テナントリージョン管理
異なるリージョンでのテナント ポリシーの展開
Cisco Cloud APIC 所有権チェックを適用して、意図的にまたは誤って行われた同じテナントとリージョンの組み合わせでポリシーが展開されないようにします。たとえば、1 つ(CAPIC1)がリージョン R1 の AWS アカウント IA1 に展開されており、テナントをリージョン R2 のアカウント TA1 に展開するとします。Cisco Cloud APICこのテナント展開(TA1-R2 のアカウントとリージョンの組み合わせ)は、IA1-R1(CAPIC1)によって所有されています。別の(CAPIC2)が将来のある時点で TA1-R2 の同じテナントとリージョンの組み合わせを管理しようとした場合(たとえば、CAPIC2 がリージョン R3 の AWS アカウント IA2 に導入されている場合)、展開 TA1-R2 の所有者は IA1-R1(CAPIC1)です。Cisco Cloud APIC
これらの制限は、AWS リソース グループを使用して実現されます。次の例は、有効な展開と無効な展開の組み合わせを示しています。
Cisco Cloud APIC |
テナント |
Validity |
理由 |
---|---|---|---|
IA1-R1(CAPIC1) |
TA1-R1 |
Valid |
テナント TA1-R1 は IA1-R1(CAPIC1)によって所有されています。 |
IA1-R1(CAPIC1) |
TA1-R2 |
Valid |
テナント TA1-R2 は IA1-R1(CAPIC1)によって所有されています。 |
IA1-R2(CAPIC2) |
TA1-R1 |
無効 |
テナント TA1-R1 はすでに IA1-R1(CAPIC1)によって所有されています。 |
IA1-R2(CAPIC2) |
TA1-R3 |
Valid |
テナント TA1-R3 は IA1-R2(CAPIC2)によって所有されています。 |
IA2-R1(CAPIC3) |
TA1-R1 |
無効 |
テナント TA1-R1 はすでに IA1-R1(CAPIC1)によって所有されています。 |
IA2-R1(CAPIC3) |
TA1-R4 |
Valid |
テナント TA1-R4 は IA2-R1(CAPIC3)によって所有されています。 |
IA2-R1(CAPIC3) |
TA2-R4 |
Valid |
テナント TA2-R4 は IA2-R1(CAPIC3)によって所有されています。 |
展開の適用は、インフラ テナントとユーザ テナントに対して実行されます。CAPIC1 がリージョン R1 のアカウント IA1 に導入されており、リージョン R2 と R3 を管理しようとしている場合、リージョン R1、R2、および R3 の同じアカウント IA1 を管理しようとする別のアカウント(たとえば、CAPIC2)は許可されません。Cisco Cloud APIC
テナント リージョンの所有権の検証は、AWS リソース グループを使用して行われます。テナントとリージョンの組み合わせごとに、構文 CloudAPIC_TenantName_Regionを使用してリソース グループが作成されます(たとえば、リージョン R2 の アカウント TA1 に CAPIC_TA1_R2 という名前が展開されている場合)。また、Cisco Cloud APIC がリージョン R1 のアカウント IA1 に導入されている場合は、IA1_R1_TA1_R2 の所有権タグがあります。
次に、AciOwnerTag の不一致が発生し、既存のテナント リージョンの導入が失敗する状況の例を示します。
-
Cisco Cloud APIC が最初に 1 つのアカウントにインストールされた場合、破棄され、Cisco Cloud APIC は別のアカウントにインストールされました。この場合、同じテナントとリージョンの組み合わせを再度管理しようとすると、既存のすべてのテナントとリージョンの展開が失敗します。
-
Cisco Cloud APIC が 1 つの地域に最初にインストールされた場合、その後切断され、Cisco Cloud APIC は別の地域にインストールされます。この場合、既存のすべてのテナント リージョンの展開が失敗します。
-
別のテナントが同じテナント リージョンを管理している場合。Cisco Cloud APIC
所有権が一致しない場合、Cisco Cloud APIC はテナント領域のセットアップの再試行を再度実行しません。所有権の不一致のケースを解決するには、他のテナントが同じテナントとリージョンの組み合わせを管理していない場合は、テナントの AWS アカウントにログインし、影響を受けるリソース グループ(CAPIC_123456789012_us-east-2など)を手動で削除します。Cisco Cloud APIC次に、Cisco Cloud APIC インスタンスをリロードするか、Cisco Cloud APIC からテナントを削除して再度追加します。