サービス VM オーケストレーション

サービス VM オーケストレーション

サービス仮想マシン(VM)オーケストレーションは、Cisco Application Policy Infrastructure Controller(APIC)でのサービス VM の作成と管理を容易にするポリシーベースの機能です。サービス VM オーケストレーションは、Cisco APIC 4.0(1) の VMware vCenter 環境向けの新機能です。

以前は、VMware vCenter でサービス VM を作成し、そのサービス VM が属していたデータセンターを定義してデータ ストアに関連付ける必要がありました。また、管理ネットワークの設定および Cisco APIC への接続も必要でした。ところが、サービス VM オーケストレーションを使用すると、これらのタスクをすべて Cisco APIC で実行できます。

サービス VM オーケストレーションは、具象デバイス(CDev)とも呼ばれるサービス VM の設定プロセスを合理化します。CDev は、論理デバイス(LDev)とも呼ばれるデバイス クラスタにグループ化されます。LDev に適用される設定とポリシーは、LDev に含まれている各 CDev に適用されます。

サービス VM オーケストレーションを使用するには、コンフィギュレーション ファイルを作成してアップロードします。次に VM インスタンス化ポリシーを設定してレイヤ 4 ~レイヤ 7 LDev を作成し、LDev に関連付ける CDev を作成します。サービス VM オーケストレーションを設定する前に、サービス VM オーケストレーションの注意事項と制約事項を読んで理解してください。

サービス VM オーケストレーション タスクは、Cisco APIC GUI、NX-OS スタイル CLI、または REST API を使用して実行できます。説明については、次の項を参照してください。

サービス VM オーケストレーションの注意事項と制約事項

サービス VM オーケストレーションを使用する場合は、次の注意事項と制約事項に留意してください。

  • サービス VM オーケストレーションは Cisco 適応型セキュリティ仮想アプライアンス(ASAv)および Palo Alto Networks デバイスでのみサポートされます。

  • サービス VM オーケストレーションを使用したハイ アベイラビリティ(HA)仮想マシン(VM)の導入は、共有ストレージでのみサポートされます。ローカル データ ストアではサポートされません。

  • 単一サービス VM または HA サービス VM の導入では、Dynamic Host Configuration Protocol(DHCP)IP アドレッシングはサポートされません。

  • VMware vCenter で作成されたポート グループまたは VM テンプレートについては、サービス VM オーケストレーションを使用する前に、Cisco Application Policy Infrastructure Controller(APIC)でインベントリを手動で同期する必要があります。設定に関するドキュメントでインベントリの同期をトリガーする方法を確認してください。

  • Palo Alto の導入は、デフォルトのユーザ名 admin とパスワード admin でのみ動作します。

  • Palo Alto デバイスを導入すると、「Script error: force config push is required」と表示されて Cisco APIC で 10 分間の障害が発生します。このメッセージの原因は Palo Alto デバイスで実行されている内部プロセスです。設定が正常にプッシュされてデバイスが安定すると、障害は解消されます。

  • Cisco APIC は、削除および再導入後に Cisco 適応型セキュリティ仮想アプライアンス(ASAv)デバイスに到達できません。この問題は、上流に位置するスイッチで古い MAC アドレスがクリアされていないために発生します。上流に位置するスイッチでサービス VM に使用される IP アドレスの MAC エントリをクリアし、サービス VM オーケストレーションを使用してサービス VM を再導入してください。

  • 既存のポリシーを複製する場合は、複製が完了するまで、論理デバイスに関連付けられている VM インスタンス化ポリシーを変更しないでください。

  • サービス VM オーケストレーションを使用してサービス VM を導入するには、追加の VMware vCenter 権限を有効にします。『Cisco ACI Virtualization Guide』で「Cisco ACI with VMware VDS Integration」の章の「Custom User Account with Minimum VMware vCenter Privileges」を参照してください。

デバイス コンフィギュレーション ファイルの作成

新しいサービス仮想マシン(VM)用にレイヤ 4 ~レイヤ 7 デバイス コンフィギュレーション ファイルを作成する必要があります。コンフィギュレーション ファイルは、Cisco 適応型セキュリティ仮想アプライアンス(ASAv)または Palo Alto Networks デバイスのいずれを使用するかによって異なります。

手順

デバイス コンフィギュレーション ファイルを作成します。

次の例のいずれかをテンプレートとして使用します。
Cisco(ASAv)
VENDOR=CISCO
MODEL=ASA
VERSION=9.9
FILENAME=asav-fixed
CONFIG_START
username $CONFIG_USERNAME password $CONFIG_PASSWORD
passwd $CONFIG_PASSWORD
enable password $CONFIG_PASSWORD
interface management0/0
ip address $CONFIG_IP $CONFIG_SUBNET
nameif management
security-level 100
route management 0.0.0.0 0.0.0.0 $CONFIG_GATEWAY 1
no shutdown
ssh 0.0.0.0 0.0.0.0 Management
ssh timeout 30
ssh version 2
http server enable
http 0.0.0.0 0.0.0.0 management
crypto key generate rsa modulus 1024
aaa authentication ssh console LOCAL
CONFIG_END
Palo Alto Networks
VENDOR=PALOALTO
MODEL=PANORAMA
VERSION=8.5
FILENAME=PaloBasicConfig
CONFIG_START
type=static
ip-address=$CONFIG_IP
default-gateway=$CONFIG_GATEWAY
netmask=$CONFIG_SUBNET
vm-auth-key=<add-vmauth-keyhere>
users= $CONFIG_USERNAME
password= $CONFIG_PASSWORD
CONFIG_END

