ファブリック ポリシーの概要
これまでに、ACME に ACI ファブリックをプロビジョニングし、リーフとスパイン スイッチ、アクセス権限、および基本的な管理ポリシー間にインフラストラクチャ領域を設定しました。次に、ACI ファブリック内で接続ポリシーの作成を開始します。APIC GUI の [Fabric] タブを使用して、デバイス ディスカバリとインベントリ管理、診断ツール、ドメインの設定、スイッチとポートの動作など、システムレベルの機能を設定します。[Fabric] ペインは 3 つのセクション([inventory]、[fabric policies]、[access policies])に分かれています。ファブリック ポリシーとアクセス ポリシーによってファブリックを設定する方法を理解することは、ACME のネットワーク チームにとって重要です。このチームは、ファブリックのリーフ ノード間の内部接続や、サーバ、ネットワーク機器、ストレージ アレイなどの外部エンティティへの接続のために、これらのポリシーを保持する必要があるからです。サーバ チームなどの他のチームも、ネットワーク チームと協力して作業する上で(特に、キャパシティを追加するビルド プロセスにおいて)、これらの概念を理解する必要があります。
この章では、[Fabric] タブの [access policies] サブセクションの主要オブジェクト(その多くが再利用可能)をレビューし、スイッチの追加および事前プロビジョニング方法について説明します。また、ACI ファブリックを効果的に運用するために新しいデバイスをファブリックに追加する場合に必要な、手順とオブジェクトについても概説します。多くのポリシーは再利用可能ですが、ACI ファブリックでのポリシーの削除による影響を理解することも重要です。
[access policies] サブセクションは複数のフォルダに分割されており、ファブリックの動作に影響するさまざまなタイプのポリシーとオブジェクトが分類されています。たとえば、インターフェイス ポリシーのフォルダにはポートの動作が設定されています(ポートの速度、リーフ スイッチ インターフェイスで LACP などのプロトコルを実行するかどうかなど)。[access policies] ビューではドメインと AEP も作成されます。また、ファブリックにおけるリーフ スイッチのアクセス ポートの基本設定は、ファブリック アクセス ポリシーによって行われます。
[Fabric] - [Access Policies]
ドメイン
ACI では、エンドポイント グループは 「who」、コントラクトは「what/when/why」に該当します。また、AEP は「where」、ドメインはファブリックの「how」と見なすことができます。デバイスがリーフ スイッチに接続している方法に応じて、さまざまなドメイン タイプが作成されます。4 つのドメイン タイプ(物理ドメイン、外部ブリッジ ドメイン、外部ルーテッド ドメイン、VMMドメイン)があります。
-
物理ドメインは、通常、ベアメタル サーバ、またはハイパーバイザの統合がオプションでないサーバに対して使用されます。
-
外部ブリッジ ドメインはレイヤ 2 接続に使用されます。たとえば、外部ブリッジ ドメインを使用して、トランクアップされている既存のスイッチをリーフ スイッチに接続できます。
-
外部ルーテッド ドメインはレイヤ 3 接続に使用されます。たとえば、外部ルーテッド ドメインを使用して、WAN ルータをリーフ スイッチに接続することができます。
-
ドメインは、[Fabric] タブで行われたポリシー モデルの設定と [Tenant] ペインにあるエンドポイント グループの設定を結びつける役割を果たします。ドメインはファブリック オペレータによって作成され、テナント管理者によってエンドポイント グループに関連付けられます。
理想的には、ポリシーを 1 回だけ作成して、ファブリックに新しいデバイスを接続するときにそれを再利用します。ポリシーとオブジェクトを最大限に再利用すると、日常業務が飛躍的に速くなり、大規模な変更が容易になります。これらのポリシーの使用状況は、 Application Policy Infrastructure Controller (APIC) GUI で [Show Usage] ボタンをクリックして表示できます。これを使用して、特定のポリシーをどのオブジェクトが使用しているかを判別することで、変更を行った場合の影響を把握することができます。
ドメインの詳細については、https://www.youtube.com/watch?v=_iQvoC9zQ_A にあるビデオ「How Devices Connect to the Fabric: Understanding Cisco ACI Domains」をご覧ください。
VLAN プール
