この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章の内容は、次のとおりです。
シスコ アプリケーション セントリック インフラストラクチャ(ACI)ファブリックにおいて、時刻の同期は、モニタリング、運用、トラブルシューティングなどの多数のタスクが依存している重要な機能です。クロック同期は、トラフィック フローの適切な分析にとって重要であり、複数のファブリック ノード間でデバッグとフォールトのタイム スタンプを関連付けるためにも重要です。
1 つ以上のデバイスでオフセットが生じると、多くの一般的な運用問題を適切に診断して解決する機能がブロックされる可能性があります。また、クロック同期によって、アプリケーションのヘルススコアが依存している ACI の内蔵アトミック カウンタ機能をフル活用できます。時刻同期が存在しない場合や不適切に設定されている場合でも、エラーやヘルススコアの低下が引き起こされるわけではありません。これらの機能を適切に使用できるように、ファブリックやアプリケーションを完全に展開する前に、時刻同期を設定する必要があります。デバイスのクロックを同期させる最も一般的な方法は、ネットワーク タイム プロトコル(NTP)を使用することです。
NTP を 設定する前に、どの管理 IP アドレス スキームを ACI ファブリックに配置するかを検討してください。すべての ACI ノードと Application Policy Infrastructure Controller(APIC)の管理を設定するために、インバンド管理とアウトオブバンド管理の 2 つのオプションがあります。ファブリックに対して選択した管理オプションに応じて、NTP の設定が異なります。時刻同期の展開に関するもう 1 つの考慮事項は、時刻源の場所です。プライベート内部時刻または外部パブリック時刻の使用を決定する際は、時刻源の信頼性について慎重に検討する必要があります。
(注) |
|
アウトオブバンド管理 NTP:ACI ファブリックをアウトオブバンド管理とともに展開する場合、ファブリックの各ノードは、スパイン、リーフ、および APIC クラスタの全メンバーを含めて、ACI ファブリックの外部から管理されます。この IP 到達可能性を活用することで、各ノードは一貫した時刻源として同じ NTP サーバに個々に照会することができます。NTP を設定するには、アウトオブバンド管理のエンドポイント グループを参照する日付時刻ポリシーを作成する必要があります。日付時刻ポリシーは 1 つのポッドに限定され、ACI ファブリック内のプロビジョニングされたすべてのポッドに展開する必要があります。現在は、ACI ファブリックあたり 1 つのポッドのみが許可されます。
インバンド管理 NTP:ACI ファブリックをインバンド管理とともに展開する場合は、ACI のインバンド管理ネットワーク内から NTP サーバへの到達可能性を検討します。ACI ファブリック内で使用されるインバンド IP アドレッシングには、ファブリックの外部から到達できません。インバンド管理されているファブリックの外部の NTP サーバを使用するには、その通信を可能にするポリシーを作成します。インバンド管理ポリシーの設定に使用される手順は、アウトオブバンド管理ポリシーの確立に使用される手順と同じです。違いは、ファブリックが NTP サーバに接続できるようにする方法です。
NTP over IPv6 アドレスは、ホスト名とピア アドレスでサポートされます。gai.conf も、IPv4 アドレスのプロバイダーまたはピアの IPv6 アドレスが優先されるように設定できます。ユーザは、IP アドレス(インストールまたは優先順位よって IPv4、IPv6、または両方)を提供することによって解決できるホスト名を設定できます。
ACI ファブリックをアウトオブバンド管理で展開する場合、ファブリックの各ノードは ACI ファブリックの外部から管理されます。アウトオブバンド管理の NTP サーバを設定すると、各ノードは一貫したクロック ソースとして同じ NTP サーバに個々に照会することができます。
次に、優先アウトオブバンド NTP サーバを設定し、その設定および展開を確認する例を示します。
apic1# configure t apic1(config)# template ntp-fabric pol1 apic1(config-template-ntp-fabric)# server 192.0.20.123 use-vrf oob-default apic1(config-template-ntp-fabric)# no authenticate apic1(config-template-ntp-fabric)# authentication-key 12345 apic1(config-template-ntp-fabric)# trusted-key 12345 apic1(config-template-ntp-fabric)# exit apic1(config)# template pod-group allPods apic1(config-pod-group)# inherit ntp-fabric pol1 apic1(config-pod-group)# exit apic1(config)# pod-profile all apic1(config-pod-profile)# pods all apic1(config-pod-profile-pods)# inherit pod-group allPods apic1(config-pod-profile-pods)# end apic1#
