Cisco Nexus 1000V ポート プロファイル コンフィギュレーション ガイド リリース 4.2(1)SV2(1.1)
ポート プロファイル可視性の制限
ポート プロファイル可視性の制限
発行日;2013/01/10   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

ポート プロファイル可視性の制限

この章は、次の内容で構成されています。

ポート プロファイル可視性の制限について

ポート プロファイルの可視性について

Cisco Nexus 1000V 上の特定のポート グループに対する可視性を持つ vCenter ユーザまたはユーザ グループを制限できます。

ポート グループの可視性を制限するには、どの vCenter ユーザおよびユーザ グループが vCenter Server の Cisco Nexus 1000V DVS 最上位フォルダにアクセスできるかをサーバ管理者が定義する必要があります。 これが完了すると、ネットワーク管理者はさらに VSM の特定のポート グループの可視性を定義できます。 VSM のこの設定が vCenter Server にパブリッシュされて、特定のポート グループに対するアクセスが制限されるようになります。

グループまたはユーザの許可について

VSM 上でユーザごとにアクセスを定義する時間を節約するには、代わりに、アクセスが定義済みの vCenter のグループに新しいユーザを追加します。 vCenter で定義されたグループ メンバーには、グループに対して定義されているポート グループへのアクセス権が自動的に付与されます。

次の図に、vCenter Server のユーザおよびグループと Cisco Nexus 1000V のポート プロファイルおよびポート プロファイル ロールとの関係を示します。
図 1. ポート プロファイルの可視性:ユーザ、グループ、ロール、およびポート プロファイル



ポート プロファイル可視性の制限に関する注意事項と制約事項

  • サーバ管理者は、DVS からより低いフォルダにアクセスを伝播しません。 代わりに、ポート グループ アクセスがネットワーク管理者によって VSM 上で定義され、次に vCenter Server にパブリッシュされます。
  • ポート プロファイル ロールの作成や割り当ての前に、Cisco Nexus 1000V VSM が vCenter Server に接続している必要があります。 ポート プロファイルの可視性が VSM で更新されたときにこの接続が存在しない場合、vCenter サーバにはパブリッシュされず、影響を受けません。
  • 次に、VSM 上のポート プロファイル ロールに関する注意事項を示します。
    • ポート プロファイル ロールにポート プロファイルが割り当てられている場合は、そのロールは削除できません。 最初にロールをポート プロファイルから削除する必要があります。
    • 複数のグループおよびユーザを 1 つのロールに割り当てることができます。
    • 1 つのポート プロファイルには 1 つのロールだけを割り当てることができます。
    • 1 つのロールを複数のポート プロファイルに割り当てることができます。
  • VSM ごとに最大 256 個のポート プロファイル ロールを定義できます。
  • ロールごとに合計 16 のユーザおよびグループを定義できます。

vSphere Client での DVS アクセスの定義

サーバ管理者は、この手順を使用すると、vSphere Client のトップ レベルの Cisco Nexus 1000V DVS フォルダへのアクセスを許可することができます。

はじめる前に
  • vSphere クライアントにログインしていること。
  • どのユーザまたはグループが DVS にアクセスする必要があるかがわかっていること。
  • この手順では、だれが Cisco Nexus 1000V DVS にアクセスできるかを定義します。 個々のポート グループへのアクセスは VSM で、VSM でのポート プロファイル可視性の制限を使用して行われます。
手順
    ステップ 1   [vSphere Client] ウィンドウで、次の手順を実行します。
    1. [Inventory] > [Networking] を選択します。
    2. [Add Permission] を選択します。
    図 2. vSphere クライアント ウィンドウ



    ステップ 2   [Select Users and Groups] ウィンドウで、次の手順を実行します。
    1. ユーザおよびグループのリストから名前を選択します。
    2. [Add] をクリックします。
    3. [OK] をクリックします。
    図 3. [Select Users and Groups] ウィンドウ



    ステップ 3   [Assign Permission] ウィンドウで、次の手順を実行します。
    1. [Assigned Role] 選択リストから、このユーザまたはグループのロールを選択します。
    2. [Propagate to Child Objects] チェックボックスがオフになっていることを確認します。
    3. [OK] をクリックします。
    図 4. [Assign Permissions] ウィンドウ



    ユーザは DVS オブジェクトへの同じアクセスが許可されます。 ここに示す例では、ユーザ Sean は DVS フォルダ オブジェクトと最終的に DVS オブジェクトへの読み取り専用アクセスが許可されます。

    (注)     

    ここでロール定義を伝播させないでください。 具体的なポート グループ アクセスは、VSM で設定され、その設定が vSphere Client にプッシュされます。


    ユーザは、これで、割り当てられたロールに基づいて、トップ レベルの Cisco Nexus 1000V DVS フォルダにアクセスできるようになりました。


    (注)  