VLAN プールにはドメインが関連付けられる EPG によって使用される VLAN が含まれています。ドメインは 1 つの VLAN プールに関連付けられます。VXLAN やマルチキャスト アドレス プールも設定できます。VLAN は、AEP の設定に基づいてリーフ スイッチでインスタンス化されます。許可/拒否の決定は、サブネットや VLAN ではなく、コントラクトとポリシー モデルに基づきます。
接続可能アクセス エンティティ プロファイル
接続可能アクセス エンティティ プロファイル(AEP)は、ファブリック設定の「where」に該当し、類似の要件を持つドメインのグループ化に使用されます。AEP はインターフェイス ポリシー グループに関連付けられます。1 つ以上のドメインを AEP に追加できます。ドメインを AEP にグループ化して関連付けることによって、ファブリックはドメイン内のさまざまなデバイスの場所を把握し、Application Policy Infrastructure Controller (APIC) は必要とする場所に VLAN やポリシーをプッシュできます。AEP は [Global Policies] セクションで設定されます。
ポリシー タイプ
大部分のポリシー フォルダにはサブフォルダがあります。たとえば、[interface policies] フォルダには、[policies]、[policy groups]、[profiles] という設定用のフォルダがあります。
スイッチ ポリシー
また、スイッチ用のポリシーもあります。たとえば、Application Policy Infrastructure Controller (APIC) GUI および vPC ポリシーで明示的 vPC 保護グループと呼ばれる、vPC ドメインを設定したりします。理想的には、ポリシーを 1 回だけ作成して、ファブリックに新しいデバイスを接続するときにそれを再利用します。ポリシーとオブジェクトを最大限に再利用すると、日常業務が飛躍的に速くなり、大規模な変更が容易になります。
スイッチ ポリシー グループ
スイッチ ポリシー グループを使用すると、スパニングツリー ポリシーやモニタリング ポリシーなど、既存のスイッチ ポリシーを活用できます。
スイッチ プロファイル
スイッチ プロファイルを使用すると、1 つ以上のリーフ スイッチを選択してインターフェイス プロファイルを関連付け、特定のノードにポートを設定できます。この関連付けによって、インターフェイスに設定がプッシュされ、インターフェイス ポリシーで設定されている場合は、ポート チャネルまたは vPC が作成されます。
次の図は、さまざまなグローバル ポリシー、スイッチ ポリシー、インターフェイス ポリシー間の関係を示しています。
インターフェイス ポリシー
インターフェイス ポリシーはインターフェイスの動作を指示し、その後、インターフェイス ポリシー グループに関連付けられます。たとえば、CDP の無効化を指示するポリシーと CDP の有効化を指示するポリシーがある場合、リーフ スイッチに新しいデバイスが接続されたときにこれらを再利用できます。
インターフェイス ポリシー グループ
インターフェイス ポリシー グループはポートの動作を指示するテンプレートであり、AEP に関連付けられます。インターフェイス ポリシー グループは、前の段落で説明したポリシーを使用して、リンクの動作方法を指定します。また、同じポート設定が必要な多数のデバイスがポートに接続していることがよくあるので、再利用可能なオブジェクトもあります。リンクのタイプに応じて、3 つのインターフェイス ポリシー グループ(アクセス ポート、ポート チャネル、vPC)があります。
リーフ スイッチのポートはデフォルトで 10 GE に設定されるので、その速度で接続するデバイスに対しては 1 GE リンク レベルのポリシーを作成する必要があります。ポート チャネルと vPC については、ポリシー グループごとにスイッチ上の単一の論理インターフェイスが指定されます。10 個の PC/vPC を作成する場合、10 のポリシー グループを作成する必要があります。アクセス ポートのポリシー グループはインターフェイス間で再利用することができます。ポリシー グループは、プロトコルやポート動作を実装する where(対象)を実際には指定しません。以降で説明するように、「where(対象)」は、スイッチ プロファイルに 1 つ以上のインターフェイス プロファイルを関連付けることによって生じます。
インターフェイス プロファイル
インターフェイス プロファイルは部分を結合するのに役立ちます。インターフェイス プロファイルはポートインターフェイス セレクタのブロックを含んでおり、前述のように、インターフェイス ポリシー グループに関連付けられます。また、これは単なる任意ポート(e1/1 など)なので、ポートを設定するには、プロファイルを特定のスイッチ プロファイルに関連付ける必要があります。
レイヤ 2 インターフェイス ポリシー
Cisco APIC リリース 1.1 では設定可能なインターフェイス ポリシーが追加され、ポート単位の VLAN シグニフィカンスが可能になりました。
