cisco apic スタートアップガイド...最終更新:2014年09月10日...
TRANSCRIPT
Cisco APIC スタートアップガイド初版:2014年 08月 04日
最終更新:2014年 09月 10日
シスコシステムズ合同会社〒107-6227 東京都港区赤坂9-7-1 ミッドタウン・タワーhttp://www.cisco.com/jpお問い合わせ先:シスココンタクトセンター
0120-092-255 (フリーコール、携帯・PHS含む)電話受付時間:平日 10:00~12:00、13:00~17:00http://www.cisco.com/jp/go/contactcenter/
【注意】シスコ製品をご使用になる前に、安全上の注意( www.cisco.com/jp/go/safety_warning/ )をご確認ください。本書は、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきま
しては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容
については米国サイトのドキュメントを参照ください。また、契約等の記述については、弊社販
売パートナー、または、弊社担当者にご確認ください。
このマニュアルに記載されている仕様および製品に関する情報は、予告なしに変更されることがあります。このマニュアルに記載されている表現、情報、および推奨
事項は、すべて正確であると考えていますが、明示的であれ黙示的であれ、一切の保証の責任を負わないものとします。このマニュアルに記載されている製品の使用
は、すべてユーザ側の責任になります。
対象製品のソフトウェアライセンスおよび限定保証は、製品に添付された『Information Packet』に記載されています。添付されていない場合には、代理店にご連絡ください。
The Cisco implementation of TCP header compression is an adaptation of a program developed by the University of California, Berkeley (UCB) as part of UCB's public domain versionof the UNIX operating system. All rights reserved. Copyright © 1981, Regents of the University of California.
ここに記載されている他のいかなる保証にもよらず、各社のすべてのマニュアルおよびソフトウェアは、障害も含めて「現状のまま」として提供されます。シスコお
よびこれら各社は、商品性の保証、特定目的への準拠の保証、および権利を侵害しないことに関する保証、あるいは取引過程、使用、取引慣行によって発生する保証
をはじめとする、明示されたまたは黙示された一切の保証の責任を負わないものとします。
いかなる場合においても、シスコおよびその供給者は、このマニュアルの使用または使用できないことによって発生する利益の損失やデータの損傷をはじめとする、
間接的、派生的、偶発的、あるいは特殊な損害について、あらゆる可能性がシスコまたはその供給者に知らされていても、それらに対する責任を一切負わないものと
します。
このマニュアルで使用している IPアドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、ネットワークトポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとしても、それは意
図的なものではなく、偶然の一致によるものです。
Cisco and the Cisco logo are trademarks or registered trademarks of Cisco and/or its affiliates in the U.S. and other countries. To view a list of Cisco trademarks, go to this URL: http://www.cisco.com/go/trademarks. Third-party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnershiprelationship between Cisco and any other company. (1110R)
© 2014 Cisco Systems, Inc. All rights reserved.
目次
はじめに xi
対象読者 xi
表記法 xi
関連資料 xiii
マニュアルに関するフィードバック xiv
マニュアルの入手方法およびテクニカルサポート xiv
使用する前に 1
初回アクセス 1
Cisco Application Centric Infrastructureファブリックハードウェアのインストール 1
APICコントローラの BIOSデフォルトパスワードの変更 2
APICについて 2
APICのセットアップ 3
GUIへのアクセス 5
REST APIへのアクセス 5
CLIへのアクセス 6
GUIの概要 7
GUIの概要 7
メニューバーおよびサブメニューバー 7
[SYSTEM]タブ 7
[TENANTS]タブ 8
[FABRIC]タブ 8
[VM NETWORKING]タブ 8
[L4-L7 SERVICES]タブ 8
[ADMIN]タブ 9
[Search]アイコン 9
[Navigation]ペイン 9
Cisco APIC スタートアップガイドiii
[Work]ペイン 9
GUIアイコン 10
エラー、統計情報およびヘルスレベルのアイコン 11
APICの例について 12
ファブリックの初期設定 12
ファブリックの初期設定について 12
トポロジの例 12
トポロジの接続の例 13
APICによるスイッチの検出 14
APICクラスタへのスイッチの登録 14
APICによるスイッチ検出の検証およびスイッチ管理 15
ファブリックトポロジの検証 15
VM管理のアンマネージドスイッチの接続 15
スイッチの登録 16
GUIを使用した未接続スイッチの登録 16
REST APIを使用した未接続スイッチの登録 17
CLIを使用した未接続スイッチの登録 17
スイッチの検証 18
GUIを使用した接続済みスイッチの登録 18
REST APIを使用した接続済みスイッチの登録 18
CLIを使用した接続済みスイッチの登録 19
ファブリックトポロジの検証 19
GUIを使用したファブリックトポロジの検証 19
REST APIを使用したファブリックトポロジの検証 20
ユーザアカウントの作成 21
ローカルユーザの設定 21
リモートユーザの設定 21
GUIを使用したローカルユーザの設定 21
REST APIを使用したローカルユーザの設定 22
CLIを使用したローカルユーザの設定 22
外部認証サーバの AVペア 23
外部認証サーバの AVペアの設定 23
Cisco APIC スタートアップガイドiv
目次
GUIを使用したリモートユーザの設定 24
REST APIを使用したリモートユーザの設定 24
CLIを使用したリモートユーザの設定 25
管理アクセスの追加 26
インバンドおよびアウトオブバンド管理アクセスの設定 26
GUIを使用したインバンド管理アクセスの設定 26
REST APIを使用したインバンド管理アクセスの設定 30
CLIを使用したインバンド管理アクセスの設定 32
GUIを使用したアウトオブバンド管理アクセスの設定 37
REST APIを使用したアウトオブバンド管理アクセスの設定 39
CLIを使用したアウトオブバンド管理アクセスの設定 40
GUIを使用した APICコントローラの IPアドレスの変更 42
REST APIを使用した APICコントローラの IPアドレスの変更 43
CLIを使用した APICコントローラの IPアドレスの変更 44
管理接続モード 45
GUIを使用したレイヤ 2管理接続の設定 46
REST APIを使用したレイヤ 2管理接続の設定 47
CLIを使用したレイヤ 2管理接続の設定 48
GUIを使用したレイヤ 3管理接続の設定 50
REST APIを使用したレイヤ 3管理接続の設定 51
CLIを使用したレイヤ 3管理接続の設定 52
管理接続の検証 54
VM管理システムの接続 54
仮想マシンのネットワーキングポリシーの設定 54
VM管理システムについて 55
接続可能エンティティプロファイルについて 56
VMMドメインプロファイルの作成 57
VMMドメインプロファイルを作成するための前提条件 57
GUIを使用した vCenterドメインプロファイルの作成 57
REST APIを使用した vCenterドメインプロファイルの作成 60
CLIを使用した vCenterドメインプロファイルの作成 62
GUIを使用した vCenterおよび vShieldドメインプロファイルの作成 65
Cisco APIC スタートアップガイドv
目次
REST APIを使用した vCenterおよび vShieldのドメインプロファイルの作成 68
CLIを使用した vCenterおよび vShieldドメインプロファイルの作成 70
テナント、プライベートネットワーク、およびブリッジドメインの作成 74
テナントの概要 74
テナントの作成 74
ネットワークおよびブリッジドメイン 74
GUIを使用した、テナント、プライベートネットワーク、およびブリッジドメ
インの作成 74
REST APIを使用した、テナント、プライベートネットワーク、およびブリッジ
ドメインの作成 75
CLIを使用した、テナント、プライベートネットワーク、およびブリッジドメイ
ンの作成 76
サーバポリシーまたはサービスポリシーの設定 77
DHCPリレーポリシーの設定 77
GUIを使用した、APICインフラストラクチャ用 DHCPサーバポリシーの設
定 77
REST APIを使用した APICインフラストラクチャの DHCPサーバポリシー
の設定 78
CLIを使用した APICインフラストラクチャの DHCPサーバポリシーの設
定 79
DNSサービスポリシーの設定 79
インバンド DNSサービスポリシーによる外部接続先の設定 80
GUIを使用した、DNSプロバイダーと接続するためのDNSサービスポリシー
の設定 81
RESTAPIを使用した、DNSプロバイダーと接続するためのDNSサービスポ
リシーの設定 82
CLIを使用した、DNSプロバイダーと接続するためのDNSサービスポリシー
の設定 83
CLIを使用した、DNSプロファイルがファブリックコントローラスイッチに
設定および適用されていることの確認 83
テナント用外部接続の設定 85
GUIを使用したMP-BGPルートリフレクタの設定 85
Cisco APIC スタートアップガイドvi
目次
REST APIを使用したMP-BGPルートリフレクタの設定 86
CLIを使用したMP-BGPルートリフレクタの設定 87
MP-BGPルートリフレクタの設定の確認 87
GUIを使用した、管理テナント用 OSPF外部ルーテッドネットワークの作成 88
REST APIを使用した、管理テナント用 OSPF外部ルーテッドネットワークの作
成 90
CLIを使用した、管理テナント用 OSPF外部ルーテッドネットワークの作成 90
アプリケーションポリシーの導入 91
Three-Tierアプリケーションの展開 91
httpのフィルタを作成するためのパラメータ 92
rmiおよび sqlのフィルタを作成するためのパラメータ 93
アプリケーションプロファイルデータベースの例 93
GUIを使用したアプリケーションポリシーの導入 93
GUIを使用したフィルタの作成 93
GUIを使用したコントラクトの作成 94
GUIを使用したアプリケーションプロファイルの作成 95
GUIを使用した EPGの作成 95
GUIを使用したコントラクトの使用と提供 96
REST APIを使用したアプリケーションポリシーの導入 96
CLIを使用したアプリケーションポリシーの導入 99
ブレードサーバの使用 105
ブレードサーバのアクセスポリシーのセットアップ 105
ブレードサーバのアクセスポリシーを設定するためのガイドライン 105
GUIを使用した、ブレードサーバのアクセスポリシーのセットアップ 106
REST APIを使用した、ブレードサーバのアクセスポリシーのセットアップ 108
オーバーライドポリシーによるブレードサーバのアクセスポリシーの設定 109
ブレードサーバのアクセスポリシーをオーバーライドポリシーで設定するためのガ
イドライン 109
GUIを使用した、ブレードサーバに対するオーバーライドポリシーによるアクセス
ポリシーのセットアップ 110
REST APIを使用した、ブレードサーバに対するオーバーライドポリシーによるア
クセスポリシーのセットアップ 113
Cisco APIC スタートアップガイドvii
目次
APICコントローラおよびスイッチのソフトウェアのアップグレード 115
APICコントローラとスイッチのソフトウェアアップグレードについて 115
ファームウェア管理について 116
GUIを使用したソフトウェアのアップグレード 117
GUIを使用した APICコントローラソフトウェアのバージョンアップグレー
ド 117
GUIを使用した、リーフおよびスパインスイッチソフトウェアのバージョン
アップグレード 118
GUIを使用したカタログソフトウェアバージョンのアップグレード 120
REST APIを使用したソフトウェアのアップグレード 121
REST APIを使用した APICコントローラソフトウェアのアップグレード 121
REST APIを使用したスイッチソフトウェアのアップグレード 121
ファームウェアバージョンおよびアップグレードの状態の確認 123
アップグレードプロセス中の障害のトラブルシューティング 123
APICコントローラのアップグレードプロセス障害時の GUIによる再起動 123
APICコントローラメンテナンスポリシーのためにスケジューラが一時停止され
ていることの REST APIを使用した確認 124
APICコントローラメンテナンスポリシーのために一時停止したスケジューラの
再開 124
APICコントローラメンテナンスポリシーのために一時停止したスケジュー
ラの GUIを使用した再開 124
APICコントローラメンテナンスポリシーのために一時停止したスケジュー
ラの REST APIを使用した再開 124
スイッチのメンテナンスポリシーのために一時停止したスケジューラの再開 125
スイッチメンテナンスポリシーのために一時停止したスケジューラの GUI
による再開 125
スイッチメンテナンスポリシーのために一時停止したスケジューラの REST
APIによる再開 125
Cisco APICクラスタの拡大および縮小 127
Cisco APIC Clusterのクラスタの拡大 127
Cisco APICクラスタの縮小 127
クラスタ管理の注意事項 128
Cisco APIC スタートアップガイドviii
目次
APICクラスタサイズの拡大 128
APICクラスタのサイズ縮小 129
クラスタの拡大の例 130
GUIを使用した APICクラスタの拡大 130
REST APIを使用した APICクラスタの拡大 130
クラスタの縮小の例 131
GUIを使用した APICクラスタの縮小 131
REST APIを使用した APICクラスタの縮小 132
Cisco APIC スタートアップガイドix
目次
Cisco APIC スタートアップガイドx
目次
はじめに
この前書きは、次の項で構成されています。
• 対象読者, xi ページ
• 表記法, xi ページ
• 関連資料, xiii ページ
• マニュアルに関するフィードバック, xiv ページ
• マニュアルの入手方法およびテクニカルサポート, xiv ページ
対象読者このガイドは、次の 1つ以上に責任を持つ、専門知識を備えたデータセンター管理者を主な対象にしています。
•仮想マシンのインストールと管理
•サーバ管理
•スイッチおよびネットワーク管理
表記法コマンドの説明には、次のような表記法が使用されます。
説明表記法
太字の文字は、表示どおりにユーザが入力するコマンドおよび
キーワードです。
bold
イタリック体の文字は、ユーザが値を入力する引数です。italic
Cisco APIC スタートアップガイドxi
説明表記法
省略可能な要素(キーワードまたは引数)は、角カッコで囲んで
示しています。
[x]
いずれか 1つを選択できる省略可能なキーワードや引数は、角カッコで囲み、縦棒で区切って示しています。
[x | y]
必ずいずれか1つを選択しなければならない必須キーワードや引数は、波カッコで囲み、縦棒で区切って示しています。
{x | y}
角カッコまたは波カッコが入れ子になっている箇所は、任意また
は必須の要素内の任意または必須の選択肢であることを表しま
す。角カッコ内の波カッコと縦棒は、省略可能な要素内で選択
すべき必須の要素を示しています。
[x {y | z}]
ユーザが値を入力する変数であることを表します。イタリック体
が使用できない場合に使用されます。
variable
引用符を付けない一組の文字。 stringの前後には引用符を使用しません。引用符を使用すると、その引用符も含めて stringとみなされます。
string
例では、次の表記法を使用しています。
説明表記法
スイッチが表示する端末セッションおよび情報は、screenフォントで示しています。
screen フォント
ユーザが入力しなければならない情報は、太字の screenフォントで示しています。
太字の screen フォント
ユーザが値を指定する引数は、イタリック体の screenフォントで示しています。
イタリック体の screenフォント
パスワードのように出力されない文字は、山カッコ(< >)で囲んで示しています。
< >
システムプロンプトに対するデフォルトの応答は、角カッコで
囲んで示しています。
[ ]
コードの先頭に感嘆符(!)またはポンド記号(#)がある場合には、コメント行であることを示します。
!、#
Cisco APIC スタートアップガイドxii
はじめに
表記法
このマニュアルでは、次の表記法を使用しています。
「注釈」です。役立つ情報やこのマニュアルに記載されていない参照資料を紹介しています。(注)
「要注意」の意味です。機器の損傷またはデータ損失を予防するための注意事項が記述され
ています。
注意
安全上の重要事項
「危険」の意味です。人身事故を予防するための注意事項が記述されています。機器の取り
扱い作業を行うときは、電気回路の危険性に注意し、一般的な事故防止対策に留意してくださ
い。各警告の最後に記載されているステートメント番号を基に、装置に付属の安全について
の警告を参照してください。
これらの注意事項を保管しておいてください。
警告
関連資料アプリケーションセントリックインフラストラクチャのマニュアルセットには、以下のマニュ
アルが含まれています。これらのマニュアルは、次の Cisco.comの URLで入手できます。http://www.cisco.com/c/en/us/support/cloud-systems-management/application-policy-infrastructure-controller-apic/tsd-products-support-series-home.html。
Web ベースのマニュアル
•『Cisco APIC Management Information Model Reference』
•『Cisco APIC Online Help Reference』
•『Cisco ACI MIB Support List』
ダウンロード可能なマニュアル
•『Cisco Application Centric Infrastructure Release Notes』
•『Cisco Application Centric Infrastructure Fundamentals Guide』
•『Cisco APICスタートアップガイド』
•『Cisco APIC REST API User Guide』
•『Cisco APIC Command Line Interface User Guide』
•『Cisco APIC Faults, Events, and System Message Guide』
Cisco APIC スタートアップガイドxiii
はじめに
関連資料
•『Cisco APIC Layer 4 to Layer 7 Device Package Development Guide』
•『Cisco APIC Layer 4 to Layer 7 Services Deployment Guide』
•『Cisco ACI Firmware Management Guide』
•『Cisco ACI Troubleshooting Guide』
•『Cisco ACI NX-OS Syslog Reference Guide』
•『Cisco ACI Switch Command Reference, NX-OS Release 11.0』
•『Cisco ACI MIB Quick Reference』
•『Cisco Nexus CLI to Cisco APIC Mapping Guide』
•『Application Centric Infrastructure Fabric Hardware Installation Guide』
•『Cisco Nexus 9508 ACI-Mode Switch Hardware Installation Guide』
•『Cisco Nexus 9336PQ Site Preparation and Hardware Installation Guide』
Cisco Nexus 9000 シリーズスイッチのマニュアル
Cisco Nexus 9000シリーズスイッチのマニュアルは、http://www.cisco.com/c/en/us/support/switches/nexus-9000-series-switches/tsd-products-support-series-home.htmlで入手できます。
Cisco Application Virtual Switch のマニュアル
CiscoApplicationVirtual Switch(AVS)のマニュアルは、http://www.cisco.com/c/en/us/support/switches/application-virtual-switch/tsd-products-support-series-home.htmlで入手できます。
マニュアルに関するフィードバックこのマニュアルに関する技術的なフィードバック、または誤りや記載もれなどお気づきの点がご
ざいましたら、[email protected]までご連絡ください。ご協力をよろしくお願いいたします。
マニュアルの入手方法およびテクニカルサポートマニュアルの入手方法、Cisco Bug Search Tool(BST)の使用、サービス要求の送信、および追加情報の収集に関する情報については、http://www.cisco.com/c/en/us/td/docs/general/whatsnew/whatsnew.htmlで『What's New in Cisco Product Documentation』を参照してください。
『What's New in Cisco Product Documentation』では、シスコの新規および改訂版の技術マニュアルの一覧を、RSSフィードとして購読できます。また、リーダーアプリケーションを使用して、コンテンツをデスクトップに配信することもできます。 RSSフィードは無料のサービスです。
Cisco APIC スタートアップガイドxiv
はじめに
マニュアルに関するフィードバック
第 1 章
使用する前に
この章の内容は、次のとおりです。
• 初回アクセス, 1 ページ
• GUIの概要, 7 ページ
• APICの例について, 12 ページ
• ファブリックの初期設定, 12 ページ
• ユーザアカウントの作成, 21 ページ
• 管理アクセスの追加, 26 ページ
• VM管理システムの接続, 54 ページ
• テナント、プライベートネットワーク、およびブリッジドメインの作成, 74 ページ
• サーバポリシーまたはサービスポリシーの設定, 77 ページ
• テナント用外部接続の設定, 85 ページ
• アプリケーションポリシーの導入, 91 ページ
初回アクセス
Cisco Application Centric Infrastructureファブリックハードウェアのインストール
ACIファブリックハードウェアのインストールの詳細については、『ApplicationCentric InfrastructureFabric Hardware Installation Guide』を参照してください。
Cisco APIC スタートアップガイド1
APICコントローラの BIOS デフォルトパスワードの変更APICコントローラには、デフォルトBIOSパスワードが付属しています。デフォルトのパスワードは "password"です。APICコントローラがブートプロセスを開始すると、ブート画面にコンソールサーバの BIOS情報が表示されます。
デフォルト BIOSパスワードを変更するには、次の作業を実行します。
手順
ステップ 1 BIOSのブートプロセス中、画面に「Press<F2>Setup」と表示されたときに、F2キーを押します。「Entering Setup」というメッセージが表示されて、メニューにアクセスします。
ステップ 2 [Enter Password]ダイアログボックスに、現在のパスワードを入力します。デフォルトは "password"です。
(注)
ステップ 3 [Setup Utility]で、[Security]タブを選択し、[Set Administrator Password]を選択します。
ステップ 4 [Enter Current Password]ダイアログボックスに、現在のパスワードを入力します。
ステップ 5 [Create New Password]ダイアログボックスに、新しいパスワードを入力します。
ステップ 6 [Confirm New Password]ダイアログボックスに、新しいパスワードをもう一度入力します。
ステップ 7 [Save & Exit]タブを選択します。
ステップ 8 [Save & Exit Setup]ダイアログボックスで、[Yes]を選択します。
ステップ 9 APICコントローラが再起動プロセスを完了するのを待ちます。更新された BIOSパスワードが有効になります。
APICについてCisco Application Centric Infrastructure(ACI)は、外部エンドポイントの接続性がアプリケーションセントリックポリシーを通じて制御されグループ化された分散型のスケーラブルなマルチテナ
ントインフラストラクチャです。 Application Policy Infrastructure Controller(APIC)は、ACIの自動化、管理、モニタリングおよびプログラマビリティの統合ポイントです。APICは、インフラストラクチャの物理/仮想コンポーネント用の統合操作モデルを使用して、アプリケーションの展開、管理、およびモニタリングをあらゆる場所でサポートします。APICは、アプリケーションの要件とポリシーに基づき、ネットワークのプロビジョニングおよび制御をプログラムで自動化し
ます。また、これは幅広いクラウドネットワークに対する中央制御エンジンなので、管理が容易
になり、アプリケーションネットワークの定義および自動化の方法に柔軟性が得られます。ま
た、ノースバウンドRepresentational State Transfer(REST)APIが提供されます。APICは、多くのコントローラインスタンスのクラスタとして実装される分散システムです。
Cisco APIC スタートアップガイド2
使用する前に
APICコントローラの BIOS デフォルトパスワードの変更
APICのセットアップAPICの初回起動時には、APICコンソールに一連の初期設定オプションが表示されます。多くのオプションでは、Enterを押して大カッコ内に表示されたデフォルト設定を選択することができます。初期設定ダイアログの任意の時点で、Ctrl+Cキーを押してダイアログを最初から再開できます。
デフォルト値説明名前
ACI Fabric 1ファブリックのドメイン名ファブリック名
3クラスタサイズコントローラ数
1、2、または 3APICインスタンスの一意の ID番号
コントローラの ID
10.0.0.0/16
この値はインフラストラクチャの仮想
ルーティングおよび転送(VRF)専用です
トンネルエンドポイント
アドレスプール
トンネルエンドポイント
アドレス用の IPアドレスプール
225.0.0.0/15
有効な範囲:225.0.0.0/15~231.254.0.0/15、prefixlenは 15である必要があります(128k IPs)
ファブリックマルチキャ
ストに使用する IPアドレス
ブリッジドメインのマル
チキャストアドレス
(GIPO)の IPアドレスプール
auto
有効な値は、次のとおりです
• auto
• 10baseT/Half
• 10baseT/Full
• 100baseT/Half
• 100baseT/Full
• 1000baseT/Full
アウトオブバンド管理イン
ターフェイスのインター
フェイス速度とデュプレッ
クスモード
管理インターフェイスの速
度およびデュプレックス
モード
4093仮想スイッチを含む APICスイッチ間の通信用インフ
ラストラクチャ VLAN
この VLANをAPIC専用に予約します。
(注)
インフラストラクチャ
ネットワークの VLAN ID
Cisco APIC スタートアップガイド3
使用する前に
APICのセットアップ
デフォルト値説明名前
—GUI、CLI、または APIを通じてAPICにアクセスするのに使用する IPアドレス
このアドレスは、お客様の
プライベートネットワー
クからの予約アドレスであ
る必要があります。
アウトオブバンド管理用の
IPアドレス
—外部ネットワークへのアウ
トオブバンド管理を使用し
た通信のゲートウェイア
ドレス
デフォルトゲートウェイ
の IPアドレス。
Y強力なパスワードであるこ
とを確認してください。
パスワードの強度の確認
—システム管理者のパスワー
ド
このパスワードは1つの特殊文字を含む8文字以上にする必要があります。
パスワード
以下は、コンソールに表示される初期設定ダイアログの例です。Cluster configuration ...Enter the fabric name [ACI Fabric1 #1]:Enter the number of controllers in the fabric (1-16) [3]:Enter the controller ID (1-3) [2]:Enter the controller name [apic2]:Enter address pool for TEP addresses [10.0.0.0/16]:Enter the VLAN ID for infra network (1-4094)[4093]: <<< This is for the physical APICEnter the VLAN ID for infra network (1-4094) [4]: <<< This is for the SimulatorEnter address pool for BD multicast addresses (GIPO) [225.0.0.0/15]:
Out-of-band management configuration ...Enter the IP address for out-of-band management: 192.168.10.2/24Enter the IP address of the default gateway [None]: 192.168.10.254Enter the interface speed/duplex mode [auto]:
Administrator user configuration...Enable strong passwords? [Y]Enter the password for admin:
Cisco APIC スタートアップガイド4
使用する前に
APICのセットアップ
GUI へのアクセス
手順
ステップ 1 サポートされているブラウザの 1つを開きます。
• Chrome 29(またはそれ以降のバージョン)
• Safari 6.0(またはそれ以降のバージョン)httpsサイトにアクセスするときには、有効な証明書をインストールすることが推奨されます。証明書が無署名の場合は [Safari can't verify the identify of the website"local host"]ダイアログボックスが表示されます。 [Continue]はクリックしないでください。 [Show Certificate]を選択します。 [Trust]セクションを拡張し、[AlwaysTrust]を選択します。パスワードを入力し、[Continue]をクリックします。
(注)
• Firefox 24(またはそれ以降のバージョン)
• Internet Explorer 10(それ以降のバージョン)
ステップ 2 URLを入力します。https://mgmt_ip-address初期設定時に設定したアウトオブバンド管理の IPアドレスを使用します。たとえば、https://192.168.10.1と入力します。
httpsだけがデフォルトでイネーブルになっています。デフォルトでは、httpおよび httpから httpsへのリダイレクトはディセーブルになります。
(注)
ステップ 3 ログイン画面が表示されたときは、初期設定時に設定した管理者名とパスワードでログインしま
す。
次の作業
アプリケーションセントリックインフラストラクチャファブリックおよび Application PolicyInfrastructureControllerの機能と運用については、提供されているホワイトペーパーおよび『CiscoApplication Centric Infrastructure Fundamentals Guide』を参照してください。
REST API へのアクセス
手順
スクリプトまたはブラウザベースのクライアントを使用して、次の形式で APIの POST送信、またはメッセージの GET受信ができます。https://ip-address of APIC/api/api-message-url初期設定時に設定したアウトオブバンド管理の IPアドレスを使用します。
Cisco APIC スタートアップガイド5
使用する前に
GUI へのアクセス
(注) • httpsだけがデフォルトでイネーブルになっています。デフォルトでは、httpおよび httpから httpsへのリダイレクトはディセーブルになります。
• APIセッションを開始するために、認証メッセージを送信する必要があります。初期設定時に設定した管理者ログイン名とパスワードを使用します。
次の作業
APIC REST APIの設定の詳細については、『Cisco APIC REST API User Guide』を参照してください。
CLI へのアクセス
手順
ステップ 1 セキュアシェル(SSH)クライアントから、admin@ip-addressへの SSH接続を開きます。初期設定時に設定したアウトオブバンド管理 IPアドレスと管理者のログイン名を使用します。たとえば、[email protected]と指定します。
ステップ 2 プロンプトが表示されたら、初期設定時に設定した管理者のパスワードを入力します。
次の作業
すべてのユーザは /homeと呼ばれる共有ディレクトリを使用する必要があります。このディレクトリでは、ディレクトリとファイルを作成できる権限がユーザに与えられます。/home内で作成されるファイルはデフォルトの umask権限を継承し、そのユーザと rootがアクセスできます。初めてログインしたときに、ファイル保管用にディレクトリを /home/useridという形式(/home/jsmithなど)で作成することを推奨します。
ACI CLIを BASHまたはVSHなどの動作モードで使用した場合のスイッチへのアクセスに関する詳細情報については、『Cisco APIC Command Line Interface User Guide』および『Cisco ACI SwitchCommand Reference』を参照してください。
APIC CLIの設定の詳細については、『Cisco APIC Command Line Interface User Guide』を参照してください。
Cisco APIC スタートアップガイド6
使用する前に
CLI へのアクセス
GUI の概要
GUI の概要APICGUIはRESTAPIメッセージの交換によって内部的にAPICエンジンと通信するブラウザベースの APIC用グラフィカルインターフェイスです。 GUIには複数のエリアおよびペインが含まれます。
メニューバーおよびサブメニューバー
メニューバーおよびサブメニューバーには次の項目があります。
メニューバーはAPICGUIの上部に表示されます(次の図を参照)。これによりメインタブにアクセスできます。
図 1:APIC GUI のメニューバー
メニューバーのタブの 1つをクリックすると(次の図を参照)、サブメニューバーに移動できます。メニューバータブをクリックすると、そのタブのサブメニューバーが表示されます。サブ
メニューバーは、メニューバータブごとに異なり、特定の構成によっても異なる場合がありま
す。
図 2:APIC GUI のサブメニューバー
[SYSTEM] タブシステム全体の状態のサマリー、その履歴、およびシステムレベルの障害のテーブルを収集およ
び表示するには、[SYSTEM]タブを使用します。
Cisco APIC スタートアップガイド7
使用する前に
GUI の概要
[TENANTS] タブテナント管理の実行にメニューバーの [TENANTS]タブを使用します。サブメニューバーに、[Add Tenant]リンクと、すべてのテナントを含むドロップダウンリストが表示されます。最大 5つまでの最近使用されたテナントもサブメニューバーに表示されます。
•テナントには、承認されたユーザのドメインベースのアクセスコントロールをイネーブルにするポリシーが含まれます。承認されたユーザは、テナント管理やネットワーキング管理な
どの権限にアクセスできます。
•ユーザは、ドメイン内のポリシーにアクセスしたりポリシーを設定するには読み取り/書き込み権限が必要です。テナントユーザは、1つ以上のドメインに特定の権限を持つことができます。
•マルチテナント環境では、リソースがそれぞれ分離されるように、テナントによりグループユーザのアクセス権限が提供されます(エンドポイントグループやネットワーキングなどの
ため)。これらの権限では、異なるユーザが異なるテナントを管理することもできます。
[FABRIC] タブ[FABRIC]タブには、サブメニューバーに次のタブが含まれます。
• [INVENTORY]タブ:ファブリックの個々のコンポーネントを表示します。
• [FABRIC POLICIES]タブ:モニタリングおよびトラブルシューティングのポリシーとファブリックプロトコルの設定またはファブリック最大伝送単位(MTU)の設定を表示します。
• [ACCESS POLICIES]タブ:システムのエッジポートに適用するアクセスポリシーを表示します。これらのポートは、外部と通信するリーフスイッチ上にあります。
[VM NETWORKING] タブ仮想マシン(VM)のさまざまな管理システムのインベントリを表示および設定するには、[VMNETWORKING]タブを使用します。個別の管理システムへの接続(VMwarevCenterまたはVMwarevShieldなど)を設定できるさまざまな管理ドメインを設定し作成できます。これらのVM管理システム(APIのコントローラとも呼ばれます)によって管理されるハイパーバイザおよび VMを表示するには、サブメニューバーの [INVENTORY]タブを使用します。
[L4-L7 SERVICES] タブレイヤ 4~レイヤ 7デバイスを定義するパッケージのインポートなどのサービスを実行するには、[L4-L7 SERVICES]タブを使用します。 [INVENTORY]サブメニュータブで既存のサービスノードを確認できます。
Cisco APIC スタートアップガイド8
使用する前に
メニューバーおよびサブメニューバー
[ADMIN] タブ認証、認可、アカウンティングなどの管理機能、ポリシーのスケジューリング、レコードの保持
と消去、ファームウェアのアップグレード、および syslog、Call Home、SNMPなどの制御機能を実行するには、[ADMIN]タブを使用します。
[Search] アイコン検索フィールドを表示するには、[Search]アイコンをクリックします。検索フィールドでは、名前またはその他の固有フィールドによってオブジェクトを検索できます。
[Navigation] ペインサブメニューカテゴリのすべての要素に移動するには、APIC GUIの左側、サブメニューバーのすぐ下の [Navigation]ペインを使用します。 [Navigation]ペインでコンポーネントを選択すると、そのオブジェクトが [Work]ペインに表示されます。
[Work] ペインAPIC GUIの右側にある [Work]ペインに、[Navigation]ペインで選択したコンポーネントに関する詳細が表示されます。 [Work]ペインの表示例については、次の図を参照してください。
[Work]ペインは、次の要素で構成されます。
•タブが表示されるコンテンツ領域。これらのタブを使用すると、[Navigation]ペインで選択したコンポーネントに関連する情報にアクセスできます。コンテンツ領域に表示されるタブ
は、選択されたコンポーネントにより異なります。
Cisco APIC スタートアップガイド9
使用する前に
メニューバーおよびサブメニューバー
•右上隅にある疑問符のアイコンで表示されている状況依存オンラインヘルプへのリンク。
図 3:APIC の [Work] ペインの表示例
GUI アイコン
表 1:APIC GUIによく表示されるアイコン
説明アイコン
[Navigation]ペインの表示のコントロール矢印
[Work]ペインの最下部のコンテキストヘルプを表示または非表示にします
テーブルを XMLファイルとしてダウンロードします
[Navigation]ペインで選択したコンポーネントのグラフィックビューが表示されます
[Navigation]ペインで選択したコンポーネントのグラフィックビューが表示されます
Cisco APIC スタートアップガイド10
使用する前に
メニューバーおよびサブメニューバー
説明アイコン
パネルの状況を更新します。リポジトリが変わるたびに
データが更新されるため、接続の問題がある場合にのみ、
このアイコンをクリックします
オンラインヘルプ情報を表示します
設定
次のビュー
前のビュー
パスを表示します
パスをクリアします
エラー、統計情報およびヘルスレベルのアイコン
表 2:APIC GUI に表示されるエラーの重大度
説明アイコン
クリティカル:このアイコンは、重大度がクリティカル
であるエラーレベルを示します。
メジャー:このアイコンは、重大度がメジャーであるエ
ラーレベルを示します。
マイナー:このアイコンは、重大度がマイナーであるエ
ラーレベルを示します。
警告:このアイコンは、警告を必要とするエラーレベル
を示します。
Cisco APIC スタートアップガイド11
使用する前に
メニューバーおよびサブメニューバー
APICの例についてこのマニュアルの例の手順にはパラメータ名が含まれます。これらのパラメータ名は、例を容易
に理解できるように記述されたもので、それらの使用は必須ではありません。
ファブリックの初期設定
ファブリックの初期設定について
APICによって管理するスイッチを追加し、GUI、CLI、または APIを使用して手順を検証することによってファブリックを構築できます。
ファブリックを構築するには、事前にアウトオブバンドネットワーク経由でAPICクラスタを作成しておく必要があります。
(注)
トポロジの例
トポロジ例は次のとおりです。
• 2台のスパインスイッチ(spine1、 spine2)
• 2台のリーフスイッチ(leaf1、 leaf2)
• 3インスタンスの APIC(apic1、apic2、apic3)
Cisco APIC スタートアップガイド12
使用する前に
APICの例について
次の図は、ファブリックトポロジの例を示します。
図 4:ファブリックトポロジの例
トポロジの接続の例
トポロジの接続の例の詳細は次のとおりです。
Connection Details名前
eth1/1 = apic1(eth2/1)
eth1/2 = apic2(eth2/1)
eth1/3 = apic3(eth2/1)
eth1/49 = spine1(eth5/1)
eth1/50 = spine2(eth5/2)
leaf1
eth1/1 = apic1(eth2/2)
eth1/2 = apic2(eth2/2)
eth1/3 = apic3(eth2/2)
eth1/49 = spine1(eth5/1)
eth1/50 = spine2(eth5/2)
leaf2
Cisco APIC スタートアップガイド13
使用する前に
トポロジの例
Connection Details名前
eth5/1 = leaf1(eth1/49)
eth5/2 = leaf2(eth1/50)
spine1
eth5/1 = leaf2(eth1/49)
eth5/2 = leaf1(eth1/50)
spine2
APICによるスイッチの検出APICは、ACIファブリックに含まれるすべてのスイッチに対する自動プロビジョニングおよび管理の中心となるポイントです。単一のデータセンターには複数のファブリックACIがある場合があります。各データセンターには、独自の APICクラスタとファブリックを構成する Cisco Nexus9000スイッチシリーズがある場合があります。スイッチが単一のAPICクラスタだけで管理されることを保証するには、各スイッチをファブリックを管理するその特定の APICクラスタに登録する必要があります。
APICは現在管理している任意のスイッチに直接接続された新規スイッチを検出します。クラスタの各 APICインスタンスは、最初に直接接続されたリーフスイッチだけを検出します。リーフスイッチがAPICに登録されると、APICはリーフスイッチに直接接続されているすべてのスパインスイッチを検出します。各スパインスイッチが登録されるごとに、APICはそのスパインスイッチに接続されているすべてのリーフスイッチを検出します。この段階的な検出方法により、
APICは簡単な手順でファブリック全体のトポロジを検出できます。
APICクラスタへのスイッチの登録
スイッチの登録を開始する前に、ファブリック内のすべてのスイッチが物理的に接続され、必
要な設定で起動されていることを確認します。 APICを使用してスイッチを登録する際には「GUIを使用した未接続スイッチの登録, (16ページ)」を参照してください。シャーシの設置については、http://www.cisco.com/en/US/products/ps13386/prod_installation_guides_list.htmlを参照してください。
(注)
スイッチがAPICに登録されると、そのスイッチは、APIC管理対象のファブリックインベントリの一部になります。アプリケーションセントリックインフラストラクチャファブリック(ACIファブリック)の場合、APICはインフラストラクチャのスイッチのプロビジョニング、管理、および監視を一元化します。
インフラストラクチャの IPアドレス範囲は、インバンドおよびアウトオブバンドのネットワーク用の ACIファブリックで使用する他の IPアドレスと重複してはなりません。
(注)
Cisco APIC スタートアップガイド14
使用する前に
APICによるスイッチの検出
APICによるスイッチ検出の検証およびスイッチ管理スイッチがAPICに登録された後、APICは自動的にファブリックトポロジを認識し、ネットワーク全体を把握してファブリックトポロジ内のすべてのスイッチを管理します。
個々のスイッチにアクセスすることなく、APICから各スイッチの設定、監視、およびアップグレードができます。
ファブリックトポロジの検証
すべてのスイッチがAPICクラスタに登録された後、APICは自動的にファブリックのすべてのリンクおよび接続を検出し、その結果、トポロジ全体を検出します。
VM 管理のアンマネージドスイッチの接続VMコントローラ(vCenterなど)で管理されているホストはレイヤ 2スイッチを介してリーフポートに接続できます。必要な唯一の前提条件は、レイヤ 2スイッチに管理アドレスを設定すること、および、この管理アドレスがスイッチに接続されたポートに Link Layer Discovery Protocol(LLDP)または Cisco Discovery Protocol(CDP)によってアドバタイズされる必要があるということです。レイヤ 2スイッチは、APICによって自動的に検出され、管理アドレスで識別されます。次の図は、[Fabric] > [Inventory]のビューでアンマネージドスイッチを表示している APICGUIの一例です。
図 5:APIC Fabric Inventory のアンマネージドレイヤ 2 スイッチ
Cisco APIC スタートアップガイド15
使用する前に
APICによるスイッチの検出
スイッチの登録
GUI を使用した未接続スイッチの登録
インフラストラクチャの IPアドレス範囲は、インバンドおよびアウトオブバンドのネットワーク用の ACIファブリックで使用する他の IPアドレスと重複してはなりません。
(注)
このタスク例のビデオを視聴するには、Videos Webpageを参照してください。(注)
はじめる前に
ファブリック内のすべてのスイッチが物理的に接続され、起動されていることを確認します。
手順
ステップ 1 メニューバーで、[FABRIC] > [INVENTORY]を選択します。
ステップ 2 [Navigation]ペインで、適切なポッドを選択してポッドを展開し、[Fabric Membership]をクリックします。
[Work]ペインで、[Fabric Membership]テーブルに、単一のリーフスイッチが ID 0とともに表示されます。 apic1に接続されているリーフスイッチです。
ステップ 3 リーフスイッチの行をダブルクリックし、次の操作を実行して IDを設定します。a) [ID]フィールドに適切な IDを追加します(leaf1の IDが 101、leaf2の IDが 102)。
IDは、最初の 100個の IDが APICアプライアンスのノードであるため、100より大きい数である必要があります。
b) [Switch Name]フィールドにスイッチの名前を入力し、[Update]をクリックします。IDは、割り当て後は、変更できません。スイッチ名は、名前をダブルクリックして、[Switch Name]フィールドを更新すれば変更できます。
(注)
[Success]ダイアログボックスが表示されます。 IPアドレスがスイッチに割り当てられ、[Navigation]ペインのポッドの下にスイッチが表示されます。
ステップ 4 1つ以上のスパインスイッチが表示されるまで [Work]ペインを監視します。
ステップ 5 スパインスイッチの行をダブルクリックして IDを設定し、次の操作を実行します。a) [ID]フィールドに適切な IDを追加します(spine1の IDが 103、spine2の IDが 104)。
IDは 100より大きい数である必要があります。b) [Switch Name]フィールドにスイッチの名前を入力し、[Update]をクリックします。
[Success]ダイアログボックスが表示されます。 IPアドレスがスイッチに割り当てられ、[Navigation]ペインにスイッチがポッドの下に表示されます。次の手順に進む前に、残りのすべてのスイッチ
が [Node Configurations]テーブルに表示されるまで待ちます。
ステップ 6 [Fabric Membership]テーブルに表示されているスイッチごとに次の手順を実行します。
Cisco APIC スタートアップガイド16
使用する前に
スイッチの登録
a) スイッチをダブルクリックして、[ID]と [Name]を入力し、[Update]をクリックします。b) テーブル内の次のスイッチに対して繰り返します。
REST API を使用した未接続スイッチの登録
インフラストラクチャの IPアドレス範囲は、インバンドおよびアウトオブバンドのネットワーク用の ACIファブリックで使用する他の IPアドレスと重複してはなりません。
(注)
手順
スイッチを登録します。
例:POST: https://apic_ip_address/api/node/mo/uni/controller.xml<fabricNodeIdentPol><fabricNodeIdentP serial="FGE173900ZD" name="leaf1" nodeId="101"/><fabricNodeIdentP serial="FGE1740010A" name="leaf2" nodeId="102"/><fabricNodeIdentP serial="FGE1740010H" name="spine1" nodeId="103"/><fabricNodeIdentP serial="FGE1740011B" name="spine2" nodeId="104"/></fabricNodeIdentPol>
CLI を使用した未接続スイッチの登録
インフラストラクチャの IPアドレス範囲は、インバンドおよびアウトオブバンドのネットワーク用の ACIファブリックで使用する他の IPアドレスと重複してはなりません。
(注)
手順
ステップ 1 CLIで、ディレクトリを /aciに変更します。
例:admin@apic1:~> cd /aci
ステップ 2 スイッチを登録します。
例:
admin@apic1:fabric-membership> cd /aci/fabric/inventory/fabric-membership/node-policiesadmin@apic1:node-policies mocreate FGE173900ZD id 101 name leaf1admin@apic1:node-policies moconfig commit
ステップ 3 他のスイッチに対して上記の手順を繰り返します(スイッチ 102、103、104など)。
Cisco APIC スタートアップガイド17
使用する前に
スイッチの登録
スイッチの検証
GUI を使用した接続済みスイッチの登録
このタスク例のビデオを視聴するには、Videos Webpageを参照してください。(注)
手順
ステップ 1 メニューバーで、[FABRIC] > [INVENTORY]を選択します。
ステップ 2 [Navigation]ペインで、[Pod 1]の下の [Fabric Membership]を展開します。ファブリック内のスイッチは、ノード IDとともに表示されます。 [Work]ペインに、登録されているすべてのスイッチが、割り当てられた IPアドレスとともに表示されます。
REST API を使用した接続済みスイッチの登録
手順
REST APIを使用してスイッチの登録を検証します。
例:GET: https://<apic-ip>/api/node/class/topSystem.xml?
