シスコ アプリケーション セントリック インフラストラクチャの基本
管理ツール
管理ツール

管理ツール

この章の内容は、次のとおりです。

管理ツール

Cisco アプリケーション セントリック インフラストラクチャ(ACI)のツールは、ファブリックの管理者、ネットワーク エンジニア、および開発者がテナントおよびアプリケーションの導入を開発、設定、デバッグおよび自動化するのに役立ちます。

管理 GUI について

次の管理 GUI の機能により、ファブリックおよびそのコンポーネント(リーフとスパイン)にアクセスできます。

  • 世界共通の Web 標準(HTML5)に基づく。 インストーラまたはプラグインは必要ありません。

  • モニタリング(統計情報、障害、イベント、監査ログ)、操作および設定データへのアクセス。

  • シングル サインオン メカニズムによる APIC とスパインおよびリーフ スイッチへのアクセス。

  • サードパーティが使用できる同じ RESTful API を使用した APIC との通信。

CLI について

CLI は、APIC、リーフおよびスパイン スイッチへの操作インターフェイスおよび設定インターフェイスを特徴としています。

  • Python で初めから実行され、Python インタープリタと CLI 間で切替えることができます。

  • 拡張性のプラグイン アーキテクチャ

  • 監視データ、操作データおよび構成データへのコンテキストベースのアクセス

  • Python コマンドまたはバッチ スクリプティングによる自動化

Visore 管理対象オブジェクト ビューア

Visore は、下の図に示すように、読み取り専用の管理情報ツリー(MIT)ブラウザです。 これにより、オプションのフィルタを使用して、識別名(DN)とクラスのクエリーが可能になります。
図 1. Visore MO ビューア



Visore 管理対象オブジェクト ビューアは次の場所にあります。http(s)://host[:port]/visore.html

管理情報モデルのリファレンス

管理情報モデル(MIM)には、システム内のすべての管理対象オブジェクトとそのプロパティが含まれます。 MIT 内のオブジェクトを検索するために管理者がどのように MIM を使用できるかに関する例については、次の図を参照してください。
図 2. MIM リファレンス



API インスペクタ

API インスペクタでは、APIC が GUI インタラクションを実行するために処理する REST API コマンドのリアルタイム表示が提供されます。 下の図は、API インスペクタが GUI の主要テナントのセクションに移動する場合に表示する REST API コマンドを示します。
図 3. API インスペクタ



ユーザ ログインのメニュー オプション

ユーザ ログインのドロップダウン メニューにより、複数の設定、診断、参照およびプリファレンスのオプションが提供されます。 次の図は、このドロップダウン メニューを示します。
図 4. ユーザ ログインのメニュー オプション



オプションには次のものが含まれます。

  • ユーザ パスワード、SSH キー、X509 証明書を変更、およびログインしたユーザの権限を表示するための AAA オプション。

  • [Show API Inspector] では、API インスペクタが開きます。

  • [API Documentation] では、管理情報モデルの参照を開きます。

  • リモート ロギング。

  • デバッグ情報。

  • ソフトウェアの現在のバージョン番号について。

  • GUI を使用するためのプリファレンスの設定。

  • システムを終了するためのログアウト。

MIT 内のオブジェクトの検索

Cisco ACI は情報モデルベースのアーキテクチャ(管理情報ツリー(MIT))を使用しており、管理プロセスによって制御できるすべての情報がモデルによって説明されます。 オブジェクト インスタンスは管理対象オブジェクト(MO)と呼ばれます。

次の図は、任意の MO インスタンスを一意的に表す識別名と、親 MO の下にある MO をローカル的に表す相対名を示します。 MIT 内のオブジェクトはすべて、ルート オブジェクトの下に存在します。
図 5. MO の識別名と相対名



システム内のすべての MO は固有の識別名(DN)によって識別されます。 このアプローチにより、グローバルにオブジェクトを参照できます。 またオブジェクトの識別名のほか、各オブジェクトを相対名(RN)で参照することもできます。 相対名は、親オブジェクトに対して相対的にオブジェクトを識別します。 指定されたオブジェクトの識別名は、親オブジェクトの識別名に相対名を加えることで取得できます。

DN は、オブジェクトを一意的に識別する一連の相対名です。

dn = {rn}/{rn}/{rn}/{rn}
dn =”sys/ch/lcslot-1/lc/leafport-1”

