この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
非管理対象モードの Cisco APIC では、サービス グラフに対してネットワーク リソースのみを割り当てて、グラフのインスタンス化時にファブリック側のみをプログラミングすることができます。外部アプリケーションまたはツールで管理対象外デバイスを設定する必要があります。
管理対象外ネットワーク デバイスを追加する場合は、Cisco APIC にそのデバイスのデバイス パッケージは必要ありません。
非管理対象モードの詳細については、『Cisco APIC Layer 4 to Layer 7 Services Deployment Guide』を参照してください。
管理対象外デバイスの場合、Application Policy Infrastructure Controller(APIC)はサービス グラフのネットワーク リソースのみを割り当て、グラフのインスタンス化時にファブリック側のみをプログラミングします。APIC で管理対象外デバイスを設定することはできません。
ステップ 1 | 管理対象外デバイス クラスタを追加します。
管理対象外デバイス クラスタの追加を参照してください。 |
ステップ 2 | 少なくとも 1 つの具象デバイスを管理対象外デバイス クラスタに追加します。
管理対象外デバイス クラスタへの具象デバイスの追加を参照してください。 |
ステップ 3 | 仮想具象デバイスの場合は、デバイスの具象インターフェイスに少なくとも 1 つの vNIC を追加します。
管理対象外の仮想具象デバイスへの vNIC の追加を参照してください。 |
ステップ 4 | 物理具象デバイスの場合は、デバイスの具象インターフェイスに少なくとも 1 つのパスを追加します。
管理対象外の物理具象デバイスへのパス インターフェイスの追加を参照してください。 |
ステップ 5 | 少なくとも 1 つの論理インターフェイスを管理対象外デバイス クラスタに追加します。
管理対象外デバイス クラスタへの論理インターフェイスの追加を参照してください。 |
ステップ 6 | デバイス クラスタで使用する設定パラメータを含む L4 ~ L7 サービス グラフ テンプレートを作成します。
サービス グラフ テンプレートの作成を参照してください。 |
ステップ 7 | L4 ~ L7 サービス グラフ テンプレートを適用してデバイス クラスタを設定します。
サービス グラフ テンプレートの適用を参照してください。 |
Cisco APIC に登録されたデバイスは、デフォルトでは管理対象モードで設定されます。管理対象として設定したデバイスは、Cisco APIC によって管理され、グラフのインスタンス化時にプログラミングされます。
ステップ 1 | 管理対象デバイス クラスタを追加します。
管理対象デバイス クラスタの追加を参照してください。 |
ステップ 2 | 少なくとも 1 つの具象デバイスを管理対象デバイス クラスタに追加します。
管理対象デバイス クラスタへの具象デバイスの追加を参照してください。 |
ステップ 3 | 仮想具象デバイスの場合は、デバイスの具象インターフェイスに少なくとも 1 つの vNIC を追加します。
管理対象の仮想具象デバイスへの vNIC の追加を参照してください。 |
ステップ 4 | 物理具象デバイスの場合は、デバイスの具象インターフェイスに少なくとも 1 つのパスを追加します。
管理対象の物理具象デバイスへのパス インターフェイスの追加を参照してください。 |
ステップ 5 | 少なくとも 1 つの論理インターフェイスを管理対象デバイス クラスタに追加します。
管理対象デバイス クラスタへの論理インターフェイスの追加を参照してください。 |
ステップ 6 | デバイス クラスタで使用する設定パラメータを含む L4 ~ L7 サービス グラフ テンプレートを作成します。
サービス グラフ テンプレートの作成を参照してください。 |
ステップ 7 | L4 ~ L7 サービス グラフ テンプレートを適用してデバイス クラスタを設定します。
サービス グラフ テンプレートの適用を参照してください。 |
論理デバイスとも呼ばれるデバイス クラスタには、単一のデバイスとして機能する 1 つ以上の具象デバイスが含まれます。デバイス クラスタは、そのデバイス クラスタのインターフェイス情報を説明するクラスタ インターフェイス(論理インターフェイスとも呼ばれる)を保持しています。
デバイス クラスタには、管理対象のものと管理対象外のものがあります。
Application Policy Infrastructure Controller(APIC)は、サービス グラフ テンプレートをレンダリングおよびインスタンス化する際に次の処理を実行します。
機能ノード コネクタをクラスタ インターフェイスに関連付ける。
VLAN リソースや Virtual Extensible Local Area Network(VXLAN)リソースなどのネットワーク リソースを機能ノード コネクタに割り当てる。
それらのネットワーク リソースをクラスタ論理インターフェイスへとプログラミングする。
サービス グラフ テンプレートでは、論理デバイス コンテキストと呼ばれるデバイス選択ポリシーに基づいた特定のデバイスが使用されます。
各デバイス クラスタには、アクティブ/スタンバイ モードで最大 2 つの具象デバイスを含めることができます。
具象デバイスには、具象インターフェイスがあります。具象デバイスが論理デバイス クラスタに追加されると、具象インターフェイスは論理インターフェイスにマッピングされます。サービス グラフ テンプレートのインスタンス化時に、VLAN および VXLAN は、論理インターフェイスとの関連付けに基づいた具象インターフェイス上でプログラミングされます。
具象デバイス上に複数のクラスタ インターフェイスを作成し、デバイス選択ポリシーでコネクタに使用するクラスタ インターフェイスを指定できます。このクラスタ インターフェイスは、複数のサービス グラフ インスタンス化を使用して共有できます。
APIC 機能プロファイルは、Cisco APIC によって管理されるデバイス パッケージに関連付けられた特定の機能のパラメータのデフォルト値を提供します。その後に、L4 ~ L7 サービス グラフ テンプレートに 1 つ以上の APIC 機能プロファイルを含めることができます。たとえば、Cisco ASA ファイアウォール機能のデフォルト値を提供する機能プロファイルを作成できます。