次のタスク

デバイス コンフィギュレーション ファイルを Cisco Application Policy Infrastructure Controller(APIC)にインポートします。このガイドの手順デバイス コンフィギュレーション ファイルのインポートを参照してください。

デバイス コンフィギュレーション ファイルのインポート

デバイス コンフィギュレーション ファイルには、新しいサービス仮想マシン(VM)に必要な設定が含まれています。VM インスタンス化ポリシーを作成する前に、GUI を使用してこのファイルを Cisco Application Policy Infrastructure Controller(APIC)にインポートします。その後、論理デバイス(LDev)とも呼ばれるデバイス クラスタにそのポリシーを適用します。

コンフィギュレーション ファイルのテンプレートについては、デバイス コンフィギュレーション ファイルの作成を参照してください。

始める前に

デバイス コンフィギュレーション ファイルを作成済みです。

手順

ステップ 1

Cisco APIC にログインします。

ステップ 2

[L4-L7 Services] > [Packages] > [VM Instantiation Files] に移動します。

ステップ 3

[VM Instantiation Files] を右クリックして [Import Device Configuration File] を選択します。

または、作業ウィンドウの右上にあるハンマーとレンチのアイコンをクリックして [Import Device Configuration File] を選択することもできます。

ステップ 4

[Import Device Configuration File] ダイアログボックスで、デバイス コンフィギュレーション ファイルの保存場所を参照してファイルを選択します。

ステップ 5

[Submit] をクリックします。

Cisco APIC GUI を使用したサービス VM オーケストレーションの設定

Cisco Application Policy Infrastructure Controller(APIC)GUI でいくつかのタスクを実行してサービス VM オーケストレーションを設定できます。

Cisco APIC GUI を使用した VM インスタンス化ポリシーの作成

仮想マシン(VM)インスタンス化ファイルの作成は、サービス仮想マシン(VM)オーケストレーションを使用して Cisco Application Policy Infrastructure Controller でサービス VM を導入および管理するプロセスの最初のタスクです。デバイス クラスタまたは論理デバイス(LDev)用に作成されたポリシーが、LDev に属する具象デバイス(CDev)に適用されます。

始める前に

デバイス コンフィギュレーション ファイルを作成し、Cisco APIC にアップロードできる場所に保存済みである必要があります。本ガイドの「デバイス コンフィギュレーション ファイルの作成とアップロード」の項を参照してください。

手順

ステップ 1

Cisco APIC にログインします。

ステップ 2

[Tenants] > テナント > [Policies] > [VMM] > [VM Instantiation Policies] に移動します。

ステップ 3

作業ウィンドウの右上隅にあるハンマーとレンチのアイコンをクリックし、[Create VM Instantiation Policy] を選択します。

ステップ 4

[Create VM Instantiation Policy] ダイアログボックスで、次の手順を実行します。

  1. [Name] フィールドにポリシーの名前を入力します。

  2. [Controller] ドロップダウンリストからコントローラを選択します。

  3. [VM Template] ドロップダウンリストで、作成するサービス VM のテンプレートを選択します。

    ドロップダウンリストには、コントローラに関連付けられている VM テンプレートが表示されます。

    (注)   

    VMware vCenter で作成した VM テンプレートが表示されない場合は、次の手順を実行します。

    1. [Controller] ドロップダウンリストの横にある青色のアイコンをクリックします。

    2. [Controller Instance] ダイアログボックスの右側にあるレンチとハンマーのアイコンをクリックし、[Trigger Inventory Sync]、[Yes] の順にクリックして同期をトリガーします。

    3. [Controller Instance] ダイアログボックスを閉じて [Create VM Instantiation Policy] ダイアログボックスに戻ります。

  4. [Host Name] ドロップダウンリストで、サービス VM を導入するホストを選択します。

    VMware vSphere 分散リソース スケジューラ(DRS)クラスタまたは個々のホストを選択できます。

  5. [Data Store] ドロップダウンリストで、VM ディスクを配置するデータ ストアを選択します。

  6. [Device Configuration File] フィールドで、以前に作成したファイルを選択します。

  7. [Submit] をクリックします。

    作業ウィンドウに VM インスタンス化ポリシーが表示されます。

Cisco APIC GUI を使用してレイヤ 4 ~レイヤ 7 デバイスを作成して VM インスタンス化ポリシーに関連付ける

この手順では、レイヤ 4 ~レイヤ 7 デバイスを作成し、以前に作成した仮想マシン(VM)インスタンス化ポリシーに関連付けます。

レイヤ 4 ~ レイヤ 7 デバイスを作成する際には、物理デバイスまたは仮想マシンのいずれかに接続することができます。接続先のタイプによって、フィールドが若干異なります。物理デバイスに接続する場合は、物理インターフェイスを指定します。仮想マシンに接続する場合は、VMM ドメイン、仮想マシン、および仮想インターフェイスを指定します。また、不明モデルを選択して接続を手動で設定することもできます。

