Cisco ACI と Cisco UCSM の統合


(注)  

APIC リリース 6.1(2) 以降、Cisco ACI と Cisco UCSM の外部スイッチ アプリケーションとの統合はサポートされなくなりました。

Cisco ACI を使用した Cisco UCS デバイスのネットワーク ポリシーの自動化

Cisco Cisco Application Policy Infrastructure Controller(APIC)リリース 4.1(1) 以降、Cisco Unified Computing System(UCS)デバイスのネットワーク ポリシーを自動化できます。そのためには、Cisco UCS Manager(UCSM)を Cisco Application Centric Infrastructure(ACI)ファブリックに統合します。

Cisco APIC では、Cisco UCSM および virtual machine manager(VMM)からハイパーバイザ NIC 情報を取得して、VLAN プログラミングを自動化します。自動化は、Cisco UCSM が管理するすべてのデバイスに適用されます。Cisco UCS ファブリック インターコネクトおよび UCS ブレード スイッチと仮想インターフェイス カード(VIC)インターフェイスを備えた Cisco UCS B シリーズ ブレード シャーシ。

前提条件を満たしたら、Cisco Application Policy Infrastructure Controller(APIC)で 2 つのタスクを実行して、Cisco UCSM を Cisco ACI に統合する必要があります。

  • セキュリティ ドメインの基礎となる統合グループを作成します。

    統合グループを使用すると、さまざまなタイプの統合を Cisco ACI ファブリックに結び付けることができます。統合グループでは、特定のユーザー セットがそのグループとの統合にアクセスすることもできます。

    たとえば、ファブリックに複数のポッドがあり、異なるポッドに割り当てられた管理者がいる場合があります。ポッドごとに統合グループを作成し、特定のポッド内にある統合を追加できます。その後、ポッドを監督する管理者のグループにセキュリティ ドメインを割り当てることができます。

  • Cisco APIC が Cisco UCSM のネットワーキング部分を管理できるようにするタイプ UCSM の統合を作成します。

これらのタスクは、[統合(Integrations)] タブの Cisco APIC GUI で、REST API または NX-OS スタイルの CLI を使用して実行できます。

また、スイッチ マネージャを virtual machine managerに関連付ける必要がある場合もあります。

  • Cisco AVS または Microsoft SCVMM を使用する場合は、スイッチ マネージャを virtual machine manager に関連付ける必要があります。

  • VMware vSphere 分散スイッチ(VDS)を使用している場合、次のいずれかが当てはまるなら、スイッチ マネージャを仮想マシンに関連付ける必要があります。

    • LLPD または CDP が VMM ドメインの vSwitch ポリシーで有効になっていません。

    • ESXi 管理ポート(vmknic)は、Cisco ACI によって管理されるポートグループにバインドされています。

Cisco APIC は、Cisco UCS デバイスのネットワーキング コンポーネントを管理するためにのみ使用されます。Cisco UCS データ管理エンジン(DME)は、通常の機能を実行します。これらには、すべての物理要素のデータベース、プロファイル、ポリシー、プール、vNIC および vHBA テンプレートの論理構成データ、およびネットワーク関連の構成の詳細の管理が含まれます。DME は、コンポーネントの状態と状態も監視します。


(注)  
EDM UCSM 統合を使用した VMware 分散仮想スイッチ(DVS)ドメインが失敗することがあります。ドメインに接続されているエンドポイント グループ(EPG)で EPG 内分離を構成し、プライベート VLAN をサポートしない UCSM Mini 6324 を使用すると、ドメインに障害が発生します。

このセクションは、読者が Cisco UCS と Cisco UCSM に精通していることを前提としています。これらのタスクの詳細については、Cisco.com で「Cisco UCS ドキュメント」および「Cisco UCSM ドキュメント」を参照してください。

Cisco UCSM 統合の前提条件

Cisco Unified Computing System Manager(UCSM)と Cisco Application Centric Infrastructure(ACI)ファブリックの統合には、次の前提条件があります。

  • Cisco Application Policy Infrastructure Controller(APIC)リリース 4.1(1) 以降。

  • Cisco UCS と Cisco UCSM がデータセンターに正しくインストールおよび構成されている。

  • Cisco UCSM 3.2 以降。

  • 更新テンプレート タイプとして設定されている UCSM vNIC テンプレート。

  • VMware VMM ドメインまたは Microsoft System Center Virtual Machine Manager (SCVMM) ドメインの作成。

  • Cisco.com の Cisco ACI App Center にある Cisco 外部スイッチ アプリのインストール。

これらのタスクの詳細については、Cisco.com で Cisco APIC ドキュメントCisco UCSM のドキュメントを参照してください。

Cisco APIC GUI を使用した Cisco UCSM の Cisco ACI ファブリックへの統合

このセクションには、Cisco Cisco Application Centric Infrastructure(APIC)GUI を使用して Cisco Unified Computing System Manager(UCSM)を Cisco Application Policy Infrastructure Controller(ACI)ファブリックに統合する手順が含まれています。

