設定のばらつき

構成のばらつき通知と障害

パブリック クラウドに Cisco ACI を展開する場合、Cloud APIC からほとんどのファブリック構成を実行します。ただし、お客様または別のクラウド管理者が、AWS または Azure が提供するツールを使用して、クラウド プロバイダーの GUI で展開された構成を直接変更する場合があります。このような場合、Cloud APIC から展開した意図した構成とクラウド サイトの実際の構成が同期しなくなる可能性があります。これを構成のばらつきと呼びます。

リリース 5.0(2) 以降、Cloud APIC は、Cloud APIC から展開したものとクラウド サイトで実際に構成されたものとの間のセキュリティポリシー(コントラクト)構成の不一致を可視化します。


(注)  

  • リリース 25.0(1) 以降、コントラクトに加えて、EPG および VRF の構成ドリフト情報を使用できます。

  • リリース 25.0(4) 以降では、レイヤ 4 ~レイヤ 7 のサービス グラフが添付されているかどうかに関わらず、コントラクト ドリフト情報が使用可能になりました。

詳細については、「リリース 25.0(4) の更新」を参照してください。


構成のばらつきの分析には 2 つの側面があります。

  • Cloud APIC で構成され、クラウド ファブリックにデプロイされる予定のすべてのファブリック要素が適切に展開されましたか?

    このシナリオは、クラウドに展開できなかった Cloud APIC のユーザー構成エラー、クラウド プロバイダー側の接続または API の問題、またはクラウド管理者がクラウド プロバイダーの UI で直接セキュリティ ルールを手動で削除または変更した場合に発生する可能性があります。意図されていても欠落している構成は、Cloud APIC ファブリックに問題を引き起こす可能性があります。

  • クラウドに存在するが、Cloud APIC から展開することを意図していない追加の構成はありますか?

    前のシナリオと同様に、これは、接続または API の問題がある場合、またはクラウド管理者がクラウド プロバイダーの UI で直接追加のセキュリティ ルールを手動で作成した場合に発生する可能性があります。既存の、意図されていない構成では、問題が発生する可能性があります。

リリース 25.0(4) の更新

リリース 25.0(1) 以降、コントラクトに加えて、EPG および VRF の構成ドリフト情報を使用できます。

リリース 25.0(4) 以降、構成ドリフトに対して次の変更が加えられました。

  • 構成ドリフトがデフォルトで有効になりました。

  • リリース 25.0(4) 以前では、構成ドラフト情報は、レイヤ 4 ~レイヤ 7 のサービス グラフが添付されたコントラクトは使用できませんでした。リリース 25.0(4) 以降では、レイヤ 4 ~レイヤ 7 のサービス グラフが添付されているかどうかに関わらず、コントラクト ドリフト情報が使用可能になりました。詳細については、「レイヤ 4 から レイヤ 7 サービスの展開」を参照してください。

  • 構成ドリフト情報は、[クラウド リソース(Cloud Resources)]> > [ドリフト(Drifts)]にある 1 つのページに統合されました。

    詳細については、「構成ドリフトのメイン ページにアクセスする」を参照してください。

構成ドリフトのメイン ページにアクセスする

リリース 25.0(4) 以降、構成ドリフト情報が単一の [ドリフト(Drifts)] ページに統合されるようになりました。

[ドリフト(Drifts)] ページは、次の情報を提供するために使用されます。

  • 何かが削除されたかどうかを確認するには

  • 存在する必要のあるものが正しく表示されていることを確認するには

手順


ステップ 1

Cloud APIC GUI にログインします。

ステップ 2

次の順に構成ドリフトのメイン ページに移動します。

[クラウド リソース(Cloud Resources)]> > [ドリフト(Drifts)]

統合された [ドリフト(Drifts)] ページが表示されます。

[ドリフト(Drifts)] ページでは、ファブリック内の構成の問題の概要を確認できます。

[検出の概要(Detection Summary)] のエリアには、管理対象または管理対象外のオブジェクトとして検出された構成ドリフトの数、およびこの情報が最後に更新された時刻の概要が表示されます。在庫更新のタイムスタンプが古い場合は、この画面の右上隅にある [更新] アイコンをクリックして情報を更新できます。

ステップ 3

[検出の概要(Detection Summary)] エリア下の表の情報を使用して、構成のドリフトを見つけます。

  • オブジェクト:構成ドリフトに関連するオブジェクトに関する情報を提供します。

  • ステータス[ステータス(Status)] 列に表示される可能性のあるさまざまな値を次に示します。

    • Transient(低):最近の構成変更が原因である可能性が高いドリフト。ファブリックが安定するまで待つことをお勧めします。ばらつきは、次の構成の更新後に自然に解決する可能性があります。

