ACI How To 資料振り返り

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(26) ACI Fabric内ではBorder Leafが受けた経路情報を他のLeafに展開する為にMP-BGPが用いられています。SpineスイッチをRRに構成していないと経路情報がBorder Leaf以外に伝わりませんので初期構成をお忘れなく。一度構成すればいいだけです。 learningnetwork.cisco.com/docs/DOC-33705 pic.twitter.com/TjkE8HA1Iv

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(27) ACIでは内部のEndpointをEPGに紐付けるのと同様に、外部ネットワークについてもSubnetでExternal EPGを指定します。Subnet指定はLPM動作しますのでSubnet範囲が重複していても構いませんが、同じPrefix長で複数構成することはできません。 learningnetwork.cisco.com/docs/DOC-33705 pic.twitter.com/AI5MvLfkRZ

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(28) L3outを複数構成する構成と、L3outの先に複数のExternal EPGを構成する構成のどちらが良いのかについてはケースバイケースです。ただし同じノードをBorder Leafとして使用するのであれば、1つのL3outで構成してください。 learningnetwork.cisco.com/docs/DOC-33705 pic.twitter.com/HjQa0uocP8

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(29) L3outインターフェイスはRouted, Sub-Interface, SVIのいずれでも構成可能です。インターフェイスをVPCを用いてL2冗長したい場合や、VMと仮想ルータを同時に利用する場合等InterfaceとしてはL2である必要があるケースでは、SVIを使います。 learningnetwork.cisco.com/docs/DOC-33705 pic.twitter.com/itnuSOKsVI

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(30) ACIはサーバ接続用のネットワークであり、ネットワークのコアに配置する用途には最適化されていませんが、どうしても必要がある場合に対応するためにACI外のネットワーク同士を結びつけるTransit Routing構成にも対応しています。 learningnetwork.cisco.com/docs/DOC-33705 pic.twitter.com/KCNfUEM1P9

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(31) ACI内に構成したVRF同士は通常別の論理ネットワークとして分離して扱われますがRoute Leakを構成することによってVRFをまたいだ通信を構成することも可能です。Route LeakとTransit Routingを組み合わせた利用も可能となっています。 learningnetwork.cisco.com/docs/DOC-33705 pic.twitter.com/0hNmuqIAMp

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(32) ACIでは基本的に外部ネットワークとのL3接続にはBorder Leafで対向とピアを張りますが、例外としてGOLF構成と呼ばれるN7k, ASR1k, ASR9k をACIのBorder Routerとして利用する構成も可能です。モデルにより可能な構成が多少異なります。 learningnetwork.cisco.com/docs/DOC-33705 pic.twitter.com/4blkeQm0YG

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(33) ACIはマルチテナントに対応しており、物理的には共有しつつも相互に完全に分離された複数テナントのネットワークを混在して利用することが可能です。各Tenant内にVRF-BD-EPGに加えてL3outをそれぞれ構成するパターンがよく用いられます。 learningnetwork.cisco.com/docs/DOC-33705 pic.twitter.com/Xm1y2LxcLx

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(34) ACIを単一ユーザネットワークで利用する場合でも、セキュリティ等を目的としてマルチテナント構成を活用することが可能です。VRF及びL3outだけを共有できるCommonテナントに配置し、各テナントにBD-EPG-Contractを配置する構成も可能です。 learningnetwork.cisco.com/docs/DOC-33705 pic.twitter.com/hhRBAw1g8e

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(35) ACIにおいてネットワーク的な管理とアプリケーションとしての接続性の管理を区分するためにテナントを活用できます。この場合、VRF, BD, L3out等のネットワーク要素はCommonテナントに、EPG-Contractは各テナントにそれぞれ配置します。 learningnetwork.cisco.com/docs/DOC-33705 pic.twitter.com/MNTULu9jlb

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(36) ACIにおいてテナント間での通信が必要となる場合、最もシンプルな実現方法は相互にL3out経由で接続する構成です。この場合、ACI側での対向テナントを意識した構成は必要ありません。 learningnetwork.cisco.com/docs/DOC-33705 pic.twitter.com/r1lehPxTIT

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(37) 各テナント毎にVRFを構成しつつもL3outを共有、もしくは相互に疎通を行いたい場合などにはVRF間でのRoute Leakingを構成することで対応することができます。この場合、Route Leakする範囲のみは相互にIP重複することはできません。 learningnetwork.cisco.com/docs/DOC-33705 pic.twitter.com/7iPw4DxNPq

