ACI How To 資料振り返り

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(101) 宛先Remote Leafを移動元でキャッシュしていたLeafは、当然当該Endpoint宛の通信を移動元Leafに転送してしまいますが、移動元Leafだけは移動先Leafを把握しているため再転送されることで通信が成立します。これをBounce Entryと呼びます。 learningnetwork.cisco.com/s/article/aci-… pic.twitter.com/oGjAe9quJI

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(102) Bonce Entryで転送する際に送信元TEP情報は書き換えられません。そのため、戻りは移動先Leafから送信元TEPに直接戻されるため、結果的に送信元Leafはこの時点で当該Endpointの移動を把握しRemote Endpointに紐づくTEPを書き換えます。 learningnetwork.cisco.com/s/article/aci-… pic.twitter.com/UU2Xhy2vwY

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(103) ACIに対する理解がスッと腑に落ちる様になるためには、ACIの中に一緒になって存在している「ネットワークの要素」と「ポリシー(セキュリティ)の要素」を明確に分離して考えられる様になることがとても重要です。 learningnetwork.cisco.com/s/article/aci-… pic.twitter.com/Rbuso2aRQX

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(104) ACIの大きな価値はEPGとContractを用いたポリシー管理ですが、その前提としてネットワークとしての接続性があることが当然ながら必要です。つまり、まずネットワークとしての接続性を構成し、その上でポリシー管理を構成します。これ重要。learningnetwork.cisco.com/s/article/aci-… pic.twitter.com/9VqXXrRpWA

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(105) ポリシー管理は『ネットワークの接続性を前提とすれど依存はしていない』という点がとても重要です。つまり、EPGにグルーピングする対象は接続ノードやポート、VLANなどには依存しませんし、物理・仮想の違いなどにも依存しません。 learningnetwork.cisco.com/s/article/aci-… pic.twitter.com/gUJXgNqjsZ

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(106) SubnetやVLANに依存しなくてもよい実装として、EPGという概念はACIの根幹といえます。EPGを識別したいが故にACI内部のVXLANではヘッダの未使用領域を活用して個別のEPGを識別するpcTag (Source Group)を含めたiVXLANを利用しています。 learningnetwork.cisco.com/s/article/aci-… pic.twitter.com/yiXBG2IGzD

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(107) ACIのポリシー的側面を使わずにネットワーク的な要素だけで利用する場合であっても、EPGはEndpointの紐付け先として必要です。1 EPG / 1 BDで構成すると、概ね既存のVLAN = Subnetの世界をそのままACIの構成に置き換えることができます。 learningnetwork.cisco.com/s/article/aci-… pic.twitter.com/eZNwbad3Vq

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(108) ACIのポリシー要素はネットワーク要素に依存していないので、EPG間の通信ポリシーとなるContractで結びつけるEPG同士が同じBDに紐付いていても別のBDに紐付いていても全く管理性に違いはありません。VLAN Subnetに加え、L2/L3にも非依存。 learningnetwork.cisco.com/s/article/aci-… pic.twitter.com/5AxA0a1rgZ

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(109) Contractの中で #CiscoNexus 自身で処理できる範囲はACLと同等のL4 Statelessまでですが、Contractはその紐付け先としてIPやVLAN、物理ノードやポート等に縛られていないEPGとの間で利用できる、という点が従来のACLとの大きな違いです。 learningnetwork.cisco.com/s/article/aci-… pic.twitter.com/9MTabvyMN3

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(110) Contractの定義は"Application Centric"なACIらしく!?サービスを提供する方向としてデザインされています。つまり、ContractをProvideする側がサーバであり、Consumeする側がクライアントとなります。まぁ、慣れの問題ではあるのですが… learningnetwork.cisco.com/s/article/aci-… pic.twitter.com/3w5Q4HGRPg

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(111) ContractはEPGへの紐付けの単位、Subjectは処理の単位、FilterはLeafで適用するフィルタの内容、です。SubjectはContractに含まれる要素ですが、Filterは紐付ける要素なので複数のContractで使いまわすことができます。 learningnetwork.cisco.com/s/article/aci-… pic.twitter.com/atz9jmvfem