    • Presumed(中):一時的である場合とそうでない場合があるドリフト。状態を監視し、ばらつきが続く場合は構成のトラブルシューティングを行うことをお勧めします。

    • Raised(高):クリティカルなドリフト。Cloud APIC の構成を確認し、関連する障害を確認することをお勧めします。構成を再デプロイすると、Cloud APIC とクラウド サービス間の通信の問題を解決できる場合があります。問題が解決しない場合は、テクニカル サポート ログを確認してください。

    • Unmanaged:Cisco Cloud APIC を介して作成されていない追加のインベントリ オブジェクトに関連する構成のドリフト。

  • ドリフト タイプ:以下は、[ドリフト タイプ(Drift Type)] 列に表示される可能性のあるさまざまな値です。

    • Configuration:意図した構成と実際の構成が同期しなくなる可能性がある、クラウドプロバイダー サイトの外部変更。EPG または VRF に関連する構成ドリフトに使用されます。

    • Rule:意図したセキュリティ ルールと、コントラクトを通じて確立された予期されるルールとが同期しなくなる可能性のある、クラウドプロバイダー サイトの外部変更。コントラクトに関連する構成ドリフトに使用されます。

    • Extra Object:Cisco Cloud APIC を介して作成されなかった追加のインベントリ オブジェクトを表示するために使用されます。Cisco Cloud APIC は、これらのオブジェクトでドリフト検出を実行しません。

  • Last Configuration Update:最後に構成が更新された日時に関する情報を提供します。

ステップ 4

必要に応じて、フィルタ行に情報を入力して、表に示されている構成ドリフトをフィルタリングします。

  1. [検出の概要(Detection Summary)] エリアの下にあるフィルタ行をクリックします。次のフィルタ タイプが表示されます。

    • オブジェクト

    • ステータス

    • Drift Type

    • Last Configuration Update

    • 親パス

    フィルタに適したタイプを選択します。

  2. 必要な演算子をクリックします。

    次のオプションがあります。

    • ==:等号演算子

    • !=:不等号演算子

  3. 必要なドリフト タイプをクリックします。

    オプションは、Extra ObjectRule、および Configuration です。詳細については、上記の ドリフト タイプ フィールドの説明を参照してください。

テーブルのエントリは、上記の選択に基づいてフィルタリングされます。

ステップ 5

必要に応じて、特定の構成ドリフトに関する追加情報を表示します。

このページにリストされているオブジェクトについては、[構成ドリフト(Configuration Drifts)] テーブルの該当する行をクリックして、追加の構成ドリフト情報を表示できます。サイド パネルにこの特定の構成ドリフトに関する情報がさらに表示されます。[詳細(Details)] アイコン()をクリックすると、この特定のオブジェクト向けの適切な [クラウド マッピング(Cloud Mapping)] ページが自動で表示されます。

特定のオブジェクトに関する追加の構成ドリフト情報については、次のセクションを参照してください。


欠落しているコントラクト構成の確認

このセクションでは、Cloud APIC から構成したが、クラウド ファブリックに適切にデプロイされていないコントラクト設定を確認する方法について説明します。

手順


ステップ 1

Cloud APIC GUI にログインします。

ステップ 2

[アプリケーション管理(Application Management)]> > [コントラクト(Contracts)] をクリックします。

ステップ 3

適切なコントラクトをダブルクリックして、そのコントラクトの [概要(Overview)] ページを表示します。

ステップ 4

該当する場合は、[サービス グラフ(Service Graph)] エリアに表示されるサービス グラフ情報に注意してください。

リリース 25.0(4) 以前では、構成ドラフト情報は、レイヤ 4 ~レイヤ 7 のサービス グラフが添付されたコントラクトは使用できませんでした。リリース 25.0(4) 以降では、レイヤ 4 ~レイヤ 7 のサービス グラフが添付されているかどうかに関わらず、コントラクト ドリフト情報が使用可能になりました。詳細については、「レイヤ 4 から レイヤ 7 サービスの展開」を参照してください。

ステップ 5

[クラウド マッピング(Cloud Mapping)] タブをクリックします。

クラウド マッピング ビューには、コントラクトとそれが使用するクラウド リソースに関するすべての情報が表示されます。

(注)   

