外部接続の構成

Google Cloud サイト接続ワークフローの構成

以下のセクションでは、GCP サイトのインフラストラクチャ、サイト間接続、および簡単な展開の使用例を構成する方法について説明します。ワークフローには次のものが含まれます。

  • オンプレミスの IPN デバイスを Nexus Dashboard Orchestrator で外部デバイスとして追加し、Google クラウド サイトからそれらのデバイスへの外部接続を確立するなど、一般的なインフラ設定を構成します。

  • Google Cloud サイトのインフラ テナントでの外部 VRF の構成と展開

  • Google Cloud サイトからオンプレミス サイトへのサイト間接続の構成とオンプレミス サイトから Google Cloud サイトへの接続の手動構成

  • Google Cloud サイトと AWS/Azure などの他のクラウド サイト間のサイト間接続の構成

  • サイト間のルーティングを有効にするための外部 VRF でのルート リークの構成

  • ユーザー テナントと EPG の作成またはインポート、およびサイト間の通信を可能にするための契約の適用

インフラ テナントでの外部 VRF の作成

マルチサイト ドメイン内のすべてのクラウド サイトの外部 VRF を定義する単一のスキーマを作成できます。ただし、クラウド サイトごとに異なる VRF を展開する場合があるため、異なるクラウド サイト間でテンプレートを共有することはできないため、所有するクラウド サイトごとに個別のテンプレートを作成する必要があります。

次のセクションでは、新しいタイプのテンプレートを紹介し、外部 VRF を追加するプロセスについて説明します。スキーマで、Google Cloud サイトの新しいテンプレートを作成し、クラウド ローカル テンプレートを使用して、テンプレートを Google Cloud サイトに割り当てます。

クラウド ローカルと呼ばれる新しいタイプのテンプレートを選択できます。

このタイプのテンプレートは、複数のサイトに拡張できません。すべてのタイプのクラウド サイトをサポートし、許可します。ただし、このテンプレートに添付できるサイトは 1 つだけです。このテンプレートには、VRF などのように、一部のオブジェクトがテナント内からのみである必要があるという別の制限があります。

次のセクションでは、外部デバイスのサブネットへの接続を確立するために使用される外部 VRF を作成する方法について説明します。指定されている手順に従って、外部 VRF をクラウド サイトにプロビジョニングできます。

手順

ステップ 1

Cisco Nexus Dashboard Orchestrator の GUI にログインします。
ステップ 2

メイン メニューで、[Application Management (アプリケーション管理)] > [スキーマ (Schemas)] を選択します。

ステップ 3

新しいスキーマとテンプレートを作成するか、外部 VRF 定義を含むインフラ テナントに関連付けられたテンプレートを展開する既存のスキーマを選択します。

このユース ケース専用の別個のスキーマを作成できます。ここでは、インフラ テナントに関連付けられ、外部デバイスへの接続を提供する外部 VRF を含むすべてのテンプレートを定義します。

外部 VRF テンプレートを作成する場合:

  • さまざまなタイプのクラウド サイト(AWS、Azure、または Google Cloud)に個別のテンプレートを使用する必要があります。

  • Cloud Local テンプレート タイプを選択する必要があります。

  • テンプレートをインフラ テナントにマッピングする必要があります。そうしないと、VRF は外部接続に使用できません。

  • 両方のテンプレートで同じ VRF 名を使用できます。このドキュメントの例では、extVrf1 を使用します。

ステップ 4

メインペインで、[+ オブジェクトの作成 (+Create Object)] > [VRF]を選択します。

ステップ 5

VRF の [表示名(Display Name)] を入力します。

他のすべてのオプションはデフォルト値のままにすることができます。

(注)   

VRF のサイト ローカル プロパティでは、この VRF をリージョンに付加しないでください。インフラ テナントで作成され、どのリージョンにも接続されていない VRF は、外部 VRF として扱われ、この使用例に使用できます。
ステップ 6

外部 VRF を含むテンプレートを、外部接続を確立する 1 つ以上のクラウド サイトに割り当てます。

テンプレートは、1 つのタイプのクラウド サイト(AWS、Azure、または Google Cloud)にのみ割り当てる必要があることに注意してください。
ステップ 7

テンプレートを展開して、クラウド サイトに外部 VRF を作成します。

Google Cloud サイトとオンプレミス サイト間のサイト間接続を構成します。

以下のセクションでは、GCP サイトとオンプレミス サイト間の接続を構成する方法について説明します。2 つのクラウド サイト間の接続を構成する場合は、Google Cloud サイトと他のクラウド サイト間のサイト間接続の構成 を参照してください。

外部デバイスの追加

Google Cloud サイトとオンプレミス サイトの間にサイト間接続を確立する予定がない場合は、このセクションをスキップできます。このセクションでは、Orchestrator の [サイトの接続(Site Connectivity)] ページで、外部デバイスに関する情報を Nexus Dashboard Orchestrator に提供する方法について説明します。


(注)  

次の手順では、この特定の使用例に必要な構成に焦点を当てています。すべてのインフラ構成設定に関する詳細情報は、『Cisco Nexus Dashboard Orchestrator 構成ガイド』で入手できます。

手順

ステップ 1

Cisco Nexus Dashboard Orchestrator の GUI にログインします。
ステップ 2

左のナビゲーションメニューから 、[インフラストラクチャ(Infrastructure)] > [サイト接続(Site Connectivity)]を選択します。

ステップ 3

メイン ペインにある [構成(Configure)] をクリックします。

ステップ 4

左側のサイドバーで、[全般設定(General Settings)]を選択します。

ステップ 5

[外部 デバイス(External Devices)] 情報を入力します。

この手順では、クラウド サイトからの接続を構成する外部デバイスに関する情報を提供する方法について説明します。このプロセスの詳細については、「一般的なインフラ設定の構成」を参照してください。

  1. [外部デバイス(External Devices)] タブを選択します。

  2. [外部デバイスの追加(Add External Device)] をクリックします。

    [外部デバイスの追加(Add External Device)] ダイアログが開きます。

  3. デバイスの [名前(Name)][IP アドレス(IP Address)]、および [BGP 自律システム番号(BGP Autonomous System Number)] を入力します。

    指定した IP アドレスは、デバイスの管理 IP アドレスではなく、クラウド APIC の CSR または Google Cloud ネイティブ ルータの VPN ゲートウェイ のピア アドレスとして使用されます。接続は、IPSec を使用してパブリック インターネット経由で確立されます。

  4. [保存(Save)] をクリックして、デバイス情報を保存します。

  5. 加える追加の外部デバイスについて、この手順を繰り返します。
ステップ 6

[IPSec トンネル サブネット プール(IPSec Tunnel Subnet Pools)] 領域に必要な情報を入力します。

デフォルトでは、169.254.0.0/16 のサブネットプールが設定され、IPsec トンネルがGoogle クラウドとその他のクラウド サイト(AWS/Azure)の間に作成されます。必要に応じて、既存のサブネット プールを削除し、サブネット プールを追加できます。IPSec トンネル サブネット プール エントリに使用されるサブネットは、169.254.0.0/16 ブロックの共通 /30 CIDR である必要があります。たとえば、169.254.7.0/24169.254.8.0/24 は、このフィールドのサブネットプールの許容エントリです。適切なサブネット プールを入力したら、チェックマークをクリックします。