apic1# show ntpq nodeid remote refid st t when poll reach delay offset jitter ------ - ------------ ------ ---- -- ----- ----- ----- ------ ------ ------ 1 * 192.0.20.123 .GPS. u 27 64 377 76.427 0.087 0.067 2 * 192.0.20.123 .GPS. u 3 64 377 75.932 0.001 0.021 3 * 192.0.20.123 .GPS. u 3 64 377 75.932 0.001 0.021
DHCP リレー ポリシーは、DHCP クライアントとサーバが異なるサブネット上にある場合に使用できます。クライアントが配置された vShield ドメイン プロファイルとともに ESX ハイパーバイザ上にある場合は、DHCP リレー ポリシー設定を使用することが必須です。
vShield コントローラが Virtual Extensible Local Area Network(VXLAN)を展開すると、ハイパーバイザ ホストはカーネル(vmkN、仮想トンネル エンドポイント(VTEP))インターフェイスを作成します。これらのインターフェイスは、DHCP を使用するインフラストラクチャ テナントで IP アドレスを必要とします。したがって、APIC が DHCP サーバとして動作しこれらの IP アドレスを提供できるように、DHCP リレー ポリシーを設定する必要があります。
ACI fabricは、DHCP リレーとして動作するときに、DHCP オプション 82(DHCP Relay Agent Information Option)を、クライアントの代わりに中継する DHCP 要求に挿入します。応答(DHCP オファー)がオプション 82 なしで DHCP サーバから返された場合、その応答はファブリックによってサイレントにドロップされます。したがって、ACI fabricが DHCP リレーとして動作するときは、ACI fabricに接続されたノードを計算するために IP アドレスを提供している DHCP サーバはオプション 82 をサポートする必要があります。
アプリケーション エンドポイント グループで使用されるポートおよびカプセル化は、物理または VM マネージャ(VMM)ドメインに属している必要があります。ドメインとのそのような関連付けが確立されていないと、APIC は EPG の展開を続行しますが、エラーを生成します。
Cisco APIC は、IPv4 と IPv6 の両方のテナント サブネットで DHCP リレーをサポートします。DHCP サーバ アドレスには IPv4 または IPv6 を使用できます。DHCPv6 リレーは、ファブリック インターフェイスで IPv6 が有効になっており、1 つ以上の DHCPv6 リレー サーバが設定されている場合にのみ、発生します。
エンドポイント グループの DHCP リレー ポリシーの導入
レイヤ 2 またはレイヤ 3 管理接続が設定されていることを確認します。
アプリケーション エンドポイント グループで使用されるポートおよびカプセル化は、物理または VM マネージャ(VMM)ドメインに属している必要があります。ドメインとのそのような関連付けが確立されていないと、APIC は EPG の展開を続行しますが、エラーを生成します。
Cisco APIC は、IPv4 と IPv6 の両方のテナント サブネットで DHCP リレーをサポートします。DHCP サーバ アドレスには IPv4 または IPv6 を使用できます。DHCPv6 リレーは、ファブリック インターフェイスで IPv6 が有効になっており、1 つ以上の DHCPv6 リレー サーバが設定されている場合にのみ、発生します。
DHCP サーバ アドレスに到達するためにレイヤ 2 またはレイヤ 3 接続が設定されていることを確認します。
このタスクは、vShield ドメイン プロファイルを作成するユーザの前提条件です。
アプリケーション エンドポイント グループで使用されるポートおよびカプセル化は、物理または VM マネージャ(VMM)ドメインに属している必要があります。ドメインとのそのような関連付けが確立されていないと、APIC は EPG の展開を続行しますが、エラーを生成します。
