CLI を使用している Cisco APIC の設定

クラスター管理のガイドライン

  Cisco Application Policy Infrastructure ControllerAPIC)クラスターは、複数の Cisco APICで構成され、 Cisco Application Centric InfrastructureACI)ファブリックに対する統合されたリアルタイム モニタリング、診断および構成管理機能がオペレータに提供されます。最適なシステム パフォーマンスが得られるように、 Cisco APIC クラスターを変更する場合は次のガイドラインに従ってください:

  • クラスターへの変更を開始する前に、必ずその状態を確認してください。クラスターに対して計画した変更を実行するときは、クラスター内のすべてのコントローラが正常である必要があります。クラスター内の 1 つ以上の Cisco APICのヘルス ステータスが「完全に適合」でない場合は、先に進む前にその状況を修復してください。また、 Cisco APIC に追加されるクラスターコントローラが Cisco APIC クラスターの他のコントローラと同じバージョンのファームウェアを実行していることを確認してください。

  • クラスターは、少なくとも 3 台のアクティブ Cisco APICで構成し、必要に応じ、スタンバイ Cisco APICを追加してください。 Cisco APIC クラスターは 3 ~ 7 台のアクティブ Cisco APICから構成できます。 検証済み拡張性ガイド を参照し、展開で何台のアクティブ Cisco APICが必要かを決定してください。

  • 現在クラスターにない Cisco APICからのクラスター情報は無視します。正確なクラスター情報ではないからです。

  • クラスター スロットには Cisco APIC ChassisIDが含まれます。スロットを設定すると、 Cisco APIC をデコミッションするまでは、そのスロットを使用できません。これは、 ChassisIDが割り当てられたものです。

  • たとえば Cisco APIC ファームウェア アップグレードが進行中の場合は、それが完了し、クラスターが完全に適合するまでクラスターへの他の変更はしないでください。

  •   Cisco APICを移動する際は、最初に正常なクラスターがあることを確認します。  Cisco APIC クラスターの正常性を確認した後、シャットダウンする Cisco APIC を選択します。  Cisco APIC がシャットダウンしたら、 Cisco APICを移動し、再接続してから、電源を入れます。GUI から、クラスター内のすべてのコントローラが完全に適合状態に戻ったことを確認します。


    (注)  

    一度に 1 つの Cisco APIC だけを移動します。

  • リーフ スイッチのセットに接続されている Cisco APIC を別のリーフ スイッチのセットに移動するとき、または Cisco APIC を同じリーフ スイッチ内の別のポートに移動するときには、まず、正常なクラスターがあることを確認します。  Cisco APIC クラスターの正常性を確認した後で、移動してクラスターからデコミッションする Cisco APIC を選択します。  Cisco APIC がデコミッションされたら Cisco APIC を移動した後、コミッションします。

  •   Cisco APIC クラスターを設定する前に、 Cisco APICのすべてが同じファームウェア バージョンを実行していることを確認します。異なるバージョンを実行している Cisco APICから初期クラスターを構成することは、サポートされていない操作であり、クラスター内の問題の原因となることがあります。

  • 他のオブジェクトとは異なり、ログ レコード オブジェクトは、いずれかの Cisco APICのデータベースの 1 つのシャードにのみ保存されます。これらのオブジェクトは、 Cisco APICをデコミッションまたは交換すると永久に失われます。

  •   Cisco APICをデコミッションすると、 Cisco APIC に保存されていたすべての障害、イベント、および監査ログ履歴が失われます。すべての Cisco APICを交換すると、すべてのログ履歴が失われます。  Cisco APICを移行する前に、ログ履歴を手動でバックアップすることをお勧めします。

CLI を使用した、クラスター内の Cisco APIC の交換


(注)  

  • クラスターの管理の詳細については、 クラスター管理のガイドラインを参照してください。

  •   Cisco APICを交換すると、パスワードは必ずクラスタから同期されます。APIC 1 を交換するときにはパスワードの入力を求められますが、クラスター内の既存のパスワードが優先されるため、そのパスワードは無視されます。  Cisco APIC 2 または 3 を交換するときには、パスワードの入力は求められません。

