Cisco ACI 仮想化ガイド、リリース 1.2(1x)...Cisco ACI 仮想化ガイド、リリース 1.2(1x) 初版：2015年12月08日最終更新：2016年04月19日シスコシステムズ合同会社

Cisco ACI 仮想化ガイド、リリース 1.2(1x)初版：2015年 12月 08日

最終更新：2016年 04月 19日

シスコシステムズ合同会社〒107-6227 東京都港区赤坂9-7-1 ミッドタウン・タワーhttp://www.cisco.com/jpお問い合わせ先：シスココンタクトセンター

0120-092-255 （フリーコール、携帯・PHS含む）電話受付時間：平日 10:00～12:00、13:00～17:00http://www.cisco.com/jp/go/contactcenter/

【注意】シスコ製品をご使用になる前に、安全上の注意（ www.cisco.com/jp/go/safety_warning/ ）をご確認ください。本書は、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきま

しては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容

については米国サイトのドキュメントを参照ください。また、契約等の記述については、弊社販

売パートナー、または、弊社担当者にご確認ください。

このマニュアルに記載されている仕様および製品に関する情報は、予告なしに変更されることがあります。このマニュアルに記載されている表現、情報、および推奨

事項は、すべて正確であると考えていますが、明示的であれ黙示的であれ、一切の保証の責任を負わないものとします。このマニュアルに記載されている製品の使用

は、すべてユーザ側の責任になります。

対象製品のソフトウェアライセンスおよび限定保証は、製品に添付された『Information Packet』に記載されています。添付されていない場合には、代理店にご連絡ください。

The Cisco implementation of TCP header compression is an adaptation of a program developed by the University of California, Berkeley (UCB) as part of UCB's public domain versionof the UNIX operating system.All rights reserved.Copyright © 1981, Regents of the University of California.

ここに記載されている他のいかなる保証にもよらず、各社のすべてのマニュアルおよびソフトウェアは、障害も含めて「現状のまま」として提供されます。シスコお

よびこれら各社は、商品性の保証、特定目的への準拠の保証、および権利を侵害しないことに関する保証、あるいは取引過程、使用、取引慣行によって発生する保証

をはじめとする、明示されたまたは黙示された一切の保証の責任を負わないものとします。

いかなる場合においても、シスコおよびその供給者は、このマニュアルの使用または使用できないことによって発生する利益の損失やデータの損傷をはじめとする、

間接的、派生的、偶発的、あるいは特殊な損害について、あらゆる可能性がシスコまたはその供給者に知らされていても、それらに対する責任を一切負わないものと

します。

このマニュアルで使用している IPアドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、ネットワークトポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとしても、それは意

図的なものではなく、偶然の一致によるものです。

Cisco and the Cisco logo are trademarks or registered trademarks of Cisco and/or its affiliates in the U.S. and other countries.To view a list of Cisco trademarks, go to this URL: http://www.cisco.com/go/trademarks.Third-party trademarks mentioned are the property of their respective owners.The use of the word partner does not imply a partnershiprelationship between Cisco and any other company.(1110R)

© 2015 Cisco Systems, Inc. All rights reserved.