[クラウド リソース(Cloud Resources)]> > [ドリフト(Drifts)]の順にクリックしてこのページに移動することも可能で、その後 [構成ドリフト(Configuration Drifts)] の表で適切な行をクリックします。 サイド パネルにこの特定の構成ドリフトに関する情報がさらに表示されます。[詳細(Details)] アイコン()をクリックすると、この特定のオブジェクト向けの適切な [クラウド マッピング(Cloud Mapping)] ページが自動で表示されます。詳細については、「構成ドリフトのメイン ページにアクセスする」を参照してください。

画面は、[検出の概要(Detection Summary)][関連オブジェクト(Related Ojects)][構成ドリフト(Configuration Drifts)] および [提示されたクラウド リソース(Presented Cloud Resources)] の 4 つのセクションに分かれています。各セクションには、選択したコントラクトに関するそれぞれの情報をリストした表が含まれています。

  • [検出の概要(Detection Summary)] の表には、検出された構成ドリフトの数、構成された意図された実際のクラウド リソースの数、およびこの情報が最後に更新された時刻の概要が表示されます。在庫更新のタイムスタンプが古い場合は、この画面の右上隅にある [更新] アイコンをクリックして情報を更新できます。

  • [関連オブジェクト(Related Objects)] エリアには、コントラクトに関連するその他のオブジェクト(コンシューマーやプロバイダーの EPG、フィルタなど)が表示されます。

  • 構成のばらつき テーブルには、コントラクト ルールに関するすべての問題が一覧表示されます。具体的には、展開することを意図していたが、実際のファブリック構成に欠落しているすべてのコントラクト ルール。

    この表には、使用されるプロトコル、ポート範囲、送信元と宛先の IP またはグループ、コンシューマーとプロバイダーの EPG、問題の説明、問題を解決するための推奨アクションなどの詳細情報が含まれています。構成ののばらつきごとに、[ステータス] フィールドにシビラティ(重大度)と推奨されるアクションが示されます。

    • Transient(低):最近の構成変更が原因である可能性が高いドリフト。ファブリックが安定するまで待つことをお勧めします。ばらつきは、次の構成の更新後に自然に解決する可能性があります。

    • Presumed(中):一時的である場合とそうでない場合があるドリフト。状態を監視し、ばらつきが続く場合は構成のトラブルシューティングを行うことをお勧めします。

    • Raised(高):クリティカルなドリフト。Cloud APIC の構成を確認し、関連する障害を確認することをお勧めします。構成を再デプロイすると、Cloud APIC とクラウド サービス間の通信の問題を解決できる場合があります。問題が解決しない場合は、テクニカル サポート ログを確認してください。

  • [提示されたクラウド リソース(Presented Cloud Resources)] の表には、クラウドで適切に構成されたすべてのリソースに関する情報が表示されます。この表は、特定のコントラクトのためにクラウドで構成されているルールをよりよく把握できるように設計されています。


欠落している EPG 構成の確認

このセクションでは、Cloud APIC から構成したが、クラウド ファブリックに適切に展開されていない EPG 設定を確認する方法について説明します。

手順


ステップ 1

Cloud APIC GUI にログインします。

ステップ 2

[アプリケーション管理(Application Management)]> > [EPG] をクリックします。

ステップ 3

適切な EPG をダブルクリックして、その EPG の [概要(Overview)] ページを表示します。

ステップ 4

[クラウド マッピング(Cloud Mapping)] タブをクリックします。

[クラウド マッピング(Cloud Mapping)] ビューには、EPG とそれが使用するクラウド リソースに関するすべての情報が表示されます。

(注)   

[クラウド リソース(Cloud Resources)]> > [ドリフト(Drifts)]の順にクリックしてこのページに移動することも可能で、その後 [構成ドリフト(Configuration Drifts)] の表で適切な行をクリックします。 サイド パネルにこの特定の構成ドリフトに関する情報がさらに表示されます。[詳細(Details)] アイコン()をクリックすると、この特定のオブジェクト向けの適切な [クラウド マッピング(Cloud Mapping)] ページが自動で表示されます。詳細については、「構成ドリフトのメイン ページにアクセスする」を参照してください。

画面は、[検出の概要(Detection Summary)][関連オブジェクト(Related Ojects)][構成ドリフト(Configuration Drifts)] および [提示されたクラウド リソース(Presented Cloud Resources)] の 4 つのセクションに分かれています。各セクションには、選択した EPG に関するそれぞれの情報をリストした表が含まれています。

  • [検出の概要(Detection Summary)] の表には、検出された構成ドリフトの数、構成された意図された実際のクラウド リソースの数、およびこの情報が最後に更新された時刻の概要が表示されます。在庫更新のタイムスタンプが古い場合は、この画面の右上隅にある [更新] アイコンをクリックして情報を更新できます。