VM インスタンス化ポリシーに関連付けるレイヤ 4 ~レイヤ 7 デバイスの作成時には、ポリシーの指定および新しいサービス VM の作成も行います。


(注)  
ロード バランサであるレイヤ 4 ~ レイヤ 7 デバイスを設定する場合には、context aware パラメータは使用しません。context aware パラメータのデフォルト値は single context コンテキストです。無視することができます。

始める前に

手順

ステップ 1

Cisco Application Policy Infrastructure Controller(APIC)にログインします。

ステップ 2

[Tenants] > テナント > [Services] > [L4-L7] > [Devices] に移動します。

ステップ 3

[Devices] を右クリックして [Create L4-L7 Devices] を選択します。

または、作業ウィンドウの右上にあるアクション アイコン(交差したハンマーとレンチ)をクリックし、[Create L4-L7 Devices] を選択することもできます。

ステップ 4

[Create L4-L7 Devices] ダイアログボックスで、[General] セクションの次のフィールドに入力します。

名前

説明

Managed

(オプション)管理対象デバイスを作成する場合はチェックボックスをオンにし、非管理対象デバイスを作成する場合はオフにします。

Name

レイヤ 4 ~レイヤ 7 デバイスの名前を入力します。

サービス タイプ

ドロップダウンリストからサービスの種類を選択します。次のいずれかの種類を選択できます。

  • [ADC](アプリケーション配信コントローラ)

    [ADC] は、デフォルトのサービスの種類です。

  • [Firewall]:ルーテッドまたはトランスペアレント展開モードを選択します。

  • [Other]:その他のモード。

(注)   
ポリシー ベース リダイレクト設定では、サービスの種類として [Firewall] または [ADC] を選択します。

Device Type

[Virtual](仮想レイヤ 4 ~レイヤ 7 デバイス)を選択します。

VMM ドメイン

ドロップダウンリストから VMM ドメインを選択します。

VM Instantiation Policy

ドロップダウンリストで、前に作成した VM インスタンス化ポリシーを選択します。

選択したポリシーが新しいレイヤ 4 ~レイヤ 7 デバイスに関連付けられます。VMware vCenter で自動的に VM を作成することもできます。

デバイス パッケージ

(管理対象デバイスのみ)

使用するデバイス パッケージ(ベンダー提供)をドロップダウンリストから選択します。

Cisco APIC はデバイス パッケージを使用してデバイスと通信し、設定を行います。

Model

(管理対象デバイスのみ)

ドロップダウンリストからデバイスのモデルを選択します。

無差別モード

サービス グラフの導入後に生成される Cisco ACI 管理ポート グループで無差別モードを有効にするには、チェックボックスをオンにします。

無差別モードを有効にすると、ポート グループのすべてのトラフィックが無差別ポートに接続されている VM に到達できます。

コンテキスト認識

[Single](デフォルト)または [Multiple] を選択します。

[Single] を選択した場合、プロバイダー ネットワーク上でホストされた特定のタイプの複数のテナントでデバイス クラスタを共有することはできません。特定のユーザの特定のテナントにデバイス クラスタを提供する必要があります。

[Multiple] を選択した場合は、プロバイダー ネットワーク上でホストする特定のタイプの複数のテナントでデバイス クラスタを共有できます。たとえば、同じデバイスを共有する 2 つのホスティング会社が存在する可能性があります。

機能タイプ

次のオプションを選択できます。

  • [GoThrough](トランスペアレント モード)

  • [GoTo](ルーテッド モード)

ステップ 5

(管理対象デバイス)[Connectivity] セクションで次のフィールドに入力します。

名前

説明

APIC to Device Management Connectivity

接続のタイプを選択します。

  • ファブリックの外部にあるデバイスに接続するには、[Out-Of-Band] を選択します。

  • ファブリックを介してインバンド管理ネットワーク内のデバイスに接続するには、[In-Band] を選択します。

ステップ 6

(管理対象デバイス)[Credentials] セクションで次のフィールドに入力します。

名前

説明

Username

Cisco APIC がレイヤ 4 ~レイヤ 7 デバイスと通信できるように、デバイスのユーザ名を入力します。

Password

Cisco APIC がレイヤ 4 ~レイヤ 7 デバイスと通信できるように、デバイスのパスワードを入力します。

Confirm Password

Cisco APIC がレイヤ 4 ~レイヤ 7 デバイスと通信できるように、デバイスのパスワードを再入力します。

ステップ 7

[Devices] セクションでプラス アイコンをクリックします。

ステップ 8

[Create Device STEP 1] > [Device] ダイアログボックスで次のフィールドに入力し、具象デバイス(CDev)を設定してレイヤ 4 ~レイヤ 7 デバイスに関連付けます。