Cisco APIC GUI を使用している統合グループの作成

Cisco Unified Computing System Manager(UCSM)を Cisco Application Policy Infrastructure Controller(ACI)ファブリックに統合するには、統合グループが必要です。統合グループは、ファブリック内のさまざまな統合に一貫したセキュリティ ドメインを提供します。

統合グループを作成するときに、必要に応じてセキュリティ ドメインを作成するか、既存のドメインを選択できます。セキュリティ ドメインを使用すると、グループに関連付けられた Cisco UCSM デバイスへのアクセスを制限できます。

Cisco APIC GUI でグループを作成し、セキュリティ ドメインを設定できます。

始める前に

本ガイドのセクション Cisco UCSM 統合の前提条件 にある前提条件を満たしている必要があります。

手順

ステップ 1

Cisco APIC にログインします。

ステップ 2

[統合(Integrations)] > [グループの作成(Create Group)] に移動します。

ステップ 3

[統合グループの作成(Create Integration Group)] ダイアログ ボックスで、以下の手順を完了します。

  1. [名前(Name)] フィールドに、統合グループの名前を入力します。

    (注)  

     
    手順 3b から手順 3d はオプションです。

  2. [セキュリティ ドメイン(Security Domains)] 領域で、[+](プラス)アイコンをクリックします。

  3. [セキュリティ ドメインの作成(Create Security Domain)] ダイアログ ボックスの [名前(Name)] フィールド。

    または、既存のセキュリティ ドメインを選択できます。その場合は、手順 3d をスキップしてください。

  4. [セキュリティ ドメインの作成(Create Security Domain)] ダイアログ ボックスの [説明(Description)] フィールドに、セキュリティ ドメインの説明を入力します。

  5. [Update] をクリックし、[Submit] をクリックします。

    作成したグループが [統合(Integrations)] 中央ペインに表示されます。

次のタスク

統合グループの統合を作成します。このガイドのCisco APIC GUI を使用した統合グループの統合作成セクションを参照してください。

また、セキュリティ ドメインを作成した場合は、ユーザーとアクセス権を割り当てます。Cisco.com の『Cisco APIC セキュリティ構成ガイド』を参照してください。

Cisco APIC GUI を使用した統合グループの統合作成

統合グループを作成したら、その統合を作成する必要があります。統合では、Cisco UCSM および対象の virtual machine manager(VMM)ドメインから情報を取得して、すべての Cisco UCSM インターフェイスで VLAN をプログラミングします。この統合により、VMM の物理 NIC MAC アドレスが Cisco UCSM MAC アドレスと関連付けられます。次に、統合により、UCSM vNIC テンプレートを介して構成された UCSM NIC がプログラムされます。

Cisco UCSM ファブリックごとに統合を作成します。複数の Cisco UCSM ファブリックがある場合は、追加のファブリックごとに 1 つの統合を作成します。

始める前に

次のタスクを完了する必要があります。

手順

ステップ 1

Cisco Application Policy Infrastructure Controller(APIC)にログインします。

ステップ 2

[統合(Integrations)] > [統合グループ(integration group)] に移動します。

ステップ 3

統合グループをダブルクリックします。

ステップ 4

左側のナビゲーション ペインで、統合グループ フォルダを展開します。

ステップ 5

[UCSM] フォルダを右クリックし、[統合マネージャの作成(Create Integration Manager)] を選択します。

ステップ 6

[統合の作成(Create Integration)] ダイアログ ボックスで、以下の手順を完了します。

  1. [名前(Name)] フィールドに、統合の名前を入力します。

  2. [デバイス IP/FQDN(Device IP/FQDN)] フィールドに、Cisco UCSM 仮想 IP アドレスまたは完全修飾ドメイン名(FQDN)を入力します。

    Cisco APIC は、ファイアウォールまたは他の認証デバイスのポート番号を指定する必要がある場合に、IP アドレスへのポート番号の追加をサポートします。ポートを指定しない場合、Cisco APIC で HTTP 接続を構成します。

    次に、デバイスの IP アドレスまたは FQDN の例を示します。

    • UCSM1.datacenter.intranet

      注:FQDN で構成されている場合、前提条件としてインストールされたアプリが DNS の変更を取得している必要があります。Cisco APIC 構成に DNS サーバを追加または削除した場合は、外部 SwitchApp を無効にしてから再度有効にして、変更をアプリに反映できるようにします。

    • UCSM1.datacenter.intranet:8080

    • 172.16.10.2

    • 172.16.10.2:8080

    複数の Cisco UCSM ファブリックがある場合、各ファブリックには独自の統合が必要です。

  3. [ユーザー名(Username)] フィールドに、Cisco UCSM に対するネットワーク管理者の読み取りおよび書き込み権限とサーバ プロファイル管理者の読み取り特権を持つユーザー名を入力します。