http://www.cisco.com/go/trademarks

http://www.cisco.com/go/trademarks

目次

はじめに xvii

対象読者 xvii

表記法 xvii

関連資料 xix

マニュアルに関するフィードバック xxi

マニュアルの入手方法およびテクニカルサポート xxi

新機能および変更された機能に関する情報 1

新機能および変更された機能に関する情報 1

Cisco ACIの仮想マシンネットワーキング 3

Cisco ACIの VMネットワーキングによる複数ベンダーの Virtual Machine Managerのサ

ポート 3

Virtual Machine Managerドメインの主要コンポーネント 4

Virtual Machine Managerのドメイン 5

VMMドメイン VLANプールの関連付け 6

VMMドメイン EPGの関連付け 6

接続可能エンティティプロファイル 9

EPGポリシーの解決および展開の緊急度 10

VMMドメインを削除するためのガイドライン 11

基本および拡張 GUIモード間の切り替え 12

Cisco ACIと VMware VDSおよび VMware vShieldとの統合 13

仮想マシンネットワーキングポリシーの設定 13

APICでサポートされる VMware VDSバージョン 14

5.Xから 6.xへの VMware DVSのアップグレードと VMM統合に関するガイドラ

イン 14

ACIと VMwareの構造のマッピング 15

APICによって管理される VMware VDSパラメータ 15

Cisco ACI 仮想化ガイド、リリース 1.2(1x) iii

APICによって管理される VDSパラメータ 15

APICによって管理される VDSポートグループパラメータ 16

APICで管理される vShieldマネージャパラメータ 16

VMMドメインプロファイルの作成 17

GUIタスク 17

VMMドメインプロファイルを作成するための前提条件 17

vCenterドメイン運用ワークフロー 18

拡張 GUIを使用した vCenterドメインプロファイルの作成 19

基本 GUIを使用した vCenterドメインプロファイルの作成 21

NX-OSスタイル CLIを使用した vCenterドメインプロファイルの作成 23

vCenterおよび vShieldドメインの運用ワークフロー 24

拡張 GUIを使用した vCenterおよび vShieldドメインプロファイルの作成 27

基本 GUIを使用した vCenterおよび vShieldドメインプロファイルの作成 29

NX-OSスタイル CLIを使用した vCenterおよび vShieldドメインプロファイルの

作成 31

VDSアップリンクポートグループの作成 33

ブレードサーバの使用 33

Cisco UCS Bシリーズサーバに関するガイドライン 33

GUIを使用した、ブレードサーバのアクセスポリシーのセットアップ 34

Cisco ACIと VMware VMMシステム統合のトラブルシューティング 36

追加参考セクション 36

最小 VMware vCenter権限を持つカスタムユーザアカウント 36

検疫ポートグループ 37

オンデマンド VMMインベントリの更新 37

ACIインバンドVLANに vCenterハイパーバイザVMK0を移行するためのガイド

ライン 38

APICでの必要な管理 EPGポリシーの作成 38

インバンド ACI VLANへの VMK0の移行 38

REST APIタスク 39

REST APIを使用した vCenterドメインプロファイルの作成 39

REST APIを使用した vCenterおよび vShieldドメインプロファイルの作成 41

Cisco ACI 仮想化ガイド、リリース 1.2(1x)iv

目次

REST APIを使用した、ブレードサーバのアクセスポリシーのセットアップ 43

CLIタスク 44

CLIを使用した vCenterドメインプロファイルの作成 44

CLIを使用した vCenterおよび vShieldドメインプロファイルの作成 47

Cisco ACIでのマイクロセグメンテーション 53

Cisco ACIでのマイクロセグメンテーション 53

Cisco ACIでのマイクロセグメンテーションの利点 54

Cisco ACIを使用するマイクロセグメンテーションの仕組み 54

Cisco ACIでのマイクロセグメンテーションの属性 56

属性の優先順位 57

オペレータの優先順位 59

Cisco ACIでマイクロセグメンテーションを使用するシナリオ 60

単一ベース EPG内の VMにおける Cisco ACIでのマイクロセグメンテーション

の使用 60

別のベース EPG内の VMにおける Cisco ACIでのマイクロセグメンテーション

の使用 61

ネットワークベースの属性を使用したマイクロセグメンテーションの使用 62

Cisco ACIでのマイクロセグメンテーションの設定 63

Cisco ACIでのマイクロセグメンテーションを設定するためのワークフロー 63

Cisco ACIでのマイクロセグメンテーションを設定するための前提条件 63

GUIを使用して、Cisco ACIとともにマイクロセグメンテーションを設定する 64

NX-OSスタイルの CLIを使用した Cisco ACIでのマイクロセグメンテーション

の設定 67

Cisco ACIおよび Cisco AVS 69

Cisco AVSの概要 69

Cisco AVSおよび VMware vCenterについて 71

必要なソフトウェア 72

Cisco AVSのドキュメント 73

Cisco AVSのインストール 73

Cisco AVSのインストールに関する前提条件 74

Cisco AVSをインストールするためのワークフロー 74

インターフェイス、スイッチ、および vCenterドメインプロファイルの作成 75

Cisco ACI 仮想化ガイド、リリース 1.2(1x) v

目次

インターフェイスとスイッチのプロファイルのガイドラインと前提条件 76

vCenterドメインプロファイルのガイドラインと前提条件 77

拡張GUIを使用したインターフェイスおよびスイッチのプロファイルとvCenter

ドメインプロファイルの作成 78

基本 GUIを使用した vCenterドメインの作成 82

NX-OSスタイルの CLIを使用した Cisco AVSインストール前設定 84

NX-OSスタイルの CLIを使用した VLANドメインの作成 84

NX-OSスタイルの CLIを使用したポートチャネルの設定 85

NX-OSスタイルの CLIを使用した VPCの設定 85

NX-OSスタイルの CLIを使用した VPCドメインの設定 85

NX-OSスタイルの CLIを使用したスイッチインターフェイスでの

VPCの設定 85

NX-OS CLIを使用したローカルスイッチを含む VMMドメインまたは含

まない VMMドメインの作成 86

VSUMでの Cisco AVSインストールの実行 87

Cisco AVSをインストールするための前提条件 87

VSUMを使用した Cisco AVSのインストール 87

Cisco AVSのインストールの確認 89

仮想スイッチのステータスの確認 89

vNICステータスの確認 89

Cisco AVSのアンインストール 90

Cisco AVSの主要なインストール後設定作業 90

Cisco AVSの設定の条件 90

Cisco AVSの主要なインストール後設定作業のワークフロー 91

拡張 GUIを使用した Cisco AVSのアプリケーションプロファイルの導入 93

拡張 GUIを使用したテナント、VRF、およびブリッジドメインの作成 93

GUIを使用したアプリケーションプロファイルの作成 95

GUIを使用した EPGの作成 95

拡張 GUIを使用したカプセル化ブロックを含む VLANプールの作成 95

vCenterでの VMへのポートグループの割り当て 96

GUIを使用したフィルタの作成 97

GUIを使用した契約の作成 97

Cisco ACI 仮想化ガイド、リリース 1.2(1x)vi

目次

基本 GUIを使用した Cisco AVSのアプリケーションプロファイルの導入 98

基本 GUIを使用したテナント、VRF、およびブリッジドメインの作成 98

基本 GUIを使用したアプリケーションポリシーの展開 99

NX-OS CLIを使用した Cisco AVSのアプリケーションプロファイルの導入 100

NX-OSスタイル CLIを使用したテナント、VRF、およびブリッジドメインの作

成 100

NX-OSスタイルCLIを使用したアプリケーションプロファイルおよびEPGの作

成 102

NX-OSスタイル CLIを使用したカプセル化ブロックを含む VLANプールの作

成 103

NX-OSスタイル CLIを使用したアプリケーションポリシーの展開 104

アプリケーションプロファイルの確認 107

GUIでのアプリケーションプロファイルと EPGの確認 107

vCenterでの EPGの確認 107

VM間通信の確認 108

Cisco AVSに接続された VMの IPアドレス設定 108

Cisco AVS VMネットワークアダプタへの IPアドレスの割り当て 108

GUIを使用して Cisco AVSに接続されている VMへのゲートウェイアドレスの

割り当て 109

Cisco AVSと VMotionの使用に関するガイドライン 110

分散ファイアウォール 111

分散ファイアウォールの利点 113

分散ファイアウォールの設定 114

分散ファイアウォールを設定するためのワークフロー 115

拡張 GUIを使用した分散ファイアウォールのステートフルポリシーの設定 115

NX-OSスタイルの CLIを使用した分散ファイアウォールのステートフルポリ

シーの設定 117

拡張 GUIを使用した分散ファイアウォールポリシーの作成またはそのモードの

変更 117

インストールまたはアップグレード後の分散ファイアウォールの有効化 119

NX-OSスタイルの CLlを使用した分散ファイアウォールの設定 119

分散ファイアウォールフローロギング 120

Cisco ACI 仮想化ガイド、リリース 1.2(1x) vii

目次

分散ファイアウォールのフロー情報のパラメータの設定 120

拡張 GUIにおける分散ファイアウォールフロー情報パラメータの設

定 121

NX-OSスタイルのCLIでの分散ファイアウォールフロー情報のパラメー

タの設定 124

分散ファイアウォールフローの数 125

分散ファイアウォールについて表示する統計情報の選択 126

分散ファイアウォールの統計情報の表示 126

Cisco AVS向けの Cisco ACIでのマイクロセグメンテーション 127

Layer 4 to Layer 7サービスの設定 127

Cisco AVSの REST APIタスク 127

REST APIを使用したテナント、VRF、およびブリッジドメインの作成 127

REST APIを使用したアプリケーションポリシーの展開 128

REST APIを使用した分散ファイアウォールのステートフルポリシーの設定 130

REST APIを使用した分散ファイアウォールモードの変更 131

REST APIによる分散ファイアウォールフロー情報のパラメータの設定 131

Cisco AVSのオブジェクトモード CLIタスク 132

オブジェクトモデル CLIを使用した、テナント、VRFおよびブリッジドメイン

の作成 132

オブジェクトモデル CLIを使用したアプリケーションポリシーの展開 133

Cisco ACI with VMware vRealize 139

Cisco ACI with VMware vRealizeについて 139

Cisco ACI with VMware vRealizeソリューションの概要 139

物理トポロジと論理トポロジ 141

VMware vRealizeにおける ACI構造のマッピングについて 142

Cisco ACI with VMware vRealizeの開始 144

Cisco ACI with VMware vRealizeを開始するための前提条件 144

vRealize Orchestratorにおける IaaSハンドルの設定 145

Cisco ACI with VMware vRealizeのインストールワークフロー 146

vRealize Orchestratorでの APICプラグインのインストール 147

VMware vRealize Automationアプライアンスを ACI向けに設定 148

ACIの初回操作 150

Cisco ACI 仮想化ガイド、リリース 1.2(1x)viii

目次

VMware VMMドメインと AEPの関連付け 151

Cisco ACI with VMware vRealizeアップグレードワークフロー 152

vRealize Orchestratorでの APICプラグインのアップグレード 152

APICと vRealize間の接続の確認 153

管理者とテナントエクスペリエンスのユースケースシナリオ 154

層アプリケーション導入の概要 154

ビルドプロファイルを使用した単一階層アプリケーションの導入 155

マルチマシンブループリントを使用した 3層アプリケーションの導入 157

プランタイプについて 162

vRealizeサービスのカテゴリとカタログ項目について 163

ACIプランタイプと vRealizeサービスカテゴリのマッピング 163

vRealizeの ACI管理者サービス 164

ACI管理者サービス向け管理者サービスカタログ項目一覧 164

vRealizeの ACIテナントサービス 166

ACIテナントサービス向けネットワークセキュリティカタログ項目一覧 166

ACIテナントサービス向けテナントネットワークサービスカタログ項目一

覧 167

ACIテナントサービス向けテナント共有プランカタログ項目一覧 168

ACIテナントサービス向けテナント VPCプランカタログ項目一覧 169

ACIテナントサービス向け VMサービスカタログ項目一覧 170

vRealizeにおける ACIカタログ項目向けエンタイトルメント 171

ACIカタログ項目向けエンタイトルメント一覧 171

vRealize Orchestratorの ACIプラグイン 172

APICのワークフロー 172

APICのインベントリビュー 173

ロードバランシングおよびファイアウォールサービスについて 174

サービスを有効にするための条件 174

XML POSTを使用した APICでのサービスの設定 175

サービス設定の削除 178

L3外部接続について 179

vRealizeに L3外部接続を設定するため条件 179

共有または仮想プライベートクラウドプランのテナントエクスペリエンス 179

Cisco ACI 仮想化ガイド、リリース 1.2(1x) ix

目次

共有プランでのネットワークの作成 179

VMware vRealizeと APICで新しく作成されたネットワークの確認 180

VPCプランでのブリッジドメインの作成 180

APICで新しく作成したブリッジドメインの確認 181

VPCプランでのネットワークの作成およびブリッジドメインへの関連付

け 181

APICでのVPCプランのネットワークとブリッジドメインへのアソシエー

ションの確認 182

テナント内のセキュリティポリシーの作成 183

APICでのテナント内でのセキュリティポリシーの確認 184

テナント内のセキュリティポリシーの接続の確認 185

共通テナントでの共有サービスの消費 185

APICのテナント共通でのセキュリティポリシーの確認 187

テナント共通でのセキュリティポリシーの接続の確認 187

セキュリティポリシー（アクセスコントロールリスト）の更新 188

セキュリティポリシー（アクセスコントロールリスト）の削除 189

VPCプランでのネットワークの作成 190

APICでの VPCプランのネットワークの確認 191

vCenterでの VPCプランのネットワークの確認 191

マシンブループリントを使用しない VMの作成とネットワークへの接続 192

ロードバランサのテナントネットワークへの追加について 192

APIC上の設定要件 193

VIPプールの追加 193

VIPプールの削除 194

テナントネットワークへのロードバランサの追加 194

テナントネットワークからのロードバランサの削除 195

ファイアウォールの設定 196

テナントネットワークへのファイアウォールの追加 196

テナントネットワークからのファイアウォールの削除 197

ファイアウォールとロードバランサの設定 197

テナントネットワークへのファイアウォールとロードバランサの追

加 198

Cisco ACI 仮想化ガイド、リリース 1.2(1x)x

目次

テナントネットワークからのファイアウォールとロードバランサの削除 198

外部 L3ネットワークインターネットアクセスの接続 198

APICでのセキュリティおよび L3ポリシーの確認 200

ネットワークの接続性の確認 201

アプリケーションの導入シナリオ 201

ビルドプロファイルについて 202

サービスブループリントについて 202

特定の設定へのサービスブループリントのカスタマイズ 203

vRealize Utilsを使用したブループリントのインポートおよびエンタイトルメ

ントの設定 203

vRealize Orchestratorの APICワークフローのマニュアル 205

ApicConfigHelperクラスのメソッド一覧 205

APICプラグインメソッドを使用したカスタムワークフローの記述 209

マルチテナントおよびセキュリティドメインを使用したロールベースのアクセス制

御 210

テナントの追加 211

テナントの削除 211

APICワークフローのクレデンシャル 211

管理者クレデンシャルを用いた APICの追加 212

テナントクレデンシャルを用いた APICの追加 212

トラブルシューティング 212

レポート対象ログの収集 212

ACIヘルパースクリプトのインストール 213

APICプラグインの削除 214

プラグインの概要 214

vRealize Orchestratorにおけるテナント用 vCACホストの設定 215

vRealize Orchestratorにおける IaaSホストの設定 216

vROカスタマイズのインストール 217

Cisco ACI with Microsoft SCVMM 219

Cisco ACI with Microsoft SCVMMについて 219

Cisco ACI with Microsoft SCVMMソリューションの概要 220

SCVMMの物理トポロジと論理トポロジ 220

Cisco ACI 仮想化ガイド、リリース 1.2(1x) xi

目次

SCVMMでの ACIの構造のマッピングについて 221

CiscoACI with Microsoft SCVMMの開始 222

Cisco ACI with Microsoft SCVMMの開始の条件 223

Cisco ACI with Microsoft SCVMMコンポーネントのインストール、設定、および

確認 223

SCVMMへの APIC SCVMMのエージェントのインストール 225

可用性の高い SCVMMへの APIC SCVMMエージェントのインストール 226

APIC OpFlex証明書の生成 227

REST APIを使用した APICで使用される証明書情報の表示 228

APICへの OpFlex証明書ポリシーの追加 229

OpflexAgent証明書のインストール 230

SCVMMエージェントでの OpflexAgent証明書を使用した APIC IP設定の構

成 232

可用性の高い SCVMMでの SCVMMエージェントでの OpflexAgent証明書を

使用した APIC IP設定の構成 234

Hyper-V Serverへの APIC Hyper-Vエージェントのインストール 235

Cisco ACI with Microsoft SCVMMのインストールの確認 238

SCVMMでの APIC SCVMMエージェントのインストールの確認 238

可用性の高い SCVMM上の APIC SCVMMエージェントのインストール

の確認 239

Hyper-V Server上の APIC Hyper-Vエージェントのインストールの確認 240

ACIポリシーの設定 241

SCVMMドメインプロファイルの作成 241

GUIを使用した SCVMMドメインプロファイルの作成 241

ポートチャネルポリシーの設定 243

インターフェイスポートチャネルポリシーの変更 243

ブレードサーバの VMMドメイン VSwitchポリシーの上書き 243

SCVMM VMMドメインおよび SCVMM VMMの確認 244

SCVMM上のホストへの論理スイッチの導入 244

Cisco ACI with Microsoft SCVMMコンポーネントのアップグレード 245

ACI Microsoft SCVMMコンポーネントのワークフローのアップグレード 246

SCVMMでの APIC SCVMMエージェントのアップグレード 246

Cisco ACI 仮想化ガイド、リリース 1.2(1x)xii

目次

可用性の高い SCVMM上の APIC SCVMMエージェントのアップグレード 247

APIC Hyper-Vエージェントのアップグレード 248

テナントのポリシーの導入 249

テナントポリシーの導入の条件 249

テナントの作成 249

EPGの作成 249

Microsoft VMMドメインの関連付け 250

APICでの VMMドメインとの EPGの関連付けの確認 251

SCVMMで VMMドメインに関連付けられている EPGの確認 251

仮想マシンの接続および電源投入 252

APICでの関連付けの確認 252

APICでの EPGの表示 252

Cisco ACI with Microsoft SCVMMのトラブルシューティング 253

APICから SCVMMへの接続のトラブルシューティング 253

リーフから Hyper-Vホストへの接続のトラブルシューティング 253

EPGの設定の問題のトラブルシューティング 254

REST APIリファレンス 254

REST APIを使用した SCVMMドメインプロファイルの作成 254

参考資料 258

Windowsのコマンドプロンプトを使用した SCVMMへの APICエージェントのイン

ストール 258

Windowsのコマンドプロンプトを使用した Hyper-Vサーバへの APIC Hyper-Vエー

ジェントのインストール 259

CLIを使用した SCVMMドメインプロファイルの作成 260

プログラマビリティのリファレンス 263

ACI SCVMM PowerShellコマンドレット 263

設定リファレンス 264

MACアドレス設定の推奨事項 264

Cisco ACI with Microsoft SCVMMコンポーネントのアンインストール 265

APIC SCVMMエージェントのアンインストール 266

可用性の高いAPIC SCVMM上の SCVMMエージェントのアンインストール 267

Cisco ACI 仮想化ガイド、リリース 1.2(1x) xiii

目次

Cisco ACI with Microsoft SCVMMコンポーネントでの APICコントローラとスイッチ

ソフトウェアのダウングレード 267

APIC OpFlex証明書のエクスポート 268

Cisco ACI with Microsoft Windows Azure Pack 271

Cisco ACI with Microsoft Windows Azure Packについて 271

Cisco ACI with Microsoft Windows Azure Packソリューションの概要 272

物理トポロジと論理トポロジ 273

Microsoft Windows Azure Packでの ACI構造のマッピングについて 274

Cisco ACI with Microsoft Windows Azure Packの開始 275

Cisco ACI with Microsoft Windows Azure Packを開始するための前提条件 275

Cisco ACI with Microsoft Windows Azure Packコンポーネントのインストール、設

定および確認 276

ACI Azure Packリソースプロバイダーのインストール 277

OpflexAgent証明書のインストール 277

ACI Azure Packのリソースプロバイダーサイトの設定 280

ACI Azure Packの管理者サイト拡張のインストール 280

ACI Azure Packのテナントサイト拡張のインストール 281

ACIの設定 281

Windows Azure Packのリソースプロバイダーの確認 282

Cisco ACI with Microsoft Windows Azure Packコンポーネントのアップグレード 282

ACI Windows Azure Packワークフローのアップグレード 283

ACI Windows Azure Packリソースプロバイダーのアップグレード 284

ACI Azure Pack管理者サイト拡張のアップグレード 284

ACI Azure Packテナントサイト拡張のアップグレード 285

管理者とテナントエクスペリエンスのユースケースシナリオ 285

エクスペリエンスの管理 289

プランタイプについて 289

プランの作成 290

テナントの作成 291

テナントによる共有サービス提供の許可 292

テナントによる共有サービス消費の許可 292

共有サービスプロバイダーとコンシューマの表示 293

Cisco ACI 仮想化ガイド、リリース 1.2(1x)xiv

目次

共有サービスの管理 293

新しいテナントからの共有サービスの廃止 293

共有サービスからのテナントの取り消し 294

ロードバランシングの概要 294

APICでのデバイスパッケージのインポート 295

XML POSTを使用した APICでのロードバランサデバイスの設定 296

プランに合わせたロードバランサの作成 302

L3外部接続について 302

Windows Azure Pack用に L3外部接続を設定するための前提条件 303

l3extinstP「default」で提供される契約の作成 303

l3extinstP「vpcDefault」で提供される契約の作成 304

テナントエクスペリエンス 305

共有または仮想プライベートクラウドプランのエクスペリエンス 305

共有プランでのネットワークの作成 305

APICのMicrosoft Windows Azure Packで作成されたネットワークの確

認 305

VPCプランでのブリッジドメインの作成 306

VPCプランでのネットワークの作成およびブリッジドメインへの関連付

け 306

同一サブスクリプション内のファイアウォールの作成 306

VPCプランでのネットワークの構築 307

VMの作成とネットワークへの接続 307

共有サービスの提供 308

消費される共有サービスの設定 309

ロードバランサの設定 309

アクセスコントロールリストの追加 310

アクセスコントロールリストの削除 311

外部接続用ネットワークの作成 311

外部接続用のファイアウォールの作成 311

APICでのテナントの L3外部接続の確認 312

Cisco ACI with Microsoft Windows Azure Packのトラブルシューティング 313

管理者としてのトラブルシューティング 313

Cisco ACI 仮想化ガイド、リリース 1.2(1x) xv

目次

テナントとしてトラブルシューティング 314

EPGの設定の問題のトラブルシューティング 314

プログラマビリティのリファレンス 314

ACI Windows Azure Packの PowerShellコマンドレット 314

Cisco ACI with Microsoft Windows Azure Packコンポーネントのアンインストール 315

APIC Windows Azure Packのリソースプロバイダーのアンインストール 316

ACI Azure Packリソースプロバイダーのアンインストール 317

ACI Azure Pack管理者サイト拡張のアンインストール 317

ACI Azure Packテナントサイト拡張のアンインストール 318

APICH yper-Vエージェントのアンインストール 318

Cisco ACI with Microsoft Windows Azure Packでの APICコントローラとスイッチソフ

トウェアのダウングレード 319

Cisco ACI 仮想化ガイド、リリース 1.2(1x)xvi

目次

はじめに

この前書きは、次の項で構成されています。

• 対象読者, xvii ページ

• 表記法, xvii ページ

• 関連資料, xix ページ

• マニュアルに関するフィードバック, xxi ページ

• マニュアルの入手方法およびテクニカルサポート, xxi ページ

対象読者このガイドは、次の 1つ以上に責任を持つ、専門知識を備えたデータセンター管理者を主な対象にしています。

•仮想マシンのインストールと管理

•サーバ管理

•スイッチおよびネットワークの管理

表記法コマンドの説明には、次のような表記法が使用されます。

説明表記法

太字の文字は、表示どおりにユーザが入力するコマンドおよび

キーワードです。

bold

イタリック体の文字は、ユーザが値を入力する引数です。italic

Cisco ACI 仮想化ガイド、リリース 1.2(1x) xvii

説明表記法

省略可能な要素（キーワードまたは引数）は、角カッコで囲んで

示しています。

[x]

いずれか 1つを選択できる省略可能なキーワードや引数は、角カッコで囲み、縦棒で区切って示しています。

[x | y]

必ずいずれか1つを選択しなければならない必須キーワードや引数は、波カッコで囲み、縦棒で区切って示しています。

{x | y}

角カッコまたは波カッコが入れ子になっている箇所は、任意また

は必須の要素内の任意または必須の選択肢であることを表しま

す。角カッコ内の波カッコと縦棒は、省略可能な要素内で選択す

べき必須の要素を示しています。

[x {y | z}]

ユーザが値を入力する変数であることを表します。イタリック体

が使用できない場合に使用されます。

variable

引用符を付けない一組の文字。stringの前後には引用符を使用しません。引用符を使用すると、その引用符も含めて stringとみなされます。

string

例では、次の表記法を使用しています。

説明表記法

スイッチが表示する端末セッションおよび情報は、screenフォントで示しています。

screen フォント

ユーザが入力しなければならない情報は、太字の screenフォントで示しています。

太字の screen フォント

ユーザが値を指定する引数は、イタリック体の screenフォントで示しています。

イタリック体の screenフォント

パスワードのように出力されない文字は、山カッコ（< >）で囲んで示しています。

< >

システムプロンプトに対するデフォルトの応答は、角カッコで

囲んで示しています。

[ ]

コードの先頭に感嘆符（!）またはポンド記号（#）がある場合には、コメント行であることを示します。

!、#

Cisco ACI 仮想化ガイド、リリース 1.2(1x)xviii

はじめに

表記法

このマニュアルでは、次の表記法を使用しています。

「注釈」です。役立つ情報やこのマニュアルに記載されていない参照資料を紹介しています。（注）

「要注意」の意味です。機器の損傷またはデータ損失を予防するための注意事項が記述されて

います。

注意

安全上の重要事項

「危険」の意味です。人身事故を予防するための注意事項が記述されています。装置の取り扱

い作業を行うときは、電気回路の危険性に注意し、一般的な事故防止策に留意してください。

各警告の最後に記載されているステートメント番号を基に、装置に付属の安全についての警告

を参照してください。

これらの注意事項を保管しておいてください。

警告

関連資料アプリケーションセントリックインフラストラクチャのマニュアルセットには、次の URLのCisco.comから入手可能な次のドキュメントが含まれます。http://www.cisco.com/c/en/us/support/cloud-systems-management/application-policy-infrastructure-controller-apic/tsd-products-support-series-home.html

Web ベースのマニュアル

•『Cisco APIC Management Information Model Reference』

•『Cisco APIC Online Help Reference』

•『Cisco APIC Python SDK Reference』

•『Cisco ACI Compatibility Tool』

•『Cisco ACI MIB Support List』

ダウンロード可能なドキュメント

•ナレッジベースの記事（KB記事）は、次の URLから入手できます。 http://www.cisco.com/c/en/us/support/cloud-systems-management/application-policy-infrastructure-controller-apic/tsd-products-support-series-home.html