始める前に

  Cisco Application Policy Infrastructure ControllerAPIC)を交換する前に、交換用の Cisco APIC が、交換される Cisco APIC と同じファームウェア バージョンを実行していることを確認します。バージョンが同じでない場合は、開始する前に交換用 Cisco APIC のファームウェアを更新する必要があります。異なるバージョンを実行している Cisco APICから初期クラスターを構成することは、サポートされていない操作であり、クラスター内の問題の原因となることがあります。

手順

ステップ 1

交換の必要がある Cisco APIC を識別します。

ステップ 2

交換される Cisco APIC の設定の詳細を、 acidiag avread コマンドを使用して、メモしておきます。

ステップ 3

  Cisco APIC をデコミッションするには、 decommission controller controller-id コマンドをコンフィギュレーション モードで使用します。

  Cisco APIC をデコミッションすると、 APIC ID とシャーシ ID の間のマッピングが削除されます。新しい Cisco APIC は通常、異なる APIC ID を持っているため、新しい Cisco APIC をクラスターに割り当てるには、このマッピングを削除する必要があります。

  Cisco APIC リリース 6.0(2) 以降では、オプションの引数(force)が decommission コマンドに追加されました。デコミッション操作を強制できるようにします。改訂されたコマンドは次のとおりです。 decommission controller controller-id [force] で、次のように動作します。

  •   force を宣言しないと、クラスターが異常またはアップグレード状態のときには(デコミッションが適切でない可能性があるため)、デコミッションは続行されません。

  •   force force を宣言すると、クラスターの状態に関係なく、デコミッションが続行されます。

次に例を示します。 decommission controller 3 force は、クラスターの状態に関係なく、APIC3 をデコミッションします。

ステップ 4

新しい Cisco APICをコミッションするには、次の手順を実行します:

  1. 古い Cisco APIC とファブリックの接続を切断します。

  2. 交換用の Cisco APIC をファブリックに接続します。

    新しい Cisco APICCisco APIC GUI メニュー [システム(System)] > [コントローラ(Controllers)] > [apic_controller_name] > [ノードで表示されるクラスター(Cluster as Seen by Node)] で、 [未承認のコントローラ(Unauthorized Controllers)] リストに表示されます。

  3. 新しい Cisco APICcontroller controller-id commission コマンドを使用してコミッションします。

  4. 新しい Cisco APICを起動します。

  5. 新しい Cisco APIC の情報がクラスターの残りの部分に伝播するまでに数分かかります。

    新しい Cisco APICCisco APIC GUI メニュー [システム(System)] > [コントローラ(Controllers)] > [apic_controller_name] > [ノードで表示されるクラスター(Cluster as Seen by Node)][アクティブなコントローラ(Active Controllers)] リストに表示されます。

次のタスク

デコミッションした各コントローラにつき、そのコントローラの動作状態が未登録になり、すでにクラスター内で稼動していないことを確認します。


(注)  

デコミッションされた Cisco APIC をファブリックからすぐに削除しないと、再検出される可能性があり、問題が発生することがあります。この場合、コントローラの取り外しに関する、   APIC クラスター サイズの縮小 の手順に従います。

  APIC クラスター サイズの縮小

  Cisco Application Policy Infrastructure ControllerAPIC)クラスター サイズを縮小し、クラスターから削除された Cisco APICデコミッションするには、以下のガイドラインに従ってください。


(注)  

正しいプロセスに従って、 Cisco APICのデコミッションと電源オフを行わなかった場合、縮小したクラスターで予期しない結果が生じる可能性があります。認識されない Cisco APICをファブリックに接続したままにしてはなりません。

  • クラスター サイズを小さくすると、残りの Cisco APICの負荷が増大します。 Cisco APIC サイズの縮小は、クラスターの同期がファブリックのワークロードの要求に影響しないときに予定します。

  • クラスター内の 1 つ以上の Cisco APICのヘルス ステータスが「完全に適合」でない場合は、先に進む前にその状況を修復してください。

  • クラスターの目標サイズを新たな低い値に減らします。たとえば、既存のクラスター サイズが 6 で、3 台のコントローラを削除する場合は、クラスターの目標サイズを 3 に減らします。

  • 既存のクラスター内でコントローラ識別子の番号が最大のものから、 APIC を 1 台ずつ、解放、電源オフ、接続解除し、クラスターが新規の小さい目標サイズになるまで行います。