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(112) EPG間に複数のContractを定義する方法と、EPG内に複数のSubjectを定義する方法のどちらがよいのかは意見が分かれるところですが、同じEPG間に対してならばSubjectを追加し、別のEPGも含まれるならばContractを別にするのが良いのではと。 learningnetwork.cisco.com/s/article/aci-… pic.twitter.com/mLn4AWY7Qy

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(113) Subjectに複数のFilterを定義するか、別々のSubjectにするかについては、適用する処理を分けたいなら分けるべきです。SubjectはQoSやService Graphなどの適用単位として利用できるので、Web通信だけをLB経由にしたいならSSHとは別にする。 learningnetwork.cisco.com/s/article/aci-… pic.twitter.com/0Y7fvNNY6M

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(114) Filterは完全に再利用性を重視して作成すべきです。Filterの中に複数のEntryを含めることができるので、よくある組み合わせを1つのFilterにすると便利ですが、Filter単位でSubjectに紐付けることを考慮してまとめる範囲を決めて下さい。 learningnetwork.cisco.com/s/article/aci-… pic.twitter.com/SfpXdpGu7W

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(115) Service Graphを利用してPBRで通信を折り曲げる場合を除きContractはネットワークとしての転送動作自体を変化させません。Contractの裏の役割としてノードへの経路情報プログラムのトリガーとなる点も重要なのですが、またそれは別の話。 learningnetwork.cisco.com/s/article/aci-… pic.twitter.com/KPhZgH2Y0K

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(116) ACI内ではネットワークを識別するためのVXLAN ID (VNID)とは別に、EPGを識別するためのsclass (pcTag)情報がヘッダに付加されます。そしてContractはZoning RuleとしてLeafにプログラムされます。つまりzoning ruleの対象はpcTag間です。 learningnetwork.cisco.com/s/article/aci-… pic.twitter.com/xIHw9S4qaw

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(117) pcTagは例外を除きACI Fabric全体でVRF範囲で一意です。そのためパケットの送信元Leafが送信元に加えて宛先のpcTagも把握していれば、送信元側でContractの適用 = 最終的な通信可否の判定が可能となりFabric内に不要な通信が流れません。 learningnetwork.cisco.com/s/article/aci-… pic.twitter.com/NZWBNspKyV

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(118) Contractの適用ステータスはヘッダ内のFlagによって判断されます。EPG間で通信が発生していればお互いに相手Endpointをキャッシュとして学習するため、相互にContract適用はパケットがLeafに届いた時点で適用される様になります。 learningnetwork.cisco.com/s/article/aci-… pic.twitter.com/g7wf2U8rFw

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(119) スタンダードなBGP-EVPN VXLANと同様にACIでもVRFに紐づくVNIDがL3 VNI、BDに紐づくVNIDがL2 VNIとして扱われます。Encap VLANは単にEndpointのEPGへの紐付けを判断する情報でありVXLANとの直接的な紐付けがないところがACIならではです。 learningnetwork.cisco.com/s/article/aci-… pic.twitter.com/7SxzX3sXoT

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(120) ACIはContractを利用頂くことが大きな価値ですが、いわゆるWhitelist型な「許可された通信だけが可能」な状態にいきなり移行することが困難という場合であっても、部分的な適用などが可能となっています。完全な無効化は非推奨です。 learningnetwork.cisco.com/s/article/aci-… pic.twitter.com/kI6rVcWksG

拡大

Takao Setaka @twtko

#CiscoACI How To 資料振り返り(121) Contractを利用する構成でACIをご利用頂いているケースで、共通なContract構成をEPG作成の都度設定するのは手間ですよね。そんな場合には、Contractの継承 機能を活用して親EPGを指定することで、親の構成を引き継ぐことが可能です。 learningnetwork.cisco.com/s/article/aci-… pic.twitter.com/bZdk7r6ml8

拡大