この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
テナントはアプリケーション ポリシーの論理的コンテナです。テナントを使用すると、アプリケーション、データベース、Web サーバ、ネットワークアタッチド ストレージ、仮想マシン、ファイアウォール、レイヤ 4 ~レイヤ 7 サービスなどのリソースを分離することで、ドメインベースのアクセス制御を実行できます。テナントは、サービス プロバイダーの環境ではお客様を、企業の環境では組織またはドメインを、または単にポリシーの便利なグループ化を表すことができます。
ファブリックには、小規模の商業環境で役立つ 1 つのテナントから、クラウド サービス プロバイダーが各企業に独自のテナントを割り当てる場合の 64,000 を超えるテナントまでを含めることができます。別の使用例としては、開発テナントと実稼働テナントがあります。この場合は、最初に開発テナントでネットワーク構成要素、EPG、ポリシーを作成し、これを実稼働テナントにコピーするだけです。その結果、開発と実稼働が完全に同じ状態になるため、これらのオブジェクトの手動コピーに伴なう人的ミスを排除できます。
(注) | レイヤ 4 ~レイヤ 7 サービスを展開する前に、テナントを設定してください。 |
システムにより、次の 4 種類のテナントが提供されます。
ユーザ テナント:ユーザのニーズに応じて管理者によって定義されます。アプリケーション、データベース、Web サーバ、ネットワークアタッチド ストレージ、仮想マシンなどのリソースの動作を管理するポリシーが含まれます。
共通テナント:システムによって提供されますが、ファブリックの管理者が設定できます。ファイアウォール、ロード バランサ、レイヤ 4 ~レイヤ 7 サービス、侵入検知アプライアンスなど、すべてのテナントにアクセス可能なリソースの動作を管理するポリシーが含まれます。
インフラストラクチャ テナント:ファブリック VXLAN オーバーレイなどのインフラストラクチャ リソースの動作を管理するポリシーが含まれます。
管理テナント:ファブリック ノードのインバンドおよびアウトオブバンドの設定に使用されるファブリック管理機能の動作を管理するポリシーが含まれます。
テナントは相互に分離することも、リソースを共有することもできます。
テナントは、プライベート ネットワークを表すものではありません。
テナントのエンティティはそのポリシーを継承します。
テナントに含まれる主要な要素は、フィルタ、コントラクト、外部ネットワーク、ブリッジ ドメイン、Virtual Routing and Forwarding(VRF)インスタンス、エンドポイント グループ(EPG)を含むアプリケーション プロファイルです。
(注) | APIC GUI のテナント ナビゲーション パスでは、VRF(コンテキスト)はプライベート ネットワークと呼ばれます。 |
この手順では、Cisco UCS Director で APIC アカウントのテナントを設定する方法の概要を示します。Cisco UCS Director オーケストレーションで提供されるワークフローを使用して、さまざまな使用例を対象としたテナントのガイド付きセットアップを実行することもできます。詳細については、『Cisco UCS Director Orchestration Guide』を参照してください。
この手順では、テナントを作成する前に下記が完了していることを前提としています。
ACI ファブリックの第 0 日が設定されている。
ACI ファブリックのノードが接続され、検出されている。
APIC コントローラ クラスタが設定されている。
Cisco UCS Director が設定され、ACI ポッドがセットアップされている。
ステップ 1 | テナントを作成します。
テナントの作成を参照してください。 |
ステップ 2 | プライベート ネットワークとも呼ばれる Virtual Routing and Forwarding(VRF)を作成します。
VRF の作成を参照してください。 |
ステップ 3 | VRF にブリッジ ドメインを追加します。
VRF へのブリッジ ドメインの追加を参照してください。 |
ステップ 4 | アプリケーション プロファイルを作成します。
テナントのアプリケーション プロファイルの作成を参照してください。 |
ステップ 5 | EPG を作成します。
EPG の追加を参照してください。 |