名前

説明

Name

(管理対象デバイスのみ)

新しいサービス VM の CDev 名を入力します。

Management IP

新しいサービス VM の管理ポート IP アドレスを入力します。

Gateway IP

新しいサービス VM のゲートウェイ IP アドレスを入力します。

[Subnet Mask]

新しいサービス VM のサブネットマスクを入力します。

Management Port

新しいサービス VM の管理ポートとして [http] または [https] をドロップダウンリストから選択します。

Management vNIC

ドロップダウンリストから新しいサービス VM の管理 vNIC を選択します。

VM

VMware vCenter に表示される新しいサービス VM の VM 名を入力します。

Host

(任意)

ドロップダウンリストから新しいサービス VM のホストを選択します。ホストを選択しない場合は、VM インスタンス化ポリシーで選択されているホストが使用されます。

ポリシーベース リダイレクト(PBR)および Direct Server Return(DSR)機能の場合は、トポロジに基づいて特定のホストを選択する必要があります。その場合は正しいホストを選択してください。

DSR と PDR の場合は、コンピューティング VM とサービス VM を同じトップオブラック(ToR)スイッチ ペアに置くことはできません。したがって PBR または DSR トポロジのサービス VM を導入するためのホストを選択する必要があります。選択しないと、機能によってサービス VM がコンピューティング VM と同じホストに導入される可能性があります。

Cisco Application Centric Infrastructure Virtual Edge 上で接続するデバイスについては、ハイ アベイラビリティのレイヤ 4 ~レイヤ 7 デバイスを同じホストに導入することはできません。したがって、プライマリ VM とセカンダリ VM に異なるホストを選択します。

Port Group Name

(任意)

ドロップダウンリストで、新しいサービス VM を導入するポート グループを選択します。選択しない場合は、VM テンプレートで使用されているポート グループが使用されます。

HA EPG

(任意)

 新しいサービス VM のハイ アベイラビリティ(HA)通信用に、HA エンドポイント グループ(EPG)か、vSwitch または分散型仮想スイッチ(DVS)ポート グループをドロップダウンリストから選択します。

HA Network Adapter

(任意)

 ドロップダウンリストから新しいサービス VM 用の HA ネットワーク アダプタを選択します。

Username

新しいサービス VM のユーザ名を入力します。

Password

新しいサービス VM のパスワードを入力します。

Confirm Password

パスワードを再入力します。

シャーシ

(オプション:管理対象デバイスのみ)

ドロップダウンリストからシャーシを選択します。
ステップ 9

[次へ] をクリックします。

ステップ 10

[Create Device STEP 2] > [Interfaces] ダイアログボックスの [Interfaces] セクションで、プラス アイコンをクリックします。

ステップ 11

ダイアログボックスで次のフィールドに入力し、CDev のインターフェイスを設定します。

名前

説明

Name

ドロップダウンリストからレイヤ 4 ~レイヤ 7 デバイス インターフェイスの名前を選択します。

vNIC

(仮想デバイス タイプのみ)

ドロップダウンリストから VM ネットワーク アダプタの名前を選択します。

Path

(レイヤ 4 ~レイヤ 7 デバイスが仮想デバイスの場合は省略可)

インターフェイスを接続するポート、ポート チャネル(PC)、またはバーチャル ポート チャネル(VPC)を選択します。
ステップ 12

[Interfaces] セクションでプラス アイコンをもう一度クリックし、別のインターフェイスを設定します。

ステップ 13

[Update] をクリックします。

ステップ 14

ステップ 15

レイヤ 4 ~レイヤ 7 デバイスにサービス VM をさらに追加するには、ステップ 8 ~ステップ 13 を繰り返します。
ステップ 16

複数のサービス VM を使用する場合は、[Create Device STEP 1] > [Device] ダイアログボックスの [Cluster] セクションで、デバイスごとに次のフィールドに入力します。

HA クラスタでは、クラスタのインターフェイスが、クラスタ内の両方の具体デバイスにある対応するインターフェイスにマッピングされていることを確認してください。

名前

説明

Management IP Address

クラスタの管理 IP アドレスを入力します。

Management Port

クラスタの管理ポートとして [http] または [https] をドロップダウンリストから選択します。

Device Manager

(任意)

ドロップダウンリストからクラスタ デバイス マネージャを選択します。

デバイス マネージャのみで、シスコ アプリケーション セントリック インフラストラクチャ(ACI)ファブリック内の一連のクラスタを設定できます。

[Cluster Interfaces] 領域

次のフィールドに値を入力してレイヤ 4 ~レイヤ 7 デバイスの外部接続を設定します。

  • [Type] ドロップダウンリストからクラスタ インターフェイス タイプを選択します。タイプは次のとおりです。

    • failover_link

    • ユーティリティ

    • consumer

    • provider

    • mgmt

    • cluster_ctrl_lk

    • failover-lan

    • consumer and provider

  • [Name] ドロップダウンリストからクラスタ インターフェイス名を選択します。

  • [Concrete Interfaces] ドロップダウンリストで、関連付けられている具象インターフェイスを選択します。

ステップ 17

[次へ] をクリックします。

使用しているパッケージで使用可能な機能とパラメータのリストが、[Create Device STEP 2] > [Interfaces] ダイアログボックスに表示されます。