  4. [パスワード(Password)] フィールドに、Cisco UCSM での読み取り、書き込み、およびコンピュータのアクセス許可を持つユーザー パスワードを入力します。

  5. [Confirm Password] フィールドに、パスワードを再入力します。

  6. [展開ポリシー(Deployment policy)] フィールドで、[リーフ適用(Leaf Enforced)] を選択するか、デフォルトの [事前プロビジョニング(Pre-Provision)] を受け入れます。

    デフォルトの [事前プロビジョニング(Pre-Provision)] ポリシーを選択した場合、Cisco APIC で使用している VMM ドメインを検出します。次に、Cisco APIC でそのドメインに関連付けられているすべての VLAN をターゲットの Cisco UCSM にプッシュします。

    [リーフ適用(Leaf Enforced)] ポリシーを選択した場合、Cisco APIC でトップオブラック リーフ ノードに展開されている VLANS のみを検出します。次に、Cisco APIC で展開されていない VLAN を除外し、Cisco UCSM にプッシュされる VLAN を減らします。

    Cisco Application Centric Infrastructure(ACI)管理の EPG を ESXi 管理 NIC(vmknic)に展開することを選択した場合は、次のいずれかを実行する必要があります。

    • EPG-VMM ドメインの関連付けを、事前プロビジョニングとしての即時解決で設定します。

    • UCSM Integration Manager 展開ポリシーを事前プロビジョニングとして設定します。

  7. [NIC プロファイル構成の保持(Preserve NIC Profile Config)] フィールドで、[上書き(Overwrite)] を選択するか、 でデフォルトの [保持(Preserve)] を受け入れます。

    デフォルトの [保持(Preserve)] オプションを選択した場合、Cisco APIC では仮想 NIC(vNIC)テンプレートに存在する手動で構成された VLAN は削除されません。[上書き(Overwrite)] オプションを選択すると、手動で構成された VLAN が削除されます。必要に応じて、以前に構成された VLAN を後で削除できます。

    [保持(Preserve)] を選択した場合、Cisco APIC と Cisco UCSM 間の一貫した設定を保証するために、統合が完了したら [上書き(Overwrite)] に切り替えることができます。

  8. [送信(Submit)] をクリックします。

    Cisco APIC では統合が作成され、UCSM フォルダの下の中央の作業ウィンドウに表示できます。[システム情報(System Info)] セクションには、Cisco UCSM 対象の名前、その機能、およびファームウェア バージョン(Cisco UCSM から Cisco APIC が取得した情報)が表示されます。[システム情報(System Info)] には、Cisco ファブリック インターコネクトの ID と管理 IP アドレスも表示されます。

    統合の作業ウィンドウの [トポロジ(Topology)] タブにトポロジ(トップオブラック スイッチへのファブリック インターコネクト)も表示されます。作業ウィンドウの [システム情報(System Info)] セクションに、パス情報が表示されます。

次のタスク

次の作業を行います。

  • (オプション)接続ポリシーを変更するには、[ポリシー(Policy)] タブをクリックし、必要に応じてフィールドの内容を変更してから、[送信(Submit)] をクリックします。

  • 特定のアップリンク ポート チャネルの設定を指定する必要がある場合があります。その場合、セクション Cisco APIC GUI を使用したアップリンク ポート チャネルの管理 の指示に従います。

    Cisco UCSM ファブリックからのトラフィックが Cisco ACI リーフにのみ流れる場合、このタスクは必要ありません。

  • SCVMM を使用する場合は、セクション Cisco APIC GUI を使用したスイッチ マネージャと仮想コントローラの関連付け の手順に従って、スイッチ マネージャを仮想コントローラに関連付ける必要があります。

  • VMware vSphere 分散スイッチ(VDS)を使用する場合、VMM ドメインの vSwitch ポリシーで LLPD または CDP が有効になっていない場合は、スイッチ マネージャを仮想マシン マネージャに関連付ける必要があります。

Cisco APIC GUI を使用したアップリンク ポート チャネルの管理

デフォルトでは、Cisco Unified Computing System Manager(UCSM)で作成されたグローバル VLAN は、Cisco UCSM ファブリックの両方のファブリック インターコネクトに存在します。Cisco Application Policy Infrastructure Controller(APIC)が VLAN を作成すると、その VLAN はすべてのアップリンクで使用できます。

ただし、展開によっては、特定のアップリンク ポート チャネルを指定する必要がある場合があります。たとえば、レイヤ 2 ディスジョイント ネットワークでは、その指定を行う必要があります。