    各コントローラを解放および削除するごとに、 Cisco APIC はクラスターを同期します。


    (注)  

    クラスターから Cisco APIC をデコミッションした後に、直ちに電源をオフにし、再発見を予防するためにファブリックから切断します。サービスを回復する前に、全消去を実行して工場出荷時の状態にリセットします。

    切断が遅延し、デコミッションされたコントローラが再検出された場合は、次の手順に従って削除します:

    1.   Cisco APIC の電源を切り、ファブリックから切断します。

    2. [未承認コントローラ(Unauthorized Controllers)] のリストで、コントローラを拒否します。

    3. GUI からコントローラを消去します。

  • 既存の Cisco APIC が使用できなくなると、クラスターの同期が停止します。クラスターの同期を進める前に、この問題を解決します。

  • コントローラの削除の際に Cisco APIC が同期すべきデータの量により、各コントローラの解放とクラスターの同期を完了するために要する時間は、コントローラごとに 10 分以上になる可能性があります。


(注)  

必要なデコミッション手順全体を完了し、 Cisco APIC がクラスタの同期を完了するまで、クラスタに追加の変更を加えないでください。

Cisco APIC クラスターの縮小

Cisco APIC クラスターの縮小とは、クラスター サイズを N から N-1 にして、正当な境界内でサイズのミスマッチを減少させる動作です。縮小により、クラスター内の残りの APIC部分の計算およびメモリの負荷が増加します。デコミッションされた APIC クラスター スロットは、オペレータ入力でのみ使用できなくなります。

クラスターの縮小中は、クラスター内の最後の APIC を最初にクラスターからデコミッションし、逆の順番で操作することが必要です。次に例を示します。 APIC4 を APIC3 の前にデコミッションする必要があり、 APIC3 を APIC2 の前にデコミッションする必要があります。

CLI を使用してスタンバイ apic 内でアクティブな APIC 経由でスイッチング

スタンバイ apic 内でアクティブな APIC 経由でスイッチするには、次の手順を使用します。

手順

ステップ 1

replace-controller replace ID 番号 バックアップ シリアル番号

スタンバイ APIC でアクティブな APIC に置き換えられます。

例:

apic1#replace-controller replace 2 FCH1804V27L
Do you want to replace APIC 2 with a backup? (Y/n): Y

ステップ 2

replace-controller reset ID 番号

アクティブなコントローラのステータスをリセットが失敗します。

例:

apic1# replace-controller reset 2
Do you want to reset failover status of APIC 2? (Y/n): Y

CLI を使用して Cold Standby のステータスを確認する

手順

  Cold Standby ステータスを確認するには、管理者として APIC にログインして、 show controller コマンドを入力します。 


apic1# show controller
Fabric Name          : vegas
Operational Size     : 3
Cluster Size         : 3
Time Difference      : 496
Fabric Security Mode : strict

 ID    Pod   Address          In-Band IPv4     In-Band IPv6               OOB IPv4         OOB IPv6                   Version             Flags  Serial Number     Health
 ----  ----  ---------------  ---------------  -------------------------  ---------------  -------------------------  ------------------  -----  ----------------  ------------------
 1*    1     10.0.0.1         0.0.0.0          fc00::1                    172.23.142.4     fe80::26e9:b3ff:fe91:c4e0  2.2(0.172)          crva-  FCH1748V0DF       fully-fit
 2     1     10.0.0.2         0.0.0.0          fc00::1                    172.23.142.6     fe80::26e9:bf8f:fe91:f37c  2.2(0.172)          crva-  FCH1747V0YF       fully-fit
 3     1     10.0.0.3         0.0.0.0          fc00::1                    172.23.142.8     fe80::4e00:82ff:fead:bc66  2.2(0.172)          crva-  FCH1725V2DK       fully-fit
 21~         10.0.0.21                                                                                                                    -----  FCH1734V2DG

Flags - c:Commissioned | r:Registered | v:Valid Certificate | a:Approved | f/s:Failover fail/success
(*)Current (~)Standby

CLI を使用した未登録スイッチの登録

CLI を使用し、スイッチを登録するには、 [登録保留中のノード(Nodes Pending Registration)] タブ( [ファブリック メンバーシップ(Fabric Membership)] 作業ペイン)で、以下の手順に従います。


