CLI を使用している Cisco APIC の設定

クラスタ管理のベスト プラクティス

  • クラスタに変更を加える前に、必ずすべてのコントローラの正常性を確認してください。続行する前に、すべてのコントローラが完全に適合していることを確認し、正常性の問題を解決します。

  • デバイスを追加、構成、またはクラスタリングする前に、クラスタ内のすべてのコントローラが同じファームウェア バージョンを実行していることを確認します。異なるファームウェア バージョンを実行しているコントローラをクラスタ化しないでください。

  • クラスタ内に少なくとも 3 台のアクティブ コントローラを維持し、必要に応じてスタンバイ コントローラを追加します。拡張性の要件については、『検証済みの拡張性ガイド』を参照して、展開に必要なアクティブ コントローラの数を確認してください。

  • データが不正確な可能性があるため、クラスターで現在アクティブでないコントローラからのクラスタ情報は無視します。

  • コントローラのシャーシ ID でクラスタ スロットを構成したら、そのコントローラをデコミッション、スロットを再割り当てできるようにする必要があります。

  • 進行中のすべてのファームウェア アップグレードが完了し、クラスタが完全に適合していることを確認してから、追加の変更を行います。

  • コントローラを移動する際は、常にクラスタが正常であることを確認してください。移動するコントローラを選択シャットダウンし、物理的に移動して再再接続から、電源をオンにします。移動後、管理インターフェイスを通じてすべてのコントローラが完全に適合状態に戻ることを確認します。

  • クラスタの安定性を維持するために、一度に 1 つのコントローラのみを移動。

  • コントローラを別のリーフ スイッチのセットまたは同じリーフ スイッチ内の別のポートに転送する場合は、まずクラスタが正常であることを確認します。コントローラを移動する前にデコミッションし、移動後に再稼働します。

  • クラスタを構成する前に、サポート外の操作やクラスタの問題を防ぐため、すべてのコントローラが同じファームウェア バージョンを実行していることを確認します。

  • コントローラに関連付けられている未使用の OOB EPG を削除します。コントローラへの複数の EPG の割り当てはサポートされていないため、クラスタ ワークフローの IP アドレスがポリシーによって上書きされる可能性があります。

  • ログ レコード オブジェクトは、1 つのコントローラの 1 つのシャードにのみ保存されることに注意してください。そのコントローラ をデコミッションまたは交換すると、それらのログは永久に失われます。

  • コントローラをデコミッションすると、コントローラに保存されているすべての障害、イベント、および監査ログ履歴が削除されることに注意してください。すべてのコントローラを交換すると、すべてのログ履歴が失われます。コントローラを移行する前に、そのログ履歴を手動でバックアップして、データの損失を防ぎます。

CLI を使用した、クラスター内の Cisco APIC の交換


(注)  

  • クラスタの管理の詳細については、「クラスタ管理のベスト プラクティス」を参照してください。

  • Cisco APIC を交換すると、パスワードは必ずクラスタから同期されます。APIC 1 を交換するときには、パスワードの入力を求められますが、そのパスワードはクラスタ内の既存のパスワードを優先して無視されます。Cisco APIC 2 または 3 を交換するときには、パスワードの入力は求められません。

始める前に

Cisco Application Policy Infrastructure Controller (APIC)を交換する前に、交換用 Cisco APIC が、交換する Cisco APIC と同じファームウェア バージョンを実行していることを確認します。バージョンが同じでない場合は、開始する前に代替 Cisco APICのファームウェアを更新する必要があります。異なるバージョンを実行して Cisco APIC のパフォーマンスの最初のクラスタ リングはサポートされていない動作し、クラスタ内の問題が発生する可能性があります。

手順

ステップ 1

交換する Cisco APIC を特定します。

ステップ 2

acidiag avread コマンドを使用して、交換するCisco APICの設定の詳細を確認します。

ステップ 3

decommission controller controller-id コマンドを使用して Cisco APIC をデコミッションします。

Cisco APIC を解放すると、APIC ID とシャーシ ID のマッピングが削除されます。通常、新しい Cisco APIC には、異なる APIC ID があるので、クラスタに新しい Cisco APIC を追加するにはこのマップを削除する必要があります。