識別名は URL に直接マッピングされます。 MIT 内におけるオブジェクトの現在位置に応じて、相対名または識別名のいずれかを使用してオブジェクトにアクセスできます。

ツリーは階層型で構成され、属性システムを使用してオブジェクト クラスを識別できるため、さまざまな方法で管理対象オブジェクトの情報を取得するためにツリー内を照会できます。 クエリは、識別名を使用してオブジェクト自体に対して実行するか、スイッチ シャーシなどのオブジェクトのクラスに対して実行するか、ツリー レベルで実行してオブジェクトのすべてのメンバーを検出できます。

ツリーレベルのクエリ

次の図は、クエリー対象の 2 つのシャーシをツリー レベルで示しています。
図 6. ツリーレベルのクエリ



どちらのクエリも、参照されたオブジェクトと、その子オブジェクトを返します。 このアプローチは、大規模なシステムのコンポーネントを検出するために役立ちます。 この例では、クエリーにより指定されたスイッチ シャーシのカードとポートが検出されます。

クラスレベル クエリー

次の図は、2 番目のクエリー タイプ、クラスレベル クエリーを示します。
図 7. クラスレベル クエリー



クラスレベル クエリーは、任意のクラスのオブジェクトをすべて返します。 このアプローチは、MIT で使用できる特定のタイプのオブジェクトをすべて検出する場合に役立ちます。 この例で使用しているクラスはカードで、カード タイプのすべてのオブジェクトを返します。

オブジェクトレベル クエリー

3 つ目のクエリ タイプはオブジェクトレベル クエリです。 オブジェクトレベル クエリでは、識別名を使用して特定のオブジェクトを返します。 次の図は、2 つのオブジェクトレベル クエリーを示しており、1 つはノード 1/シャーシ 2、もう 1 つはノード 1/シャーシ 1/カード 1/ポート 2 を照会しています。
図 8. オブジェクトレベル クエリー



すべての MIT クエリーで、管理者はサブツリー全体またはサブツリーの一部を返すよう選択できます。 また、システム内のロールベース アクセス コントロール(RBAC)メカニズムによって、返されるオブジェクトが決まります。必ず、ユーザが表示権限を持つオブジェクトのみが返されます。

管理対象オブジェクトのプロパティ

Cisco ACI の管理対象オブジェクトには、管理対象オブジェクトを定義するプロパティが含まれています。 管理対象オブジェクトのプロパティはチャンクに分割され、オペレーティング システム内でプロセスによって管理されます。 オブジェクトには、複数のプロセスがアクセスする場合があります。 これらのプロパティはすべて実行時にまとめてコンパイルされ、単一のオブジェクトとしてユーザに提示されます。 次の図は、この関係の例を示します。
図 9. 管理対象オブジェクトのプロパティ



オブジェクトの例には、オブジェクト内のプロパティ チャンクに書き込むプロセスが 3 つあります。 Cisco APIC(つまりユーザ)とオブジェクトとの間のインターフェイスとなるデータ管理エンジン(DME)、ポートの構成を処理するポート マネージャ、およびスパニング ツリー プロトコル(STP)のすべてが、このオブジェクトのチャンクとやりとりします。 APIC は、実行時にコンパイルされる単一のエンティティとしてオブジェクトをユーザに提示します。

REST インターフェイスによるオブジェクト データへのアクセス

REST は、World Wide Web などの分散型システム用ソフトウェア アーキテクチャの形式で、 形式がシンプルであるため、Simple Object Access Protocol(SOAP)や Web サービス記述言語(WSDL)など、その他の設計モデルに代わって採用される機会が増えています。 Cisco APIC は REST インターフェイスをサポートしており、Cisco ACI ソリューション全体へのプログラムを通じたアクセスを実現します。

Cisco ACI のオブジェクトベース情報モデルは、REST インターフェイスに非常にうまく適合しています。URL と URI は識別名に直接マッピングされ、MIT 上のオブジェクトを識別でき、MIT 上のデータを XML または JSON 形式でエンコードされた自己完結型の構造化テキスト ツリー ドキュメントとして記述できます。 オブジェクトには、識別名とプロパティを使用して識別される親子関係があり、この関係は一連の作成、読み取り、更新、および削除(CRUD)操作によって読み取りと変更が可能です。

オブジェクトにアクセスするには、明確に定義されたアドレスである REST URL を使用します。Cisco APIC オブジェクト データを取得および操作するには標準の HTTP コマンドを使用します。 使用できる URL の形式は次のとおりです。