次のサブネットは予約されており、どのトンネルにも使用できません。

  • 169.254.0.0/30

  • 169.254.1.0/30

  • 169.254.2.0/30

  • 169.254.3.0/30

  • 169.254.4.0/30

  • 169.254.5.0/30

  • 169.254.112.0/24

  • 169.254.113.0/24

  • 169.254.114.0/24

  • 169.254.169.252/30

ここで指定できるサブネットプールには、次の 2 つのタイプがあります。

  • 外部サブネット プール:クラウド サイトのルータと他のサイト(クラウドまたはオンプレミス)間の接続に使用されます。

    これらは、Nexus Dashboard Orchestrator によって管理される大規模なグローバル サブネット プールです。Orchestrator は、これらのプールからより小さなサブネットを作成し、サイト間 IPsec トンネルと外部接続 IPsec トンネルで使用するサイトに割り当てます。

    AWS/Azure の場合は、1 つ以上のクラウド サイトから外部接続を有効にするために、少なくとも 1 つの外部サブネット プールを提供する必要があります。ただし、GCP の場合、外部デバイスの接続を構成するときに、プール名を空白(未選択)のままにすることができます。この場合、Nexus Dashboard Orchestrator はサブネットから /24169.254.0.0/16 を割り当てます (範囲の先頭から、つまり 169.254.255.0/24 などになります)。

  • サイト固有のサブネット プール:クラウド サイトのルータと外部デバイス間の接続に使用されます。

    これらのサブネットは、外部接続 IPsec トンネルが特定の範囲内にあることが必要な場合に定義できます。たとえば、外部ルータに IP アドレスを割り当てるために特定のサブネットがすでに使用されており、それらのサブネットを Nexus Dashboard Orchestrator およびクラウド サイトの IPsec トンネルで引き続き使用する場合です。これらのサブネットは Orchestrator によって管理されず、各サブネットはサイト全体に割り当てられ、外部接続 IPsec トンネルにローカルで使用されます。

    サイト固有のサブネット プールに名前 (169.254.0.0/24 など) を割り当て、外部デバイスの構成時に使用できるようにします。

    名前付きサブネット プールを指定しない場合でも、クラウド サイトのサイト ルータと外部デバイス間の接続を設定すると、外部サブネット プールがクラウド サイト ルータと外部デバイスの間で確立された IPsec トンネルに対する IP 割り当てに使用されます。

(注)   

両方のサブネット プールの最小マスク長は /24 です。

1 つ以上の外部サブネット プールを追加するには:

  1. [IPsec トンネル サブネット プール(IPsec Tunnel Subnet Pools)] タブを選択します。

  2. [外部サブネット プール(External Subnet Pool)] エリアで、[+ IP アドレスの追加(+Add IP Address)] をクリックして、1 つ以上の外部サブネット プールを追加します。

    このサブネットは、以前の Nexus Dashboard Orchestrator リリースでサイト間接続用にクラウド APIC で以前に設定した、オンプレミス接続に使用されるクラウド ルータの IPsec トンネル インターフェイスとループバックに対処するために使用されます。

    サブネットは、他のオンプレミス TEP プールと重複してはならず、0.xxx または 0.0.xxで 始まってはならず、/16/24 の間のネットワーク マスク(10.12.0.0/16 など)が必要です。

  3. チェックマーク アイコンをクリックして、サブネット情報を保存します。

  4. 追加するサブネット プールについて、これらのサブステップを繰り返します。

1 つ以上の [サイト固有のサブネット プール(Site-Specific Subnet Pools)] を追加するには:

  1. [IPSec トンネル サブネット プール(IPSec Tunnel Subnet Pools)] タブを選択します。

  2. [名前付きサブネット プール(Named Subnet Pool)] エリアで、[+ IP アドレスの追加(+Add IP Address)] をクリックして、1 つ以上の外部サブネット プールを追加します。

    [名前付きサブネットプールの追加(Add Named Subnet Pool)] ダイアログが開きます。

  3. サブネットの [名前(Name)] を入力します。

    後ほど、サブネットプールの名前を使用して、後で IP アドレスを割り当てるプールを選択できます。例: extSubPool1

  4. [+ IP アドレスの追加 (+ Add IP Address)]をクリックして、1 つ以上のサブネット プールを追加します。

    サブネットには /16/24 の間のネットワークが必要で、0.x.x.x または 0.0.x.x で始めることはできません。たとえば、10.181.0.0/16 のようにします。

  5. チェックマーク アイコンをクリックして、サブネット情報を保存します。

    同じ名前付きサブネット プールに複数のサブネットを追加する場合は、この手順を繰り返します。

  6. [保存(Save)] をクリックして、名前付きサブネット プールを保存します。

  7. 追加する名前付きサブネット プールについて、これらのサブステップを繰り返します。

Google Cloud サイトとオンプレミス サイト間のサイト間接続の確立

開始する前に、次のものが必要です。

  • インフラ テナントでの外部 VRF の作成 で説明されているように、Google Cloud サイトに外部 VRF を作成して展開します。

  • 外部デバイスの追加 で説明されているように、1 つまたは複数の外部デバイスを追加しました。


    (注)  

    外部接続を構成する前に、Fabric Connectivity Infra ページのすべてのサイトを更新して展開し、AWS/AZure および Google Cloud サイトのクラウド ルータのすべての CSR が Nexus Dashboard Orchestrator に正しく反映されていることを確認できます。

始める前に

ここでは、クラウド APIC サイトにサイト固有のインフラ設定を構成する方法について説明します。開始する前に、次のことを確認してください。

  • インフラ テナントでの外部 VRF の作成 で説明されているように、Google Cloud サイトに外部 VRF を作成して展開します。

  • 外部デバイスの追加 で説明されているように、1 つまたは複数の外部デバイスを追加しました。


    (注)  

    外部接続を構成する前に、Fabric Connectivity Infra ページのすべてのサイトを更新して展開し、AWS/AZure および Google Cloud サイトのクラウド ルータのすべての CSR が Nexus Dashboard Orchestrator に正しく反映されていることを確認できます。

手順

ステップ 1

左側のペインのFabric Connectivity Infra[サイト (Sites)] の下で、特定のクラウド サイトを選択します。

これは、外部デバイスへの接続を確立するサイトです。
ステップ 2

[外部接続 (External Connectivity)] 情報を入力します。

このユース ケース構成の一部として外部デバイスに接続情報を提供するには、この手順を完了する必要があります。

  1. 右側の [<Site> 設定 (Settings)] ペインで、[外部接続 (External Connectivity)] タブを選択します。

  2. [外部接続の追加 (Add External Connectivity)] をクリックします。

    [外部接続の追加 (Add External Connectivity)] ダイアログが開きます。

  3. [VRF] ドロップダウンから、外部接続に使用する VRF を選択します。

    これは、作成済みのクラウド ルートをリークするために使用される VRF(extVrf1)です。

  4. [+外部デバイスの追加(+Add External Device)] をクリックします。

  5. [外部デバイス (External Devices)] セクションの [名前 (Name)] ドロップダウンから、外部デバイスを選択します。

    これは、一般的なインフラストラクチャ設定時に[一般設定 (General Settings)] > [外部デバイス (External Devices)] リストに追加した外部デバイスであり、すでに定義されている必要があります。