Cisco APICリリース 6.0(2)以降、廃止操作を強制できるようにするために、オプションの引数(force)が decommission コマンドに追加されました。改訂されたコマンドは decommission controller controller-id [force] で、次のように動作します。

  • force を宣言しないと、クラスタが異常またはアップグレード状態の場合には廃止が適切でない可能性があるので、それ以外の場合にのみ廃止が続行されます。

  • force を宣言すると、クラスタの状態に関係なく、廃止が続行されます。

たとえば、decommission controller 3 force は、クラスタの状態に関係なく、APIC3 を強制的にデコミッションします。

ステップ 4

新しい Cisco APIC をコミッションする手順は、次のとおりです。

  1. ファブリックから古い Cisco APIC を切断します。

  2. ファブリックに交換 Cisco APIC を接続します。

    新しいCisco APIC [未認可コントローラ (Unauthorized Controllers)] リストの Cisco APIC GUI メニュー [システム (System)] > [コントローラ (Controllers)] > [apic_controller_name] > [ノードで確認するクラスタ (Cluster as Seen by Node)]に表示されます。

  3. controller controller-id commission コマンドを使用して新しい Cisco APIC をコミッションします。

  4. 新しい Cisco APIC を起動します。

  5. クラスタの残りの部分に新しい Cisco APIC 情報が伝播するまでに数分かかります。

    新しいCisco APIC [現用系コントローラ (Active Controllers)] リストの Cisco APIC GUI メニュー [システム (System)] > [コントローラ (Controllers)] > [apic_controller_name] > [ノードで確認するクラスタ (Cluster as Seen by Node)]に表示されます。

次のタスク

解放した各コントローラにつき、そのコントローラの動作状態が未登録になり、すでにクラスタ内で稼動していないことを確認します。


(注)  

デコミッションされたCisco APIC がファブリックからすぐに削除されない場合、再検出される可能性があり、問題が発生する可能性があります。その場合、コントローラを削除するために クラスタ サイズの縮小 の説明に従います。

クラスタ サイズの縮小

クラスタ サイズの縮小は、

  • クラスタ内のコントローラの数を減らします。

  • 選択したコントローラを順番に解放して削除する必要がある場合、

  • は、クラスタ同期プロセスをトリガして、システムの安定性を維持します。

クラスタのサイズを縮小し、クラスタから削除された コントローラを解放するには、次の注意事項に従います。


(注)  

縮小したクラスタから を解放し、Cisco APIC を電源オフする正しい手順を実行しないと、予期しない結果を招く可能性があります。認識されていない Cisco APIC をファブリックに接続されたままにしないでください。

  • クラスタ サイズを小さくすると、残りの Cisco APIC での負荷が増大します。クラスタの同期がファブリックのワークロードの要求に影響しないときに、 Cisco APIC サイズの縮小を予定します。

  • クラスタ内の 1 つ以上の Cisco APIC のヘルス ステータスが「十分に正常」でない場合は、先に進む前にその状況を修復してください。

  • クラスターの目標サイズを新たな低い値に減らします。たとえば、既存のクラスター サイズが 6 で、3 台のコントローラを削除する場合は、クラスターの目標サイズを 3 に減らします。

  • 既存のクラスタ内でコントローラ識別子の番号が最大のものから、Cisco APIC を 1 台ずつ、解放、電源オフ、接続解除し、クラスタが新規の小さい目標サイズになるまで行います。

    各コントローラを解放および削除するごとに、Cisco APIC はクラスタを同期します。


    (注)  

    クラスタから Cisco APIC をデコミッションした後に、直ちに電源をオフにし、再発見を予防するためにファブリックから切断します。サービスを回復する前に、全消去を実行して工場出荷時の状態にリセットします。

    切断が遅延し、デコミッションされたコントローラが再検出された場合は、次の手順に従って削除します:

    1. Cisco APIC の電源を切り、ファブリックから切断します。

    2. [未承認コントローラ(Unauthorized Controllers)] のリストで、コントローラを拒否します。

    3. GUI からコントローラを消去します。

  • 既存の Cisco APIC が使用できなくなると、クラスタの同期が停止します。クラスターの同期を進める前に、この問題を解決します。

  • コントローラの削除の際に Cisco APIC が同期すべきデータの量により、各コントローラの解放とクラスタの同期を完了するために要する時間は、コントローラごとに 10 分以上になる可能性があります。

例:

クラスタに元から 6 台のコントローラが含まれていて、3 台を削除する場合、管理者はクラスタの目標サイズを 3 に設定する必要があります。コントローラ ID の番号が最も大きいコントローラから 1 つずつ削除し、確立された手順に従って、削減と同期が正常に行われるようにします。


(注)  

クラスタに追加の変更を行う前に、必要な解放手順全体を完了し、Cisco APIC がクラスタの同期を完了できるようにしてください。

Cisco APIC クラスタの契約

クラスタ縮小は、以下のクラスタ管理操作です。

  • 正当な境界内で一度に 1 つのノードを削除してクラスタのサイズを削減し、

  • 残りのノードの計算およびメモリの負荷が増加し、

  • はオペレータの入力によって再度有効になるまで、解放されたクラスタ スロットを使用できません。

クラスタを縮小するときは、常にシーケンス内の最後の APIC を最初にデコミッション、逆の順序で続行します。例:

  • APIC3 の前に APIC4 をデコミッションします。

  • APIC2 の前に APIC3 をデコミッションします。

CLI を使用してスタンバイ apic 内でアクティブな APIC 経由でスイッチング

スタンバイ apic 内でアクティブな APIC 経由でスイッチするには、次の手順を使用します。

手順

ステップ 1

replace-controller replace ID 番号 バックアップ シリアル番号

スタンバイ APIC でアクティブな APIC に置き換えられます。

例:

apic1#replace-controller replace 2 FCH1804V27L
Do you want to replace APIC 2 with a backup? (Y/n): Y

ステップ 2

replace-controller reset ID 番号

アクティブなコントローラのステータスをリセットが失敗します。

例:

apic1# replace-controller reset 2
Do you want to reset failover status of APIC 2? (Y/n): Y

CLI を使用して Cold Standby ステータスを確認する

手順

APIC の show controller ステータスを確認するには、管理者として APIC にログインして、Cold Standbyshow controllerCold Standby コマンドを入力します。 


apic1# show controller
Fabric Name          : vegas
Operational Size     : 3
Cluster Size         : 3
Time Difference      : 496
Fabric Security Mode : strict

 ID    Pod   Address          In-Band IPv4     In-Band IPv6               OOB IPv4         OOB IPv6                   Version             Flags  Serial Number     Health
 ----  ----  ---------------  ---------------  -------------------------  ---------------  -------------------------  ------------------  -----  ----------------  ------------------
 1*    1     10.0.0.1         0.0.0.0          fc00::1                    172.23.142.4     fe80::26e9:b3ff:fe91:c4e0  2.2(0.172)          crva-  FCH1748V0DF       fully-fit
 2     1     10.0.0.2         0.0.0.0          fc00::1                    172.23.142.6     fe80::26e9:bf8f:fe91:f37c  2.2(0.172)          crva-  FCH1747V0YF       fully-fit
 3     1     10.0.0.3         0.0.0.0          fc00::1                    172.23.142.8     fe80::4e00:82ff:fead:bc66  2.2(0.172)          crva-  FCH1725V2DK       fully-fit
 21~         10.0.0.21                                                                                                                    -----  FCH1734V2DG

Flags - c:Commissioned | r:Registered | v:Valid Certificate | a:Approved | f/s:Failover fail/success
(*)Current (~)Standby

CLI を使用した未登録スイッチの登録

この手順を使用して、CLI を使用して [ファブリック メンバーシップ (Fabric Membership)] 作業ウィンドウの [保留中ノードの登録 (Nodes Pending Registration)] タブからスイッチを登録します。


(注)  
この手順は、「CLI を使用したディスカバリ前のスイッチの追加」と同じです。コマンドを実行すると、システムはノードが存在するかどうかを判断し、存在しない場合はそのノードを追加します。ノードが存在する場合、システムにより登録されます。

