ACI How To 資料振り返り

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(1) 物理ネットワークと論理ネットワーク、そしてポリシー管理を統合することの価値を説明したくて作ったこの資料はACIの価値を示すものとして今でも活用中です。単なるL2/L3のリプレイスに終わらせず、別のSDNを組み合わせる必要もありません。 learningnetwork.cisco.com/docs/DOC-33639 pic.twitter.com/DpHgij3FF1

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(2) ACIにおいてBridge Domain (BD)はネットワーク要素、Endpoint Group (EPG)はポリシー要素ですが、セキュリティ利用の有無に関わらずEPGの構成が必須となっています。1 EPG / 1 BD が最もシンプルな構成ですが、BDに複数EPGを紐付けできます。learningnetwork.cisco.com/docs/DOC-33639 pic.twitter.com/BUCiE5ss8m

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(3) BDをLegacy Mode利用している場合を除き、BDはL2利用(ACI as L2)とL3利用(ACI as L3)を切り替えることが可能です。L3有効化によりACIは単にDefault GWとして動作するだけでなく、Endpointに対してIPアドレスの学習を行う様になります。 learningnetwork.cisco.com/docs/DOC-33639 pic.twitter.com/XDBHOX6uxh

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(4) ACI内のVRF内BD間Routingにおいては物理トポロジの考慮はまったく不要ですが、既存ネットワークとのL3接続ではBorder Leafを通じたL3ピアリングを構成します。既存ネットワークとのL2接続を併用してGWをACI側に移行することも可能です。 learningnetwork.cisco.com/docs/DOC-33639 pic.twitter.com/E3fE4w3Cds

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(5) ACIはマルチテナントに対応していますので、複数テナントで利用する場合には各テナントにおいてVRFを構成し、そこにBDやL3outを紐付けてネットワークを構成する使い方が可能です。テナント間・別VRF間でのIP重複は全く問題ありません。 learningnetwork.cisco.com/docs/DOC-33639 pic.twitter.com/3xaG4Sexbp

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(6) ACIをシングルテナントで利用する場合でもテナントは管理区分として便利に利用することが可能です。その場合、ネットワーク的な設定はCommonテナントに集中させ、各UserテナントはEPGとContractのポリシー管理に特化させることも可能です。 learningnetwork.cisco.com/docs/DOC-33639 pic.twitter.com/PZykc7bhI8

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(7) 各テナントでVRFを構成しつつもCommonテナントで構成したVRFに紐付いたL3outを共有指定利用する、といった柔軟な構成も可能です。この場合、VRF間でのRoute Leakingを構成しますので外部に広報するSubnet範囲の重複はできません。 learningnetwork.cisco.com/docs/DOC-33639 pic.twitter.com/FkAwpKD07E

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(8) ACIの良さは連携してもしなくても使える点です。連携が前提となるSDNはバージョンアップやメンテナンスにおける依存関係の考慮が必要となりますが、ACIでは連携にも密結合や疎結合のパターンを提供し、連携しない使い方にも対応します。 learningnetwork.cisco.com/docs/DOC-33639 pic.twitter.com/l4mY8VnHiw

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(9) ACIのEPG間通信に置いては必ずContractによる通信ルールの適用が必要なわけではありません。EPG毎に有効無効を指定することが可能となっており、無効のEPG間ではネットワーク的な接続性の構成のみで相互に通信が可能ととなります。 learningnetwork.cisco.com/docs/DOC-33639 pic.twitter.com/fJgcTphZzW

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(10) DNSやDHCPなどVRF範囲内で全てのEPGに対してサービスを提供するEPGや、バックアップなど全EPGに接続が必要なEPGとの間では、VRF範囲内の全EPGを意味するvzAnyと呼ばれる特別なEPG定義を利用してContractの構成を簡素化することが可能です。 learningnetwork.cisco.com/docs/DOC-33639 pic.twitter.com/TPaCf3KNYo

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(11) ちょっとだけ適用ルールが異なるEPGを作る度にContractの構成が必要になるのは手間という場合にはContractの継承を構成することが可能です。子EPG側では追加のルールを定義することが可能ですし親EPGの変更は全ての子EPGのに反映されます。 learningnetwork.cisco.com/docs/DOC-33639 pic.twitter.com/EyQKkJ5HMo

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(12) ACI全体で共有可能な特別なテナントであるCommonテナントは、うまく活用するととても便利です。Tenantの枠を超えたネットワークの構成のみならず、Tenantの枠を超えたContractの構成も可能です。ただしContractのScopeにはご注意ください。 learningnetwork.cisco.com/docs/DOC-33639 pic.twitter.com/ksODJP9zDc