<?xml version="1.0" encoding="UTF-8"?><imdata>
<topSystem address="10.0.0.1" dn="topology/pod-1/node-1/sys" fabricId="1" id="1"name="apic1"
oobMgmtAddr="10.30.13.44" podId="1" role="apic" serial="" state="in-service"systemUpTime="00:00:00:02.199" .../>
<topSystem address="10.0.0.2" dn="topology/pod-1/node-2/sys" fabricId="1" id="2"name="apic2"
oobMgmtAddr="10.30.13.45" podId="1" role="apic" serial="" state="in-service"systemUpTime="00:00:00:02.199" .../>
<topSystem address="10.0.0.3" dn="topology/pod-1/node-3/sys" fabricId="1" id="3"name="apic3"
oobMgmtAddr="10.30.13.46" podId="1" role="apic" serial="" state="in-service"systemUpTime="00:00:00:02.199" .../>
<topSystem address="10.0.98.127" dn="topology/pod-1/node-101/sys" fabricId="1" id="101"
name="leaf1" oobMgmtAddr="0.0.0.0" podId="1" role="leaf" serial="FOX-270308"state="in-service"
systemUpTime="00:00:00:02.199" .../><topSystem address="10.0.98.124" dn="topology/pod-1/node-102/sys" fabricId="1" id="102"
name="leaf2" oobMgmtAddr="0.0.0.0" podId="1" role="leaf" serial="FOX-270308"state="in-service"
Cisco APIC スタートアップガイド18
使用する前に
スイッチの検証
systemUpTime="00:00:00:02.199" .../><topSystem address="10.0.98.125" dn="topology/pod-1/node-103/sys" fabricId="1" id="103"
name="spine2" oobMgmtAddr="0.0.0.0" podId="1" role="spine" serial="FOX-616689"state="in-service"
systemUpTime="00:00:00:02.199" .../><topSystem address="10.0.98.126" dn="topology/pod-1/node-104/sys" fabricId="1" id="104"
name="spine1" oobMgmtAddr="0.0.0.0" podId="1" role="spine" serial="FOX-616689"state="in-service"
systemUpTime="00:00:00:02.199" .../></imdata>
CLI を使用した接続済みスイッチの登録
手順
ステップ 1 CLIで、ディレクトリを /aciに変更します。
例:admin@apic1:~> cd /aci
ステップ 2 スイッチの登録を検証します。
例:admin@apic1:pod-1> cat node-101/summaryid : 101name : leaf1tags : topology/pod-1/node-101admin-state : onalias :model : N9K-C9396TXvendor : Cisco Systems, Increvision : 0.1.6serial : FGE173900ZDup-time : 00:07:50:32.000infra-ip : 10.0.36.95in-band-management-ip : 0.0.0.0out-of-band-management-ip : 0.0.0.0top-system-name : leaf1type : leafhealth-score : topology/pod-1/node-101/sysfirmware : simsw-1.0(0.552)
ファブリックトポロジの検証
GUI を使用したファブリックトポロジの検証
このタスク例のビデオを視聴するには、Videos Webpageを参照してください。(注)
Cisco APIC スタートアップガイド19
使用する前に
ファブリックトポロジの検証
手順
ステップ 1 メニューバーで、[FABRIC] > [INVENTORY]を選択します。
ステップ 2 [Navigation]ペインで、表示したいポッドを選択します。
ステップ 3 [Work]ペインで、[TOPOLOGY]タブをクリックします。表示される図には、すべての接続されたスイッチ、APICインスタンス、およびリンクが示されます。
ステップ 4 (任意) リーフスイッチまたはスパインスイッチのポートレベルでの接続を表示するには、
トポロジ図の当該アイコンをダブルクリックします。
トポロジ図に戻るには、[Work]ペインの左上隅にある [Previous View]アイコンをクリックします。
ステップ 5 (任意) トポロジ図を更新するには、[Work]ペインの左上隅にある [Refresh]アイコンをクリックします。
REST API を使用したファブリックトポロジの検証
手順
REST APIを使用して、ファブリックトポロジを検証します。
例:
ユーザ参照用の識別子は次のとおりです。
• n1 = 1番目のノードの識別子
• s1 = 1番目のノードのスロット
• p1 =スロット s1のポート
• n2 = 2番目のノードの識別子
• s2 = 2番目のノードのスロット
• p2 =スロット s2のポート
GET: https://<apic-ip>/api/node/class/fabricLink.xml?
<?xml version="1.0" encoding="UTF-8"?><imdata>
<fabricLink dn="topology/lnkcnt-19/lnk-18-1-50-to-19-5-2" n1="18" n2="19" p1="50" p2="2"s1="1" s2="5" status="" .../>
<fabricLink dn="topology/lnkcnt-20/lnk-18-1-49-to-20-5-1" n1="18" n2="20" p1="49" p2="1"s1="1" s2="5" status="" .../>
<fabricLink dn="topology/lnkcnt-3/lnk-18-1-1-to-3-1-1" n1="18" n2="3" p1="1" p2="1"s1="1" s2="1" status="" .../>
<fabricLink dn="topology/lnkcnt-19/lnk-17-1-49-to-19-5-1" n1="17" n2="19" p1="49" p2="1"s1="1" s2="5" status="" .../>
<fabricLink dn="topology/lnkcnt-20/lnk-17-1-50-to-20-5-2" n1="17" n2="20" p1="50" p2="2"s1="1" s2="5" status="" .../>
Cisco APIC スタートアップガイド20
使用する前に
ファブリックトポロジの検証
<fabricLink dn="topology/lnkcnt-1/lnk-17-1-1-to-1-1-1" n1="17" n2="1" p1="1" p2="1"s1="1" s2="1" status="" .../>
<fabricLink dn="topology/lnkcnt-2/lnk-17-1-2-to-2-1-1" n1="17" n2="2" p1="2" p2="1"s1="1" s2="1" status="" .../></imdata>
ユーザアカウントの作成
ローカルユーザの設定
初期設定スクリプトで、管理者アカウントが設定され、システムの起動時にはadminが唯一のユーザです。 APICは、きめ細かなロールベースのアクセス制御システムをサポートしており、権限の少ない非管理者ユーザなど、さまざまなロールのユーザアカウントを作成できます。
リモートユーザの設定
ローカルユーザを設定する代わりに、一元化された企業クレデンシャルのデータセンターのAPICを指定できます。APICはLightweightDirectoryAccess Protocol(LDAP)、ActiveDirectory、RADIUSおよび TACACS+をサポートしています。
外部認証プロバイダーを通じて認証されたリモートユーザを設定するには、次の前提条件を満た
す必要があります。
• DNS設定は、すでに RADIUSサーバホスト名で解決されている必要があります。
•管理サブネットを設定する必要があります。
GUI を使用したローカルユーザの設定
このタスク例のビデオを視聴するには、Videos Webpageを参照してください。(注)
手順
ステップ 1 メニューバーで、[ADMIN] > [AAA]を選択します。
ステップ 2 [Navigation]ペインで、[AAA Authentication]をクリックします。
ステップ 3 [Work]ペインで、デフォルトの [Authentication]フィールドの [Relam]フィールドに Localと表示されていることを確認します。
ステップ 4 [Navigation]ペインで、[Security Management] > [Local Users]を展開します。adminユーザはデフォルトで存在します。
Cisco APIC スタートアップガイド21
使用する前に
ユーザアカウントの作成
ステップ 5 [Navigation]ペインで、[Create Local User]を右クリックします。
ステップ 6 [Security]ダイアログボックスで、ユーザに必要なセキュリティドメインを選択し、[Next]をクリックします。
ステップ 7 [Roles]ダイアログボックスで、オプションボタンをクリックしてユーザのロールを選択し、[Next]をクリックします。
読み取り専用、または読み取り/書き込み権限を付与できます。
ステップ 8 [User Identity]ダイアログボックスで、次の操作を実行します。a) [Login ID]フィールドに、IDを追加します。b) [Password]フィールドにパスワードを入力します。c) [Confirm Password]フィールドに、パスワードを再入力します。d) [Finish]をクリックします。
ステップ 9 [Navigation]ペインで、作成したユーザの名前をクリックします。 [Work]ペインで、[SecurityDomains]エリア内のそのユーザの横の [+]記号を展開します。ユーザのアクセス権限が表示されます。
REST API を使用したローカルユーザの設定
手順
ローカルユーザを作成します。
例:URL: https://<apic-ip>/api/policymgr/mo/uni/userext.xmlPOST CONTENT:
<aaaUser name="operations" phone="" pwd="test!123" ><aaaUserDomain childAction="" descr="" name="all" rn="userdomain-all" status="">
<aaaUserRole childAction="" descr="" name="Ops" privType="writePriv"/></aaaUserDomain>
</aaaUser>
CLI を使用したローカルユーザの設定
手順
ステップ 1 CLIで、ディレクトリを /aciに変更します。
例:admin@apic1:~> cd /aci
ステップ 2 ローカルユーザを作成します。
Cisco APIC スタートアップガイド22
使用する前に
REST API を使用したローカルユーザの設定
例:
admin@apic1:aci> cd admin/aaa/security-management/admin@apic1:security-management> cd local-users/admin@apic1:local-users> mocreate operationsadmin@apic1:local-users> moconfig commitCommitted mo 'admin/aaa/security-management/local-users/operations'
All mos committed successfully.admin@apic1:local-users> cd operations/admin@apic1:operations> moset passwordPassword:Verify:password is set and committed.admin@apic1:operations> moconfig commitadmin@apic1:operations>
外部認証サーバの AV ペア既存のユーザレコードに Cisco属性/値(AV)ペアを追加して、APICコントローラにユーザ権限を伝播することができます。 Cisco AVペアは、APICユーザに対してロールベースアクセスコントロール(RBAC)のロールと権限を指定するために使用する単一の文字列です。オープンRADIUSサーバ(/etc/raddb/users)の設定例を次に示します。aaa-network-admin Cleartext-Password := "<password>"Cisco-avpair = "shell:domains = all/aaa/read-all(16001)"
外部認証サーバの AV ペアの設定属性/値(AV)ペア文字列のカッコ内の数値は、セキュアシェル(SSH)または Telnetを使用してログインしたユーザの UNIXユーザ IDとして使用されます。
手順
外部認証サーバの AVペアを設定します。Cisco AVペアの定義は次のとおりです(シスコは、UNIXユーザ IDの指定の有無にかかわらずAVペアをサポートしています)。
例:* shell:domains =domainA/writeRole1|writeRole2|writeRole3/readRole1|readRole2,domainB/writeRole1|writeRole2|writeRole3/readRole1|readRole2
* shell:domains =domainA/writeRole1|writeRole2|writeRole3/readRole1|readRole2,domainB/writeRole1|writeRole2|writeRole3/readRole1|readRole2(8101)
These are the boost regexes supported by APIC:uid_regex("shell:domains\\s*[=:]\\s*((\\S+?/\\S*?/\\S*?)(,\\S+?/\\S*?/\\S*?){0,31})(\\(\\d+\\))$");regex("shell:domains\\s*[=:]\\s*((\\S+?/\\S*?/\\S*?)(,\\S+?/\\S*?/\\S*?){0,31})$");
次に、例を示します。
shell:domains = coke/tenant-admin/read-all,pepsi//read-all(16001)
Cisco APIC スタートアップガイド23
使用する前に
外部認証サーバの AV ペア
GUI を使用したリモートユーザの設定
このタスク例のビデオを視聴するには、Videos Webpageを参照してください。(注)
はじめる前に
•ファブリックコントローラがサーバに到達できるように、DNS設定で RADIUSサーバホスト名を解決しておく必要があります。
• APICには、RADIUSサーバに到達できるように外部管理サブネットポリシーを設定しておく必要があります。
手順
ステップ 1 メニューバーで、[ADMIN]> [AAA]を選択します。 [Navigation]ペインで、[RADIUSManagement]を展開します。
ステップ 2 [RADIUS Providers]を右クリックし、[Create RADIUS Provider]をクリックします。
ステップ 3 [Create RADIUS Provider]ダイアログボックスで、次の操作を実行します。a) Host Name(または IP Address)フィールドにホスト名を追加します。b) [Authorization Port]フィールドに認証に必要なポート番号を追加します。この番号は、設定する RADIUSサーバによって異なります。
c) 必要な [Authorization Protocol]オプションボタンをクリックします。d) [Key]および [Confirm Key]フィールドに、事前共有キーを入力します。このキーは、RADIUSサーバで設定されたサーバキーと共有する同一の情報です。
e) (任意) [Management EPG]フィールドで、EPGのドロップダウンリストから RADIUSサーバのある EPGを選択し、[Submit]をクリックします。RADIUSプロバイダーが設定されます。
ステップ 4 [Navigation]ペインで、[RADIUS Providers]プロバイダーの下にある、作成した RADIUSプロバイダーをクリックします。
RADIUSプロバイダーの設定についての詳細は、[Work]ペインに表示されます。
REST API を使用したリモートユーザの設定
手順
ステップ 1 RADIUSプロバイダーを作成します。
Cisco APIC スタートアップガイド24
使用する前に
GUI を使用したリモートユーザの設定
例:URL: https://<apic-ip>/api/policymgr/mo/uni/userext/radiusext.xmlPOST Content:<aaaRadiusProvider name="radius-auth-server.org.com" key="test123" />
ステップ 2 ログインドメインを作成します。
例:URL: https://<apic-ip>/api/policymgr/mo/uni/userext.xmlPOST Content:<aaaLoginDomain name="rad"> <aaaDomainAuth realm="radius"/> </aaaLoginDomain>
CLI を使用したリモートユーザの設定
手順
ステップ 1 CLIで、ディレクトリを /aciに変更します。
例:admin@apic1:~> cd /aci
ステップ 2 RADIUSプロバイダーを作成します。
例:admin@apic1:aci> cd admin/aaa/radius-management/admin@apic1:radius-management> cd radius-providersadmin@apic1:radius-providers> mocreate radius-auth-server.org.comadmin@apic1:radius-providers> moconfig commitCommitted mo 'admin/aaa/radius-management/radius-providers/radius-auth-server.org.com
ステップ 3 RADIUSプロバイダーを確認します。
例:All mos committed successfully.admin@apic1:radius-providers> cd radius-auth-server.org.com/admin@apic1:radius-auth-server.org.com> moset keyPassword:Verify:key is set and committed.admin@apic1:radius-auth-server.org.com> moconfig commitadmin@apic1:radius-auth-server.org.com> pwdadmin@apic1:radius-auth-server.org.com> cat summaryhost-name-or-ip-address : radius-auth-server.org.comdescription :authorization-port : 1812authorization-protocol : papkey :timeout : 5retries : 1management-epg :admin@apic1:radius-auth-server.org.com>
ステップ 4 ログインドメインを作成します。
Cisco APIC スタートアップガイド25
使用する前に
CLI を使用したリモートユーザの設定
例:admin@apic1:aci> cd admin/aaa/authentication/login-domains/admin@apic1:login-domains> mocreate radadmin@apic1:login-domains> cd rad/admin@apic1:rad> moset realm radiusadmin@apic1:rad> moconfig commitCommitted mo 'admin/aaa/authentication/login-domains/rad'
ステップ 5 ログインドメインを確認します。
例:admin@apic1:/aci/admin/aaa/authentication/login-domains/rad> cat summary# aaa.LoginDomainlogin-domain :------------name : raddescription :realm : radiusprovider-group :
管理アクセスの追加次の方法のうちの 1つで管理アクセスを設定できます。
•インバンド管理アクセス:APICおよび ACIファブリックへのインバンド管理接続を設定できます。最初に、APICがリーフスイッチと通信するときにAPICによって使用されるVLANを設定してから、VMMサーバがリーフスイッチとの通信に使用するVLANを設定します。
•アウトオブバンド管理アクセス:APICおよび ACIファブリックへのアウトオブバンド管理接続を設定できます。アウトオブバンドエンドポイントグループ(EPG)に関連付けられたアウトオブバンドコントラクトを設定し、外部ネットワークプロファイルにそのコント
ラクトをアタッチします。
APICアウトオブバンド管理接続のリンクは、1 Gbpsである必要があります。(注)
インバンドおよびアウトオブバンド管理アクセスの設定
GUI を使用したインバンド管理アクセスの設定
このタスク例のビデオを視聴するには、Videos Webpageを参照してください。(注)
Cisco APIC スタートアップガイド26
使用する前に
管理アクセスの追加
手順
ステップ 1 メニューバーで、[FABRIC] > [Access Policies]を選択します。 [Work]ペインで、[Configure anInterface, PC, and VPC]をクリックします。
ステップ 2 [Configure Interface, PC, and VPC]ダイアログボックスで、スイッチの図の横にある大きな [+]アイコンをクリックして、新しいプロファイルを作成し、APIC用に VLANを設定します。
ステップ 3 [Switches]フィールドで、ドロップダウンリスト内の、APICが接続されているスイッチのチェックボックスをオンにします。(leaf1および leaf2)。
ステップ 4 [Switch Profile Name]フィールドに、プロファイル(apicConnectedLeaves)の名前を入力します。
ステップ 5 ポートを設定するには、[+]アイコンをクリックします。
ステップ 6 [Interface Type]領域で、[Individual]オプションボタンが選択されていることを確認します。
ステップ 7 [Interfaces]フィールドに、APICが接続されているポートを入力します(1/1~3)。
ステップ 8 [Interface Selector Name]フィールドに、ポートプロファイルの名前(apicConnectedPorts)を入力します。
ステップ 9 [Interface Policy Group]フィールドで、ドロップダウンリストから、[Create Interface Policy Group]を選択します。
ステップ 10 [Create Access Port Policy Group]ダイアログボックスで、次の操作を実行します。a) [Name]フィールドに、ポリシーグループの名前(inband)を入力します。その他のフィールドはデフォルト値のままで構いません。
b) [Attached Entity Profile]フィールドで、[Create Attachable Access Entity Profile]を選択します。この新しい接続エンティティプロファイルで、使用する VLANの範囲を指定することができます。
ステップ 11 [Create Attachable Access Entity Profile]ダイアログボックスで、次の操作を実行します。a) [Name]フィールドに、名前(inband)を入力します。b) [Domains to beAssociated to Interfaces Interfaces]フィールドを展開します。 [Domain Profile]フィールドで、ドロップダウンリストから、[Create Physical Domain]を選択します。
c) [Create Physical Domain]ダイアログボックスで、[Name]フィールドに、名前(inband)を入力します。
d) [VLAN Pool]フィールドで、ドロップダウンリストから [Create VLAN Pool]を選択します。e) [Create VLAN Pool]ダイアログボックスで、[Name]フィールドに、プール名(inband)を入力します。
f) [Allocation Mode]領域で、[Static Allocation]オプションボタンをクリックします。g) [Encap Blocks]を展開します。 [Create Range]ダイアログボックスで、[Range]フィールドに、
VLANの範囲(10~11)を追加します。h) [Create VLAN Pool]ダイアログボックスで、[Submit]をクリックします。i) [Create Physical Domain]ダイアログボックスで、[Submit]をクリックします。j) [Create Attachable Access Entity Profile]ダイアログボックスで、[Update]をクリックし、[Submit]をクリックします。
k) [Create Access Port Policy Group]ダイアログボックスで、[Submit]をクリックします。
Cisco APIC スタートアップガイド27
使用する前に
インバンドおよびアウトオブバンド管理アクセスの設定
l) [Configure Interface, PC, and VPC]ダイアログボックスで、[Save]をクリックします。
ステップ 12 VMMサーバポートに VLANを設定するには、[Configured Switch Interfaces]領域を展開して、次の操作を実行します。
a) [Switches]ドロップダウンリストで、APICに接続するスイッチのチェックボックスをオンにします。(leaf1)。
b) [Switch Profile Name]フィールドに、プロファイル(apicConnectedLeaves)の名前を入力します。
c) ポートを設定するには、[+]アイコンをクリックします。d) [Interface Type]領域で、[Individual]オプションボタンが選択されていることを確認します。e) [Interfaces]フィールドに、VMMサーバが接続されているポートを入力します(1/40)。f) [Interface SelectorName]フィールドに、ポートプロファイルの名前(vmmConnectedPorts)を入力します。
g) [Interface Policy Group]フィールドで、ドロップダウンリストから、以前に作成したポリシーグループを選択します(inband)。 [Save]をクリックして、もう一度 [Save]をクリックします。
h) [Configure Interface, PC, and VPC]ダイアログボックスで、[Submit]をクリックします。これでVLANと、APICおよびVMMサーバが接続されるポートとVLANが設定されました。
ステップ 13 [TENANTS] > [mgmt]を選択します。 [Navigation]ペインで、インバンド接続のブリッジドメインを設定するために、[Tenant mgmt] > [Networking] > [Bridge Domains]を展開します。
ステップ 14 インバンドブリッジドメイン(inb)を右クリックして、[Create Subnet]をクリックし、次の操作を実行します。
a) [Create Subnet]ダイアログボックスで、[Gateway IP]フィールドに、インバンド管理ゲートウェイの IPアドレスを入力します。
b) [Mask]フィールドに、自動入力がないときはサブネットマスクを入力します。 [Submit]をクリックします。
その他のフィールドはデフォルト値のままで構いません。
ステップ 15 メニューバーで、[TENANTS] > [mgmt]を選択します。 [Navigation]ペインで、[Tenant mgmt] >[Node Management EPGs]を展開し、[In-Band EPG - default]をクリックして、インバンド接続のVLANを設定するために、次の操作を実行します。a) [Work]ペインで、[In-Band EPG default]領域に、デフォルトが表示されていることを確認します。
b) [Encap]フィールドに、VLAN(vlan-10)を入力します。c) [ProvidedContracts]を展開します。 [Name]フィールドで、ドロップダウンリストから、デフォルトのコントラクトのオプションボタンをクリックして VMMサーバが存在する EPG群で使用されるデフォルトのコントラクトを EPGが提供できるようにします。
d) [Update]をクリックして、[Submit]をクリックします。
Cisco APIC スタートアップガイド28
使用する前に
インバンドおよびアウトオブバンド管理アクセスの設定
e) [Status]ダイアログボックスに「Changes Saved Successfully」というメッセージ表示されるので、[OK]をクリックします。
ステップ 16 [Navigation]ペインで、[NodeManagementAddresses]を右クリックします。 [CreateNodeManagementAddresses]をクリックして、ファブリック内の各種ノードに IPアドレスを設定するために次のアクションを実行します。
a) [Create Node Management Addresses]ダイアログボックスで、[Policy Name]フィールドに、ポリシー名(apicInb)を入力します。
b) [Nodes]フィールドの [Select]列で、このファブリックの一部となるノード(apic1、apic2、apic3)の横のチェックボックスをオンにします。
c) [Config]フィールドで、[In-Band Addresses]チェックボックスをチェックします。d) [In-Band IP Addresses]領域で、[In-Band Management EPG]フィールドのドロップダウンリストから [default]を選択します。これがデフォルトのインバンド管理 EPGを関連付けます。
e) [In-Band Gateway]フィールドに、IPアドレスを入力します。f) [Mask]フィールドに、自動入力がないときはサブネットマスクを入力します。g) [In-BandIP Addresses]フィールドに、IPアドレスの範囲を入力します。
APICは、この範囲から動的に IPアドレスが割り当てられます。
h) [OK]をクリックします。これで APIC用の IPアドレスが設定されました。
ステップ 17 リーフスイッチおよびスパインスイッチの IPアドレスを設定します。a) [Create Node Management Addresses]ダイアログボックスで、[Policy Name]フィールドに、ポリシー名(switchInb)を入力します。
b) [Nodes]フィールドの [Select]列で、このファブリックの一部になるノード(leaf1、leaf2、spine1、spine2)の横にあるチェックボックスをオンにします。
c) [Config]フィールドで、[In-Band Addresses]チェックボックスをクリックします。d) [In-Band IP Addresses]領域で、[In-Band Management EPG]フィールドのドロップダウンリストから [default]を選択します。デフォルトのインバンド管理 EPGが関連付けられています。
e) [In-Band Gateway]フィールドに、IPアドレスを入力します。この IPアドレスは、それぞれ APICに IPアドレスを割り当てるときに使用した IPアドレスと同じにする必要があります。
f) [Mask]フィールドに、自動入力がないときはサブネットマスクを入力します。g) [In-Band IPAddresses]フィールドに、APICに割り当てられる IPアドレスの範囲を入力します。
IPアドレスのこの範囲は、APICに割り当てられたアドレス範囲とは異なるようにする必要があります。
h) [OK]をクリックします。
これで、リーフスイッチおよびスパインスイッチ用の IPアドレスが設定できました。
ステップ 18 [Navigation]ペインで、[Node Management Addresses]の下にある APICのポリシー名(apicInb)をクリックして設定を確認します。
Cisco APIC スタートアップガイド29
使用する前に
インバンドおよびアウトオブバンド管理アクセスの設定
[Work]ペインに、各種ノードに割り当てられた IPアドレスが表示されます。
ステップ 19 [Navigation]ペインで、[NodeManagementAddresses]の下にあるスイッチのポリシー名(switchInb)をクリックします。
[Work]ペインに、スイッチに割り当てられた IPアドレス、およびスイッチが使用するゲートウェイアドレスが表示されます。
REST API を使用したインバンド管理アクセスの設定
手順
ステップ 1 VLANの名前空間を作成します。
例:<?xml version="1.0" encoding="UTF-8"?><!-- api/policymgr/mo/uni.xml --><polUni><infraInfra><!-- Static VLAN range --><fvnsVlanInstP name="inband" allocMode="static"><fvnsEncapBlk name="encap" from="vlan-10" to="vlan-11"/>
</fvnsVlanInstP></infraInfra>
</polUni>
ステップ 2 物理的ドメインを作成します。
例:<?xml version="1.0" encoding="UTF-8"?><!-- api/policymgr/mo/uni.xml --><polUni><physDomP name="inband"><infraRsVlanNs tDn="uni/infra/vlanns-inband-static"/>
</physDomP></polUni>
ステップ 3 インバンド管理用のセレクタを作成します。
例:<?xml version="1.0" encoding="UTF-8"?><!-- api/policymgr/mo/.xml --><polUni><infraInfra><infraNodeP name="vmmNodes"><infraLeafS name="leafS" type="range"><infraNodeBlk name="single0" from_="101" to_="101"/>
</infraLeafS><infraRsAccPortP tDn="uni/infra/accportprof-vmmPorts"/>
</infraNodeP>
<!-- Assumption is that VMM host is reachable via eth1/40. --><infraAccPortP name="vmmPorts"><infraHPortS name="portS" type="range"><infraPortBlk name="block1"
fromCard="1" toCard="1"fromPort="40" toPort="40"/>
<infraRsAccBaseGrp tDn="uni/infra/funcprof/accportgrp-inband" />
Cisco APIC スタートアップガイド30
使用する前に
インバンドおよびアウトオブバンド管理アクセスの設定
</infraHPortS></infraAccPortP>
<infraNodeP name="apicConnectedNodes"><infraLeafS name="leafS" type="range"><infraNodeBlk name="single0" from_="101" to_="102"/>
</infraLeafS><infraRsAccPortP tDn="uni/infra/accportprof-apicConnectedPorts"/>
</infraNodeP>
<!-- Assumption is that APIC is connected to eth1/1. --><infraAccPortP name="apicConnectedPorts"><infraHPortS name="portS" type="range"><infraPortBlk name="block1"
fromCard="1" toCard="1"fromPort="1" toPort="3"/>
<infraRsAccBaseGrp tDn="uni/infra/funcprof/accportgrp-inband" /></infraHPortS>
</infraAccPortP>
<infraFuncP><infraAccPortGrp name="inband"><infraRsAttEntP tDn="uni/infra/attentp-inband"/>
</infraAccPortGrp></infraFuncP>
<infraAttEntityP name="inband"><infraRsDomP tDn="uni/phys-inband"/>
</infraAttEntityP></infraInfra>
</polUni>
ステップ 4 インバンドブリッジドメインとエンドポイントグループ(EPG)を設定します。
例:<?xml version="1.0" encoding="UTF-8"?><!-- api/policymgr/mo/.xml --><polUni><fvTenant name="mgmt"><!-- Configure the in-band management gateway address on the
in-band BD. --><fvBD name="inb"><fvSubnet ip="10.13.1.254/24"/>
</fvBD>
<mgmtMgmtP name="default"><!-- Configure the encap on which APICs will communicate on the
in-band network. --><mgmtInB name="default" encap="vlan-10"><fvRsProv tnVzBrCPName="default"/>
</mgmtInB></mgmtMgmtP>
</fvTenant></polUni>
ステップ 5 アドレスプールを作成します。
例:<?xml version="1.0" encoding="UTF-8"?><!-- api/policymgr/mo/.xml --><polUni><fvTenant name="mgmt"><!-- Adresses for APIC in-band management network --><fvnsAddrInst name="apicInb" addr="10.13.1.254/24"><fvnsUcastAddrBlk from="10.13.1.1" to="10.13.1.10"/>
</fvnsAddrInst>
<!-- Adresses for switch in-band management network --><fvnsAddrInst name="switchInb" addr="10.13.1.254/24">
Cisco APIC スタートアップガイド31
使用する前に
インバンドおよびアウトオブバンド管理アクセスの設定
<fvnsUcastAddrBlk from="10.13.1.101" to="10.13.1.120"/></fvnsAddrInst>
</fvTenant></polUni>
ステップ 6 管理グループを作成します。
例:<?xml version="1.0" encoding="UTF-8"?><!-- api/policymgr/mo/.xml --><polUni><infraInfra><!-- Management node group for APICs --><mgmtNodeGrp name="apic"><infraNodeBlk name="all" from_="1" to_="3"/><mgmtRsGrp tDn="uni/infra/funcprof/grp-apic"/>
</mgmtNodeGrp>
<!-- Management node group for switches--><mgmtNodeGrp name="switch"><infraNodeBlk name="all" from_="101" to_="104"/><mgmtRsGrp tDn="uni/infra/funcprof/grp-switch"/>
</mgmtNodeGrp>
<!-- Functional profile --><infraFuncP><!-- Management group for APICs --><mgmtGrp name="apic"><!-- In-band management zone --><mgmtInBZone name="default"><mgmtRsInbEpg tDn="uni/tn-mgmt/mgmtp-default/inb-default"/><mgmtRsAddrInst tDn="uni/tn-mgmt/addrinst-apicInb"/>
</mgmtInBZone></mgmtGrp>
<!-- Management group for switches --><mgmtGrp name="switch"><!-- In-band management zone --><mgmtInBZone name="default"><mgmtRsInbEpg tDn="uni/tn-mgmt/mgmtp-default/inb-default"/><mgmtRsAddrInst tDn="uni/tn-mgmt/addrinst-switchInb"/>
</mgmtInBZone></mgmtGrp>
</infraFuncP></infraInfra>
</polUni>
CLI を使用したインバンド管理アクセスの設定
手順
ステップ 1 管理トラフィック用の VLANの名前空間を作成します。
例:admin@apic1:~> cd /aci/fabric/access-policies/pools/vlan/admin@apic1:vlan> mocreate inband static-allocationadmin@apic1:vlan> moconfig commitCommitting mo 'fabric/access-policies/pools/vlan/inband-static-allocation'
All mos committed successfully.admin@apic1:vlan> cd inband-static-allocation/encap-blocks
Cisco APIC スタートアップガイド32
使用する前に
インバンドおよびアウトオブバンド管理アクセスの設定
admin@apic1:encap-blocks> mocreate vlan10 vlan11admin@apic1:encap-blocks> cd vlan10-vlan11admin@apic1:vlan10-vlan11> moset name encapadmin@apic1:vlan10-vlan11> moconfig commitCommitting mo'fabric/access-policies/pools/vlan/inband-static-allocation/encap-blocks/vlan10-vlan11'
All mos committed successfully.admin@apic1:vlan10-vlan11>
ステップ 2 管理トラフィック用の物理ドメインを作成します。
例:admin@apic1:~> cd /aci/fabric/access-policies/physical-and-external-domains/physical-domains/admin@apic1:physical-domains> mocreate inbandadmin@apic1:physical-domains> moconfig commitCommitting mo 'fabric/access-policies/physical-and-external-domains/physical-domains/inband'
All mos committed successfully.admin@apic1:physical-domains> cd inbandadmin@apic1:inband> moset vlan-poolsfabric/access-policies/pools/vlan/inband-static-allocationadmin@apic1:inband> moconfig commitCommitting mo 'fabric/access-policies/physical-and-external-domains/physical-domains/inband'
All mos committed successfully.admin@apic1:inband>
ステップ 3 インバンドトラフィック用のリーフセレクタを作成します。
例:admin@apic1:~> cd /aci/fabric/access-policies/switch-policies/profilesadmin@apic1:profiles> mocreate vmmNodesadmin@apic1:profiles> moconfig commitCommitting mo 'fabric/access-policies/switch-policies/profiles/vmmNodes'
All mos committed successfully.