  • [関連オブジェクト(Related Ovjects)] エリアには、セキュリティ グループ、コントラクトなど、EPG に関連するその他のオブジェクトが表示されます。

  • [構成ドリフト(Configuration Drifts)] テーブルには、EPG に関連付けられたセキュリティ グループに関するすべての問題が一覧表示されます。具体的には、展開することを意図していたが、実際のファブリック構成に欠落しているすべてのセキュリティ グループ。

    この表には、論理 DN、クラウドプロバイダー ID、ドリフト タイプ、問題の説明、問題を解決するための推奨アクションなどの詳細情報が含まれています。構成ののばらつきごとに、[ステータス] フィールドにシビラティ(重大度)と推奨されるアクションが示されます。

    • Transient(低):最近の構成変更が原因である可能性が高いドリフト。ファブリックが安定するまで待つことをお勧めします。ばらつきは、次の構成の更新後に自然に解決する可能性があります。

    • Presumed(中):一時的である場合とそうでない場合があるドリフト。状態を監視し、ばらつきが続く場合は構成のトラブルシューティングを行うことをお勧めします。

    • Raised(高):クリティカルなドリフト。Cloud APIC の構成を確認し、関連する障害を確認することをお勧めします。構成を再デプロイすると、Cloud APIC とクラウド サービス間の通信の問題を解決できる場合があります。問題が解決しない場合は、テクニカル サポート ログを確認してください。

  • [提示されたクラウド リソース(Presented Cloud Resources)] の表には、クラウドで適切に構成されたすべてのリソースに関する情報が表示されます。このテーブルは、クラウド内の特定の EPG に関連付けられているセキュリティ グループをより適切に可視化できるように設計されています。


欠落している VRF 構成の確認

このセクションでは、Cloud APIC から構成したが、クラウド ファブリックに適切に展開されていない VRF 設定を確認する方法について説明します。

手順


ステップ 1

Cloud APIC GUI にログインします。

ステップ 2

[アプリケーション管理(Application Management)]> > [VRF]をクリックします。

ステップ 3

適切な VRF をダブルクリックして、その VRF の [概要(Overview)] ページを表示します。

ステップ 4

[クラウド マッピング(Cloud Mapping)] タブをクリックします。

[クラウド マッピング(Cloud Mapping)] ビューには、VRF とそれが使用するクラウド リソースに関するすべての情報が表示されます。

(注)   

[クラウド リソース(Cloud Resources)]> > [ドリフト(Drifts)]の順にクリックしてこのページに移動することも可能で、その後 [構成ドリフト(Configuration Drifts)] の表で適切な行をクリックします。 サイド パネルにこの特定の構成ドリフトに関する情報がさらに表示されます。[詳細(Details)] アイコン()をクリックすると、この特定のオブジェクト向けの適切な [クラウド マッピング(Cloud Mapping)] ページが自動で表示されます。詳細については、「構成ドリフトのメイン ページにアクセスする」を参照してください。

画面は、[検出の概要(Detection Summary)][関連オブジェクト(Related Ojects)][構成ドリフト(Configuration Drifts)] および [提示されたクラウド リソース(Presented Cloud Resources)] の 4 つのセクションに分かれています。各セクションには、選択した VRF に関するそれぞれの情報をリストした表が含まれています。

  • [検出の概要(Detection Summary)] の表には、検出された構成ドリフトの数、構成された意図された実際のクラウド リソースの数、およびこの情報が最後に更新された時刻の概要が表示されます。在庫更新のタイムスタンプが古い場合は、この画面の右上隅にある [更新] アイコンをクリックして情報を更新できます。

  • [関連オブジェクト(Related Ovjects)] エリアには、セキュリティ グループ、CIDR、サブネットなど、VRF に関連するその他のオブジェクトが表示されます。

  • [構成ドリフト(Configuration Drifts)] の表には、仮想ネットワーク、仮想ネットワークに関連付けられている CIDR、およびそれらの CIDR 内のサブネットに関するすべての問題が一覧表示されます。具体的には、展開することを意図していたが、実際のファブリック構成に欠落しているすべての仮想ネットワーク、CIDR およびサブネット。

    いずれかのレベルで構成ドリフトがある場合、表にはそのレベルでの構成ドリフトが表示され、それより下のレベルでの構成ドリフトは表示されないことに注意してください。たとえば、構成ドリフトが CIDR レベルで発生し、その CIDR 内の対応するサブネットの場合、テーブルには CIDR エリアの構成ドリフトが表示されますが、その CIDR 内の対応するサブネットの構成ドリフトは表示されません。