  6. [トンネル IKE バージョン(Tunnel IKE Version)]は IKE-V2 を選択します。このリリースでは、IKE-V2 のみがサポートされています。

  7. (任意)[トンネル サブネット プール (Tunnel Subnet Pool)] ドロップダウンから、サイト固有のサブネット プールのいずれかを選択します。

    サイト固有のサブネット プールは、クラウド サイトのルータと外部デバイス間の IPsec トンネルに IP アドレスを割り当てるために使用されます。ここでサイト固有のサブネット プールを指定しない場合、外部のサプネット プール サブネット プールが IP 割り当てに使用されます。

    外部デバイス接続用の専用サブネット プールを提供することは、特定のサブネットがすでに外部ルータに IP アドレスを割り当てるために使用されており、それらのサブネットを Nexus Dashboard Orchestrator およびクラウド サイトの IPsecトンネルに引き続き使用する場合に役立ちます。

  8. (オプション)[事前共有キー (Pre-Shared Key)] フィールドに、トンネルの確立に使用するカスタム キーを入力します。

    事前共有キーを提供しない場合、Cloud APIC はクラウド サイト ルータで自動的に生成します。

  9. 必要に応じて、同じ外部接続(同じ外部 VRF )に対して追加する外部デバイスについて、前のサブステップを繰り返します。

  10. 必要に応じて、追加の外部接続(異なる外部 VRF )に対してこの手順を繰り返します。

    クラウド サイト ルータと外部デバイス間のトンネルエンドポイントには 1 対 1 の関係があるため、異なる外部 VRF を使用して追加の外部接続を作成できますが、同じ外部デバイスに追加の接続を作成することはできません。

外部デバイスへの構成の展開

前のセクションでは、クラウド サイトの Cloud APIC にインフラ構成を展開して、クラウド サイトから外部デバイスへの接続を有効にする方法について説明しましたが、このセクションでは、外部デバイスからクラウド サイトへの接続を有効にする方法について説明します。

手順

ステップ 1

外部デバイスから接続をイネーブル化するために必要な情報を収集します。

手順の一部として、Nexus Dashboard Orchestrator の [外部デバイス構成ファイルの展開とダウンロード(Deploy&Download External Device config files)] オプションまたは [外部デバイス構成ファイルのダウンロード(External Device config files)] オプションを使用して、必要な構成の詳細を取得できます。

構成ファイルをダウンロードする場合:

  • ファイルの数は、外部接続があるサイトの数と一致します。

  • ファイル名の接尾辞はサイト識別子と一致します。

    たとえば、<...> -2 .config は、ファイルがサイト識別子 2 のサイト用であることを示します。サイト ID は、Nexus Dashboard Orchestrator GUI の各サイトの [サイト接続(Site Connectivity)] ページに表示されます。

ステップ 2

外部デバイスにログインします。
ステップ 3

外部デバイスからクラウド ルータへのトンネルと BGP を構成します。

外部デバイスを構成する場合:

  • 特定の要件に応じて、外部サブネットはトンネル インターフェイスと同じ VRF にある場合とない場合があります。

    外部サブネットが異なる VRF にある場合は、外部デバイスで適切なルート リークを構成する必要があります。

    (注)   

    Nexus Dashboard Orchestrator からダウンロードした構成では、IPsec および BGP 接続の確立のみが許可されることに注意してください。外部デバイス自体の内部のルート漏洩構成に関する情報は提供しません。

  • 外部サブネットがクラウド サイト ルーターにアドバタイズされると、Nexus Dashboard Orchestrator はルート リーク構成をプロビジョニングして、ユーザー テナント VRF にインポートするサブネットを選択します。

  • 次の例では、BGP 構成が外部 VRF(extVrf1)で行われ、外部サブネットと外部デバイスのトンネル インターフェイスが同じ VRF の一部であると想定しています。

次の例は、外部デバイス(この場合は ASR1K)から CSR への単一の IPsec トンネル(Tunnel100)を構成する方法を示しています。

例:

crypto ikev2 proposal ikev2-1 
 encryption aes-cbc-256 aes-cbc-192 aes-cbc-128
 integrity sha512 sha384 sha256 sha1
 group 24 21 20 19 16 15 14 2
!
crypto ikev2 policy ikev2-1 
 proposal ikev2-1
!
crypto ikev2 keyring keyring-ifc-7
 peer peer-ikev2-keyring
  address 35.220.81.45
  pre-shared-key 163988519666274287497025544399329641924
 !
crypto ikev2 profile ikev-profile-ifc-7
 match address local interface GigabitEthernet1
 match identity remote address 35.220.81.45 255.255.255.255 
 identity local address 20.92.217.94
 authentication remote pre-share
 authentication local pre-share
 keyring local keyring-ifc-7
 lifetime 3600
 dpd 10 5 periodic
 !
crypto ipsec transform-set ikev-transport-ifc-7 esp-gcm 256 
 mode tunnel
 !
crypto ipsec profile ikev-profile-ifc-7
 set transform-set ikev-transport-ifc-7 
 set pfs group14
 set ikev2-profile ikev-profile-ifc-7
 tunnel protection ipsec profile ikev-profile-ifc-7
 !
interface Tunnel100
 description To GCP VPN
 vrf forwarding wanVrf
 ip address 169.254.0.14 255.255.255.252
 ip mtu 1400
 ip tcp adjust-mss 1400
 tunnel source GigabitEthernet1
 tunnel mode ipsec ipv4
 tunnel destination 35.220.81.45
 tunnel protection ipsec profile ikev-profile-ifc-7
end

次に、BGPの構成例を以下に示します。

例:

router bgp 65320
 bgp router-id 172.16.1.1
 bgp log-neighbor-changes
 !
 address-family ipv4 vrf wanVrf
  network 172.16.8.0 mask 255.255.255.0
  network 172.16.9.0 mask 255.255.255.0
  redistribute connected
  neighbor 169.254.0.9 remote-as 65092
  neighbor 169.254.0.9 ebgp-multihop 255
  neighbor 169.254.0.9 activate
  neighbor 169.254.0.13 remote-as 65092
  neighbor 169.254.0.13 ebgp-multihop 255
  neighbor 169.254.0.13 activate
 exit-address-family
!
ステップ 4

すべての外部デバイスについて、前の手順を繰り返します。

Google Cloud サイトと他のクラウド サイト間のサイト間接続の構成

次のセクションでは、2 つのクラウド サイト間の接続を構成する方法について説明します。Google Cloud サイトとオンプレミス サイト間の接続を構成する場合は、Google Cloud サイトとオンプレミス サイト間のサイト間接続を構成します。 を参照してください。