Cisco APIC は、IPv4 と IPv6 の両方のテナント サブネットで DHCP リレーをサポートします。DHCP サーバ アドレスには IPv4 または IPv6 を使用できます。DHCPv6 リレーは、ファブリック インターフェイスで IPv6 が有効になっており、1 つ以上の DHCPv6 リレー サーバが設定されている場合にのみ、発生します。
レイヤ 2 またはレイヤ 3 管理接続が設定されていることを確認します。
DNS ポリシーは、ホスト名で外部サーバ(AAA、RADIUS、vCenter、サービスなど)に接続するために必要です。DNS サービス ポリシーは共有ポリシーであるため、このサービスを使用するすべてのテナントと VRF を特定の DNS プロファイル ラベルで設定する必要があります。ACI ファブリックの DNS ポリシーを設定するには、次のタスクを完了する必要があります。
管理 EPG が DNS ポリシー用に設定されていることを確認してください。設定されていない場合、このポリシーはスイッチで有効になりません。
DNS プロバイダーと DNS ドメインに関する情報が含まれる DNS プロファイル(デフォルト)を作成します。
DNS プロファイル(デフォルトまたは別の DNS プロファイル)の名前を必要なテナントで DNS ラベルに関連付けます。
テナントごと、VRF ごとの DNS プロファイル設定を設定することができます。適切な DNS ラベルを使用して、追加の DNS プロファイルを作成して、特定のテナントの特定の VRF に適用できます。たとえば、名前が acme の DNS プロファイルを作成する場合、テナント設定で acme の DNS ラベルを適切な
ポリシー設定に追加できます。次のように、サービスに対して外部宛先を設定します。
ソース | インバンド管理 | アウトオブバンド管理 | 外部サーバの場所 | ||
---|---|---|---|---|---|
APIC |
IP アドレスまたは完全修飾ドメイン名(FQDN) |
IP アドレスまたは FQDN |
Anywhere |
||
リーフ スイッチ |
IP アドレス |
IP アドレスまたは FQDN
|
Anywhere |
||
スパイン スイッチ |
IP アドレス |
IP アドレスまたは FQDN
|
リーフ スイッチに直接接続されます |
次に示すのは、外部サーバのリストです。
Call Home SMTP サーバ
Syslog サーバ
SNMP トラップの宛先
統計情報のエクスポートの宛先
エクスポートの設定の宛先
Techsupport のエクスポートの宛先
コア エクスポートの宛先
推奨されるガイドラインは次のとおりです。
DNS サーバには、A レコード(IPv4)または AAAA レコード(IPv6)のプライマリ DNS レコードがあります。A および AAAA レコードは、ドメイン名を特定の IP アドレス(IPv4 または IPv6)と関連付けます。
ACI ファブリックは、IPv4 で実行する信頼できるパブリック DNS サーバを使用するように設定できます。これらのサーバは、A レコード(IPv4)または AAAA レコード(IPv6)で解決および応答できます。
純粋な IPv6 環境では、システム管理者は IPv6 DNS サーバを使用する必要があります。IPv6 DNS サーバは、/etc/resolv.conf に追加することによって有効化されます。
より一般的な環境では、デュアルスタック IPv4 および IPv6 DNS サーバを使用します。デュアルスタックの場合、IPv4 と IPv6 の両方が /etc/resolv.conf にリストされます。ただし、デュアルスタック環境で、単純に IPv6 DNS サーバをリストに追加すると、DNS 解決の大きな遅延を引き起こす可能性があります。これは、デフォルトで IPv6 プロトコルが優先されるため、IPv4 DNS サーバに接続できないためです(/etc/resolv.conf で最初にリストされている場合)。この解決法は、IPv4 DNS サーバの前に IPv6 DNS サーバをリストすることです。また、IPv4 と IPv6 両方のルックアップで同一ソケットを使用できるようにするために、「options single-request-reopen」を追加します。
options single-request-reopen nameserver 2001:4860:4680::8888 nameserver 2001:4860:4680::8844 nameserver 8.8.8.8 nameserver 8.8.4.4
ACI ファブリックの管理ネットワークが IPv4 と IPv6 の両方をサポートする場合、Linux システム アプリケーション(glibc)では、getaddrinfo() が IPv6 を最初に返すため、IPv6 ネットワークをデフォルトで使用します。