手順

コマンドまたはアクション 目的

[no] system switch-id serial-number switch-id name pod id role leaf node-type tier-2-leaf

スイッチを保留中の登録リストに追加します。

CLI を使用して検出前のスイッチを追加する

この手順を使用して、CLI を使用して [ファブリック メンバーシップ (Fabric Membership)] 作業ウィンドウの [保留中ノードの登録 (Nodes Pending Registration)] タブにスイッチを追加します。


(注)  
この手順は、「CLI を使用した未登録スイッチの登録」と同じです。コマンドを実行すると、システムはノードが存在するかどうかを判断し、存在しない場合はそのノードを追加します。ノードが存在しない場合、システムにより登録されます。

手順

[no] system switch-id serial-number switch-id name pod id role leaf node-type tier-2-leaf

スイッチを保留中の登録リストに追加します。

CLI を使用してメンテナンス モードにスイッチを移行する

CLI を使用してメンテナンス モードにスイッチを移行するには、次の手順を使用します。


(注)  
スイッチがメンテナンス モード中の場合、スイッチの CLI「show」コマンドでは、前面パネル ポートがアップ状態であり、BGP プロトコルがアップ状態かつ実行中であることを示します。インターフェイスは実際にシャットダウンされ、BGP のその他すべての隣接関係がダウンしますが、表示されているアクティブ状態でデバッグが可能です。

手順

[no]debug-switch node_id or node_name

メンテナンス モードにスイッチを移行します。

CLI を使用して操作モードにスイッチを挿入する

この手順を使って、スイッチを CLI を使用している動作モードに挿入します。

手順

[no]no debug-switch node_id or node_name

動作モードにスイッチを挿入します。

NX-OS スタイルの CLI を使用したリモート ロケーションの設定

ACI ファブリックでは、techsupport またはコンフィギュレーション ファイルをエクスポートする 1 つ以上のリモート宛先を設定できます。

手順

  コマンドまたはアクション 目的

ステップ 1

configure

例:

apic1# configure

グローバル コンフィギュレーション モードを開始します。

ステップ 2

[no] remote path remote-path-name

例:

apic1(config)# remote path myFiles

リモート パスのコンフィギュレーション モードを開始します。

ステップ 3

user username

例:

apic1(config-remote)# user admin5

リモート サーバにログインするユーザ名を設定します。パスワードを入力するように求められます。

ステップ 4

path {ftp | scp | sftp} host [:port] [remote-directory ]

例:

apic1(config-remote)# path sftp filehost.example.com:21 remote-directory /reports/apic

リモート サーバへのパスとプロトコルを設定します。パスワードを入力するように求められます。

次に、ファイルをエクスポートするためにリモート パスを設定する例を示します。 


apic1# configure
apic1(config)# remote path myFiles
apic1(config-remote)# user admin5
You must reset the password when modifying the path:
Password:
Retype password:
apic1(config-remote)# path sftp filehost.example.com:21 remote-directory /reports/apic
You must reset the password when modifying the path:
Password:
Retype password:

NX-OS CLI を使用したスイッチ インベントリの検索

このセクションでは、NX-OS CLI を使用してスイッチのモデルとシリアル番号を見つける方法について説明します。

手順

次のようにスイッチ インベントリを見つけます。

例:

switch# show hardware 
Cisco Nexus Operating System (NX-OS) Software
TAC support: http://www.cisco.com/tac
Documents: http://www.cisco.com/en/US/products/ps9372/tsd_products_support_series_home.html
Copyright (c) 2002-2014, Cisco Systems, Inc. All rights reserved.
The copyrights to certain works contained in this software are
owned by other third parties and used and distributed under
license. Certain components of this software are licensed under
the GNU General Public License (GPL) version 2.0 or the GNU
Lesser General Public License (LGPL) Version 2.1. A copy of each
such license is available at
http://www.opensource.org/licenses/gpl-2.0.php and
http://www.opensource.org/licenses/lgpl-2.1.php