•『Cisco Application Centric Infrastructure Controller Release Notes』

•『Cisco Application Centric Infrastructure Fundamentals Guide』

Cisco ACI 仮想化ガイド、リリース 1.2(1x) xix

はじめに

関連資料

http://www.cisco.com/c/en/us/support/cloud-systems-management/application-policy-infrastructure-controller-apic/tsd-products-support-series-home.html






•『Cisco APIC Getting Started Guide』

•『Cisco ACI Basic Configuration Guide』

•『Cisco ACI Virtualization Guide』

•『Cisco APIC REST API User Guide』

•『Cisco APIC Object Model Command Line Interface User Guide』

•『Cisco APIC NX-OS Style Command-Line Interface Configuration Guide』

•『Cisco APIC Faults, Events, and System Messages Management Guide』

•『Cisco ACI System Messages Reference Guide』

•『Cisco APIC Layer 4 to Layer 7 Services Deployment Guide』

•『Cisco APIC Layer 4 to Layer 7 Device Package Development Guide』

•『Cisco APIC Layer 4 to Layer 7 Device Package Test Guide』

•『Cisco ACI Firmware Management Guide』

•『Cisco ACI Troubleshooting Guide』

•『Cisco APIC NX-OS Style CLI Command Reference』

•『Cisco ACI Switch Command Reference, NX-OS Release 11.0』

•『Verified Scalability Guide for Cisco ACI』

•『Cisco ACI MIB Quick Reference』

•『Cisco Nexus CLI to Cisco APIC Mapping Guide』

•『Application Centric Infrastructure Fabric Hardware Installation Guide』

•『Cisco NX-OS Release Notes for Cisco Nexus 9000 Series ACI-Mode Switches』

•『Nexus 9000 Series ACI Mode Licensing Guide』

•『Cisco Nexus 9332PQ ACI-Mode Switch Hardware Installation Guide』

•『Cisco Nexus 9336PQ ACI-Mode Switch Hardware Installation Guide』

•『Cisco Nexus 9372PX and 9372PX-E ACI-Mode Switch Hardware Installation Guide』

•『Cisco Nexus 9372TX ACI-Mode Switch Hardware Installation Guide』

•『Cisco Nexus 9396PX ACI-Mode Switch Hardware Installation Guide』



•『Cisco Nexus 9504 NX-OS Mode Switch Hardware Installation Guide』

•『Cisco Nexus 9508 ACI-Mode Switch Hardware Installation Guide』

•『Cisco Nexus 9516 ACIモードスイッチハードウェア設置ガイド』

Cisco ACI 仮想化ガイド、リリース 1.2(1x)xx

はじめに

関連資料

シスコアプリケーションセントリックインフラストラクチャ（ACI）シミュレータのマニュアル

次のシスコACIシミュレータのマニュアルは、次のURLから入手できます。http://www.cisco.com/c/en/us/support/cloud-systems-management/application-centric-infrastructure-simulator/tsd-products-support-series-home.html

•『Cisco ACI Simulator Release Notes』

•『Cisco ACI Simulator Installation Guide』

•『Cisco ACI Simulator Getting Started Guide』

Cisco Nexus 9000 シリーズスイッチのマニュアル

Cisco Nexus 9000シリーズスイッチのマニュアルは、次の URLで入手できます。http://www.cisco.com/c/en/us/support/switches/nexus-9000-series-switches/tsd-products-support-series-home.html

Cisco Application Virtual Switch のマニュアル

Cisco Application Virtual Switch（AVS）のマニュアルは、次の URLで入手できます。http://www.cisco.com/c/en/us/support/switches/application-virtual-switch/tsd-products-support-series-home.html

シスコアプリケーションセントリックインフラストラクチャ（ACI）と OpenStack の統合に関するマニュアル

Cisco ACIと OpenStackの統合に関するマニュアルは、次の URLから入手できます。http://www.cisco.com/c/en/us/support/cloud-systems-management/application-policy-infrastructure-controller-apic/tsd-products-support-series-home.html

マニュアルに関するフィードバックこのマニュアルに関する技術的なフィードバック、または誤りや記載もれなどお気づきの点がご

ざいましたら、[email protected]までご連絡ください。ご協力をよろしくお願いいたします。

マニュアルの入手方法およびテクニカルサポートマニュアルの入手、Cisco Bug Search Tool（BST）の使用、サービス要求の送信、追加情報の収集の詳細については、『What'sNew inCiscoProductDocumentation』を参照してください。このドキュメントは、次から入手できます。 http://www.cisco.com/c/en/us/td/docs/general/whatsnew/whatsnew.html

『What's New in Cisco Product Documentation』では、シスコの新規および改訂版の技術マニュアルの一覧を、RSSフィードとして購読できます。また、リーダーアプリケーションを使用して、コンテンツをデスクトップに配信することもできます。RSSフィードは無料のサービスです。

Cisco ACI 仮想化ガイド、リリース 1.2(1x) xxi

はじめに

マニュアルに関するフィードバック

http://www.cisco.com/c/en/us/support/cloud-systems-management/application-centric-infrastructure-simulator/tsd-products-support-series-home.html



http://www.cisco.com/c/en/us/support/switches/nexus-9000-series-switches/tsd-products-support-series-home.html

http://www.cisco.com/c/en/us/support/switches/nexus-9000-series-switches/tsd-products-support-series-home.html

http://www.cisco.com/c/en/us/support/switches/application-virtual-switch/tsd-products-support-series-home.html





http://www.cisco.com/c/en/us/td/docs/general/whatsnew/whatsnew.html

Cisco ACI 仮想化ガイド、リリース 1.2(1x)xxii

はじめに

マニュアルの入手方法およびテクニカルサポート

第 1 章

新機能および変更された機能に関する情報

この章の内容は、次のとおりです。

• 新機能および変更された機能に関する情報, 1 ページ

新機能および変更された機能に関する情報次の表は、この最新リリースまでのガイドでの主な変更点の概要を示したものです。ただし、こ

のリリースまでのこのガイドの変更点や新機能の中には一部、この表に記載されていないものも

あります。

表 1：Cisco ACI 仮想化ガイドの新機能と変更された機能

参照先説明機能Cisco APIC のリリースバージョン

詳細については、CiscoACIでのマイクロセグメンテーション, （53ページ）を参照してく

ださい。

この機能は、MicrosoftSCVMMが関連付られている VMMドメインに接続された仮想エン

ドポイントについて、

仮想マシンの属性ベー

スのエンドポイントグ

ループをサポートしま

す。

Microsoft仮想化のマイクロセグメンテーショ

ン

1.2(1i)

詳細については、CiscoACI with VMwarevRealizeについて, （139ページ）を参照してください。

ACIと VMWareのvRealize Orchestrator（vRO）、vRealizeAutomation（vRA）、および vCenterを統合します。

vRealize統合1.2(1i)

Cisco ACI 仮想化ガイド、リリース 1.2(1x) 1

Cisco ACI 仮想化ガイド、リリース 1.2(1x)2



第 2 章

Cisco ACI の仮想マシンネットワーキング


• Cisco ACIの VMネットワーキングによる複数ベンダーの Virtual Machine Managerのサポート, 3 ページ

• Virtual Machine Managerドメインの主要コンポーネント , 4 ページ

• Virtual Machine Managerのドメイン, 5 ページ

• VMMドメイン VLANプールの関連付け, 6 ページ

• VMMドメイン EPGの関連付け, 6 ページ

• 接続可能エンティティプロファイル, 9 ページ

• EPGポリシーの解決および展開の緊急度, 10 ページ

• VMMドメインを削除するためのガイドライン, 11 ページ

• 基本および拡張 GUIモード間の切り替え, 12 ページ

Cisco ACI の VM ネットワーキングによる複数ベンダーのVirtual Machine Manager のサポート

Cisco ACIの仮想マシンネットワーキングは、複数ベンダーによるハイパフォーマンスでスケーラブルな仮想データセンターインフラストラクチャへのプログラム可能自動アクセスのハイパー

バイザを提供します（確認済みの相互運用可能な製品の最新のリストについては、「VirtualizationCompatibilityList SolutionOverview」を参照してください）。プログラム可能性と自動化は、スケーラブルなデータセンター仮想化インフラストラクチャにおける重要な機能です。ACIオープンREST APIにより、ポリシーモデルベースの ACIファブリックのオーケストレーションと仮想マシン（VM）を統合できます。ACIVMネットワーキングにより、複数のベンダーのハイパーバイザで管理される仮想ワークロードと物理ワークロードの両方にわたって一貫してポリシーを適用

できます。接続可能エンティティプロファイルにより、VMモビリティと ACIファブリック内の任意の場所のワークロードの配置を簡単に実現できます。ACIAPICコントローラにより、トラブ


http://www.cisco.com/c/en/us/solutions/collateral/data-center-virtualization/application-centric-infrastructure/solution-overview-c22-734588.html


ルシューティング、アプリケーションのヘルススコア、および仮想化モニタリングが一元化され

ます。手動設定および手動作業における間違いを削減または排除することにより、ACIのマルチハイパーバイザVM自動化は、非常に多くのVMを仮想化データセンターが信頼性とコスト効率を保ちながらサポートすることを可能にします。

Virtual Machine Manager ドメインの主要コンポーネントACIファブリック Virtual Machine Manager（VMM）ドメインにより、管理者は仮想マシンコントローラの接続ポリシーを設定できます。ACI VMMドメインポリシーの基本的なコンポーネントは次のとおりです。

• Virtual Machine Managerドメインプロファイル：同様のネットワーキングポリシー要件を持つVMコントローラをグループ化します。たとえば、VMコントローラはVLANプールとアプリケーションエンドポイントグループ（EPG）を共有できます。APICはコントローラと通信し、のちに仮想ワークロードに適用されるポートグループなどのネットワーク設定を

公開します。VMMドメインプロファイルには、次の基本コンポーネントが含まれます。

◦クレデンシャル：有効なVMコントローラユーザクレデンシャルをAPIC VMMドメインと関連付けます。

◦コントローラ：ポリシーの適用ドメインの一部であるVMコントローラへの接続方法を指定します。たとえば、コントローラは VMMドメインの一部である VMware vCenterへの接続を指定します。

1つのドメインにVMコントローラの複数のインスタンスを含めることができますが、それらは同じベンダーのものである必要があります（VMwareまたはMicrosoftなど）。

（注）

• EPGの関連付け：エンドポイントグループは VMMドメインポリシーの範囲内のエンドポイント間の接続と可視性を調整します。VMMドメイン EPGは次のように動作します。

◦ APICは、これらのEPGをポートグループとしてVMコントローラにプッシュします。

◦ 1つの EPGは、複数の VMMドメインをカバーでき、1つの VMMドメインには複数のEPGを含めることができます。

•接続可能エンティティプロファイルの関連付け：VMMドメインを物理ネットワークインフラストラクチャと関連付けます。接続可能エンティティプロファイル（AEP）は、多数のリーフスイッチポートで VMコントローラポリシーを展開するための、ネットワークインターフェイステンプレートです。AEPは、使用できるスイッチやポートおよびその設定方法を指定します。

• VLANプールの関連付け：VLANプールは、VMMドメインが消費する VLANカプセル化に使用する VLAN IDまたは範囲を指定します。


Cisco ACI の仮想マシンネットワーキングVirtual Machine Manager ドメインの主要コンポーネント

Virtual Machine Manager のドメインAPIC VMMドメインプロファイルは、VMMドメインを定義するポリシーです。VMMドメインポリシーは APICで作成され、リーフスイッチにプッシュされます。

図 1：ACI VMM ドメイン VM コントローラの統合

VMMドメインは以下を提供します。

•複数のVMコントローラプラットフォームに対してスケーラブルな耐障害性サポートを可能にする、ACIファブリックの共通レイヤ

• ACIファブリック内の複数のテナントに対する VMMサポート

VMMドメインには、VMware vCenterやMicrosoft SCVMMManagerなどの VMコントローラと、VMコントローラと対話するためのACIAPIに必要なクレデンシャルが含まれます。VMMドメインはドメイン内のVMモビリティを実現できますが、ドメイン間は実現できません。単一のVMMドメインコントローラにVMコントローラの複数のインスタンスを含めることはできますが、同じタイプである必要があります。たとえば、1つの VMMドメインに、それぞれが複数の VMを実行する複数のコントローラを管理する多くの VMware vCenterを含めることができますが、SCVMMManagerも含めることはできません。VMMドメインはコントローラ要素（pNIC、vNIC、VM名など）をインベントリに含め、コントローラにポリシーをプッシュして、ポートグループなどの必要な要素を作成します。ACI VMMドメインは VMモビリティなどのコントローライベントを監視し、状況に応じて応答します。


Cisco ACI の仮想マシンネットワーキングVirtual Machine Manager のドメイン

現時点では、VMコントローラのVMMポリシーの IPアドレスは IPv4のみです。現時点では、ACIファブリックは管理インターフェイスで IPv6をサポートしていません。ただし、VMIPv6アドレスがサポートされます。

（注）

VMM ドメイン VLAN プールの関連付けVLANプールは、トラフィック VLAN IDのブロックを表します。VLANプールは共有リソースで、VMMドメインおよびレイヤ4～レイヤ7のサービスなど、複数のドメインで使用できます。

各プールには、作成時に定義された割り当てタイプ（静的または動的）があります。割り当てタ

イプによって、含まれる IDが APICで自動割り当てに使用されるか（動的）、管理者によって明示的に設定されるか（静的）が決まります。デフォルトでは、VLANプールに含まれるすべてのブロックの割り当てタイプはプールと同じですが、ユーザは動的プールに含まれるカプセル化ブ

ロックの割り当てタイプを静的に変更できます。これを行うと、動的割り当てからそれらが除外

されます。

VMMドメインは、1つの動的VLANプールにのみ関連付けることができます。デフォルトでは、VMMドメインに関連付けられた EPGへの VLAN IDの割り当ては、APICによって動的に行われます。動的割り当てがデフォルトであり、推奨設定ですが、管理者は代わりにEPGに静的にVLANIDを割り当てることができます。この場合、使用する IDは VMMドメインに関連付けられているVLANプールのカプセル化ブロックから選択し、その割り当てタイプを静的に変更する必要があります。

APICは、リーフポート上の VMMドメイン VLANを EPGイベントに基づいてプロビジョニングします（リーフポート上の静的バインドまたは VMware vCenterやMicrosoft SCVMMなどのコントローラからの VMイベントに基づいて）。

VMM ドメイン EPG の関連付けACIファブリックは、Microsoft Azureなどのオーケストレーションコンポーネントによって自動的に、またはその設定を作成する APIC管理者によって、VMMドメインにテナントアプリケー


Cisco ACI の仮想マシンネットワーキングVMM ドメイン VLAN プールの関連付け

ションプロファイルEPGを関連付けます。1つのEPGは、複数のVMMドメインをカバーでき、1つの VMMドメインには複数の EPGを含めることができます。

図 2：VMM ドメイン EPG の関連付け

上の図では、同じ色のエンドポイント（EP）は同じエンドポイントグループに属しています。たとえば、緑色のすべての EPは 2つの異なる VMMドメインに含まれていますが同じ EPGに属しています。


Cisco ACI の仮想マシンネットワーキングVMM ドメイン EPG の関連付け

仮想ネットワークと VMMドメイン EPG機能の情報については、Cisco ACIドキュメントの最新の『Verified Scalability Guide』を参照してください。