(注)  
この手順は、「CLI を使用したディスカバリ前のスイッチの追加」と同じです。コマンドを実行すると、システムはノードが存在するかどうかを判断し、存在しない場合はそのノードを追加します。ノードが存在する場合、システムにより登録されます。

手順

コマンドまたはアクション 目的

[no] system switch-id serial-number switch-id name pod id role leaf node-type tier-2-leaf

スイッチを保留中の登録リストに追加します。

CLI を使用して検出前のスイッチを追加する

1 台のデバイスを に追加するには、CLIを使用して [登録保留中のノード(Nodes Pending Registration)] タブ( [ファブリック メンバーシップ(Fabric Membership)] [作業(work)] ペイン)に切り替えます。


(注)  
この手順は、「CLI を使用した未登録スイッチの登録」と同じです。コマンドを実行すると、システムはノードが存在するかどうかを判断し、存在しない場合はそのノードを追加します。ノードが存在しない場合、システムにより登録されます。

手順

[no] system switch-id serial-number switch-id name pod id role leaf node-type tier-2-leaf

スイッチを保留中の登録リストに追加します。

CLI を使用してメンテナンス モードにスイッチを移行する

CLI を使用してメンテナンス モードにスイッチを移行するには、次の手順を使用します。


(注)  
スイッチがメンテナンス モードの場合、スイッチの CLI「show」コマンドは、前面パネル ポートがアップ状態であり、BGP プロトコルがアップ状態かつ実行中であることを示します。インターフェイスは実際にはシャットダウンされており、BGP のその他すべての隣接関係はダウンしていますが、表示されているアクティブ状態によりデバッグは可能になります。

手順

[no]debug-switch node_id or node_name

メンテナンス モードにスイッチを移行します。

CLI を使用して操作モードにスイッチを挿入する

この手順に従って、スイッチを CLI を使用する操作モードに挿入します。

手順

[no]no debug-switch node_id or node_name

スイッチを操作モードに挿入します。

NX-OS スタイルの CLI を使用したリモート ロケーションの設定

ACI ファブリックでは、techsupport またはコンフィギュレーション ファイルをエクスポートする 1 つ以上のリモート宛先を設定できます。

手順の概要

  1. configure
  2. [no] remote path remote-path-name
  3. user username
  4. path {ftp | scp | sftp} host [:port] [remote-directory ]

手順の詳細

  コマンドまたはアクション 目的

ステップ 1

configure

例:

apic1# configure

グローバル コンフィギュレーション モードを開始します。

ステップ 2

[no] remote path remote-path-name

例:

apic1(config)# remote path myFiles

リモート パスのコンフィギュレーション モードを開始します。

ステップ 3

user username

例:

apic1(config-remote)# user admin5

リモート サーバにログインするユーザ名を設定します。パスワードを入力するように求められます。

ステップ 4

path {ftp | scp | sftp} host [:port] [remote-directory ]

例:

apic1(config-remote)# path sftp filehost.example.com:21 remote-directory /reports/apic

リモート サーバへのパスとプロトコルを設定します。パスワードを入力するように求められます。

次に、ファイルをエクスポートするためにリモート パスを設定する例を示します。 


apic1# configure
apic1(config)# remote path myFiles
apic1(config-remote)# user admin5
You must reset the password when modifying the path:
Password:
Retype password:
apic1(config-remote)# path sftp filehost.example.com:21 remote-directory /reports/apic
You must reset the password when modifying the path:
Password:
Retype password:

NX-OS CLI を使用したスイッチ インベントリの検索

このセクションでは、NX-OS CLI を使用してスイッチのモデルとシリアル番号を見つける方法について説明します。

手順

次のようにスイッチ インベントリを見つけます。

例:

switch# show hardware 
Cisco Nexus Operating System (NX-OS) Software
TAC support: http://www.cisco.com/tac
Documents: http://www.cisco.com/en/US/products/ps9372/tsd_products_support_series_home.html
Copyright (c) 2002-2014, Cisco Systems, Inc. All rights reserved.
The copyrights to certain works contained in this software are
owned by other third parties and used and distributed under
license. Certain components of this software are licensed under
the GNU General Public License (GPL) version 2.0 or the GNU
Lesser General Public License (LGPL) Version 2.1. A copy of each
such license is available at
http://www.opensource.org/licenses/gpl-2.0.php and
http://www.opensource.org/licenses/lgpl-2.1.php