Cisco UCSM および UCSM ファブリック インターコネクトのアップリンク ポート チャネルを指定するには、次の手順を実行します。

始める前に

Cisco UCSM の統合グループと統合グループの統合を作成しておく必要があります。まだ行っていない場合は、このガイドのセクション Cisco APIC GUI を使用している統合グループの作成 および Cisco APIC GUI を使用した統合グループの統合作成 の指示に従ってください。

手順

ステップ 1

Cisco APIC にログインします。

ステップ 2

[統合(Integrations)] > [統合グループ(integration group)] > [UCSM] > [統合(integration)]に移動します。

ステップ 3

[統合(Integrations)] 作業ペインで、[アップリンク プロファイル(Uplink Profiles)] タブをクリックします。

作業ペインには、Cisco UCSM で指定されたポート チャネル インターフェイスであるアップリンク プロファイルが表示されます。

ステップ 4

目的のアップリンク プロファイルをクリックし、[管理対象(Managed)]列で [True] をクリックします。

ステップ 5

目的のアップリンク プロファイルをクリックし、[管理対象(Managed)] 列の下にあるチェック ボックスをオンにして、[更新(Update)] をクリックします。

次のタスク

次の点に注意してください。

  • Microsoft SCVMM を使用する場合は、スイッチ マネージャを virtual machine manager に関連付ける必要があります。

  • または VMware vSphere 分散スイッチ(VDS)を使用する場合、VMM ドメインの vSwitch ポリシーで LLPD または CDP が有効になっていない場合は、スイッチ マネージャを仮想マシンに関連付ける必要があります。

必要に応じて、セクション Cisco APIC GUI を使用したスイッチ マネージャと仮想コントローラの関連付け の指示に従います。

Cisco APIC GUI を使用したスイッチ マネージャと仮想コントローラの関連付け

Microsoft System Center Virtual Machine Manager (SCVMM) ドメインを使用している場合は、仮想コントローラとの関連付けに、スイッチ マネージャを選択することができます。

スイッチ マネージャを仮想マシン マネージャ(VMM)コントローラに関連付けると、Cisco Unified Computing System Manager(UCSM)統合が NIC プロファイルを決定できるようになります。これは、エンドポイント グループ(EPG)展開に対して、Link Layer Discover Protocol(LLDP)または Cisco Discovery Protocol(LLDP)に依存しない VMM ドメインをマッピングするためのものです。

Microsoft System Center Virtual Machine Manager (SCVMM) の場合、この関連付けの作成は必須です。VMware DVS の場合、VMM ドメインで LLDP/CDP が使用されていなければ、関連付けを作成します。

始める前に

次のタスクを完了する必要があります。

手順

ステップ 1

Cisco APIC にログインします。

ステップ 2

使用する仮想ドメインの種類に応じて、次の一連の手順のいずれかを実行します。[仮想ネットワーキング(Virtual Networking)] > [インベントリ(Inventory)]に移動します。

  • Microsoft SCVMM を使用する場合、[仮想ネットワーキング(Virtual Networking)] > [インベントリ(Inventory)] > [VMM ドメイン(VMM Domains)] > [Microsoft] > [domain] > [コントローラ(Controllers)] > [コントローラ(Controller)] に移動します。

ステップ 3

[コントローラ インスタンス(Controller Instance)] 中央の作業ペインで、[ポリシー(Policy)] および [全般(General)] タブを選択します。

ステップ 4

[プロパティ(Properties)] 領域で、[関連付けられた Associated Switch Managers(Associated Switch Managers)] [+](プラス)アイコンをクリックします。

ステップ 5

[スイッチ マネージャ(Switch Manager)] ドロップダウン リストからオプションを選択し、[更新(Update)] をクリックし、[送信(Submit)] をクリックします。

Cisco UCSM 統合を搭載した Cisco APIC をダウングレードする

リリース 4.1(1) から以前のリリースに Cisco Application Policy Infrastructure Controller(APIC)をダウングレードする場合、Cisco UCS Manager(UCSM)を Cisco Application Centric Infrastructure(ACI)ファブリックに統合している場合は、追加の手順を実行する必要があります。そうしないと、グローバル VLAN が Cisco UCSM から削除され、トラフィックが失われる可能性があります。

手順

ステップ 1

Cisco UCSM 設定をバックアップします。

Cisco.com の『Cisco UCS Manager GUI 構成ガイド』の「構成のバックアップと復元」の章を参照してください。

ステップ 2

Cisco APIC [アプリ(Apps)] タブから Cisco 外部スイッチ アプリを削除します。

外部スイッチ アプリを削除する前に Cisco APIC をダウングレードするか統合を削除するすると、Cisco UCSM のクリーンアップがトリガされます。

ステップ 3

Cisco APIC から Cisco 外部スイッチ アプリを削除したら、ダウングレードを続行できます。

Cisco APIC から発行された設定は引き続き UCSM に残ります。