ステップ 18

[Create Device STEP 2] > [Interfaces] ダイアログボックスで、次のいずれかの操作を実行します。

状況 結果
単一のサービス VM ステップ 19 に進みます。
HA ペア内のサービス VM

  1. [Devices] をクリックします。

  2. [Basic Parameters] タブまたは [All Parameters] タブをクリックします。

  3. 作業ウィンドウで、使用するパラメータを選択します。

    一連のパラメータは、使用している特定のパッケージと選択した特定の機能によって異なります。

  4. 選択した機能のパラメータに対して、次のように値を指定します。

    1. 変更するフィールドをダブルクリックします。

    2. 表示されたフィールドに必要な情報を入力します。

    3. [Update] をクリックします。

クラスタ内のサービス VM

  1. [Devices] をクリックします。

  2. [Basic Parameters] タブまたは [All Parameters] タブをクリックします。

  3. 作業ウィンドウで、使用するパラメータを選択します。

    一連のパラメータは、使用している特定のパッケージと選択した特定の機能によって異なります。

  4. 選択した機能のパラメータに対して、次のように値を指定します。

    1. 変更するフィールドをダブルクリックします。

    2. 表示されたフィールドに必要な情報を入力します。

    3. [Update] をクリックします。

ステップ 19

[Finish] をクリックします。

次のタスク

[Recent Tasks] で、VMware vCenter での新しいサービス VM の作成を確認できます。表示されるまでにしばらく時間がかかることがあります。

NX-OS スタイル CLI を使用したサービス VM オーケストレーションの設定

NX-OS スタイル CLI を使用して、仮想マシン(VM)インスタンス化ポリシーとレイヤ 4 ~レイヤ 7 具象デバイスを作成し、デバイスをインスタンス化ポリシーにマッピングできます。その後、内部および外部インターフェイスを VM ネットワーク アダプタにマッピングできます。

始める前に

デバイス コンフィギュレーション ファイルをインポートし、Cisco Application Policy Infrastructure Controller にアップロードできる場所に保存済みである必要があります。このガイドのデバイス コンフィギュレーション ファイルのインポートセクションを参照してください。

手順

ステップ 1

VM インスタンス化ポリシーを作成します。

例:

APIC1(config-tenant)# inst-pol VMPolName VMMname VcentercontrollerName VMtemplateName ClusterName datastorename
ステップ 2

レイヤ 4 ~レイヤ 7 具象デバイスを作成して VM インスタンス化ポリシーに関連付けます。

例:

APIC1(config)# tenant T0
APIC1(config-tenant)# l4l7 cluster name ASA-Single type virtual vlan-domain ASAVMM switching-mode AVE vm-instantiation-policy ASA-Template-Pol  service FW function go-to context single trunking disable
ステップ 3

内部および外部インターフェイスを VM ネットワーク アダプタにマッピングします。

例:

APIC1(config-cluster)# cluster-interface external
APIC1(config-cluster-interface)# member device ASA-Cdev device-interface GigabitEthernet0/0
APIC1(config-member)# vnic "Network adapter 2"
APIC1(config-member)# exit
APIC1(config-cluster)# cluster-interface internal
APIC1(config-cluster-interface)# member device ASA-Cdev device-interface GigabitEthernet0/1
APIC1(config-member)# vnic "Network adapter 3"
APIC1(config-member)# exit
APIC1(config-cluster-interface)# exit
APIC1(config-cluster)#

REST API を使用したサービス VM オーケストレーションの設定

REST API を使用してサービス VM オーケストレーションを設定できます。

始める前に

デバイス コンフィギュレーション ファイルをインポートし、Cisco Application Policy Infrastructure Controller にアップロードできる場所に保存済みである必要があります。このガイドのデバイス コンフィギュレーション ファイルのインポートセクションを参照してください。

手順

サービス VM オーケストレーションを設定します。

例:

<vnsLDevVip annotation="" contextAware="single-Context" devtype="VIRTUAL" dn="uni/tn-T0/lDevVip-NEW-HA-LDEV-20" funcType="GoTo" isCopy="no" managed="yes" mode="legacy-Mode" name="NEW-HA-LDEV-20" nameAlias="" packageModel="ASAv" promMode="no" svcType="FW" trunking="no">
                <vnsLIf annotation="" encap="unknown" name="client" nameAlias="">
                                <vnsRsMetaIf annotation="" isConAndProv="no" tDn="uni/infra/mDev-CISCO-ASA-1.3/mIfLbl-external"/>
                                <vnsRsCIfAttN annotation="" tDn="uni/tn-T0/lDevVip-NEW-HA-LDEV-20/cDev-CDEV-HA-S1-NEW/cIf-[GigabitEthernet0/0]"/>
                                <vnsRsCIfAttN annotation="" tDn="uni/tn-T0/lDevVip-NEW-HA-LDEV-20/cDev-CDEV-HA-P1-NEW/cIf-[GigabitEthernet0/0]"/>
                </vnsLIf>
                <vnsLIf annotation="" encap="unknown" name="server" nameAlias="">
                                <vnsRsMetaIf annotation="" isConAndProv="no" tDn="uni/infra/mDev-CISCO-ASA-1.3/mIfLbl-internal"/>
                                <vnsRsCIfAttN annotation="" tDn="uni/tn-T0/lDevVip-NEW-HA-LDEV-20/cDev-CDEV-HA-S1-NEW/cIf-[GigabitEthernet0/1]"/>
                                <vnsRsCIfAttN annotation="" tDn="uni/tn-T0/lDevVip-NEW-HA-LDEV-20/cDev-CDEV-HA-P1-NEW/cIf-[GigabitEthernet0/1]"/>
                </vnsLIf>
                <vnsRsLDevVipToInstPol annotation="" tDn="uni/tn-T0/svcCont/instPol-HA-POL"/>
                <vnsRsALDevToDomP annotation="" switchingMode="AVE" tDn="uni/vmmp-VMware/dom-mininet"/>
                <vnsCMgmt annotation="" dnsDomain="" gateway="0.0.0.0" host="10.197.146.178" ipAllocationType="fixed" isInBand="no" name="" nameAlias="" port="443" portGroupName="" subnetmask="0.0.0.0" vnicName=""/>
                <vnsCDev annotation="" cloneCount="0" devCtxLbl="" host="10.197.146.188" isCloneOperation="no" isTemplate="no" name="CDEV-HA-S1-NEW" nameAlias="" vcenterName="orionin103-vcenter1" vmName="ASA-S1-VM-20">
                                <vnsHAPortGroup annotation="" name="" nameAlias="" portGroupName="10.197.146.188 | VLAN2500-172-25" vnicName="Network adapter 10"/>
                                <vnsDevFolder annotation="" key="FailoverConfig" name="FailoverConfig" nameAlias="">
                                                <vnsDevParam annotation="" key="lan_unit" name="lan_unit" nameAlias="" value="secondary"/>
                                                <vnsDevParam annotation="" key="failover" name="failover" nameAlias="" value="enable"/>
                                                <vnsDevFolder annotation="" key="mgmt_standby_ip" name="mgmt_standby_ip" nameAlias="">
                                                                <vnsDevParam annotation="" key="standby_ip" name="standby_ip" nameAlias="" value="10.197.146.178"/>
                                                </vnsDevFolder>
                                                <vnsDevFolder annotation="" key="polltime" name="polltime" nameAlias="">
                                                                <vnsDevParam annotation="" key="interval_value" name="interval_value" nameAlias="" value="1"/>
                                                                <vnsDevParam annotation="" key="interval_unit" name="interval_unit" nameAlias="" value="second"/>
                                                                <vnsDevParam annotation="" key="holdtime_value" name="holdtime_value" nameAlias="" value="3"/>
                                                </vnsDevFolder>
                                                <vnsDevFolder annotation="" key="failover_link_interface" name="failover_link_interface" nameAlias="">
                                                                <vnsDevParam annotation="" key="use_lan" name="use_lan" nameAlias="" value="fover"/>
                                                                <vnsDevParam annotation="" key="interface_name" name="interface_name" nameAlias="" value="fover"/>
                                                                <vnsDevParam annotation="" key="interface" name="interface" nameAlias="" value="GigabitEthernet0/8"/>
                                                </vnsDevFolder>
                                                <vnsDevFolder annotation="" key="failover_ip" name="failover_ip" nameAlias="">
                                                                <vnsDevParam annotation="" key="interface_name" name="interface_name" nameAlias="" value="fover"/>
                                                                <vnsDevParam annotation="" key="active_ip" name="active_ip" nameAlias="" value="172.25.0.178"/>
                                                                <vnsDevParam annotation="" key="netmask" name="netmask" nameAlias="" value="255.255.0.0"/>
                                                                <vnsDevParam annotation="" key="standby_ip" name="standby_ip" nameAlias="" value="172.25.0.179"/>
                                                </vnsDevFolder>
                                                <vnsDevFolder annotation="" key="failover_lan_interface" name="failover_lan_interface" nameAlias="">
                                                                <vnsDevParam annotation="" key="interface_name" name="interface_name" nameAlias="" value="fover"/>
                                                                <vnsDevParam annotation="" key="interface" name="interface" nameAlias="" value="GigabitEthernet0/8"/>
                                                </vnsDevFolder>
                                </vnsDevFolder>
