この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章の内容は、次のとおりです。
シスコ アプリケーション セントリック インフラストラクチャ(ACI)ファブリックにおいて、時刻の同期は、モニタリング、運用、トラブルシューティングなどの多数のタスクが依存している重要な機能です。クロック同期は、トラフィック フローの適切な分析にとって重要であり、複数のファブリック ノード間でデバッグとフォールトのタイム スタンプを関連付けるためにも重要です。
1 つ以上のデバイスでオフセットが生じると、多くの一般的な運用問題を適切に診断して解決する機能がブロックされる可能性があります。また、クロック同期によって、アプリケーションのヘルススコアが依存している ACI の内蔵アトミック カウンタ機能をフル活用できます。時刻同期が存在しない場合や不適切に設定されている場合でも、エラーやヘルススコアの低下が引き起こされるわけではありません。これらの機能を適切に使用できるように、ファブリックやアプリケーションを完全に展開する前に、時刻同期を設定する必要があります。デバイスのクロックを同期させる最も一般的な方法は、ネットワーク タイム プロトコル(NTP)を使用することです。
NTP を 設定する前に、どの管理 IP アドレス スキームを ACI ファブリックに配置するかを検討してください。すべての ACI ノードと Application Policy Infrastructure Controller(APIC)の管理を設定するために、インバンド管理とアウトオブバンド管理の 2 つのオプションがあります。ファブリックに対して選択した管理オプションに応じて、NTP の設定が異なります。時刻同期の展開に関するもう 1 つの考慮事項は、時刻源の場所です。プライベート内部時刻または外部パブリック時刻の使用を決定する際は、時刻源の信頼性について慎重に検討する必要があります。
(注) |
|
アウトオブバンド管理 NTP:ACI ファブリックをアウトオブバンド管理と共に展開する場合、ファブリックの各ノードは、スパイン、リーフ、および APIC クラスタの全メンバーを含めて、ACI ファブリックの外部から管理されます。この IP 到達可能性を活用することで、各ノードは一貫した時刻源として同じ NTP サーバに個々に照会することができます。NTP を設定するには、アウトオブバンド管理のエンドポイント グループを参照する日付時刻ポリシーを作成する必要があります。日付時刻ポリシーは 1 つのポッドに限定され、ACI ファブリック内のプロビジョニングされたすべてのポッドに展開する必要があります。現在は、ACI ファブリックあたり 1 つのポッドのみが許可されます。
インバンド管理 NTP:ACI ファブリックをインバンド管理と共に展開する場合は、ACI のインバンド管理ネットワーク内から NTP サーバへの到達可能性を検討します。ACI ファブリック内で使用されるインバンド IP アドレッシングには、ファブリックの外部から到達できません。インバンド管理されているファブリックの外部の NTP サーバを使用するには、その通信を可能にするポリシーを作成します。 インバンド管理ポリシーの設定に使用される手順は、アウトオブバンド管理ポリシーの確立に使用される手順と同じです。 違いは、ファブリックが NTP サーバに接続できるようにする方法です。
DHCP リレー ポリシーは、DHCP クライアントとサーバが異なるサブネット上にある場合に使用できます。クライアントが配置された vShield ドメイン プロファイルとともに ESX ハイパーバイザ上にある場合は、DHCP リレー ポリシー設定を使用することが必須です。
vShield コントローラが Virtual Extensible Local Area Network(VXLAN)を展開すると、ハイパーバイザ ホストはカーネル(vmkN、仮想トンネル エンドポイント(VTEP))インターフェイスを作成します。これらのインターフェイスは、DHCP を使用するインフラストラクチャ テナントで IP アドレスを必要とします。したがって、APIC が DHCP サーバとして動作しこれらの IP アドレスを提供できるように、DHCP リレー ポリシーを設定する必要があります。
ACI fabricは、DHCP リレーとして動作するときに、DHCP オプション 82(DHCP Relay Agent Information Option)を、クライアントの代わりに中継する DHCP 要求に挿入します。応答(DHCP オファー)がオプション 82 なしで DHCP サーバから返された場合、その応答はファブリックによってサイレントにドロップされます。したがって、ACI fabricが DHCP リレーとして動作するときは、ACI fabricに接続されたノードを計算するために IP アドレスを提供している DHCP サーバはオプション 82 をサポートする必要があります。
このタスク例のビデオを視聴するには、ビデオを掲載している Web ページ を参照してください。
アプリケーション EPG で使用されるポートおよびカプセル化は、物理または VM マネージャ(VMM)ドメインに属している必要があります。ドメインとのそのような関連付けが確立されていないと、APIC は EPG の展開を続行しますが、エラーを生成します。
Cisco APIC は、IPv4 と IPv6 の両方のテナント サブネットで DHCP リレーをサポートします。DHCP サーバ アドレスには IPv4 または IPv6 を使用できます。DHCPv6 リレーは、ファブリック インターフェイスで IPv6 が有効になっており、1 つ以上の DHCPv6 リレー サーバが設定されている場合にのみ、発生します。