admin@apic1:profiles> cd vmmNodesadmin@apic1:vmmNodes> mocreate leaf-selector leafS rangeadmin@apic1:vmmNodes> moconfig commitCommitting mo 'fabric/access-policies/switch-policies/profiles/vmmNodes/leaf-selector-leafS-range'
All mos committed successfully.admin@apic1:vmmNodes>
admin@apic1:vmmNodes> cd leaf-selector-leafS-rangeadmin@apic1:leaf-selector-leafS-range> mocreate single0admin@apic1:leaf-selector-leafS-range> cd single0admin@apic1:single0> moset to 101admin@apic1:single0> moset from 101admin@apic1:single0> moconfig commitCommitting mo 'fabric/access-policies/switch-policies/profiles/vmmNodes/leaf-selector-leafS-range/single0'
All mos committed successfully.admin@apic1:single0>
admin@apic1:single0> cd ../../associated-interface-selector-profilesadmin@apic1:associated-interface-selector-profiles> mocreatefabric/access-policies/interface-policies/profiles/interfaces/vmmPortsadmin@apic1:associated-interface-selector-profiles> moconfig commitCommitting mo 'fabric/access-policies/switch-policies/profiles/vmmNodes/associated-interface-selector-profiles/[fabric/access-policies/interface-policies/profiles/interfaces/vmmPorts]'
All mos committed successfully.admin@apic1:associated-interface-selector-profiles>
admin@apic1:associated-interface-selector-profiles> cd/aci/fabric/access-policies/interface-policies/profiles/interfacesadmin@apic1:interfaces> mocreate vmmPortsadmin@apic1:interfaces> moconfig commitCommitting mo 'fabric/access-policies/interface-policies/profiles/interfaces/vmmPorts'
All mos committed successfully.
admin@apic1:interfaces> cd vmmPortsadmin@apic1:vmmPorts> mocreate portS rangeadmin@apic1:vmmPorts> moconfig commitCommitting mo 'fabric/access-policies/interface-policies/profiles/interfaces/vmmPorts/portS-range'
All mos committed successfully.admin@apic1:vmmPorts>
admin@apic1:vmmPorts> cd portS-rangeadmin@apic1:portS-range> mocreate block1
Cisco APIC スタートアップガイド33
使用する前に
インバンドおよびアウトオブバンド管理アクセスの設定
admin@apic1:portS-range> cd block1admin@apic1:block1> moset from-module 1admin@apic1:block1> moset to-module 1admin@apic1:block1> moset from-port 40admin@apic1:block1> moset to-port 40admin@apic1:block1> moconfig commitCommitting mo 'fabric/access-policies/interface-policies/profiles/interfaces/vmmPorts/portS-range/block1'
All mos committed successfully.admin@apic1:block1>
admin@apic1:block1> cd ../admin@apic1:portS-range> moset policy-groupfabric/access-policies/interface-policies/policy-groups/interface/inbandadmin@apic1:portS-range> moconfig commitCommitting mo 'fabric/access-policies/interface-policies/profiles/interfaces/vmmPorts/portS-range'
All mos committed successfully.admin@apic1:portS-range>
admin@apic1:portS-range> cd /aci/fabric/access-policies/switch-policies/profilesadmin@apic1:profiles> mocreate apicConnectedNodesadmin@apic1:profiles> moconfig commitCommitting mo 'fabric/access-policies/switch-policies/profiles/apicConnectedNodes'
All mos committed successfully.
admin@apic1:profiles> cd apicConnectedNodesadmin@apic1:apicConnectedNodes> mocreate leaf-selector leafS rangeadmin@apic1:apicConnectedNodes> moconfig commitCommitting mo 'fabric/access-policies/switch-policies/profiles/apicConnectedNodes/leaf-selector-leafS-range'
All mos committed successfully.admin@apic1:apicConnectedNodes>
admin@apic1:apicConnectedNodes> cd leaf-selector-leafS-rangeadmin@apic1:leaf-selector-leafS-range> mocreate single0admin@apic1:leaf-selector-leafS-range> cd single0admin@apic1:single0> moset to 102admin@apic1:single0> moset from 101admin@apic1:single0> moconfig commitCommitting mo 'fabric/access-policies/switch-policies/profiles/apicConnectedNodes/leaf-selector-leafS-range/single0'
All mos committed successfully.admin@apic1:single0>
admin@apic1:single0> cd ../../associated-interface-selector-profilesadmin@apic1:associated-interface-selector-profiles> mocreatefabric/access-policies/interface-policies/profiles/interfaces/apicConnectedPortsadmin@apic1:associated-interface-selector-profiles> moconfig commitCommitting mo 'fabric/access-policies/switch-policies/profiles/apicConnectedNodes/associated-interface-selector-profiles/[fabric/access-policies/interface-policies/profiles/interfaces/apicConnectedPorts]'
All mos committed successfully.admin@apic1:associated-interface-selector-profiles>
admin@apic1:associated-interface-selector-profiles> cd/aci/fabric/access-policies/interface-policies/profiles/interfacesadmin@apic1:interfaces> mocreate apicConnectedPortsadmin@apic1:interfaces> moconfig commitCommitting mo 'fabric/access-policies/interface-policies/profiles/interfaces/apicConnectedPorts'
All mos committed successfully.
admin@apic1:interfaces> cd apicConnectedPortsadmin@apic1:apicConnectedPorts> mocreate portS rangeadmin@apic1:apicConnectedPorts> moconfig commitCommitting mo 'fabric/access-policies/interface-policies/profiles/interfaces/apicConnectedPorts/portS-range'
All mos committed successfully.admin@apic1:apicConnectedPorts>
admin@apic1:apicConnectedPorts> cd portS-rangeadmin@apic1:portS-range> mocreate block1admin@apic1:portS-range> cd block1admin@apic1:block1> moset from-module 1admin@apic1:block1> moset to-module 1admin@apic1:block1> moset from-port 1admin@apic1:block1> moset to-port 3admin@apic1:block1> moconfig commitCommitting mo 'fabric/access-policies/interface-policies/profiles/interfaces/apicConnectedPorts/portS-range/block1'
All mos committed successfully.
admin@apic1:block1> cd ../admin@apic1:portS-range> moset policy-groupfabric/access-policies/interface-policies/policy-groups/interface/inbandadmin@apic1:portS-range> moconfig commitCommitting mo 'fabric/access-policies/interface-policies/profiles/interfaces/apicConnectedPorts/portS-range'
All mos committed successfully.admin@apic1:portS-range>
admin@apic1:portS-range> cd /aci/fabric/access-policies/interface-policies/policy-groups/interfaceadmin@apic1:interface> mocreate inbandadmin@apic1:interface> moconfig commitCommitting mo 'fabric/access-policies/interface-policies/policy-groups/interface/inband'
All mos committed successfully.
Cisco APIC スタートアップガイド34
使用する前に
インバンドおよびアウトオブバンド管理アクセスの設定
admin@apic1:interface> cd inbandadmin@apic1:inband> moset attached-entity-profilefabric/access-policies/global-policies/attachable-entity-profile/inbandadmin@apic1:inband> moconfig commitCommitting mo 'fabric/access-policies/interface-policies/policy-groups/interface/inband'
All mos committed successfully.admin@apic1:inband>
admin@apic1:inband> cd /aci/fabric/access-policies/global-policies/attachable-entity-profileadmin@apic1:attachable-entity-profile> mocreate inbandadmin@apic1:attachable-entity-profile> moconfig commitCommitting mo 'fabric/access-policies/global-policies/attachable-entity-profile/inband'
All mos committed successfully.
admin@apic1:attachable-entity-profile> cd inband/domains-associated-to-interfacesadmin@apic1:domains-associated-to-interfaces> mocreatefabric/access-policies/physical-and-external-domains/physical-domains/inbandadmin@apic1:domains-associated-to-interfaces> moconfig commitCommitting mo 'fabric/access-policies/global-policies/attachable-entity-profile/inband/domains-associated-to-interfaces/[fabric/access-policies/physical-and-external-domains/physical-domains/inband]'
All mos committed successfully.admin@apic1:domains-associated-to-interfaces>
ステップ 4 インバンドブリッジドメインとエンドポイントグループ(EPG)を設定します。
例:admin@apic1:~> cd /aci/tenants/mgmt/networking/bridge-domains/inb/subnetsadmin@apic1:subnets> mocreate 10.13.1.254/24admin@apic1:subnets> moconfig commitCommitting mo 'tenants/mgmt/networking/bridge-domains/inb/subnets/10.13.1.254:24'
All mos committed successfully.admin@apic1:subnets>admin@apic1:subnets> cd /aci/tenants/mgmt/node-management-epgs/default/in-band/defaultadmin@apic1:default> moset encap vlan-10admin@apic1:default> moconfig commitCommitting mo 'tenants/mgmt/node-management-epgs/default/in-band/default'
All mos committed successfully.admin@apic1:default>admin@apic1:default> cd provided-contractsadmin@apic1:provided-contracts> mocreate defaultadmin@apic1:provided-contracts> moconfig commitCommitting mo'tenants/mgmt/node-management-epgs/default/in-band/default/provided-contracts/default'
All mos committed successfully.admin@apic1:provided-contracts>
ステップ 5 管理アドレスプールを作成します。
例:admin@apic1:provided-contracts> cd /aci/tenants/mgmt/node-management-addresses/address-poolsadmin@apic1:address-pools> mocreate switchInbadmin@apic1:address-pools> cd switchInbadmin@apic1:switchInb> moset gateway-address 10.13.1.254/24admin@apic1:switchInb> moconfig commitCommitting mo 'tenants/mgmt/node-management-addresses/address-pools/switchInb'
All mos committed successfully.admin@apic1:switchInb> cd address-blocksadmin@apic1:address-blocks> mocreate 10.13.1.101 10.13.1.120admin@apic1:address-blocks> moconfig commitCommitting mo 'tenants/mgmt/node-management-addresses/address-pools/switchInb/address-blocks/10.13.1.101-10.13.1.120'
All mos committed successfully.admin@apic1:address-blocks>admin@apic1:address-blocks>admin@apic1:address-blocks> cd /aci/tenants/mgmt/node-management-addresses/address-poolsadmin@apic1:address-pools> mocreate apicInbadmin@apic1:address-pools> cd apicInbadmin@apic1:apicInb> moset gateway-address 10.13.1.254/24admin@apic1:apicInb> moconfig commitCommitting mo 'tenants/mgmt/node-management-addresses/address-pools/apicInb'
All mos committed successfully.admin@apic1:apicInb> cd address-blocks
Cisco APIC スタートアップガイド35
使用する前に
インバンドおよびアウトオブバンド管理アクセスの設定
admin@apic1:address-blocks> mocreate 10.13.1.1 10.13.1.10admin@apic1:address-blocks> moconfig commitCommitting mo 'tenants/mgmt/node-management-addresses/address-pools/apicInb/address-blocks/10.13.1.1-10.13.1.10'
All mos committed successfully.admin@apic1:address-blocks>
ステップ 6 ノード管理グループを作成します。
例:admin@apic1:~> cd aci/tenants/mgmt/node-management-addresses/admin@apic1:node-management-addresses> mocreate node-management-address apicadmin@apic1:node-management-addresses> moconfig commitCommitting mo 'tenants/mgmt/node-management-addresses/node-management-address-apic'
All mos committed successfully.admin@apic1:node-management-addresses> cd node-management-address-apic/node-blocks/admin@apic1:node-blocks> mocreate alladmin@apic1:node-blocks> cd alladmin@apic1:all> moset from 1admin@apic1:all> moset to 3admin@apic1:all> moconfig commitCommitting mo 'tenants/mgmt/node-management-addresses/node-management-address-apic/node-blocks/all'
All mos committed successfully.admin@apic1:all>admin@apic1:all> cd ../../admin@apic1:node-management-address-apic> moset managed-node-connectivity-grouptenants/mgmt/node-management-addresses/connectivity-groups/apicadmin@apic1:node-management-address-apic> moconfig commitCommitting mo 'tenants/mgmt/node-management-addresses/node-management-address-apic'
All mos committed successfully.admin@apic1:node-management-address-apic>admin@apic1:node-management-address-apic>admin@apic1:node-management-address-apic> cd ../admin@apic1:node-management-addresses> mocreate node-management-address switchadmin@apic1:node-management-addresses> moconfig commitCommitting mo 'tenants/mgmt/node-management-addresses/node-management-addresses/switch'
All mos committed successfully.admin@apic1:node-management-addresses>admin@apic1:node-management-addresses> cd node-management-address-switch/node-blocks/admin@apic1:node-blocks> mocreate alladmin@apic1:node-blocks> cd alladmin@apic1:all> moset from 101admin@apic1:all> moset to 104admin@apic1:all> moconfig commitCommitting mo 'tenants/mgmt/node-management-addresses/node-management-address-switch/node-blocks/all'
All mos committed successfully.admin@apic1:all>admin@apic1:all> cd ../../admin@apic1:node-management-address-switch> moset managed-node-connectivity-grouptenants/mgmt/node-management-addresses/connectivity-groups/switchadmin@apic1:node-management-address-switch> moconfig commitCommitting mo 'tenants/mgmt/node-management-addresses/node-management-address-switch'
All mos committed successfully.admin@apic1:node-management-address-switch>admin@apic1:node-management-address-switch>admin@apic1:node-management-address-switch> cd/aci/tenants/mgmt/node-management-addresses/connectivity-groups/admin@apic1:connectivity-groups> mocreate aciadmin@apic1:connectivity-groups> moconfig commitCommitting mo '/aci/tenants/mgmt/node-management-addresses/connectivity-groups/aci'
All mos committed successfully.admin@apic1:connectivity-groups>admin@apic1:connectivity-groups> cd aci/admin@apic1:aci> mocreate inb-managed-nodes-zone in-band-zone defaultadmin@apic1:aci> moconfig commitCommitting mo '/aci/tenants/test/node-management-addresses/connectivity-groups/aci/inb-managed-nodes-zone/default'
All mos committed successfully.admin@apic1:aci>admin@apic1:aci> cd inb-managed-nodes-zone/admin@apic1:inb-managed-nodes-zone> moset in-band-ip-address-pooltenants/mgmt/node-management-addresses/address-pools/apicInbadmin@apic1:inb-managed-nodes-zone> moset in-band-management-epg
Cisco APIC スタートアップガイド36
使用する前に
インバンドおよびアウトオブバンド管理アクセスの設定
tenants/mgmt/node-management-epgs/default/in-band/defaultadmin@apic1:inb-managed-nodes-zone> moconfig commitCommitting mo'/tenants/test/node-management-addresses/connectivity-groups/aci/inb-managed-nodes-zone/in-band-ip-address-pool'Committing mo '/tenants/test/node-management-addresses/connectivity-groups/aci/inb-managed-nodes-zone/in-band-management-epg'
All mos committed successfully.admin@apic1:inb-managed-nodes-zone>admin@apic1:inb-managed-nodes-zone> cd ../../admin@apic1:connectivity-groups> mocreate switchadmin@apic1:connectivity-groups> moconfig commitCommitting mo '/tenants/test/node-management-addresses/connectivity-groups/switch'
All mos committed successfully.
admin@apic1:connectivity-groups>admin@apic1:connectivity-groups> cd switch/admin@apic1:switch> mocreate inb-managed-nodes-zone in-band-zone defaultadmin@apic1:switch> moconfig commitCommitting mo '/tenants/test/node-management-addresses/connectivity-groups/switch/inb-managed-nodes-zone/default
All mos committed successfully.
admin@apic1:switch> cd inb-managed-nodes-zone/admin@apic1:inb-managed-nodes-zone> moset in-band-ip-address-pooltenants/mgmt/node-management-addresses/address-pools/switchInbadmin@apic1:inb-managed-nodes-zone> moset in-band-management-epgtenants/mgmt/node-management-epgs/default/in-band/defaultadmin@apic1:inb-managed-nodes-zone> moconfig commitCommitting mo '/tenants/mgmt/node-management-addresses/address-pools/switchInb/in-band-ip-address-pool'Committing mo '/tenants/mgmt/node-management-epgs/default/in-band/default/in-band-management-epg'
All mos committed successfully.
admin@apic1:inb-managed-nodes-zone>
GUI を使用したアウトオブバンド管理アクセスの設定
このタスク例のビデオを視聴するには、Videos Webpageを参照してください。(注)
はじめる前に
APICアウトオブバンド管理接続のリンクは、1 Gbpsである必要があります。
手順
ステップ 1 メニューバーで、[TENANTS] > [mgmt]を選択します。 [Navigation]ペインで、[Tenant mgmt]を展開します。
ステップ 2 [NodeManagement Addresses]を右クリックし、[Create NodeManagement Addresses]をクリックします。
ステップ 3 [Create Node Management Addresses]ダイアログボックスで、次の操作を実行します。a) [Policy Name]フィールドに、ポリシー名(switchOob)を入力します。b) [Nodes]フィールドで、適切なリーフスイッチおよびスパインスイッチ(leaf1、leaf2、spine1)の横にあるチェックボックスをオンにします。
c) [Config]フィールドで、[Out of-Band Addresses]チェックボックスをオンにします。
Cisco APIC スタートアップガイド37
使用する前に
インバンドおよびアウトオブバンド管理アクセスの設定
[Out-of-Band IP addresses]領域が表示されます。
(注)
d) [Out-of-Band IManagement EPG]フィールドで、ドロップダウンリストから [EPG](デフォルト)を選択します。
e) [Out-of-Band Gateway]フィールドに、IPアドレスを入力します。f) [Mask]フィールドに、まだ割り当てられていないマスクを入力します。g) [Out-of-Band IP Addresses]フィールドに、スイッチに割り当てられる IPアドレスの範囲を入力します。 [OK]をクリックします。
ノード管理 IPアドレスが設定されます。
ステップ 4 [Navigation]ペインで、[Node Management Addresses]を展開して、作成したポリシーを選択します。
[Work]ペインでは、アウトオブバンド管理のアドレスがスイッチに対して表示されます。
ステップ 5 [Navigation]ペインで、[Security Policies] > [Out-of-Band Contracts]を展開します。
ステップ 6 [Out-of-Band Contracts]を右クリックし、[Create Out-of-Band Contract]をクリックします。
ステップ 7 [Create Out-of-Band Contract]ダイアログボックスで、次の作業を実行します。a) [Name]フィールドに、コントラクトの名前(oob-default)を入力します。b) [Subjects]を展開します。 [Create Contract Subject]ダイアログボックスで、[Name]フィールドに、サブジェクト名(oob-default)を入力します。
c) [Filters]を展開し、[Name]フィールドで、ドロップダウンリストからフィルタの名前(default)を選択します。 [Update]をクリックして、[OK]をクリックします。
d) [Create Out-of-Band Contract]ダイアログボックスで、[Submit]をクリックします。
アウトオブバンド EPGに適用できるアウトオブバンドコントラクトが作成されます。
ステップ 8 [Navigation]ペインで、[Node Management EPGs] > [Out-of-Band EPG - default]を展開します。
ステップ 9 [Work]ペインで、[Provided Out-of-Band Contracts]を展開します。
ステップ 10 [OOB Contracts]列で、ドロップダウンリストから、作成したアウトオブバンドコントラクト(oob-default)を選択します。 [Update]をクリックして、[Submit]をクリックします。コントラクトはノード管理 EPGに関連付けられます。
ステップ 11 [Navigation]ペインで、[External Network Instance Profile]を右クリックして、[Create ExternalManagement Entity Instance]をクリックします。
ステップ 12 [Create External Management Entity Instance]ダイアログボックスで、次の操作を実行します。a) [Name]フィールドに、名前(oob-mgmt-ext)を入力します。b) [Consumed Out-of-Band Contracts]フィールドを展開します。 [Out-of-Band Contract]ドロップダウンリストから、作成したコントラクト(oob-default)を選択します。 [Update]をクリックします。
アウトオブバンド管理によって提供されたコントラクトと同じコントラクトを選択します。
c) [Subnets]フィールドに、サブネットアドレスを入力します。 [Submit]をクリックします。ここで選択したサブネットアドレスだけがスイッチの管理に使用されます。含まれていない
サブネットアドレスはスイッチの管理に使用できません。
ノード管理 EPGは外部ネットワークインスタンスのプロファイルにアタッチされます。アウトオブバンド管理接続が設定されました。
Cisco APIC スタートアップガイド38
使用する前に
インバンドおよびアウトオブバンド管理アクセスの設定
REST API を使用したアウトオブバンド管理アクセスの設定
はじめる前に
APICアウトオブバンド管理接続のリンクは、1 Gbpsである必要があります。
手順
ステップ 1 アウトオブバンドコントラクトを作成します。
例:<polUni>
<fvTenant name="mgmt"><!-- Contract --><vzOOBBrCP name="oob-default">
<vzSubj name="oob-default"><vzRsSubjFiltAtt tnVzFilterName="default" />
</vzSubj></vzOOBBrCP>
</fvTenant></polUni>
ステップ 2 アウトオブバンド EPGとアウトオブバンドコントラクトを関連付けます。
例:<polUni>
<fvTenant name="mgmt"><mgmtMgmtP name="default">
<mgmtOoB name="default"><mgmtRsOoBProv tnVzOOBBrCPName="oob-default" />
</mgmtOoB></mgmtMgmtP>
</fvTenant></polUni>
ステップ 3 外部管理 EPGとアウトオブバンドコントラクトを関連付けます。
例:<polUni>
<fvTenant name="mgmt"><mgmtExtMgmtEntity name="default">
<mgmtInstP name="oob-mgmt-ext"><mgmtRsOoBCons tnVzOOBBrCPName="oob-default" /><!-- SUBNET from where switches are managed --><mgmtSubnet ip="10.0.0.0/8" />
</mgmtInstP></mgmtExtMgmtEntity>
</fvTenant></polUni>
ステップ 4 管理アドレスプールを作成します。
例:<polUni>
<fvTenant name="mgmt">
Cisco APIC スタートアップガイド39
使用する前に
インバンドおよびアウトオブバンド管理アクセスの設定
<fvnsAddrInst name="switchOoboobaddr" addr="172.23.48.1/21"><fvnsUcastAddrBlk from="172.23.49.240" to="172.23.49.244"/>
</fvnsAddrInst></fvTenant>
</polUni>
ステップ 5 ノード管理グループを作成します。
例:<polUni>
<infraInfra><infraFuncP>
<mgmtGrp name="switchOob"><mgmtOoBZone name="default">
<mgmtRsAddrInst tDn="uni/tn-mgmt/addrinst-switchOoboobaddr" /><mgmtRsOobEpg tDn="uni/tn-mgmt/mgmtp-default/oob-default" />
</mgmtOoBZone></mgmtGrp>
</infraFuncP><mgmtNodeGrp name="switchOob">
<mgmtRsGrp tDn="uni/infra/funcprof/grp-switchOob" /><infraNodeBlk name="default" from_="101" to_="103" />
</mgmtNodeGrp></infraInfra>
</polUni>
CLI を使用したアウトオブバンド管理アクセスの設定
はじめる前に
APICアウトオブバンド管理接続のリンクは、1 Gbpsである必要があります。
手順
ステップ 1 アウトオブバンドコントラクトを作成します。
例:admin@apic1:~> cd /aci/tenants/mgmt/security-policiesadmin@apic1:security-policies> cd out-of-band-contractsadmin@apic1:out-of-band-contracts> moconfig commitCommitting mo 'tenants/mgmt/security-policies/out-of-band-contracts/oob-default'
All mos committed successfully.admin@apic1:out-of-band-contracts> cd oob-defaultadmin@apic1:oob-default> cd subjectsadmin@apic1:subjects> mocreate oob-defaultadmin@apic1:subjects> moconfig commitCommitting mo'tenants/mgmt/security-policies/out-of-band-contracts/oob-default/subjects/oob-default'
All mos committed successfully.admin@apic1:subjects> cd oob-defaultadmin@apic1:oob-default> cd filtersadmin@apic1:filters> mocreate defaultadmin@apic1:filters> moconfig commitCommitting mo'tenants/mgmt/security-policies/out-of-band-contracts/oob-default/subjects/oob-default/filters/default'
Cisco APIC スタートアップガイド40
使用する前に
インバンドおよびアウトオブバンド管理アクセスの設定
All mos committed successfully.
ステップ 2 アウトオブバンド EPGとアウトオブバンドコントラクトを関連付けます。
例:admin@apic1:~> cd /aci/tenants/mgmt/node-management-epgs/defaultadmin@apic1:default> cd out-of-bandadmin@apic1:out-of-band> cd defaultadmin@apic1:default> cd provided-out-of-band-contractsadmin@apic1:provided-out-of-band-contracts> mocreate oob-defaultadmin@apic1:provided-out-of-band-contracts> moconfig commitCommitting mo'tenants/mgmt/node-management-epgs/default/out-of-band/default/provided-out-of-band-contracts/oob-default'
All mos committed successfully.
ステップ 3 外部管理 EPGとアウトオブバンドコントラクトを関連付けます。
例:admin@apic1:~> cd /aci/tenants/mgmtadmin@apic1:mgmt> cd external-network-instance-profilesadmin@apic1:external-network-instance-profiles> cd external-entities-defaultadmin@apic1:external-entities-default> cd external-management-entity-instancesadmin@apic1:external-management-entity-instances> mocreate defaultCommitting mo'tenants/mgmt/external-network-instance-profiles/external-entities-default/external-management-entity-instances/default'
All mos committed successfully.admin@apic1:external-management-entity-instances> cd defaultadmin@apic1:default> cd consumed-out-of-band-contractsadmin@apic1:consumed-out-of-band-contracts> mocreate oob-defaultadmin@apic1:consumed-out-of-band-contracts> moconfig commitCommitting mo'tenants/mgmt/external-network-instance-profiles/external-entities-default/external-management-entity-instances/default/consumed-out-of-band-contracts/oob-default'
All mos committed successfully.admin@apic1:consumed-out-of-band-contracts> cd ..admin@apic1:default> cd subnetsadmin@apic1:subnets> mocreate 10.0.0.0/8admin@apic1:subnets> moconfig commitCommitting mo'tenants/mgmt/external-network-instance-profiles/external-entities-default/external-management-entity-instances/default/subnets/10.0.0.0:8'
All mos committed successfully.
ステップ 4 管理アドレスプールを作成します。
例:admin@apic1:~> cd /aci/tenants/mgmtadmin@apic1:mgmt> cd node-management-addressesadmin@apic1:node-management-addresses> cd address-poolsadmin@apic1:address-pools> mocreate switchOoboobaddradmin@apic1:address-pools> cd switchOoboobaddradmin@apic1:switchOoboobaddr> moset gateway-address 172.23.48.1/21admin@apic1:switchOoboobaddr> moconfig commitCommitting mo 'tenants/mgmt/node-management-addresses/address-pools/switchOoboobaddr'
All mos committed successfully.admin@apic1:switchOoboobaddr> cd address-blocksadmin@apic1:address-blocks> mocreate 172.23.49.240 172.23.49.244admin@apic1:address-blocks> moconfig commitCommitting mo'tenants/mgmt/node-management-addresses/address-pools/switchOoboobaddr/address-blocks/172.23.49.240-172.23.49.244'
Cisco APIC スタートアップガイド41
使用する前に
インバンドおよびアウトオブバンド管理アクセスの設定
All mos committed successfully.
ステップ 5 ノード管理グループを作成します。
例:admin@apic1:~> cd /aci/tenants/mgmtadmin@apic1:mgmt> cd node-management-addressesadmin@apic1:node-management-addresses> cd node-groupsadmin@apic1:node-groups> mocreate switchOobadmin@apic1:node-groups> cd switchOobadmin@apic1:switchOob> moset type rangeadmin@apic1:switchOob> moconfig commitCommitting mo 'tenants/mgmt/node-management-addresses/node-groups/switchOob'
All mos committed successfully.admin@apic1:switchOob> mocreate connectivity-group uni/infra/funcprof/grp-switchOobadmin@apic1:switchOob> moconfig commitCommitting mo'tenants/mgmt/node-management-addresses/node-groups/switchOob/connectivity-group-[uni/infra/funcprof/grp-switchOob]'
All mos committed successfully.admin@apic1:switchOob> cd node-blocksadmin@apic1:node-blocks> mocreate defaultadmin@apic1:node-blocks> cd defaultadmin@apic1:default> moset from 101admin@apic1:default> moset to 103admin@apic1:default> moconfig commitCommitting mo'tenants/mgmt/node-management-addresses/node-groups/switchOob/node-blocks/default'
All mos committed successfully.