    アクセスを特定のポート グループだけに制限するには、VSM でのポート プロファイル可視性の制限に進みます。


    ポート プロファイル ロール機能のイネーブル化

    はじめる前に

    EXEC モードで CLI にログインしていること。

    手順
       コマンドまたはアクション目的
      ステップ 1switch# configure terminal 

      グローバル コンフィギュレーション モードを開始します。

       
      ステップ 2switch(config)# feature port-profile-role  

      ユーザおよびグループのアクセスを制限するためのポート プロファイル ロール機能をイネーブルにします。

       
      ステップ 3switch(config)# show feature   (任意)

      確認のためにコンフィギュレーションを表示します。

       
      ステップ 4switch(config)# copy running-config startup-config  (任意)

      リブートおよびリスタート時に実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーして、変更を永続的に保存します。

       

      次の例では、ポート プロファイル ロール機能をイネーブルにする方法を示します。

      switch# configure terminal
      switch(config)# feature port-profile-role adminUser
      switch(config)# show feature
      Feature Name          Instance  State   
      --------------------  --------  --------
      dhcp-snooping         1         enabled 
      http-server           1         enabled 
      ippool                1         enabled 
      lacp                  1         enabled 
      lisp                  1         enabled 
      lisphelper            1         enabled 
      netflow               1         disabled
      port-profile-roles    1         enabled 
      private-vlan          1         disabled
      sshServer             1         enabled 
      tacacs                1         enabled 
      telnetServer          1         enabled 
      switch(config)# copy running-config startup-config

      VSM でのポート プロファイル可視性の制限

      ネットワーク管理者は、この手順を使用すると、VSM でのポート プロファイル可視性を制限するためのロールを作成できます。作成したロールは、vCenter Server にプッシュされます。

      はじめる前に
      • EXEC モードで CLI にログインしていること。
      • 作成するロールへのアクセス権をどのユーザまたはグループに付与するかがわかっていること。
      • このロールに割り当てるユーザとグループがすでに vCenter で作成されており、VSM が存在する Cisco Nexus 1000V DVS フォルダへのアクセス権が付与されていること。 vSphere Client での DVS アクセスの定義を参照してください。
      • ポート プロファイル ロール機能のイネーブル化を使用してポート プロファイル ロール機能をイネーブル化済みであること。
      • このロールに必要な特性を確認済みであること。
        • ロール名
        • ロールの説明
        • 割り当てるユーザ
        • 割り当てるグループ
        • 割り当てるポート プロファイル
      手順
         コマンドまたはアクション目的
        ステップ 1switch# configure terminal 

        グローバル コンフィギュレーション モードを開始します。

         
        ステップ 2switch(config)# port-profile-role role-name 

        指定したロールのポート プロファイル ロール コンフィギュレーション モードを開始します。 このロールがまだ存在しない場合は、次の特性を使用して作成されます。

        • role-name:ロール名は最大 32 文字で、Cisco Nexus 1000V 上の各ロールに対して一意である必要があります。
         
        ステップ 3switch(config-port-prof-role)# description role-description   (任意)

        ロールに最大 32 文字の説明を追加します。 この説明は、自動的に vCenter Server にプッシュされます。

         
        ステップ 4switch(config-port-prof-role)# show port-profile-role users  (任意)

        vCenter Server のユーザのうち、DVS 親フォルダにアクセスでき、ロールに割り当てることのできるユーザがすべて表示されます。

         
        ステップ 51 つ以上の user または group のロールを入力します。  (任意)
        ユーザまたはグループをロールに割り当てます。 そのユーザまたはグループは、ロールに割り当てられているすべてのポート プロファイルを使用できるようになります。
        • switch(config-port-prof-role)# user user-name
        • switch(config-port-prof-role)# group group-name
        (注)     

        複数のグループおよびユーザを 1 つのロールに割り当てることができます。

        ユーザおよびグループは、vCenter Server に存在し、vSphere Client のトップ レベルの Cisco Nexus 1000V DVS フォルダにアクセスできる必要があります。 詳細については、vSphere Client での DVS アクセスの定義を参照してください。

         
        ステップ 6switch(config-port-prof-role)# exit 

        ポート プロファイル ロール コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。

         
        ステップ 7switch(config)# port-profile profile-name 

        名前付きポート プロファイルのポート プロファイル コンフィギュレーション モードを開始します。

         
        ステップ 8switch(config-port-prof)# assign port-profile-role role-name 

        ポート プロファイルにロールを割り当てます。 ポート グループは vCenter Server で更新され、このロールに割り当てられたユーザまたはグループは、アクセスが許可されます。 ユーザまたはグループは、ポート グループを、仮想マシンの vNIC またはホストの vSWIF または vMKNIC に割り当てることができます。