                                <vnsCMgmt annotation="" dnsDomain="" gateway="10.197.146.161" host="10.197.146.179" ipAllocationType="fixed" isInBand="no" name="" nameAlias="" port="443" portGroupName="10.197.146.188 | MGMT-955" subnetmask="255.255.255.224" vnicName="Network adapter 1"/>
                                <vnsCIf annotation="" name="GigabitEthernet0/1" nameAlias="" vnicName="Network adapter 3"/>
                                <vnsCIf annotation="" name="GigabitEthernet0/0" nameAlias="" vnicName="Network adapter 2"/>
                                <vnsCCredSecret annotation="" name="password" nameAlias="" value="cisco123!"/>
                                <vnsCCred annotation="" name="username" nameAlias="" value="admin"/>
                </vnsCDev>
                <vnsCDev annotation="" cloneCount="0" devCtxLbl="" host="10.197.146.187" isCloneOperation="no" isTemplate="no" name="CDEV-HA-P1-NEW" nameAlias="" vcenterName="orionin103-vcenter1" vmName="ASA-P1-VM-20">
                                <vnsHAPortGroup annotation="" name="" nameAlias="" portGroupName="10.197.146.187 | VLAN2500-172-25" vnicName="Network adapter 10"/>
                                <vnsDevFolder annotation="" key="FailoverConfig" name="FailoverConfig" nameAlias="">
                                                <vnsDevParam annotation="" key="lan_unit" name="lan_unit" nameAlias="" value="primary"/>
                                                <vnsDevParam annotation="" key="failover" name="failover" nameAlias="" value="enable"/>
                                                <vnsDevFolder annotation="" key="failover_ip" name="failover_ip" nameAlias="">
                                                                <vnsDevParam annotation="" key="interface_name" name="interface_name" nameAlias="" value="fover"/>
                                                                <vnsDevParam annotation="" key="standby_ip" name="standby_ip" nameAlias="" value="172.25.0.179"/>
                                                                <vnsDevParam annotation="" key="netmask" name="netmask" nameAlias="" value="255.255.0.0"/>
                                                                <vnsDevParam annotation="" key="active_ip" name="active_ip" nameAlias="" value="172.25.0.178"/>
                                                </vnsDevFolder>
                                                <vnsDevFolder annotation="" key="failover_lan_interface" name="failover_lan_interface" nameAlias="">
                                                                <vnsDevParam annotation="" key="interface_name" name="interface_name" nameAlias="" value="fover"/>
                                                                <vnsDevParam annotation="" key="interface" name="interface" nameAlias="" value="GigabitEthernet0/8"/>
                                                </vnsDevFolder>
                                                <vnsDevFolder annotation="" key="mgmt_standby_ip" name="mgmt_standby_ip" nameAlias="">
                                                                <vnsDevParam annotation="" key="standby_ip" name="standby_ip" nameAlias="" value="10.197.146.179"/>
                                                </vnsDevFolder>
                                                <vnsDevFolder annotation="" key="failover_link_interface" name="failover_link_interface" nameAlias="">
                                                                <vnsDevParam annotation="" key="interface_name" name="interface_name" nameAlias="" value="fover"/>
                                                                <vnsDevParam annotation="" key="use_lan" name="use_lan" nameAlias="" value="fover"/>
                                                                <vnsDevParam annotation="" key="interface" name="interface" nameAlias="" value="GigabitEthernet0/8"/>
                                                </vnsDevFolder>
                                                <vnsDevFolder annotation="" key="polltime" name="polltime" nameAlias="">
                                                                <vnsDevParam annotation="" key="holdtime_value" name="holdtime_value" nameAlias="" value="3"/>
                                                                <vnsDevParam annotation="" key="interval_unit" name="interval_unit" nameAlias="" value="second"/>
                                                                <vnsDevParam annotation="" key="interval_value" name="interval_value" nameAlias="" value="1"/>
                                                </vnsDevFolder>
                                </vnsDevFolder>
                                <vnsCMgmt annotation="" dnsDomain="" gateway="10.197.146.161" host="10.197.146.178" ipAllocationType="fixed" isInBand="no" name="" nameAlias="" port="443" portGroupName="10.197.146.187 | MGMT-955" subnetmask="255.255.255.224" vnicName="Network adapter 1"/>
                                <vnsCIf annotation="" name="GigabitEthernet0/1" nameAlias="" vnicName="Network adapter 3"/>
                                <vnsCIf annotation="" name="GigabitEthernet0/0" nameAlias="" vnicName="Network adapter 2"/>
                                <vnsCCredSecret annotation="" name="password" nameAlias="" value="cisco123!"/>a
                                <vnsCCred annotation="" name="username" nameAlias="" value="admin"/>
                </vnsCDev>
                <vnsCCredSecret annotation="" name="password" nameAlias="" value="cisco123!"/>
                <vnsRsMDevAtt annotation="" tDn="uni/infra/mDev-CISCO-ASA-1.3"/>
                <vnsCCred annotation="" name="username" nameAlias="" value="admin"/>
</vnsLDevVip>