ただし、特定の条件下では IPv4 アドレスが IPv6 アドレスよりも推奨されることがあります。Linux IPv6 スタックには、IPv6 にマッピングされた IPv4 アドレス(::ffff/96)を使用して、IPv6 アドレスとしてマッピングされた IPv4 アドレスを有効にする機能があります。これは、IPv6 対応アプリケーションが IPv4 と IPv6 両方を受け入れまたは接続するためにシングル ソケットのみ使用できるようにします。これは /etc/gai.conf の getaddrinfo() の glibc IPv6 選択項目によって制御されます。
/etc/hosts を使用する場合は glibc が複数のアドレスを返すようにするために、/etc/hosts ファイルに「multi on」を追加する必要があります。追加しないと、最初に一致したものだけを返す場合があります。
アプリケーションが IPv4 と IPv6 の両方が存在するかどうかを認識していない場合、異なるアドレス ファミリを使用するフォールバック試行が実行されないことがあります。このようなアプリケーションでは、フォールバックの実装が必要な場合があります。
DNS プロファイルは、IPv4 と IPv6 のバージョン優先順位の選択をサポートします。ユーザ インターフェイスを使用して、優先順位を有効にすることができます。IPv4 がデフォルトです。
次の例は、Postman REST API を使用したポリシーベースの設定を示します。
<?xml version="1.0" encoding="UTF-8”?> <!— api/node/mo/uni/fabric/dnsp-default.xml —> <dnsProfile dn="uni/fabric/dnsp-default" IPVerPreference="IPv6" childAction="" descr="" > </dnsProfile>
gai.conf の設定は、宛先アドレス選択を制御します。ファイルには、ラベル テーブル、優先順位テーブル、IPv4 範囲テーブルが含まれます。IPv4 または IPv6 をもう一方よりも優先付けする変更は、優先順位テーブルのエントリに含める必要があります。Linux システムで多数のフレーバーに使用されている標準ファイルの内容例を下に示します。ファイルの precedence ラベルの一行でデフォルト設定を上書きします。
次の例は、IPv4 を IPv6 よりも優先させるための gai.conf です。
# Generated by APIC label ::1/128 0 label ::/0 1 label 2002::/16 2 label ::/96 3 label ::ffff:0:0/96 4 precedence ::1/128 50 precedence ::/0 40 precedence 2002::/16 30 precedence ::/96 20 # For APICs prefering IPv4 connections, change the value to 100. precedence ::ffff:0:0/96 10
レイヤ 2 またはレイヤ 3 管理接続が設定されていることを確認します。
ステップ 1 | メニュー バーで、 ペインで、 の順に展開し、デフォルトの DNS プロファイルをクリックします。 の順に選択します。[Navigation] |
ステップ 2 | [Work] ペインの [Management EPG] フィールドで、ドロップダウン リストから、適切な管理 EPG (デフォルト(Out-of-Band))を選択します。 |
ステップ 3 | [DNS Providers] を展開し、次の操作を実行します。 |
ステップ 4 | [DNS Domains] を展開し、次の操作を実行します。 |
ステップ 5 | [Submit] をクリックします。 DNS サーバが設定されます。 |
ステップ 6 | メニュー バーで、 をクリックします。 |
ステップ 7 | [Navigation] ペインで、 の順に展開します。 |
ステップ 8 | [Work] ペインの [Properties] 下で、[DNS labels] フィールドに、適切な DNS ラベル(デフォルト)を入力します。[Submit] をクリックします。 DNS プロファイル ラベルがテナントおよび VRF で設定されました。 |
レイヤ 2 またはレイヤ 3 管理接続が設定されていることを確認します。
ステップ 1 | メニュー バーで、 ペインで、 を展開し、デフォルトの DNS プロファイルをクリックします。 を選択します。[Navigation] |
ステップ 2 | [Work] ペインの [Management EPG] フィールドで、ドロップダウン リストから、適切な管理 EPG (デフォルト(Out-of-Band))を選択します。 |
ステップ 3 | [DNS Providers] を展開し、次の操作を実行します。 |
ステップ 4 | [DNS Domains] を展開し、次の操作を実行します。 |
ステップ 5 | [Submit] をクリックします。 DNS サーバが設定されます。 |
ステップ 6 | メニュー バーで、 をクリックします。 |