(注)  

Google Cloud は非 EVPN 接続のみをサポートするため、すべてのクラウド サイトは BGP-IPv4 である Google Cloud と同じ接続である必要があります。他のクラウド サイトが BGP-EVPN を使用している場合、Google Cloud は引き続き管理できますが、他のクラウド サイトへのサイト間接続はありません。

始める前に

手順

ステップ 1

開始する前に、サイト間接続を確立するために、Cloud APIC に少なくとも 1 つのリージョン(サポートされる最大 4 つのリージョン)でハブ ネットワークが構成されていることを確認してください。
ステップ 2

[サイト接続(Site Connectivity)]に移動します。

ステップ 3

サイト間接続を作成するサイトを選択します。サイトを選択すると、右側のウィンドウにサイト間接続と外部接続が表示されます。
ステップ 4

サイト間接続で、[サイトの追加(Add Site)] を選択します。

ステップ 5

ダイアログ ウィンドウの [Site に Connected(Connected to Site)] で、クラウド APIC サイトを選択します。

プロトコルの下には、接続タイプとして BGP-IPv4 のみが表示されます。これは、Google Cloud サイトを選択し、Google Cloud サイトが BGP-IPv4 接続のみをサポートしているためです。
ステップ 6

外部 VRF を選択します。

ステップ 7

[外部 VRF(External VRF)] ドロップダウンから、外部 VRF を選択します。

これは、インフラ テナントでの外部 VRF の作成 に構成した外部 VRF です。

ステップ 8

[保存 (Save)] をクリックして、サイト間の接続構成を保存します。

インフラ設定の展開

このセクションでは、クラウド サイトからの外部接続用のインフラ構成を展開する方法について説明します。

手順

ステップ 1

メインペインの右上で、Deploy > Deploy & Download External Device Config files を選択します。

[展開 & IPN デバイス設定ファイルをダウンロード(Deploy & Download IPN Device config files)] 両方のクラウド APIC サイトに構成をプッシュし、クラウド サイトと外部デバイス間のエンドツーエンド インターコネクトを有効にします。

さらに、このオプションでは、外部デバイスから、自分のクラウドサイトに展開された クラウド サイト ルータへ接続できるようにするための、構成情報を含む zip ファイルをダウンロードします。すべてまたは一部の設定ファイルのどちらをダウンロードするかを選択できるようにするための、フォローアップ画面が表示されます。
ステップ 2

確認ウィンドウで [はい (Yes)] をクリックします。

[展開が開始されました。個々のサイトの展開ステータスメッセージについては、左側のメニューを参照してください (Deployment started, refer to left menu for individual site deployment status)] というメッセージにより、インフラ構成の展開が開始されたことが示されます。左側のペインのサイト名の横に表示されるアイコンで、各サイトの進行状況を確認できます。展開が成功したら、Cloud APIC ダッシュボードから、クラウド サイト全体で作成されたトンネルと BGP セッションを確認できます。

外部 EPG の作成

このセクションでは、サブネット選択を使用してインフラ テンプレートに外部 EPG を作成する方法について説明します。この外部 EPG を使用して外部ネットワークを表し、外部 EPG とクラウド EPG 間の契約を構成して適用し、クラウド サイトのエンドポイントと外部ネットワーク間の通信を許可します。

手順

ステップ 1

メイン メニューで、[Application Management (アプリケーション管理)] > [スキーマ (Schemas)] を選択します。

ステップ 2

外部 VRF を含むスキーマとテンプレートを選択します。

すべての(AWS、Azure、または Google Cloud)インフラ テンプレートに対して同様の構成を作成できますが、混乱を避けるために、次のステップで異なるアプリケーション プロファイル名を使用することをお勧めします。
ステップ 3

テンプレートで [アプリケーション プロファイル] を追加します。

作成する外部 EPG をアプリケーション プロファイルに関連付ける必要があります。
ステップ 4

外部 EPG を作成して構成します。

  1. [オブジェクトの作成] > [外部 EPG] を選択します。

  2. 外部 EPG のプロパティ サイドバーで、サイト タイプCLOUD を選択します。

  3. [アプリケーション プロファイル] ドロップダウンから、前の手順で作成したプロファイルを選択します。

  4. [仮想ルーティングと転送(Virtual Routing & Forwarding)] ドロップダウンから、先ほど作成した VRF を選択します。

ステップ 5

EPG のサイトローカル プロパティを構成します。

  1. 左側のサイドバーで、割り当て先のサイトの下にあるテンプレートを選択します。

  2. テンプレートのサイトローカル プロパティで、ルート到達性(Route Reachability)[外部サイト(External-Site)] を選択します。

  3. [セレクタの追加(Add Selector)] をクリックします。

  4. [新しいエンドポイント セレクターの追加] ダイアログで、外部サブネットを指定します。

    これは、前のセクションでルート リークを構成したクラウド サイトへの接続を必要とする外部サブネットです。たとえば、172.16.8.0/24 です。

ステップ 6

テンプレートを展開して、クラウド サイトに外部 EPG を作成します。

Google Cloud ユーザー テナントのインポート

既存のテナントをインポートする場合は、以下の手順に従ってください。新しいテナントを作成する場合は、この Google Cloud ユーザー テナントの作成 セクションを参照してください。

手順

ステップ 1

Nexus ダッシュボードの [サービス カタログ (Service Catalog)] から、Nexus Dashboard Orchestratorサービスを開きます。

Nexus ダッシュボード ユーザーのクレデンシャルを使用して自動的にログインします。
ステップ 2

Nexus Dashboard Orchestrator GUIで、サイトを管理します。

  1. 左のナビゲーションメニューから 、[インフラストラクチャ (Infrastructure)] > [サイト (Sites)]を選択します。

  2. メインペインで、Nexus Dashboard Orchestrator で管理する各ファブリックの [状態 (State)][非管理対象 (Unmanaged)] から [管理対象 (Managed)] に変更します。

ステップ 3

既存のクラウド テナントをインポートします。

  1. [サイト(Sites)] ページで、管理を有効にしたサイトの横にあるアクション (...) メニューをクリックし、[テナントのインポート(Import Tenants)] を選択します。

  2. [テナントのインポート(Import Tenants)] ダイアログで、インポートするテナントを選択し、OK をクリックします。

ステップ 4

テナントの外部接続インフラ構成が正常にインポートされたことを確認します。

外部接続をインポートするには、ハブがインスタンス化されるすべてのリージョンで構成する必要があります。

  1. [インフラストラクチャ(Infrastructure)] > [サイト接続(Site Connectivity)]ページに移動します。

  2. [構成] をクリックします。

  3. [一般設定(General Settings)] ページで、[外部デバイス(External Devices)] タブを選択します。

    外部デバイスが存在することを確認します

  4. [一般設定(General Settings)] ページで、[IPSec トンネル サブネット プール(IPSec Tunnel Subnet Pools)] タブを選択します。