GUI を使用した APICコントローラの IP アドレスの変更
はじめる前に
手順
ステップ 1 メニューバーで、[TENANTS] > [mgmt]を選択します。 [Navigation]ペインで、[Tenant mgmt]を展開します。
ステップ 2 [NodeManagement Addresses]を右クリックし、[Create NodeManagement Addresses]をクリックします。
ステップ 3 [Create Node Management Addresses]ダイアログボックスで、次の操作を実行します。a) [Policy Name]フィールドに、ポリシー名を入力します。b) [Nodes]フィールドでは、IPアドレスを変更するコントローラのチェックボックスをクリックします。
c) [Config]フィールドで、[Out-of-Band Addresses]のチェックボックスをクリックします。[Out-of-Band Addresses]領域が拡大します。
d) [Out-of-BandManagement EPG]フィールドで、ドロップダウンリストから、適切なEPGを選択します。
e) [Out-of-Band Gateway]では、割り当てる新しい IPアドレスのゲートウェイを入力します。
Cisco APIC スタートアップガイド42
使用する前に
インバンドおよびアウトオブバンド管理アクセスの設定
[Mask]フィールドは自動的に入力されます。f) [Out-of-Band IP Addresses]という範囲入力フィールドに適切な IPアドレスまたは複数の IPアドレスを入力します。 [Submit]をクリックします。
g) [Confirm]ダイアログボックスで、新しい管理 IPアドレスの割り当てを実行することを確認するメッセージが表示されたら、[Yes]をクリックします。新しい管理 IPアドレスが、APICコントローラに割り当てられます。
次の作業
•その APICコントローラに再接続するには、新しい IPアドレスを使用します。
•新しい IPアドレスが割り当てられた後は、コントローラの古い IPアドレスを削除する必要があります。
REST API を使用した APICコントローラの IP アドレスの変更
手順
APICコントローラの IPアドレスを変更します。
例:<?xml version="1.0" encoding="UTF-8"?><!-- /api/policymgr/mo/.xml --><polUni><infraInfra><infraFuncP><mgmtGrp name="mgmtGroupApic"><mgmtOoBZone name="mgmtOobZoneApic"><mgmtRsOobEpg tDn="uni/tn-mgmt/mgmtp-default/oob-default"/><mgmtRsAddrInst tDn="uni/tn-mgmt/addrinst-oobAddrApic"/>
</mgmtOoBZone></mgmtGrp>
</infraFuncP><mgmtNodeGrp name="mgmtNodeGroupApic"><mgmtRsGrp tDn="uni/infra/funcprof/grp-mgmtGroupApic"/><infraNodeBlk name="default" from_="1" to_="1"/>
</mgmtNodeGrp></infraInfra>
</polUni>
<?xml version="1.0" encoding="UTF-8"?><!-- /api/policymgr/mo/.xml --><polUni><fvTenant name="mgmt"><fvnsAddrInst name="oobAddrApic" addr="172.23.48.1/21"><fvnsUcastAddrBlk from="172.23.48.16" to="172.23.48.16"/>
</fvnsAddrInst></fvTenant>
</polUni>
次の作業
•その APICコントローラに再接続するには、新しい IPアドレスを使用します。
Cisco APIC スタートアップガイド43
使用する前に
インバンドおよびアウトオブバンド管理アクセスの設定
•新しい IPアドレスが割り当てられた後は、コントローラの古い IPアドレスを削除する必要があります。
CLI を使用した APICコントローラの IP アドレスの変更
手順
ステップ 1 CLIで、ディレクトリを /aciに変更します。
例:admin@apic1:~> cd /aci
ステップ 2 ノードの管理ポリシーを設定します。
例:# node-management-addresscd '/aci/tenants/mgmt/node-management-addresses/node-groups'mocreate 'mgmtNodeGroupApic'cd 'mgmtNodeGroupApic'moset type 'range'mocreate connectivity-group 'uni/infra/funcprof/grp-mgmtGroupApic'cd node-blocksmocreate defaultmoconfig commit
ステップ 3 アウトオブバンド管理接続グループを設定します。
例:# managed-node-connectivity-groupcd '/aci/tenants/mgmt/node-management-addresses/connectivity-groups'mocreate 'mgmtGroupApic'cd 'mgmtGroupApic'mocreate out-of-band-zonecd 'out-of-band-zone'moset name 'mgmtOobZoneApic'moset out-of-band-address-pool'tenants/mgmt/node-management-addresses/address-pools/oobAddrApic'moset out-of-band-epg 'tenants/mgmt/node-management-epgs/default/out-of-band/default'moconfig commit
ステップ 4 アウトオブバンドゲートウェイアドレスとコントローラの IPアドレスを必要に応じて1つ以上指定します。
例:# ip-address-poolcd '/aci/tenants/mgmt/node-management-addresses/address-pools'mocreate 'oobAddrApic'cd 'oobAddrApic'moset gateway-address '172.23.48.1/21'cd 'address-blocks'mocreate '172.23.48.16' '172.23.48.16'moconfig commit
Cisco APIC スタートアップガイド44
使用する前に
インバンドおよびアウトオブバンド管理アクセスの設定
次の作業
•その APICコントローラに再接続するには、新しい IPアドレスを使用します。
•新しい IPアドレスが割り当てられた後は、コントローラの古い IPアドレスを削除する必要があります。
管理接続モード
APICから vCenter、TACACS、または RADIUSサーバなどの外部エンティティへの接続を、インバンド管理ネットワークを使用して確立する必要があります。vCenter Serverなどの外部エンティティへの接続を確立するために、次の 2種類のモードが使用できます。
•レイヤ 2管理接続:外部エンティティがレイヤ 2でリーフノードに接続されている場合、このモードを使用します。
•レイヤ 3管理接続:外部エンティティがルータを介しレイヤ 3でリーフノードに接続されている場合、このモードを使用します。リーフは外部エンティティに到達可能なルータに接続
されます。
(注) •インバンド IPアドレス範囲はリーフノードからファブリックの外へのレイヤ 3接続で使用される IPアドレス範囲と重複なしに分離しておく必要があります。
•レイヤ 3インバンド管理の設計はトポロジのスパインファブリックノードへのインバンド管理アクセスを提供しません。
Cisco APIC スタートアップガイド45
使用する前に
管理接続モード
次の図に、接続を確立するために使用可能な 2種類のモードを示します。
図 6:レイヤ 2 およびレイヤ 3 管理接続の例
GUI を使用したレイヤ 2 管理接続の設定
(注) •このタスク例のビデオを視聴するには、Videos Webpageを参照してください。
•この作業での文字列の例として名前 vmmを使用します。
はじめる前に
vCenterのドメインプロファイルを作成する前に、インバンド管理ネットワークを使用して外部ネットワークを確立するための接続を確立する必要があります。
管理接続ポリシーの一部として設定された IPアドレス範囲が、ACIファブリックで使用されるインフラストラクチャの IPアドレス範囲と重複しないことを確認してください。
手順
ステップ 1 メニューバーで、[TENANTS] > [mgmt]を選択します。
ステップ 2 [Navigation]ペインで、[Tenant mgmt] > [Networking]を展開し、[Bridge Domains]を右クリックして[Create Bridge Domain]をクリックします。
ステップ 3 [Create Bridge Domain]ダイアログボックスで、次の操作を実行します。a) [Name]フィールドに、ブリッジドメイン名(vmm)を入力します。b) [Network]フィールドで、ドロップダウンリストから、ネットワーク(inb)を選択します。
Cisco APIC スタートアップガイド46
使用する前に
管理接続モード
c) [Subnets]を展開し、[Gateway Address]フィールドに IPアドレス(192.168.64.254/18)を入力します。 [Update]をクリックします。
d) [Submit]をクリックして、ブリッジドメインの設定を完了します。
ステップ 4 [Navigation]ペインで、[Tenant mgmt] > [Application Profiles]を展開し、[Create Application Profile]をクリックして vCenterとの接続を作成します。
ステップ 5 [Create Application Profile]ダイアログボックスで、次の操作を実行します。a) [Name]フィールドに、アプリケーションプロファイルの名前を入力します。(vmm)b) [EPGs]を展開します。 [CreateApplicationEPG]ダイアログボックスで、[Name]フィールドに、
EPGの名前(vmmMgmt)を入力します。c) [Bridge Domain]フィールドで、ドロップダウンリストから、プロファイル(vmm)を選択します。
d) [Associated Domain Profiles]を展開します。 [Domain Profile]ドロップダウンリストから、上記で作成した物理ドメイン(inband)を選択します。 [Update]をクリックします。
e) [Statically Link with Leaves/Paths]チェックボックスをオンにして、[Next]をクリックします。[Leaves/Paths]の手順がダイアログボックスに表示されます。
f) [Paths]を展開します。 [Path]ドロップダウンリストで、VMMサーバに直接、またはレイヤ 2スイッチ(Node-101/eth1/40)を介して接続されたポートを選択します。
g) [Encap]フィールドに、VLAN ID(vlan-11)を入力します。 [Update]をクリックします。 [OK]をクリックします。
h) [Create Application Profile]ダイアログボックスで、[Consumed Contracts]を展開します。i) [Add Consumed Contract]ダイアログボックスで、[Name]フィールドのドロップダウンリストから [common/default]を選択します。 [OK]をクリックし、[Submit]をクリックします。これで、レイヤ 2接続の設定は完了です。
REST API を使用したレイヤ 2 管理接続の設定
この作業での文字列の例として名前 vmmを使用します。(注)
ポリシーは、Tenant-mgmt配下に次のオブジェクトを作成します。
ブリッジドメイン(vmm)および次の関連オブジェクトを以下のように作成します。
•そのブリッジドメインに IPプレフィックス(192.168.64.254/18)を持つサブネットオブジェクトを作成します。この IPアドレス(192.168.64.254)は、従来のスイッチ設定でスイッチ仮想インターフェイス(SVI)として通常使用されるブリッジドメインに割り当てられます。
•インバンドネットワーク(ctx)へのアソシエーションを作成します。
次のように,アプリケーションプロファイル(vmm)と管理 EPG(vmmMgmt)および関連オブジェクトを作成します。
Cisco APIC スタートアップガイド47
使用する前に
管理接続モード
•ブリッジドメインへのアソシエーションを作成します(vmm)。
•この EPGを leaf1に配置するポリシーを作成します。この EPGに使用するエンカプセレーションは vlan-11です。
はじめる前に
vCenterのドメインプロファイルを作成する前に、インバンド管理ネットワークを使用して外部ネットワークを確立するための接続を確立する必要があります。
管理接続ポリシーの一部として設定された IPアドレス範囲が、ACIファブリックで使用されるインフラストラクチャの IPアドレス範囲と重複しないことを確認してください。
手順
リーフポートに接続されたルータを使用して、APICから外部ルートへの接続を確立できます。
例:<!-- api/policymgr/mo/.xml --><polUni><fvTenant name="mgmt"><fvBD name="vmm"><fvRsCtx tnFvCtxName="inb"/><fvSubnet ip='192.168.64.254/18'/>
</fvBD>
<fvAp name="vmm"><fvAEPg name="vmmMgmt"><fvRsBd tnFvBDName="vmm" /><fvRsPathAtt tDn="topology/pod-1/paths-101/pathep-[eth1/40]" encap="vlan-11"/><fvRsCons tnVzBrCPName="default"/><fvRsDomAtt tDn="uni/phys-inband"/>
</fvAEPg></fvAp>
</fvTenant></polUni>
CLI を使用したレイヤ 2 管理接続の設定
(注) •このタスク例のビデオを視聴するには、Videos Webpageを参照してください。
•この作業での文字列の例として名前 vmmを使用します。
はじめる前に
vCenterのドメインプロファイルを作成する前に、インバンド管理ネットワークを使用して外部ネットワークを確立するための接続を確立する必要があります。
管理接続ポリシーの一部として設定された IPアドレス範囲が、ACIファブリックで使用されるインフラストラクチャの IPアドレス範囲と重複しないことを確認してください。
Cisco APIC スタートアップガイド48
使用する前に
管理接続モード
手順
ステップ 1 CLIで、ディレクトリを /aciに変更します。
例:admin@apic1:~> cd /aci
ステップ 2 レイヤ 2管理接続を確立するために、管理テナント用ブリッジドメインを作成し、ブリッジドメイン用のサブネットを作成し、管理テナントおよび管理アプリケーションEPGのアプリケーションプロファイルを作成し、ブリッジドメインが EPGに使用されるように接続し、スタティックルートが EPGによって使用されるように設定します。
例:admin@apic1:~> cd /aci/tenants/mgmt/networking/bridge-domainsadmin@apic1:bridge-domains> mocreate vmmadmin@apic1:bridge-domains> moconfig commitCommitting mo 'tenants/mgmt/networking/bridge-domains/vmm'
All mos committed successfully.admin@apic1:bridge-domains> cd vmm/admin@apic1:vmm> moset network inbadmin@apic1:vmm> cd subnetsadmin@apic1:subnets> mocreate 192.168.64.254/18admin@apic1:subnets> moconfig commitCommitting mo 'tenants/mgmt/networking/bridge-domains/vmm'Committing mo 'tenants/mgmt/networking/bridge-domains/vmm/subnets/192.168.64.254:18'
All mos committed successfully.admin@apic1:subnets>admin@apic1:subnets> cd ../../../../application-profiles/admin@apic1:application-profiles> mocreate vmmadmin@apic1:application-profiles> moconfig commitCommitting mo 'tenants/mgmt/application-profiles/vmm'
All mos committed successfully.admin@apic1:application-profiles>admin@apic1:application-profiles> cd vmm/application-epgsadmin@apic1:application-epgs> mocreate vmmMgmtadmin@apic1:application-epgs> moconfig commitCommitting mo 'tenants/mgmt/application-profiles/vmm/application-epgs/vmmMgmt'
All mos committed successfully.admin@apic1:application-epgs>admin@apic1:application-epgs> cd vmmMgmt/static-bindings-pathsadmin@apic1:static-bindings-paths> mocreate topology/pod-1/paths-101/pathep-[eth1/40] encapvlan-11admin@apic1:static-bindings-paths> moconfig commitCommitting mo'tenants/mgmt/application-profiles/vmm/application-epgs/vmmMgmt/static-bindings-paths/[topology/pod-1/paths-101/pathep-[eth1/40]]'
All mos committed successfully.admin@apic1:static-bindings-paths>admin@apic1:static-bindings-paths> cd ../contracts/consumed-contractsadmin@apic1:consumed-contracts> mocreate defaultadmin@apic1:consumed-contracts> moconfig commitCommitting mo'tenants/mgmt/application-profiles/vmm/application-epgs/vmmMgmt/contracts/consumed-contracts/default'
All mos committed successfully.admin@apic1:consumed-contracts>admin@apic1:consumed-contracts>admin@apic1:consumed-contracts> cd ../../domains-vms-and-bare-metalsadmin@apic1:domains-vms-and-bare-metals> mocreatefabric/access-policies/physical-and-external-domains/physical-domains/inband
Cisco APIC スタートアップガイド49
使用する前に
管理接続モード
admin@apic1:domains-vms-and-bare-metals> moconfig commitCommitting mo'tenants/mgmt/application-profiles/vmm/application-epgs/vmmMgmt/domains-vms-and-bare-metals/[fabric/access-policies/physical-and-external-domains/physical-domains/inband]'
All mos committed successfully.admin@apic1:domains-vms-and-bare-metals>
GUI を使用したレイヤ 3 管理接続の設定
この作業での文字列の例として名前 vmmを使用します。
このタスク例のビデオを視聴するには、Videos Webpageを参照してください。
(注)
はじめる前に
VMMドメインプロファイルを作成する前に、インバンド管理ネットワークを使用して外部ネットワークに接続を確立します。
管理接続ポリシーの一部として設定された IPアドレス範囲が、ACIファブリックで使用されるインフラストラクチャの IPアドレス範囲と重複しないことを確認してください。
手順
ステップ 1 メニューバーで、[TENANTS] > [mgmt]を選択します。
ステップ 2 [Navigation]ペインで、次の操作を実行します。a) [Tenant mgmt] > [Networking] > [External Routed Networks]を展開します。b) [Create Routed Outside]を右クリックします。
ステップ 3 [Create Routed Outside]ダイアログボックスで、次の操作を実行します。a) [Name]フィールドに、レイヤ 3ルーテッド外部ポリシーの名前を入力します(vmm)。名前には 64文字以内の英数字を使用できます。オブジェクトを保存した後は、名前を変更できません。
b) [Private Network]ドロップダウンリストから、インバンドデフォルトネットワーク(inb)を選択します。
デフォルトのインバンドネットワークを選択する必要がありま
す。
(注)
ステップ 4 [Nodes and Interfaces Protocol Profiles]を展開します。 [Create Node Profile]ダイアログボックスで、次の操作を実行します。
a) [Name]フィールドに、名前を入力します。(borderLeaf)b) [Nodes]を展開して[Select Node]ダイアログボックスを表示します。 [Node ID]フィールドで、ドロップダウンリストからリーフスイッチ(leaf1)を選択します。
c) [Router ID]フィールドに、ルータ IDを入力します。d) [Static Routes]を展開します。
Cisco APIC スタートアップガイド50
使用する前に
管理接続モード
e) [Create Static Route]ダイアログボックスで、[Prefix]フィールドに、通信をしようとしている相手の外部管理システム(VMware vCenter、syslogサーバ、AAAサーバなど)のスタティックルートのサブネットプレフィックスを入力します。
f) [Next Hop Addresses]フィールドに、リーフスイッチに接続されたルータの IPアドレスを入力します。 [Update]をクリックします。
g) [OK]をクリックします。 [Select Node]ダイアログボックスで、[OK]をクリックします。
ステップ 5 [Interface Profiles]を展開します。 [Create Interface Profile]ダイアログボックスで、次の操作を実行します。
a) [Name]フィールドに、名前を入力します。(portProfile1)b) [Routed Interfaces]を展開します。 [Select Routed Interface]ダイアログボックスで、[Path]フィールドにドロップダウンリストから、leaf1に関連したパスを選択します。
c) [IP Address]フィールドに、リーフのルーテッドインターフェイスの IPアドレスとサブネットマスクを入力します。
d) [MTU (bytes)]フィールドにデフォルト値(1500)を入力し、[OK]をクリックします。e) [Create Interface Profile]ダイアログボックスで、[OK]をクリックします。 [Create Node Profile]ダイアログボックスで、[OK]をクリックします。
ステップ 6 [Create Routed Outside]ダイアログボックスで、[Next]をクリックし、[External EPG Networks]を展開します。
ステップ 7 [Create External Network]ダイアログボックスで、次の操作を実行します。a) [Name]フィールドに、名前(vmmMgmt)を入力します。b) [Subnet]の [+]アイコンを展開します。c) [Create Subnet]ダイアログボックスで、[External Subnet]フィールドに、サブネットアドレスを入力します。
[Mask]フィールドに、マスクが自動入力されます。
d) [OK]をクリックし、[Finish]をクリックします。
ステップ 8 [Navigation]ペインで、[External Routed Networks]と以前に作成した L3ルーテッド外部ポリシー(vmm)を展開します。 [Networks]を選択し、以前に作成した外部ネットワーク(vmmMgmt)をクリックします。
ステップ 9 [Work]ペインで、[Consumed Contracts]領域を拡大します。 [Name]フィールドで、ドロップダウンリストから、デフォルトのコントラクトを選択します。 [Update]を選択します。このコントラクトは、APICおよびスイッチが存在するインバンド EPGと VMMサーバが存在する EPGの間にあります。
ステップ 10 レイヤ 3管理接続の構成を完了するには、[Submit]をクリックします。
REST API を使用したレイヤ 3 管理接続の設定この作業での文字列の例として名前 vmmを使用します。
ポリシーは、Tenant-mgmt配下に次のオブジェクトを作成します。
Cisco APIC スタートアップガイド51
使用する前に
管理接続モード
•次の手順で、ルーテッド外部ポリシー(vmm)を作成します。
1 レイヤ 3外部ネットワークインスタンスプロファイルオブジェクト(vmmMgmt)を作成します。
2 ネクストホップルータ 192.168.62.2の IPアドレスでリモートネットワーク(192.168.64.0/18)へのルートを作成します。
3 leaf1にアタッチされる論理ノードプロファイルオブジェクト(borderLeaf)を作成します。
4 IPアドレス 192.168.62.1/30を持つルーテッドインターフェイス 1/40にポートプロファイル(portProfile1)を作成します。
5 インバンドネットワーク(ctx)にアソシエーションを作成します。
はじめる前に
管理接続ポリシーの一部として設定された IPアドレス範囲が、ACIファブリックで使用されるインフラストラクチャの IPアドレス範囲と重複しないことを確認してください。
手順
リーフポートに接続されたルータを使用して、APICから外部ルートへの接続を確立できます。
例:<!-- api/policymgr/mo/.xml --><polUni>
<fvTenant name="mgmt"><l3extOut name="vmm">
<l3extInstP name="vmmMgmt"><l3extSubnet ip="192.168.0.0/16" /><fvRsCons tnVzBrCPName="default" />
</l3extInstP><l3extLNodeP name="borderLeaf">
<l3extRsNodeL3OutAtt tDn="topology/pod-1/node-101" rtrId="1.2.3.4"><ipRouteP ip="192.168.64.0/18">
<ipNexthopP nhAddr="192.168.62.2" /></ipRouteP>
</l3extRsNodeL3OutAtt><l3extLIfP name="portProfile">
<l3extRsPathL3OutAtt tDn="topology/pod-1/paths-101/pathep-[eth1/40]"ifInstT="l3-port" addr="192.168.62.1/30" />
</l3extLIfP></l3extLNodeP><l3extRsEctx tnFvCtxName="inb" />
</l3extOut></fvTenant>
</polUni>
CLI を使用したレイヤ 3 管理接続の設定この作業での文字列の例として名前 vmmを使用します。
Cisco APIC スタートアップガイド52
使用する前に
管理接続モード
はじめる前に
VMMドメインプロファイルを作成する前に、インバンド管理ネットワークを使用して外部ネットワークに接続を確立する必要があります。
管理接続ポリシーの一部として設定された IPアドレス範囲が、ACIファブリックで使用されるインフラストラクチャの IPアドレス範囲と重複しないことを確認してください。
手順
ステップ 1 CLIで、ディレクトリを /aciに変更します。
例:admin@apic1:~> cd /aci
ステップ 2 リーフポートに接続されたルータを使用して、 APICから外部ルートに接続を確立します。
例:admin@apic1:~> cd /.aci/viewfs/tenants/mgmt/networking/external-routed-networks/admin@apic1:external-routed-networks> mocreate l3-outside vmmadmin@apic1:external-routed-networks> moconfig commitCommitting mo 'tenants/mgmt/networking/external-routed-networks/l3-outside-vmm'
All mos committed successfully.admin@apic1:external-routed-networks> cd l3-outside-vmm/networks/admin@apic1:networks> mocreate vmmMgmtadmin@apic1:networks> moconfig commitCommitting mo'tenants/mgmt/networking/external-routed-networks/l3-outside-vmm/networks/vmmMgmt'
All mos committed successfully.admin@apic1:networks> cd vmmMgmt/consumed-contracts/admin@apic1:consumed-contracts> mocreate defaultadmin@apic1:consumed-contracts> moconfig commitCommitting mo'tenants/mgmt/networking/external-routed-networks/l3-outside-vmm/networks/vmmMgmt/consumed-contracts/default'
All mos committed successfully.admin@apic1:consumed-contracts> cd ../subnets/admin@apic1:subnets> mocreate 192.168.0.0/16admin@apic1:subnets> moconfig commitCommitting mo'tenants/mgmt/networking/external-routed-networks/l3-outside-vmm/networks/vmmMgmt/subnets/192.168.0.0:16'
All mos committed successfully.admin@apic1:subnets> cd ../../../logical-node-profilesadmin@apic1:logical-node-profiles> mocreate borderLeafadmin@apic1:logical-node-profiles> moconfig commitCommitting mo'tenants/mgmt/networking/external-routed-networks/l3-outside-vmm/logical-node-profiles/borderLeaf'
All mos committed successfully.admin@apic1:logical-node-profiles> cd borderLeaf/nodes/admin@apic1:nodes> mocreate fabric/inventory/pod-1/node-101 router-id 1.2.3.4admin@apic1:nodes> moconfig commitCommitting mo'tenants/mgmt/networking/external-routed-networks/l3-outside-vmm/logical-node-profiles/borderLeaf/nodes/[fabric/inventory/pod-1/node-101]'
All mos committed successfully.admin@apic1:nodes> cd [fabric--inventory--pod-1--node-101]admin@apic1:[fabric--inventory--pod-1--node-101]> mocreate 192.168.64.0/18admin@apic1:[fabric--inventory--pod-1--node-101]> moconfig commit
Cisco APIC スタートアップガイド53
使用する前に
管理接続モード
Committing mo'tenants/mgmt/networking/external-routed-networks/l3-outside-vmm/logical-node-profiles/borderLeaf/nodes/[fabric/inventory/pod-1/node-101]/192.168.64.0:18'
All mos committed successfully.admin@apic1:[fabric--inventory--pod-1--node-101]> cd 192.168.64.0:18/admin@apic1:192.168.64.0:18> mocreate 192.168.62.2admin@apic1:192.168.64.0:18> moconfig commitCommitting mo'tenants/mgmt/networking/external-routed-networks/l3-outside-vmm/logical-node-profiles/borderLeaf/nodes/[fabric/inventory/pod-1/node-101]/192.168.64.0:18/192.168.62.2'
All mos committed successfully.admin@apic1:192.168.64.0:18> cd ../../../logical-interface-profiles/admin@apic1:logical-interface-profiles> mocreate portProfile1admin@apic1:logical-interface-profiles> moconfig commitCommitting mo'tenants/mgmt/networking/external-routed-networks/l3-outside-vmm/logical-node-profiles/borderLeaf/logical-interface-profiles/portProfile1'
All mos committed successfully.admin@apic1:logical-interface-profiles> cd portProfile1/routed-interfaces/admin@apic1:routed-interfaces> mocreate topology/pod-1/paths-101/pathep-[eth1/40] ip-address192.168.62.1/30admin@apic1:routed-interfaces> moconfig commitCommitting mo'tenants/mgmt/networking/external-routed-networks/l3-outside-vmm/logical-node-profiles/borderLeaf/logical-interface-profiles/portProfile1/routed-interfaces/[topology/pod-1/paths-101/pathep-[eth1/40]]'
All mos committed successfully.admin@apic1:routed-interfaces> cd ../../../../../admin@apic1:l3-outside-vmm> moset private-network inbadmin@apic1:l3-outside-vmm> moconfig commitCommitting mo 'tenants/mgmt/networking/external-routed-networks/l3-outside-vmm'
All mos committed successfully.admin@apic1:l3-outside-vmm>
管理接続の検証
この検証プロセスは、レイヤ 2とレイヤ 3の両方のモードに適用でき、APICGUI、RESTAPI、または CLIを使用して確立された接続の確認に使用できます。
管理接続の確立手順を完了した後、コンソールにログインします。到達可能な vCenterの IPアドレス(例、192.168.81.2)に対し、pingを実行して成功することを確認します。この操作で、ポリシーが正常に適用されたことが示されます。
VM 管理システムの接続
仮想マシンのネットワーキングポリシーの設定
APICは、サードパーティVM管理システム(VMware vCenterなど)と統合化することによって、ACIのメリットを仮想化インフラストラクチャに拡張します。 APICは、VM管理システム内のACIポリシーを管理者が使用できるようにします。
Cisco APIC スタートアップガイド54
使用する前に
VM 管理システムの接続
VM 管理システムについて
このマニュアルは、vCenterとの統合に必要な APICの設定について説明します。 VMwareコンポーネントの設定手順については、VMwareのマニュアルを参照してください。
Cisco Application Virtual Switch with the Cisco APICのインストールおよび設定方法については、次のマニュアルを参照してください。
(注)
•『Installing and Upgrading the Cisco Application Virtual Switch with the Cisco APIC』
•『Installing and Upgrading the Cisco Application Virtual Switch with the Cisco APIC』
以下は、VM管理システムの用語の説明です。
• VMコントローラは、VMware vCenter、VMware vShield、Microsoft Systems Center VirtualMachine Manager(SCVMM)などの外部仮想マシンの管理エンティティです。 APICは、コントローラと通信し、仮想ワークロードに適用されるネットワークポリシーを公開します。
VMコントローラの管理者は、APIC管理者に VMコントローラの認証クレデンシャルを提供します。同じタイプの複数のコントローラが同じクレデンシャルを使用できます。
•クレデンシャルは、VMコントローラと通信するための認証クレデンシャルを表します。複数のコントローラが同じクレデンシャルを使用できます。
•仮想マシンのモビリティドメイン(vCenterのモビリティドメイン)は、同様のネットワーキングポリシー要件を持つVMコントローラのグループです。この必須コンテナは、VLANプールなどのためのポリシー、サーバ/ネットワークMTUポリシー、またはサーバ/ネットワークアクセス LACPポリシーを持つ 1つ以上の VMコントローラを保持します。エンドポイントグループがvCenterドメインに関連付けられると、ネットワークポリシーがvCenterドメイン内のすべての VMコントローラにプッシュされます。
•プールは、トラフィックのカプセル化 IDの範囲を表します(たとえば、VLAN ID、VNID、マルチキャストアドレスなど)。プールは共有リソースで、VMMなどの複数のドメインおよびレイヤ 4~レイヤ 7のサービスで消費できます。リーフスイッチは、重複した VLANプールをサポートしていません。異なる重複した VLANプールを同一の接続可能エンティティプロファイル(AEP)と関連付けることはできません。VLANベースのプールには、次の 2種類があります。
•ダイナミックプール:APICによって内部的に管理され、エンドポイントグループ(EPG)のVLANを割り当てます。 vCenterドメインはダイナミックプールのみに関連付けることができます。
•スタティックプール:1つ以上の EPGがドメインに関連付けられ、そのドメインはVLANのスタティック範囲に関連付けられます。 VLANのその範囲内に静的に展開された EPGを設定する必要があります。
Cisco APIC スタートアップガイド55
使用する前に
VM 管理システムについて
接続可能エンティティプロファイルについて
接続エンティティプロファイル
ACIファブリックにより、リーフポートを通して baremetalサーバ、ハイパーバイザ、レイヤ 2スイッチ(たとえば、Cisco UCSファブリックインターコネクト)、レイヤ 3ルータ(たとえば、Cisco Nexus 7000シリーズスイッチ)などのさまざまな外部エンティティに接続する複数の接続ポイントが提供されます。 これらの接続ポイントは、リーフスイッチ上の物理ポート、ポート
チャネル、または仮想ポートチャネル(vPC)にすることができます。
接続可能エンティティプロファイル(AEP)は、同様のインフラストラクチャポリシー要件を持つ外部エンティティのグループを表します。インフラストラクチャポリシーは、物理インター
フェイスポリシーで構成され、たとえば Cisco Discovery Protocol(CDP)、Link Layer DiscoveryProtocol(LLDP)、最大伝送単位(MTU)、Link Aggregation Control Protocol(LACP)などがあります。
VM管理(VMM)ドメインは、AEPに関連付けられたインターフェイスポリシーグループから物理インターフェイスポリシーを自動的に取得します。
• AEPでオーバーライドポリシーを VMMドメイン用の別の物理インターフェイスポリシーを指定するために使用できます。このポリシーは、ハイパーバイザが中間レイヤ 2ノードを介してリーフスイッチに接続され、異なるポリシーがリーフスイッチおよびハイパーバイ
ザの物理ポートで要求される場合に役立ちます。たとえば、リーフスイッチとレイヤ2ノード間で LACPを設定できます。同時に、AEPオーバーライドポリシーで LACPをディセーブルにすることで、ハイパーバイザとレイヤ 2スイッチ間の LACPをディセーブルにできます。
AEPは、リーフスイッチで VLANプールを展開するのに必要です。異なるリーフスイッチ間でカプセル化プール(たとえば VLAN)を再利用することができます。 AEPは、(VMMドメインに関連付けられた)VLANプールの範囲を物理インフラストラクチャに暗黙的に提供します。
(注) • AEPは、リーフ上で VLANプール(および関連 VLAN)をプロビジョニングします。VLANはポートでは実際にイネーブルになっていません。 EPGがポートに展開されていない限り、トラフィックは流れません。
• AEPを使用して VLANプールを展開しないと、EPGがプロビジョニングされても VLANはリーフポートでイネーブルになりません。
◦リーフポートで静的にバインディングしている EPGイベントに基づいて、またはVMware vCenterなどの外部コントローラからの VMイベントに基づいて、特定のVLANがリーフポート上でプロビジョニングされるかイネーブルになります。
•リーフスイッチは、重複した VLANプールをサポートしていません。異なる重複したVLANプールを同一の AEPに関連付けることはできません。
Cisco APIC スタートアップガイド56
使用する前に
接続可能エンティティプロファイルについて
VMM ドメインプロファイルの作成作業例を次に示します。
• VMMドメイン名、コントローラ、および、ユーザクレデンシャルの設定
•接続エンティティプロファイルの作成と VMMドメイン名への関連付け
•プールの設定
•設定された全コントローラとそれらの動作状態の確認
VMM ドメインプロファイルを作成するための前提条件VMMドメインプロファイルを設定するには、次の前提条件を満たす必要があります。
•すべてのノードが検出され、設定されている。
•外部ネットワークへの接続が確立されている。
•レイヤ 2またはレイヤ 3の管理接続が設定されている。
•管理センター(vCenterなど)が、インストールおよび設定されて、使用可能状態にある。
•ホスト名を使用して VMMドメインプロファイルに接続する場合は、DNSサーバポリシーを設定する必要がある。
• vShieldドメインプロファイルを作成する場合は、DHCPサーバポリシーを設定する必要がある。
GUI を使用した vCenter ドメインプロファイルの作成
このタスク例のビデオを視聴するには、Videos Webpageを参照してください。(注)
はじめる前に
VMMドメインプロファイルを作成する前に、APICのインバンド管理ネットワークを使用して外部ネットワークへの接続を確立する必要があります。
Cisco APIC スタートアップガイド57
使用する前に
VMM ドメインプロファイルの作成
手順
ステップ 1 メニューバーで、[VM NETWORKING] > [POLICIES]を選択します。
ステップ 2 [Navigation]ペインで、[VM Provider VMware]を右クリックし、[Create vCenter Domain]をクリックします。
ステップ 3 [Create vCenter Domain]ダイアログボックスで、[Name](productionDC)を入力します。
ステップ 4 [Virtual Switch]フィールドで、該当するオプションボタンをクリックします。このリリースの [VMware vSphere Distributed Switch]を選択します。
(注)
ステップ 5 ]Associated Attachable EntityProfile]フィールドで、ドロップダウンリストから、[Create AttachableEntity Profile]を選択し、VMMドメインの範囲全体にわたるスイッチインターフェイスのリストを設定するために、次の手順を実行します。
このエンティティプロファイルは、ファブリックに接続されているエンティティのポ
リシーを表します。また、このドメインにインフラストラクチャポリシーを提供しま
す。
(注)
a) [Create Attachable Access Entity Profile]ダイアログボックスの [Profile]領域で、[Name]フィールドに、名前(profile1)を入力し、[Next]をクリックします。
b) [Association to Interfaces]領域で、[Interface Policy Group]を展開します。c) [Configured Interface, PC, and VPC]ダイアログボックスの [Configured Interfaces, PC, and VPC]領域で、[Switch Profile]を展開します。
d) [Switches]フィールドで、ドロップダウンリストから、目的のスイッチ ID(101および 102)の隣にあるチェックボックスをオンにします。
e) [Switch Profile Name]フィールドに、名前(swprofile1)を入力します。f) [+]アイコンを展開して、インターフェイスを設定します。g) スイッチのイメージで適切なインターフェイスポート(インターフェイス 1/1、1/2、1/3)を個別に選択します。
[Interfaces]フィールドに、対応するインターフェイスが自動入力されます。h) [Interface Selector Name]フィールドに、名前(selector1)を入力します。i) [Interface PolicyGroup]フィールドで、ドロップダウンリストから、[Create Interface PolicyGroup]を選択します。
j) [CreateAccess Port PolicyGroup]ダイアログボックスで、[Name]フィールドに、名前(group1)を入力し、[Submit]をクリックします。
k) [Save]をクリックして、もう一度 [Save]をクリックします。l) [Submit]をクリックします。m) [Select the interfaces]領域で、[Select Interfaces]の下の [All]オプションボタンをクリックします。
n) [vSwitch Policies]フィールドで、[Inherit]オプションボタンが選択されていることを確認します。
o) [Finish]をクリックします。
[Attach Entity Profile]が選択され、[AssociatedAttachable Entity Profile]フィールドに表示されます。
ステップ 6 このステップは、この vCenterサーバのもとに作成される、すべてのポートグループおよび EPGsに VLANの範囲を提供します。
(注)
Cisco APIC スタートアップガイド58
使用する前に
GUI を使用した vCenter ドメインプロファイルの作成
[VLAN Pool]ドロップダウンリストで、[Create VLAN Pool]を選択します。 [Create VLAN Pool]ダイアログボックスで、次の操作を実行します。
a) Name(VlanRange)を入力します。b) [Allocation Mode]フィールドで、[Dynamic Allocation]が選択されていることを確認します。c) [Encap Blocks]を展開して VLANブロックを追加します。 [Create Ranges]ダイアログボックスで、VLANの範囲を入力します。
少なくとも 200の VLAN番号の範囲を推奨します。 VLAN 4は内部使用が目的のため、この VALNを含む範囲を定義しないでください。
(注)
d) [OK]をクリックし、[Submit]をクリックします。[VLAN Pool]フィールドに VlanRange-dynamicが表示されます。
ステップ 7 [vCenter Credentials]クレデンシャルを展開します。 [Create vCenter Credential]ダイアログボックスで、ユーザアカウントを作成するために、次の操作を実行します。
a) [Name]フィールドに、名前を入力します。(admin)b) [Username]フィールドにユーザ名を入力します。(administrator)ユーザ名は、vCenterの管理者としてログオンするためのクレデンシャルである必要があります。
c) [Password]フィールドにパスワードを入力します。パスワードは、vCenterの管理者としてログオンするためのクレデンシャルである必要があります。
d) パスワードを確認し、[OK]をクリックします。e) [vCenter/vShield]を展開します。 [Create vCenter/vShieldController]ダイアログボックスで、[Type]が [vCenter]であることを確認します。
f) [Name]フィールドに名前を入力します。(vcenter1)g) [Host Name or IP Address]フィールドに、vCenterの IPアドレスを入力します。h) [Stats Collection]フィールドで、イネーブルにするものについて適切なオプションボタンをクリックします。
i) [Datacenter]フィールドに、vCenterにあらかじめ設定したデータセンター名を入力します。(Datacenter1)
j) [Management EPG]フィールドで、ドロップダウンリストから、 VMMコントローラプロファイルの該当する管理 EPGを選択します。(vmmMgmt)
k) [Associated Credentials]ダイアログボックスで、ドロップダウンリストから、関連するユーザを選択します(admin)。[OK]をクリックします。
l) [Create vCenter Domain]ダイアログボックスで、[Submit]をクリックします。
ステップ 8 次の手順に従って、新しいドメインとプロファイルを確認してください。
a) メニューバーで、[VM Networking] > [Inventory]を選択します。b) [Navigation]ペインで、[Refresh]アイコンをクリックし、[VMware]を展開して、[productionDC]
> [vcenter1]をクリックします。
[Navigation]ペインで、VMMドメイン名を参照して、コントローラがオンラインであることを確認します。
Cisco APIC スタートアップガイド59
使用する前に
GUI を使用した vCenter ドメインプロファイルの作成
[Work]ペインに、vcenter1のプロパティが動作状態を含めて表示されます。この表示情報で、APICから vCenterサーバへの接続が確立されたことと、インベントリが使用可能であることを確認します。
REST API を使用した vCenter ドメインプロファイルの作成
手順
ステップ 1 VMMドメイン名、コントローラ、およびユーザクレデンシャルを設定します。
例:https://<api-ip>/api/node/mo/.xml
<polUni><vmmProvP vendor="VMware"><!-- VMM Domain --><vmmDomP name="productionDC"><!-- Association to VLAN Namespace --><infraRsVlanNs tDn="uni/infra/vlanns-VlanRange-dynamic"/><!-- Credentials for vCenter --><vmmUsrAccP name="admin" usr="administrator" pwd="admin" /><!-- vCenter IP address --><vmmCtrlrP name="vcenter1" hostOrIp="<vcenter ip address>" rootContName="<Datacenter Namein vCenter>"><vmmRsAcc tDn="uni/vmmp-VMware/dom-productionDC/usracc-admin"/></vmmCtrlrP></vmmDomP></vmmProvP>
ステップ 2 VLANの名前空間配置のための接続可能エンティティプロファイルを作成します。
例:https://<apic-ip>/api/policymgr/mo/uni.xml<infraInfra><infraAttEntityP name="profile1"><infraRsDomP tDn="uni/vmmp-VMware/dom-productionDC"/></infraAttEntityP></infraInfra>
ステップ 3 インターフェイスポリシーグループおよびセレクタを作成します。
例:https://<apic-ip>/api/policymgr/mo/uni.xml
<infraInfra><infraAccPortP name="swprofile1ifselector">
<infraHPortS name="selector1" type="range"><infraPortBlk name="blk"fromCard="1" toCard="1" fromPort="1" toPort="3"></infraPortBlk>
<infraRsAccBaseGrp tDn="uni/infra/funcprof/accportgrp-group1" /></infraHPortS>
</infraAccPortP>
<infraFuncP>
Cisco APIC スタートアップガイド60
使用する前に
REST API を使用した vCenter ドメインプロファイルの作成
<infraAccPortGrp name="group1"><infraRsAttEntP tDn="uni/infra/attentp-profile1" />
</infraAccPortGrp></infraFuncP>
</infraInfra>
ステップ 4 スイッチプロファイルを作成します。
例:https://<apic-ip>/api/policymgr/mo/uni.xml
<infraInfra><infraNodeP name="swprofile1">
<infraLeafS name="selectorswprofile11718" type="range"><infraNodeBlk name="single0" from_="101" to_="101"/><infraNodeBlk name="single1" from_="102" to_="102"/>
</infraLeafS><infraRsAccPortP tDn="uni/infra/accportprof-swprofile1ifselector"/>
</infraNodeP></infraInfra>
ステップ 5 VLANプールを設定します。
例:https://<apic-ip>/api/node/mo/.xml
<polUni><infraInfra><fvnsVlanInstP name="VlanRange" allocMode="dynamic">
<fvnsEncapBlk name="encap" from="vlan-100" to="vlan-400"/></fvnsVlanInstP></infraInfra></polUni>
ステップ 6 設定されたすべてのコントローラとそれらの動作状態を確認します。
例:GET:https://<apic-ip>/api/node/class/compCtrlr.xml?<imdata><compCtrlr apiVer="5.1" ctrlrPKey="uni/vmmp-VMware/dom-productionDC/ctrlr-vcenter1"deployIssues="" descr="" dn="comp/prov-VMware/ctrlr-productionDC-vcenter1" domName="productionDC"hostOrIp="esx1" mode="default" model="VMware vCenter Server 5.1.0 build-756313"name="vcenter1" operSt="online" port="0" pwd="" remoteOperIssues="" scope="vm"usr="administrator" vendor="VMware, Inc." ... /></imdata>
ステップ 7 VMMドメイン「ProductionDC」下の「vcenter1」という名前の vCenter用ハイパーバイザと VMを確認します。
例:GET:https://<apic-ip>/api/node/mo/comp/prov-VMware/ctrlr-productionDC-vcenter1.xml?query-target=children
<imdata><compHv descr="" dn="comp/prov-VMware/ctrlr-productionDC-vcenter1/hv-host-4832" name="esx1"state="poweredOn" type="hv" ... /><compVm descr="" dn="comp/prov-VMware/ctrlr-productionDC-vcenter1/vm-vm-5531" name="AppVM1"state="poweredOff" type="virt" .../><hvsLNode dn="comp/prov-VMware/ctrlr-productionDC-vcenter1/sw-dvs-5646" lacpEnable="yes"lacpMode="passive" ldpConfigOperation="both" ldpConfigProtocol="lldp" maxMtu="1500"mode="default" name="apicVswitch" .../></imdata>
Cisco APIC スタートアップガイド61
使用する前に
REST API を使用した vCenter ドメインプロファイルの作成
CLI を使用した vCenter ドメインプロファイルの作成
手順
ステップ 1 CLIで、ディレクトリを /aciに変更します。
例:admin@apic1:~> cd /aci
ステップ 2 VMMドメイン名、コントローラ、およびユーザクレデンシャルを設定します。
例:admin@apic1:~> cd /aci/vm-networking/policies/vmware/vmm-domains/admin@apic1:vmm-domains> mocreate productionDCadmin@apic1:vmm-domains> moconfig commitCommitting mo 'vm-networking/policies/vmware/vmm-domains/productionDC'
All mos committed successfully.admin@apic1:vmm-domains> cd productionDC/admin@apic1:productionDC> moset vlan-poolfabric/access-policies/pools/vlan/vlanRange-dynamic-allocationadmin@apic1:productionDC> moconfig commitCommitting mo 'vm-networking/policies/vmware/vmm-domains/productionDC'
All mos committed successfully.admin@apic1:productionDC>admin@apic1:productionDC> cd/aci/vm-networking/policies/vmware/vmm-domains/productionDC/controllers/admin@apic1:controllers> mocreate vcenter1admin@apic1:controllers> cd vcenter1admin@apic1:vcenter1> moset host-name-or-ip-address 192.168.81.2admin@apic1:vcenter1> moset datacenter Datacenter1admin@apic1:vcenter1> moset management-epgtenants/mgmt/networking/external-routed-networks/l3-outside-extMgmt/networks/extNetworkadmin@apic1:vcenter1> moset associated-credentialuni/vmmp-VMware/dom-productionDC/usracc-adminadmin@apic1:vcenter1> moconfig commitCommitting mo 'vm-networking/policies/vmware/vmm-domains/productionDC/controllers/vcenter1'
All mos committed successfully.admin@apic1:vcenter1>admin@apic1:vcenter1> cd/aci/vm-networking/policies/vmware/vmm-domains/productionDC/credentialsadmin@apic1:credentials> mocreate adminadmin@apic1:credentials> moconfig commitCommitting mo 'vm-networking/policies/vmware/vmm-domains/productionDC/credentials/admin'
All mos committed successfully.admin@apic1:credentials> cd admin/admin@apic1:admin> moset username administratoradmin@apic1:admin> moset passwordPassword: <admin>Verify: <admin>admin@apic1:admin> moconfig commitCommitting mo 'vm-networking/policies/vmware/vmm-domains/productionDC/credentials/admin'
All mos committed successfully.