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(13) ACIとvSphereを組合せて利用する際、分散仮想スイッチを利用できるならACIとの連携はとても便利です。標準APIを用いた疎結合な連携ながら、ポートグループ作成の連携のみならず、ACI側から接続したVMの状態等を確認することが可能です。 learningnetwork.cisco.com/docs/DOC-33639 pic.twitter.com/sAk3qXSqmV

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(14) 基本的にBDがL2なのかL3なのかに関わらずEPG間の通信可否は最終的にContractによって決定されます。デフォルトで同一EPG内は通信可能ですし、別EPG間ではContractで許可されていない通信はできません。物理的な接続状態は関係ありません。 learningnetwork.cisco.com/docs/DOC-33640 pic.twitter.com/A0U9YNSgD5

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(15) ACIにおいてBDにGWを構成しない = L2利用の場合、基本的にL2 Unknown UnicastはFlood(+ARP Flood)での利用が一般的です(従来のL2スイッチと同様の動作となります)。L2 BDに紐付いたEPGではEndpointに対してMACアドレスのみが学習されます。 learningnetwork.cisco.com/docs/DOC-33640 pic.twitter.com/M0alUCXHT9

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(16) 正直EPGのStatic PortにEndpointとしてL2スイッチを接続する構成(Extend EPG)が可能なためL2out (Extend BD)はあまり使われる機会は多くないのですが、L2outに紐付いたExternal EPGにおいてもL2 BD同様MACアドレスのみの学習となります。 learningnetwork.cisco.com/docs/DOC-33640 pic.twitter.com/guZM26VcW6

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(17) ACIにおいてBDをL2に構成するユースケースとしては、既存ネットワーク側にGWのあるSubnetをACI内に引き込んで利用したいケースが考えられます。どこかのタイミングでGWをACI側に移動させることが可能です。 learningnetwork.cisco.com/docs/DOC-33640 pic.twitter.com/N4iEBKG0lO

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(18) ACIでは基本的にはLeafポートに直接サーバを接続するべきですが、既存環境との接続や移行等のために既存L2スイッチをLeaf配下に接続する構成が必要になる場合もあります。多くの場合、単純にEPGにStatic Portを紐付ける方法で接続します。 learningnetwork.cisco.com/docs/DOC-33640 pic.twitter.com/kTDo5Pu5IF

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(19) 既存L2スイッチをEPGに紐付けるExtend EPG構成であっても、あえてEPGを分けてContractを必要にすることももちろん可能です。これにより、ACI内のEndpointに対してL2であってもアクセス制御が可能です。 learningnetwork.cisco.com/docs/DOC-33640 pic.twitter.com/TkOWpq1p0L

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(20) あまり利用されていないExternal Bridged NetworkことExtend BD構成ですが、Untag接続を利用できない点や割当てるVLAN PoolはL2out用として構成する必要がある点などはありますが基本的にExtend EPG構成と可能な構成に差はほぼありません。 learningnetwork.cisco.com/docs/DOC-33640 pic.twitter.com/uKPmo7KkNw

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(21) ACIはSTPには対応していませんが、Leaf同士でのLLDP隣接検出、 #CiscoNexus 機能のMCP、そしてBPDUの透過などによってL2ループを防止する仕組みを備えています。なおACIファブリック内はVXLANベースのL3なのでループすることはありません。 learningnetwork.cisco.com/docs/DOC-33640 pic.twitter.com/qin8V0WVqX

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(22) ACIのL3機能は内向けと外向けで明確に分けて考える必要があります。内向けは単純にVRFとBDの紐付けによって分散GW動作しますが、外向けのL3は従来のネットワーク仕様に従ってStaticもしくはDynamic Routingによる接続を構成します。 learningnetwork.cisco.com/docs/DOC-33705 pic.twitter.com/FxAtql9i5u

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(23) BDにSubnetをGWとして構成する事によりACIは内側に対してL3として動作します。どのLeaf配下であってもBDに定義された同じIP/MACアドレスがGWとして動作する為VMが移動したりしても何の問題もありませんし冗長性も構成の必要がありません。 learningnetwork.cisco.com/docs/DOC-33705 pic.twitter.com/Jgi6HJMxS9

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(24) BDのL3構成において[Unicast Routing]を有効化しSubnetにGWアドレスを指定するだけでBDはL3動作を開始します。つまり当該BD範囲に紐づくEndpointに対してMACアドレスに加えてIPアドレスの学習を開始します。 learningnetwork.cisco.com/docs/DOC-33705 pic.twitter.com/xj5F9AInHH

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(25) 本当はPervasive Gatewayと呼びますがACI内ではGWはBDが構成されている各Leafに分散して存在します。つまりLeafはL2のみならずL3ルーティングに関しても同一Leaf配下のEndpoint間であればLeafで転送されFabric側に無駄な通信は流しません。 learningnetwork.cisco.com/docs/DOC-33705 pic.twitter.com/WP93HQ0Bpq

拡大