    外部接続サブネット プールが存在することを確認します。

  5. 左側のサイドバーで、テナントをインポートしたサイトを選択します。

    サイトの設定で、[外部接続(External Connectivity)] タブを選択し、外部ネットワークが存在することを確認します。

(注)   

現時点では Nexus Dashboard からインフラ構成を展開せず、次のセクションに進んで外部 VRF をインポートしてください。

テナントの作成

次のセクションでは、管理対象テナントまたは非管理対象テナントを作成する方法について説明します。

ユーザー テナントの Google Cloud プロジェクトのセットアップ

このセクションの手順を実行して、ユーザー テナントの Google Cloud プロジェクトをセットアップします。そのユーザー テナントは、管理対象または管理対象外のテナントです。

手順

ステップ 1

必要に応じて、ユーザー テナントの Google Cloud プロジェクトを作成します。

各テナントは Google Cloud プロジェクトに 1 対 1 でマッピングされます。ユーザー テナント用の Google Cloud プロジェクトがまだ作成されていない場合は、次の手順に従って Google Cloud プロジェクトを作成します。

  1. Google アカウントにログインします。

  2. [IAM&Admin] > [Manage resources] に移動します。

  3. ページの上部にある [組織の選択(Select Organization)] ドロップダウン リストを使用して、プロジェクトを作成する組織を選択します。

  4. [+プロジェクトの作成(+ CREATE PROJECT)] をクリックします。

  5. 表示される [新規プロジェクト(New Project)] ウィンドウで、プロジェクト名を入力し、必要に応じて課金アカウントを選択します。

    プロジェクト名には、文字、数字、一重引用符、ハイフン、スペース、または感嘆符のみを含めることができ、4〜30 文字にする必要があります。

  6. [場所(Location)] フィールドに親組織またはフォルダを入力します。

    そのリソースは、新しいプロジェクトの階層的な親になります。

  7. [作成(CREATE)] をクリックします。

ステップ 2

Google Cloud で、この管理対象テナントに関連付けられたサービス アカウントで適切なサービス API を有効にします。

  1. Google Cloud GUIで、このユーザー テナントに関連付けられている Google Cloud プロジェクトにログインします。

    プロジェクトの ダッシュボード が表示されます。

  2. ダッシュボード の上部にある検索バーで、「API&Services」 を検索し、その検索結果をクリックして 「API&Services」 ウィンドウにアクセスします。

  3. 「API&Services」ウィンドウで、[+ ENABLE APIS AND SERVICES] タブをクリックします。

    [API ライブラリ(API Library)] ウィンドウが表示されます。

  4. [Search for APIs&Services]フィールドで、必要なサービスを検索して有効にします。

    次のリストの各サービスについて、

    1. [API とサービスの検索(Search for APIs&Services)] フィールドで API またはサービスを検索します。

    2. 検索結果をクリックすると、その API またはサービスのページが表示されます。

    3. その API またはサービス ページで [ENABLE] ボタンをクリックします。

    次に、検索して有効にする必要がある API とサービスを示します。

    • コンピューティング エンジン

    • Cloud Deployment Manager V2 API

    • Cloud Pub / Sub API

    • クラウド リソース マネージャ API

    • Service Usage API

    • Cloud Logging API

    各 API またはサービスを有効にするには数分かかります。各APIまたはサービスを有効にした後、[API とサービス(APIs&Services)] ウィンドウに戻る必要があります。

    上記のすべての API とサービスを有効にすると、次の追加の API とサービスが自動的に有効になります。

    • Identity and Access Management(IAM)API

    • IAM サービス アカウントの資格情報

    • クラウド OS ログイン API

    • クラウド DNS API

    • レコメンダAPI

    自動的に有効になっていない場合は、手動で有効にします。
ステップ 3

Google Cloud のこの管理対象テナントに必要な権限を設定します。

  1. Google Cloud GUIで、このユーザー テナントに関連付けられている Google Cloud プロジェクトにログインします。

    プロジェクトの ダッシュボード が表示されます。

  2. 左側のナビゲーション バーで、[IAM&Admin] をクリックし、[IAM] を選択します。

    [IAM] ウィンドウが表示され、いくつかのサービス アカウントが表示されます。

  3. 適切なサービス アカウントを見つけます。

  4. このサービス アカウントの権限を設定します。

    1. このサービス アカウントの行にある鉛筆アイコンをクリックします。

      [権限の編集(Edit Permissions)] ウィンドウが表示されます。

    2. [+別のロールの追加(+ ADD ANOTHER ROLE)] をクリックし、ロールとして [エディタ(Editor)] を選択します。

      サービス アカウントが表示された [IAM] ウィンドウに戻ります。

    3. [+別のロールの追加(+ ADD ANOTHER ROLE)] を再度クリックし、このサービス アカウントに必要な残りのロールを追加します。

      以下は、このプロセスの最初のステップで追加したクラウド機能サービス エージェントを含む、このサービス アカウントに割り当てる必要があるロールの完全なリストです。

      • エディタ(Editor)

      • ロール管理者

      • プロジェクト IAM 管理者

    4. 必要なすべてのロールを追加した後で、[保存(Save)] をクリックします。

      IAM ウィンドウに戻り、サービス アカウントが表示され、必要なロールがこのサービス アカウントに割り当てられます。

アンマネージド テナントの Google Cloud からの秘密キー情報の生成とダウンロード

アンマネージド テナントを作成する場合は、Google Cloud から最初に必要な秘密キー情報を生成してダウンロードする必要があります。


(注)  

管理対象テナントを作成している場合は、この手順の手順に従う必要はありません。

手順

ステップ 1

Google Cloud で、まだ選択されていない場合、アンマネージド テナントに関連付けられる Google Cloud プロジェクトを選択します。

ステップ 2

左側のナビゲーション バーで、[IAM&Admin] をクリックし、サービス アカウント を選択します。

この Google Cloud プロジェクトのサービス アカウントが表示されます。

ステップ 3

既存のサービス アカウントを選択するか、[+サービス アカウントの作成(+ CREATE SERVICE ACCOUNT)] をクリックして新しいアカウントを作成します。

このサービス アカウントの情報が表示され、[詳細(Details)] タブがデフォルトで選択されています。

ステップ 4

[キー(KEYS)] タブをクリックします。

ステップ 5

[ADD KEY(キーの作成)] > [新しいキーの作成(Create New Key)]をクリックします。

このサービス アカウントの秘密キーを作成するためのオプションを提供するウィンドウが表示されます。
ステップ 6

JSON キータイプを選択したまま、[作成(Create)] をクリックします。

秘密キーがコンピュータに保存されたことを示すウィンドウが表示されます。

ステップ 7

コンピュータにダウンロードした JSON ファイルを見つけて、コンピュータ上の安全な場所に移動します。

この JSON ファイルには、管理対象外テナントのフィールドに入力する必要があるキー情報が含まれています。

Google Cloud ユーザー テナントの作成

始める前に

Nexus Dashboard Orchestrator で Google Cloud ユーザー テナントを作成する前に、Google Cloud で特定の構成を行う必要があります。

手順

ステップ 1

Cisco Nexus Dashboard Orchestrator の GUI にログインします。
ステップ 2

左側のナビゲーションメニューで、「テナント」をクリックします。
ステップ 3

「テナント」を追加を選択します。
ステップ 4

[全般(General)] で、テナント名とオプションの説明を入力します。

テナント名は次のフォーマットにする必要があります:

[az]([-a-z0-9] * [a-z0-9])?