図 3：VMM ドメイン EPG VLAN の消費

同じポートに重複するVLANプールがない場合は、複数のVMMドメインを同じリーフスイッチに接続できます。同様に、リーフスイッチの同じポートを使用していない場合は、同じ

VLANプールを異なるドメイン間で使用できます。

（注）

EPGは複数の VMMドメインを次のように使用できます。

• VMMドメイン内の EPGは、APICによって自動的に管理されるか管理者によって固定で選択されたカプセル化識別子を使用して識別されます。一例は、VLAN、仮想ネットワーク ID（VNID）です。

• EPGは複数の物理ドメイン（baremetalサーバの場合）または仮想ドメインにマッピングできます。各ドメインで異なる VLANまたは VNIDカプセル化を使用できます。


Cisco ACI の仮想マシンネットワーキングVMM ドメイン EPG の関連付け

デフォルトで、APICは動的に EPGの VLANの割り当てを管理します。VMware DVS管理者は、EPGに対して特定の VLANを設定できます。その場合は、VLANは VMMドメインに関連付けられたプール内のスタティック割り当てブロックから選択します。

（注）

アプリケーションは、複数の VMMドメインに導入できます。

図 4：ファブリック内の複数の VMM ドメインと EPG の増大

VMMドメイン内の VMのライブマイグレーションがサポートされていても、VMMドメイン間の VMのライブマイグレーションはサポートされません。

接続可能エンティティプロファイルACIファブリックにより、リーフポートを通してベアメタルサーバ、仮想サーバ、ハイパーバイザ、レイヤ 2スイッチ（たとえば、Cisco UCSファブリックインターコネクト）、またはレイヤ3ルータ（たとえば、CiscoNexus 7000シリーズスイッチ）などのさまざまな外部エンティティに接続する複数の接続ポイントが提供されます。これらの接続ポイントは、リーフスイッチ上の

物理ポート、FEXポート、ポートチャネル、またはバーチャルポートチャネル（vPC）にすることができます。

接続可能エンティティプロファイル（AEP）は、同様のインフラストラクチャポリシー要件を持つ外部エンティティのグループを表します。インフラストラクチャポリシーは、Cisco DiscoveryProtocol（CDP）、LinkLayerDiscoveryProtocol（LLDP）、最大伝送単位（MTU）、LinkAggregationControl Protocol（LACP）などのさまざまなプロトコルオプションを設定する物理インターフェイスポリシーで構成されます。


Cisco ACI の仮想マシンネットワーキング接続可能エンティティプロファイル

AEPは、リーフスイッチでVLANプールを展開するのに必要です。カプセル化ブロック（および関連VLAN）は、リーフスイッチで再利用可能です。AEPは、VLANプールの範囲を物理インフラストラクチャに暗黙的に提供します。

次のAEPの要件と依存関係は、さまざまな設定シナリオ（ネットワーク接続やVMMドメインなど）でも考慮する必要があります。

• AEPは許容されるVLANの範囲を定義しますが、それらのプロビジョニングは行いません。EPGがポートに展開されていない限り、トラフィックは流れません。AEPで VLANプールを定義しないと、EPGがプロビジョニングされても VLANはリーフポートでイネーブルになりません。

•リーフポートで静的にバインディングしている EPGイベントに基づいて、または VMwarevCenterやMicrosoft Azure Service Center Virtual Machine Manager（SCVMM）などの外部コントローラからの VMイベントに基づいて、特定の VLANがリーフポート上でプロビジョニングされるかイネーブルになります。

Virtual MachineManager（VMM）ドメインは、AEPのインターフェイスポリシーグループから物理インターフェイスポリシーを自動的に取得します。

AEPのオーバーライドポリシーをVMMドメイン用の別の物理インターフェイスポリシーを指定するために使用できます。このポリシーは、VMコントローラが中間レイヤ2ノードを介してリーフスイッチに接続され、異なるポリシーがリーフスイッチおよびVMコントローラの物理ポートで要求される場合に役立ちます。たとえば、リーフスイッチとレイヤ 2ノード間で LACPを設定できます。同時に、AEPオーバーライドポリシーで LACPをディセーブルにすることで、VMコントローラとレイヤ 2スイッチ間の LACPをディセーブルにできます。

EPG ポリシーの解決および展開の緊急度EPGが VMMドメインに関連付けられるたびに、管理者は解決と展開の優先順位を選択して、ポリシーをいつリーフスイッチにプッシュするかを指定できます。

解決の緊急性

• [Pre-provision]：VMコントローラが仮想スイッチ（たとえば、VMware VDSや Cisco AVSなど）に接続される前でもポリシー（たとえば、VLAN、VXLANバインディング、コントラクト、フィルタなど）をリーフスイッチにダウンロードすることにより、スイッチの設定を

事前プロビジョニングすることを指定します。

事前プロビジョニングの重要度を使用する場合、ポリシーは CDPまたは LLDPのネイバーシップには関係なくダウンロードされます。VMMスイッチに接続されたホストがない。

• [Immediate]：VMコントローラが仮想スイッチに接続するとEPGポリシー（コントラクトおよびフィルタを含む）が関連付けられているリーフスイッチソフトウェアにダウンロード

されるよう指定します。VMコントローラ/リーフノード接続を解決するためにLLDPまたはOpFlex権限が使用されます。

VMMスイッチにホストを追加すると、ポリシーがリーフにダウンロードされます。ホストからリーフへの CDPまたは LLDPのネイバーシップが必要です。


Cisco ACI の仮想マシンネットワーキングEPG ポリシーの解決および展開の緊急度

• [OnDemand]：VMコントローラが仮想スイッチに接続され、VMがポートグループ（EPG）に配置されている場合にのみ、ポリシー（たとえば、VLAN、VXLANバインディング、コントラクト、フィルタ）がリーフノードにプッシュされるよう指定します。

ホストがVMMスイッチに追加され、仮想マシンをポートグループ（EPG）に配置する必要がある場合、ポリシーがリーフにダウンロードされます。ホストからリーフへのCDPまたはLLDPのネイバーシップが必要です。

即時とオンデマンドの両方において、ホストおよびリーフが LLDPまたは CDPのネイバーシップを失うと、ポリシーは削除されます。

展開の緊急性

ポリシーがリーフソフトウェアにダウンロードされると、展開の緊急度でポリシーをいつハード

ウェアポリシー CAMにプッシュするかを指定できます。

• [Immediate]：ポリシーがリーフソフトウェアでダウンロードされるとすぐにポリシーがハードウェアのポリシー CAMでプログラムされるよう指定します。

• [On Demand]：最初のパケットがデータパス経由で受信された場合にのみポリシーがハードウェアのポリシー CAMでプログラムされるよう指定します。このプロセスは、ハードウェアの領域を最適化するのに役立ちます。

VMM ドメインを削除するためのガイドライン次の手順に従って、VMMドメインを自動的に削除するAPICリクエストによって関連するVMコントローラ（VMware vCenterまたはMicrosoft SCVMM）がトリガーされ、プロセスが正常に完了すること、および ACIファブリックに孤立した EPGが残されないことを確認します。

1 VM管理者は、APICによって作成されたすべての VMを、ポートグループ（VMware vCenterの場合）または VMネットワーク（SCVMMの場合）からデタッチする必要があります。

Cisco AVSの場合、VM管理者は Cisco AVSに関連付けられている vmkインターフェイスも削除する必要があります。

2 ACI管理者は、APICで VMMドメインを削除します。APICは、VMware VDSまたは CiscoAVSまたは SCVMM論理スイッチおよび関連するオブジェクトの削除をトリガーします。

VM管理者が仮想スイッチまたは関連オブジェクト（ポートグループまたは VMネットワークなど）を削除することはできません。上記のステップ 2の完了時に、APICに仮想スイッチの削除を許可します。VMMドメインが APICで削除される前に VM管理者が VMコントローラから仮想スイッチを削除した場合、EPGは APICで孤立する可能性があります。

（注）

このシーケンスに従わない場合、VMコントローラはAPIC VMMドメインに関連付けられている仮想スイッチを削除します。このシナリオでは、VM管理者は VMコントローラから VMおよび


Cisco ACI の仮想マシンネットワーキングVMM ドメインを削除するためのガイドライン

vtepアソシエーションを手動で削除してから、以前にAPICVMMドメインに関連付けられていた仮想スイッチを削除します。

基本および拡張 GUI モード間の切り替えAPIC GUIにログインすると、現在の GUIモードを確認できます。GUIの右上隅に現在のモードが表示されます。次のどちらのモードで動作するかを選択することができます。

注意：シスコでは、コンフィギュレーションモード（拡張または基本）を混在させないことをお

勧めします。いずれかのモードで設定を作成し、他方のモードを使用して設定を変更すると、意

図しない変更が発生する可能性があります。たとえば、拡張モードを使用して 2つのポートにインターフェイスポリシーを適用し、次に基本モードを使用して 1つのポートの設定を変更すると、変更内容が両方のポートに適用される可能性があります。

•基本モード：基本モードで実行するタスクについては、「Getting Started with APIC Using theBasic GUI」の章を参照してください。

•拡張モード：拡張モードで実行するタスクについては、「Getting Started with APIC Using theAdvanced GUI」の章を参照してください。

次のようにして 1つの GUIモードから他のモードに変更またはモード間を切り替えることができます。

1 GUIで、[welcome, <login_name>]ドロップダウンリストをクリックし、[Toggle GUI Mode]を選択します。

2 [Warning]ダイアログボックスで、[Yes]をクリックします。

3 アプリケーションがロードを完了し、変更されたモードで GUIが表示されるのを待ちます。


Cisco ACI の仮想マシンネットワーキング基本および拡張 GUI モード間の切り替え

第 3 章

Cisco ACI と VMware VDS および VMwarevShield との統合


• 仮想マシンネットワーキングポリシーの設定, 13 ページ

• VMMドメインプロファイルの作成, 17 ページ

• VDSアップリンクポートグループの作成, 33 ページ

• ブレードサーバの使用, 33 ページ

• Cisco ACIと VMware VMMシステム統合のトラブルシューティング, 36 ページ

• 追加参考セクション, 36 ページ

仮想マシンネットワーキングポリシーの設定APICは、サードパーティの VMマネージャ（VMM）（VMware vCenterなど）と統合し、ACIの利点を仮想化されたインフラストラクチャに拡張します。APICによって、VMMシステム内のACIポリシーをその管理者が使用できるようになります。

Cisco ACIと Vmwareの VMM統合では以下のモードがサポートされます。

• VMware VDS：Cisco ACIと統合するときに、VMware vSphere Distributed Switch（VDS）によって、ACIファブリックの VMネットワーキングが設定できるようになります。

• Cisco Application Virtual Switch（AVS）：Cisco ACIを使用して Cisco AVSをインストールして設定する方法については、Cisco ACIおよび Cisco AVS, （69ページ）を参照してください。


APIC でサポートされる VMware VDS バージョン

リリース 6.0リリース 5.5リリース 5.1VMware VDS

サポートあり（長距離

vMotion機能を除く）サポートありサポートありVMware vCenter

該当なしサポートありサポートありVMware vShield

VMware vSphere Distributed Switch（VDS）を使用した VMMドメインに VMware ESXiホストを追加するときは、ESXiホストのバージョンが、vCenterにすでに導入されている DistributedVirtual Switch（DVS）バージョンと互換性があることを確認してください。ESXiホストに関するVMwareVDS互換性要件の詳細については、VMwareのマニュアルを参照してください。

ESXiホストバージョンに既存の DVSとの互換性がない場合、vCenterはその ESXiホストをDVSに追加することはできず、非互換性エラーが発生します。Cisco APICから既存の DVSバージョン設定を変更することはできません。vCenterで DVSバージョンを低くするには、VMMドメイン設定を削除してから、低くした設定で再適用する必要があります。

（注）

5.X から 6.x への VMware DVS のアップグレードと VMM 統合に関するガイドラインここでは、VMware分散仮想スイッチ（DVS）の 5.xから 6.xへのアップグレードおよび VMM統合のガイドラインを説明します。

• DVSのバージョニングはVMwareDVSにのみ適用され、CiscoApplicationVirtual Switch（AVS）には適用されません。DVSのアップグレードは、ACIではなく VMware vCenterまたは関連するオーケストレーションツールから開始されます。vCenter内の AVSスイッチの場合、[Upgrade Version]オプションはグレー表示されています。

• DVSを 5.xから 6.xにアップグレードする場合、vCenter Serverをバージョン 6.0に、および分散スイッチに接続されているすべてのホストを ESXi 6.0にアップグレードする必要があります。vCenterおよびハイパーバイザホストのアップグレードの詳細については、VMwareのアップグレードマニュアルを参照してください。DVSをアップグレードするには、Webクライアントに移動します（[Home] > [Networking] > [DatacenterX] > [DVS-X] > [Actions Menu]> [Upgrade Distributed Switch]）。

• vCenterに表示される DVSバージョンが APICで設定された VMMドメインの DVSバージョンと一致しない場合、DVSの機能、能力、パフォーマンス、スケールへの機能上の影響はありません。APICおよび VMMドメインの DVSバージョンは、初期導入にのみ使用されます。


Cisco ACI と VMware VDS および VMware vShield との統合APIC でサポートされる VMware VDS バージョン

ACI と VMware の構造のマッピング

表 2：ACI と VMware の構造のマッピング

VMware 用語Cisco APIC 用語

vCenter（データセンター）または vShieldVMコントローラ

vSphere Distributed Switch（VDS）Virtual Machine Manager（VMM）ドメイン

ポートグループエンドポイントグループ（EPG）

APIC によって管理される VMware VDS パラメータ

APIC によって管理される VDS パラメータ

APIC ポリシーを使用して設定可能か

デフォルト値VMware VDS

はい（ドメインから派生）VMMドメイン名名前

いいえ"APIC Virtual Switch"説明

はい（ドメインから派生）VMMドメイン名フォルダ名

はいvCenterでサポートされる最新バージョン

はいLLDPDiscoveryプロトコル

いいえ8アップリンクポートおよびアッ

プリンク名

いいえuplinkアップリンク名プレフィックス

はい9000最大MTU

はいdisabledLACPポリシー

はい0セッション。ポートのミラーリング

いいえフォルダレベルに 2アラーム追加

アラーム


Cisco ACI と VMware VDS および VMware vShield との統合ACI と VMware の構造のマッピング

APIC によって管理される VDS ポートグループパラメータ


デフォルト値VMware VDS ポートグループ

はい（EPGから導出）テナント名|アプリケーションプロファイル名|EPG名

名前

いいえスタティックバインディングポートバインディング

はいVLANプールから選択VLAN

はいAPICのポートチャネルポリシーに基づいて派生

ロードバランシングアルゴリ

ズム

いいえDisabled無差別モード

いいえDisabled偽装された転送

いいえDisabledMAC変更

いいえFalseすべてのポートをブロック

APIC で管理される vShield マネージャパラメータ


デフォルト値vShield マネージャ

はい（EPGから導出）テナント名|アプリケーションプロファイル名|EPG名

virtualwire -名前

いいえdescvirtualwire -説明

いいえvShieldによって Vxlanプールから選択

virtualwire -セグメント ID

いいえ"apicNetworkScope"ネットワーク範囲

はい（Vxlanプールを使用）N/AVXLANセグメント ID範囲

はい（マルチキャストアドレ

スプールを使用）

N/Aマルチキャストアドレス範囲


Cisco ACI と VMware VDS および VMware vShield との統合APIC によって管理される VMware VDS パラメータ


デフォルト値vShield マネージャ

いいえすべてのクラスタは、APICによって準備されます

クラスタの準備

はいAPICでポートチャネルポリシーに基づいて導出されます

チーミングポリシー

VMM ドメインプロファイルの作成この項では、VMMドメインの例は、vCenterドメインまたは vCenterおよび vShieldドメインです。

GUI タスクここでは、GUIを使用してタスクを実行する方法を示します。

• REST APIタスクのリファレンスについては、REST APIタスク, （39ページ）を参照してください。

• CLIタスクのリファレンスについては、CLIタスク, （44ページ）を参照してください。

VMM ドメインプロファイルを作成するための前提条件VMMドメインプロファイルを設定するには、次の前提条件を満たす必要があります。

•すべてのファブリックノードが検出され、設定されている。

•インバンド（inb）またはアウトオブバンド（oob）管理が APIC上で設定されている。

• Virtual Machine Manager（VMM）がインストールされ、設定されて、inb/oob管理ネットワーク（たとえば、vCenter）経由で到達可能である。