ステップ 6 | EPG にドメインを追加します。
EPG へのドメインの追加を参照してください。 |
ステップ 7 | EPG にスタティック パスを追加します。
EPG へのスタティック パスの追加を参照してください。 |
ステップ 8 | コントラクトを作成します。
コントラクトの作成を参照してください。 |
ステップ 9 | EPG にコントラクトを追加します。
使用されたコントラクトの EPG への追加を参照してください。 指定されたコントラクトの EPG への追加を参照してください。 |
テナントを追加する前に、APIC アカウントのオブジェクトにタグ、モニタリング ポリシー、およびセキュリティ ドメインが設定されていることを確認します。
ACI でユーザを作成し、ユーザまたはユーザ グループにセキュリティ ドメインを割り当てます。『Cisco APIC Basic Configuration Guide』の「User Access, Authentication, and Accounting」の章を参照してください。
テナントを作成した後、そのテナントの VRF(プライベート ネットワークとも呼ばれる)を作成します。
Virtual Routing and Forwarding(VRF)は、レイヤ 3 アドレス ドメインを定義する仮想ルータに似ています。ルーティング テーブルの複数のインスタンスを同じルータ上で同時に共存させるための IP テクノロジーです。ルーティング インスタンスが互いに独立しているため、同じ(重複する)IP アドレスを競合することなく使用できます。たとえば、実稼働 VRF が開発 VRF と同じネットワークに存在する場合も、それぞれのデフォルト ゲートウェイは異なります。
1 つのテナントに複数の VRF(プライベート ネットワークとも呼ばれる)を含めることができます。VRF には 1 つ以上のブリッジ ドメインが関連付けられます。OSPF タイマーや BGP タイマー、エンド ポイントを保持する期間など、いくつかのポリシーをプライベート ネットワークと関連付けることができます。
Virtual Routing and Forwarding(VRF)インスタンスには、次のガイドラインと制限事項が適用されます。
単一の VRF インスタンス内では、各 IP アドレスが一意である必要があります。異なる VRF インスタンス間では IP アドレスが重複してもかまいません。
VRF インスタンスまたはテナント間で共有サービスを使用する場合は、IP アドレスが重複していないことを確認してください。
共通テナントで作成された VRF インスタンスは、他のユーザ設定テナントで認識されます。
VRF は強制モードまたは非強制モードをサポートします。デフォルトでは、VRF インスタンスは強制モードです。つまり、コントラクトが配置されていない場合、同じ VRF インスタンス内のすべてのエンドポイント グループは相互に通信できません。
強制モードから非強制モード(または逆)に切り替えると、中断が発生します。
詳細については、『Cisco Application Centric Infrastructure Fundamentals Guide』を参照してください。
Virtual Routing and Forwarding(VRF)オブジェクト(ACI のプライベート レイヤ 3 ネットワークとも呼ばれる)には、レイヤ 2 およびレイヤ 3 フォワーディング設定、およびテナントの IP アドレス空間の分離が含まれています。それぞれのテナントでは、1 つ以上の VRF を使用するか、または ACI ファブリックで重複するアドレスが使用されていない場合は、他のテナントと 1 つのデフォルト VRF を共有できます。
BGP タイマー ポリシーおよび OSPF タイマーが設定されていることを確認します。
プライベート ネットワークを作成した後、ブリッジ ドメインを作成してこの VRF にリンクします。
ブリッジ ドメインはファブリック内のレイヤ 2 フォワーディングの構造を表します。ブロードキャストおよびマルチキャスト トラフィックを制限するのに役立ちます。サブネット用の論理コンテナとして機能します。
ブリッジ ドメインには少なくとも 1 つのサブネットを関連付ける必要がありますが、複数のサブネットを含めることもできます。ブリッジ ドメインに複数のサブネットを設定すると、最初に追加したサブネットが SVI インターフェイスのプライマリ IP アドレスになります。以降のサブネットは、セカンダリ IP アドレスとして設定されます。プライマリ IP アドレスは、明示的にマーキングされている場合を除き、スイッチのリロード時に変更される可能性があります。