Cisco Application Centric Infrastructure (Cisco ACI) ファブリックにデバイスを接続するために、タグなしトラフィック、802.1Q タグ付きトラフィック、または VXLAN カプセル化を使用できます。ポート単位の VLAN を使用すると、トラフィックが別のポートに着信される場合、同じ VLAN を異なるエンドポイント グループに使用できます。リリース 1.1 より前は、VLAN はリーフ スイッチごとに 1 つのエンドポイント グループのみを関連付けることができました。
従来のネットワークでは、ネットワーク デバイス内の VLAN 数が 4096 までに限定されているため、VLAN カプセル化に関する制限の 1 つとして、拡張性と再利用可能性が制限されています。
Cisco ACI のデフォルト設定(グローバル)では、EPG が個別のスイッチにバインドされ、異なる VLAN プールにバインドされている異なる物理ドメインを使用している限り、同じ VLAN カプセル化で EPG を使用できます。これによって、テナント間の通信を許可しなくても、テナントはファブリックを介して VLAN カプセル化 ID を再使用できます。ただし、グローバル設定では、テナントがリーフ スイッチを共有しておらず、したがって、同じリーフ スイッチ内に重複する VLAN がないと想定しています。
-
ポート単位の VLAN を使用する場合は、VLAN カプセル化 ID の代わりに、ポートと VLAN のペア(P、V)が内部に登録されます。これによって、スイッチ レベルごとのハードウェア リソース消費量が増加します。
-
1 つのブリッジ ドメインに属している 2 つの EPG は、リーフ スイッチで同じカプセル化 ID を共有できません。
-
グローバルとローカル間のレイヤ 2 インターフェイス ポリシーが変更されると、ポートがフラップすることが想定されます。つまり、トラフィックに影響します。
DWDM-SFP10G-C 光インターフェイス ポリシー
Cisco APICリリース 3.1 (1) は DWDM-SFP10G-C 光ファイバのサポートを追加し、光ファイバのインターフェイス ポリシーを含みます。DWDM-SFP10G-C ポートが挿入されるとき、デフォルトでポートにはチャンネル番号 32 があります。DWDM-SFP10G-C 光インターフェイス ポリシーでは、1 ~ 96 の番号にチャネル番号を変更でき、それで光ファイバを対応する波長に調整します。
チャネル番号 |
周波数(THz) |
波長(nm) |
---|---|---|
1 | 191.35 | 1566.72 |
2 | 191.40 | 1566.31 |
3 | 191.45 | 1565.90 |
4 | 191.50 | 1565.50 |
5 | 191.55 | 1565.09 |
6 | 191.60 | 1564.68 |
7 | 191.65 | 1564.27 |
8 | 191.70 | 1563.86 |
9 | 191.75 | 1563.45 |
10 | 191.80 | 1563.05 |
11 | 191.85 | 1562.64 |
12 | 191.90 | 1562.23 |
13 | 191.95 | 1561.83 |
14 | 192.00 | 1561.42 |
15 | 192.05 | 1561.01 |
16 | 192.10 | 1560.61 |
17 | 192.15 | 1560.20 |
18 | 192.20 | 1559.79 |
19 | 192.25 | 1559.39 |
20 | 192.30 | 1558.98 |
21 | 192.35 | 1558.58 |
22 | 192.40 | 1558.17 |
23 | 192.45 | 1557.77 |
24 | 192.50 | 1557.36 |
25 | 192.55 | 1556.96 |
26 | 192.60 | 1556.55 |
27 | 192.65 | 1556.15 |
28 | 192.70 | 1555.75 |
29 | 192.75 | 1555.34 |
30 | 192.80 | 1554.94 |
31 | 192.85 | 1554.54 |
32 | 192.90 | 1554.13 |
33 | 192.95 | 1553.73 |
34 | 193.00 | 1553.33 |
35 | 193.05 | 1552.93 |
36 | 193.10 | 1552.52 |
37 | 193.15 | 1552.12 |
38 | 193.20 | 1551.72 |
39 | 193.25 | 1551.32 |
40 | 193.30 | 1550.92 |
41 | 193.35 | 1550.52 |
42 | 193.40 | 1550.12 |