• VMMの管理者とルートのクレデンシャルがある（vCenterなど）。

vCenterの管理者とルートのクレデンシャルを使用しない場合は、必要な最小アクセス許可を持つカスタムユーザアカウントを作成できます。必要なユー

ザ権限のリストについては、最小VMware vCenter権限を持つカスタムユーザアカウント, （36ページ）を参照してください。

（注）


Cisco ACI と VMware VDS および VMware vShield との統合VMM ドメインプロファイルの作成

• IPアドレスではなくホスト名で VMMを参照する予定がある場合は、APICの DNSポリシーを設定する必要があります。

• VMware vShieldのドメインプロファイルを作成している場合は、DHCPサーバとリレーポリシーを設定する必要があります。

vCenter ドメイン運用ワークフロー

図 5：vCenter ドメイン運用ワークフロー順の説明

APIC管理者は、vCenterドメインポリシーを APICで設定します。APIC管理者は、次の vCenter接続情報を提供します。

• vCenter IPアドレス、vCenterクレデンシャル、VMMドメインポリシー、VMMドメインSPAN

•ポリシー（VLANプール、VMware VDSなどのドメインタイプ、Cisco Nexus 1000Vスイッチ）

•物理リーフインターフェイスへの接続性（接続エンティティプロファイルを使用）

1 APICが自動的に vCenterに接続します。


Cisco ACI と VMware VDS および VMware vShield との統合vCenter ドメイン運用ワークフロー

2 APICは、vCenterの特定のデータセンターで VDSを作成します。

VDSの名前は VMMドメイン名です。（注）

3 vCenterの管理者やコンピューティングの管理ツールは、APIC VDSに ESXホストまたはハイパーバイザを追加し、APIC VDS上にアップリンクとして ESXホストハイパーバイザポートを割り当てます。これらのアップリンクは ACIリーフスイッチを接続する必要があります。

4 APICがハイパーバイザの LLDPまたは CDP情報を使用して、リーフ接続へのハイパーバイザホストの場所を学習します。

5 APIC管理者がアプリケーション EPGポリシーを作成して関連付けます。

6 APIC管理者が VMMドメインに EPGポリシーを関連付けます。

7 APICは、VDS下の VMware vCenterでポートグループを自動的に作成します。このプロセスは VMware vCenterでネットワークポリシーをプロビジョニングします。

（注） •ポートグループ名は、テナント名、アプリケーションプロファイル名およびEPG名を連結したものです。

•ポートグループは、VDS下で作成され、APICによって以前に作成されたものです。

8 vCenterの管理者やコンピューティングの管理ツールは、VMをインスタンス化しポートグループに割り当てます。

9 APICは、vCenterイベントに基づいて VMの配置について学習します。APICは、アプリケーションEPGおよび関連するポリシー（たとえば、コントラクトやフィルタ）をACIファブリックに自動的にプッシュします。

拡張 GUI を使用した vCenter ドメインプロファイルの作成vCenterドメインの作成時に行う作業の概要は次のとおりです（詳細は下のステップで説明します）。

•スイッチプロファイルの作成/選択

•インターフェイスプロファイルの作成/選択

•インターフェイスポリシーグループの作成/選択

• VLANプールの作成/選択

• vCenterドメインの作成

• vCenterクレデンシャルの作成



手順

ステップ 1 メニューバーで、[FABRIC] > [Access Policies]をクリックします。

ステップ 2 [Navigation]ペインで、[Switch Policies]をクリックします。

ステップ 3 [Switch Policies]を右クリックし、[Configured Interfaces, PC, and VPC]をクリックします。

ステップ 4 [Work]ペインの [Configured Switch Interfaces]領域で [Switch Profile]を展開し、次の操作を実行します。

図 6：[Configure Interface, PC, and VPC] ダイアログボックスの典型的なスクリーンショット

a) [Select Switches to Configure Interfaces]フィールドで、[Quick]オプションボタンが自動的にオンになります。

b) [Switches]フィールドドロップダウンリストから、適切なリーフ IDを選択します。c) [Switch Profile Name]フィールドに、スイッチプロファイル名が自動的に入力されます。d) スイッチインターフェイスを設定するために [+]アイコンをクリックします。e) [Interface Type]フィールドで、適切なオプションボタンをオンにします。f) [Interfaces]フィールドに、目的のインターフェイス範囲を入力します。g) [Interface Selector Name]フィールドに、ESXポートを接続するセレクタ名を入力します。h) [Link Level Policy]ドロップダウンリストから、目的のリンクレベルポリシーを選択します。i) [CDP Policy]ドロップダウンリストから、目的の CDPポリシーを選択します。

同様に、利用可能なポリシーフィールドから目的のインターフェイスポリシーを選

択します。

（注）



j) [Attached Device Type]フィールドで、[ESX Hosts]を選択します。k) [Domain Name]フィールドに、ドメイン名を入力します。l) [VLAN Range]フィールドに、必要に応じて VLANの範囲を入力します。

少なくとも 200の VLAN番号の範囲を推奨します。インフラストラクチャネットワーク用に予約された VLANは内部使用が目的のため、この VLAN IDを含む範囲を定義しないでください。

（注）

m) [vCenter Login Name]フィールドに、ログイン名を入力します。n) （任意） [Security Domains]ドロップダウンリストから、適切なセキュリティドメインを選択します。

o) [Password]フィールドに、パスワードを入力します。p) [Confirm Password]フィールドにパスワードを再入力します。q) [vCenter/vShield]を展開します。

ステップ 5 [Create vCenter/vShield Controller]ダイアログボックスに、適切な情報を入力し、[Save]をクリックします。

ステップ 6 [Configure Interface, PC, And VPC]ダイアログボックスの [vSwitch Policy]フィールドで、目的のチェックボックスをオンにして、CDPまたはLLDPを有効にします。[Save]をクリックし、[Submit]をクリックします。

ステップ 7 次の手順に従って、新しいドメインとプロファイルを確認します。

a) メニューバーで、[VM Networking] > [Inventory]を選択します。b) [Navigation]ペインで、[VMware] > [Domain_name] > [vCenter_name]の順に展開します。

[Work]ペインの [Properties]に VMMドメイン名を表示して、コントローラがオンラインであることを確認します。[Work]ペインに、vCenterのプロパティが動作ステータスとともに表示されます。表示される情報によって、APICコントローラから vCenter Serverへの接続が確立され、インベントリが使用できることを確認します。

基本 GUI を使用した vCenter ドメインプロファイルの作成

はじめる前に

VMMドメインプロファイルを作成する前に、APIC上でインバンド管理ネットワークを使用して外部ネットワークへの接続を確立する必要があります。

手順

ステップ 1 APIC GUIの [Basic Mode]にログインします。

（注）



メニューバーで、[VM NETWORKING] > [Inventory]の順に選択します。

ステップ 2 [Navigation]ペインで、[VMware]を右クリックし、[Create vCenter Domain]をクリックします。

ステップ 3 [Create vCenter Domain]ダイアログボックスで、[Name]を入力します。

ステップ 4 [Virtual Switch]フィールドで、[VMware vSphere Distributed Switch]が選択されていることを確認します。

ステップ 5 このステップでは、このサーバ下に作成されるすべてのポートグループおよび EPGに対する VLANの範囲が提供されます。

（注）

[VLAN Pool]ドロップダウンリストで、[Create VLAN Pool]を選択します。[Create VLAN Pool]ダイアログボックスで、次の操作を実行します。

a) [Name]を入力します。b) [Allocation Mode]フィールドで、[Dynamic Allocation]が選択されていることを確認します。c) [EncapBlocks]を展開して、VLANブロックを追加します。[Create Ranges]ダイアログボックスで、VLANの範囲を入力します。

少なくとも 200の VLAN番号の範囲を使用することを推奨します。

（注）

d) [OK]をクリックし、[Submit]をクリックします。

ステップ 6 [vCenter/vShield]を展開し、次のタスクを実行します。a) [Create vCenter/vShield Controller]ダイアログボックスの [Type]フィールドで、[vCenter]オプションボタンをクリックします。

b) vCenter Controllerの [Host Name (or IP Address)]フィールドに、vCenterの名前または IPアドレスを入力します。

c) [Datacenter]フィールドで、必要に応じてデータセンターを入力します。d) [Username]フィールドにユーザ名を入力します。ユーザ名は、vCenterの管理者としてログインするためのクレデンシャルである必要があります。

e) [Password]フィールドにパスワードを入力し、[ConfirmPassword]フィールドにパスワードをもう一度入力します。[OK]をクリックし、[Submit]をクリックします。パスワードは、vCenterの管理者としてログインするためのクレデンシャルである必要があります。

ステップ 7 メニューバーで、[FABRIC] > [Inventory]の順に選択します。

ステップ 8 [Navigation]ペインで、[Pod]を展開し、[Configure]タブをクリックし、次の操作を実行します。a) [Configure]ペインで、[Add Switches]をクリックし、設定するスイッチを選択します。[Add

Selected]をクリックします。複数のスイッチを選択するには、[Command]ボタンを使用します。

（注）

b) ポート番号をクリックしてこれらを VMwareに関連付けし、[Configure Interface]をクリックします。

c) [Configure Interface]ペインで、[VLAN]タブをクリックします。d) [VLAN]ペインで、[ESX And SCVMM]を展開します。



e) [Name]フィールドで、ドロップダウンリストから作成した VMwareを選択します。[Update]および [Apply Changes]をクリックし、VMwareの設定を完了します。


ポリシーが送信された後にコントローラを確実に動作させるには、vCenterの管理者は分散スイッチにホストを追加する必要があります。

（注）

a) メニューバーで、[VM Networking] > [Inventory]を選択します。b) [Navigation]ペインで、[VMware]を展開し、vCenterドメイン名を展開します。c) [Navigation]ペインで、コントローラ名をクリックし、コントローラがオンラインであることを確認します。

[Work]ペインに、プロパティが動作ステータスとともに表示されます。表示される情報によって、APICコントローラからサーバへの接続が確立され、インベントリが使用できることを確認します。

NX-OS スタイル CLI を使用した vCenter ドメインプロファイルの作成

はじめる前に

ここでは、NX-OSスタイル CLIを使用して vCenterドメインプロファイルを作成する方法を説明します。

手順

ステップ 1 CLIで、コンフィギュレーションモードに入ります。

例：apic1# configureapic1(config)#

ステップ 2 VLANドメインを設定します。

例：apic1(config)# vlan-domain dom1 dynamicapic1(config-vlan)# vlan 150-200 dynamicapic1(config-vlan)# exitapic1(config)#

ステップ 3 この VLANドメインにインターフェイスを追加します。これらは VMwareハイパーバイザのアップリンクポートに接続されるインターフェイスです。

例：apic1(config)# leaf 101-102apic1(config-leaf)# interface ethernet 1/2-3apic1(config-leaf-if)# vlan-domain member dom1apic1(config-leaf-if)# exitapic1(config-leaf)# exit

ステップ 4 VMwareドメインを作成して VLANドメインメンバーシップを追加します。



例：apic1(config)# vmware-domain vmmdom1apic1(config-vmware)# vlan-domain member dom1apic1(config-vmware)#

ステップ 5 DVSにドメインタイプを設定します。

例：apic1(config-vmware)# configure-dvsapic1(config-vmware-dvs)# exitapic1(config-vmware)#

ステップ 6 ドメインのコントローラを設定します。

例：apic1(config-vmware)# vcenter 192.168.66.2 datacenter prodDCapic1(config-vmware-vc)# username administratorPassword:Retype password:apic1(config-vmware-vc)# exitapic1(config-vmware)# exitapic1(config)# exit

パスワードを設定する際には、Bashシェルが間違えて解釈することを避けるために、「$」または「!」などの特殊文字の前にバックスラッシュを付ける必要があります（「\$」）。エスケープのバックスラッシュは、パスワードを設定するときにだけ必要です。実際のパスワードにはバックスラッシュは表示されません。

（注）

ステップ 7 設定を確認します。

例：apic1# show running-config vmware-domain vmmdom1# Command: show running-config vmware-domain vmmdom1# Time: Wed Sep 2 22:14:33 2015vmware-domain vmmdom1vlan-domain member dom1vcenter 192.168.66.2 datacenter prodDCusername administrator password *****

configure-dvsexit

exit

vCenter および vShield ドメインの運用ワークフローこのワークフローでは、VMwareで提供されるハイパーバイザVXLAN機能を使用するためにAPICがどのように vShield Managerと統合するかを示します。

APICは vShield Managerで VXLAN全体の準備と導入を制御および自動化するので、ユーザはvShield Managerで操作を実行する必要がありません。

（注）


Cisco ACI と VMware VDS および VMware vShield との統合vCenter および vShield ドメインの運用ワークフロー

前提条件

•ファブリックインフラストラクチャ VLANはハイパーバイザポートに拡張する必要があります。ファブリックインフラストラクチャVLANは、VXLANデータパケットのイーサネットヘッダーで外部VLANとして使用されます。VXLAN用にAPIC VDSを準備するときに、APICはファブリックインフラストラクチャVLANを vShieldManagerに自動的にプッシュします。それには、このドメインプロファイルで使用される接続可能エンティティプロファ

イルで [Enable Infrastructure VLAN]をオンにするか、ファブリックおよびハイパーバイザ間の任意の中間レイヤ 2スイッチで、インフラストラクチャ VLAN IDを手動で有効にして使用可能にします。

運用ワークフロー

図 7：vCenter および vShield ドメインの運用ワークフローの一連の図

APIC管理者は、vCenterおよび vShieldのドメインポリシーを APICで設定します。



（注） • APIC管理者は、APICで vShieldManagerと vCenter Server間のアソシエーションを提供する必要があります。

• APIC管理者は、セグメント IDおよび VXLANに必要なマルチキャストアドレスプールを提供する必要があります。vShield Managerのセグメント IDプールは、APICで設定された他の vShield Managerのプールと重複してはなりません。