<system>/api/[mo|class]/[dn|class][:method].[xml|json]?{options}

URL の前に指定する各構成要素は、次のとおりです。

  • system:システム識別子、IP アドレスまたは DNS で解決可能なホスト名

  • mo | class:これが MIT 内の MO かまたはクラスレベルのクエリーかどうかの表示

  • class:照会するオブジェクトの MO クラス(情報モデルでの指定に従う)。クラス名は、<pkgName><ManagedObjectClassName> で表されます。

  • dn:照会するオブジェクトの識別名(MIT 内のオブジェクトの一意の階層名)

  • method:オブジェクトに対して呼び出すメソッドの指定(オプション)。HTTP POST リクエストにのみ適用されます。

  • xml | json:エンコード形式

  • options:クエリー オプション、フィルタ、引数

REST URL で個々のオブジェクトまたはオブジェクト クラスのアドレスを指定してアクセスできる機能により、管理者はオブジェクト ツリー全体、つまりシステム全体にプログラムを通じて完全にアクセスできます。

次に、REST クエリーの例を示します。

  • テナント solar 下のすべての EPG と障害を検索する。

    http://192.168.10.1:7580/api/mo/uni/tn-solar.xml?query-target=subtree&target-subtree-class=fvAEPg&rsp-subtree-include=faults
  • フィルタされた EPG クエリー

    http://192.168.10.1:7580/api/class/fvAEPg.xml?query-target-filter=eq(fvAEPg.fabEncap,%20"vxlan-12780288")

エクスポート/インポートの設定

すべての APIC ポリシーおよび設定データは、バックアップの作成のためにエクスポートできます。 これは、エクスポート ポリシーを使用して設定でき、リモート サーバにスケジュール バックアップまたは即時バックアップできます。 スケジュール バックアップは、定期バックアップ ジョブまたは繰り返しバックアップ ジョブを実行するように設定できます。 デフォルトでは、すべてのポリシーおよびテナントがバックアップされますが、管理者は任意に管理情報ツリーの特定のサブツリーのみを指定できます。 バックアップは、インポート ポリシーによって APIC にインポートでき、システムを以前の設定に復元できます。

次の図は、エクスポート ポリシーを設定するプロセスがどのように動作するかを示します。
図 10. エクスポート ポリシーを設定するワークフロー



APIC はこのポリシーを次のように適用します。

  • 完全なシステム構成のバックアップは月に一度実行されます。

  • バックアップは BigBackup FTP サイトに XML 形式で保存されます。

  • ポリシーがトリガーされます(有効です)。

次の図は、インポート ポリシーを設定するプロセスがどのように動作するかを示します。
図 11. インポート ポリシーを設定するワークフロー



APIC はこのポリシーを次のように適用します。

  • 毎月のバックアップから完全なシステム構成の復元を実行するためのポリシーが作成されます。

  • 復元アトミック モードは、無効な設定をシャードにインポートしようとするとシャード全体をスキップします。

  • ポリシーはトリガーされません(使用できますが、アクティブ化されていません)。

インポート ポリシーは次のオプションをサポートしています。

アクション

  • [Merge]:インポートされた設定は、既存の設定とマージされます。

  • [Replace]:インポートされた設定は、既存の設定と置き換わります。 以前にインポートされたファイルに存在しない既存の設定データが削除されます。

モード

  • [Atomic]:すべての設定データをインポートしようとします。 インポートできないオブジェクトがある場合、シャードへのインポート操作が失敗します。

  • [Best-effort]:すべての設定をインポートしようとしますが、インポートできないオブジェクトは無視します。

テクニカル サポート、統計情報、コア

管理者は、APIC 内で、コア ファイルとデバッグ データを処理するために、統計情報、テクニカル サポートの収集、障害およびイベントをファブリック(APIC およびスイッチ)から外部ホストにエクスポートするようエクスポート ポリシーを設定できます。 エクスポートは XML、JSON、Web ソケット、SCP、HTTP などのさまざまな形式にできます。 エクスポートはサブスクライブでき、定期的またはオンデマンドでストリーミングできます。

管理者は、転送プロトコル、圧縮アルゴリズム、転送の頻度などポリシーの詳細を設定できます。 ポリシーは、AAA を使用して認証されたユーザによって設定できます。 実際の転送のセキュリティ メカニズムは、ユーザ名とパスワードに基づいています。 内部的に、ポリシー要素はデータのトリガーを処理します。