Software
  BIOS:      version 07.56
  kickstart: version 12.1(1h) [build 12.1(1h)]
  system:    version 12.1(1h) [build 12.1(1h)]
  PE:        version 2.1(1h)
  BIOS compile time:       06/08/2016
  kickstart image file is: /bootflash/aci-n9000-dk9.12.1.1h.bin
  kickstart compile time:  10/01/2016 20:10:40 [10/01/2016 20:10:40]
  system image file is:    /bootflash/auto-s
  system compile time:     10/01/2016 20:10:40 [10/01/2016 20:10:40]


Hardware
  cisco N9K-C93180YC-EX ("supervisor")
   Intel(R) Xeon(R) CPU  @ 1.80GHz with 16400384 kB of memory.
  Processor Board ID FDO20101H1W

  Device name: ifav41-leaf204
  bootflash:    62522368 kB

Kernel uptime is 02 day(s), 21 hour(s), 42 minute(s), 31 second(s)

Last reset at 241000 usecs after Sun Oct 02 01:27:25 2016
  Reason: reset-by-installer
  System version: 12.1(1e)
  Service: Upgrade

plugin
  Core Plugin, Ethernet Plugin
--------------------------------
Switch hardware ID information
--------------------------------

Switch is booted up
Switch type is : Nexus C93180YC-EX Chassis
Model number is N9K-C93180YC-EX
H/W version is 0.2010
Part Number is 73-15298-01
Part Revision is 1
Manufacture Date is Year 20 Week 10
Serial number is FDO20101H1W
CLEI code is 73-15298-01

--------------------------------
Chassis has one slot
--------------------------------

Module1 ok
  Module type is : 48x10/25G
  1 submodules are present
  Model number is N9K-C93180YC-EX
  H/W version is 0.2110
  Part Number is 73-17776-02
  Part Revision is 11
  Manufacture Date is Year 20 Week 10
  Serial number is FDO20101H1W
  CLEI code is 73-17776-02

GEM ok
  Module type is : 6x40/100G Switch
  1 submodules are present
  Model number is N9K-C93180YC-EX
  H/W version is 0.2110
  Part Number is 73-17776-02
  Part Revision is 11
  Manufacture Date is Year 20 Week 10
  Serial number is FDO20101H1W
  CLEI code is 73-17776-02

---------------------------------------
Chassis has  2 PowerSupply Slots
---------------------------------------

PS1 shut
  Power supply type is : 54.000000W 220v AC
  Model number is NXA-PAC-650W-PE
  H/W version is 0.0
  Part Number is 341-0729-01
  Part Revision is A0
  Manufacture Date is Year 19 Week 50
  Serial number is LIT19500ZEK
  CLEI code is 341-0729-01

PS2 ok
  Power supply type is : 54.000000W 220v AC
  Model number is NXA-PAC-650W-PE
  H/W version is 0.0
  Part Number is 341-0729-01
  Part Revision is A0
  Manufacture Date is Year 19 Week 50
  Serial number is LIT19500ZEA
  CLEI code is 341-0729-01

---------------------------------------
Chassis has  4 Fans
---------------------------------------

FT1 ok

 Fan1(sys_fan1)(fan_model:NXA-FAN-30CFM-F)                                    is inserted but info is not available

FT2 ok

 Fan2(sys_fan2)(fan_model:NXA-FAN-30CFM-F)                                    is inserted but info is not available

FT3 ok

 Fan3(sys_fan3)(fan_model:NXA-FAN-30CFM-F)                                    is inserted but info is not available

FT4 ok

 Fan4(sys_fan4)(fan_model:NXA-FAN-30CFM-F)                                    is inserted but info is not available


====================================================================================

CLI を使用して Cisco APIC クラスタを確認する

Cisco Application Policy Infrastructure ControllerAPIC)リリース 4.2.(1) では、 cluster_health コマンドが導入されており、 Cisco APIC クラスターのステータスを段階的に確認できます。次の出力例は、非アクティブな 1 つのノード(ID 1002)を除いてすべてが問題ないシナリオを示しています。


(注)  

  cluster_health コマンドを使用するには、管理者としてログインする必要があります。

手順

クラスタ ステータスを確認するには: 

F1-APIC1# cluster_health
Password:

Running...

