIC管理下のACIファブリックを構成する全Nexus 9000スイッチに対して鍵認証によるSSH接続が可能となります。

APICに接続する例

APICのDNS名もしくはIPアドレスに対してSSHで接続し、パスワードを使用することなくログインできることを確認します。

# ssh -i ~/.ssh/id_rsa -l admin <APIC IPアドレス/DNS名>

Application Policy Infrastructure Controller

Last login: Thu Apr 20 17:59:47 2017 from <接続元IPアドレス>

apic1#

ACIファブリック構成スイッチに接続する例

ACIファブリックを構成するスイッチのいずれかに対してSSHで接続し、パスワードを使用することなくログインできることを確認します。

※Outboundで管理通信を行う場合、対象のスイッチにはOutboundでの管理用のIPアドレスが割り当てられている必要があります。手順については、こちら(管理 Interface の IP アドレス設定)を参考にして下さい。

# ssh -i ~/.ssh/id_rsa -l admin <Leaf1スイッチ IPアドレス/DNS名>

 

 

Last login: Fri Apr 21 13:35:39 2017 from <接続元IPアドレス>

Cisco Nexus Operating System (NX-OS) Software

TAC support: http://www.cisco.com/tac

Copyright (c) 2002-2017, Cisco Systems, Inc. All rights reserved.

The copyrights to certain works contained in this software are

owned by other third parties and used and distributed under

license. Certain components of this software are licensed under

the GNU General Public License (GPL) version 2.0 or the GNU

Lesser General Public License (LGPL) Version 2.1. A copy of each

such license is available at

http://www.opensource.org/licenses/gpl-2.0.php and

http://www.opensource.org/licenses/lgpl-2.1.php

Leaf1#

公開鍵を登録するアカウントと、そのアカウントに紐付けられているSecurity Domainを適切に構成することによって、SSH接続による管理操作が可能な範囲を制御することが可能です。