Cisco APIC スタートアップガイド62
使用する前に
CLI を使用した vCenter ドメインプロファイルの作成
ステップ 3 VLANの名前空間配置のための接続可能エンティティプロファイルを作成します。
例:admin@apic1:~> cd /aci/fabric/access-policies/global-policies/attachable-entity-profile/admin@apic1:attachable-entity-profile> mocreate profile1admin@apic1:attachable-entity-profile> moconfig commitCommitting mo 'fabric/access-policies/global-policies/attachable-entity-profile/profile1'
All mos committed successfully.admin@apic1:attachable-entity-profile> cd profile1/admin@apic1:profile1> cd domains-associated-to-interfaces/admin@apic1:domains-associated-to-interfaces> mocreate uni/vmmp-VMware/dom-productionDCadmin@apic1:domains-associated-to-interfaces> moconfig commitCommitting mo'fabric/access-policies/global-policies/attachable-entity-profile/profile1/domains-associated-to-interfaces/[vm-networking/policies/vmware/vmm-domains/productionDC]'
All mos committed successfully.admin@apic1:domains-associated-to-interfaces>
ステップ 4 インターフェイスポリシーグループおよびセレクタを作成します。
例:admin@apic1:~> cd /aci/fabric/access-policies/interface-policies/policy-groups/interfaceadmin@apic1:interface> mocreate group1admin@apic1:interface> moconfig commitCommitting mo 'fabric/access-policies/interface-policies/policy-groups/interface/group1'
All mos committed successfully.admin@apic1:interface> cd group1admin@apic1:group1> moset attached-entity-profilefabric/access-policies/global-policies/attachable-entity-profile/profile1admin@apic1:group1> moconfig commitCommitting mo 'fabric/access-policies/interface-policies/policy-groups/interface/group1'
All mos committed successfully.admin@apic1:group1>admin@apic1:group1> cd ../../../admin@apic1:interface-policies> cd profiles/interfaces/admin@apic1:interfaces> mocreate swprofile1ifselectoradmin@apic1:interfaces> cd swprofile1ifselectoradmin@apic1:swprofile1ifselector> moset description 'GUI Interface Selector Generated PortPProfile swprofile1'admin@apic1:swprofile1ifselector> moconfig commitCommitting mo'fabric/access-policies/interface-policies/profiles/interfaces/swprofile1ifselector'
All mos committed successfully.admin@apic1:swprofile1ifselector> mocreate selector1 rangeadmin@apic1:swprofile1ifselector> cd selector1-rangeadmin@apic1:selector1-range> moset policy-groupfabric/access-policies/interface-policies/policy-groups/interface/group1admin@apic1:selector1-range> mocreate block1admin@apic1:selector1-range> cd block1admin@apic1:block1> moset from-port 1admin@apic1:block1> moset to-port 3admin@apic1:block1> moconfig commitCommitting mo'fabric/access-policies/interface-policies/profiles/interfaces/swprofile1ifselector/selector1-range'Committing mo'fabric/access-policies/interface-policies/profiles/interfaces/swprofile1ifselector/selector1-range/block1'
All mos committed successfully.admin@apic1:block1>
ステップ 5 スイッチプロファイルを作成します。
Cisco APIC スタートアップガイド63
使用する前に
CLI を使用した vCenter ドメインプロファイルの作成
例:admin@apic1:~> cd /aci/fabric/access-policies/switch-policies/profiles/admin@apic1:profiles> mocreate swprofile1admin@apic1:profiles> cd swprofile1/admin@apic1:swprofile1> moset description 'GUI Interface Selector Generated Profile:swprofile1'admin@apic1:swprofile1> cd switch-selectors/admin@apic1:switch-selectors> mocreate selectorswprofile11718 rangeadmin@apic1:switch-selectors> cd selectorswprofile11718-range/admin@apic1:selectorswprofile11718-range> mocreate single0admin@apic1:selectorswprofile11718-range> cd single0/admin@apic1:single0> moset from 101admin@apic1:single0> moset to 101admin@apic1:single0> cd ../admin@apic1:selectorswprofile11718-range> mocreate single1admin@apic1:selectorswprofile11718-range> cd single1/admin@apic1:single1> moset from 102admin@apic1:single1> moset to 102admin@apic1:single1> moconfig commitCommitting mo 'fabric/access-policies/switch-policies/profiles/swprofile1'Committing mo'fabric/access-policies/switch-policies/profiles/swprofile1/switch-selectors/selectorswprofile11718-range'Committing mo'fabric/access-policies/switch-policies/profiles/swprofile1/switch-selectors/selectorswprofile11718-range/single1'Committing mo'fabric/access-policies/switch-policies/profiles/swprofile1/switch-selectors/selectorswprofile11718-range/single0'
All mos committed successfully.admin@apic1:single1> cd ../../../admin@apic1:swprofile1> cd associated-interface-selector-profiles/admin@apic1:associated-interface-selector-profiles> mocreatefabric/access-policies/interface-policies/profiles/interfaces/swprofile1ifselectoradmin@apic1:associated-interface-selector-profiles> moconfig commitCommitting mo'fabric/access-policies/switch-policies/profiles/swprofile1/associated-interface-selector-profiles/[fabric/access-policies/interface-policies/profiles/interfaces/swprofile1ifselector]'
All mos committed successfully.admin@apic1:associated-interface-selector-profiles>
ステップ 6 VLANプールを設定します。
例:admin@apic1:~> cd /aci/fabric/access-policies/pools/vlan/admin@apic1:vlan> mocreate VlanRange dynamic-allocationadmin@apic1:vlan> moconfig commitCommitting mo 'fabric/access-policies/pools/vlan/VlanRange-dynamic-allocation'
All mos committed successfully.admin@apic1:vlan> cd VlanRange-dynamic-allocation/encap-blocks/admin@apic1:encap-blocks> mocreate vlan100 vlan400admin@apic1:encap-blocks> moconfig commitCommitting mo'fabric/access-policies/pools/vlan/VlanRange-dynamic-allocation/encap-blocks/vlan100-vlan400'
All mos committed successfully.admin@apic1:encap-blocks>
Cisco APIC スタートアップガイド64
使用する前に
CLI を使用した vCenter ドメインプロファイルの作成
GUI を使用した vCenter および vShield ドメインプロファイルの作成
このタスク例のビデオを視聴するには、Videos Webpageを参照してください。(注)
手順
ステップ 1 メニューバーで、[VM NETWORKING] > [Policies]を選択します。
ステップ 2 [Navigation]ペインで、[VM Provider VMware]を右クリックし、[Create vCenter Domain]をクリックします。
ステップ 3 [Create vCenter Domain]ダイアログボックスで、[Name](productionDC)を入力します。
ステップ 4 [Virtual Switch]フィールドで、該当するオプションボタンをクリックします。[VMware vSphere Distributed Switch]を選択します。
(注)
ステップ 5 [AssociatedAttachable Entity Profile]ドロップダウンリストで、[Create Attachable Access Entity Profile]を選択し、次の操作を実行します。
a) [Create Attachable Access Entity Profile]ダイアログボックスの [Profile]領域で、[Name]フィールドに名前(profile1)を入力します。
b) [Enable InfrastructureVLAN]フィールドで、チェックボックスをオンにします。 [Next]をクリックします。
c) [Association to Interfaces]領域で、[Interface Policy Group]を展開します。d) [Configured Switch Interfaces]領域で、[Switch Profile]を展開します。e) [Switches]フィールドで、ドロップダウンリストのスイッチ ID(101および 102)にチェックを入れます。
f) [Switch Profile Name]フィールドに、名前(swprofile1)を入力します。g) [+]アイコンを展開して、インターフェイスを設定します。h) スイッチのイメージで適切なインターフェイスポート(インターフェイス 1/1、1/2、1/3)を個別に選択します。
[Interfaces]フィールドには、それに対応してサーバが接続されるインターフェイスが自動入力されます。
i) [Interface Selector Name]フィールドに、名前(selector1)を入力します。j) [Interface PolicyGroup]フィールドで、ドロップダウンリストから、[Create Interface PolicyGroup]を選択します。
k) [CreateAccess Port PolicyGroup]ダイアログボックスで、[Name]フィールドに、名前(group1)を入力し、[Submit]をクリックします。
l) [Save]をクリックして、もう一度 [Save]をクリックします。m) [Submit]をクリックします。n) [Select the interfaces]領域で、[Select Interfaces]の下の [All]オプションボタンをクリックします。
o) [vSwitch Policies]で [Inherit]オプションボタンが選択されていることを確認します。
Cisco APIC スタートアップガイド65
使用する前に
GUI を使用した vCenter および vShield ドメインプロファイルの作成
p) [Finish]をクリックします。接続エンティティプロファイルが選択され、[Associated Attachable Entity Profile]フィールドに表示されます。
ステップ 6 このステップは、すべてのポートグループと、このサーバのもとに作成されるEPGsにVLANの範囲を提供します。
(注)
[VLAN Pool]ドロップダウンリストで、[Create VLAN Pool]を選択します。 [Create VLAN Pool]ダイアログボックスで、次の操作を実行します。
a) [Name]に名前(vlan1)を入力します。b) [Allocation Mode]フィールドで、[Dynamic Allocation]が選択されていることを確認します。c) [Encap Blocks]を展開して VLANブロックを追加します。 [Create Ranges]ダイアログボックスで、VLANの範囲を入力します。
少なくとも 200個の VLAN番号の範囲を使用することを推奨します。
(注)
d) [OK]をクリックし、[Submit]をクリックします。
ステップ 7 [vCenter Credential]を展開して、ユーザアカウントを作成するために [Create vCenter Credential]ダイアログボックスで、次の操作を実行します。
a) [Name]フィールドに、名前を入力します。(vcenter_user)b) [Username]フィールドにユーザ名を入力します。(administrator)ユーザ名は、vCenterの管理者としてログオンするためのクレデンシャルである必要があります。
c) [Password]フィールドにパスワードを入力します。パスワードは、vCenterの管理者としてログオンするためのクレデンシャルである必要があります。
d) パスワードを確認し、[OK]をクリックします。
ステップ 8 [vCenter Credentials]をもう一度展開します。 [Create vCenter Credential]ダイアログボックスで、ユーザアカウントを作成するために、次の操作を実行します。
a) [Name]フィールドに、名前を入力します。(vshield_user)b) [Username]フィールドにユーザ名を入力します。(admin)ユーザ名は vShield Managerにアクセスするためのクレデンシャルである必要があります。
c) [Password]フィールドにパスワードを入力します。パスワードは vShield Managerにアクセスするためのクレデンシャルである必要があります。
d) パスワードを確認し、[OK]をクリックします。
ステップ 9 [vCenter/vShield]を展開し、次の作業を実行します。a) [Create vCenter/vShield Controller]ダイアログボックスで、[Type]フィールドの [vCenter + vShield]オプションボタンをクリックします。
b) vCenter Controllerの [Name]フィールドに名前を入力します。(vcenter1)c) vCenter Controllerの [Address]フィールドに、使用する vCenterの IPアドレスを入力します。d) [Stats Collection]フィールドで、適切なオプションボタンをクリックします。e) [Datacenter]フィールドに、必要に応じて、データセンターを入力します。
Cisco APIC スタートアップガイド66
使用する前に
GUI を使用した vCenter および vShield ドメインプロファイルの作成
f) vCenter Controllerの [Management EPG]フィールドで、ドロップダウンリストから、VMMコントローラプロファイルの適切な管理 EPGを選択します。
g) [Associated Credential]フィールドで、ドロップダウンリストから、関連するユーザを選択します。(vcenter_user)
h) vShield Controllerの [Name]フィールドに名前を入力します。(vshield1)i) vShield Controllerの [Address]フィールドに、使用する vShieldの IPアドレスを入力します。j) vShield Controllerの [Management EPG]フィールドで、ドロップダウンリストから、VMMコントローラプロファイルの適切な管理 EPGを選択します。
k) [Associated Credential]フィールドで、ドロップダウンリストから、関連するユーザを選択します。(vshield_user)
l) [VXLAN Pool]フィールドで、ドロップダウンリストから、[Create VXLAN Pool]を選択します。
m) [Create VXLAN Pool]ダイアログボックスで、[Name]フィールドにプール名を入力します。(vxlan1)
n) [Encap Blocks]を展開します。 [Create Ranges]ダイアログボックスで、ブロックの範囲を指定し、[OK]をクリックし、[Submit]をクリックします。
o) [Multicast Address Pool]を展開し、[CreateMulticast Address Pool]を選択します。 [CreateMulticastAddress Pool]ダイアログボックスで、[Name]フィールドに、プール名を入力します。(multicast1)
p) [Address Blocks]を展開します。 [Create Multicast Address Block]ダイアログボックスで、[IPRange]フィールドにアドレスブロックの範囲を入力します。 [OK]をクリックして、[Submit]をクリックします。
q) [Create vCenter/vShield Controller]ダイアログボックスで、[OK]をクリックします。 [CreatevCenter Domain]ダイアログボックスで、[Submit]をクリックします。
ステップ 10 次の手順に従って、新しいドメインとプロファイルを確認します。
ポリシーがサブミットされた後、コントローラが動作可能であることを保証するには、
vCenterの管理者は、分散スイッチにホストを追加する必要があります。(注)
a) メニューバーで、[VM Networking] > [Inventory]を選択します。b) [Navigation]ペインで、[Refresh]アイコンをクリックし、[VMware]を展開して vCenterドメイン名を展開します。
c) [Navigation]ペインで、コントローラがオンラインであることを確認するためにコントローラ名をクリックします。
[Work]ペインで、動作状態を含むプロパティが表示されます。表示された情報によって、APICコントローラからサーバへの接続が確立されていること、およびインベントリが使用可能であ
ることを確認します。
Cisco APIC スタートアップガイド67
使用する前に
GUI を使用した vCenter および vShield ドメインプロファイルの作成
REST API を使用した vCenter および vShield のドメインプロファイルの作成
手順
ステップ 1 VLANプールを作成します。
例:https://<apic-ip>/api/policymgr/mo/uni.xml
<polUni><infraInfra>
<fvnsVlanInstP name="vlan1" allocMode="dynamic"><fvnsEncapBlk name="encap" from="vlan-100" to="vlan-400"/>
</fvnsVlanInstP></infraInfra>
</polUni>
ステップ 2 vCenterのドメインを作成し、VLANプールを割り当てます。
例:https://<apic-ip>/api/policymgr/mo/uni.xml<vmmProvP dn="uni/vmmp-VMware"><vmmDomP name="productionDC"><infraRsVlanNs tDn="uni/infra/vlanns-[vlan1]-dynamic"/></vmmDomP></vmmProvP>
ステップ 3 インフラストラクチャ VLAN導入用の接続可能エンティティプロファイルを作成します。
例:https://<apic-ip>/api/policymgr/mo/uni.xml
<infraInfra><infraAttEntityP name="profile1">
<infraRsDomP tDn="uni/vmmp-VMware/dom-productionDC"/><infraProvAcc name="provfunc"/>
</infraAttEntityP></infraInfra>
ステップ 4 インターフェイスポリシーグループおよびセレクタを作成します。
例:https://<apic-ip>/api/policymgr/mo/uni.xml
<infraInfra><infraAccPortP name="swprofile1ifselector">
<infraHPortS name="selector1" type="range"><infraPortBlk name="blk"fromCard="1" toCard="1" fromPort="1" toPort="3"></infraPortBlk>
<infraRsAccBaseGrp tDn="uni/infra/funcprof/accportgrp-group1" /></infraHPortS>
</infraAccPortP>
<infraFuncP><infraAccPortGrp name="group1">
<infraRsAttEntP tDn="uni/infra/attentp-profile1" /></infraAccPortGrp>
Cisco APIC スタートアップガイド68
使用する前に
REST API を使用した vCenter および vShield のドメインプロファイルの作成
</infraFuncP></infraInfra>
ステップ 5 スイッチプロファイルを作成します。
例:https://<apic-ip>/api/policymgr/mo/uni.xml
<infraInfra><infraNodeP name="swprofile1">
<infraLeafS name="selectorswprofile11718" type="range"><infraNodeBlk name="single0" from_="101" to_="101"/><infraNodeBlk name="single1" from_="102" to_="102"/>
</infraLeafS><infraRsAccPortP tDn="uni/infra/accportprof-swprofile1ifselector"/>
</infraNodeP></infraInfra>
ステップ 6 コントローラのクレデンシャルを作成します。
例:https://<apic-ip>/api/policymgr/mo/uni.xml
<vmmProvP dn="uni/vmmp-VMware"><vmmDomP name="productionDC">
<vmmUsrAccP name="vcenter_user" usr="administrator" pwd="default"/><vmmUsrAccP name="vshield_user" usr="admin" pwd="default"/>
</vmmDomP></vmmProvP>
ステップ 7 vCenterコントローラを作成します。
例:<vmmProvP dn="uni/vmmp-VMware">
<vmmDomP name="productionDC"><vmmCtrlrP name="vcenter1" hostOrIp="172.23.50.85">
<vmmRsAcc tDn="uni/vmmp-VMware/dom-productionDC/usracc-vcenter_user"/></vmmCtrlrP>
</vmmDomP></vmmProvP>
ステップ 8 VXLANプールおよびマルチキャストアドレス範囲を作成します。
例:https://<apic-ip>/api/policymgr/mo/uni.xml
<infraInfra><fvnsVxlanInstP name="vxlan1">
<fvnsEncapBlk name="encap" from="vxlan-6000" to="vxlan-6200"/></fvnsVxlanInstP><fvnsMcastAddrInstP name="multicast1">
<fvnsMcastAddrBlk name="mcast" from="224.0.0.1" to="224.0.0.20"/></fvnsMcastAddrInstP>
</infraInfra>
ステップ 9 vShieldコントローラを作成します。
例:https://<apic-ip>/api/policymgr/mo/uni.xml
<vmmProvP dn="uni/vmmp-VMware"><vmmDomP name="productionDC">
<vmmCtrlrP name="vshield1" hostOrIp="172.23.54.62" scope="iaas"><vmmRsAcc tDn="uni/vmmp-VMware/dom-productionDC/usracc-vshield_user"/><vmmRsVmmCtrlrP tDn="uni/vmmp-VMware/dom-productionDC/ctrlr-vcenter1"/><vmmRsVxlanNs tDn="uni/infra/vxlanns-vxlan1"/>
Cisco APIC スタートアップガイド69
使用する前に
REST API を使用した vCenter および vShield のドメインプロファイルの作成
<vmmRsMcastAddrNs tDn="uni/infra/maddrns-multicast1"/></vmmCtrlrP>
</vmmDomP></vmmProvP>
CLI を使用した vCenter および vShield ドメインプロファイルの作成
手順
ステップ 1 CLIで、ディレクトリを /aciに変更します。
例:admin@apic1:~> cd /aci
ステップ 2 VLANプールを作成します。
例:admin@apic1:~> cd fabric/access-policies/pools/vlanadmin@apic1:vlan> mocreate vlan1 dynamic-allocationadmin@apic1:vlan> moconfig commitCommitting mo 'fabric/access-policies/pools/vlan/vlan1-dynamic-allocation'
All mos committed successfully.admin@apic1:vlan> cd vlan1-dynamic-allocationadmin@apic1:vlan1-dynamic-allocation> cd encap-blocksadmin@apic1:encap-blocks> mocreate vlan-100 vlan-400admin@apic1:encap-blocks> moconfig commitCommitting mo'fabric/access-policies/pools/vlan/vlan1-dynamic-allocation/encap-blocks/vlan100-vlan400'
All mos committed successfully.admin@apic1:encap-blocks>
ステップ 3 vCenterのドメインを作成し、ドメインに VLANプールを割り当てます。
例:admin@apic1:~> cd /aciadmin@apic1:~> cd vm-networking/policies/vmware/vmm-domainsadmin@apic1:vmm-domains> mocreate productionDCadmin@apic1:vmm-domains> cd productionDCadmin@apic1:productionDC> moset vlan-poolfabric/access-policies/pools/vlan/vlan1-dynamic-allocationadmin@apic1:productionDC> moconfig commitCommitting mo 'vm-networking/policies/vmware/vmm-domains/productionDC'
All mos committed successfully.admin@apic1:productionDC>
ステップ 4 インフラストラクチャ VLAN導入用の接続可能エンティティプロファイルを作成します。
例:admin@apic1:~> cd /aciadmin@apic1:~> cd fabric/access-policies/global-policies/attachable-entity-profileadmin@apic1:attachable-entity-profile> mocreate profile1admin@apic1:attachable-entity-profile> cd profile1admin@apic1:profile1> cd domains-associated-to-interfacesadmin@apic1:domains-associated-to-interfaces> mocreate uni/vmmp-VMware/dom-productionDC
Cisco APIC スタートアップガイド70
使用する前に
CLI を使用した vCenter および vShield ドメインプロファイルの作成
admin@apic1:domains-associated-to-interfaces> moconfig commitCommitting mo 'fabric/access-policies/global-policies/attachable-entity-profile/profile1'Committing mo 'fabric/access-policies/global-policies/attachable-entity-profile/profile1/domains-associated-to-interfaces/[uni/vmmp-VMware/dom-productionDC]'
All mos committed successfully.admin@apic1:domains-associated-to-interfaces> cd ..admin@apic1:profile1> cd vlan-encapsulation-for-vxlan-trafficadmin@apic1:vlan-encapsulation-for-vxlan-traffic> mocreate provfuncadmin@apic1:vlan-encapsulation-for-vxlan-traffic> moconfig commitCommitting mo 'fabric/access-policies/global-policies/attachable-entity-profile/profile1/vlan-encapsulation-for-vxlan-traffic/provfunc'
All mos committed successfully.admin@apic1:vlan-encapsulation-for-vxlan-traffic>
ステップ 5 インターフェイスポリシーグループおよびセレクタを作成します。
例:admin@apic1:~> cd /aciadmin@apic1:~> cd fabric/access-policies/interface-policiesadmin@apic1:interface-policies> cd policy-groups/interfaceadmin@apic1:interface> mocreate group1admin@apic1:interface> cd group1admin@apic1:group1> moset attached-entity-profile fabric/access-policies/global-policies/attachable-entity-profile/profile1admin@apic1:group1> cd ../../..admin@apic1:interface-policies> cd profiles/interfacesadmin@apic1:interfaces> mocreate swprofile1ifselectoradmin@apic1:interfaces> cd swprofile1ifselectoradmin@apic1:swprofile1ifselector> moset description 'GUI Interface Selector Generated PortPProfile: swprofile1'admin@apic1:swprofile1ifselector> mocreate selector1 rangeadmin@apic1:swprofile1ifselector> cd selector1-rangeadmin@apic1:selector1-range> moset policy-groupfabric/access-policies/interface-policies/policy-groups/interface/group1admin@apic1:selector1-range> mocreate block1admin@apic1:selector1-range> cd block1admin@apic1:block1> moset to-port 3admin@apic1:block1> moconfig commitCommitting mo 'fabric/access-policies/interface-policies/policy-groups/interface/group1'Committing mo'fabric/access-policies/interface-policies/profiles/interfaces/swprofile1ifselector'Committing mo'fabric/access-policies/interface-policies/profiles/interfaces/swprofile1ifselector/selector1-range'Committing mo'fabric/access-policies/interface-policies/profiles/interfaces/swprofile1ifselector/selector1-range/block1'
All mos committed successfully.admin@apic1:block1>
ステップ 6 スイッチプロファイルを作成します。
例:admin@apic1:~> cd /aciadmin@apic1:~> cd fabric/access-policies/switch-policies/profilesadmin@apic1:profiles> mocreate swprofile1admin@apic1:profiles> cd swprofile1admin@apic1:swprofile1> cd switch-selectorsadmin@apic1::switch-selectors> moset description 'GUI Interface Selector Generated Profile:swprofile1'admin@apic1:swprofile1> mocreate leaf-selector selectorswprofile11718 rangeadmin@apic1:swprofile1> cd leaf-selector-selectorswprofile11718-rangeadmin@apic1:leaf-selector-selectorswprofile11718-range> mocreate single0admin@apic1:leaf-selector-selectorswprofile11718-range> cd single0
Cisco APIC スタートアップガイド71
使用する前に
CLI を使用した vCenter および vShield ドメインプロファイルの作成
admin@apic1:single0> moset from 17admin@apic1:single0> moset to 17admin@apic1:single0> cd ..admin@apic1:leaf-selector-selectorswprofile11718-range> mocreate single1admin@apic1:leaf-selector-selectorswprofile11718-range> cd single1admin@apic1:single1> moset from 18admin@apic1:single1> moset to 18admin@apic1:single1> moconfig commitCommitting mo 'fabric/access-policies/switch-policies/profiles/swprofile1'Committing mo'fabric/access-policies/switch-policies/profiles/swprofile1/leaf-selector-selectorswprofile11718-range'Committing mo'fabric/access-policies/switch-policies/profiles/swprofile1/leaf-selector-selectorswprofile11718-range/single1'Committing mo'fabric/access-policies/switch-policies/profiles/swprofile1/leaf-selector-selectorswprofile11718-range/single0'
All mos committed successfully.admin@apic1:single1> cd ../../..admin@apic1:swprofile1> cd associated-interface-selector-profilesadmin@apic1:associated-interface-selector-profiles> mocreatefabric/access-policies/interface-policies/profiles/interfaces/swprofile1ifselectoradmin@apic1:associated-interface-selector-profiles> moconfig commitCommitting mo'fabric/access-policies/switch-policies/profiles/swprofile1/associated-interface-selector-profiles/[fabric/access-policies/interface-policies/profiles/interfaces/swprofile1ifselector]'
All mos committed successfully.admin@apic1:associated-interface-selector-profiles>
ステップ 7 vCenterコントローラおよび vShieldコントローラのクレデンシャルを作成します。
例:admin@apic1:~> cd /aciadmin@apic1:~> cd vm-networking/policies/vmware/vmm-domains/productionDCadmin@apic1:productionDC> cd credentialsadmin@apic1:controller-credentials> mocreate vcenter_useradmin@apic1:controller-credentials> cd vcenter_useradmin@apic1:vcenter_user> moset username administratoradmin@apic1:vcenter_user> moset password defaultadmin@apic1:vcenter_user> cd ..admin@apic1:controller-credentials> mocreate vshield_useradmin@apic1:controller-credentials> cd vshield_useradmin@apic1:vshield_user> moset username adminadmin@apic1:vshield_user> moset password defaultadmin@apic1:vshield_user> moconfig commitCommitting mo'vm-networking/policies/vmware/vmm-domains/productionDC/credentials/vcenter_user'Committing mo'vm-networking/policies/vmware/vmm-domains/productionDC/credentials/vshield_user'
All mos committed successfully.admin@apic1:vshield_user>
ステップ 8 vCenterコントローラを作成します。
例:admin@apic1:~> cd /aciadmin@apic1:~> cd vm-networking/policies/vmware/vmm-domains/productionDCadmin@apic1:productionDC> cd controllersadmin@apic1:controllers> mocreate vcenter1admin@apic1:controllers> cd vcenter1admin@apic1:vcenter1> moset host-name-or-ip-address 172.23.50.85admin@apic1:vcenter1> moset datacenter productionDCadmin@apic1:vcenter1> moset management-epg uni/tn-mgmt/out-extMgmt/instP-extNetworkadmin@apic1:vcenter1> moset associated-credential vm-networking/policies/vmware/vmm-domains/productionDC/credentials/vcenter_user
Cisco APIC スタートアップガイド72
使用する前に
CLI を使用した vCenter および vShield ドメインプロファイルの作成
admin@apic1:vcenter1> moconfig commitCommitting mo 'vm-networking/policies/vmware/vmm-domains/productionDC/controllers/vcenter1'
All mos committed successfully.admin@apic1:vcenter1>
ステップ 9 VXLANプールおよびマルチキャストアドレスの範囲を作成します。
例:admin@apic1:~> cd /aciadmin@apic1:~> cd fabric/access-policies/poolsadmin@apic1:pools> cd vxlanadmin@apic1:vxlan> mocreate vxlan1admin@apic1:vxlan> cd vxlan1admin@apic1:vxlan1> cd encap-blocksadmin@apic1:encap-blocks> mocreate vxlan-6000 vxlan-6200admin@apic1:encap-blocks> moconfig commitCommitting mo 'fabric/access-policies/pools/vxlan/vxlan1'Committing mo 'fabric/access-policies/pools/vxlan/vxlan1/encap-blocks/vxlan6000-vxlan6200'
All mos committed successfully.admin@apic1:encap-blocks> cd ../../..admin@apic1:pools> cd multicast-addressadmin@apic1:multicast-address> mocreate multicast1admin@apic1:multicast-address> cd multicast1admin@apic1:multicast1> cd address-blocksadmin@apic1:address-blocks> mocreate 224.0.0.1 224.0.0.20admin@apic1:address-blocks> moconfig commitCommitting mo 'fabric/access-policies/pools/multicast-address/multicast1'Committing mo'fabric/access-policies/pools/multicast-address/multicast1/address-blocks/224.0.0.1-224.0.0.20'
All mos committed successfully.admin@apic1:address-blocks>
ステップ 10 vShieldコントローラを作成します。
例:admin@apic1:~> cd /aciadmin@apic1:~> cd vm-networking/policies/vmware/vmm-domains/productionDCadmin@apic1:productionDC> cd controllersadmin@apic1:controllers> mocreate vshield1admin@apic1:controllers> cd vshield1admin@apic1:vshield1> moset type vshieldadmin@apic1:vshield1> moset host-name-or-ip-address 172.23.54.62admin@apic1:vshield1> moset datacenter productionDCadmin@apic1:vshield1> moset management-epg uni/tn-mgmt/out-extMgmt/instP-extNetworkadmin@apic1:vshield1> moset associated-credential vm-networking/policies/vmware/vmm-domains/productionDC/credentials/vshield_useradmin@apic1:vshield1> moset associated-vcenter-controller vm-networking/policies/vmware/vmm-domains/productionDC/controllers/vcenter1admin@apic1:vshield1> moset vxlan-pool fabric/access-policies/pools/vxlan/vxlan1admin@apic1:vshield1> moset multicast-address-poolfabric/access-policies/pools/multicast-address/multicast1admin@apic1:vshield1> moconfig commitCommitting mo 'vm-networking/policies/vmware/vmm-domains/productionDC/controllers/vshield1'
All mos committed successfully.admin@apic1:vshield1>
Cisco APIC スタートアップガイド73
使用する前に
CLI を使用した vCenter および vShield ドメインプロファイルの作成
テナント、プライベートネットワーク、およびブリッジ
ドメインの作成
テナントの概要
•テナントには、承認されたユーザのドメインベースのアクセスコントロールをイネーブルにするポリシーが含まれます。承認されたユーザは、テナント管理やネットワーキング管理な
どの権限にアクセスできます。
•ユーザは、ドメイン内のポリシーにアクセスしたりポリシーを設定するには読み取り/書き込み権限が必要です。テナントユーザは、1つ以上のドメインに特定の権限を持つことができます。
•マルチテナント環境では、リソースがそれぞれ分離されるように、テナントによりグループユーザのアクセス権限が提供されます(エンドポイントグループやネットワーキングなどの
ため)。これらの権限では、異なるユーザが異なるテナントを管理することもできます。
テナントの作成
テナントには、最初にテナントを作成した後に作成できる、フィルタ、コントラクト、ブリッジ
ドメイン、およびアプリケーションプロファイルなどの主要な要素が含まれます。
ネットワークおよびブリッジドメイン
テナント用のネットワークおよびブリッジドメインを作成および指定できます。定義されたブ
リッジドメインの要素のサブネットは、レイヤ 3コンテキストを参照します。
GUI を使用した、テナント、プライベートネットワーク、およびブリッジドメインの作成
このタスク例のビデオを視聴するには、Videos Webpageを参照してください。(注)
手順
ステップ 1 メニューバーで、[TENANTS]を選択し、次の処理を実行します。a) [Add Tenant]を右クリックします。
Cisco APIC スタートアップガイド74
使用する前に
テナント、プライベートネットワーク、およびブリッジドメインの作成
[Create Tenant]ダイアログボックスが開きます。b) [Name]フィールドに、テナント名(ExampleCorp)を追加し、[Next]をクリックします。
ステップ 2 そのセキュリティドメインのユーザだけがアクセスできるようにするため、セキュリ
ティドメインを作成します。
(注)
[Security Domains]の横にある [+]記号をクリックして [Create Security Domain]ダイアログボックスを開き、次の操作を実行します。
a) [Name]フィールドで、セキュリティドメイン名を指定します。(ExampleCorp)b) [Submit]をクリックします。 [Create Tenant]ダイアログボックスで、作成したセキュリティドメインのチェックボックスをオンにして、[Next]をクリックします。
ステップ 3 [Network]ウィンドウで、次の操作を実行します。a) ネットワークを追加するため、[+]記号をクリックします。b) [Create New Network]領域で、プライベートテナントネットワーク名(pvn1)を指定して、
[Next]をクリックします。ネットワーク内のブリッジドメインを指定するように促されます。
ステップ 4 [Name]フィールドでブリッジドメイン(bd1)を指定し、[OK]をクリックします。 [Next]をクリックし、次の処理を実行します。
a) プライベートネットワーク(pvn1)が作成されてブリッジドメイン(bd1)に関連付けられていることを確認します。
b) [Application Profile]ウィンドウで、[Finish]をクリックします。
ステップ 5 テナントがプライベートネットワークとブリッジドメインを持っていることを検証するため、
[Tenants]タブの下のサブメニューバーにある、作成した新しいテナント名をクリックします。[Navigation]ペインで、テナント名を展開します。[Bridge Domains]の下に、新しいブリッジドメインが表示されます。 [Private Networks]の下に、新しいネットワークが表示されます。
REST API を使用した、テナント、プライベートネットワーク、およびブリッジドメインの作成
手順
ステップ 1 テナントを作成します。
例:POST <IP>/api/mo/uni.xml<fvTenant name="ExampleCorp"/>
POSTが成功すると、作成したオブジェクトが出力に表示されます。
ステップ 2 ネットワークおよびブリッジドメインを作成します。
Cisco APIC スタートアップガイド75
使用する前に
REST API を使用した、テナント、プライベートネットワーク、およびブリッジドメインの作成
例:URL for POST: https://<apic-ip>/api/mo/uni/tn-ExampleCorp.xml
<fvTenant name="ExampleCorp"><fvCtx name="pvn1"/><fvBD name="bd1">
<fvRsCtx tnFvCtxName="pvn1"/><fvSubnet ip="10.10.100.1/24"/>
</fvBD></fvTenant>
CLI を使用した、テナント、プライベートネットワーク、およびブリッジドメインの作成
手順
ステップ 1 CLIで、ディレクトリを /aciに変更します。
例:admin@apic1:~> cd /aci
ステップ 2 テナント、ネットワーク、ブリッジドメインを作成します。
例:
admin@apic1:aci> cd tenants/admin@apic1:tenants> mocreate ExampleCorpadmin@apic1:tenants> moconfig commitCommitted mo 'tenants/ExampleCorp'
All mos committed successfully.admin@apic1:tenants>admin@apic1:tenants> cd ExampleCorp/networking/private-networks/admin@apic1:private-networks> mocreate pvn1admin@apic1:private-networks> moconfig commitCommitting mo 'tenants/ExampleCorp/networking/private-networks/pvn1'
All mos committed successfully.admin@apic1:private-networks>admin@apic1:private-networks> cd ../bridge-domains/admin@apic1:bridge-domains> mocreate bd1admin@apic1:bridge-domains> moconfig commitCommitting mo 'tenants/ExampleCorp/networking/bridge-domains/bd1'
All mos committed successfully.admin@apic1:bridge-domains>admin@apic1:bridge-domains> cd bd1/subnets/admin@apic1:subnets> mocreate 10.10.100.1/24admin@apic1:subnets> moconfig commitCommitting mo 'tenants/ExampleCorp/networking/bridge-domains/bd1/subnets/10.10.100.1:24'
All mos committed successfully.