1 APICは、vCenterに接続し、VDSを作成します。

2 APICは、vCenterの特定のデータセンターで VDSを作成します。

vDSの名前は VMMドメイン名です。（注）

3 APICは、vShield Managerに接続し、セグメント IDとマルチキャストアドレスプールをプッシュし、VXLAN用の VDSを準備します。

4 vCenterの管理者やコンピューティングの管理ツールは、VDSにハイパーバイザを接続します。クラスタのすべてのハイパーバイザをVDSに接続する必要があります。その後にのみ、vShieldは VDSの準備を開始します。

5 APICは、ハイパーバイザからの LLDPまたは CDP情報を使用して、リーフ接続へのハイパーバイザホストの場所を学習します。

6 APIC管理者は、アプリケーションプロファイルと EPGを作成します。

7 APIC管理者は、それらを VMMドメインに関連付けます。

8 APICは、VDS下の vShield Managerで仮想ワイヤを自動的に作成します。APICは、vShieldManagerから送信される VXLAN仮想ワイヤからセグメント IDとマルチキャストアドレスを読み込みます。

9 vShieldマネージャは、vVDS下の vCenter Serverで仮想ワイヤポートグループを作成します。

仮想ワイヤ名は、テナント名、アプリケーションプロファイル名および EPG名を連結したものです。

（注）

10 vCenterの管理者やコンピューティングの管理ツールは、VMをインスタンス化し仮想ワイヤポートグループに割り当てます。

11 APICは、ACIファブリックにポリシーを自動的にプッシュします。



拡張 GUI を使用した vCenter および vShield ドメインプロファイルの作成vCenterおよび vShieldドメインの作成時に行う作業の概要は次のとおりです（詳細は下のステップで説明します）。

•スイッチプロファイルの作成/選択

•インターフェイスプロファイルの作成/選択

•インターフェイスポリシーグループの作成/選択

• VLANプールの作成/選択

• vCenterおよび vShieldドメインの作成

• vCenterおよび vShieldクレデンシャルの作成



手順

ステップ 1 メニューバーで、[FABRIC] > [Access Policies]をクリックします。

ステップ 2 [Navigation]ペインで、[Switch Policies]をクリックします。

ステップ 3 [Switch Policies]を右クリックし、[Configured Interfaces, PC, and VPC]をクリックします。

ステップ 4 [Work]ペインの [Configured Switch Interfaces]領域で [Switch Profile]を展開し、次の操作を実行します。

図 8：[Configure Interface, PC, and VPC] ダイアログボックスの典型的なスクリーンショット

a) [Select Switches to Configure Interfaces]フィールドで、[Quick]オプションボタンが自動的にオンになります。

b) [Switches]フィールドドロップダウンリストから、適切なリーフ IDを選択します。c) [Switch Profile Name]フィールドに、スイッチプロファイル名が自動的に入力されます。d) スイッチインターフェイスを設定するために [+]アイコンをクリックします。e) [Interface Type]フィールドで、適切なオプションボタンをオンにします。f) [Interfaces]フィールドに、目的のインターフェイス範囲を入力します。g) [Interface Selector Name]フィールドに、ESXポートを接続するセレクタ名を入力します。h) [Link Level Policy]ドロップダウンリストから、目的のリンクレベルポリシーを選択します。i) [CDP Policy]ドロップダウンリストから、目的の CDPポリシーを選択します。

同様に、利用可能なポリシーフィールドから目的のインターフェイスポリシーを選

択します。

（注）



j) [Attached Device Type]ドロップダウンリストから、適切なデバイスタイプを選択します。k) [Domain Name]フィールドに、ドメイン名を入力します。l) [VLAN Range]フィールドに、必要に応じて VLANの範囲を入力します。


（注）

m) [vCenter Login Name]フィールドに、ログイン名を入力します。n) [Password]フィールドに、パスワードを入力します。o) [Confirm Password]フィールドにパスワードを再入力します。p) [vCenter/vShield]を展開します。

ステップ 5 [Create vCenter/vShield Controller]ダイアログボックスに、適切な情報を入力します。

ステップ 6 [vSwitch Policy]フィールドで、目的の vSwitchポリシーのチェックボックスをオンにします。[Save]をクリックします。

ステップ 7 [Configure Interface, PC, and vPC]ダイアログボックスの [vSwitch Policy]フィールドで、目的のチェックボックスをオンにして、CDPまたは LLDPを有効にします。[Save]をクリックし、[Submit]をクリックします。


a) メニューバーで、[VM Networking] > [Inventory]を選択します。b) [Navigation]ペインで、[VMware] > [Domain_name] > [vCenter_name]の順に展開し、クリックします。

[Work]ペインの [Properties]に VMMドメイン名を表示して、コントローラがオンラインであることを確認します。[Work]ペインに、vCenterのプロパティが動作ステータスとともに表示されます。表示される情報によって、APICコントローラから vCenter Serverへの接続が確立され、インベントリが使用できることを確認します。

基本 GUI を使用した vCenter および vShield ドメインプロファイルの作成

手順


（注）

メニューバーで、[VM NETWORKING] > [Inventory]の順に選択します。

ステップ 2 [Navigation]ペインで、[VMware]を右クリックし、[Create vCenter Domain]をクリックします。

ステップ 3 [Create vCenter Domain]ダイアログボックスで、[Name]を入力します。

ステップ 4 [Virtual Switch]フィールドで、[VMware vSphere Distributed Switch]が選択されていることを確認します。

ステップ 5 このステップでは、このサーバ下に作成されるすべてのポートグループおよび EPGに対する VLANの範囲が提供されます。

（注）



[VLAN Pool]ドロップダウンリストで、[Create VLAN Pool]を選択します。[Create VLAN Pool]ダイアログボックスで、次の操作を実行します。

a) [Name]を入力します。b) [Allocation Mode]フィールドで、[Dynamic Allocation]が選択されていることを確認します。c) [EncapBlocks]を展開して、VLANブロックを追加します。[Create Ranges]ダイアログボックスで、VLANの範囲を入力します。

少なくとも 200の VLAN番号の範囲を使用することを推奨します。

（注）

d) [OK]をクリックし、[Submit]をクリックします。

ステップ 6 [vCenter/vShield]を展開し、次のタスクを実行します。a) [Create vCenter/vShield Controller]ダイアログボックスの [Type]フィールドで、[vCenter + vShield]オプションボタンをクリックします。

b) vCenter Controllerの [Host Name (or IP Address)]フィールドに、vCenterの名前または IPアドレスを入力します。

c) [Datacenter]フィールドで、必要に応じてデータセンターを入力します。d) [Username]フィールドにユーザ名を入力します。ユーザ名は、vCenterの管理者としてログインするためのクレデンシャルである必要があります。

e) [Password]フィールドにパスワードを入力し、[ConfirmPassword]フィールドにパスワードをもう一度入力します。

パスワードは、vCenterの管理者としてログインするためのクレデンシャルである必要があります。

f) vShield Controllerの [Host Name (or IP Address)]フィールドに、vShieldの名前または IPアドレスを入力します。

g) [Datacenter]フィールドで、必要に応じてデータセンターを入力します。h) [Username]フィールドにユーザ名を入力します。ユーザ名は、vShieldの管理者としてログインするためのクレデンシャルである必要があります。

i) [Password]フィールドにパスワードを入力し、[ConfirmPassword]フィールドにパスワードをもう一度入力します。[OK]をクリックし、[Submit]をクリックします。パスワードは、vShieldの管理者としてログインするためのクレデンシャルである必要があります。

ステップ 7 メニューバーで、[FABRIC] > [Inventory]の順に選択します。

ステップ 8 [Navigation]ペインで、[Pod]を展開し、[Configure]タブをクリックし、次の操作を実行します。a) [Configure]ペインで、[Add Switches]をクリックし、設定するスイッチを選択します。[Add

Selected]をクリックします。複数のスイッチを選択するには、[Command]ボタンを使用します。

（注）

b) ポート番号をクリックしてこれらを VMwareに関連付けし、[Configure Interface]をクリックします。

c) [Configure Interface]ペインで、[VLAN]タブをクリックします。d) [VLAN]ペインで、[ESX And SCVMM]を展開します。



e) [Name]フィールドで、ドロップダウンリストから作成した VMwareを選択します。[Update]および [Apply Changes]をクリックし、VMwareの設定を完了します。


ポリシーの発行後にコントローラが機能していることを確認するには、vCenterとvShieldの管理者は分散スイッチにホストを追加する必要があります。

（注）

a) メニューバーで、[VM Networking] > [Inventory]を選択します。b) [Navigation]ペインで、[VMware]を展開し、vCenterドメイン名を展開します。

VMwareの [Work]ペインに vCenterと vShieldの両方が表示されている必要があります。

c) [Navigation]ペインで、コントローラ名をクリックし、コントローラがオンラインであることを確認します。

[Work]ペインに、プロパティが動作ステータスとともに表示されます。表示される情報によって、APICコントローラからサーバへの接続が確立され、インベントリが使用できることを確認します。

NX-OS スタイル CLI を使用した vCenter および vShield ドメインプロファイルの作成

はじめる前に

ここでは、NX-OSCLIを使用して vCenterおよび vShieldドメインプロファイルを作成する方法を説明します。

手順

ステップ 1 NX-OS CLIで、次のようにコンフィギュレーションモードに入ります。

例：apic1# configureapic1(config)# exit

ステップ 2 VLANドメインを次のように設定します。

例：apic1(config)# vlan-domain dom1 dynamicapic1(config-vlan)# vlan 150-200 dynamicapic1(config-vlan)# exitapic1(config)#

ステップ 3 この VLANドメインにインターフェイスを追加します。これらは次のように VMwareハイパーバイザのアップリンクポートに接続されるインターフェイスです。

例：apic1(config)# leaf 101-102apic1(config-leaf)# interface ethernet 1/2-3


Cisco ACI と VMware VDS および VMware vShield との統合NX-OS スタイル CLI を使用した vCenter および vShield ドメインプロファイルの作成

apic1(config-leaf-if)# vlan-domain member dom1apic1(config-leaf-if)# exitapic1(config-leaf)# exitapic1(config)#

ステップ 4 次のように、VMwareドメインを作成して VLANドメインメンバーシップを追加します。

例：apic1(config)# vmware-domain vmmdom1apic1(config-vmware)# vlan-domain member dom1apic1(config-vmware)#

ステップ 5 次のように DVSにドメインタイプを設定します。

例：apic1(config-vmware)# configure-dvsapic1(config-vmware-dvs)# exitapic1(config-vmware)#

ステップ 6 次のようにドメインの vCenterコントローラを設定します。

例：apic1(config-vmware)# vcenter 192.168.66.2 datacenter prodDCapic1(config-vmware-vc)# username administrator password “password”apic1(config-vmware-vc)#

ステップ 7 次のように、この vCenterにアタッチされたVShieldコントローラを設定し、このVShieldの vxlanプールおよびマルチキャストアドレスプールを設定します。

例：apic1(config-vmware-vc)# vshield 123.4.5.6apic1(config-vmware-vc-vs)# username administrator password "password"apic1(config-vmware-vc-vs)# vxlan pool 10000-12000apic1(config-vmware-vc-vs)# vxlan multicast-pool 224.3.4.5-224.5.6.7apic1(config-vmware-vc-vs)# exitapic1(config-vmware-vc)#

ステップ 8 設定を確認します。

例：apic1# show running-config vmware-domain vmmdom1# Command: show running-config vmware-domain vmmdom1# Time: Wed Sep 2 22:14:33 2015vmware-domain vmmdom1vlan-domain member dom1vcenter 192.168.66.2 datacenter prodDCusername administrator password *****vshield 123.4.5.6username administrator password *****vxlan pool 10000-12000vxlan multicast-pool 224.3.4.5-224.5.6.7exit

exitconfigure-dvsexit

exit


Cisco ACI と VMware VDS および VMware vShield との統合NX-OS スタイル CLI を使用した vCenter および vShield ドメインプロファイルの作成

VDS アップリンクポートグループの作成各 VMMドメインは vSphere Distributed Switch（VDS）として vCenterに表示されます。仮想化管理者は APICによって作成された VDSにホストを関連付け、特定の VDSに使用する vmnicを選択します。VDSアップリンクの設定は、APICコントローラから VMMドメインに関連付けられている接続エンティティプロファイル（AEP）のvSwitch設定を変更することによって行います。AEPは、[Fabric Access Policies]エリアの APICの GUIに含まれています。

ACIと vSphere VMMの統合を使用するときは、リンクアグリゲーショングループ（LAG）は、APICによって作成された分散スイッチでインターフェイスチームを作成するための方法としてサポートされません。APICが必要なインターフェイスチーミングの設定を、インターフェイスポリシーグループやAEPvSwitchポリシーの設定に基づいてプッシュします。vCenterのインターフェイスチームはサポートされません。つまり、手動で作成する必要があります。

（注）

ブレードサーバの使用

Cisco UCS B シリーズサーバに関するガイドラインブレードサーバシステムを VMM統合の目的で Cisco ACIに統合するとき（たとえば Cisco UCSブレードサーバまたは他のシスコ以外のブレードサーバを統合するとき）は、次のガイドライン

を検討する必要があります。

この例では、Cisco UCSブレードサーバを統合するためにポートチャネルアクセスポリシーを設定する方法を示します。同様の手順は、Cisco UCSブレードサーバアップリンクをファブリックに接続する方法に応じて、バーチャルポートチャネルまたは個別のリンクアクセス

ポリシーの設定に使用できます。UCSブレードサーバアップリンクの APICで明示的にポートチャネルを設定しないと、デフォルトの動作はMAC Pinningになります。

（注）

• VMエンドポイントの学習は、CDPまたは LLDPプロトコルに依存します。CDPがサポートされる場合は、ブレードスイッチ経由のリーフスイッチポートからブレードアダプタま

で、すべてを有効にする必要があります。

• APICはファブリックインターコネクトとブレードサーバを管理しないないので、CDPやポートチャネルポリシーなどの UCS固有のポリシーは、UCS Managerで設定する必要があります。

• APICの接続可能アクセスエンティティプロファイルで使用されるVLANプールで定義されるVLANも、UCSで手動で作成し、ファブリックに接続する適切なアップリンクで許可する必要があります。これには、該当する場合は、インフラストラクチャVLANを含める必要も


Cisco ACI と VMware VDS および VMware vShield との統合VDS アップリンクポートグループの作成

あります。詳細については、『Cisco UCS Manager GUI Configuration Guide』を参照してください。

• Cisco UCS Bシリーズサーバを使用し、APICポリシーを使用している場合は、Link LayerDiscovery Protocol（LLDP）はサポートされません。

• CiscoDiscovery Prototol（CDP）は、CiscoUCSManagerでデフォルトにより無効になります。Cisco UCSManagerでは、ネットワークコントロールポリシーを作成して、CDPを有効にする必要があります。

• UCSサーバサービスプロファイルでアダプタのファブリックフェールオーバーを有効にしないでください。シスコは、トラフィックのロードバランシングが適切に行われるように、

ハイパーバイザが仮想スイッチレイヤでフェールオーバーを処理できるようにすることを推

奨します。

症状：ブレードスイッチやファブリックインターコネクトのようなアンマネージドノードの

管理 IPの変更は VMware vCenterで更新されますが、VMware vCenterはイベントを APICに送信しません。

条件：これにより、VMware vCenterと APICとの同期外れが発生します。

回避策：アンマネージドノードの背後のESXサーバを管理するVMware vCenterコントローラのインベントリプルをトリガーする必要があります。

（注）

GUI を使用した、ブレードサーバのアクセスポリシーのセットアップ

はじめる前に

Cisco APICと動作するには、Cisco UCSファブリックインターコネクトは少なくともバージョン2.2(1c)である必要があります。BIOS、CIMCおよびアダプタなどのすべてのコンポーネントは、バージョン 2.2(1c)以降である必要があります。その他の詳細については、『Cisco UCS ManagerCLI Configuration Guide』を参照してください。


