Cisco UCS Director アプリケーション コンテナ ガイド リリース 5.1
概要
概要

概要

この章は、次の内容で構成されています。

前提条件

Cisco Virtual Security Gateway(VSG)を使用するアプリケーション コンテナを正常に作成するには、次の前提条件を満たす必要があります。

  • Cisco VSG と外部ゲートウェイのパブリック IP アドレスを入力する必要があります。

  • コンピューティング ポリシーで、すべてのホストを Cisco Nexus 1000 シリーズ スイッチと関連付ける必要があります。
  • ストレージ ポリシーで、Cisco Nexus 1000 シリーズ スイッチの(関連付けられた)ホストに関連付けられたデータストアを選択する必要があります。
  • VLAN(IP アドレス)範囲のすべての設定を Cisco Nexus 1000 シリーズ スイッチで事前に設定する必要があります。

アプリケーション コンテナについて

アプリケーション コンテナは内部プライベート ネットワークを使用する仮想マシン(VM)の集合で、管理者によって規定されたルールに基づいています。 アプリケーション コンテナには 1 つ以上の VM があり、外部またはパブリック クラウドに対してフェンシング ゲートウェイ(例、Virtual Secure Gateway)によって保護されています。 Cisco UCS Director はアプリケーション コンテナをサポートし、1 つ以上のフェンスド ネットワークと VM を使用するコンテナ テンプレートを定義できます。 アプリケーション コンテナをテンプレートから作成する場合は、Cisco UCS Director は自動で VM を導入し、ネットワークとファイアウォールを設定します。 Cisco UCS Director はレイヤ 2 変更の仮想スイッチと物理スイッチも自動で設定します。

(注)  


Cisco UCS Director リリース 4.1 以前のアプリケーション コンテナはフェンスド コンテナと呼ばれていました。

(注)  


Virtual Secure Gateway(VSG)環境用のコンテナの作成に関する情報については、アプリケーション コンテナへの VSG の統合 を参照してください
.

アプリケーション コンテナ タイプ

さまざまな展開シナリオで使用する複数のアプリケーション コンテナ タイプがあります。

  • フェンスド仮想:VM で使用するアプリケーション コンテナの最も一般的なタイプ。

  • Virtual Secure Gateway(VSG):仮想環境のセキュリティを強化するために使用するコンテナ タイプ。

  • Dynamic Fabric Automation(DFA):DFA ネットワーク展開で使用するタイプ。 DFA ネットワークのアプリケーション コンテナに関する詳細は、『Cisco UCS Director Dynamic Fabric Automation Management Guide』を参照してください。

  • Virtual Applications Container Service(VACS)コンテナ:Cisco Virtual Application Container Services 展開で使用するタイプ。 詳細については、『Cisco VACS Application Container Services Configuration Guide』を参照してください。

  • Application Centric Infrastructure Controller(APIC)コンテナ:APIC 展開で使用するタイプ。 詳細については、『Cisco UCS Director APIC Management Guide』を参照してください。

アプリケーション コンテナの表示

メニュー バーから、[ポリシー] > [アプリケーション コンテナ] を選択します。

アプリケーション コンテナはカラー スキームを使用してコンテナのステータスを識別します。

  • 緑:すべての VM の電源がオンになっているか、GW VM が起動しており、内部 VM の電源がオン/オフです。

  • オレンジ:GW VM のみがダウンし、VM のいずれかの電源がオンになっています。

  • 青:コンテナのプロビジョニングが進行中です。

  • グレー:コンテナは VM が空です。

  • 赤:すべての VM の電源がオフです。


ASA ゲートウェイを使用するコンテナのセキュリティ

次の図と表で、ASA ゲートウェイ(ファイアウォール)を使用するアプリケーション コンテナの例を説明します。
図 1. ASA ゲートウェイ(ファイアウォール)を使用するセキュアなアプリケーション コンテナの例



Region

説明

1

管理者が指定したルールを使用する 1 つ以上の内部ネットワーク。

2

1 つ以上のネットワークに接続された 1 つ以上の VM。

3

フェンシング ゲートウェイ(ファイアウォール)。 この例では、Adaptive Security Appliance(ASA)を使用しています。 ASA では、内部システムおよびアプリケーションそれぞれに対して明示的に設定を行わなくても、単方向(内部から外部へ)の接続が可能です。

4

パブリック/外部ネットワーク

ASA ゲートウェイを使用するアプリケーション コンテナを作成して管理するためにはいくつかの手順を実行します。

  1. ゲートウェイ ポリシーの定義:ゲートウェイ ポリシーで、コンテナのゲートウェイ タイプとゲートウェイを導入するクラウド アカウント(vCenter)を定義する必要があります。

  2. アプリケーション コンテナ テンプレートの定義:コンテナを作成するクラウド アカウントといくつかの他のタスクを定義する必要があります。

    • ネットワークの設定

    • コンテナの VM の追加

    • ポート マッピングと発信アクセス コントロール リスト(ACL)の定義

    • ゲートウェイ ポリシー(先に作成)の選択

    • VM プロビジョニングを定義する導入ポリシーの選択

    • コンテナのセルフサービス オプションの選択

    • ワークフローの選択(オプション)

  3. 定義済みコンテナ テンプレートからアプリケーション コンテナの作成:手順 2 で定義されたテンプレートからアプリケーション コンテナを作成します。 コンテナを作成するグループを選択する必要があります。

  4. アプリケーション コンテナ:アプリケーション コンテナを作成後、コンテナの電源管理、コンテナへの VM の追加、コンテナの複製または削除、VM のコンソールを開いてレポートの表示など、各種管理アクションを実行できます。