Cisco APIC スタートアップガイド76
使用する前に
CLI を使用した、テナント、プライベートネットワーク、およびブリッジドメインの作成
サーバポリシーまたはサービスポリシーの設定
DHCP リレーポリシーの設定DHCPリレーのポリシーは、vShieldドメインプロファイルを設定するための前提条件として必要です。 vShieldコントローラが Virtual Extensible Local Area Network(VXLAN)を導入すると、ハイパーバイザホストはカーネル(vmkN、仮想トンネルのエンドポイント [VTEP])インターフェイスを作成します。これらのインターフェイスはDHCPを使用するインフラストラクチャテナントで IPアドレスを必要とします。したがって、APICがDHCPサーバとして動作し、それらの IPアドレスを提供できるように DHCPリレーポリシーを設定する必要があります。
GUI を使用した、APICインフラストラクチャ用 DHCP サーバポリシーの設定
このタスク例のビデオを視聴するには、Videos Webpageを参照してください。(注)
はじめる前に
レイヤ 2またはレイヤ 3管理接続が設定されていることを確認します。
手順
ステップ 1 メニューバーで、[TENANTS] > [infra]を選択します。 [Navigation]ペインで、[Tenant infra]の下、[Networking] > [Protocol Policies] > [DHCP] > [Relay Policies]を展開します。
ステップ 2 [Relay Policies]を右クリックし、[Create DHCP Relay Policy]をクリックします。
ステップ 3 [Create DHCP Relay Policy]ダイアログボックスで、次の操作を実行します。a) [Name]フィールドに、DHCPリレープロファイル名(DhcpRelayP)を入力します。b) [Providers]を展開します。 [Create DHCP Provider]ダイアログボックスの [EPG Type]フィールドで、DHCPサーバが接続されている場所に応じて適切なオプションボタンをクリックします。
c) [Application EPG]領域の [Tenant]フィールドで、ドロップダウンリストから、テナントを選択します。(infra)
d) [Application Profile]フィールドで、ドロップダウンリストから、アプリケーションを選択します。(access)
e) [EPG]フィールドで、ドロップダウンリストから、EPGを選択します。(デフォルト)f) [DHCP Server Address]フィールドに、infra DHCPサーバの IPアドレスを入力します。 [Update]をクリックします。
infraの DHCP IPアドレスは APIC1の infraの IPアドレスです。デフォルトの IPアドレス 10.0.0.1を入力する必要があります。
(注)
g) [Submit]をクリックします。
Cisco APIC スタートアップガイド77
使用する前に
サーバポリシーまたはサービスポリシーの設定
DHCPリレーポリシーが作成されます。
ステップ 4 [Navigation]ペインで、[Networking] > [Bridge Domains] > [default] > [DHCP Relay Labels]を展開します。
ステップ 5 [DHCP Relay Labels]を右クリックし、[Create DHCP Relay Label]をクリックします。
ステップ 6 [Create DHCP Relay Label]ダイアログボックスで、次の操作を実行します。a) [Scope]フィールドで、テナントのオプションボタンをクリックします。この操作により、上で作成したDHCPリレーポリシーが [Name]フィールドのドロップダウンリスト内に表示されます。
b) [Name]フィールドで、ドロップダウンリストから、作成された DHCPポリシーの名前(DhcpRelayP)を選択します。
c) [Submit]をクリックします。
DHCPサーバが、ブリッジドメインに関連付けられます。
ステップ 7 [Navigation]ペインで、作成された DHCPサーバを表示するには、[Networking] > [Bridge Domains]> [default] > [DHCP Relay Labels]を展開します。
REST API を使用した APICインフラストラクチャの DHCP サーバポリシーの設定
この作業は、vShieldのドメインプロファイルを作成するユーザの前提条件です。(注)
はじめる前に
レイヤ 2またはレイヤ 3管理接続が設定されていることを確認します。
手順
インフラストラクチャテナントの DHCPサーバポリシーとして APICを設定します。このリレーポリシーは接続エンティティプロファイルの設定を使用して接続されたハ
イパーバイザであるすべてのリーフポートにプッシュされます。接続エンティティプ
ロファイルを使用した設定の詳細については、VMMドメインプロファイルの作成に関連する例を参照してください。
(注)
例:<!-- api/policymgr/mo/.xml --><polUni><fvTenant name="infra">
<dhcpRelayP name="DhcpRelayP" owner="tenant"><dhcpRsProv tDn="uni/tn-infra/ap-access/epg-default" addr="10.0.0.1" />
</dhcpRelayP>
<fvBD name="default"><dhcpLbl name="DhcpRelayP" owner="tenant"/>
</fvBD>
Cisco APIC スタートアップガイド78
使用する前に
DHCP リレーポリシーの設定
</fvTenant></polUni>
CLI を使用した APICインフラストラクチャの DHCP サーバポリシーの設定
はじめる前に
レイヤ 2またはレイヤ 3管理接続が設定されていることを確認します。
手順
APICインフラストラクチャのトラフィックの DHCPサーバポリシーを設定します。
例:admin@apic1:~> cd /aci/tenants/infra/networking/protocol-policies/dhcp/relay-policies/admin@apic1:relay-policies> mocreate DhcpRelayPadmin@apic1:relay-policies> cd DhcpRelayP/admin@apic1:DhcpRelayP> moset owner tenantadmin@apic1:DhcpRelayP> cd providers/admin@apic1:providers> mocreate tenants/infra/application-profiles/access/application-epgs/defaultadmin@apic1:providers> cd\[tenants--infra--application-profiles--access--application-epgs--default\]/admin@apic1:[tenants--infra--application-profiles--access--application-epgs--default]> moset dhcp-server-address10.0.0.1
admin@apic1:[tenants--infra--application-profiles--access--application-epgs--default]> cd/aci/tenants/infra/networking/bridge-domains/default/admin@apic1:default> cd dhcp-relay-labels/admin@apic1:dhcp-relay-labels> mocreate DhcpRelayPadmin@apic1:dhcp-relay-labels> cd DhcpRelayP/admin@apic1:DhcpRelayP> moset scope tenantadmin@apic1:DhcpRelayP> moconfig commit
DNS サービスポリシーの設定DNSポリシーは、ホスト名で外部のサーバ(AAA、RADIUS、vCenter)およびサービスに接続するために必要です。 DNSサービスポリシーは共有ポリシーであり、このサービスを使用するすべてのテナントおよびプライベートネットワークには、特定の DNSプロファイルラベルを設定する必要があります。 ACIファブリックに DNSポリシーを設定するには、次の作業を実行する必要があります。
• DNSプロバイダーとDNSドメインに関する情報を含んだDNSプロファイル(デフォルト)を作成します。
• DNSプロファイル(デフォルトまたは別の DNSプロファイル)の名前を必要なテナントの配下の DNSラベルに関連付けます。
テナントごと、プライベートネットワークごとのDNSプロファイルを設定することができます。追加の DNSプロファイルを作成し、適切な DNSラベルを使用して、特定のテナントの特定のプライベートネットワークに適用することができます。 DNSプロファイルを acmeという名前で作成する場合、acmeというDNSラベルをテナントの設定で [Networking] > [Private Networks]の該当のポリシー設定に追加することができます。
Cisco APIC スタートアップガイド79
使用する前に
DNS サービスポリシーの設定
インバンド DNS サービスポリシーによる外部接続先の設定次のようにサービスの外部接続先を設定します。
外部サーバの場所アウトオブバンド管理インバンド管理ソース
AnywhereIPアドレスまたはFQDN
IPアドレスまたは完全修飾ドメイン名
(FQDN)
APIC
AnywhereIPアドレスまたはFQDN
DNSポリシーには、
DNSサーバの到達可能性
のためアウト
オブバンド管
理 EPGを指定する必要が
あります。
(注)
IPアドレスリーフスイッチ
リーフスイッチに直接
接続
IPアドレスまたはFQDN
DNSポリシーには、
DNSサーバの到達可能性
のためアウト
オブバンド管
理 EPGを指定する必要が
あります。
(注)
IPアドレススパインスイッチ
外部サーバのリストは次のとおりです。
• Call Home SMTPサーバ
• Syslogサーバ
• SNMPトラップの宛先
•統計情報エクスポートの宛先
•設定情報エクスポートの宛先
• Techsupportエクスポートの宛先
Cisco APIC スタートアップガイド80
使用する前に
DNS サービスポリシーの設定
•コアエクスポートの宛先
推奨されるガイドラインは次のとおりです。
•外部サーバは、リーフのアクセスポートに接続する必要があります。
•管理ポートへのケーブル追加を避けるため、リーフスイッチにはインバンド接続を使用します。
•スパインスイッチにはアウトオブバンド管理接続を使用します。このスパインスイッチのアウトオブバンドネットワークは、スパインスイッチとリーフスイッチが同じ外部サーバ
群に到達できるように、インバンド管理仮想ルーティングおよび転送(VRF)でリーフポートの 1つに接続します。
•外部サーバの IPアドレスを使用します。
GUI を使用した、DNS プロバイダーと接続するための DNS サービスポリシーの設定
このタスク例のビデオを視聴するには、Videos Webpageを参照してください。(注)
はじめる前に
レイヤ 2またはレイヤ 3管理接続が設定されていることを確認します。
手順
ステップ 1 メニューバーで、[FABRIC] > [Fabric Policies]を選択します。 [Navigation]ペインで、[Global Policies]> [DNS Profiles]を展開し、デフォルトの DNSプロファイルをクリックします。
ステップ 2 [Work]ペインで、[ManagementEPG]フィールドに、ドロップダウンリストから、適切な管理EPG(デフォルト(Out-of-Band))を選択します。
ステップ 3 [DNS Providers]を展開し、次の操作を実行します。a) [Address]フィールドに、プロバイダーのアドレスを入力します。b) そのアドレスを優先プロバイダーとする必要がある場合は、[Preferred]列のチェックボックスをオンにします。
優先にできるプロバイダーは 1つだけです。c) [Update]をクリックします。d) (任意)セカンダリDNSプロバイダーを追加するには、[DNSProviders]を展開して、[Address]フィールドにプロバイダーのアドレスを入力します。 [Update]をクリックします。
ステップ 4 [DNS Domains]を展開し、次の操作を実行します。a) [Name]フィールドに、ドメイン名(cisco.com)を入力します。b) そのドメインをデフォルトドメインにする場合は、[Default]列のチェックボックスをオンにします。
デフォルトにできるのは 1つのドメイン名だけです。
Cisco APIC スタートアップガイド81
使用する前に
DNS サービスポリシーの設定
c) [Update]をクリックします。d) (任意)セカンダリDNSドメインを追加するために、[DNSDomains]を展開します。 [Address]フィールドに、セカンダリドメイン名を入力します。 [Update]をクリックします。
ステップ 5 [Submit]をクリックします。[Status]ダイアログボックスに [Changes Saved Successfully]が表示されます。
ステップ 6 [OK]をクリックします。DNSサーバが設定されます。
ステップ 7 メニューバーで、[TENANTS] > [mgmt]をクリックします。
ステップ 8 [Navigation]ペインで、[Networking] > [Private Networks] > [oob]を展開します。
ステップ 9 [Work]ペインで、[Properties]の下の [DNS labels]フィールドに、適切な DNSラベル(default)を入力します。 [Submit]をクリックします。これで、DNSプロファイルラベルが、テナントおよびプライベートネットワークで設定されます。
REST API を使用した、DNS プロバイダーと接続するための DNS サービスポリシーの設定
はじめる前に
レイヤ 2またはレイヤ 3管理接続が設定されていることを確認します。
手順
ステップ 1 DNSサービスポリシーを設定します。
例:Post URL :https://192.168.10.1/api/node/mo/uni/fabric.xml
<dnsProfile name="default">
<dnsProv addr="172.21.157.5" preferred="yes"/><dnsProv addr="172.21.157.6"/>
<dnsDomain name="cisco.com" isDefault="yes"/>
<dnsRsProfileToEpg tDn="uni/tn-mgmt/mgmtp-default/oob-default"/>
</dnsProfile>
ステップ 2 アウトオブバンド管理テナント下に DNSラベルを設定します。
例:https://192.168.10.1/api/node/mo/uni/tn-mgmt/ctx-oob.xml<dnsLbl name="default" tag="yellow-green"/>
Cisco APIC スタートアップガイド82
使用する前に
DNS サービスポリシーの設定
CLI を使用した、DNS プロバイダーと接続するためのDNS サービスポリシーの設定
手順
ステップ 1 CLIで、ディレクトリを /aciに変更します。
例:admin@apic1:~> cd /aci
ステップ 2 DNSサーバポリシーを設定します。
例:admin@apic1:~> cd /aci/fabric/fabric-policies/global-policies/dns-profilesadmin@apic1:~> mocreate defaultadmin@apic1:~> cd default/admin@apic1:default> cd dns-providers/admin@apic1:dns-providers> mocreate 172.21.157.5 preferred yesadmin@apic1:dns-providers> mocreate 172.21.157.6admin@apic1:dns-providers> cd ../dns-domains/admin@apic1:dns-domains> mocreate company.local default yesadmin@apic1:dns-domains> cd ../admin@apic1:default> moset management-epg uni/tn-mgmt/mgmtp-default/oob-defaultadmin@apic1:default> moconfig commit
ステップ 3 DNSプロファイルを使用する任意のプライベートネットワーク上に DNSプロファイルラベルを設定します。
例:admin@apic1:default> cd /aci/tenants/mgmt/networking/private-networks/oob/dns-profile-labels/admin@apic1:dns-profile-labels> lsadmin@apic1:dns-profile-labels> mocreate defaultadmin@apic1:dns-profile-labels> cd defaultadmin@apic1:default> moset tag yellow-greenadmin@apic1:default> moconfig commit
CLI を使用した、DNS プロファイルがファブリックコントローラスイッチに設定および適用されていることの確認
手順
ステップ 1 デフォルトの DNSプロファイルの設定を確認します。
例:admin@apic1:~> cd /aci/fabric/fabric-policies/global-policies/dns-profiles/defaultadmin@apic1:default> cat summary# dns-profilename : defaultdescription : added via CLI by [email protected] :ownertag :
Cisco APIC スタートアップガイド83
使用する前に
DNS サービスポリシーの設定
dns-providers:address preferred-------------- ---------10.44.124.122 no10.70.168.183 no10.37.87.157 no10.102.6.247 yesdns-domains:name default description--------- ------- -----------cisco.com yesmanagement-epg : tenants/mgmt/node-management-epgs/default/out-of-band/default
ステップ 2 DNSラベルの設定を確認します。
例:admin@apic1:default> cd/aci/tenants/mgmt/networking/private-networks/oob/dns-profile-labels/defaultadmin@apic1:default> cat summary# dns-lblname : defaultdescription :ownerkey :ownertag :tag : yellow-green
ステップ 3 適用された設定がファブリックコントローラで動作していることを確認します。
例:admin@apic1:~> cat /etc/resolv.conf# Generated by IFCsearch cisco.comnameserver 10.102.6.247nameserver 10.44.124.122nameserver 10.37.87.157nameserver 10.70.168.183admin@apic1:~> ping www.cisco.comPING origin-www.cisco.com (72.163.4.161) 56(84) bytes of data.64 bytes from www1.cisco.com (72.163.4.161): icmp_seq=1 ttl=238 time=35.4 ms64 bytes from www1.cisco.com (72.163.4.161): icmp_seq=2 ttl=238 time=29.0 ms64 bytes from www1.cisco.com (72.163.4.161): icmp_seq=3 ttl=238 time=29.2 ms
ステップ 4 適用された設定がリーフおよびスパインのスイッチ上で動作していることを確認します。
例:leaf1# cat /etc/resolv.confsearch cisco.comnameserver 10.102.6.247nameserver 10.70.168.183nameserver 10.44.124.122nameserver 10.37.87.157leaf1# cat /etc/dcos_resolv.conf# DNS enabledleaf1# ping www.cisco.comPING origin-www.cisco.com (72.163.4.161): 56 data bytes64 bytes from 72.163.4.161: icmp_seq=0 ttl=238 time=29.255 ms64 bytes from 72.163.4.161: icmp_seq=1 ttl=238 time=29.212 ms64 bytes from 72.163.4.161: icmp_seq=2 ttl=238 time=29.343 ms
Cisco APIC スタートアップガイド84
使用する前に
DNS サービスポリシーの設定
テナント用外部接続の設定アプリケーションセントリックインフラストラクチャ(ACI)ファブリック上の他のリーフスイッチにスタティックルートを配布する前に、Multiprotocol BGP(MP-BGP)プロセスを最初に実行し、スパインスイッチは BGPルートリフレクタとして設定する必要があります。
外部ルーテッドネットワークにACIファブリックを統合するには、管理テナントのレイヤ 3接続の Open Shortest Path First (OSPF)を設定できます。
GUI を使用した MP-BGP ルートリフレクタの設定
このタスク例のビデオを視聴するには、Videos Webpageを参照してください。(注)
手順
ステップ 1 メニューバーで、[FABRIC] > [Fabric Policies]を選択します。
ステップ 2 [Navigation]ペインで、[Pod Policies] > [Policies] > [BGPRoute Reflector default]を展開し、[BGPRouteReflector default]を右クリックして、[Create Route Reflector Node Policy EP]をクリックします。
ステップ 3 [Create Route Reflector Node Policy EP]ダイアログボックスで、[Spine Node]ドロップダウンリストから、適切なスパインノードを選択します。 [Submit]をクリックします。
必要に応じて、上の手順を繰り返してスパインノードを追加しま
す。
(注)
スパインスイッチがルートリフレクタのノードとしてマークされます。
ステップ 4 [BGP Route Reflector default]というプロパティ領域内の [Autonomous System Number]で、適切な番号を選択します。 [Submit]をクリックし、変更が正常に保存されたことが [Status]ダイアログボックスに表示されたら [OK]をクリックします。
自律システム番号は Border Gateway Protocol(BGP)がルータに設定されている場合、リーフの接続されたルータの設定に一致する必要があります。スタティックまたはOpenShortest Path First(OSPF)を使用して学習されたルートを使用している場合、自律システム番号値は、任意の有効値を指定できます。
(注)
ステップ 5 [Navigation]ペインで、[Policy Groups]を展開および右クリックし、[Create POD Policy Group]をクリックします。
ステップ 6 [Create POD Policy Group]ダイアログボックスで、[Name]フィールドに、ポッドポリシーグループの名前を入力します。
ステップ 7 [BGP Route Reflector Policy]ドロップダウンリストで、適切なポリシー(default)を選択します。[Submit]をクリックします。
Cisco APIC スタートアップガイド85
使用する前に
テナント用外部接続の設定
BGPルートリフレクタのポリシーはルートリフレクタのポッドポリシーグループに関連付けられ、BGPプロセスはリーフスイッチでイネーブルです。
ステップ 8 [Navigation]ペインで、[Policy Groups] > [default]を選択します。 [Work]ペインで、[Fabric PolicyGroup]ドロップダウンリストから、以前に作成されたポッドポリシーを選択します。 [Submit]をクリックします。
ポッドポリシーグループが、ファブリックのポリシーグループに対して適用されます。
REST API を使用した MP-BGP ルートリフレクタの設定
手順
ステップ 1 ルートリフレクタとしてスパインスイッチをマークします。
例:https://apic-ip/api/policymgr/mo/uni/fabric.xml
<bgpInstPol name="default"><bgpAsP asn="1" /><bgpRRP>
<bgpRRNodePEp id=“spine id 103”/><bgpRRNodePEp id=“spine id 104”/>
</bgpRRP></bgpInstPol>
ステップ 2 次の POST送信を使用してポッドセレクタをセットアップします。
例:
FuncPセットアップ用:<fabricFuncP><fabricPodPGrp name="bgpRRPodGrp”><fabricRsPodPGrpBGPRRP tnBgpInstPolName="default" />
</fabricPodPGrp></fabricFuncP>
例:
PodPセットアップ用:<fabricPodP name="default"><fabricPodS name="default" type="ALL"><fabricRsPodPGrp tDn="uni/fabric/funcprof/podpgrp-bgpRRPodGrp"/>
</fabricPodS></fabricPodP>
Cisco APIC スタートアップガイド86
使用する前に
REST API を使用した MP-BGP ルートリフレクタの設定
CLI を使用した MP-BGP ルートリフレクタの設定
手順
ステップ 1 CLIで、ディレクトリを /aciに変更します。
例:admin@apic1:~> cd /aci
ステップ 2 MP-BGPルートリフレクタを設定します。
例:
admin@apic1:~> cdfabric/fabric-policies/pod-policies/policies/bgp-route-reflector-policy-defaultadmin@apic1:bgp-route-reflector-policy-default> moset autonomous-system-number 1admin@apic1:bgp-route-reflector-policy-default> cd route-reflector-nodes/admin@apic1:route-reflector-nodes> mocreate 104admin@apic1:route-reflector-nodes> mocreate 105admin@apic1:route-reflector-nodes> moconfig commit
admin@apic1:~> cd fabric/fabric-policies/pod-policies/policy-groups/admin@apic1:policy-groups> mocreate bgpRRPodGrpadmin@apic1:policy-groups> cd bgpRRPodGrp/admin@apic1:bgpRRPodGrp> moset bgp-route-reflector-policy defaultadmin@apic1:bgpRRPodGrp> moconfig commit
admin@apic1:~> cd fabric/fabric-policies/pod-policies/pod-selector-default-all/admin@apic1:pod-selector-default-all> moset fabric-policy-groupfabric/fabric-policies/pod-policies/policy-groups/bgpRRPodGrpadmin@apic1:pod-selector-default-all> moconfig commit
MP-BGP ルートリフレクタの設定の確認
手順
ステップ 1 次の手順に従って設定を確認します。
a) 必要に応じて各リーフスイッチに管理者としてログインするためにセキュアシェル(SSH)を使用します。
b) コマンド show processes | grep bgpを入力して状態が Sであることを確認します。状態が NR(非実行中)である場合は、設定が正常に完了していません。
ステップ 2 次の手順を実行して、自律システム番号がスパインスイッチに設定されていることを確認しま
す。
a) 必要に応じて各スパインスイッチに管理者としてログインするために SSHを使用します。
Cisco APIC スタートアップガイド87
使用する前に
CLI を使用した MP-BGP ルートリフレクタの設定
b) シェルウィンドウから次のコマンドを実行します。
例:cd /mit/sys/bgp/inst
例:grep asn summary
設定された自律システム番号が表示される必要があります。自律システム番号値が、0と表示された場合、設定が正常ではありません。
GUI を使用した、管理テナント用 OSPF 外部ルーテッドネットワークの作成
次のGUI操作手順は、管理テナント用OSPF外部ルーテッドネットワークを作成するためのものです。テナント用OSPF外部ルーテッドネットワークを作成するには、テナントを選択し、テナントにプライベートネットワークを作成する必要があります。
このタスク例のビデオを視聴するには、Videos Webpageを参照してください。(注)
手順
ステップ 1 メニューバーで、[TENANTS] > [mgmt]を選択します。
ステップ 2 [Navigation]ペインで、[Networking] > [External Routed Networks]を展開します。
ステップ 3 [External Routed Networks]を右クリックし、[Create Routed Outside]をクリックします。
ステップ 4 [Create Routed Outside]ダイアログボックスで、次の操作を実行します。a) [Name]フィールドに、名前(RtdOut)を入力します。b) [OSPF]チェックボックスをオンにします。c) [OSPF Area ID]フィールドに、エリア IDを入力します。d) [PrivateNetwork]フィールドで、ドロップダウンリストから、プライベートネットワーク(inb)を選択します。
このステップで、ルーテッド外部がインバンドプライベートネットワークに関連付
けられます。
(注)
e) [Nodes and Interfaces Protocol Profiles]領域の [+]アイコンをクリックします。
ステップ 5 [Create Node Profile]ダイアログボックスで、次の操作を実行します。a) [Name]フィールドに、ノードプロファイルの名前を入力します。(borderLeaf)b) [Nodes]フィールドで、[+]アイコンをクリックして [Select Node]ダイアログボックスを表示します。
Cisco APIC スタートアップガイド88
使用する前に
GUI を使用した、管理テナント用 OSPF 外部ルーテッドネットワークの作成
c) [Node ID]フィールドで、ドロップダウンリストから、最初のノードを選択します。(leaf1)d) [Router ID]フィールドに、一意のルータ IDを入力します。 [OK]をクリックします。e) [Nodes]フィールドで、[+]アイコンを展開して [Select Node]ダイアログボックスを表示します。
2番目のノード IDを追加します。
(注)
f) [Node ID]フィールドで、ドロップダウンリストから、最初のノードを選択します。(leaf2)g) [Router ID]フィールドに、一意のルータ IDを入力します。 [OK]をクリックします。
ステップ 6 [Create Node Profile]ダイアログボックスの [OSPF Interface Profiles]領域で、[+]アイコンをクリックします。
ステップ 7 [Create Interface Profile]ダイアログボックスで、次の作業を実行します。a) [Name]フィールドに、プロファイルの名前(portProf)を入力します。b) [Interfaces]領域で、[Routed Interfaces]タブをクリックして、[+]アイコンをクリックします。c) [Select Routed Interfaces]ダイアログボックスの [Path]フィールドで、ドロップダウンリストから、最初のポート(leaf1、ポート 1/40)を選択します。
d) [IP Address]フィールドに、IPアドレスを入力します。e) [Mask]フィールドに、自動入力されない場合は、マスクを入力します。 [OK]をクリックします。
f) [Interfaces]領域で、[Routed Interfaces]タブをクリックして、[+]アイコンをクリックします。g) [Select Routed Interfaces]ダイアログボックスの [Path]フィールドで、ドロップダウンリストから、2番目のポート(leaf2、ポート 1/40)を選択します。
h) [IP Address]フィールドに、IPアドレスを入力します。この IPアドレスは、以前に leaf1用に入力した IPアドレスとは異なっている必要があります。
(注)
i) [Mask]フィールドに、自動入力されない場合は、マスクを入力します。 [OK]をクリックします。
j) [Create Interface Profile]ダイアログボックスで、[OK]をクリックします。
インターフェイスが、OSPFインターフェイスとともに設定されます。
ステップ 8 [Create Node Profile]ダイアログボックスで、[OK]をクリックします。
ステップ 9 [Create Routed Outside]ダイアログボックスで、[Next]をクリックします。[Step 2 External EPG Networks]領域が表示されます。
ステップ 10 [External EPG Networks]領域で、[+]アイコンをクリックします。
ステップ 11 [Create External Network]ダイアログボックスで、次の操作を実行します。a) [Name]フィールドに、外部ネットワークの名前(extMgmt)を入力します。 [OK]をクリックします。
b) [Create Routed Outside]ダイアログボックスで、[Finish]をクリックします。[Work]ペインで、[External Routed Networks]領域に、外部ルーテッドネットワークのアイコン(RtdOut)が表示されます。
(注)
Cisco APIC スタートアップガイド89
使用する前に
GUI を使用した、管理テナント用 OSPF 外部ルーテッドネットワークの作成
REST API を使用した、管理テナント用 OSPF 外部ルーテッドネットワークの作成
手順
管理テナント用の OSPF外部ルーテッドネットワークを作成します。
例:POST: https://192.0.20.123/api/mo/uni/tn-mgmt.xml
<fvTenant name="mgmt"><fvBD name="bd1">
<fvRsBDToOut tnL3extOutName="RtdOut" /><fvSubnet ip="1.1.1.1/16" /><fvSubnet ip="1.2.1.1/16" /><fvSubnet ip="40.1.1.1/24" scope="public" /><fvRsCtx tnFvCtxName="inb" />
</fvBD><fvCtx name="inb" />
<l3extOut name="RtdOut"><l3extInstP name="extMgmt"></l3extInstP><l3extLNodeP name="borderLeaf">
<l3extRsNodeL3OutAtt tDn="topology/pod-1/node-101" rtrId="10.10.10.10"/><l3extRsNodeL3OutAtt tDn="topology/pod-1/node-102" rtrId="10.10.10.11"/><l3extLIfP name='portProfile'><l3extRsPathL3OutAtt tDn="topology/pod-1/paths-101/pathep-[eth1/40]"
ifInstT='l3-port' addr="192.168.62.1/24"/><l3extRsPathL3OutAtt tDn="topology/pod-1/paths-102/pathep-[eth1/40]"
ifInstT='l3-port' addr="192.168.62.5/24"/><ospfIfP/>
</l3extLIfP></l3extLNodeP><l3extRsEctx tnFvCtxName="inb"/><ospfExtP areaId="57" />
</l3extOut></fvTenant>
CLI を使用した、管理テナント用 OSPF 外部ルーテッドネットワークの作成
手順
管理テナント用 OSPF外部ルーテッドネットワークを作成します。
例:admin@apic1:~> cd /aci/tenants/mgmt/admin@apic1:mgmt> cd networking/bridge-domains/admin@apic1:bridge-domains> mocreate bd1admin@apic1:bridge-domains> cd bd1admin@apic1:bd1> moset l3-out RtdOutadmin@apic1:bd1> cd subnets/admin@apic1:subnets> mocreate 1.1.1.1/16
Cisco APIC スタートアップガイド90
使用する前に
REST API を使用した、管理テナント用 OSPF 外部ルーテッドネットワークの作成
admin@apic1:subnets> mocreate 1.2.1.1/16admin@apic1:subnets> mocreate 40.1.1.1/24 scopes public-subnetadmin@apic1:subnets> cd ../admin@apic1:bd1> moset network inbadmin@apic1:bd1> moconfig commit
admin@apic1:~> cd /aci/tenants/mgmt/networking/external-routed-networks/admin@apic1:external-routed-networks> mocreate l3-outside RtdOutadmin@apic1:external-routed-networks> cd l3-outside-RtdOut/admin@apic1:l3-outside-RtdOut> cd networks/admin@apic1:networks> mocreate extMgmtadmin@apic1:networks> cd ../logical-node-profiles/admin@apic1:logical-node-profiles> mocreate borderLeafadmin@apic1:logical-node-profiles> cd borderLeaf/nodes/dmin@apic1:nodes> mocreate fabric/inventory/pod-1/node-101 router-id 10.10.10.10admin@apic1:nodes> mocreate fabric/inventory/pod-1/node-102 router-id 10.10.10.11admin@apic1:nodes> cd ../logical-interface-profiles/admin@apic1:logical-interface-profiles> mocreate portProfileadmin@apic1:logical-interface-profiles> cd portProfile/admin@apic1:portProfile> mocreate ospf-interface-profileadmin@apic1:portProfile> cd routed-interfaces/admin@apic1:routed-interfaces> mocreate topology/pod-1/paths-101/pathep-[eth1/40] ifinsttrouted-interface ip-address 192.168.62.1/24admin@apic1:routed-interfaces> mocreate topology/pod-1/paths-102/pathep-[eth1/40] ifinsttrouted-interface ip-address 192.168.62.5/24admin@apic1:routed-interfaces> cd /aci/tenants/mgmt/networking/external-routed-networks/admin@apic1:l3-outside-RtdOut> moset private-network inbadmin@apic1:l3-outside-RtdOut> moset area-id 57admin@apic1:l3-outside-RtdOut> moconfig commit
アプリケーションポリシーの導入
Three-Tier アプリケーションの展開フィルタは、フィルタを含むコントラクトにより許可または拒否されるデータプロトコルを指定
します。コントラクトには、複数のサブジェクトを含めることができます。サブジェクトは、単
方向または双方向のフィルタを実現するために使用できます。単方向フィルタは、コンシューマ
からプロバイダー(IN)のフィルタまたはプロバイダーからコンシューマ(OUT)のフィルタのどちらか一方向に使用されるフィルタです。双方向フィルタは、両方の方向で使用される同一
フィルタです。これは、再帰的ではありません。
コントラクトは、エンドポイントグループ間(EPG間)の通信をイネーブルにするポリシーです。これらのポリシーは、アプリケーション層間の通信を指定するルールです。コントラクトが
EPGに付属されていない場合、EPG間の通信はデフォルトでディセーブルになります。EPG内の通信は常に許可されているので、EPG内の通信にはコントラクトは必要ありません。
アプリケーションプロファイルでは、APICがその後ネットワークおよびデータセンターのインフラストラクチャで自動的にレンダリングするアプリケーション要件をモデル化することができ
ます。アプリケーションプロファイルでは、管理者がインフラストラクチャの構成要素よりもア
プリケーションの観点から、リソースプールにアプローチすることができます。アプリケーショ
ンプロファイルは、互いに論理的に関連する EPGを保持するコンテナです。 EPGは同じアプリケーションプロファイル内の他の EPGおよび他のアプリケーションプロファイル内の EPGと通信できます。
Cisco APIC スタートアップガイド91
使用する前に
アプリケーションポリシーの導入
アプリケーションポリシーを導入するには、必須のアプリケーションプロファイル、フィルタ、
およびコントラクトを作成します。通常、APICファブリックはテナントのネットワーク内にThree-Tierアプリケーションをホストします。この例では、アプリケーションは、3台のサーバ(Webサーバ、アプリケーションサーバ、データベースサーバ)を使用して実装されます。Three-Tierアプリケーションの例については、次の図を参照してください。
WebサーバにHTTPフィルタがあり、アプリケーションサーバにRemoteMethod Invocation(RMI)フィルタがあり、データベースサーバには、構造化照会言語(SQL)のフィルタがあります。アプリケーションサーバはデータベースサーバと通信するためにSQLコントラクトを使用します。Webサーバは、アプリケーションサーバと通信するために RMIコントラクトを使用します。トラフィックはWebサーバから入り、アプリケーションサーバと通信します。次にアプリケーションサーバはデータベースサーバと通信します。トラフィックは外部と通信することもできます。
図 7:Three-Tier アプリケーション図
http のフィルタを作成するためのパラメータこの例で httpのフィルタを作成するためのパラメータは次のとおりです。
http のフィルタパラメータ名
httpName
2Number of Entries
Dport-80
Dport-443
Entry Name
IPEthertype
tcp
tcp
Protocol
Cisco APIC スタートアップガイド92
使用する前に
http のフィルタを作成するためのパラメータ
http のフィルタパラメータ名
http
https
Destination Port
rmi および sql のフィルタを作成するためのパラメータこの例で、rmiおよび sqlのフィルタを作成するためのパラメータは次のとおりです。
sql のフィルタrmi のフィルタパラメータ名
sqlrmiName
11Number of Entries
Dport-1521Dport-1099Entry Name
IPIPEthertype
tcptcpProtocol
15211099Destination Port
アプリケーションプロファイルデータベースの例
この例のアプリケーションプロファイルデータベースは次のとおりです。
使用するコントラクト提供するコントラクトEPG
rmiWebWeb
sqlrmiapp
--sqldb
GUI を使用したアプリケーションポリシーの導入
GUI を使用したフィルタの作成3種類のフィルタを作成します。この例では、HTTP、RMI、SQLです。この作業では、HTTPフィルタを作成する方法を示します。他のフィルタを作成する作業も同じです。
Cisco APIC スタートアップガイド93
使用する前に
rmi および sql のフィルタを作成するためのパラメータ
はじめる前に
テナント、ネットワーク、およびブリッジドメインが作成されていることを確認します。
手順
ステップ 1 メニューバーで [TENANTS]を選択します。 [Navigation]ペインで、[tenant] > [Security Policies]を展開し、[Filters]を右クリックして、[Create Filter]をクリックします。
[Navigation]ペインで、フィルタを追加するテナントを展開します。
(注)
ステップ 2 [Create Filter]ダイアログボックスで、次の操作を実行します。a) [Name]フィールドに、フィルタ名(http)を入力します。b) [Entries]を展開し、[Name]フィールドに名前(Dport-80)を入力します。c) [EtherTtype]ドロップダウンリストから、EtherType(IP)を選択します。d) [IP Protocol]ドロップダウンリストでプロトコル(tcp)を選択します。e) [Destination Port/Range]ドロップダウンリストから、[From]フィールドと [To]フィールドに、
[http]を選択します。(http)f) [Update]をクリックして、[Submit]をクリックします。新しく追加されたフィルタが、[Navigation]ペインと [Work]ペインに表示されます。
ステップ 3 [Name]フィールドの [Entries]を展開します。HTTPSを [Destination]ポートとして持つ別のエントリを追加するために、同じ手順を実行して [Update]をクリックします。新しいフィルタルールが追加されます。
ステップ 4 上と同じ手順で、「rmiおよび sqlのフィルタを作成するためのパラメータ, (93ページ)」に示されているパラメータを使用して、さらに 2つのフィルタ(rmiと sql)を作成します。
GUI を使用したコントラクトの作成
手順
ステップ 1 メニューバーで、[TENANTS]と、操作するテナントの名前を選択します。 [Navigation]ペインで、[tenant] > [Security Policies]を展開します。
ステップ 2 [Contracts] > [Create Contract]を右クリックします。
ステップ 3 [Create Contract]ダイアログボックスで、次の作業を実行します。a) [Name]フィールドに、コントラクト名(web)を入力します。b) 新しいサブジェクトを追加するために [Subjects]の横の [+]記号をクリックします。c) [Create Contract Subject]ダイアログボックスで、[Name]フィールドにサブジェクト名を入力します。(web)
d) このステップで、先に作成されたフィルタがコントラクトサブジェクトに関連付け
られます。
(注)
Cisco APIC スタートアップガイド94
使用する前に
GUI を使用したアプリケーションポリシーの導入
[Filter Chain]領域で、[Filters]の横の [+]記号をクリックします。e) ダイアログボックスで、ドロップダウンメニューからフィルタ名(http)を選択し、[Update]をクリックします。
ステップ 4 [Create Contract Subject]ダイアログボックスで、[OK]をクリックします。
ステップ 5 この手順の各ステップに同様に従って、rmi用と sql用にさらに 2つのコントラクトを作成します。 rmiコントラクトの場合には、rmiサブジェクトを、sqlコントラクトの場合には、sqlサブジェクトを選択します。
GUI を使用したアプリケーションプロファイルの作成
手順
ステップ 1 メニューバーで [TENANTS]を選択します。 [Navigation]ペインで、テナントを展開して、[Application Profiles]を右クリックし、[Create Application Profile]をクリックします。
ステップ 2 [Create Application Profile]ダイアログボックスで、[Name]フィールドに、アプリケーションプロファイル名(OnlineStore)を追加します。
GUI を使用した EPG の作成
手順
ステップ 1 [EPGs]を展開します。 [Create Application EPG]ダイアログボックスで、次の操作を実行します。a) [Name]フィールドに、EPGの名前(db)を追加します。b) [BridgeDomain]フィールドで、ドロップダウンリストからブリッジドメイン(bd1)を選択します。
c) [Associated Domain Profiles]を展開し、ドロップダウンリストからドメインプロファイル名(productionDC)を選択します。この操作によって、選択された VMMドメインの vCenterに EPGが配置されます。
d) [Update]をクリックして、[OK]をクリックします。
ステップ 2 [Create Application Profile]ダイアログボックスで、さらに 2つの EPG作成します。 3つの EPGは、同じブリッジドメインおよびデータセンターの db、app、webとする必要があります。
Cisco APIC スタートアップガイド95
使用する前に
GUI を使用したアプリケーションポリシーの導入
GUI を使用したコントラクトの使用と提供以前に作成したコントラクトを関連付けて、EPG間のポリシー関係を作成することができます。
手順
ステップ 1 db、app、および webという EPGが、アイコンで表示されます。
(注)
APIC GUIウィンドウ上で、db EPGをクリックして app EPGへドラッグします。[Add Consumed Contract]ダイアログボックスが表示されます。
ステップ 2 [Name]フィールドで、ドロップダウンリストから、[sql]コントラクトを選択します。 [OK]をクリックします。
このステップによって、db EPGによる sqlコントラクトの提供と app EPGによる sqlコントラクトの使用が可能になります。
