ACI How To 資料振り返り

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(51) ACIはNetworkをポリシーで直接管理する実装を実現しています。他の多くのSDNを標榜する製品はコントローラがConfigとして機器を管理する実装となっていますが、ACIはコントローラが機器に伝えるものはポリシーでありConfigではありません。 learningnetwork.cisco.com/docs/DOC-33866 pic.twitter.com/jCmFUcDKcB

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(52) ACIのポリシーはObjectそのものです。単にConfigにAPIを被せただけの実装ではなく、根本的にManaged Objectとして1から設計・実装されているからこそ、ACIはConfig FirstではなくAPI Fastなネットワークの構成と管理を実現しています。 learningnetwork.cisco.com/docs/DOC-33866 pic.twitter.com/l5JYV6MoZ1

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(53) ACIは元々機器を個別に管理する実装はされておらず、集合体としてのFabricとSDNの概念全体をまとめてポリシーとして管理する実装をしているからこそ、抽象度の高いポリシーの概念をネットワークの管理に持ち込むことを可能としています。 learningnetwork.cisco.com/docs/DOC-33866 pic.twitter.com/1SyRycmofe

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(54) コントローラはポリシーの管理と配信を行っており、ポリシーを解釈してデータプレーンレベルのプログラムに落とし込む役割は Nexus 9000 スイッチ側に実装されています。故に、高いスケーラビリティと早いASIC進化の両面が実現しています。 learningnetwork.cisco.com/docs/DOC-33866 pic.twitter.com/HUr7EeVR80

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(55) SDN的な側面ばかりに目が行きがちですが、Fabricのレイヤーにまでポリシーが実装されている点もACIの特徴の1つです。ACIがあらゆるコンピューティングリソースに依存しないSDNを実現できるのもFabricをポリシー管理できるからこそです。 learningnetwork.cisco.com/docs/DOC-33866 pic.twitter.com/BLYh4KHESZ

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(56) Access PolicyはACI Fabricへの接続に関するポリシーです。Access Policyは一見複雑そうに見えるかもしれませんが、インターフェイスレベルの接続管理を「使い回しの効く標準化」を実現する手段として、慣れるととても便利です。 learningnetwork.cisco.com/docs/DOC-33866 pic.twitter.com/V3KQYEbB26

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(57) Global Policyの中でもAEPはDomainとInterface Policy Groupを紐付ける接点ですが、この要素の重要性はこのネタだけで1時間議論できてしまうぐらいの、これが理解できればACIの重要な要素を掴んだと言えるぐらいACIのキモだったりします。 learningnetwork.cisco.com/docs/DOC-33866 pic.twitter.com/N0INJKQJjG

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(58) Global PolicyはAEP以外にもLoop ProtectionやError Disable Recovery、Port Tracking等のキチンと構成しておくべきポリシー要素が多く含まれています。 learningnetwork.cisco.com/docs/DOC-33866 pic.twitter.com/8083AOPbKG

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(59) 「PolicyをPolicy GroupとしてまとめてProfileに紐付ける」この流れを上手く使えるようになるとACIのFabric Policyの基本を理解したと言えるかと思います。これはプラモデルみたいなもので、パーツを組み立てた各部合体する様な感じです。 learningnetwork.cisco.com/docs/DOC-33866 pic.twitter.com/ruGjf6V4ug

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(60) Access Policyを構成する各ポリシーには default として既定値が設定されていますが、パーツとしてご利用頂く場合には明示的な名前を付けてご利用頂くことを推奨します。 learningnetwork.cisco.com/docs/DOC-33866 pic.twitter.com/SCzXdgC73c

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(61) ACIのAccess Policyを図示すると複雑そうに見えてしまうのですが、一旦Managed Objectとしてのつながりを把握してしまうとわかりやすい実装となっています。VLAN PoolとDomainとAEPとInterface Policy Groupあたりのつながりがキモかも。 learningnetwork.cisco.com/docs/DOC-33866 pic.twitter.com/TbhUwBH21U

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(62) DomainとAEPの関係はN:1です。つまり、Domainは1つのAEPと紐付きますが、AEPは複数のDomainと紐付くことが可能です。AEPを小分けにする設計もできますが、個人的にはVLAN重複のない範囲ではAEPはシンプルに1つにする設計が好みです。 learningnetwork.cisco.com/docs/DOC-33866 pic.twitter.com/4tM00Q5iiY

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(63) Access Policyは使いまわしによって効率化を図ることができます。そのため、同じポリシーを利用するサーバを各ノードの同じポートに接続する、物理的にも標準化を進めることが重要です。ポリシー方式は最初は手間ですが次第に楽できます。 learningnetwork.cisco.com/docs/DOC-33866 pic.twitter.com/GwUAc2tKBv