Cisco ACI と VMware VDS および VMware vShield との統合GUI を使用した、ブレードサーバのアクセスポリシーのセットアップ

手順

ステップ 1 メニューバーで、[FABRIC] > [Access Policies]を選択します。

ステップ 2 [Work]ペインで、[Configure Interface, PC, and vPC]をクリックします。

ステップ 3 [Configure Interface, PC, and vPC]ダイアログボックスで [+]アイコンをクリックして、スイッチを選択します。

ステップ 4 [Switches]フィールドで、ドロップダウリストから必要なスイッチ IDを選択します。

ステップ 5 スイッチインターフェイスを設定するために [+]アイコンをクリックします。

ステップ 6 [Interface Type]フィールドで、[VPC]オプションボタンをクリックします。

ステップ 7 [Interfaces]フィールドに、ブレードサーバに接続された適切なインターフェイスまたはインターフェイス範囲を入力します。

ステップ 8 [Interface Selector Name]フィールドに名前を入力します。

ステップ 9 [CDP Policy]ドロップダウンリストから、デフォルトを選択します。デフォルトの CDPポリシーは無効に設定されています。（リーフスイッチとブレードサーバ間では、CDPを無効にする必要があります。）

ステップ 10 [LLDP Policy]ドロップダウンリストから、デフォルトを選択します。デフォルトの LLDPポリシーは、受信および送信状態に対して有効に設定されています。（リーフスイッチとブレードサーバ間では、LLDPを有効にする必要があります。）

ステップ 11 [LACP Policy]ドロップダウンリストから、[Create LACP Policy]を選択します。リーフスイッチとブレードサーバ間では、LACPポリシーをアクティブにする必要があります。

ステップ 12 [Create LACP Policy]ダイアログボックスで、次のアクションを実行します。a) [Name]フィールドにポリシーの名前を入力します。b) [Mode]フィールドで [Active]オプションボタンをオンにします。c) 残りのデフォルト値はそのままにして、[Submit]をクリックします。

ステップ 13 [Attached Device Type]フィールドのドロップダウンリストで、[ESX Hosts]を選択します。

ステップ 14 [Domain Name]フィールドに、適宜名前を入力します。

ステップ 15 [VLAN Range]フィールドに、範囲を入力します。

ステップ 16 [vCenter Login Name]フィールドに、ログイン名を入力します。

ステップ 17 [Password]フィールドおよび [Confirm Password]フィールドに、パスワードを入力します。

ステップ 18 [vCenter/vShield]フィールドを展開し、[Create vCenter/vShield Controller]ダイアログボックスに必要な内容を入力して [OK]をクリックします。

ステップ 19 [vSwitch Policy]フィールドで、次の操作を実行します。ブレードサーバと ESXハイパーバイザ間では、CDPを有効にし、LLDPを無効にし、LACPを無効にして、MACピニングを設定する必要があります。

a) [MAC Pinning]チェックボックスをオンにします。b) [CDP]チェックボックスをオンにします。


Cisco ACI と VMware VDS および VMware vShield との統合GUI を使用した、ブレードサーバのアクセスポリシーのセットアップ

c) LLDPは無効のままにする必要があるため、[LLDP]チェックボックスはオフのままにします。

ステップ 20 [Save]をクリックし、[Save]をもう一度クリックします。[Submit]をクリックします。アクセスポリシーが設定されます。

Cisco ACI と VMware VMM システム統合のトラブルシューティング

トラブルシューティングの詳細については、次のリンクを参照してください。

• Cisco APIC Troubleshooting Guide

• ACI Troubleshooting Book

追加参考セクション

最小 VMware vCenter 権限を持つカスタムユーザアカウントCiscoAPICからvCenterを設定するには、vCenterで次の最小権限セットが許可されるクレデンシャルである必要があります。

•アラーム

•分散スイッチ

• dvPortグループ

•フォルダ

•ホスト

◦詳細設定

◦ローカル操作.再構成済み仮想マシン

◦ネットワーク設定

•ネットワーク

•仮想マシン

◦仮想マシン.構成.デバイス設定の変更

◦仮想マシン.構成.設定


Cisco ACI と VMware VDS および VMware vShield との統合Cisco ACI と VMware VMM システム統合のトラブルシューティング

http://www.cisco.com/c/en/us/support/cloud-systems-management/application-policy-infrastructure-controller-apic/products-troubleshooting-guides-list.html

https://github.com/datacenter/aci-troubleshooting-book

これにより、APICは vCenterに VMware APIコマンドを送信して、DVS/AVSの作成、VMKインターフェイス（AVS）の作成、ポートグループの発行および必要なすべてのアラートのリレーを行うことができます。

検疫ポートグループ

検疫ポートグループ機能は、ポートグループの割り当てを特定の状況下でクリアする手段を提供

します。VMware vCenterで、VMware vSphere Distributed Switch（VDS）を作成すると、検疫ポートグループが VDSにデフォルトで作成されます。検疫ポートグループのデフォルトポリシーは、すべてのポートをブロックします。

ロードバランサやファイアウォールなどの Layer 4 to Layer 7仮想サービスアプライアンス統合の一環として Application Policy Infrastructure Controller（APIC）は、サービスのスティッチングのために vCenterでサービスポートグループを作成し、サービスグラフレンダリング機能の一部としてこれらのサービスポートグループ内でサービス仮想マシン（VM）などの仮想アプライアンスの配置を調整します。サービスグラフを削除すると、サービスVMは検疫ポートグループに自動的に移動されます。削除時の検疫ポートグループへの自動転送は、APICによって調整されたサービス VMについてのみ実行されます。

必要に応じて、検疫ポートグループのポートについて詳細なアクションを実行できます。たとえ

ば、検疫ポートグループからVMネットワークなどの別のポートグループにすべてのポートを移行できます。

検疫ポートグループの機能は通常のテナントエンドポイントグループ（EPG）および関連付けられたポートグループとテナント VMには適用されません。したがって、テナント EPGを削除すると、関連付けられたポートグループに存在するすべてのテナント VMはそのまま残り、検疫ポートグループに移動されません。テナントポートグループへのテナントVMの配置はAPICレルムの外部になります。

オンデマンド VMM インベントリの更新トリガードインベントリによって、仮想マシンマネージャ（VMM）コントローラと APICの間のインベントリをプルし、再同期するための手動トリガーオプションが提供されます。トリガー

ドインベントリは同期外れシナリオからの迅速なリカバリを実現します。トリガードインベント

リは vCenter VMMコントローラのみに適用できます。通常のシナリオには必要ありません。インベントリ同期は VMMコントローラに負荷がかかる操作であるため、裁量で使用する必要があります。

APICが vCenterインベントリのプルを開始します。ホスト、VM、DVS、アップリンクポートグループ、NICなどは最初の VMMコントローラ作成作業の一環として、取得されます。以降のvCenterの変更はイベントサブスクリプションメカニズムを介して学習されます。これにより、APIC VMMマネージャがエンドポイントの接続/切断の更新を、更新されたポリシーをリーフスイッチに適宜ダウンロードする APICポリシーマネージャに送信できるようになります。

プロセスの再起動、リーダーシップの変更、バックグラウンドの定期的な24時間インベントリ監査があるときに、APICはインベントリのプルを行って、VMMコントローラとAPICの間でVMMインベントリの同期を維持します。負荷が高いときは、vCenterはAPICの適切なインベントリイ


Cisco ACI と VMware VDS および VMware vShield との統合検疫ポートグループ

ベント通知を提供できません。この場合は、トリガードインベントリがAPICと vCenterの同期を保つ上で役立ちます。

ACI インバンド VLAN に vCenter ハイパーバイザ VMK0 を移行するためのガイドライン

ACIのインバンドポートにバインドされた接続からデフォルトの vCenterハイパーバイザ VMK0を移行するためには、以下のガイドラインに従います。ACIファブリックインフラストラクチャ管理者が必要なポリシーを使用してAPICを設定し、vCenter管理者が適切なACIポートグループに VMK0を移行します。

APIC での必要な管理 EPG ポリシーの作成ACIファブリックインフラストラクチャ管理者として、管理テナントおよびVMMドメインポリシーの作成時に、次のガイドラインを使用します。

• ESX管理に使用する VLANを選択します。

• ESX管理用に選択したVLANをターゲットVMMドメインに関連付けられているVLANプールの範囲（またはEncapブロック）に追加します。このVLANを追加する範囲は、割り当てモードをスタティック割り当てにする必要があります。

• ACI管理テナント（mgmt）で管理 EPGを作成します。

•管理 EPGに関連付けられているブリッジドメインがプライベートネットワーク（inb）にも関連付けられていることを確認します。

•次のようにターゲット VMMドメインに管理 EPGを関連付けます。

◦事前プロビジョニングとして解決の緊急度を使用します。

◦ VMドメインプロファイル関連付けの [Port Encap]フィールドで管理 VLANを指定します。

その結果、APICによって vCenterの下にユーザが指定する VLANを使用してポートグループが作成されます。APICは、自動的に VMMドメインと接続エンティティプロファイル（AEP）に関連付けられたリーフスイッチにポリシーをプッシュします。

インバンド ACI VLAN への VMK0 の移行デフォルトでは、vCenterはハイパーバイザ管理インターフェイスでデフォルト VMK0を設定します。上述のように作成した ACIポリシーによって、vCenter管理者はこのデフォルトの VMK0を APICによって作成されたポートグループに移行できるようになります。そうすることで、ハイパーバイザ管理ポートが解放されます。


Cisco ACI と VMware VDS および VMware vShield との統合ACI インバンド VLAN に vCenter ハイパーバイザ VMK0 を移行するためのガイドライン

REST API タスクここでは、REST APIを使用してタスクを実行する方法を示します。

• GUIタスクのリファレンスについては、VMMドメインプロファイルの作成, （17ページ）とGUIを使用した、ブレードサーバのアクセスポリシーのセットアップ, （34ページ）の項を参照してください。

• CLIタスクのリファレンスについては、CLIタスク, （44ページ）を参照してください。

REST API を使用した vCenter ドメインプロファイルの作成

手順

ステップ 1 VMMドメイン名、コントローラおよびユーザクレデンシャルを設定します。

例：POST URL: https://<api-ip>/api/node/mo/.xml

<polUni><vmmProvP vendor="VMware"><vmmDomP name="productionDC"><infraRsVlanNs tDn="uni/infra/vlanns-VlanRange-dynamic"/><vmmUsrAccP name="admin" usr="administrator" pwd="admin" /><vmmCtrlrP name="vcenter1" hostOrIp="<vcenter ip address>" rootContName="<Datacenter Namein vCenter>"><vmmRsAcc tDn="uni/vmmp-VMware/dom-productionDC/usracc-admin"/></vmmCtrlrP></vmmDomP></vmmProvP>

ステップ 2 VLANネームスペースの導入用の接続可能エンティティプロファイルを作成します。

例：POST URL: https://<apic-ip>/api/policymgr/mo/uni.xml<infraInfra><infraAttEntityP name="profile1"><infraRsDomP tDn="uni/vmmp-VMware/dom-productionDC"/></infraAttEntityP></infraInfra>

ステップ 3 インターフェイスポリシーグループおよびセレクタを作成します。

例：POST URL: https://<apic-ip>/api/policymgr/mo/uni.xml

<infraInfra><infraAccPortP name="swprofile1ifselector">

<infraHPortS name="selector1" type="range"><infraPortBlk name="blk"fromCard="1" toCard="1" fromPort="1" toPort="3"></infraPortBlk>


Cisco ACI と VMware VDS および VMware vShield との統合REST API タスク

<infraRsAccBaseGrp tDn="uni/infra/funcprof/accportgrp-group1" /></infraHPortS>

</infraAccPortP>

<infraFuncP><infraAccPortGrp name="group1">

<infraRsAttEntP tDn="uni/infra/attentp-profile1" /></infraAccPortGrp>

</infraFuncP></infraInfra>

ステップ 4 スイッチプロファイルを作成します。


<infraInfra><infraNodeP name="swprofile1">

<infraLeafS name="selectorswprofile11718" type="range"><infraNodeBlk name="single0" from_="101" to_="101"/><infraNodeBlk name="single1" from_="102" to_="102"/>

</infraLeafS><infraRsAccPortP tDn="uni/infra/accportprof-swprofile1ifselector"/>

</infraNodeP></infraInfra>

ステップ 5 VLANプールを設定します。

例：POST URL: https://<apic-ip>/api/node/mo/.xml

<polUni><infraInfra><fvnsVlanInstP name="VlanRange" allocMode="dynamic">

<fvnsEncapBlk name="encap" from="vlan-100" to="vlan-400"/></fvnsVlanInstP></infraInfra></polUni>

ステップ 6 設定されたすべてのコントローラとそれらの動作状態を検索します。

例：GET:https://<apic-ip>/api/node/class/compCtrlr.xml?<imdata><compCtrlr apiVer="5.1" ctrlrPKey="uni/vmmp-VMware/dom-productionDC/ctrlr-vcenter1"deployIssues="" descr="" dn="comp/prov-VMware/ctrlr-productionDC-vcenter1" domName="productionDC"hostOrIp="esx1" mode="default" model="VMware vCenter Server 5.1.0 build-756313"name="vcenter1" operSt="online" port="0" pwd="" remoteOperIssues="" scope="vm"usr="administrator" vendor="VMware, Inc." ... /></imdata>

ステップ 7 「ProductionDC」という VMMドメイン下の「vcenter1」という名前の vCenterをハイパーバイザと VMで検索します。

例：GET:https://<apic-ip>/api/node/mo/comp/prov-VMware/ctrlr-productionDC-vcenter1.xml?query-target=children

<imdata><compHv descr="" dn="comp/prov-VMware/ctrlr-productionDC-vcenter1/hv-host-4832" name="esx1"state="poweredOn" type="hv" ... /><compVm descr="" dn="comp/prov-VMware/ctrlr-productionDC-vcenter1/vm-vm-5531" name="AppVM1"state="poweredOff" type="virt" .../><hvsLNode dn="comp/prov-VMware/ctrlr-productionDC-vcenter1/sw-dvs-5646" lacpEnable="yes"lacpMode="passive" ldpConfigOperation="both" ldpConfigProtocol="lldp" maxMtu="1500"



mode="default" name="apicVswitch" .../></imdata>

REST API を使用した vCenter および vShield ドメインプロファイルの作成

手順

ステップ 1 VLANプールを作成します。


<polUni><infraInfra>

<fvnsVlanInstP name="vlan1" allocMode="dynamic"><fvnsEncapBlk name="encap" from="vlan-100" to="vlan-400"/>

</fvnsVlanInstP></infraInfra>

</polUni>

ステップ 2 vCenterドメインを作成し、VLANプールを割り当てます。

例：POST URL: https://<apic-ip>/api/policymgr/mo/uni.xml<vmmProvP dn="uni/vmmp-VMware"><vmmDomP name="productionDC"><infraRsVlanNs tDn="uni/infra/vlanns-vlan1-dynamic"/></vmmDomP></vmmProvP>