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(38) 既存ネットワーク側からACIにL3GWを移動させる場合、まずはACIを既存ネットワークとL2接続した上でEndpointを可能な限り移設、その後L3接続性を物理構成した上でGWを既存ネットワーク側からACIのBD側へと移動させる手順が一般的です。 learningnetwork.cisco.com/docs/DOC-33705 pic.twitter.com/OjBnZfX1lM

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(39) 最初、ACI Fabricを既存ネットワークの横に配置しL2で接続します。これにより、ACI配下のEndpointは既存ネットワーク側とのL2接続はもちろん既存L3GWを経由して他のSubnetとの間でも相互に疎通が可能となります。 learningnetwork.cisco.com/docs/DOC-33705 pic.twitter.com/BIeMF9WuID

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(40) 続いてACI側でL3outを構成し、外部接続ルータ等との間でのL3接続性を構成します。ただし、この時点ではBD側にはSubnetを構成せずに経路を広告することはしません。 learningnetwork.cisco.com/docs/DOC-33705 pic.twitter.com/lO6saxyO8R

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(41) L3GWの切り替え準備ができて通信が一時的に停止して構わないメンテナンスウィンドウ内で、まず既存ネットワーク側のL3GWを停止します。この時点で、既存ネットワーク側を含め当該SubnetのL3接続性は一時的に失われます。 learningnetwork.cisco.com/docs/DOC-33705 pic.twitter.com/PVf8LASsAZ

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(42) 既存ネットワーク側でL3GWを停止した上でACI側BDにGWをSubnetとして構成し、L3out経由で外部に経路情報を広告(もしくはStatic Routeを構成)します。結果、ACI側・既存ネットワーク側両方のEndpointがACI側GWを経由してL3接続が再開します。 learningnetwork.cisco.com/docs/DOC-33705 pic.twitter.com/418tMhtpeD

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(43) 既存ネットワーク側から全てのGWをACI側に移設できたら既存ネットワークと外部ルータ間の接続は不要となります。ACIと既存ネットワークとの間のL2接続は既存ネットワーク側にもEndpointが残っている間は引き続き必要です。 learningnetwork.cisco.com/docs/DOC-33705 pic.twitter.com/LzIYazvR04

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(44) 既存ネットワーク側からACI側へのL3GWの移動は、既存ネットワーク側にEndpointが残ったままでも可能ですが、既存ネットワークからACIへのリプレイスを目的とする場合は順次Endpointの移設を行って下さい。 learningnetwork.cisco.com/docs/DOC-33705 pic.twitter.com/8FVaOZ5ROG

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(45) ACIのコントローラであるAPICは本番運用環境においては3台以上でのクラスタ構成がサポート要件となっており、検証評価目的に限り1台でもご利用頂けます。クラスタ構成後に台数を増減することも可能です。 learningnetwork.cisco.com/docs/DOC-33784 pic.twitter.com/a2KL5JVKi4

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(46) APICクラスタの構成台数に関わらずデータ分散の単位であるShardは3冗長となります。クラスタ中1台が障害となっても読み書きが可能ですが、2台が障害となると読み取り専用状態となります。全台が停止してもトラフィク転送は維持されます。 learningnetwork.cisco.com/docs/DOC-33784 pic.twitter.com/RIzzyeuQmA

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(47) APICのクラスタが縮退している状態の時間を最小化したい場合には、Standby APICを構成することが可能です。Standby APICはクラスタには参加していませんが、クラスタノードのいずれかが障害となった際にIDを引き継いで復旧に利用できます。 learningnetwork.cisco.com/docs/DOC-33784 pic.twitter.com/dXI1gAyCdG

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(48) ACI FabricにおいてLeafの配下にFEX (Nexus 2000)を配置する構成はサポートされていますが、スケーラビリティや利用可能な機能の制限などを考慮し可能な限りNexus 9000 Leafスイッチのポートに直接Endpointを直収する構成を推奨します。 learningnetwork.cisco.com/docs/DOC-33784 pic.twitter.com/BotyYgVViw

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(49) サーバ側とネットワーク側の帯域におけるOversubscription率の観点からもFEXの利用は考慮頂く必要があります。ACIではBiDi Opticsを利用することで10G対応LCケーブルで40/100Gに対応する等、ファシリティ面でコストを大幅に削減できます。 learningnetwork.cisco.com/docs/DOC-33784 pic.twitter.com/hu1b6LkF97

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(50) リンク速度が1Gで良いEndpointをACIに収容する場合など、コストパフォーマンスを考慮してFEXを選ぶケースもありましたが、Nexus 9348GC-FXPをご利用頂くことでコストも最適化しつつNexus 9000だけで構成されたACI Fabricを構成できます。 learningnetwork.cisco.com/docs/DOC-33784 pic.twitter.com/M7HJRnhtE9

拡大