Cisco Virtual Security Gateway を使用するコンテナのセキュリティ

図 2. Cisco VSG を使用するアプリケーション コンテナの例

Region

説明

1

管理者が指定したルールを使用する 1 つ以上の内部ネットワーク。

2

1 つ以上のネットワークに接続された 1 つ以上の VM。

3

フェンシング ゲートウェイ(ファイアウォール)。 この例では、Adaptive Security Appliance(ASA)を使用しています。 ASA では、内部システムおよびアプリケーションそれぞれに対して明示的に設定を行わなくても、単方向(内部から外部へ)の接続が可能です。

4

Cisco Prime Network Security Controller(PNSC)は、オーバーレイ ネットワークの導入に貢献し、ネットワーク サービスの挿入を促進し、プライベート クラウドとパブリック クラウド間での仮想マシンの移動を可能にします。

5

パブリック/外部ネットワーク

Cisco VSG を使用するセキュアなアプリケーション コンテナを作成して管理するためにはいくつかの手順を実行します。

  1. PNSC アカウントの作成

  2. PNSC レポートの表示

  3. PNSC ファイアウォール ポリシーの作成

  4. アプリケーション コンテナへの Cisco VSG の統合:このプロセスは複数のタスクから構成されます。

    • OVF ファイルのアップロード

    • OVF ファイルの導入

    • Cisco VSG 用アプリケーション コンテナ テンプレートの作成

ネットワーク デバイス管理の Orchestrator タスク

Cisco UCS Director には Orchestrator 機能があり、1 つ以上のワークフローでネットワーク ドメイン タスクの自動設定および管理が行えます。

ネットワーク デバイスの Orchestrator タスクの完全なリストは、ワークフロー デザイナとタスク ライブラリで入手できます。

Cisco UCS Director の Orchestrator に関する詳細は、『Cisco UCS Director Orchestration Guide』を参照してください。

Cisco VXLAN のアプリケーション コンテナ サポート

Cisco UCS Director は、アプリケーション コンテナ内での VXLAN の使用をサポートします。 Cisco VXLAN は、24 ビットのセグメント ID を使用して VLANS の 4K の制限を超えて拡張する、レイヤ 2 ネットワーク分離テクノロジーです。 VXLAN テクノロジーは、IP カプセル化で MAC とオーバーレイ アプローチを使用することによって、LAN セグメントを作成します。 仮想イーサネット モジュール(VEM)が仮想マシン(VM)からの元のレイヤ 2 フレームをカプセル化します。
図 3. VXLAN カプセル化フレーム形式

ネットワークで送信される MAC フレームをカプセル化する際に、送信元 IP アドレスとして使用する IP アドレスが各 VEM に割り当てられます。 これは、各 VEM で仮想ネットワーク アダプタ(VMKNIC)を作成することにより実現されます(次の図を参照)。 複数の VMKNIC を設定して、このカプセル化トラフィックに使用することができます。 カプセル化は、ペイロード フレームの MAC アドレスのスコープに使用される VXLAN 識別子を伝送します。
図 4. VXLAN 機能を備えた VEM VMKNIC インターフェイス

接続された VXLAN は vNIC のポート プロファイル コンフィギュレーション内で指定され、VM の接続時に適用されます。 各 VXLAN は、割り当てられた IP マルチキャスト グループを使用して、VXLAN セグメント内でブロードキャスト トラフィックを伝送します。 VM が VEM に接続する際、それが VEM 上の特定の VXLAN セグメントに最初に参加する VM である場合は、Internet Group Management Protocol(IGMP)の参加が VXLAN の割り当て済みマルチキャスト グループに対して発行されます。 VM がネットワーク セグメントでパケットを送信する際、フレームの宛先 MAC および VXLAN 識別子を使用してレイヤ 2 テーブルでルックアップが行われます。 フレームの宛先 MAC と VXLAN 識別子を使用したレイヤ 2 テーブルでのルックアップの結果がヒットの場合、 レイヤ 2 テーブル エントリにはフレームをカプセル化するために使用するリモート IP アドレスが含まれます。この場合、フレームはリモート IP アドレス宛ての IP パケットに格納されて送信されます。 結果が失敗(ブロードキャスト/マルチキャストまたは不明なユニキャスト)の場合、フレームは、宛先 IP アドレスが VXLAN セグメントの割り当て済み IP マルチキャスト グループに設定されてカプセル化されます。

(注)  


VXLAN 形式がサポートされるのは、Cisco Nexus 1000V シリーズ スイッチのみです。


ASAv ゲートウェイ サポート

Cisco UCS Director では、ASAv ゲートウェイを利用するアプリケーション コンテナを作成できます。 Cisco Adaptive Security Virtual Appliance(ASAv)は、従来の階層型データセンターの展開と シスコ アプリケーション セントリック インフラストラクチャ(ACI)環境のファブリック ベースの展開の両方をサポートします。 ASAv は、物理環境、仮想環境、アプリケーション セントリック環境、SDN 環境、およびクラウド環境の全体にわたり、一貫したトランスペアレントなセキュリティをサポートします。 ASAv は、セキュアなデータセンター トラフィックおよびマルチテナント アーキテクチャを支援するために、仮想化された環境に完全なファイアウォール機能をもたらします。 ASAv はデータセンター環境向けに最適化されているので 、vSwitch をサポートします。 したがって ASAv をシスコのデータセンター、ハイブリッド データセンター、さらにはシスコ以外のデータセンターに展開することができ、管理オーバーヘッドは大幅に削減され、柔軟性および運用効率を向上させることができます。 ACI 展開では、Cisco Application Policy Infrastructure Controller(APIC)により、ネットワークとセキュリティの両方を一元管理できます。 分散インストラクチャ全体を統合したビューで、サービスとしての ASAv セキュリティのプロビジョニング、ポリシー管理、および環境全体のモニタリングを行うことができます。