ステップ 7 | [Navigation] ペインで、 の順に展開し、[oob] をクリックします。 |
ステップ 8 | [Work] ペインの [Properties] 下で、[DNS labels] フィールドに、適切な DNS ラベル(デフォルト)を入力します。[Submit] をクリックします。 DNS プロファイル ラベルがテナントおよび VRF で設定されました。 |
ステップ 1 | NX-OS CLI で、次に示すようにしてコンフィギュレーション モードに入ります。 例: apic1# configure apic1(config)# |
ステップ 2 | DNS サーバ ポリシーを設定します。 例: apic1(config)# dns apic1(config-dns)# address 172.21.157.5 preferred apic1(config-dns)# address 172.21.157.6 apic1(config-dns)# domain company.local default apic1(config-dns)# use-vrf oob-default |
ステップ 3 | DNS プロファイルを使用する任意の VRF 上で DNS プロファイルのラベルを設定します。 例: apic1(config)# tenant mgmt apic1(config-tenant)# vrf context oob apic1(config-tenant-vrf)# dns label default |
レイヤ 2 またはレイヤ 3 管理接続が設定されていることを確認します。
ステップ 1 | DNS サービス ポリシーを設定します。 例: POST URL : https://apic-IP-address/api/node/mo/uni/fabric.xml <dnsProfile name="default"> <dnsProv addr="172.21.157.5" preferred="yes"/> <dnsProv addr="172.21.157.6"/> <dnsDomain name="cisco.com" isDefault="yes"/> <dnsRsProfileToEpg tDn="uni/tn-mgmt/mgmtp-default/oob-default"/> </dnsProfile> |
ステップ 2 | アウトオブバンド管理テナント下で DNS ラベルを設定します。 例: POST URL: https://apic-IP-address/api/node/mo/uni/tn-mgmt/ctx-oob.xml <dnsLbl name="default" tag="yellow-green"/> |
ステップ 1 | デフォルトの DNS プロファイルの設定を確認します。 例: apic1# show running-config dns # Command: show running-config dns # Time: Sat Oct 3 00:23:52 2015 dns address 172.21.157.5 preferred address 172.21.157.6 domain company.local default use-vrf oob-default exit |
ステップ 2 | DNS ラベルの設定を確認します。 例: apic1# show running-config tenant mgmt vrf context oob # Command: show running-config tenant mgmt vrf context oob # Time: Sat Oct 3 00:24:36 2015 tenant mgmt vrf context oob dns label default exit exit |
ステップ 3 | 適用された設定がファブリック コントローラで動作していることを確認します。 例: apic1# cat /etc/resolv.conf # Generated by IFC nameserver 172.21.157.5 nameserver 172.21.157.6 |
ワイルドカード証明書(*.cisco.com など。複数のデバイス間で使用)およびそれに関連する他の場所で生成される秘密キーは、APIC ではサポートされません。これは、APIC に秘密キーまたはパスワードを入力するためのサポートがないためです。また、ワイルドカード証明書などのいかなる証明書の秘密キーもエクスポートできません。
証明書署名要求(CSR)を生成する前に、公開中間証明書とルート CA 証明書をダウンロードしてインストールする必要があります。ルート CA 証明書は技術的には CSR を生成するために必要ではありませんが、シスコでは、対象とする CA 機関と CSR への署名に使用される実物の間の不一致を防ぐために、CSR を生成する前にルート CA 証明書が必要です。APIC は、送信された証明書が設定されている CA によって署名されていることを確認します。