Checking Wiring and UUID: OK
Checking AD Processes: Running
Checking All Apics in Commission State: OK
Checking All Apics in Active State: OK
Checking Fabric Nodes: Inactive switches: ID=1002(IP=10.1.176.66/32)
Checking Apic Fully-Fit: OK
Checking Shard Convergence: OK
Checking Leadership Degration: Optimal leader for all shards
Ping OOB IPs:
APIC-1: 172.31.184.12 - OK
APIC-2: 172.31.184.13 - OK
APIC-3: 172.31.184.14 - OK
Ping Infra IPs:
APIC-1: 10.1.0.1 - OK
APIC-2: 10.1.0.2 - OK
APIC-3: 10.1.0.3 - OK
Checking APIC Versions: Same (4.2(0.261a))
Checking SSL: OK

Done!
表 1. Cluster_Health の検証手順

ステップ

説明

配線と UUID の確認

リーフ スイッチは、各 Cisco APIC の間のインフラ接続情報を、LLDP を使用して Cisco APICを検出することにより、提供します。このステップでは、リーフと、LLDP 検出中に検出された Cisco APIC の間の配線の問題をチェックします。

ここでの問題は、有効な情報がないため、リーフ スイッチが Cisco APIC にインフラ接続を提供できないことを意味します。たとえば、 Cisco APIC の UUID の不一致は、新しい APIC2 の UUID が以前の既知の APIC2 とは異なることを意味します。

UUID:ユニバーサルに一意の ID(Universally Unique ID)、または一部の出力ではシャーシ ID です。

AD プロセスの確認

Cisco APIC のクラスタリングは、 Cisco APICのそれぞれの Appliance Director プロセスによって処理されます。このステップでは、プロセスが正しく実行されているかどうかを確認します。

コミッション状態のすべての APICのチェック

  Cisco APIC クラスタリングを完了するには、すべての Cisco APICがコミッションされている必要があります。

すべての APICがアクティブ状態であることを確認する

  Cisco APIC クラスタリングを間りょいうするには、コミッションされたすべての Cisco APICがアクティブである必要があります。アクティブでない場合、 Cisco APIC はまだ起動していない可能性があります。

ファブリック ノードの確認: 非アクティブなスイッチ

  Cisco APICの通信は、リーフ スイッチとスパイン スイッチによって提供されるインフラ接続を介して行われます。この手順では、非アクティブなスイッチをチェックして、スイッチがインフラ接続を提供していることを確認します。

Fully-Fit の APIC 確認

  Cisco APICは、インフラ ネットワークを介して相互に IP 到達可能性を確立すると、データベースを相互に同期します。同期が完了すると、すべての Cisco APICのステータスが「Fully-Fit」になります。それ以外の場合、ステータスは「Data Layer Partially Diverged」などになります。

シャード収束の確認

  Cisco APICが完全に「Fully-Fit」でない場合、データベース シャードをチェックして、完全に同期されていないサービスを確認する必要があります。同期に問題のあるサービスがある場合は、Cisco TAC に連絡して、さらにトラブルシューティングを行ってください。

リーダーシップのデグレーションの確認

ACI では、各データベース シャードに 1 つのリーダー シャードがあり、クラスタ内の各 Cisco APIC に分散されます。このステップは、すべてのシャードに最適なリーダーがあるかどうかを示します。すべての Cisco APICが稼働しているときにここで問題が発生した場合は、Cisco TAC に連絡して、さらにトラブルシューティングを行ってください。

Ping OOB IP

この手順では、クラスタリングとは別に構成されている OOB IP に ping を実行して、すべての Cisco APICが稼働しているかどうかを確認します。

Ping インフラ IP

この手順では、各 Cisco APICにインフラ接続があるかどうかを確認します。 Cisco APIC クラスタリングは、OOB ではなくインフラ接続を介して実行されます。

  APIC バージョンの確認

クラスタリングを完了するには、すべての Cisco APICが同じバージョンである必要があります。

SSL の確認

すべての Cisco APICに有効な SSL を組み込む必要があります( Cisco APIC がアプライアンスとして売買される場合)。有効な SSL がないと、サーバーは Cisco APIC OS を正しく動作させることができません。