Software
  BIOS:      version 07.56
  kickstart: version 12.1(1h) [build 12.1(1h)]
  system:    version 12.1(1h) [build 12.1(1h)]
  PE:        version 2.1(1h)
  BIOS compile time:       06/08/2016
  kickstart image file is: /bootflash/aci-n9000-dk9.12.1.1h.bin
  kickstart compile time:  10/01/2016 20:10:40 [10/01/2016 20:10:40]
  system image file is:    /bootflash/auto-s
  system compile time:     10/01/2016 20:10:40 [10/01/2016 20:10:40]


Hardware
  cisco N9K-C93180YC-EX ("supervisor")
   Intel(R) Xeon(R) CPU  @ 1.80GHz with 16400384 kB of memory.
  Processor Board ID FDO20101H1W

  Device name: ifav41-leaf204
  bootflash:    62522368 kB

Kernel uptime is 02 day(s), 21 hour(s), 42 minute(s), 31 second(s)

Last reset at 241000 usecs after Sun Oct 02 01:27:25 2016
  Reason: reset-by-installer
  System version: 12.1(1e)
  Service: Upgrade

plugin
  Core Plugin, Ethernet Plugin
--------------------------------
Switch hardware ID information
--------------------------------

Switch is booted up
Switch type is : Nexus C93180YC-EX Chassis
Model number is N9K-C93180YC-EX
H/W version is 0.2010
Part Number is 73-15298-01
Part Revision is 1
Manufacture Date is Year 20 Week 10
Serial number is FDO20101H1W
CLEI code is 73-15298-01

--------------------------------
Chassis has one slot
--------------------------------

Module1 ok
  Module type is : 48x10/25G
  1 submodules are present
  Model number is N9K-C93180YC-EX
  H/W version is 0.2110
  Part Number is 73-17776-02
  Part Revision is 11
  Manufacture Date is Year 20 Week 10
  Serial number is FDO20101H1W
  CLEI code is 73-17776-02

GEM ok
  Module type is : 6x40/100G Switch
  1 submodules are present
  Model number is N9K-C93180YC-EX
  H/W version is 0.2110
  Part Number is 73-17776-02
  Part Revision is 11
  Manufacture Date is Year 20 Week 10
  Serial number is FDO20101H1W
  CLEI code is 73-17776-02

---------------------------------------
Chassis has  2 PowerSupply Slots
---------------------------------------

PS1 shut
  Power supply type is : 54.000000W 220v AC
  Model number is NXA-PAC-650W-PE
  H/W version is 0.0
  Part Number is 341-0729-01
  Part Revision is A0
  Manufacture Date is Year 19 Week 50
  Serial number is LIT19500ZEK
  CLEI code is 341-0729-01

PS2 ok
  Power supply type is : 54.000000W 220v AC
  Model number is NXA-PAC-650W-PE
  H/W version is 0.0
  Part Number is 341-0729-01
  Part Revision is A0
  Manufacture Date is Year 19 Week 50
  Serial number is LIT19500ZEA
  CLEI code is 341-0729-01

---------------------------------------
Chassis has  4 Fans
---------------------------------------

FT1 ok

 Fan1(sys_fan1)(fan_model:NXA-FAN-30CFM-F)                                    is inserted but info is not available

FT2 ok

 Fan2(sys_fan2)(fan_model:NXA-FAN-30CFM-F)                                    is inserted but info is not available

FT3 ok

 Fan3(sys_fan3)(fan_model:NXA-FAN-30CFM-F)                                    is inserted but info is not available

FT4 ok

 Fan4(sys_fan4)(fan_model:NXA-FAN-30CFM-F)                                    is inserted but info is not available


====================================================================================

CLI を使用した Cisco APIC クラスターの確認

Cisco Application Policy Infrastructure ControllerAPIC)リリース 4.2.(1) では、Cisco APIC クラスタのステータスを段階的に確認できる cluster_health コマンドが導入されています。次の出力例は、非アクティブな 1 つのノード(ID 1002)を除いてすべてが問題ないシナリオを示しています。


(注)  

cluster_health コマンドを使用するには、管理者としてログインする必要があります。

手順

クラスタ ステータスを確認するには: 

F1-APIC1# cluster_health
Password:

Running...