各ブリッジ ドメインに 1 つ以上の EPG を関連付けることができます。同じブリッジ ドメイン内の EPG は相互通信するように設定できますが、デフォルトではレイヤ 2 隣接が有効になっていません。
シスコ アプリケーション セントリック インフラストラクチャ(ACI)のブリッジ ドメインには、管理者がさまざまな方法で操作を調整できるように、複数の設定オプションが用意されています。各オプションの詳細については、『Cisco Application Centric Infrastructure Fundamentals Guide』を参照してください。
(注) | 一度ブリッジ ドメインを設定すると、そのモードを切り替えることはできません。 ブリッジ ドメインは、Virtual Routing and Forwarding(VRF)にリンクしている必要があります。 |
サブネットは、ブリッジ ドメイン内で使用できる IP アドレスの範囲を定義します。ブリッジ ドメインには複数のサブネットを含めることができますが、1 つのサブネットは単一のブリッジ ドメイン内に含まれます。サブネットの範囲は、パブリック、プライベート、またはブリッジ ドメインか EPG での共有です。ブリッジ ドメインへのサブネットの追加を参照してください。
DHCP リレーは、DHCP サーバがクライアントと異なる EPG またはプライベート ネットワーク内にある場合にのみ必要です。DHCP ラベルはプロバイダーの DHCP サーバをブリッジ ドメインに関連付けます。DHCP ラベル オブジェクトは、所有者も指定します。インフラストラクチャで DHCP リレー ラベルが必要な場合は、ブリッジ ドメインへの DHCP リレー ラベルの追加を参照してください。
(注) | ブリッジ ドメインの DHCP ラベルは、DHCP リレーの名前と一致する必要があります。ラベルの一致により、ブリッジ ドメインは DHCP リレーを消費できます。 |
ブリッジ ドメインとは、1 つ以上のサブネットを含む一意のレイヤ 2 フォワーディング ドメインです。各ブリッジ ドメインは、VRF にリンクしている必要があります。
顧客、組織、またはドメインのテナントを作成し、プライベート ネットワークを設定します。
DHCP リレーは、DHCP サーバがクライアントと異なる EPG またはプライベート ネットワーク内にある場合に必要です。DHCP リレー ラベルには、ラベルの名前、範囲、DHCP オプション ポリシーが含まれています。範囲は中継サーバのオーナーであり、DHCP オプション ポリシーはドメイン、ネームサーバ、サブネット ルータ アドレスなどの設定パラメータを DHCP クライアントに提供します。
アプリケーション プロファイルは、ポリシー、サービス、およびエンド ポイント グループ(EPG)間の関係を定義する論理コンテナです。各アプリケーション プロファイルには 1 つ以上の EPG が含まれており、同じアプリケーション プロファイル内の他の EPG および他のアプリケーション プロファイル内の EPG とコントラクトのルールに基づいて通信できます。少なくとも、1 つのアプリケーション プロファイルを 1 つの EPG に関連付けます。
最新のアプリケーションには、複数のコンポーネントが含まれます。アプリケーション プロファイルは、アプリケーションの要件をモデル化します。たとえば、e-コマース アプリケーションには、Web サーバ、データベース サーバ、ストレージ エリア ネットワーク内にあるデータ、および金融取引を可能にする外部リソースへのアクセスが必要となる場合があります。アプリケーション プロファイルには、e-コマース アプリケーションのための論理的に関連した必要な数の EPG が含まれます。
EPG は次のいずれかに従って組織化できます。
提供するアプリケーション(付録 A の例にある sap など)
提供する機能(インフラストラクチャなど)
データセンターの構造内の場所(DMZ など)
ファブリックまたはテナントの管理者が使用することを選択した組織化の原則
アプリケーション プロファイルとは、仮想化されたファブリックにおけるアプリケーション インスタンスの一連の要件です。ポリシーは、ポリシーの範囲に含まれるエンドポイント間の接続と可視性を規制します。