Cisco UCS Director では、機能プロファイル グループ内に APIC 機能プロファイルを作成できます。
機能プロファイル グループは、特定のサービス グラフ テンプレートに含めるプロファイルを識別しやすいように、機能プロファイルを整理します。
(注) | Cisco UCS Director は、APIC 機能プロファイルとサービス グラフを使用した Cisco ASA デバイスの設定のみをサポートします。サービス グラフ テンプレートと機能プロファイルは、ロード バランサ サービスを使用して作成できます。ただし、Cisco UCS Director での個々のワークフロー タスク、ユーザ インターフェイス アクション、REST API によって機能プロファイルに追加されるパラメータは、ファイアウォール サービスでのみサポートされます。 |
機能プロファイル グループに APIC 機能プロファイルを 1 つ以上追加します。
(注) | Cisco UCS Director は、APIC 機能プロファイルとサービス グラフを使用した Cisco ASA デバイスの設定のみをサポートします。 |
APIC 機能プロファイル グループを作成します。
APIC ファイアウォール ポリシーを作成します。
[詳細の表示(View Details)] をクリックして、[機能プロファイル パラメータ(Function Profile Parameters)] から 1 つ以上のパラメータを機能プロファイルに追加します。追加したパラメータは、[L4L7 機能プロファイル パラメータ(L4L7 Function Profile Parameters)] または [機能プロファイル関数パラメータ(Function Profile Function Parameters)] に表示されます。
サービス グラフ テンプレートには、次の 1 つ以上を使用して指定できる設定パラメータが含まれています。
デバイス パッケージ
EPG
アプリケーション プロファイル
テナント コンテキスト
サービス グラフ テンプレートを複数のデバイスに適用し、これらのデバイスの設定をすべて同一にすることができます。
サービス グラフ テンプレート内の機能ノードでは、1 つ以上の設定パラメータが必要になる場合があります。パラメータ値をロックして、変更されないようにすることができます。
サービス グラフの設定パラメータの値は、デバイス パッケージ内のデバイス スクリプトに渡されます。デバイス スクリプトは、パラメータ データをデバイスにダウンロードされる設定に変換します。
機能とデバイスに関する機能プロファイルを少なくとも 1 つ作成します。
使用する設定パラメータに応じて、以下を作成します。
コンシューマ EPG または外部ネットワーク
プロバイダー EPG または外部ネットワーク
コントラクト
デバイス クラスタ
クラスタ インターフェイス
ブリッジ ドメイン(一般的なコネクタ タイプを使用する場合)
ルータ設定(ルート ピアリングを使用する場合)
サービス グラフは、アプリケーションに必要なネットワーク機能またはサービス機能のセットを識別します。Cisco UCS Director を使用して、ACI ファブリックでサービス グラフをインスタンス化できます。
サービス グラフを使用すると、ASA ファイアウォールなどのサービスを一度インストールして、異なる論理トポロジで何度も展開できます。グラフを展開するたびに、ACI は新しい論理トポロジでの転送を行えるように、ファイアウォールで設定の変更を行います。
サービス グラフは、次の要素を使ってネットワークを表します。
機能ノード:機能ノードは、トランスフォーム(SSL ターミネーション、VPN ゲートウェイ)、フィルタ(ファイアウォール)、または端末(侵入検知システム)など、ネットワーク トラフィックに適用される機能を表します。サービス グラフ内の 1 つの機能は 1 つ以上のパラメータを必要とし、1 つまたは複数のコネクタを持っている場合があります。
端末ノード:端末ノードはサービス グラフからの入出力を有効にします。
コネクタ:コネクタはノードからの入出力を有効にします。
接続:接続によって、ネットワーク経由でトラフィックを転送する方法が決定されます。
サービス グラフを設定すると、サービス グラフのサービス機能要件に従ってネットワーク サービスが自動的に設定されます。サービス デバイスで変更を行う必要はありません。
サービス グラフは、アプリケーションの複数の階層として表され、適切なサービス機能が階層間に挿入されます。
サービス アプライアンス(またはデバイス)は、グラフ内のサービス機能を実行します。1 つ以上のサービス アプライアンスが、グラフに必要なサービスをレンダリングするために必要になることがあります。1 つ以上のサービス機能が単一のサービス デバイスで実行できます。
サービス グラフおよびサービス機能には、次の特性があります。
エンドポイント グループで送受信されたトラフィックはポリシーに基づいてフィルタリングでき、トラフィックのサブセットはグラフ内の異なるエッジにリダイレクトできます。
サービス グラフのエッジには方向性があります。
タップ(ハードウェア ベースのパケット コピー サービス)は、サービス グラフの異なるポイントに接続できます。
論理機能は、ポリシーに基づいて適切な(物理または仮想)デバイスでレンダリングできます。
サービス グラフでは、エッジの分割と結合がサポートされ、管理者は線形サービス チェーンに制限されません。
サービス アプライアンスが発信したトラフィックをネットワーク内で再度分類できます。
論理サービス機能は、要件に応じて、拡張や縮小が可能で、クラスタ モードまたは 1:1 アクティブ/スタンバイ ハイアベイラビリティ モードで展開できます。
サービス グラフの要件およびその導入の詳細については、『Cisco APIC Layer 4 to Layer 7 Services Deployment Guide』を参照してください。
フィルタ ポリシーは、解決可能なフィルタ エントリのグループです。各フィルタ エントリは、ネットワーク トラフィック分類のプロパティの組み合わせです。
サービス グラフでは、論理デバイス コンテキストと呼ばれるデバイス選択ポリシーに基づいた特定のデバイスが使用されます。