43 | 193.45 | 1549.72 |
44 | 193.50 | 1549.32 |
45 | 193.55 | 1548.91 |
46 | 193.60 | 1548.51 |
47 | 193.65 | 1548.11 |
48 | 193.70 | 1547.72 |
49 | 193.75 | 1547.32 |
50 | 193.80 | 1546.92 |
51 | 193.85 | 1546.52 |
52 | 193.90 | 1546.12 |
53 | 193.95 | 1545.72 |
54 | 194.00 | 1545.32 |
55 | 194.05 | 1544.92 |
56 | 194.10 | 1544.53 |
57 | 194.15 | 1544.13 |
58 | 194.20 | 1543.73 |
59 | 194.25 | 1543.33 |
60 | 194.30 | 1542.94 |
61 | 194.35 | 1542.54 |
62 | 194.40 | 1542.14 |
63 | 194.45 | 1541.75 |
64 | 194.50 | 1541.35 |
65 | 194.55 | 1540.95 |
66 | 194.60 | 1540.56 |
67 | 194.65 | 1540.16 |
68 | 194.70 | 1539.77 |
69 | 194.75 | 1539.37 |
70 | 194.80 | 1538.98 |
71 | 194.85 | 1538.58 |
72 | 194.90 | 1538.19 |
73 | 194.95 | 1537.79 |
74 | 195.00 | 1537.40 |
75 | 195.05 | 1537.00 |
76 | 195.10 | 1536.61 |
77 | 195.15 | 1536.22 |
78 | 195.20 | 1535.82 |
79 | 195.25 | 1535.43 |
80 | 195.30 | 1535.04 |
81 | 195.35 | 1534.64 |
82 | 195.40 | 1534.25 |
83 | 195.45 | 1533.86 |
84 | 195.50 | 1533.47 |
85 | 195.55 | 1533.07 |
86 | 195.60 | 1532.68 |
87 | 195.65 | 1532.29 |
88 | 195.70 | 1531.90 |
89 | 195.75 | 1531.51 |
90 | 195.80 | 1531.12 |
91 | 195.85 | 1530.72 |
92 | 195.90 | 1530.33 |
93 | 195.95 | 1529.94 |
94 | 196.00 | 1529.55 |
95 | 196.05 | 1529.16 |
96 | 196.10 | 1528.77 |
ベスト プラクティス
シスコは、ファブリック設定のベスト プラクティスを策定しました。これらは必須条件ではなく、すべての環境やアプリケーションに適しているわけでもありませんが、Cisco Application Centric Infrastructure (ACI) ファブリックの日常の運用を簡素化する上で役立ちます。
- ポリシー
- 可能な限りポリシーを再利用します。たとえば、LACP の場合は、アクティブ/パッシブ/オフ、ポート速度 1GE、ポート速度 10GE を指定するポリシーがあります。
- ポリシーに名前を付ける場合は、設定が伝わりやすい名前を使用します。たとえば、アクティブ モードで LACP を有効にするポリシーに、「LACP-Active」という名前を付けたりします。「デフォルト」と名付けられたポリシーが多数あります。しかし、すべてのデフォルトを覚えておくのは大変です。ですから、新しいデバイスをファブリックに追加する際にミスを防ぐためにも、わかりやすい名前を指定する必要があります。
- 各リーフ スイッチごとにスイッチ プロファイルを個別に作成し、さらに、(vPC を使用している場合は)各 vPC ペアごとにスイッチ プロファイルを作成します。
- ドメイン
- 同様の処理が必要なハイパーバイザを統合せずに、ベア メタル サーバまたはサーバ用に、テナントごとに 1 つの物理ドメインを構築します。
- 外部接続用にテナントごとに 1 つの物理ドメインを構築します。
- 複数のテナント間で VMM ドメインを活用する必要がある場合は、1 つの VMM ドメインを作成して、VMware ESXi サーバが接続しているすべてのリーフ ポートに関連付けることができます。
- AEP
- 簡素化するために、複数のドメインを 1 つの AEP に関連付けることができます。場合によっては、重複 VLAN プールなどのインフラストラクチャ VLAN を有効にしたり、ファブリック全体での VLAN の範囲を制限するために、複数の AEP の設定が必要なこともあります。