エンド ポイント グループ(EPG)は、セキュリティ、仮想マシンのモビリティ(VMM)、QoS、レイヤ 4 ~レイヤ 7 サービスなどの共通のポリシー要件を持つエンドポイントの論理コンテナです。エンドポイントは、アドレス(ID)、ロケーション、属性(バージョンやパッチ レベルなど)を持ち、物理の場合も仮想の場合もあります。エンドポイントのアドレスがわかれば、他のすべての ID の詳細にアクセスできます。エンドポイントは個別に設定および管理されるのではなく、EPG 内に配置され、グループとして管理されます。
ACI ファブリックには、次のタイプの EPG を含めることができます。
アプリケーション エンドポイント グループ
レイヤ 2 外部ネットワーク インスタンス
レイヤ 3 外部ネットワーク インスタンス
アウトオブバンドまたはインバンド アクセス用の管理エンドポイント グループ
デフォルトでは、同じエンドポイント グループ内のすべてのエンドポイントはコントラクトがなくても相互に通信できます。エンドポイント グループ内(EPG 内)分離により、EPG 内のすべてのエンドポイントは相互通信しなくなりますが、コントラクトがある場合は EPG 間通信が許可されます。これはプライベート VLAN に似ています。たとえば、クライアント エンドポイント グループ内に 2 つ、Web エンドポイント グループ内に 1 つで、3 つのエンドポイントがあるとします。エンドポイント グループ間にコントラクトが存在する場合は、相互通信が可能です。
EPG の設定内容にかかわらず、EPG ポリシーはそこに含まれるエンドポイントにのみ適用されます。たとえば、ファブリックに WAN ルータ接続を設定するには、関連付けられている WAN サブネット内のすべてのエンドポイントを含む EPG を設定します。ファブリックは検出プロセスを介してエンドポイントを学習し、それに応じてポリシーを適用します。
EPG を作成した後、トラフィックのポートとリーフ ノードを決定するスタティック パスを EPG に追加します。EPG へのスタティック パスの追加を参照してください。
また、スタティック ノード(リーフ、スパイン、または APIC)およびドメイン(物理、VMM、L3、または L3 外部:例を参照)を EPG に追加して、展開の方法とタイミングを定義できます。EPG へのスタティック ノードの追加およびEPG へのドメインの追加を参照してください。
ドメイン プロファイルにリンクすることで、EPG を VMM、物理、レイヤ 2 外部、またはレイヤ 3 外部のドメインに関連付けます。
APIC アカウントの物理、VMM、レイヤ 3、またはレイヤ 2 ドメインを作成します。
スタティック パス ポリシーは、スタティック パスに関するポリシー、フォールト数、および履歴の設定済みプロパティの概要を提供します。宛先 EPG までのスタティック パスを設定します。
(注) | EPG がスタティック バインディング パスを使用する場合、この EPG に関連付けられるカプセル化 VLAN はスタティック VLAN プールの一部である必要があります。 |
コントラクトを設定する必要があります。
APIC システムでノードを作成します。
EPG が他の EPG と通信するには、コントラクトのルールに従う必要があります。許可されるプロトコルやポートなど、EPG 間を通過できるトラフィックのタイプはコントラクトによって決定されます。コントラクトがない場合、EPG 間通信はデフォルトで無効になります。EPG 内通信ではコントラクトが不要です。コントラクトには 1 つ以上の対象が含まれています。
1 つの EPG で同じコントラクトを指定および使用できます。EPG は複数のコントラクトを同時に指定および使用することもできます。
「対象」とは、エンドポイント グループの背後で実行されているサブアプリケーションのことです。1 つのコントラクトで複数の対象をカプセル化できます。対象に関連付けられた EPG は、対象の使用や指定、またはその対象へのピアツーピア通信の関連付けに従ってルールを定義します。対象には、フィルタと任意のラベルが含まれます。
コントラクトのエクスポート機能を利用すると、REST API で使用できる XML または JSON コードをエクスポートできます。