        (注)     

        1 つのポート プロファイルには 1 つのロールだけを割り当てることができます。

        1 つのロールを複数のポート プロファイルに割り当てることができます。

         
        ステップ 9switch(config-port-prof)# show port-profile-role [name role-name]   (任意)

        確認のためにコンフィギュレーションを表示します。

         
        ステップ 10switch(config-port-prof)# copy running-config startup-config  (任意)

        リブートおよびリスタート時に実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーして、変更を永続的に保存します。

         

        次の例では、allaccess2 ポート プロファイルのアクセスを定義するために adminUser ポート プロファイル ロールを作成して割り当てる方法を示します。

        switch# configure terminal
        switch(config)# port-profile-role adminUser
        switch(config-port-prof-role)# description adminOnly
        switch(config-port-prof-role)# user hdbaar
        switch(config-port-prof-role)# exit
        switch(config)# port-profile allaccess2
        switch(config-port-prof)# assign port-profile-role adminUser
        switch(config-port-prof)# show port-profile-role name adminUser
        
        Name: adminUser
        Description: adminOnly
        Users:
            hdbaar (user)
        Assigned port-profiles:
            allaccess2
        switch(config-port-prof)# copy running-config startup-config

        ポート プロファイル ロールの削除

        この手順を使用すると、vCenter Server 上のポート プロファイルの可視性を制限するために使用されていたロールを削除できます。

        はじめる前に
        • EXEC モードで CLI にログインしていること。
        • ポート プロファイル ロールにポート プロファイルが割り当てられている場合は、そのロールは削除できません。 最初にロールをポート プロファイルから削除する必要があります。 この手順には、解除のステップも含まれています。
        手順
           コマンドまたはアクション目的
          ステップ 1switch# show port-profile-role [name role-name]   (任意)

          ポート プロファイル ロールを表示します。割り当てられているポート プロファイルも表示されます。 ロールに割り当てられたポート プロファイルがある場合は、そのポート プロファイルを削除しなければ、ロールを削除することはできません。

           
          ステップ 2switch# configure terminal 

          グローバル コンフィギュレーション モードを開始します。

           
          ステップ 3switch(config)# port-profile [type {ethernet | vethernet}] name 

          名前付きポート プロファイルのポート プロファイル コンフィギュレーション モードを開始します。 ポート プロファイルがない場合は、次の特性を使用して作成されます。

          • name:ポート プロファイル名は、最大 80 文字で、Cisco Nexus 1000V 上のポート プロファイルごとに一意である必要があります。
          • type:(任意)ポート プロファイル タイプはイーサネットまたは vEthernet です。 設定が完了すると、タイプは変更できません。 デフォルトは vEthernet タイプです。 ポート プロファイル タイプをイーサネットとして定義すると、ポート プロファイルを物理(イーサネット)ポートに使用できます。 vCenter Server では、対応するポート グループを選択し、物理ポート(PNIC)に割り当てることができます。
            (注)     

            ポート プロファイルを Ethernet タイプとして設定すると、VMware 仮想ポートの設定には使用できなくなります。

           
          ステップ 4switch(config-port-prof)# no assign port-profile-role role-name 

          ポート プロファイルからロールを削除します。 vCenter Server でポート グループが更新されます。

           
          ステップ 5switch(config-port-prof)# exit 

          ポート プロファイル コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。

           
          ステップ 6switch(config)# no port-profile-role role-name 

          VSM からロールを削除します。

           
          ステップ 7switch# show port-profile-role [name role-name]   (任意)

          ポート プロファイル ロールを表示します。割り当てられているポート プロファイルも表示されます。 ロールに割り当てられたポート プロファイルがある場合は、そのポート プロファイルを削除しなければ、ロールを削除することはできません。

           
          ステップ 8switch(config)# copy running-config startup-config  (任意)

          リブートおよびリスタート時に実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーして、変更を永続的に保存します。

           

          次の例では、ポート プロファイル ロールを削除する方法を示します。

          switch# show port-profile-role name adminUser
          Name: adminUser
          Description: adminOnly
          Users:
              hdbaar (user)
          Assigned port-profiles:
              allaccess2
          switch# configure terminal
          switch(config)# port-profile allaccess2
          switch(config-port-prof)# no assign port-profile-role adminUser
          switch(config-port-prof)# exit
          switch(config)# no port-profile-role adminUser
          switch(config)# show port-profile-role name adminUser
          switch(config)# copy running-config startup-config
          switch(config)# 

          ポート プロファイル可視性の制限の機能履歴

          ここでは、ポート プロファイル可視性の制限の機能履歴を示します。

          機能名

          リリース

          機能情報

          ポート プロファイル可視性の制限

          4.2(1)SV1(4)

          この機能が導入されました。