レイヤ 2 またはレイヤ 3 管理接続が設定されていることを確認します。
アプリケーション EPG で使用されるポートおよびカプセル化は、物理または VM マネージャ(VMM)ドメインに属している必要があります。ドメインとのそのような関連付けが確立されていないと、APIC は EPG の展開を続行しますが、エラーを生成します。
Cisco APIC は、IPv4 と IPv6 の両方のテナント サブネットで DHCP リレーをサポートします。DHCP サーバ アドレスには IPv4 または IPv6 を使用できます。DHCPv6 リレーは、ファブリック インターフェイスで IPv6 が有効になっており、1 つ以上の DHCPv6 リレー サーバが設定されている場合にのみ、発生します。
レイヤ 2 またはレイヤ 3 管理接続が設定されていることを確認します。
1. APIC インフラストラクチャ トラフィックの DHCP サーバ ポリシー設定を設定します。
このタスクは、vShield ドメイン プロファイルを作成するユーザの前提条件です。
アプリケーション EPG で使用されるポートおよびカプセル化は、物理または VM マネージャ(VMM)ドメインに属している必要があります。ドメインとのそのような関連付けが確立されていないと、APIC は EPG の展開を続行しますが、エラーを生成します。
Cisco APIC は、IPv4 と IPv6 の両方のテナント サブネットで DHCP リレーをサポートします。DHCP サーバ アドレスには IPv4 または IPv6 を使用できます。DHCPv6 リレーは、ファブリック インターフェイスで IPv6 が有効になっており、1 つ以上の DHCPv6 リレー サーバが設定されている場合にのみ、発生します。
レイヤ 2 またはレイヤ 3 管理接続が設定されていることを確認します。
1. インフラストラクチャ テナントの DHCP サーバ ポリシーとして APIC を設定します。
DNS ポリシーは、ホスト名で外部サーバ(AAA、RADIUS、vCenter、サービスなど)に接続するために必要です。DNS サービス ポリシーは共有ポリシーであるため、このサービスを使用するすべてのテナントと VRF を特定の DNS プロファイル ラベルで設定する必要があります。ACI ファブリックの DNS ポリシーを設定するには、次のタスクを完了する必要があります。
管理 EPG が DNS ポリシー用に設定されていることを確認してください。設定されていない場合、このポリシーはスイッチで有効になりません。
DNS プロバイダーと DNS ドメインに関する情報が含まれる DNS プロファイル(デフォルト)を作成します。
DNS プロファイル(デフォルトまたは別の DNS プロファイル)の名前を必要なテナントで DNS ラベルに関連付けます。
テナントごと、VRF ごとの DNS プロファイル設定を設定することができます。適切な DNS ラベルを使用して、追加の DNS プロファイルを作成して、特定のテナントの特定の VRF に適用できます。たとえば、名前が acme の DNS プロファイルを作成する場合、テナント設定で acme の DNS ラベルを適切な
ポリシー設定に追加できます。次のように、サービスに対して外部宛先を設定します。
送信元 | インバンド管理 | アウトオブバンド管理 | 外部サーバの場所 | ||
---|---|---|---|---|---|
APIC |
IP アドレスまたは完全修飾ドメイン名(FQDN) |
IP アドレスまたは FQDN |
どこでも |
||
リーフ スイッチ |
IP アドレス |
IP アドレスまたは FQDN
|
どこでも |
||
スパイン スイッチ |
IP アドレス |
IP アドレスまたは FQDN
|
リーフ スイッチに直接接続されます |
次に示すのは、外部サーバのリストです。
Call Home SMTP サーバ
Syslog サーバ
SNMP トラップの宛先
統計情報のエクスポートの宛先
エクスポートの設定の宛先
Techsupport のエクスポートの宛先
コア エクスポートの宛先
推奨されるガイドラインは次のとおりです。
(注) |
このタスク例のビデオを視聴するには、ビデオを掲載している Web ページ を参照してください。 |
レイヤ 2 またはレイヤ 3 管理接続が設定されていることを確認します。
1. メニュー バーで、 ペインで、 を展開し、デフォルトの DNS プロファイルをクリックします。 を選択します。[Navigation]
2. [Work] ペインの [Management EPG] フィールドで、ドロップダウン リストから、適切な管理 EPG (デフォルト(Out-of-Band))を選択します。
3. [DNS Providers] を展開し、次の操作を実行します。
4. [DNS Domains] を展開し、次の操作を実行します。
5. [Submit] をクリックします。
6. メニュー バーで、 をクリックします。
7. [Navigation] ペインで、 の順に展開し、[oob] をクリックします。
8. [Work] ペインの [Properties] 下で、[DNS labels] フィールドに、適切な DNS ラベル(デフォルト)を入力します。[Submit] をクリックします。
ステップ 1 | メニュー バーで、 ペインで、 を展開し、デフォルトの DNS プロファイルをクリックします。 を選択します。[Navigation] |
ステップ 2 | [Work] ペインの [Management EPG] フィールドで、ドロップダウン リストから、適切な管理 EPG (デフォルト(Out-of-Band))を選択します。 |