    この表には、次のエリアの詳細情報が含まれています。

    • 仮想ネットワーク : 論理 DN、リージョン、プライマリ CIDR、ドリフト タイプ、問題の説明、およびそれを解決するための推奨されるアクションに関する情報を提供します。

    • CIDR:論理 DN、リージョン、CIDR ブロック範囲、プライマリ CIDR かどうか、CIDR 内のサブネット、ドリフト タイプ、問題の説明、およびそれを解決するための推奨されるアクションに関する情報を提供します。

    • サブネット:論理 DN、リージョン、IP アドレス、ドリフト タイプ、問題の説明、およびそれを解決するための推奨されるアクションに関する情報を提供します。

    構成ののばらつきごとに、[ステータス] フィールドにシビラティ(重大度)と推奨されるアクションが示されます。

    • Transient(低):最近の構成変更が原因である可能性が高いドリフト。ファブリックが安定するまで待つことをお勧めします。ばらつきは、次の構成の更新後に自然に解決する可能性があります。

    • Presumed(中):一時的である場合とそうでない場合があるドリフト。状態を監視し、ばらつきが続く場合は構成のトラブルシューティングを行うことをお勧めします。

    • Raised(高):クリティカルなドリフト。Cloud APIC の構成を確認し、関連する障害を確認することをお勧めします。構成を再デプロイすると、Cloud APIC とクラウド サービス間の通信の問題を解決できる場合があります。問題が解決しない場合は、テクニカル サポート ログを確認してください。

  • [提示されたクラウド リソース(Presented Cloud Resources)] の表には、クラウドで適切に構成されたすべてのリソースに関する情報が表示され、[構成ドリフト(Configuration Drifts)] の表(仮想ネットワーク、CIDR、およびサブネット)に表示されるのと同じ階層に分割されます。このテーブルは、クラウド内の特定の VRF に関連付けられている仮想ネットワーク、CIDR、およびサブネットをより適切に可視化できるように設計されています。


構成のばらつきのトラブルシューティング

このセクションでは、構成のばらつきプロセスが Cloud APIC で稼働していることを確認し、アプリケーション ログを確認し、必要に応じてテクニカル サポート情報を生成するためのいくつかの便利なコマンドを提供します。

手順


ステップ 1

root ユーザーとしてコンソール経由で Cisco Cloud APIC にログインします。

ステップ 2

構成のばらつきアプリケーションのステータスを確認します。

ACI-Cloud-Fabric-1# moquery -d pluginContr/plugin-Cisco_CApicDrift | egrep "dn |pluginSt |operSt |version"
dn: pluginContr/plugin-Cisco_CApicDrift
operSt: active
pluginSt: active
Verison: 5.1.0
ステップ 3

アプリケーション コンテナのステータスを確認します。

ACI-Cloud-Fabric-1# docker ps | grep drift
CONTAINER ID    IMAGE           COMMAND                 CREATED         STATUS          NAMES
649af6feb72c    a5ea08bbf541    "/opt/bin/conit.bi..."  13 hours ago    Up 13 hours     drift-api-b703e569-0aa6-859f-c538-a5fecbc5708f
ステップ 4

すべての Docker コンテナによって消費されるメモリを確認します。

消費されるメモリの合計量は 12GB 未満である必要があります。

ACI-Cloud-Fabric-1# systemctl status ifc-scheduler_allocations.slice| grep Memory
ステップ 5

必要に応じて、テクニカル サポート ログを収集します。

ログは、コントローラの /data/techsupport ディレクトリに保存されます。

ACI-Cloud-Fabric-1# trigger techsupport controllers application CApicDrift
ACI-Cloud-Fabric-1# trigger techsupport controllers application CApicDrift vendorName Cisco
ステップ 6

アプリケーション ログを確認します。

構成のばらつきプロセスのログは、/data2/logs/Cisco_CApicDrift ディレクトリに保存されます。

runhist.log ファイルには、アプリケーションが開始されるたびに情報が記録されます。次に例を示します。

# cat runhist.log
1 - Thu Jun 11 23:55:59 UTC 2020
2 - Fri Jun 12 01:19:41 UTC 2020

drift.log ファイルはアプリケーション ログ ファイルであり、構成ドリフトが更新された回数と各更新にかかった時間を表示するために使用できます。

# cat drift.log | grep ITER
{"file":"online_snapshot.go:178","func":"Wait","level":"info","msg":"ITER# 109 ENDED ===  RDFGEN TIME: 1m40.383751649s,  MODEL UPLOAD TIME 5m54.245550374s; TOTAL       TIME:: 7m34.629447083s","time":"2020-06-12T19:53:13Z"}