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(64) Endpointの接続に関するAccess Policyとは別に、Fabricとしての構成 (NTPや各種モニタリング等)を設定するためのFabric Policyもあります。こちらは最初に設定してしまえばそれ以降はあまり設定・変更することはないかもしれませんね。 learningnetwork.cisco.com/docs/DOC-33866 pic.twitter.com/IHXF1AVG8I

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(65) ACIにおける論理的な定義は全てTenantの中に構成されます。TenantにつながるManaged Object間の繋がりを把握すると上手くACIを使いこなすことが出来ます。個人的にはCLIよりもイメージとして関連性を理解しやすいObject Modelが好きです。 learningnetwork.cisco.com/docs/DOC-33961 pic.twitter.com/zpKT27jOiw

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(66) ACIにおける論理的な繋がりはApplication Profile内に定義されるEPG同士をContractで結びつける "つながり" です。一切 物理的な接続や、Endpointの形態に依存しないEPGとContractという仕組みを備えることがACIのSDNと呼ばれる側面です。 learningnetwork.cisco.com/docs/DOC-33961 pic.twitter.com/7xpyPdNJXE

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(67) ACI自身がNativeで提供するセキュリティ機能がContractであり、その中身がFilterです。Contractには、L4-L7連携の定義も可能なSubjectを通じて、従来のスイッチのACLに相当するFilterと結びつく、ACIらしいObjectな実装となっています。 learningnetwork.cisco.com/docs/DOC-33961 pic.twitter.com/QBO3BnFpA4

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(68) Filterは #CiscoNexus 自身で処理可能なL2-L4 Statelessな範囲のフィルタ定義を規定します。Filter定義は複数のContractで使いまわしできるので、使い回しの利便性を考慮して定義すると便利です。 learningnetwork.cisco.com/docs/DOC-33961 pic.twitter.com/Ar6TdvsqEM

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(69) EPGに対するContractの紐付けには5種類の適用方法があります。Contractルールを提供するProvideと利用するConsumeの関連性はわかりやすいですが、場合によりTabooもご活用頂くとContract定義を複雑化せずに多様なパターンに対応できます。 learningnetwork.cisco.com/docs/DOC-33961 pic.twitter.com/kDDq5TARSU

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(70) ContractにはScopeと呼ばれる有効範囲の規定があります。有効範囲を上手く絞り込むことで、同じContractを使いつつ通信可能なEPGの範囲を制限する等の柔軟な接続性の管理を実現することが可能です。デフォルトはVRF範囲となっています。 learningnetwork.cisco.com/docs/DOC-33961 pic.twitter.com/sPfM1crrRF

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(71) Contractの適用先はEPGですが、その中には内部のEndpointをグループ化したEPGだけでなく、外部ネットワークの一部をPrefix定義したExternal EPGや、VRF範囲全体を意味するvzAny等の様々な種類があり、その全てにContractを紐付けられます。 learningnetwork.cisco.com/docs/DOC-33961 pic.twitter.com/wrNt2dqFDa

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(72) TenantをまたいでContractを利用するためには、Provide側で用意したContractをExportし、Consume側でConsumed Contract Interfaceを利用します。ただし、Commonテナントに定義したContractは全TenantでExportせずとも利用できます。 learningnetwork.cisco.com/docs/DOC-33961 pic.twitter.com/Yc16sAggU0

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(73) ContractとFilterの間にあるSubjectはうまく活用すると便利です。EPG間にはContractを複数定義することもできますが複雑化しがちなのでSubjectを使って最小限のContractでEPG間を結ぶデザインがオススメです。 learningnetwork.cisco.com/docs/DOC-33961 pic.twitter.com/oEe1lg7YQi

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(74) SubjectにはFilter以外にもL4-L7連携を規定するService Graphを紐付けることが可能です。これによって、Subjectに紐付けたFilterで指定された宛先Portの通信だけにL4-L7サービスを適用するなどの制御を簡単に構成することができます。 learningnetwork.cisco.com/docs/DOC-33961 pic.twitter.com/jYk9IupjWe

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(75) Contarctを2つ定義するのと、1つのContractの中に2つのSubjectを定義するのでPolicy CAMの消費量という意味では違いはありません。…なので、あくまでもこれらの構成方法の違いは、管理上のわかりやすさと利便性に基づいて構成します。 learningnetwork.cisco.com/docs/DOC-33961 pic.twitter.com/K52miuU1YD

拡大