ステップ 3 |
[DNS Providers] を展開し、次の操作を実行します。
|
ステップ 4 |
[DNS Domains] を展開し、次の操作を実行します。
|
ステップ 5 | [Submit] をクリックします。 DNS サーバが設定されます。 |
ステップ 6 | メニュー バーで、 をクリックします。 |
ステップ 7 | [Navigation] ペインで、 の順に展開し、[oob] をクリックします。 |
ステップ 8 | [Work] ペインの [Properties] 下で、[DNS labels] フィールドに、適切な DNS ラベル(デフォルト)を入力します。[Submit] をクリックします。 DNS プロファイル ラベルがテナントおよび VRF で設定されました。 |
ステップ 1 |
CLI で、ディレクトリを /aci に変更します。 例: admin@apic1:~> cd /aci |
ステップ 2 |
DNS サーバ ポリシーを設定します。 例: admin@apic1:~> cd /aci/fabric/fabric-policies/global-policies/dns-profiles admin@apic1:~> mocreate default admin@apic1:~> cd default/ admin@apic1:default> cd dns-providers/ admin@apic1:dns-providers> mocreate 172.21.157.5 preferred yes admin@apic1:dns-providers> mocreate 172.21.157.6 admin@apic1:dns-providers> cd ../dns-domains/ admin@apic1:dns-domains> mocreate company.local default yes admin@apic1:dns-domains> cd ../ admin@apic1:default> moset management-epg uni/tn-mgmt/mgmtp-default/oob-default admin@apic1:default> moconfig commit |
ステップ 3 |
DNS プロファイルを使用する任意の VRF 上で DNS プロファイル ラベルを設定します。 例: admin@apic1:default> cd /aci/tenants/mgmt/networking/vrf/oob/dns-profile-labels/ admin@apic1:dns-profile-labels> ls admin@apic1:dns-profile-labels> mocreate default admin@apic1:dns-profile-labels> cd default admin@apic1:default> moset tag yellow-green admin@apic1:default> moconfig commit |
レイヤ 2 またはレイヤ 3 管理接続が設定されていることを確認します。
1. DNS サービス ポリシーを設定します。
2. アウトオブバンド管理テナント下で DNS ラベルを設定します。
ステップ 1 |
DNS サービス ポリシーを設定します。 例: POST URL : https://apic-IP/api/node/mo/uni/fabric.xml <dnsProfile name="default"> <dnsProv addr="172.21.157.5" preferred="yes"/> <dnsProv addr="172.21.157.6"/> <dnsDomain name="cisco.com" isDefault="yes"/> <dnsRsProfileToEpg tDn="uni/tn-mgmt/mgmtp-default/oob-default"/> </dnsProfile> |
ステップ 2 |
アウトオブバンド管理テナント下で DNS ラベルを設定します。 例: POST URL: https://apic-IP/api/node/mo/uni/tn-mgmt/ctx-oob.xml <dnsLbl name="default" tag="yellow-green"/> |
ステップ 1 |
デフォルトの DNS プロファイルの設定を確認します。 例: admin@apic1:~> cd /aci/fabric/fabric-policies/global-policies/dns-profiles/default admin@apic1:default> cat summary # dns-profile name : default description : added via CLI by tdeleon@cisco.com ownerkey : ownertag : dns-providers: address preferred -------------- --------- 10.44.124.122 no 10.70.168.183 no 10.37.87.157 no 10.102.6.247 yes dns-domains: name default description --------- ------- ----------- cisco.com yes management-epg : tenants/mgmt/node-management-epgs/default/out-of-band/default |
ステップ 2 |
