EPG 優先グループ

EPG 優先グループ

デフォルトでは、Multi-Site アーキテクチャは EPG 間でコントラクトが設定されている場合のみ、EPG 間の通信を許可します。EPG 間にコントラクトがない場合は、EPG 間の通信は明示的に無効になります。優先グループ(PG)機能を使用すると、同じ VRF の一部である複数の EPG を指定して、コントラクトを作成する必要なく、それらの間の完全な通信を可能にすることができます。

優先グループ 対 コントラクト

コントラクト優先グループが設定されている VRF で、EPG に利用可能なポリシー施行には 2 種類あります。

  • EPG を含む – 優先グループのメンバーである EPG は、コントラクトなしでグループ内の他のすべての EPG と自由に通信できます。通信は、source-any-destination-any-permit のデフォルト ルールと適切な Multi-Site 変換に基づいています。

  • EPG を除外 - 優先グループのメンバーではない EPG は、相互に通信するためにコントラクトが必要です。そうしない場合、デフォルトの source-any-destination-any-deny ルールが適用されます。

コントラクト優先グループ機能を使用すると、拡張 VRF コンテキストのサイト間での EPG 間の通信をより詳細に制御し、設定を容易にすることができます。拡張 VRF の 2 つ以上の EPG がオープン通信を要求する一方で、他は制限された通信しかもてない場合、コントラクト優先グループとフィルタ付きのコントラクトの組み合わせを設定し、EPG 内の通信を正確に制御できます。優先グループから除外されている EPG は、source-any-destination-any-denyデフォルト ルールを上書きするコントラクトがある場合にのみ、他の EPG と通信できます。

拡張 対 シャドウ

複数のサイトの EPG が同じコントラクト優先グループの一部になるように構成されている場合、Nexus Dashboard Orchestrator は他のサイトに各サイトの EPG のシャドウを作成して、EPG からサイト間接続を正しく変換およびプログラムします。次に、コントラクト優先グループポリシーコンストラクトが、EPG 間通信の実際の EPG とシャドウ EPG の間の各サイトに適用されます。

たとえば、Site1 のウェブサービス EPG1 と Site2 のアプリサービス EPG2 がコントラクト優先グループに追加される場合を考察します。次に、EPG1 が EPG2 にアクセスする場合は、最初にサイト 2 のシャドウ EPG1 に変換され、次にコントラクト優先グループを使用して EPG2 と通信できるようになります。適切な BD は、その下の EPG がコントラクト優先グループの一部である場合、拡張されるか、シャドウされます。

VRF 優先グループ設定

優先グループを APIC で直接設定する場合は、個々の EPG で PG メンバーシップを有効にする前に、まず VRF で設定を明示的に有効にする必要があります。VRF の PG 設定が無効になっている場合、EPG はその VRF の優先グループの一部であっても、コントラクトなしでは通信できません。

一方、Nexus Dashboard Orchestrator では、GUI で VRF の PG 設定を管理することはできませんが、代わりに次のように動的に設定を調整します。

  • NDO から VRF を作成および管理する場合、NDO は、その VRF に属する EPG が優先グループの一部であるかどうかに基づいて、VRF PG 値を動的に有効または無効にします。

    つまり、1 つ以上の EPG を優先グループに追加すると、NDO は VRF の PG 設定を自動的に有効にします。優先グループから最後の EPG を削除すると、NDO は VRF フラグを無効にします。

  • VRF で PG オプションを永続的に有効にするには、最初に APIC で VRF の PG を直接有効にしてから、その VRF を NDO にインポートします。

    VRF の優先グループからすべての EPG を削除しても、NDO は設定を保持し、自動的に無効にしません。

  • 最初に PG 設定を変更せずに APIC から VRF をインポートすると、NDO はオブジェクトを NDO から作成されたかのように管理し、EPG メンバーシップに基づいて PG 設定を動的に上書きします。

制限事項

優先グループは、サイト間 L3Out 外部 EPG ではサポートされません。

優先グループに対する EPG の設定

始める前に

スキーマ テンプレートに 1 つ以上の EPG を追加する必要があります。

手順


ステップ 1

Cisco Nexus Dashboard Orchestrator の GUI にログインします。

ステップ 2

左側のナビゲーション ペインで、[スキーマ (schema)] を選択します。

ステップ 3

変更するスキーマをクリックします。

ステップ 4

優先グループの一部として、スキーマで 1 つ以上の EPG を設定します。

(注)  

 

APIC のいずれかに既存の優先グループがあり、その優先グループから Nexus Dashboard Orchestrator に EPG をインポートすることを計画している場合は、グループ内のすべての EPG をインポートする必要があります。一部の EPG が Nexus Dashboard Orchestrator によって管理され、一部がローカル APIC によって管理される優先グループを設定することはできません。

単一の EPG を追加または削除するには:

  1. EPGを選択します。

  2. 右側のプロパティ バーで、[優先グループに含める] チェックボックスをオンまたはオフにします。

  3. メイン ウィンドウの右上の隅にある [保存] をクリックします。

複数の EPG を一度に追加または削除するには:

  1. [アプリケーション プロファイル] タブの右上隅の SELECT をクリックします。

  2. 1 つまたは複数のEPGをクリックして選択するか、[すべて選択]をクリックしてすべてのEPGを選択します。

  3. [アプリケーション プロファイル (Application Profile)] タブの右上隅の ... をクリックして、[優先グループへの EPG の追加] または [優先グループからの EPG の削除] を選択します。

  4. メイン ウィンドウの右上の隅にある [保存] をクリックします。


次のタスク

VRF を選択し、右側のプロパティサイドバーで PREFERRED GROUP EPGS リストを確認すると、優先グループの一部として構成されている EPG の完全なリストを表示できます。