このことは、最初の文字が小文字でなければならず、その後のすべての文字がハイフン、小文字、または桁にできます。ただし、最後の文字にはハイフンを使用できません。
ステップ 5

[Associated Sites(関連サイト)] エリアから、テナントを作成する Google Cloud サイトを選択します。

ステップ 6

Google Cloud サイトを選択したら、編集アイコンをクリックしてアカウント情報を指定します。
ステップ 7

必須情報をすべて入力します。

  • [Google Cloud Platform ID(Google Cloud Platform ID)] : このテナント用に作成した Google Cloud ユーザー アカウントの 識別子 を指定します。

  • [アクセス タイプ(Access type)]:アクセス タイプの下に 2 つのオプションがあります:

    • Cloud APIC VMがクラウドリソースを管理できるようにするには、[管理対象アイデンティティ(Managed Identity)] を選択します。

      管理されたテナントあるいは管理されていないテナントの場合、最初に Google Cloud でプロジェクトを設定する必要があります。手順については、ユーザー テナントの Google Cloud プロジェクトのセットアップを参照してください。

    • 特定のアプリケーションを介してクラウドリソースを管理するには、[管理されていないアイデンティティ(Unmanaged Identity)] を選択します。この場合、アプリケーションのクレデンシャルも Cloud API に提供する必要があります。

      アクセス タイプとして [管理されていない識別子(Unmanaged Identity)] を選択した場合は、[キー ID(Key Id)][クライアント識別子(Client Id)] フィールドが表示されます。

  • [キー 識別子(Key Id)]アンマネージド テナントの Google Cloud からの秘密キー情報の生成とダウンロードでダウンロードした JSON ファイルの private_key_id フィールドの情報を入力します。

  • [クライアント識別子(Client Id)]アンマネージド テナントの Google Cloud からの秘密キー情報の生成とダウンロード でダウンロードした JSON ファイルの client_id フィールドの情報を入力します。

  • [E メール(Email)]:Google Cloud プロジェクトに関連付けられている E メール アドレスを入力します。

ステップ 8

Google Cloud の構成を入力したら、[保存(Save)] を選択します。

次のタスク

管理対象テナントを作成している場合は、管理されたテナントのGoogle Cloud で必要なアクセス許可を設定する必要があります。これらの手順については、管理対象テナント用に Google Cloud で必要な権限を設定する にアクセスしてください。

管理対象テナント用に Google Cloud で必要な権限を設定する

管理対象テナントを作成している場合は、Google Cloud で必要なアクセス許可を設定する必要があります。


(注)  

アンマネージド テナントを作成している場合は、この手順に従う必要はありません。

手順

ステップ 1

Google Cloud GUI で、この管理対象テナントに関連付けられる Google Cloud プロジェクトにログインします。

プロジェクトの ダッシュボード が表示されます。

ステップ 2

左側のナビゲーション バーで、[IAM&Admin] をクリックし、[IAM] を選択します。

[IAM] ウィンドウが表示され、いくつかのサービス アカウントが表示されます。

ステップ 3

インフラ アカウントに関連付けられているプロジェクトで作成されたサービス アカウントを見つけます。
ステップ 4

サービス アカウント名をコピーします。
ステップ 5

このサービス アカウント名を、ユーザー テナント プロジェクトの IAM ユーザーとして追加します。
ステップ 6

このサービス アカウントの権限を設定します。

  1. このサービス アカウントの行にある鉛筆アイコンをクリックします。

    [権限の編集(Edit Permissions)] ウィンドウが表示されます。

  2. [+別のロールの追加(+ ADD ANOTHER ROLE)] をクリックし、ロールとして [クラウド機能サービス エージェント(Cloud Functions Service Agent)]を選択します。

    サービス アカウントが表示された [IAM] ウィンドウに戻ります。

  3. [+別のロールの追加(+ ADD ANOTHER ROLE)] を再度クリックし、このサービス アカウントに必要な残りのロールを追加します。

    以下は、このプロセスの最初のステップで追加したクラウド機能サービス エージェントを含む、このサービス アカウントに割り当てる必要があるロールの完全なリストです。

    • クラウド機能サービス エージェント

    • コンピューティング インスタンス管理(v1)

    • コンピューティング ネットワーク管理者

    • コンピューティング セキュリティ管理者

    • 管理者のログイン

    • パブ/サブ管理者

    • ストレージ管理者

  4. 必要なすべてのロールを追加した後で、[保存(Save)] をクリックします。

    IAM ウィンドウに戻り、サービス アカウントが表示され、必要なロールがこのサービス アカウントに割り当てられます。

Cloud EPG の作成

すでに行ったインフラ テナント設定(外部 VRF など)とは別のテンプレートとスキーマでクラウド オブジェクトを作成することをお勧めします。

次の手順を使用して、Cloud APIC サイトの新しいスキーマを作成します。この使用例では、1 つのスキーマと 1 つのテンプレートを構成します。

この手順全体では、Nexus Dashboard Orchestrator を使用しています。

手順

ステップ 1

メイン メニューで [スキーマ] をクリックします。

ステップ 2

[スキーマ(Schema)] 画面で、[スキーマの追加(Add Schema)] ボタンをクリックします。

ステップ 3

[Untitled Schema] 画面で、ページの上部にあるテキスト Untitled Schemaを、作成するスキーマの名前(たとえば、 schema-1)に置き換えます。

ステップ 4

テンプレートを作成します。

Google Cloud サイトに割り当てられたテンプレートは拡張できないため、クラウド ローカル テンプレートを作成します。

  1. 左側のペインで、Template 1 の上にマウスを移動し、[メモ] アイコンをクリックします。次に、テンプレートの名前を変更します(例: Google Cloud の場合、template1-gcp)。

  2. 中央のペインで、スキーマを作成するエリアをクリックしてテナントを選択してください をクリックしてください。

  3. 右側のペインで、[テナントの選択(Select A Tenant)] ダイアログ ボックスにアクセスし、必要なテナントを選択します。これは、インポートした Google Cloud ユーザー テナントのインポート または Google Cloud ユーザー テナントの作成 で作成したテナントです。