ステップ 3 APIC GUI画面上で app EPGをクリックして web EPGへドラッグします。[Add Consumed Contract]ダイアログボックスが表示されます。
ステップ 4 [Name]フィールドで、ドロップダウンリストから、[rmi]コントラクトを選択します。 [OK]をクリックします。
このステップにより、app EPGが rmiコントラクトを提供し、web EPGが rmiコントラクトを使用できるようになります。
ステップ 5 web EPGのアイコンをクリックし、[Provided Contracts]領域の [+]記号をクリックします。[Add Provided Contract]ダイアログボックスが表示されます。
ステップ 6 [Name]フィールドで、ドロップダウンリストから、[web]コントラクトを選択します。 [OK]をクリックします。 [Submit]をクリックします。OnlineStoreという名前の Three-Tierアプリケーションプロファイルを作成しました。
ステップ 7 確認するには、[Navigation]ペインで、[Application Profiles]の下にある [OnlineStore]に移動してクリックします。
[Work]ペインに、app、db、webという 3つの EPGが表示されていることを確認できます。
ステップ 8 [Work]ペインで、[Operational] > [Contracts]を選択します。EPGとコントラクトが使用および提供される順番で表示されます。
REST API を使用したアプリケーションポリシーの導入
手順
ステップ 1 XML APIを使用してアプリケーションを展開するため、この HTTP POSTメッセージを送信します。
Cisco APIC スタートアップガイド96
使用する前に
REST API を使用したアプリケーションポリシーの導入
例:POSThttps://192.0.20.123/api/mo/uni/tn-ExampleCorp.xml
ステップ 2 POSTメッセージの本文にこの XML構造を含めます。
例:
<fvTenant name="ExampleCorp">
<fvAp name="OnlineStore"><fvAEPg name="web">
<fvRsBd tnFvBDName="bd1"/><fvRsCons tnVzBrCPName="rmi"/><fvRsProv tnVzBrCPName="web"/><fvRsDomAtt tDn="uni/vmmp-VMware/dom-datacenter"/>
</fvAEPg>
<fvAEPg name="db"><fvRsBd tnFvBDName="bd1"/><fvRsProv tnVzBrCPName="sql"/><fvRsDomAtt tDn="uni/vmmp-VMware/dom-datacenter"/>
</fvAEPg>
<fvAEPg name="app"><fvRsBd tnFvBDName="bd1"/><fvRsProv tnVzBrCPName="rmi"/><fvRsCons tnVzBrCPName="sql"/><fvRsDomAtt tDn="uni/vmmp-VMware/dom-datacenter"/>
</fvAEPg></fvAp>
<vzFilter name="http" ><vzEntry dFromPort="80" name="DPort-80" prot="tcp" etherT="ip"/><vzEntry dFromPort="443" name="DPort-443" prot="tcp" etherT="ip"/></vzFilter><vzFilter name="rmi" ><vzEntry dFromPort="1099" name="DPort-1099" prot="tcp" etherT="ip"/></vzFilter><vzFilter name="sql"><vzEntry dFromPort="1521" name="DPort-1521" prot="tcp" etherT="ip"/></vzFilter>
<vzBrCP name="web"><vzSubj name="web">
<vzRsSubjFiltAtt tnVzFilterName="http"/></vzSubj>
</vzBrCP>
<vzBrCP name="rmi"><vzSubj name="rmi">
<vzRsSubjFiltAtt tnVzFilterName="rmi"/></vzSubj>
</vzBrCP>
<vzBrCP name="sql"><vzSubj name="sql">
<vzRsSubjFiltAtt tnVzFilterName="sql"/></vzSubj>
</vzBrCP></fvTenant>
Cisco APIC スタートアップガイド97
使用する前に
REST API を使用したアプリケーションポリシーの導入
XML構造内の最初の行は、ExampleCorpという名前のテナントを変更するか、必要に応じて作成します。
<fvTenant name="ExampleCorp">
この行は OnlineStoreという名前のアプリケーションネットワークプロファイルを作成します。
<fvAp name="OnlineStore">
アプリケーションネットワークプロファイル内の要素は、3台のサーバのそれぞれに 1つずつで、3つのエンドポイントグループを作成します。以降の行は、webという名前のエンドポイントグループを作成し、既存の bd1という名前のブリッジドメインに関連付けます。このエンドポイントグループは、rmiという名前のバイナリコントラクトによって許可されたトラフィックのコンシューマ、つまり宛先で、かつ、webというコントラクトによって許可されたトラフィックのプロバイダー、つまり発信元です。エンドポイントグループは、datacenterという名前のVMMドメインに関連付けられます。
<fvAEPg name="web"><fvRsBd tnFvBDName="bd1"/><fvRsCons tnVzBrCPName="rmi"/><fvRsProv tnVzBrCPName="web"/><fvRsDomAtt tDn="uni/vmmp-VMware/dom-datacenter"/>
</fvAEPg>
残りの 2つ、アプリケーションサーバとデータベースサーバのためのエンドポイントグループも同様の方法で作成されます。
以降の行は、HTTP(ポート 80)および HTTPS(ポート 443)という種類の TCPトラフィックを指定する、httpという名前のトラフィックフィルタを定義します。
<vzFilter name="http" ><vzEntry dFromPort="80" name="DPort-80" prot="tcp" etherT="ip"/><vzEntry dFromPort="443" name="DPort-443" prot="tcp" etherT="ip"/></vzFilter>
残りの 2つ、アプリケーションデータおよびデータベース(sql)データのためのフィルタも同様の方法で作成されます。
以降の行は、httpという名前のフィルタを取り込む webという名前のバイナリコントラクトを作成します。
<vzBrCP name="web"><vzSubj name="web">
<vzRsSubjFiltAtt tnVzFilterName="http"/></vzSubj>
</vzBrCP>
残り 2つ、rmiおよび sqlのデータプロトコルのためのコントラクトも同様の方法で作成されます。
最後の行で構造を閉じます。
</fvTenant>
Cisco APIC スタートアップガイド98
使用する前に
REST API を使用したアプリケーションポリシーの導入
CLI を使用したアプリケーションポリシーの導入
手順
ステップ 1 CLIで、ディレクトリを /aciに変更します。
例:admin@apic1:~> cd /aci
ステップ 2 テナントのアプリケーションネットワークプロファイルを作成します。
この例のアプリケーションネットワークプロファイルは OnlineStoreです。
例:admin@apic1:aci> cd /aci/tenants/ExampleCorp/application-profiles/admin@apic1:application-profiles> mocreate OnlineStoreadmin@apic1:application-profiles> moconfig commitCommitting mo 'tenants/ExampleCorp/application-profiles/OnlineStore'
All mos committed successfully.admin@apic1:application-profiles>
ステップ 3 テナントのアプリケーションネットワークプロファイルに関するアプリケーションWeb、データベースとアプリケーション EPGを作成します。
例:admin@apic1:application-profiles> cd OnlineStore/admin@apic1:OnlineStore> mocreate application-epg webadmin@apic1:OnlineStore> mocreate application-epg dbadmin@apic1:OnlineStore> mocreate application-epg appadmin@apic1:OnlineStore> moconfig commitCommitting mo 'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-app'Committing mo 'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-db'Committing mo 'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-web'
All mos committed successfully.admin@apic1:OnlineStore>
ステップ 4 これらの EPG間の各トラフィックタイプのフィルタを作成します。
例:admin@apic1:OnlineStore> cd /aci/tenants/ExampleCorp/security-policies/filters/
ステップ 5 httpおよび httpsのトラフィックのフィルタを作成します。
例:admin@apic1:filters> mocreate httpadmin@apic1:filters> moconfig commitCommitting mo 'tenants/ExampleCorp/security-policies/filters/http'
All mos committed successfully.admin@apic1:filters>
admin@apic1:filters> cd http/entries/admin@apic1:entries> mocreate DPort-80 ethertype ipadmin@apic1:entries> cd DPort-80admin@apic1:DPort-80> moset ip-protocol tcpadmin@apic1:DPort-80> moset destination-port-dfromport 80
Cisco APIC スタートアップガイド99
使用する前に
CLI を使用したアプリケーションポリシーの導入
admin@apic1:DPort-80> moconfig commitCommitting mo 'tenants/ExampleCorp/security-policies/filters/http/entries/DPort-80'
All mos committed successfully.admin@apic1:DPort-80> cd ../admin@apic1:entries> mocreate DPort-443 ethertype ipadmin@apic1:entries> cd DPort-443admin@apic1:DPort-443> moset ip-protocol tcpadmin@apic1:DPort-443> moset destination-port-dfromport 443admin@apic1:DPort-443> moconfig commitCommitting mo 'tenants/ExampleCorp/security-policies/filters/http/entries/DPort-443'
All mos committed successfully.admin@apic1:DPort-443>
ステップ 6 Remote Method Invocation(RMI)トラフィックのフィルタを作成します。
例:admin@apic1:~> cd /aci/tenants/ExampleCorp/security-policies/filters/admin@apic1:filters> mocreate rmiadmin@apic1:filters> moconfig commitCommitting mo 'tenants/ExampleCorp/security-policies/filters/rmi'
All mos committed successfully.admin@apic1:filters> cd rmi/entries/admin@apic1:entries> mocreate DPort-1099 ethertype ipadmin@apic1:entries> cd DPort-1099admin@apic1:DPort-1099> moset ip-protocol tcpadmin@apic1:DPort-1099> moset destination-port-dfromport 1099admin@apic1:DPort-1099> moconfig commitCommitting mo 'tenants/ExampleCorp/security-policies/filters/rmi/entries/DPort-1099'
All mos committed successfully.admin@apic1:DPort-1099>
ステップ 7 SQL/databaseトラフィックのフィルタを作成します。
例:admin@apic1:DPort-1099> cd /aci/tenants/ExampleCorp/security-policies/filters/admin@apic1:filters> mocreate sqladmin@apic1:filters> moconfig commitCommitting mo 'tenants/ExampleCorp/security-policies/filters/sql'
All mos committed successfully.admin@apic1:filters> cd sql/entries/admin@apic1:entries> mocreate DPort-1521 ethertype ipadmin@apic1:entries> cd DPort-1521admin@apic1:DPort-1521> moset ip-protocol tcpadmin@apic1:DPort-1521> moset destination-port-dfromport 1521admin@apic1:DPort-1521> moconfig commitCommitting mo 'tenants/ExampleCorp/security-policies/filters/sql/entries/DPort-1521'
All mos committed successfully.admin@apic1:DPort-1521>
ステップ 8 コントラクトを作成し、EPG間の RMIトラフィックのフィルタを割り当てます。
例:admin@apic1:DPort-1521>admin@apic1:DPort-1521> cd /aci/tenants/ExampleCorp/security-policies/contracts/admin@apic1:contracts> mocreate rmiadmin@apic1:contracts> moconfig commitCommitting mo 'tenants/ExampleCorp/security-policies/contracts/rmi'
Cisco APIC スタートアップガイド100
使用する前に
CLI を使用したアプリケーションポリシーの導入
All mos committed successfully.admin@apic1:contracts> cd rmi/subjects/admin@apic1:subjects> mocreate rmiadmin@apic1:subjects> moconfig commitCommitting mo 'tenants/ExampleCorp/security-policies/contracts/rmi/subjects/rmi'
All mos committed successfully.admin@apic1:subjects> cd rmi/filters/admin@apic1:filters> mocreate rmiadmin@apic1:filters> moconfig commitCommitting mo 'tenants/ExampleCorp/security-policies/contracts/rmi/subjects/rmi/filters/rmi'
All mos committed successfully.admin@apic1:filters>
ステップ 9 コントラクトを作成し、EPG間の webトラフィックのフィルタを割り当てます。
例:admin@apic1:filters> cd /aci/tenants/ExampleCorp/security-policies/contracts/admin@apic1:contracts> mocreate webadmin@apic1:contracts> moconfig commitCommitting mo 'tenants/ExampleCorp/security-policies/contracts/web'
All mos committed successfully.admin@apic1:contracts> cd web/subjects/admin@apic1:subjects> mocreate webadmin@apic1:subjects> moconfig commitCommitting mo 'tenants/ExampleCorp/security-policies/contracts/web/subjects/web'
All mos committed successfully.admin@apic1:subjects> cd web/filters/admin@apic1:filters> mocreate httpadmin@apic1:filters> moconfig commitCommitting mo 'tenants/ExampleCorp/security-policies/contracts/web/subjects/web/filters/http'
All mos committed successfully.admin@apic1:filters>
ステップ 10 コントラクトを作成し、EPG間の SQLトラフィックのフィルタを割り当てます。
例:admin@apic1:filters> cd /aci/tenants/ExampleCorp/security-policies/contracts/admin@apic1:contracts> mocreate sqladmin@apic1:contracts> moconfig commitCommitting mo 'tenants/ExampleCorp/security-policies/contracts/sql'
All mos committed successfully.admin@apic1:contracts> cd sql/subjects/admin@apic1:subjects> mocreate sqladmin@apic1:subjects> moconfig commitCommitting mo 'tenants/ExampleCorp/security-policies/contracts/sql/subjects/sql'
All mos committed successfully.admin@apic1:subjects> cd sql/filters/admin@apic1:filters> mocreate sqladmin@apic1:filters> moconfig commitCommitting mo 'tenants/ExampleCorp/security-policies/contracts/sql/subjects/sql/filters/sql'
All mos committed successfully.admin@apic1:filters>
ステップ 11 web EPGにブリッジドメイン、コントラクト、VMMドメインをアタッチします。
Cisco APIC スタートアップガイド101
使用する前に
CLI を使用したアプリケーションポリシーの導入
例:
admin@apic1:filters> cd/aci/tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-web/admin@apic1:application-epg-web> moset bridge-domain bd1admin@apic1:application-epg-web> moconfig commitCommitting mo 'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-web'
All mos committed successfully.admin@apic1:application-epg-web> cd contracts/consumed-contracts/admin@apic1:consumed-contracts> mocreate rmiadmin@apic1:consumed-contracts> moconfig commitCommitting mo'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-web/contracts/consumed-contracts/rmi'
All mos committed successfully.admin@apic1:consumed-contracts> cd ../provided-contracts/admin@apic1:provided-contracts> mocreate webadmin@apic1:provided-contracts> moconfig commitCommitting mo'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-web/contracts/provided-contracts/web'
All mos committed successfully.admin@apic1:provided-contracts> cd ../../domains-vms-and-bare-metals/admin@apic1:domains-vms-and-bare-metals> mocreatevm-networking/policies/VMware/vmm-domains/productionDCadmin@apic1:domains-vms-and-bare-metals> moconfig commitCommitting mo 'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-web/domains-vms-and-bare-metals/[vm-networking/policies/vmware/vmm-domains/productionDC]'
All mos committed successfully.admin@apic1:domains-vms-and-bare-metals>
ステップ 12 db EPGにブリッジドメイン、コントラクト、VMMドメインをアタッチします。
例:admin@apic1:domains-vms-and-bare-metals> cd /aci/tenants/ExampleCorp/application-profiles/application-profile-OnlineStore/application-epg-db/admin@apic1:domains-vms-and-bare-metals> moset bridge-domain bd1admin@apic1:domains-vms-and-bare-metals> moconfig commitCommitted mo'tenants/ExampleCorp/application-profiles/application-profile-OnlineStore/application-epg-sql'
All mos committed successfully.admin@apic1:domains-vms-and-bare-metals>admin@apic1:domains-vms-and-bare-metals> cd /aci/tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-db/admin@apic1:application-epg-db> moset bridge-domain bd1admin@apic1:application-epg-db> moconfig commitCommitting mo 'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-db'
All mos committed successfully.admin@apic1:application-epg-db> cd contracts/provided-contracts/admin@apic1:provided-contracts> mocreate sqladmin@apic1:provided-contracts> moconfig commitCommitting mo'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-db/contracts/provided-contracts/sql'
All mos committed successfully.admin@apic1:provided-contracts> cd ../../domains-vms-and-bare-metals/admin@apic1:domains-vms-and-bare-metals> mocreatevm-networking/policies/VMware/vmm-domains/productionDCadmin@apic1:domains-vms-and-bare-metals> moconfig commitCommitting mo 'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-db/domains-vms-and-bare-metals/[vm-networking/policies/vmware/vmm-domains/productionDC]'
Cisco APIC スタートアップガイド102
使用する前に
CLI を使用したアプリケーションポリシーの導入
All mos committed successfully.admin@apic1:domains-vms-and-bare-metals>
ステップ 13 app EPGにブリッジドメイン、コントラクト、VMMドメインをアタッチします。
例:admin@apic1:domains-vms-and-bare-metals> cd /aci/tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-app/admin@apic1:application-epg-app> moset bridge-domain bd1admin@apic1:application-epg-app> moconfig commitCommitting mo 'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-app'
All mos committed successfully.
ステップ 14 app EPGアプリケーションにプロバイダーコントラクトを関連付けます。
例:admin@apic1:application-epg-app> cd contracts/provided-contracts/admin@apic1:provided-contracts> mocreate rmiadmin@apic1:provided-contracts> moconfig commitCommitting mo'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-app/contracts/provided-contracts/rmi'
All mos committed successfully.admin@apic1:provided-contracts> cd ../consumed-contracts/admin@apic1:consumed-contracts> mocreate sqladmin@apic1:consumed-contracts> moconfig commitCommitting mo'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-app/contracts/consumed-contracts/sql'
All mos committed successfully.admin@apic1:consumed-contracts> cd ../../domains-vms-and-bare-metals/admin@apic1:domains-vms-and-bare-metals> mocreatevm-networking/policies/VMware/vmm-domains/productionDCadmin@apic1:domains-vms-and-bare-metals> moconfig commitCommitting mo'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-app/domains-vms-and-bare-metals/[vm-networking/policies/vmware/vmm-domains/productionDC]'
All mos committed successfully.admin@apic1:domains-vms-and-bare-metals>
ステップ 15 app、db、webという EPGにポートと VLANを関連付けます。
例:admin@apic1:domains-vms-and-bare-metals> cd /aci/tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-app/static-bindings-paths/admin@apic1:static-bindings-paths> mocreate topology/pod-1/paths-17/pathep-[eth1/2] encap vlan-100 deployment-immediacy immediateadmin@apic1:static-bindings-paths> moconfig commitCommitting mo'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-app/static-bindings-paths/[topology/pod-1/paths-17/pathep-[eth1/2]]'
All mos committed successfully.admin@apic1:static-bindings-paths>admin@apic1:static-bindings-paths> cd/aci/tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-db/static-bindings-paths/admin@apic1:static-bindings-paths> mocreate topology/pod-1/paths-17/pathep-[eth1/3] encap vlan-101 deployment-immediacy immediateadmin@apic1:static-bindings-paths> moconfig commitCommitting mo'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-db/static-bindings-paths/[topology/pod-1/paths-17/pathep-[eth1/3]]'
Cisco APIC スタートアップガイド103
使用する前に
CLI を使用したアプリケーションポリシーの導入
All mos committed successfully.admin@apic1:static-bindings-paths>admin@apic1:static-bindings-paths> cd/aci/tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-web/static-bindings-paths/admin@apic1:static-bindings-paths> mocreate topology/pod-1/paths-17/pathep-[eth1/4] encap vlan-102 deployment-immediacy immediateadmin@apic1:static-bindings-paths> moconfig commitCommitting mo'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-web/static-bindings-paths/[topology/pod-1/paths-17/pathep-[eth1/4]]'
All mos committed successfully.admin@apic1:static-bindings-paths>
Cisco APIC スタートアップガイド104
使用する前に
CLI を使用したアプリケーションポリシーの導入
第 2 章
ブレードサーバの使用
この章の内容は、次のとおりです。
• ブレードサーバのアクセスポリシーのセットアップ, 105 ページ
• オーバーライドポリシーによるブレードサーバのアクセスポリシーの設定, 109 ページ
ブレードサーバのアクセスポリシーのセットアップ
ブレードサーバのアクセスポリシーを設定するためのガイドライン
ここでは、次の設定を行う手順について説明します。
•リーフスイッチのポートで、LACPポートチャネルおよび CDPをイネーブルにし、LLDPをディセーブルにします。
•ハイパーバイザリンクでLACPポートチャネルおよびCDPをイネーブルにし、LLDPをディセーブルにします。
この例では、ポートチャネルを使用して、ブレードサーバのアクセスポリシーを設定する方
法を示します。ファブリックインターコネクトが単一の接続または仮想 PortChannel(vPC)を使用してリーフスイッチに接続されている場合、ブレードサーバのアクセスポリシーの
セットアップに同様の手順を使用できます。設定されたポートチャネルがない場合、デフォ
ルトは mac-pinningになり、vNICからの全パケットが単一のハイパーバイザ物理 NICを使用します。
(注)
• APICはファブリックインターコネクト、およびブレードサーバを管理しないため、手動でこれらのサービスを設定する必要があります。
Cisco APIC スタートアップガイド105
•ファブリックインターコネクト上のリーフスイッチへのファブリックインターコネクトのアップリンクに関連付ける VLANプールは手動で設定する必要があります。詳細については、『Cisco UCS Manager GUI Configuration Guide』を参照してください。
•ハイパーバイザが、Virtual ExtensibleLAN(VXLAN)または総称ルーティングカプセル化を使用したネットワーク仮想化(NVGRE)などのオーバーレイカプセル化を使用する場合は、ファブリックインターコネクト上のファブリックインフラストラクチャ VLANをイネーブルにする必要があります。
•各ファブリックインターコネクトに一意の管理 IPアドレスを割り当てる必要があります。
Cisco UCS Bシリーズサーバの場合のみ
• Cisco UCS Bシリーズサーバを使用し、APICポリシーを使用している場合、Link LayerDiscoveryProtocol(LLDP)は、サポートされていないためディセーブルにする必要があります。
• Cisco Discovery Prototol(CDP)は、Cisco UCS Managerファブリックインターコネクトでデフォルトによりディセーブルになります。CiscoUCSManagerでは、[NetworkControl Policies]> [CDP]でポリシーを作成して、CDPをイネーブルにする必要があります。
• UCSサーバサービスプロファイルでアダプタのファブリックフェールオーバーをイネーブルにしないでください。
GUI を使用した、ブレードサーバのアクセスポリシーのセットアップ
はじめる前に
Cisco APICと動作するには、Cisco UCSファブリックインターコネクトは少なくともバージョン2.2(1c)である必要があります。BIOS、CIMCおよびアダプタなどのすべてのコンポーネントは、バージョン 2.2(1c)以降である必要があります。その他の詳細については、『Cisco UCS ManagerCLI Configuration Guide』を参照してください。
Cisco APIC スタートアップガイド106
ブレードサーバの使用
GUI を使用した、ブレードサーバのアクセスポリシーのセットアップ
手順
ステップ 1 メニューバーで、[FABRIC] > [Access Policies]を選択します。
ステップ 2 [Navigation]ペインで、[Quick Start]をクリックします。 [Work]ペインで、[Configure Interface, PC,and VPC]を選択します。
ステップ 3 [Configure Interface, PC, and VPC]ダイアログボックスで、スイッチを選択するために、[+]アイコンをクリックします。
ステップ 4 [Switches]フィールドで、ドロップダウンリストの適切なスイッチノードの横にあるチェックボックスをオンにします。
ステップ 5 [Switch Profile Name]フィールドに、スイッチプロファイルの名前を入力します。
ステップ 6 スイッチインターフェイスを設定するために [+]アイコンをクリックします。
ステップ 7 [Interface Type]フィールドで、[PC]オプションボタンをクリックします。
ステップ 8 [Interfaces]フィールドに、ファブリックインターコネクトポートチャネルに接続するインターフェイスを入力します。
ステップ 9 [Interface Selector Name]フィールドに、選択を説明する名前を入力します。
ステップ 10 [PC Policy Group]のドロップダウンリストから、[Create PC Interface Policy Group]を選択します。
ステップ 11 [Create PC Interface Policy Group]ダイアログボックスで、次の操作を実行します。a) [Name]フィールドに、ポリシーグループの名前を入力します。
このポリシーグループ名は、接続エンティティプロファイル(AEP)を設定する場合の VMMドメインポリシーを作成するときにも必要になります。
(注)
b) (任意) [Link Level Policy]フィールドで、ドロップダウンリストから、リンクレベルポリシーを作成します。
このポリシーは、リーフスイッチが 1 GBインターフェイスを使用して接続されている場合に必要です。
(注)
c) [CDP Policy]フィールドで、ドロップダウンリストから、[Create CDP Interface Policy]を選択します。
d) [CreateCDP Interface Policy]ダイアログボックスで、[Name]フィールドに、名前を入力します。e) [AdminState]フィールドで、[Enabled]オプションボタンをクリックします。 [Submit]をクリックします。
f) [LLDP Policy]フィールドで、ドロップダウンリストから、[Create LLDP Interface Policy]を選択します。
g) [Create LLDP Interface Policy]ダイアログボックスで、[Name]フィールドに、名前を入力します。
h) [Receive State]フィールドと [Transmit state]フィールドの両方で、[Disabled]オプションボタンをクリックします。 [Submit]をクリックします。
LLDPをディセーブルにする必要があります。
(注)
i) [LACP Policy]フィールドで、ドロップダウンリストから、LACPをイネーブルにします。j) [Create LACP Policy]ダイアログボックスで、[Name]フィールドに、名前を入力します。k) [Mode]フィールドで、[Active]オプションボタンをクリックします。
Cisco APIC スタートアップガイド107
ブレードサーバの使用
GUI を使用した、ブレードサーバのアクセスポリシーのセットアップ
l) [Control]フィールドで、[Graceful Convergence]、[Suspend Individual Port]、および [Fast SelectHot Standby Ports]のチェックボックスをオンにします。
m) [Minimum Number of Links]フィールドで、[1]を選択します。n) [Maximum Number of Links]フィールドで [16]を選択します。 [Submit]をクリックします。
ステップ 12 [Create PC Interface Policy Group]ダイアログボックスで、[Submit]をクリックします。
ステップ 13 [Configure Interface, PC, and VPC]ダイアログボックスで、[Save]をクリックして、[Submit]をクリックします。
アクセスポリシーは、VMネットワークドメインに対応します。
次の作業
vCenter Serverに接続し、データセンターで vDSを作成するために vCenterドメインを設定します。「vCenterドメインプロファイルの作成」の項を参照してください。
接続エンティティプロファイル(AEP)および vCenterドメインを設定する場合、ポートチャネルインターフェイスポリシーグループで使用されているのと同じポリシーグループの名前
を使用する必要があります。 VM管理(VMM)ドメインは、AEPから自動的に物理インターフェイスポリシーを取得します。
(注)
REST API を使用した、ブレードサーバのアクセスポリシーのセットアップ
手順
ブレードサーバのアクセスポリシーをセットアップします。
例:POST: https://<ip or hostname IFC>/api/node/mo/uni.xml
<polUni><infraInfra><!-- Define LLDP CDP and LACP policies --><lldpIfPol name="disable_lldp" adminRxSt="disabled" adminTxSt="disabled"/><cdpIfPol name="enable_cdp" adminSt="enabled"/>
<lacpLagPol name='enable_lacp' ctrl='15' descr='LACP' maxLinks='16' minLinks='1'mode='active'/>
<!-- List of nodes. Contains leaf selectors. Each leaf selector contains list ofnode blocks -->
<infraNodeP name="leaf1"><infraLeafS name="leaf1" type="range"><infraNodeBlk name="leaf1" from_="1017" to_="1017"/>
</infraLeafS><infraRsAccPortP tDn="uni/infra/accportprof-portselector"/>
</infraNodeP>
Cisco APIC スタートアップガイド108
ブレードサーバの使用
REST API を使用した、ブレードサーバのアクセスポリシーのセットアップ
<!-- PortP contains port selectors. Each port selector contains list of ports. Italso has association to port group policies -->
<infraAccPortP name="portselector"><infraHPortS name="pselc" type="range"><infraPortBlk name="blk" fromCard="1" toCard="1" fromPort="39" toPort="40">
</infraPortBlk><infraRsAccBaseGrp tDn="uni/infra/funcprof/accbundle-leaf1_PC"/>
</infraHPortS></infraAccPortP>
<!-- FuncP contains access bundle group policies --><infraFuncP>
<!-- Access bundle group has relation to PC, LDP policies and to attachentity profile -->
<infraAccBndlGrp name="leaf1_PC" lagT='link'><infraRsLldpIfPol tnLldpIfPolName="disable_lldp"/><infraRsLacpPol tnLacpLagPolName='enable_lacp'/><infraRsCdpIfPol tnCdpIfPolName="enable_cdp"/><infraRsAttEntP tDn="uni/infra/attentp-vmm-FI2"/>
</infraAccBndlGrp></infraFuncP>
<!-- AttEntityP has relation to VMM domain --><infraAttEntityP name="vmm-FI2">
<infraRsDomP tDn="uni/vmmp-VMware/dom-productionDC"/><!-- Functions --><infraProvAcc name="provfunc"/>
</infraAttEntityP>
</infraInfra></polUni>
OUTPUT:<?xml version="1.0" encoding="UTF-8"?><imdata></imdata>
オーバーライドポリシーによるブレードサーバのアクセ
スポリシーの設定
ブレードサーバのアクセスポリシーをオーバーライドポリシーで設
定するためのガイドライン
ここでは、ブレードスイッチのノースバウンドとサウスバンドのインターフェイスで同一でない
ポリシーの設定方法を示します。そのような場合にアクセスポリシーを設定するには、接続エン
ティティプロファイル(AEP)を作成するときに設定のホスト側でオーバーライドポリシーを使用します。
次の例で、ポートチャネルを使用して設定する方法を示します。同様の手順が、ファブリッ
クインターコネクトが単一の接続または vPCを使用してリーフスイッチに接続されている場合のセットアップにも使用できます。ポートチャネルが設定されていない場合、デフォルト
はMACピン接続になり、vNICからの全パケットが単一のハイパーバイザ物理 NICを使用します。
(注)
Cisco APIC スタートアップガイド109
ブレードサーバの使用
オーバーライドポリシーによるブレードサーバのアクセスポリシーの設定
• APICはファブリックインターコネクトおよびブレードサーバを管理しないため、手動でこれらのデバイスを設定する必要があります。
•ファブリックインターコネクト上のリーフスイッチへのファブリックインターコネクトのアップリンクに関連付ける VLANプールを手動で設定する必要があります。詳細については、『Cisco UCS Manager GUI Configuration Guide』を参照してください。
•ハイパーバイザが、Virtual ExtensibleLAN(VXLAN)または総称ルーティングカプセル化を使用したネットワーク仮想化(NVGRE)などのオーバーレイカプセル化を使用する場合は、ファブリックインターコネクト上のファブリックインフラストラクチャ VLANをイネーブルにする必要があります。
•各ファブリックインターコネクトに一意の管理 IPアドレスを割り当てる必要があります。
Cisco UCS Bシリーズサーバの場合のみ
• Cisco UCS Bシリーズサーバを使用し、APICポリシーを使用している場合、Link LayerDiscoveryProtocol(LLDP)は、サポートされていないためディセーブルにする必要があります。
• Cisco Discovery Prototol(CDP)は、Cisco UCS Managerファブリックインターコネクトでデフォルトによりディセーブルになります。CiscoUCSManagerでは、[NetworkControl Policies]> [CDP]でポリシーを作成して、CDPをイネーブルにする必要があります。
• UCSサーバサービスプロファイルでアダプタのファブリックフェールオーバーをイネーブルにしないでください。
GUI を使用した、ブレードサーバに対するオーバーライドポリシーによるアクセスポリシーのセットアップ
はじめる前に
Cisco APICと動作するには、Cisco UCSファブリックインターコネクトは少なくともバージョン2.2(1c)である必要があります。BIOS、CIMCおよびアダプタなどのすべてのコンポーネントは、バージョン 2.2(1c)以降である必要があります。その他の詳細については、『Cisco UCS ManagerCLI Configuration Guide』を参照してください。
Cisco APIC スタートアップガイド110
ブレードサーバの使用
GUI を使用した、ブレードサーバに対するオーバーライドポリシーによるアクセスポリシーのセットアップ
手順
ステップ 1 メニューバーで、[FABRIC] > [Access Policies]を選択します。
ステップ 2 [Work]ペインで、[Configure Interface, PC, and vPC]をクリックします。
ステップ 3 [Configure Interface, PC, and VPC]ダイアログボックスで、スイッチを選択するために、[+]アイコンをクリックします。
ステップ 4 [Switches]フィールドで、ドロップダウンリストから、適切なスイッチ IDを選択します。
ステップ 5 [Switch Profile Name]フィールドに、スイッチプロファイルの名前を入力します。
ステップ 6 スイッチインターフェイスを設定するために [+]アイコンをクリックします。
ステップ 7 [Interface Type]フィールドで、[PC]オプションボタンをクリックします。
ステップ 8 [Interfaces]フィールドに、適切なインターフェイスを入力します。
ステップ 9 [Interface Selector Name]フィールドに名前を入力します。
ステップ 10 [PC Policy Group]フィールドで、ドロップダウンリストの [Create PC Interface Policy Group]をクリックします。
ステップ 11 [Create PC Interface Policy Group]ダイアログボックスで、次の操作を実行します。a) [Name]フィールドにポリシーグループの名前を入力します。
CDPデフォルトポリシーは、デフォルトで自動的にディセーブルになります。したがって、CDPポリシーのアクションは設定のリーフスイッチ側では必要ありません。
(注)
b) [LLDP Policy]フィールドで、ドロップダウンリストの [Create LLDP Interface Policy]をクリックします。
LLDPは、設定のリーフスイッチ側でイネーブルにする必要があります。
(注)
c) [Create LLDP Interface Policy]ダイアログボックスの [Receive State]と [Transmit State]のオプションボタンで [Enabled]クリックします。 [Submit]をクリックします。