コントラクトには、複数の通信ルールと複数のエンドポイント グループを含めることができます。EPG とコントラクトの関係は、プロバイダーまたはコンシューマです。EPG がコントラクトを提供すると、通信が提供されたコントラクトに準拠している限り、その EPG との通信は他の EPG から開始できます。EPG がコントラクトを使用すると、その EPG のエンドポイントは、コントラクトを指定した EPG のエンドポイントと通信を開始できます。
フィルタを使用して、2 つの EPG 間のトラフィック管理用に許可するプロトコルを指定できます。たとえば、https トラフィックのみを許可できます。フィルタには次のようないくつかのタイプがあります。
許可:トラフィックを許可します。
拒否(禁止):特定の用途で使用します。コントラクト設定ですべてのトラフィックを許可できますが、特定のトラフィックを拒否(禁止)することもできます。
リダイレクト:EPG からレイヤ 4 ~ 7 のデバイス(ファイアウォール、ロード バランサ、IPS/IDS など)にトラフィックを送信する場合に役立ちます。
マーク:QoS の理由によりトラフィックをマーキングします。
フィルタ チェーン(コンシューマまたはプロバイダー)をコントラクト対象に追加することで、フィルタをコントラクトに追加できます。
ラベルは、オプションの高度な識別子です。ラベルを使用すると、EPG 間のより複雑な関係を指定できます。ラベルによって、特定のエンドポイント グループ ペア間で通信する際に適用する対象とフィルタを制御できます。ラベルを使用しない場合、コントラクトでは、すべての対象とフィルタがコンシューマ エンドポイント グループとプロバイダー エンドポイント グループ間に適用されます。単一のコントラクトの範囲内でラベルを使用して複雑な通信シナリオを示し、このコントラクトを再利用して、そのポリシーのサブセットのみを複数のエンドポイント グループに対して指定できます。
禁止コントラクトを使用すると、EPG で通信を許可しない対象を指定できます。
コントラクトがない場合、デフォルトの転送ポリシーは EPG 間での通信を許可しませんが、EPG 内の通信はすべて許可されます。
(注) | 2 つのテナントが同じコントラクトに属している場合は、これらのテナントが互いを認識できないこと、およびそれぞれのエンドポイント グループが通信できないことを確認してください。 |
コントラクト対象を作成して、通信できる情報と通信メカニズムを指定します。
対象とは、エンドポイント グループの背後で実行されているサブアプリケーションのことです。1 つのコントラクトで複数の対象をカプセル化できます。エンドポイント グループは必ず対象に関連付けられ、使用、指定、またはその対象へのピアツーピア通信の関連付けに従ってルールを定義します。
コンシューマとプロバイダーのコントラクトを作成します。
EPG へのコントラクトの追加
EPG が他の EPG と通信するには、コントラクトのルールに従う必要があります。許可されるプロトコルやポートなど、EPG 間を通過できるトラフィックのタイプはコントラクトによって決まります。
EPG とコントラクトの関係は、プロバイダーまたはコンシューマです。EPG がコントラクトを提供すると、通信が提供されたコントラクトに準拠している限り、その EPG との通信は他の EPG から開始できます。EPG がコントラクトを使用すると、その EPG のエンドポイントは、コントラクトを指定した EPG のエンドポイントと通信を開始できます。
1 つの EPG で同じコントラクトを指定および使用できます。EPG は複数のコントラクトを同時に指定および使用することもできます。
以前に作成したコントラクトを関連付けて、EPG 間のポリシー関係を作成することができます。指定されたコントラクトとは、EPG がプロバイダーであるコントラクトのことです。
(注) | 指定されたコントラクトと使用されたコントラクトの名前が同じであることを確認します。 |
コントラクトを設定する必要があります。
禁止コントラクトおよびフィルタも確認する必要があります。
以前に作成したコントラクトを関連付けて、EPG 間のポリシー関係を作成することができます。使用されたコントラクトとは、EPG がコンシューマであるコントラクトのことです。
(注) | 指定されたコントラクトと使用されたコントラクトの名前が同じであることを確認します。 |
コントラクトを設定する必要があります。
コントラクトを設定する必要があります。
コントラクト ラベル