ステップ 5

テナントを選択したら、テンプレートにアプリケーション プロファイルを作成します。

作成したクラウド EPG をアプリケーション プロファイルに関連付ける必要があります。
ステップ 6

Cloud EPG を作成して設定します。

  1. [オブジェクトの作成(Create Object)] > [Cloud EPG(Cloud EPGs)] を選択します。

  2. [アプリケーション プロファイル(Application Profile)] ドロップダウンから、前の手順で作成したプロファイルを選択します。

  3. [仮想ルーティングと転送(Virtual Routing & Forwarding)] ドロップダウンから、作成したクラウド VRF を選択します。

  4. 右側のプロパティ サイドバーで、この EPG 用に作成したクラウド VRF を選択します。
ステップ 7

先ほど作成したテンプレートを Google Cloud サイトに割り当てます。
ステップ 8

EPG のサイトローカル プロパティを構成します。

  1. 左側のサイドバーで、割り当て先のサイトの下にあるテンプレートを選択します。

  2. テンプレートのサイトローカル プロパティで、ルート到達可能性に対して[クラウド サイト(Cloud Site)]を選択します。

Google Cloud サイトのスキーマ、テンプレート、VRF の作成

手順

ステップ 1

メイン メニューで [スキーマ] をクリックします。

ステップ 2

[スキーマ(Schema)] 画面で、[スキーマの追加(Add Schema)] ボタンをクリックします。

ステップ 3

[Untitled Schema] 画面で、ページの上部にあるテキスト Untitled Schemaを、作成するスキーマの名前(たとえば、 schema-1)に置き換えます。

ステップ 4

最初のテンプレートを構成します。

クラウド ローカル テンプレートを選択します。

ステップ 5

左側のペインで、テンプレートの上にマウスを移動し、[メモ] アイコンをクリックします。次に、テンプレートの名前を変更します(例: template1-gcp )。

ステップ 6

クラウド テンプレートに移動します。

ステップ 7

VRF で [VRFを追加(Add VRF)] を選択し、VRF の表示名と説明を入力します。

ステップ 8

作成した VRF をクリックします。

テンプレート プロパティとサイト ローカル プロパティが画面の右側に表示されます。
ステップ 9

サイト レベルのプロパティで、[リージョンの追加(Add Region)] を選択します。

ポップアップで、目的の地域を選択します。

ステップ 10

リージョンを選択したら、[CIDR の追加(Add CIDR)] を選択します。

VRF の CIDR 情報を入力します。

  • プライマリ CIDR を追加する場合は、[プライマリ(Primary)] を選択します。

  • セカンダリ CIDR を追加する場合は、[セカンダリ(Secondary)] を選択します。

ステップ 11

サブネットとサブネット グループ ラベルを入力します。

サブネットを作成する場合、Subnet Group Labelを使用して、特定のサブネット グループに一意のラベルを割り当てます。CIDR、サブネット、およびサブネット グループ ラベルの構成の詳細については、[Google Cloud 向け Cisco Cloud APIC ユーザー ガイド(Cisco Cloud APIC for Google Cloud User Guide)]の「Google Cloud の VPC とサブネットと Cloud APIC のクラウド コンテキスト プロファイルについて」を参照してください。

ステップ 12

[保存(Save)] を選択します。

アプリケーション プロファイルと EPG の構成

手順

ステップ 1

中央のペインで、[+ アプリケーション プロファイル (+ Application profile)] をクリックします。

ステップ 2

右側のペインで、[表示名 (DISPLAY NAME)] フィールドにアプリケーション プロファイルの名前(app1など)を入力します。

ステップ 3

中央のペインで、[+ EPG の追加] をクリックします。

ステップ 4

右側のペインで、[表示名 (DISPLAY NAME)] フィールドに EPG の名前を入力します。

ステップ 5

[クラウドのプロパティ(Cloud Properties)] 領域に、前のセクションで作成した VRF(cloud-vrf など)が表示されます。

クラウド エンドポイント セレクタの追加

Cloud APIC では、クラウド EPG は、同じセキュリティ ポリシーを共有するエンドポイントの集合です。クラウド EPG は、1 つまたは複数のサブネット内にエンドポイントを持つことができ、CIDR に関連付けられます。エンドポイント セレクタと呼ばれるオブジェクトを使用して、クラウド EPG のエンドポイントを定義します。エンドポイント セレクタは、Cisco ACI によって管理される AWS、Azure、Google Cloud に割り当てられたクラウド インスタンスに対して実行されるルールのセットです。エンドポイント インスタンスに一致するエンドポイント セレクタ ルールは、そのエンドポイントをクラウド EPG に割り当てます。エンドポイントが一度に 1 つの EPG にのみ属することができる従来のオンプレミス ACI ファブリックとは異なり、複数のクラウド EPG に一致するようにエンドポイント セレクタを構成することができます。これにより、同じインスタンスが複数の Cloud EPG に属することになります。ただし、各エンドポイントが単一の EPG のみに一致するようにエンドポイント セレクタを設定することをお勧めします。以下のセクションでは、エンド ポイント セレクタを追加するプロセスについて説明します。

手順

ステップ 1

Nexus Dashboard Orchestrator で、前のセクションで作成した EPG を選択します。

ステップ 2

右側のペインの [サイトのローカルのプロパティ(Site Local Properties)] 領域で「セレクタ」見出しの下の [+セレクタ(+Selector)] をクリックします。

この EPG を拡張する予定がある場合は、代わりにテンプレート レベルでエンドポイント セレクタを追加することも選択できます。
ステップ 3

[新しいエンドポイント セレクタの追加(Add New End Point Selector)] ダイアログで、[エンドポイント セレクタ名(End Point Selector Name)] フィールドに、このエンドポイント セレクタで使用する分類に基づいて名前を入力します。

たとえば、IP サブネット分類のエンドポイント セレクタの場合は、 [IP-Subnet-EPSelector]などの名前を使用できます。

ステップ 4

[+ 式(+ Expression)] をクリックし、3 つのフィールドを使用して、クラウドでエンドポイントを分類する方法に基づいてエンドポイント セレクタを構成します。

[タイプ(Type)] フィールドは、エンドポイント セレクタに使用する式を決定します。

  • エンドポイント セレクタの個々の IP アドレスまたはサブネットを使用する場合は、[IP アドレス] を選択します。

  • エンドポイント セレクタにクラウド リージョンを使用する場合は [リージョン(Region)] を選択し、使用する特定のリージョンを選択します。

    エンドポイント セレクタの [リージョン(Region)] を選択すると、そのリージョンで起動されるテナント内のすべてのインスタンスが、このクラウド EPG に割り当てられます。

  • エンドポイント セレクタのカスタム タグまたはラベルを作成する場合は、[カスタム タグまたはラベル(Custom tags or labels)] を選択します。入力を開始してカスタム タグまたはラベルを入力し、新しいフィールドで [作成(Create)] をクリックして新しいカスタム タブまたはラベルを作成します。

[演算子(Operator)] フィールドは、タイプとその値の関係を決定します。

  • [等しい (Equals)]:[値 (value)] フィールドに 1 つの値がある場合に使用します。

  • [等しくない (Not Equals)]:値フィールドに 1 つの値がある場合に使用されます。

  • [含まれる (In)]:[値 (Value)] フィールドに複数のカンマ区切り値がある場合に使用します。

  • [含まれない (Not In)]:値フィールドに複数のカンマ区切り値がある場合に使用されます。

  • [キーを持つ (Has Key)]:式にキーのみが含まれている場合に使用されます。

  • [キーを持たない (Does Not Have Key)]: 式にキーのみが含まれている場合に使用されます。

[値 (value)] フィールドで、2 つ前のフィールドに対して行った選択に基づいて、エンドポイント セレクタに使用する値を選択します。これは、単一の IP アドレス、サブネット、AWS リージョンまたはゾーン、またはカスタム タグ値にすることができます。