Checking Wiring and UUID: OK
Checking AD Processes: Running
Checking All Apics in Commission State: OK
Checking All Apics in Active State: OK
Checking Fabric Nodes: Inactive switches: ID=1002(IP=10.1.176.66/32)
Checking Apic Fully-Fit: OK
Checking Shard Convergence: OK
Checking Leadership Degration: Optimal leader for all shards
Ping OOB IPs:
APIC-1: 172.31.184.12 - OK
APIC-2: 172.31.184.13 - OK
APIC-3: 172.31.184.14 - OK
Ping Infra IPs:
APIC-1: 10.1.0.1 - OK
APIC-2: 10.1.0.2 - OK
APIC-3: 10.1.0.3 - OK
Checking APIC Versions: Same (4.2(0.261a))
Checking SSL: OK

Done!
表 1. Cluster_Health 検証手順

ステップ

説明

配線と UUID の確認

リーフ スイッチは、Cisco APIC の LLDP を使用して を検出することにより、Cisco APIC 相互間のインフラ接続を提供します。この手順では、LLDP 検出中に検出されたリーフと Cisco APIC の間の配線の問題をチェックします。

ここでの問題は、有効な情報がないため、リーフ スイッチが Cisco APIC にインフラ接続を提供できないことを意味します。たとえば、Cisco APIC の UUID の不一致は、新しい APIC2 の UUID が以前の既知の APIC2 とは異なることを意味します。

UUID:ユニバーサルに一意の ID(Universally Unique ID)、または一部の出力ではシャーシ ID です。

AD プロセスの確認

Cisco APIC クラスタリングは、Cisco APIC のそれぞれの Appliance Director プロセスによって処理されます。このステップでは、プロセスが正しく実行されているかどうかを確認します。

コミッション状態のすべての APIC のチェック

Cisco APIC クラスタリングを完了するには、すべての Cisco APIC を試運転する必要があります。

アクティブ状態のすべての APIC のチェック

Cisco APIC クラスタリングを完了するには、コミッションされたすべての Cisco APIC がアクティブである必要があります。アクティブになっていない場合は、Cisco APIC がまだ起動していない可能性があります。

ファブリック ノードの確認: 非アクティブ スイッチ

Cisco APIC の通信は、リーフ スイッチとスパイン スイッチによって提供されるインフラ接続を介して行われます。この手順では、非アクティブなスイッチをチェックして、スイッチがインフラ接続を提供していることを確認します。

APIC の完全フィットの確認

Cisco APIC は、インフラ ネットワークを介して相互に IP 到達可能性を確立すると、データベースを相互に同期します。同期が完了すると、すべて Cisco APIC のステータスが「Fully-Fit」になります。それ以外の場合、ステータスは「Data Layer Partially Diverged」などになります。

シャード収束の確認

Cisco APIC が完全に「Fully-Fit」でない場合、データベース シャードをチェックして、完全に同期されていないサービスを確認する必要があります。同期に問題のあるサービスがある場合は、Cisco TAC に連絡して、さらにトラブルシューティングを行ってください。

リーダーシップのデグレーションの確認

ACI では、各データベース シャードに 1 つのリーダー シャードがあり、クラスタ内の Cisco APIC それぞれに分散されます。このステップは、すべてのシャードに最適なリーダーがあるかどうかを示します。すべての Cisco APIC が稼働しているときにここで問題が発生した場合は、Cisco TAC に連絡して、さらにトラブルシューティングを行ってください。

Ping OOB IP

この手順では、クラスタリングとは別に構成されている OOB IP に ping を実行して、すべての Cisco APIC が稼働しているかどうかを確認します。

Ping インフラ IP

この手順では、それぞれの Cisco APIC 間にインフラ接続があるかどうかを確認します。Cisco APIC クラスタリングは、OOB ではなくインフラ接続を介して実行されます。

APIC バージョンを確認する

クラスタリングを完了するには、すべての Cisco APIC が同じバージョンである必要があります。

SSL の確認

Cisco APIC をアプライアンスとして購入する場合、すべての Cisco APIC に有効な SSL を組み込む必要があります。有効な SSL がないと、サーバは Cisco APIC OS を正しく動作させることができません。