d) [LACP Policy]フィールドで、ドロップダウンリストの [Create LACP Policy]をクリックします。
e) [Create LACPPolicy]ダイアログボックスで、[Name]フィールドに、LACPのポリシーの名前を入力します。
f) [Mode]フィールドで、[Active]オプションボタンをクリックします。g) [Control]フィールドで、[Graceful Convergence]、[Suspend Individual Port]、および [Fast Select
Hot Standby Ports]のチェックボックスをクリックします。 [Submit]をクリックします。
ステップ 12 [Configure Interface, PC, and VPC]ダイアログボックスで、[Save]をクリックします。 [Submit]をクリックします。
ステップ 13 [Navigation]ペインで、[Switch Policies] > [Profiles]を展開します。作成したスイッチプロファイルをクリックします。
[Work]ペインに、プロパティが表示されます。
ステップ 14 [Navigation]ペインで、[Interface Policies] > [Policies] > [CDP Interface]を展開します。CDPのデフォルト値はディセーブルであり、ホスト側で上書きする必要があります。
(注)
Cisco APIC スタートアップガイド111
ブレードサーバの使用
GUI を使用した、ブレードサーバに対するオーバーライドポリシーによるアクセスポリシーのセットアップ
ステップ 15 [Create CDP Interface Policy]ダイアログボックスで、[Name]フィールドに、名前を入力します。
ステップ 16 [Admin State]フィールドで、[Enabled]オプションボタンをクリックします。 [Submit]をクリックします。
ステップ 17 [Navigation]ペインで、[Interface Polices] > [Policies] > [LLDP Interface]を展開します。
ステップ 18 [Create LLDP Interface Policy]ダイアログボックスで、[Name]フィールドに、名前を入力します。
ステップ 19 [Receive State]と [Transmit State]のフィールドで、[Disabled]オプションボタンをクリックします。[Submit]をクリックします。
ステップ 20 [Navigation]ペインで、[Interface Policies] > [Policies] > [LACP]を展開します。
ステップ 21 [Create LACP Policy]ダイアログボックスで、[Name]フィールドに、名前を入力します。
ステップ 22 [Mode]フィールドで、[Mac Pinning]オプションボタンをクリックします。 [Submit]をクリックします。
MACピン接続モードでは、LACPはオフです。
(注)
ステップ 23 [Navigation]ペインで、[Global Policies] > [Attachable Access Entity Profiles]を展開します。
ステップ 24 [Attachable Access Entity Profiles]を右クリックし、[Create Attachable Access Entity Profile]をクリックします。
ステップ 25 [Create Attachable Access Entity Profile]ダイアログボックスで、次の操作を実行します。a) [Name]フィールドに、名前を入力します。b) [Domains To be Associated Interfaces]フィールドで、[+]アイコンをクリックします。c) [Domain Profile]フィールドで、ドロップダウンリストから、前のステップで作成したドメインプロファイルを選択します。 [Update]をクリックします。
d) [Step 2 Association to Interfaces]領域の、[Select the interfaces]領域で、前のステップで作成したインターフェイスポリシーグループに対して [All]オプションボタンをクリックします。
e) [vSwitch Policies]フィールドで、[Specify]オプションボタンをクリックします。f) [CDP Policy]フィールドで、ドロップダウンリストから、CDPをイネーブルにする CDPポリシー名を選択します。
g) [LACP Policy]フィールドで、ドロップダウンリストから、LACPをディセーブルにするLACPポリシー名を選択します。
h) [LLDP Policy]フィールドで、ドロップダウンリストから、LLDPをディセーブルにする LLDPポリシー名を選択します。
i) [Finish]をクリックします。
オーバーライドポリシーが設定のホスト側にプッシュされます。
Cisco APIC スタートアップガイド112
ブレードサーバの使用
GUI を使用した、ブレードサーバに対するオーバーライドポリシーによるアクセスポリシーのセットアップ
REST API を使用した、ブレードサーバに対するオーバーライドポリシーによるアクセスポリシーのセットアップ
手順
ブレードサーバに対してオーバーライドポリシーでアクセスポリシーをセットアップします。
例:POST: https://<ip or hostname APIC>/api/node/mo/uni.xml
<polUni><infraInfra><!-- Define LLDP CDP and LACP policies --><lldpIfPol name="enable_lldp" adminRxSt="enabled" adminTxSt="enabled"/><lldpIfPol name="disable_lldp" adminRxSt="disabled" adminTxSt="disabled"/><cdpIfPol name="enable_cdp" adminSt="enabled"/><cdpIfPol name="disable_cdp" adminSt="disabled"/>
<lacpLagPol name='enable_lacp' ctrl='15' descr='LACP' maxLinks='16' minLinks='1'mode='active'/>
<lacpLagPol name='disable_lacp' mode='mac-pin'/>
<!-- List of nodes. Contains leaf selectors. Each leaf selector contains list ofnode blocks -->
<infraNodeP name="leaf1"><infraLeafS name="leaf1" type="range"><infraNodeBlk name="leaf1" from_="1017" to_="1017"/>
</infraLeafS><infraRsAccPortP tDn="uni/infra/accportprof-portselector"/>
</infraNodeP>
<!-- PortP contains port selectors. Each port selector contains list of ports. Italso has association to port group policies -->
<infraAccPortP name="portselector"><infraHPortS name="pselc" type="range"><infraPortBlk name="blk" fromCard="1" toCard="1" fromPort="39" toPort="40">
</infraPortBlk><infraRsAccBaseGrp tDn="uni/infra/funcprof/accbundle-leaf1_PC"/>
</infraHPortS></infraAccPortP>
<!-- FuncP contains access bundle group policies --><infraFuncP>
<!-- Access bundle group has relation to PC, LDP policies and to attachentity profile -->
<infraAccBndlGrp name="leaf1_PC" lagT='link'><infraRsLldpIfPol tnLldpIfPolName="enable_lldp"/><infraRsLacpPol tnLacpLagPolName='enable_lacp'/><infraRsAttEntP tDn="uni/infra/attentp-vmm-FI2"/>
</infraAccBndlGrp></infraFuncP>
<!-- AttEntityP has relation to VMM domain --><infraAttEntityP name="vmm-FI2">
<infraRsDomP tDn="uni/vmmp-VMware/dom-productionDC"/><!-- Functions --><infraProvAcc name="provfunc"/><!-- Policy overrides for VMM --><infraAttPolicyGroup name="attpolicy">
<!-- RELATION TO POLICIES GO HERE --><infraRsOverrideCdpIfPol tnCdpIfPolName="enable_cdp"/><infraRsOverrideLldpIfPol tnLldpIfPolName="disable_lldp"/>
Cisco APIC スタートアップガイド113
ブレードサーバの使用
REST API を使用した、ブレードサーバに対するオーバーライドポリシーによるアクセスポリシーのセットアップ
<infraRsOverrideLacpPol tnLacpLagPolName="disable_lacp"/></infraAttPolicyGroup/>
</infraAttEntityP>
</infraInfra></polUni>
OUTPUT:<?xml version="1.0" encoding="UTF-8"?><imdata></imdata>
Cisco APIC スタートアップガイド114
ブレードサーバの使用
REST API を使用した、ブレードサーバに対するオーバーライドポリシーによるアクセスポリシーのセットアップ
第 3 章
APIC コントローラおよびスイッチのソフトウェアのアップグレード
この章の内容は、次のとおりです。
• APICコントローラとスイッチのソフトウェアアップグレードについて, 115 ページ
• ファームウェア管理について, 116 ページ
• GUIを使用したソフトウェアのアップグレード, 117 ページ
• REST APIを使用したソフトウェアのアップグレード, 121 ページ
• アップグレードプロセス中の障害のトラブルシューティング, 123 ページ
APICコントローラとスイッチのソフトウェアアップグレードについて
ファブリックには、3種類のアップグレード可能なソフトウェアイメージがあります。
• APICコントローラソフトウェアイメージ:APICコントローラ上で動作するソフトウェアで構成されます。
•スイッチソフトウェアイメージ:ACIファブリック内のスイッチ(リーフおよびスパイン)で動作するソフトウェアで構成されます。
•カタログイメージ:ベンダーで作成された内部ポリシー(シスコ製など)で構成されます。これらの内部ポリシーには、ハードウェアの各モデルの機能、ソフトウェアの異なるバー
ジョン間の互換性、およびハードウェアと診断テストに関する情報が含まれます。カタログ
イメージは、コントローライメージに付随して暗黙的にアップグレードされます。時折、
カタログイメージだけをアップグレードする必要がある場合があります。この場合、カタ
ログイメージはコントローラソフトウェアと別個にアップグレードする必要があります。
そのようなアップグレードの例が当てはまるのは、ベンダーが一組の新しい診断ポリシーを
公開する場合です。
Cisco APIC スタートアップガイド115
次の順序でファブリックをアップグレードすることを推奨します。
1 APICコントローラのソフトウェアイメージ
2 すべてのスパインおよびリーフスイッチ用のスイッチソフトウェアイメージ
スイッチ(リーフおよびスパイン)を奇数と偶数などの 2グループに分けます。 2グループ間でスパインスイッチを均等に分割していることを確認します。 1つ目のグループをアップグレードしてから他方のグループをアップグレードします。
(注)
ファームウェア管理についてファームウェアリポジトリ:ソフトウェアイメージの分散リポジトリファームウェアソースポ
リシーを設定した場合、ソフトウェアイメージは、外部サーバ(HTTPまたは(SCP)からファームウェアリポジトリにダウンロードされます。イメージが外部ソースからダウンロードされる
と、クラスタのすべてのコントローラにわたって複製されます。スイッチはアップグレード中に
イメージを必要になった場合、到達可能なコントローラからイメージを取得します。
ファームウェアグループおよびファームウェアポリシー:ファームウェアポリシーを設定する
対象のノードのグループファームウェアポリシーはファームウェアの必要なバージョンを指定し
ます。ファームウェアポリシーは、ファームウェアアップグレードに関する「何」を指定しま
す。
メンテナンスグループおよびメンテナンスポリシー:ユーザがメンテナンスポリシーを設定す
るノードのグループメンテナンスポリシーは、アップグレードのスケジュールを指定します。
メンテナンスポリシーはファームウェアアップグレードに関する「いつ」と「どのように」を指
定します。
すべてのコントローラは、事前定義されたファームウェアグループと事前定義されたメンテナン
スグループに含まれます。コントローラグループメンバシップは設定可能ではなく、変更でき
ません。ただし、コントローラファームウェアポリシーおよびコントローラメンテナンスポリ
シーは変更できます。
スイッチをアップグレードする前に、スイッチのファームウェアグループを 1つ以上とメンテナンスグループを 1つ以上作成する必要があります。
Cisco APIC スタートアップガイド116
APIC コントローラおよびスイッチのソフトウェアのアップグレードファームウェア管理について
GUI を使用したソフトウェアのアップグレード
GUI を使用した APICコントローラソフトウェアのバージョンアップグレード
APICコントローラのファームウェアイメージを最初にアップグレードしてから、スイッチを新しいファームウェアイメージでアップグレードすることを推奨します。
(注)
手順
ステップ 1 メニューバーで [ADMIN] > [Firmware]を選択し、[Navigation]ペインで [Controller Firmware]をクリックします。
[Work]ペインで、APICコントローラが各コントローラにロードされた現在のファームウェアを表示します。ファームウェアが最後にアップグレードされたときの状態も表示されます。
ステップ 2 [Navigation]ペインで、[Controller Firmware]をクリックします。APICコントローラの現在のファームウェアバージョンが [Work]ペインで [Current Firmware]の下に表示されます。
ステップ 3 [ADMIN] > [Firmware]を選択して、[Navigation]ペインの [Download Tasks]をクリックします。
ステップ 4 [Work]ペインで、[General] > [Actions]を選択し、[Create Outside Firmware source]をクリックします。
ステップ 5 [Create Outside Firmware Source]ダイアログボックスで、次の操作を実行します。a) [Source Name]フィールドに、APICイメージファイルの名前(apic_image)を入力します。b) [Protocol]フィールドで、[HTTP]オプションボタンをクリックします。
httpソース、またはセキュアコピープロトコル(SCP)ソースからソフトウェアイメージをダウンロードする場合、適切なオプションボタンをクリックします。
(注)
c) [URL]フィールドに、イメージをダウンロードする URLを入力します。 [Submit]をクリックします。
APICコントローラのファームウェアイメージがダウンロードされるのを待ちます。
ステップ 6 [Navigation]ペインで、[Download Tasks]をクリックします。 [Work]ペインで、[Operational]をクリックして、イメージのダウンロード状態を表示します。
[Navigation]ペインで、ダウンロードが 100%に達したら、[Firmware Repository]をクリックします。
[Work]ペインに、ダウンロードされたバージョン番号およびイメージサイズが表示されます。
ステップ 7 [Navigation]ペインで、[Controller Firmware]をクリックします。 [Work]ペインで、[Actions] >[Upgrade Controller Firmware Policy]を選択します。 [Upgrade Controller Firmware Policy]ダイアログボックスで、次の操作を実行します。
a) [Ignore Compatibility Check]フィールドのチェックボックスをオンにします。
Cisco APIC スタートアップガイド117
APIC コントローラおよびスイッチのソフトウェアのアップグレードGUI を使用したソフトウェアのアップグレード
b) [Target Firmware Version]フィールドで、ドロップダウンリストから、アップグレードするイメージバージョンを選択します。
c) [Apply Policy]フィールドで、[Apply Now]のオプションボタンをクリックします。 [Submit]をクリックします。
[Status]ダイアログボックスに「Changes SavedSuccessfully」というメッセージが表示されて、アップグレードプロセスが開始されます。コントローラのクラスタがアップグレード中に使用できる
ように、APICコントローラは一度に 1台だけがアップグレード可能で順次実行されます。
ステップ 8 [Navigation]ペインの [Controller Firmware]をクリックして、アップグレードの状態を [Work]ペインで確認します。
コントローラのアップグレードはランダムな順番で行われます。各APICコントローラはアップグレードに約 10分かかります。コントローラのイメージがアップグレードされた場合、クラスタからドロップし、クラスタ内の他 APICのコントローラが動作している間に、新しいバージョンで再起動します。コントローラをリブートすると、クラ
スタに再び加わります。その後、クラスタが収束し、次のコントローラのイメージの
アップグレードを開始します。クラスタがすぐに収束せず、完全に正常でない場合、
アップグレードはクラスタが収束して完全に正常になるまで待機状態になります。こ
の間、「Waiting for Cluster Convergence」というメッセージが表示されます。
(注)
ステップ 9 ブラウザが接続されている APICコントローラがアップグレードされて再起動すると、ブラウザにエラーメッセージが表示されます。
(注)
ブラウザのURLフィールドに、すでにアップグレード済みの、APICコントローラのURLを入力し、プロンプトに応じてその APICコントローラにサインインします。
全コントローラが新しいファームウェアバージョンにアップグレードされるまで待機
してから、スイッチのファームウェアのアップグレードに進みます。
(注)
GUI を使用した、リーフおよびスパインスイッチソフトウェアのバージョンアップグレード
手順
ステップ 1 メニューバーで [ADMIN] > [Firmware]を選択し、[Navigation]ペインで [Fabric Node Firmware]を選択します。
[Work]ペインに、ファブリック内の全スイッチのリストが表示されます。ファームウェアが最後にアップグレードされたときの状態も表示されます。
ステップ 2 [Navigation]ペインで、[Download Tasks]をクリックします。
ステップ 3 [Work]ペインで、[General] > [Actions]を選択して、[CreateOutside Firmware source]をクリックし、次の操作を実行します。
a) [Source Name]フィールドにスイッチイメージの名前(switch_image)を入力します。b) [Protocol]フィールドで、[Secure copy]オプションボタンをクリックします。
Cisco APIC スタートアップガイド118
APIC コントローラおよびスイッチのソフトウェアのアップグレードGUI を使用した、リーフおよびスパインスイッチソフトウェアのバージョンアップグレード
ソフトウェアイメージのダウンロード元を httpソースにするかセキュアコピープロトコル(SCP)のソースにするかに応じて、適切なオプションボタンを選択します。
(注)
c) [URL]フィールドに、イメージをダウンロードする URLを入力します。d) [Username]フィールドに、セキュアコピーのユーザ名を入力します。e) [Password]フィールドに、セキュアコピーのパスワードを入力します。 [Submit]をクリックします。
スイッチファームウェアイメージがダウンロードされるのを待ちます。
ステップ 4 [Navigation]ペインで、[Download Tasks]をクリックします。 [Work]ペインで、[Operational]をクリックして、イメージのダウンロード状態を表示します。
[Navigation]ペインで、ダウンロードが 100%に達したら、[Firmware Repository]をクリックします。
[Work]ペインに、ダウンロードされたバージョン番号およびイメージサイズが表示されます。
ステップ 5 [Navigation]ペインで、[Fabric Node Firmware]をクリックします。[Work]ペインに、ファブリック内で動作しているスイッチが表示されます。
ステップ 6 [Work]ペインで、[Policy] > [Actions] > [Create Firmware Group]を選択します。 [Create FirmwareGroup]ダイアログボックスで、次の操作を実行します。a) [Nodes]の下にある [Select All]タブをクリックして、[Selected]列のファブリック内の全ノードを選択します。 [Next]をクリックします。
b) 「Firmware Group]の下にある [Group Name]フィールドにグループ名を入力します。c) [Ignore compatibility check]フィールドのチェックボックスをオンにします。d) [Target FirmwareVersion]フィールドで、ドロップダウンリストから、スイッチをアップグレードするための目的のイメージバージョンを選択します。 [Next]をクリックします。
e) [Maintenance Group]の下にある、[Select All]タブをクリックして、全スイッチに対する 1つのメンテナンスグループを選択します。
f) [Create Maintenance Group]タブをクリックします。g) [Create Maintenance Group]ダイアログボックスで、[Group Name]フィールドにグループ名を入力します。
h) [Run mode]フィールドで、デフォルトモードである [Pause only Upon Upgrade Failure]オプションボタンを選択します。
i) [Submit]をクリックします。 [Finish]をクリックします。
[Work]ペインに、全スイッチがアップグレードが予定されているファームウェアグループおよびメンテナンスグループの名前とともに表示されます。
ステップ 7 [Navigation]ペインで、[FabricNode Firmware] > [FirmwareGroups]を展開し、作成したファームウェアグループの名前をクリックします。
[Work]ペインに、以前に作成されたファームウェアポリシーの詳細が表示されます。
ステップ 8 [Navigation]ペインで、[Fabric Node Firmware] > [Maintenance Groups]を展開し、作成したメンテナンスグループをクリックします。
[Work]ペインに、メンテナンスポリシーの詳細が表示されます。
ステップ 9 作成したメンテナンスグループを右クリックし、[Upgrade Now]をクリックします。
ステップ 10 [Upgrade Now]ダイアログボックスで、「Do you want to upgrade the maintenance group policy now?」に対する [Yes]をクリックします。 [OK]をクリックします。
Cisco APIC スタートアップガイド119
APIC コントローラおよびスイッチのソフトウェアのアップグレードGUI を使用した、リーフおよびスパインスイッチソフトウェアのバージョンアップグレード
[Work]ペインで、[Status]にグループ内の全スイッチが同時にアップグレードされていく状況が表示されます。グループ内のデフォルトの同時実行数は 20に設定されます。したがって、20台のスイッチが同時にアップグレードされ、その後また 20台のスイッチの組がアップグレードされます。障害が発生した場合、スケジューラがサスペンド
し、APIC管理者の手動操作が必要になります。スイッチのアップグレードには、グループごとに最長で 12分かかります。スイッチはアップグレードするとリブートし、接続が切断されて、クラスタ内のコントローラはグループ内のスイッチとしばらくの
間、通信しません。スイッチがリブート後にクラスタに再加入した場合、コントロー
ラノードの下に全スイッチが一覧で表示されます。クラスタにVPCコンフィギュレーションがある場合、アップグレードプロセスは VPCドメインの 2台のスイッチのうち一度に 1台のスイッチのみをアップグレードします。
(注)
ステップ 11 [Navigation]ペインで、[Fabric Node Firmware]をクリックします。[Work]ペインで、一覧表示される全スイッチを確認します。 [Current Firmware]列に、アップグレードイメージの詳細が、各スイッチに対して表示されます。ファブリック内のスイッチが新し
いイメージにアップグレードされることを確認します。
GUI を使用したカタログソフトウェアバージョンのアップグレード通常、カタログイメージは、APICコントローライメージのアップグレード時にアップグレードされます。ただし、管理者がカタログイメージをアップグレードしなければならない場合もあり
ます。
手順
ステップ 1 メニューバーで、[ADMIN] > [Firmware]を選択します。 [Navigation]ペインで、[Catalog Firmware]をクリックします。
ステップ 2 [Work]ペインで、[Actions] > [Change Catalog Firmware Policy]を選択します。
ステップ 3 [Change Catalog Firmware Policy]ダイアログボックスで、次の操作を実行します。a) [Catalog Version]フィールドで、目的のカタログファームウェアのバージョンを選択します。b) ファームウェアをただちにアップグレードするために、[ApplyPolicy]フィールドの [ApplyNow]オプションボタンをクリックします。 [Submit]をクリックします。
c) [Work]ペインで、[Target Firmware version]フィールドが [Current Firmware Version]フィールドのイメージバージョンに一致する画像が表示されるまで待機します。
これでカタログのバージョンが、アップグレードされました。
Cisco APIC スタートアップガイド120
APIC コントローラおよびスイッチのソフトウェアのアップグレードGUI を使用したカタログソフトウェアバージョンのアップグレード
REST API を使用したソフトウェアのアップグレード
REST API を使用した APICコントローラソフトウェアのアップグレード
手順
ステップ 1 リポジトリに APICイメージをダウンロードします。
例:POST URL: https://<ip address>/api/node/mo/uni/fabric.xml<firmwareRepoP><firmwareOSource name="APIC_Image_download" proto="http" url="http://<ipaddress>/aci-apic-dk9.1.0.0.72.iso"/></firmwareRepoP>
ステップ 2 コントローラの目的のバージョンを設定するには、次のポリシーを POST送信します。
例:POST URL: https://<ip address>/api/node/mo/uni/controller.xml<firmwareCtrlrFwP
version="apic-1.0(0.72)"ignoreCompat="true">
</firmwareCtrlrFwP>
ステップ 3 コントローラのアップグレードをただちに起動する次のポリシーを POST送信します。
例:POST URL : https://<ip address>/api/node/mo/uni/controller.xml<maintCtrlrMaintP
adminState="up" adminSt="triggered"></maintCtrlrMaintP>
REST API を使用したスイッチソフトウェアのアップグレード
手順
ステップ 1 リポジトリにスイッチイメージをダウンロードします。
例:POST URL: https://<ip address>/api/node/mo/uni/fabric.xml<firmwareRepoP><firmwareOSource name="Switch_Image_download" proto="http" url="http://<ip
Cisco APIC スタートアップガイド121
APIC コントローラおよびスイッチのソフトウェアのアップグレードREST API を使用したソフトウェアのアップグレード
address>/aci-n9000-dk9.1.0.0.775.bin"/></firmwareRepoP>
ステップ 2 次のポリシーを、POST送信することにより、ノード IDが 101、102、103、104のスイッチから構成されるファームウェアグループを作成し、ノード ID 101、102、103、104によるメンテナンスグループを作成します。
例:POST URL : https://<ip address>/api/node/mo/uni/fabric.xml<fabricInst><firmwareFwP
name="AllswitchesFwP"version="n9000-1.0(0.775)"ignoreCompat="true">
</firmwareFwP>
<firmwareFwGrpname="AllswitchesFwGrp" >
<fabricNodeBlk name="Blk101"from_="101" to_="101">
</fabricNodeBlk><fabricNodeBlk name="Blk102"
from_="102" to_="102"></fabricNodeBlk><fabricNodeBlk name="Blk103"
from_="103" to_="103"></fabricNodeBlk><fabricNodeBlk name="Blk104"
from_="104" to_="104"></fabricNodeBlk>
<firmwareRsFwgrpptnFirmwareFwPName="AllswitchesFwP">
</firmwareRsFwgrpp></firmwareFwGrp>
<maintMaintPname="AllswitchesMaintP"runMode="pauseOnlyOnFailures" >
</maintMaintP>
<maintMaintGrpname="AllswitchesMaintGrp">
<fabricNodeBlk name="Blk101"from_="101" to_="101">
</fabricNodeBlk><fabricNodeBlk name="Blk102"
from_="102" to_="102"></fabricNodeBlk><fabricNodeBlk name="Blk103"
from_="103" to_="103"></fabricNodeBlk><fabricNodeBlk name="Blk104"
from_="104" to_="104"></fabricNodeBlk>
<maintRsMgrpptnMaintMaintPName="AllswitchesMaintP">
</maintRsMgrpp></maintMaintGrp></fabricInst>
ステップ 3 Allswitchesのアップグレードをただちに起動する次のポリシーを POST送信します。
例:POST URL : https://<ip address>/api/node/mo/uni/fabric.xml<maintMaintP
name="AllswitchesMaintP" adminSt="triggered"></maintMaintP>
Cisco APIC スタートアップガイド122
APIC コントローラおよびスイッチのソフトウェアのアップグレードREST API を使用したスイッチソフトウェアのアップグレード
ファームウェアバージョンおよびアップグレードの状態の確認
URL の例確認内容
GET URL:https://<ipaddress>/api/node/class/firmwareCtrlrRunning.xml
コントローラで現在実行中のファームウェアの
バージョン
GET URL:https://<ipaddress>/api/node/class/firmwareRunning.xml
スイッチで現在実行中のファームウェアのバー
ジョン
GET URL:https://<ipaddress>/api/node/class/maintUpgJob.xml
コントローラとスイッチのアップグレードの状
態
アップグレードプロセス中の障害のトラブルシューティ
ングメンテナンスポリシーごとに 1つのスケジューラが存在します。デフォルトでは、アップグレード障害が検出されるとスケジューラは停止し、そのグループのノードはもうアップグレードを開
始しません。スケジューラは、アップグレード障害の場合に手動介入によるデバッグを必要とし
ます。手動介入が完了したら、一時停止されたスケジューラを再開させる必要があります。
APICコントローラのアップグレードプロセス障害時の GUI による再起動
APICのアップグレードプロセスが失敗すると、[Scheduler Status]が [Paused]に設定されます。[Scheduler Status]が [Paused]の場合、アップグレードをスケジュールされた他の APICは、失敗したアップグレードが修正されるまでアップグレードされません。他の APICのアップグレードの再起動はできます。
手順
ステップ 1 [Work]ペインで、[Actions]をクリックして、[Resume Upgrade Scheduler]をクリックします。
ステップ 2 もう一度 [Actions]をクリックして、[Upgrade Controller Policy]を選択します。
ステップ 3 [Apply Now]を選択して、[Submit]をクリックします。アップグレードプロセスが再起動します。
Cisco APIC スタートアップガイド123
APIC コントローラおよびスイッチのソフトウェアのアップグレードファームウェアバージョンおよびアップグレードの状態の確認
APICコントローラメンテナンスポリシーのためにスケジューラが一時停止されていることの REST API を使用した確認
手順
コントローラメンテナンスポリシーのためにスケジューラが一時停止されていることを確認する
には、次の APIを POST送信します。
例:https://<ip address>/api/node/class/maintUpgStatus.xml
APIC コントローラメンテナンスポリシーのために一時停止したスケジューラの再開
APICコントローラメンテナンスポリシーのために一時停止したスケジューラの GUIを使用した再開
手順
ステップ 1 メニューバーで、[ADMIN] > [Firmware]を選択します。
ステップ 2 [Navigation]ペインで、[Fabric Node Firmware] > [Controller Firmware]を展開します。
ステップ 3 [Work]ペインで、[Policy]タブをクリックします。
ステップ 4 [Controller Maintenance Policy]領域で、[Running Status]フィールドの表示が [Paused]であることを確認します。
ステップ 5 [Actions]タブをクリックし、[Resume Upgrade Scheduler]をクリックします。
APICコントローラメンテナンスポリシーのために一時停止したスケジューラの RESTAPI を使用した再開
手順
コントローラメンテナンスポリシーのために一時停止されたスケジューラを再開するには、次の
APIをPOST送信します。この例では、メンテナンスポリシーは ConstCtrlrMaintPです。
Cisco APIC スタートアップガイド124
APIC コントローラおよびスイッチのソフトウェアのアップグレードAPICコントローラメンテナンスポリシーのためにスケジューラが一時停止されていることの REST APIを使用した確認
例:URL: https://<ip address>/api/node/mo.xml<maintUpgStatusCont><maintUpgStatus polName="ConstCtrlrMaintP" status="deleted" /></maintUpgStatusCont>
スイッチのメンテナンスポリシーのために一時停止したスケジューラ
の再開
スイッチメンテナンスポリシーのために一時停止したスケジューラの GUI による再開
手順
ステップ 1 メニューバーで、[ADMIN] > [Firmware]を選択します。
ステップ 2 [Navigation]ペインで、[Fabric Node Firmware] > [Maintenance Groups] > [maintenance_group_name]を展開します。
ステップ 3 [Work]ペインで、[Policy]タブをクリックします。
ステップ 4 [Maintenance Policy]領域で、[Running Status]フィールドの表示が [Paused]であることを確認します。
ステップ 5 [Actions]タブをクリックし、[Resume Upgrade Scheduler]をクリックします。
スイッチメンテナンスポリシーのために一時停止したスケジューラの REST API による再開
手順
スイッチメンテナンスポリシーのために一時停止されたスケジューラを再開するには、次のAPIをPOST送信します。この例では、メンテナンスポリシーは swmaintpです。
例:URL: https://<ip address>/api/node/mo.xml<maintUpgStatusCont><maintUpgStatus polName="swmaintp" status="deleted" /></maintUpgStatusCont>
Cisco APIC スタートアップガイド125
APIC コントローラおよびスイッチのソフトウェアのアップグレードスイッチのメンテナンスポリシーのために一時停止したスケジューラの再開
Cisco APIC スタートアップガイド126
APIC コントローラおよびスイッチのソフトウェアのアップグレードスイッチのメンテナンスポリシーのために一時停止したスケジューラの再開
第 4 章
Cisco APICクラスタの拡大および縮小
この章の内容は、次のとおりです。
• Cisco APIC Clusterのクラスタの拡大, 127 ページ
• Cisco APICクラスタの縮小 , 127 ページ
• クラスタ管理の注意事項, 128 ページ
• クラスタの拡大の例, 130 ページ
• クラスタの縮小の例, 131 ページ
Cisco APIC Cluster のクラスタの拡大Cisco APICのクラスタの拡大とは、正当な境界内で、クラスタサイズを Nから N+1へサイズの不一致を増加させる動作です。オペレータが管理クラスタサイズを設定し、適切なクラスタ IDの APICを接続すると、クラスタが拡張を実行します。
クラスタの拡大時は、APICコントローラを物理的に接続した順序に関係なく、APICの ID番号順に検出および拡大が実行されます。たとえば、APIC2がAPIC1の後で検出され、APIC3がAPIC2の後に検出され、以降、クラスタに追加する必要のあるすべての APICが検出されるまで続行されます。各 APICが順番に検出されるとともに、単一または複数のデータパスが確立され、パスに沿ってすべてのスイッチがファブリックに参加します。拡張プロセスは稼動中のクラスタサイ
ズが管理クラスタサイズと同等に達するまで続行されます。
Cisco APICクラスタの縮小Cisco APICクラスタの縮小とは、正当な境界内で、クラスタサイズ Nから N -1へサイズの不一致を軽減する動作です。縮小によってクラスタ内の残りの APICの計算およびメモリの負荷が増大し、解放された APICクラスタのスロットはオペレータ入力だけで使用できなくなります。
クラスタの縮小の際は、クラスタ内の最後の APICを最初に解放し、以降逆順で連続的に行います。たとえば、APIC4はAPIC3の前に解放し、APIC3はAPIC2の前に解放する必要があります。
Cisco APIC スタートアップガイド127
クラスタ管理の注意事項APICクラスタは複数の APICコントローラで構成され、ACIファブリックに対する統合されたリアルタイムモニタリング、診断および構成管理機能がオペレータに提供されます。最適なシステ
ムパフォーマンスが得られるように、APICクラスタを変更する場合は次のガイドラインに従ってください。
クラスタへの変更を開始する前に、必ずその状態を確認してください。クラスタに対して計
画した変更を実行するときは、クラスタ内のすべてのコントローラが正常である必要がありま
す。クラスタ内の 1つ以上のAPICコントローラが正常でない場合は、先に進む前にその状況を修復してください。 APICクラスタの健全性の問題の解決についての詳細は、『Cisco APICTroubleshooting Guide』を参照してください。
(注)
クラスタを管理する場合、次の一般的ガイドラインに従ってください。
•現在クラスタにない APICからのクラスタ情報は無視します。正確なクラスタ情報ではありません。
•クラスタスロットには、APIC シャーシ IDが含まれます。スロットを設定すると、割り当て
られたシャーシ IDの APICを解放するまでそのスロットは使用できません。
• APICファームウェアアップグレードが進行中の場合は、それが完了し、クラスタが完全に適合するまでクラスタへの他の変更はしないでください。
APICクラスタサイズの拡大APICクラスタサイズを拡大するには、次のガイドラインに従ってください。
•クラスタの拡大がファブリックのワークロードの要求に影響しないときに、クラスタの拡大を予定します。
•ハードウェアインストレーションガイドの手順に従って、新しいAPICコントローラを準備します。 PINGテストでインバンド接続を確認します。
•クラスタの目標サイズを既存のクラスタサイズコントローラ数に新規コントローラ数を加えた数になるように増やします。たとえば、既存のクラスタサイズコントローラの数が 3で、3台のコントローラを追加する場合は、新しいクラスタの目標サイズを6に設定します。クラスタは、クラスタにすべての新規コントローラが含まれるまで一度にコントローラ 1台ずつ順にサイズを増やします。
既存のAPICコントローラが利用できなくなった場合、クラスタの拡大は停止します。クラスタの拡大を進める前に、この問題を解決します。
(注)
Cisco APIC スタートアップガイド128
Cisco APICクラスタの拡大および縮小クラスタ管理の注意事項
•各アプライアンスの追加時に APICが同期化しなければならないデータ量によって、拡大処理を完了するために必要な時間はアプライアンスごとに 10分を超える可能性があります。クラスタが正常に拡大すると、APICの運用サイズと目標サイズが同じになります。
APICがクラスタの拡大を完了するまでは、クラスタに追加の変更をしないようにします。
(注)
APICクラスタのサイズ縮小APICクラスタのサイズを縮小し、クラスタから削除されたAPICコントローラを解放するには、次のガイドラインに従います。
縮小したクラスタから APICコントローラを解放し、電源オフする正しい手順を実行しないと、予期しない結果を招く可能性があります。認識されていないAPICコントローラをファブリックに接続されたままにしないでください。
(注)
•クラスタサイズを小さくすると、残りのAPICコントローラの負荷が増大します。クラスタの同期がファブリックのワークロードの要求に影響しないときに、APICコントローラサイズの縮小を予定します。
•クラスタの目標サイズを新たな低い値に減らします。たとえば、既存のクラスタサイズが6で、3台のコントローラを削除する場合は、クラスタの目標サイズを 3に減らします。
•既存のクラスタ内でコントローラ IDの番号が最大のものから、APICコントローラを 1台ずつ、解放、電源オフ、接続解除し、クラスタが新規の小さい目標サイズになるまで行いま
す。
各コントローラを解放および削除するごとに、APICはクラスタを同期します。
•既存の APICコントローラが使用できなくなると、クラスタの同期が停止します。クラスタの同期を進める前に、この問題を解決します。
•コントローラの削除の際に APICが同期すべきデータの量により、各コントローラの解放とクラスタの同期を完了するために要する時間は、コントローラごとに 10分以上になる可能性があります。
クラスタに追加の変更を行う前に、必要な解放手順全体を完了し、APICがクラスタの同期を完了できるようにしてください。
(注)
Cisco APIC スタートアップガイド129
Cisco APICクラスタの拡大および縮小APICクラスタのサイズ縮小
クラスタの拡大の例
GUI を使用した APICクラスタの拡大
手順
ステップ 1 メニューバーで、[SYSTEM] > [Controllers]を選択します。 [Navigation]ペインで、[Controllers] >[apic_controller_name] > [Cluster]を展開します。拡大したいクラスタ内にある [apic_controller_name]を選択する必要があります。
[Work]ペインに、クラスタの詳細が表示されます。これには、現在の対象クラスタとその現在のサイズ、およびそのクラスタ内の各コントローラの管理、運用、およびヘルスのステータスが含
まれます。
ステップ 2 クラスタの縮小に進む前に、クラスタのヘルスステータスが [FullyFit]であることを確認します。
ステップ 3 [Work]ペインで、[Actions] > [Change Cluster Size]をクリックします。
ステップ 4 [Change Cluster Size]ダイアログボックスの、[Target Cluster Administrative Size]フィールドで、目的のクラスタサイズの数字を選択します。 [Submit]をクリックします。
クラスタサイズとして 2台の APICコントローラは許容されません。 1台、または 3台以上の APICコントローラのクラスタは許容範囲内です。
(注)
ステップ 5 [Confirmation]ダイアログボックスで、[Yes]をクリックします。[Work]ペインで [Properties]の下の [Target Size]フィールドに目的のクラスタサイズが表示されている必要があります。
ステップ 6 クラスタに追加するすべての APICコントローラを物理的に接続します。[Work]ペインの [Cluster] > [Controllers]領域に、APICコントローラが 1台ずつ追加され、N + 1から順に目的のクラスタサイズになるまで表示されます。
ステップ 7 APICコントローラが動作状態にあり、各コントローラのヘルスステータスが [Fully Fit]であることを確認します。
REST API を使用した APICクラスタの拡大クラスタは、実際のサイズを目標サイズに合わせます。目標サイズが実際のサイズよりも大きい
場合、クラスタサイズが拡大します。
手順
ステップ 1 APICクラスタのサイズを拡大するために目標のクラスタサイズを設定します。
Cisco APIC スタートアップガイド130
Cisco APICクラスタの拡大および縮小クラスタの拡大の例
例:POSThttps://<IP address>/api/node/mo/uni/controller.xml<infraClusterPol name='default' size=3/>
ステップ 2 クラスタに追加する APICコントローラを物理的に接続します。
クラスタの縮小の例
GUI を使用した APICクラスタの縮小
手順
ステップ 1 メニューバーで、[SYSTEM] > [Controllers]を選択します。 [Navigation]ペインで、[Controllers] >[apic_controller_name] > [Cluster]を展開します。クラスタ内にある [apic_controller_name]で、これから解放するコントローラ以外のものを選択します。
[Work]ペインに、クラスタの詳細が表示されます。これには、現在の対象クラスタとその現在のサイズ、およびそのクラスタ内の各コントローラの管理、運用、ヘルスのステータスが含まれま
す。
ステップ 2 クラスタの縮小に進む前に、クラスタのヘルスステータスが [FullyFit]であることを確認します。
ステップ 3 [Work]ペインで、[Actions] > [Change Cluster Size]をクリックします。
ステップ 4 [Change Cluster Size]ダイアログボックスの [Target Cluster Administrative Size]フィールドで、縮小したいクラスタの目標数を選択します。 [Submit]をクリックします。
クラスタサイズとして 2台の APICコントローラは許容されません。 1台、または 3台以上の APICコントローラのクラスタは許容範囲内です。
(注)
ステップ 5 [Work]ペインの [Controllers]領域で、クラスタ内の最後の APICを選択します。
例:
3台からなるクラスタの場合、クラスタ内の最後になるのは、コントローラ ID 3です。
ステップ 6 [Actions] > [Decommission]をクリックします。 [Confirmation]ダイアログボックスが表示されます。 [Yes]をクリックします。解放されたコントローラは [Operational State]列に [Unregistered]と表示されます。コントローラは、稼動対象外になり、[Work]ペインに表示されなくなります。
ステップ 7 コントローラ IDの番号で最大から最小に向かう正しい順序でクラスタ内のすべての APICについて、上記のコントローラを 1つずつ解放する手順を繰り返します。
Cisco APIC スタートアップガイド131
Cisco APICクラスタの拡大および縮小クラスタの縮小の例
稼動クラスタのサイズが縮小するのは、最後のアプライアンスが解放されたときで、管
理サイズを変更したときではありません。各コントローラを解放した後、そのコント
ローラの動作状態が未登録になり、すでにクラスタ内で稼動していないことを確認しま
す。
(注)
APICクラスタ内に必要なコントローラを残しておきます。
REST API を使用した APICクラスタの縮小クラスタは、実際のサイズを目標サイズに合わせます。目標サイズが実際のサイズより小さい場
合、クラスタサイズは縮小します。
手順
ステップ 1 APICクラスタのサイズを縮小するため、目標のクラスタサイズを設定します。
例:POSThttps://<IP address>/api/node/mo/uni/controller.xml<infraClusterPol name='default' size=1/>
ステップ 2 クラスタ縮小のための APIC1上の APIC3の解放
例:POSThttps://<IP address>/api/node/mo/topology/pod-1/node-1/av.xml<infraWiNode id=3 adminSt='out-of-service'/>
ステップ 3 クラスタ縮小のための APIC1上の APIC2の解放
例:POSThttps://<IP address>/api/node/mo/topology/pod-1/node-1/av.xml<infraWiNode id=2 adminSt='out-of-service'/>
Cisco APIC スタートアップガイド132
Cisco APICクラスタの拡大および縮小REST API を使用した APICクラスタの縮小