テナントリージョン管理
異なるリージョンでのテナント ポリシーの展開
Cisco Cloud Network Controller は所有権チェックを適用して、意図的にまたは誤って行われた同じテナントとリージョンの組み合わせでポリシーが展開されないようにします。たとえば、1 つの Cisco Cloud Network Controller(CNC1)がリージョン R1 の AWS アカウント IA1 に展開されており、テナントをリージョン R2 のアカウント TA1 に展開するとします。このテナント展開(TA1-R2 のアカウントとリージョンの組み合わせ)は、IA1-R1(CNC1)によって所有されています。別の Cisco Cloud Network Controller(CNC2)が将来のある時点で TA1-R2 の同じテナントとリージョンの組み合わせを管理しようとした場合(たとえば、CNC2 がリージョン R3 の AWS アカウント IA2 に導入されている場合)、展開 TA1-R2 の所有者は IA1-R1(CNC1)になります。
これらの制限は、AWS リソース グループを使用して実現されます。次の例は、有効な展開と無効な展開の組み合わせを示しています。
Cisco Cloud Network Controller |
テナント |
有効性 |
理由 |
---|---|---|---|
IA1-R1(CNC1) |
TA1-R1 |
有効 |
テナント TA1-R1 は IA1-R1(CNC1)によって所有されています。 |
IA1-R1(CNC1) |
TA1-R2 |
有効 |
テナント TA1-R2 は IA1-R1(CNC1)によって所有されています。 |
IA1-R2(CNC2) |
TA1-R1 |
無効 |
テナント TA1-R1 はすでに IA1-R1(CNC1)によって所有されています。 |
IA1-R2(CNC2) |
TA1-R3 |
有効 |
テナント TA1-R3 は IA1-R2(CNC2)によって所有されています。 |
IA2-R1(CNC3) |
TA1-R1 |
無効 |
テナント TA1-R1 はすでに IA1-R1(CNC1)によって所有されています。 |
IA2-R1(CNC3) |
TA1-R4 |
有効 |
テナント TA1-R4 は IA2-R1(CNC3)によって所有されています。 |
IA2-R1(CNC3) |
TA2-R4 |
有効 |
テナント TA2-R4 は IA2-R1(CNC3)によって所有されています。 |
展開の適用は、インフラ テナントとユーザ テナントに対して実行されます。CNC1 がリージョン R1 のアカウント IA1 に導入されており、リージョン R2 と R3 を管理しようとしている場合、リージョン R1、R2、および R3 の同じアカウント IA1 を管理しようとする別の Cisco Cloud Network Controller(たとえば CNC2)は、許可されません。
テナント リージョンの所有権の検証は、AWS リソース グループを使用して行われます。テナントとリージョンの組み合わせごとに、構文 CloudAPIC_TenantName_Region を使用してリソース グループが作成されます(たとえば、リージョン R2 の アカウント TA1 に CNC_TA1_R2 という名前が展開されている場合)。また、Cisco Cloud Network Controller がリージョン R1 のアカウント IA1 に導入されている場合は、IA1_R1_TA1_R2 の所有権タグがあります。
次に、AciOwnerTag の不一致が発生し、既存のテナント リージョンの導入が失敗する状況の例を示します。
-
最初に Cisco Cloud Network Controller があるアカウントにインストールされてから、削除され、その後 Cisco Cloud Network Controller が別のアカウントにインストールされたとします。この場合、同じテナントとリージョンの組み合わせを再度管理しようとすると、既存のすべてのテナントとリージョンの展開が失敗します。
-
最初に Cisco Cloud Network Controller があるリージョンにインストールされてから、削除され、その後 Cisco Cloud Network Controller が別のリージョンにインストールされたとします。この場合、既存のすべてのテナント リージョンの展開が失敗します。
-
別の Cisco Cloud Network Controller が同じテナント リージョンを管理しているとします。
所有権が一致しない場合、Cisco Cloud Network Controller はテナント領域のセットアップの再試行を再度実行しません。他の Cisco Cloud Network Controller が同じテナントとリージョンの組み合わせを管理していないことが確実な場合に、所有権の不一致のケースを解決するには、テナントの AWS アカウントにログインし、影響を受けるリソース グループ(CNC_123456789012_us-east-2 など)を手動で削除します。次に、Cisco Cloud Network Controller インスタンスをリロードするか、テナントを Cisco Cloud Network Controller から削除して再度追加します。