このユース ケースでは、IP サブネットに基づいてエンドポイントを割り当てるため、次の例の値を使用してエンドポイント セレクタを構成します。

  • [タイプ(Type):: IP アドレス

  • [演算子(Operator)]: 等しい

  • 値: 3.3.1.0/24
ステップ 5

新しいエンドポイント セレクタの横にあるチェックマークをクリックします。
ステップ 6

[新しいエンド ポイント セレクタの追加] フォームで [保存(Save)] をクリックします。

外部 EPG とクラウド EPG 間の契約の適用

このセクションでは、クラウド サイトのエンドポイントと外部ネットワーク間の通信を許可する契約を適用する方法について説明します。Google Cloud コントラクトに関して留意すべき 1 つのことは、コントラクトは双方向トラフィックに対して双方向に展開する必要があるということです。

始める前に

手順

ステップ 1

メイン メニューで、[Application Management(アプリケーション管理)] > [スキーマ(Schemas)] を選択します。

ステップ 2

コントラクトを作成し、クラウド EPG に割り当てます。

  1. 既存のクラウド EPGを含むスキーマとテンプレートを選択します。

  2. このユース ケースに使用する契約を作成します。

    外部ネットワークと Cloud EPG 間の通信に適用する既存の契約がすでにある場合は、この手順をスキップできます。

    それ以外の場合は、Cisco ACI ファブリックでの EPG 間通信で通常行うように、コントラクトと必要なフィルタ処理を作成します。

  3. クラウド EPG にコントラクトを割り当てます。

    特定のユース ケースに基づいて、2 つの EPG (クラウド EPG と外部 EPG) のどちらが[プロバイダ(provider)]になり、どちらが[コンシューマ(consumer)]になるかを決定できます。

ステップ 3

外部 EPG にコントラクトを割り当てます。

  1. スキーマを選択し、外部 EPG を作成するテンプレートを選択します。

  2. 外部 EPG にコントラクトを割り当てます。

    クラウド EPG をプロバイダーとして構成した場合は、外部 EPG の[コンシューマ(consumer)]を選択します。それ以外の場合、クラウド EPG がコンシューマーである場合は、[プロバイダ(provider)] を選択します。

    (注)   

    外部 EPG とクラウド EPG の間でコントラクトを使用できるように、コントラクト範囲を「グローバル」に設定する必要があります。
ステップ 4

テンプレートを展開します。

Cloud VRF と外部 VRF 間のルート リークを構成

このユース ケースは、Google クラウド サイトと別のクラウドまたはオンプレミス サイトとの間のトラフィック フローを確立するために、Google クラウド VRF(ユーザー テナント内)と外部 VRF(インフラ内テナント)の間のルート リークに焦点を当てています。 2 つのクラウド VRF 間のルート リークを構成する方法については(たとえば、同じ Google Cloud サイト内でトラフィック フローを有効にするなど)、2 つのクラウド VRF 間のルート リークの構成 を参照してください。

始める前に

クラウド サイトに 1 つ以上のクラウド VRF がすでに構成されている必要があります。外部 VRF から既存のクラウド VRF へのルート リークを構成します。

手順

ステップ 1

[メイン メニュー(Main menu)]で、[Application Management(アプリケーション管理)] > [スキーマ(Schemas)] を選択します。

ステップ 2

外部 VRF からクラウド VRF へのルート リークを構成します。

次の手順は、次のルート リークを設定する方法を示しています。

  1. 外部 VRF を含むインフラ テナント テンプレートを作成したスキーマを開きます。

  2. SITES の下の左側のサイドバーで、クラウド サイトに関連付けられている特定のテンプレートを選択します。

  3. サイトローカル プロパティで、テンプレートで定義されている外部 VRF を選択します。

    これは、作成して 1 つ以上の外部デバイスに割り当てた VRF です。

  4. VRF の右側のプロパティ サイドバーで、[+リーク ルートの追加(+Add Leak Route)] をクリックします。

    [リーク ルートの追加] ダイアログが開きます。

  5. [リーク ルートの追加] ダイアログの設定領域で、[VRF の選択] をクリックし、クラウド VRF を選択します。

    この手順の目的は、外部 VRF からクラウド VRF にルートをリークすることであるため、プロパティを構成している外部 VRF からルートをリークするクラウド VRF を選択します。

  6. [リーク ルートの追加(Add Leak Routes)] ダイアログで、[すべてをリーク(Leak All)] を選択するか、特定のサブネット IP に制限します。

    [すべてをリーク(Leak All)] を選択すると、サブネット IP に 0.0.0.0/0 が入力され、すべてのルートがリークされます。リークするルートを制限することを選択した場合は、[+サブネット IP の追加] をクリックし、外部ネットワークから到達可能にするクラウド VRF のサブネット(81.0.1.0/24 など)を指定します。チェックマーク アイコンをクリックして、サブネット情報を保存します。

  7. [保存(Save)] をクリックして、ルーティング構成を保存します。

  8. テンプレートを選択し、[展開(Deploy)] をクリックして構成を展開します。

ステップ 3

クラウド VRF から外部 VRF へのルート リークを構成します。

次の手順は、逆方向のルート リークを設定する方法を示しています。

  1. クラウド VRF を定義するテンプレートを含むスキーマを開きます。

  2. 左側のサイドバーの SITES の下で、特定のクラウド サイトを選択します。

  3. サイトローカル プロパティで、クラウド VRF を選択します。

  4. VRF の右側のプロパティ サイドバーで、[+リーク ルートの追加(+Add Leak Route)] をクリックします。

    [リーク ルートの追加] ダイアログが開きます。

  5. [リーク ルートの追加] ダイアログの設定領域で、[VRF の選択] をクリックし、外部 VRF を選択します。

    この手順の目的は、クラウド VRF から外部 VRF にルートをリークすることであるため、作成した外部 VRF を選択します。

  6. [リーク ルートの追加(Add Leak Routes)] ダイアログで、[すべてをリーク(Leak All)] を選択したいかどうかもしくは、特定の[サブネット IP(Subnet IP)] に制限したいかどうかをを選択します。

    [すべてをリーク(Leak All)] を選択すると、サブネット IP に 0.0.0.0/0 が入力され、すべてのルートがリークされます。

    リークするルートを制限することを選択した場合は、[+サブネット IP の追加(+Add Subnet IP)]をクリックし、外部ネットワークから到達可能にするクラウド VRF のサブネット(81.0.1.0/24 など)を指定します。チェックマーク アイコンをクリックして、サブネット情報を保存します。

  7. [保存(Save)] をクリックして、ルーティング構成を保存します。

  8. テンプレートを選択し、[展開(Deploy)] をクリックして構成を展開します。