DNS ラベルの設定を確認します。 例: admin@apic1:default> cd /aci/tenants/mgmt/networking/private-networks/oob/dns-profile-labels/default admin@apic1:default> cat summary # dns-lbl name : default description : ownerkey : ownertag : tag : yellow-green |
ステップ 3 |
適用された設定がファブリック コントローラで動作していることを確認します。 例: admin@apic1:~> cat /etc/resolv.conf # Generated by IFC search cisco.com nameserver 10.102.6.247 nameserver 10.44.124.122 nameserver 10.37.87.157 nameserver 10.70.168.183 admin@apic1:~> ping www.cisco.com PING origin-www.cisco.com (72.163.4.161) 56(84) bytes of data. 64 bytes from www1.cisco.com (72.163.4.161): icmp_seq=1 ttl=238 time=35.4 ms 64 bytes from www1.cisco.com (72.163.4.161): icmp_seq=2 ttl=238 time=29.0 ms 64 bytes from www1.cisco.com (72.163.4.161): icmp_seq=3 ttl=238 time=29.2 ms |
ステップ 4 |
適用された設定がリーフおよびスパイン スイッチで動作していることを確認します。 例: leaf1# cat /etc/resolv.conf search cisco.com nameserver 10.102.6.247 nameserver 10.70.168.183 nameserver 10.44.124.122 nameserver 10.37.87.157 leaf1# cat /etc/dcos_resolv.conf # DNS enabled leaf1# ping www.cisco.com PING origin-www.cisco.com (72.163.4.161): 56 data bytes 64 bytes from 72.163.4.161: icmp_seq=0 ttl=238 time=29.255 ms 64 bytes from 72.163.4.161: icmp_seq=1 ttl=238 time=29.212 ms 64 bytes from 72.163.4.161: icmp_seq=2 ttl=238 time=29.343 ms |
ワイルドカード証明書(*.cisco.com など。複数のデバイス間で使用)およびそれに関連する他の場所で生成される秘密キーは、APIC ではサポートされません。これは、APIC に秘密キーまたはパスワードを入力するためのサポートがないためです。
証明書署名要求(CSR)を生成する前に、公開中間証明書とルート CA 証明書をダウンロードしてインストールする必要があります。ルート CA 証明書は技術的には CSR を生成するために必要ではありませんが、シスコでは、対象とする CA 機関と CSR への署名に使用される実物の間の不一致を防ぐために、CSR を生成する前にルート CA 証明書が必要です。APIC は、送信された証明書が設定されている CA によって署名されていることを確認します。
更新された証明書の生成に同じ公開キーと秘密キーを使用するには、次のガイドラインを満たす必要があります。
注意:ダウンタイムの可能性があるため、メンテナンス時間中にのみこのタスクを実行してください。この操作中にファブリック内のすべての Web サーバの再起動が予期されます。
適切な認証局を作成できるように、信頼できる証明書を取得する機関を決定します。
ステップ 1 | メニュー バーで、 を選択します。 | ||
ステップ 2 |
[Navigation] ペインで、次の操作を実行して認証局を設定します。
|
||
ステップ 3 |
[Navigation] ペインで、 の順に展開し、次の操作を実行することによりキー リングを作成します。
|
||
ステップ 4 |
[Navigation] ペインで、作成したキー リングを右クリックし、次の作業を実行して CSR を生成します。
|
||
ステップ 5 |
[Navigation] ペインで、作成したキー リングをクリックし、次の作業を実行して署名付き証明書をインストールします。
|
||
ステップ 6 | メニュー バーで、 を選択します。[Navigation] ペインで、 の順に展開します。 | ||
ステップ 7 | [Work] ペインの [Admin Key Ring] フィールドで、ドロップダウン メニューを使用して目的のキー リングを選択します。[Submit] をクリックします。 すべての Web サーバが再起動されます。証明書がアクティブになり、デフォルト以外のキー リングが HTTPS アクセスに関連付けられています。 |
証明書の失効日には注意しておき、期限切れになる前に対応する必要があります。更新された証明書に対して同じキー ペアを維持するには、CSR を維持する必要があります。これは、CSR にはキー リング内の秘密キーとペアになる公開キーが含まれているためです。証明書が期限切れになる前に、同じ CSR を再送信する必要があります。キー リングを削除すると、APIC に内部的に保存されている秘密キーも削除されるため、新しいキー リングの削除または作成は行わないでください。