更新された証明書の生成に同じ公開キーと秘密キーを使用するには、次のガイドラインを満たす必要があります。
注意:ダウンタイムの可能性があるため、メンテナンス時間中にのみこのタスクを実行してください。ダウンタイムは外部ユーザまたはシステムからの APIC クラスタおよびスイッチへのアクセスには影響しますが、APIC とスイッチの接続には影響しません。スイッチ上の NGINX プロセスも影響を受けますが、外部接続のみでファブリックのデータ プレーンには影響ありません。APIC、設定、管理、トラブルシューティングなどへのアクセスは影響を受けることになります。この操作中にファブリック内のすべての Web サーバの再起動が予期されます。
適切な認証局を作成できるように、信頼できる証明書を取得する機関を決定します。
ステップ 1 | メニュー バーで、 の順に選択します。 | ||
ステップ 2 | [Navigation] ペインで、 の順に選択します。 | ||
ステップ 3 | [Work] ペインで、 の順に選択します。 | ||
ステップ 4 | [Create Certificate Authority] ダイアログボックスの [Name] フィールドに、認証局の名前を入力します。 | ||
ステップ 5 | [Certificate Chain] フィールドに、Application Policy Infrastructure Controller(APIC)の証明書署名要求(CSR)に署名する認証局の中間証明書およびルート証明書をコピーします。
-----BEGIN CERTIFICATE----- <Intermediate Certificate> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <Root CA Certificate> -----END CERTIFICATE----- | ||
ステップ 6 | [Submit] をクリックします。 | ||
ステップ 7 | [Navigation] ペインで、 の順に選択します。 | ||
ステップ 8 | [Work] ペインで、 の順に選択します。 | ||
ステップ 9 | [Create Key Ring] ダイアログボックスで、[Name] フィールドに、名前を入力します。 | ||
ステップ 10 | [Certificate] フィールドには、コンテンツを追加しないでください。 | ||
ステップ 11 | [Modulus] フィールドで、目的のキー強度のラジオボタンをクリックします。 | ||
ステップ 12 | [Certificate Authority] フィールドのドロップダウン リストから、前に作成した認証局を選択します。[Submit] をクリックします。
| ||
ステップ 13 | [Navigation] ペインで、 の順に選択します。 | ||
ステップ 14 | [Work] ペインで、 の順に選択します。 | ||
ステップ 15 | [Subject] フィールドに、APIC の完全修飾ドメイン名(FQDN)を入力します。 | ||
ステップ 16 | 必要に応じて、残りのフィールドに入力します。
| ||
ステップ 17 | [Submit] をクリックします。 [Navigation] ペインでは、前に作成したキー リングの下にオブジェクトが作成され、表示されます。[Navigation] ペインでそのオブジェクトをクリックすると、[Work] ペインの [Properties] 領域の [Request] フィールドにその CSR が表示されます。認証局に送信するコンテンツをフィールドからコピーします。 | ||
ステップ 18 | [Navigation] ペインで、 の順に選択します。 | ||
ステップ 19 | [Work] ペインの [Certificate] フィールドに、認証局から受信した署名付き証明書を貼り付けます。 | ||
ステップ 20 | [Submit] をクリックします。
| ||
ステップ 21 | メニュー バーで、 の順に選択します。 | ||
ステップ 22 | [Navigation] ペインで、 の順に選択します。 | ||
ステップ 23 | [Work] ペインの [Admin Key Ring] ドロップダウン リストで目的のキー リングを選択します。 | ||
ステップ 24 | [Submit] をクリックします。 すべての Web サーバが再起動されます。証明書がアクティブになり、デフォルト以外のキー リングが HTTPS アクセスに関連付けられています。 |
証明書の失効日には注意しておき、期限切れになる前に対応する必要があります。更新された証明書に対して同じキー ペアを維持するには、CSR を維持する必要があります。これは、CSR にはキー リング内の秘密キーとペアになる公開キーが含まれているためです。証明書が期限切れになる前に、同じ CSR を再送信する必要があります。キー リングを削除すると、APIC に内部的に保存されている秘密キーも削除されるため、新しいキー リングの削除または作成は行わないでください。