サービス VM オーケストレーションのトラブルシューティング

ここでは、サービス VM オーケストレーションの既知の問題と制限事項、および問題が発生した場合のトラブルシューティング手順について説明します。

サービス VM テンプレートが VM インスタンス化ポリシーに表示されない

VMware vCenter で作成したサービス VM テンプレートが VM インスタンス化ポリシーに表示されない場合は、次の手順を実行します。

手順

ステップ 1

vnsInstPol を使用して Visore を確認し、vmTemplate を探します。

vnsInstPol フィールドの値がない場合、または値が null の場合は、次の手順に進みます。

ステップ 2

インベントリの同期をトリガーします。

  1. Cisco Application Policy Infrastructure Controller(APIC)で [Virtual Networking] > [Inventory] に移動し、[VMM Domains] および [VMware] フォルダを展開します。

  2. VMM ドメインをクリックします。

  3. 中央のペインでコントローラをダブルクリックします。

  4. [VMM Controller] ダイアログボックスでハンマーとレンチのドロップダウンリストから [Trigger Inventory Sync] を選択し、プロンプトが表示されたら [Yes] をクリックします。

ステップ 3

仮想マシン(VM)インスタンス化ポリシーを確認します(VMM ドメインにマッピングされているコントローラを選択し、VM テンプレートが存在するかどうかを確認してください)。

VMware vCenter で作成したポート グループが CDev に表示されない

VMware vCenter で作成したポート グループが具象デバイス(CDev)に表示されない場合は、次の手順を実行します。

手順

ステップ 1

インベントリの同期をトリガーします。

  1. Cisco Application Policy Infrastructure Controller(APIC)で [Virtual Networking] > [Inventory] に移動し、[VMM Domains] および [VMware] フォルダを展開します。

  2. VMM ドメインをクリックします。

  3. 中央のペインでコントローラをダブルクリックします。

  4. [VMM Controller] ダイアログボックスでハンマーとレンチのドロップダウンリストから [Trigger Inventory Sync] を選択し、プロンプトが表示されたら [Yes] をクリックします。

ステップ 2

ポート グループが表示されるかどうかを確認します。

  1. [Tenants] > テナント > [Services] > [L4-L7] > [Devices] > デバイスに移動し、デバイスをクリックします。

ステップ 3

[Concrete Device] 作業ウィンドウで、[Port Group Name] ドロップダウンリストにポート グループが表示されるかどうかを確認します。

サービス VM の IP アドレスに到達できない

サービス仮想マシン(VM)の導入後にサービス仮想マシン(VM)の IP アドレスに到達できない場合は、次の手順を実行します。

手順

ステップ 1

Cisco Application Policy Infrastructure Controller(APIC)でサービス VM の接続性を確認します。

Cisco APIC は、削除および再導入後に Cisco 適応型セキュリティ仮想アプライアンス(ASAv)デバイスに到達できません。この問題は、上流に位置するスイッチで古い MAC アドレスがクリアされていないために発生します。サービス VM に使用される IP アドレスの MAC エントリをクリアしてサービス VM を再導入してください。

ステップ 2

デバイス管理で vSwitch ポート グループを使用している場合は、Cisco APIC と VMware vCenter の間にあるすべての中間スイッチおよびデバイスで、VLAN およびルートの存在を確認します。

Cisco APIC は、サービス VM が正常に導入されたかどうかを確認するために、デバイスの IP アドレスに ping を実行できる必要があります。

ステップ 3

具象デバイス(CDev)の管理インターフェイスに対して、適切なポート グループまたは EPG が選択されていることを確認します。
ステップ 4

サービス VM がアップストリーム ゲートウェイに到達できるように接続性を確認します。

デバイスの状態が Init と表示される

デバイスの状態が init と表示される場合は、次の手順を実行します。

手順

ステップ 1

NX-OS スタイル CLI から、サービス デバイスの到達可能性を確認する ping を実行します。
ステップ 2

サービス デバイスへのログイン クレデンシャルがデバイス設定で指定されたユーザ名とパスワードに一致することを確認します。
ステップ 3

サービス デバイスの仮想 IP アドレスおよびポートが開いていることを確認します。
ステップ 4

Cisco Application Policy Infrastructure Controller(APIC)設定でユーザ名とパスワードが正しいことを確認します。

LIF 設定が無効である

論理デバイスの lif-invalid-Clf が原因で論理インターフェイス(LIF)の設定が無効になる F0772 障害が発生した場合は、次の手順を実行します。

手順

ステップ 1

LIF および具象インターフェイス(ClF)と呼ばれる項目を特定します。

この特定の障害において、LIF は正しくレンダリングされていない要素です。これは、機能ノードが LIF を実際のインターフェイスまたは具象インターフェイスにマッピングして関係を形成する場合に発生します。

F0772 は、次のいずれかの問題を意味します。

  • LIF が作成されてない。

  • LIF が正しい具象インターフェイスにマッピングされていない。
ステップ 2

レイヤ 4 ~レイヤ 7 デバイスの状態に関するその他の問題については、『Cisco APIC レイヤ 4 ~ レイヤ 7 サービス導入ガイド』でトラブルシューティングの情報を参照してください。