ステップ 3 インフラストラクチャ VLANの導入用の接続可能エンティティプロファイルを作成します。


<infraInfra><infraAttEntityP name="profile1">

<infraRsDomP tDn="uni/vmmp-VMware/dom-productionDC"/><infraProvAcc name="provfunc"/>

</infraAttEntityP></infraInfra>






</infraAccPortP>








<infraInfra><infraNodeP name="swprofile1">

<infraLeafS name="selectorswprofile11718" type="range"><infraNodeBlk name="single0" from_="101" to_="101"/><infraNodeBlk name="single1" from_="102" to_="102"/>

</infraLeafS><infraRsAccPortP tDn="uni/infra/accportprof-swprofile1ifselector"/>

</infraNodeP></infraInfra>

ステップ 6 コントローラのクレデンシャルを作成します。


<vmmProvP dn="uni/vmmp-VMware"><vmmDomP name="productionDC">

<vmmUsrAccP name="vcenter_user" usr="administrator" pwd="default"/><vmmUsrAccP name="vshield_user" usr="admin" pwd="default"/>

</vmmDomP></vmmProvP>

ステップ 7 vCenterコントローラを作成します。

例：<vmmProvP dn="uni/vmmp-VMware">

<vmmDomP name="productionDC"><vmmCtrlrP name="vcenter1" hostOrIp="172.23.50.85" rootContName="Datacenter1">

<vmmRsAcc tDn="uni/vmmp-VMware/dom-productionDC/usracc-vcenter_user"/></vmmCtrlrP>


ステップ 8 VXLANプールおよびマルチキャストアドレス範囲を作成します。


<infraInfra><fvnsVxlanInstP name="vxlan1">

<fvnsEncapBlk name="encap" from="vxlan-6000" to="vxlan-6200"/></fvnsVxlanInstP><fvnsMcastAddrInstP name="multicast1">

<fvnsMcastAddrBlk name="mcast" from="224.0.0.1" to="224.0.0.20"/></fvnsMcastAddrInstP>

</infraInfra>

ステップ 9 vShieldコントローラを作成します。


<vmmProvP dn="uni/vmmp-VMware"><vmmDomP name="productionDC">



<vmmCtrlrP name="vshield1" hostOrIp="172.23.54.62" scope="iaas"><vmmRsAcc tDn="uni/vmmp-VMware/dom-productionDC/usracc-vshield_user"/><vmmRsVmmCtrlrP tDn="uni/vmmp-VMware/dom-productionDC/ctrlr-vcenter1"/><vmmRsVxlanNs tDn="uni/infra/vxlanns-vxlan1"/><vmmRsMcastAddrNs tDn="uni/infra/maddrns-multicast1"/>

</vmmCtrlrP></vmmDomP>

</vmmProvP>

REST API を使用した、ブレードサーバのアクセスポリシーのセットアップ

手順

ブレードサーバのアクセスポリシーをセットアップします。

例：POST: https://<ip or hostname APIC>/api/node/mo/uni.xml

<polUni><infraInfra><lldpIfPol name="enable_lldp" adminRxSt="enabled" adminTxSt="enabled"/><lldpIfPol name="disable_lldp" adminRxSt="disabled" adminTxSt="disabled"/><cdpIfPol name="enable_cdp" adminSt="enabled"/><cdpIfPol name="disable_cdp" adminSt="disabled"/>

<lacpLagPol name='enable_lacp' ctrl='15' descr='LACP' maxLinks='16' minLinks='1'mode='active'/>

<lacpLagPol name='disable_lacp' mode='mac-pin'/>



<infraNodeP name="leaf1"><infraLeafS name="leaf1" type="range"><infraNodeBlk name="leaf1" from_="1017" to_="1017"/>

</infraLeafS><infraRsAccPortP tDn="uni/infra/accportprof-portselector"/>

</infraNodeP>



<infraAccPortP name="portselector"><infraHPortS name="pselc" type="range"><infraPortBlk name="blk" fromCard="1" toCard="1" fromPort="39" toPort="40">

</infraPortBlk><infraRsAccBaseGrp tDn="uni/infra/funcprof/accbundle-leaf1_PC"/>

</infraHPortS></infraAccPortP>

<infraFuncP>



<infraAccBndlGrp name="leaf1_PC" lagT='link'><infraRsLldpIfPol tnLldpIfPolName="enable_lldp"/><infraRsLacpPol tnLacpLagPolName='enable_lacp'/><infraRsAttEntP tDn="uni/infra/attentp-vmm-FI2"/>

</infraAccBndlGrp></infraFuncP>





<infraAttEntityP name="vmm-FI2"><infraRsDomP tDn="uni/vmmp-VMware/dom-productionDC"/>

<infraProvAcc name="provfunc"/><infraAttPolicyGroup name="attpolicy">

<infraRsOverrideCdpIfPol tnCdpIfPolName="enable_cdp"/><infraRsOverrideLldpIfPol tnLldpIfPolName="disable_lldp"/><infraRsOverrideLacpPol tnLacpLagPolName="disable_lacp"/>

</infraAttPolicyGroup/></infraAttEntityP>

</infraInfra></polUni>

OUTPUT:<?xml version="1.0" encoding="UTF-8"?><imdata></imdata>

CLI タスクここでは、CLIを使用してタスクを実行する方法を示します。

• GUIタスクのリファレンスについては、VMMドメインプロファイルの作成, （17ページ）とGUIを使用した、ブレードサーバのアクセスポリシーのセットアップ, （34ページ）の項を参照してください。

• REST APIタスクのリファレンスについては、REST APIタスク, （39ページ）を参照してください。

CLI を使用した vCenter ドメインプロファイルの作成

手順

ステップ 1 CLIで、ディレクトリを /aciに変更します。

例：admin@apic1:~> cd /aci


例：admin@apic1:~> cd /aci/vm-networking/policies/vmware/vmm-domains/admin@apic1:vmm-domains> mocreate productionDCadmin@apic1:vmm-domains> moconfig commitCommitting mo 'vm-networking/policies/vmware/vmm-domains/productionDC'

All mos committed successfully.admin@apic1:vmm-domains> cd productionDC/admin@apic1:productionDC> moset vlan-poolfabric/access-policies/pools/vlan/vlanRange-dynamic-allocationadmin@apic1:productionDC> moconfig commitCommitting mo 'vm-networking/policies/vmware/vmm-domains/productionDC'

All mos committed successfully.


Cisco ACI と VMware VDS および VMware vShield との統合CLI タスク

admin@apic1:productionDC>admin@apic1:productionDC> cd/aci/vm-networking/policies/vmware/vmm-domains/productionDC/controllers/admin@apic1:controllers> mocreate vcenter1admin@apic1:controllers> cd vcenter1admin@apic1:vcenter1> moset host-name-or-ip-address 192.168.81.2admin@apic1:vcenter1> moset datacenter Datacenter1admin@apic1:vcenter1> moset management-epgtenants/mgmt/networking/external-routed-networks/l3-outside-extMgmt/networks/extNetworkadmin@apic1:vcenter1> moset associated-credentialuni/vmmp-VMware/dom-productionDC/usracc-adminadmin@apic1:vcenter1> moconfig commitCommitting mo 'vm-networking/policies/vmware/vmm-domains/productionDC/controllers/vcenter1'

All mos committed successfully.admin@apic1:vcenter1>admin@apic1:vcenter1> cd/aci/vm-networking/policies/vmware/vmm-domains/productionDC/credentialsadmin@apic1:credentials> mocreate adminadmin@apic1:credentials> moconfig commitCommitting mo 'vm-networking/policies/vmware/vmm-domains/productionDC/credentials/admin'

All mos committed successfully.admin@apic1:credentials> cd admin/admin@apic1:admin> moset username administratoradmin@apic1:admin> moset passwordPassword: <admin>Verify: <admin>admin@apic1:admin> moconfig commitCommitting mo 'vm-networking/policies/vmware/vmm-domains/productionDC/credentials/admin'



例：admin@apic1:~> cd /aci/fabric/access-policies/global-policies/attachable-entity-profile/admin@apic1:attachable-entity-profile> mocreate profile1admin@apic1:attachable-entity-profile> moconfig commitCommitting mo 'fabric/access-policies/global-policies/attachable-entity-profile/profile1'

All mos committed successfully.admin@apic1:attachable-entity-profile> cd profile1/admin@apic1:profile1> cd domains-associated-to-interfaces/admin@apic1:domains-associated-to-interfaces> mocreate uni/vmmp-VMware/dom-productionDCadmin@apic1:domains-associated-to-interfaces> moconfig commitCommitting mo'fabric/access-policies/global-policies/attachable-entity-profile/profile1/domains-associated-to-interfaces/[vm-networking/policies/vmware/vmm-domains/productionDC]'

All mos committed successfully.admin@apic1:domains-associated-to-interfaces>


例：admin@apic1:~> cd /aci/fabric/access-policies/interface-policies/policy-groups/interfaceadmin@apic1:interface> mocreate group1admin@apic1:interface> moconfig commitCommitting mo 'fabric/access-policies/interface-policies/policy-groups/interface/group1'

All mos committed successfully.admin@apic1:interface> cd group1admin@apic1:group1> moset attached-entity-profilefabric/access-policies/global-policies/attachable-entity-profile/profile1admin@apic1:group1> moconfig commitCommitting mo 'fabric/access-policies/interface-policies/policy-groups/interface/group1'



All mos committed successfully.admin@apic1:group1>admin@apic1:group1> cd ../../../admin@apic1:interface-policies> cd profiles/interfaces/admin@apic1:interfaces> mocreate swprofile1ifselectoradmin@apic1:interfaces> cd swprofile1ifselectoradmin@apic1:swprofile1ifselector> moset description 'GUI Interface Selector Generated PortPProfile swprofile1'admin@apic1:swprofile1ifselector> moconfig commitCommitting mo'fabric/access-policies/interface-policies/profiles/interfaces/swprofile1ifselector'

All mos committed successfully.admin@apic1:swprofile1ifselector> mocreate selector1 rangeadmin@apic1:swprofile1ifselector> cd selector1-rangeadmin@apic1:selector1-range> moset policy-groupfabric/access-policies/interface-policies/policy-groups/interface/group1admin@apic1:selector1-range> mocreate block1admin@apic1:selector1-range> cd block1admin@apic1:block1> moset from-port 1admin@apic1:block1> moset to-port 3admin@apic1:block1> moconfig commitCommitting mo'fabric/access-policies/interface-policies/profiles/interfaces/swprofile1ifselector/selector1-range'Committing mo'fabric/access-policies/interface-policies/profiles/interfaces/swprofile1ifselector/selector1-range/block1'

All mos committed successfully.admin@apic1:block1>


例：admin@apic1:~> cd /aci/fabric/access-policies/switch-policies/profiles/admin@apic1:profiles> mocreate swprofile1admin@apic1:profiles> cd swprofile1/admin@apic1:swprofile1> moset description 'GUI Interface Selector Generated Profile:swprofile1'admin@apic1:swprofile1> cd switch-selectors/admin@apic1:switch-selectors> mocreate selectorswprofile11718 rangeadmin@apic1:switch-selectors> cd selectorswprofile11718-range/admin@apic1:selectorswprofile11718-range> mocreate single0admin@apic1:selectorswprofile11718-range> cd single0/admin@apic1:single0> moset from 101admin@apic1:single0> moset to 101admin@apic1:single0> cd ../admin@apic1:selectorswprofile11718-range> mocreate single1admin@apic1:selectorswprofile11718-range> cd single1/admin@apic1:single1> moset from 102admin@apic1:single1> moset to 102admin@apic1:single1> moconfig commitCommitting mo 'fabric/access-policies/switch-policies/profiles/swprofile1'Committing mo'fabric/access-policies/switch-policies/profiles/swprofile1/switch-selectors/selectorswprofile11718-range'Committing mo'fabric/access-policies/switch-policies/profiles/swprofile1/switch-selectors/selectorswprofile11718-range/single1'Committing mo'fabric/access-policies/switch-policies/profiles/swprofile1/switch-selectors/selectorswprofile11718-range/single0'

All mos committed successfully.admin@apic1:single1> cd ../../../admin@apic1:swprofile1> cd associated-interface-selector-profiles/admin@apic1:associated-interface-selector-profiles> mocreatefabric/access-policies/interface-policies/profiles/interfaces/swprofile1ifselectoradmin@apic1:associated-interface-selector-profiles> moconfig commitCommitting mo'fabric/access-policies/switch-policies/profiles/swprofile1/associated-interface-selector-profiles/[fabric/access-policies/interface-policies/profiles/interfaces/swprofile1ifselector]'



All mos committed successfully.admin@apic1:associated-interface-selector-profiles>


例：admin@apic1:~> cd /aci/fabric/access-policies/pools/vlan/admin@apic1:vlan> mocreate VlanRange dynamic-allocationadmin@apic1:vlan> moconfig commitCommitting mo 'fabric/access-policies/pools/vlan/VlanRange-dynamic-allocation'

All mos committed successfully.admin@apic1:vlan> cd VlanRange-dynamic-allocation/encap-blocks/admin@apic1:encap-blocks> mocreate vlan100 vlan400admin@apic1:encap-blocks> moconfig commitCommitting mo'fabric/access-policies/pools/vlan/VlanRange-dynamic-allocation/encap-blocks/vlan100-vlan400'

All mos committed successfully.admin@apic1:encap-blocks>

CLI を使用した vCenter および vShield ドメインプロファイルの作成

手順



ステップ 2 VLANプールを作成します。

例：admin@apic1:~> cd fabric/access-policies/pools/vlanadmin@apic1:vlan> mocreate vlan1 dynamic-allocationadmin@apic1:vlan> moconfig commitCommitting mo 'fabric/access-policies/pools/vlan/vlan1-dynamic-allocation'

All mos committed successfully.admin@apic1:vlan> cd vlan1-dynamic-allocationadmin@apic1:vlan1-dynamic-allocation> cd encap-blocksadmin@apic1:encap-blocks> mocreate vlan-100 vlan-400admin@apic1:encap-blocks> moconfig commitCommitting mo'fabric/access-policies/pools/vlan/vlan1-dynamic-allocation/encap-blocks/vlan100-vlan400'


ステップ 3 vCenterドメインを作成し、ドメインに VLANプールを割り当てます。

例：admin@apic1:~> cd /aciadmin@apic1:~> cd vm-networking/policies/vmware/vmm-domainsadmin@apic1:vmm-domains> mocreate productionDCadmin@apic1:vmm-domains> cd productionDCadmin@apic1:productionDC> moset vlan-poolfabric/access-policies/pools/vlan/vlan1-dynamic-allocation



admin@apic1:productionDC> moconfig commitCommitting mo 'vm-networking/policies/vmware/vmm-domains/productionDC'

All mos committed successfully.admin@apic1:productionDC>

ステップ 4 インフラストラクチャ VLANの導入用の接続可能エンティティプロファイルを作成します。

例：admin@apic1:~> cd /aciadmin@apic1:~> cd fabric/access-policies/global-policies/attachable-entity-profileadmin@apic1:attachable-entity-profile> mocreate profile1admin@apic1:attachable-entity-profile> cd profile1admin@apic1:profile1> cd domains-associated-to-interfacesadmin@apic1:domains-associated-to-interfaces> mocreate uni/vmmp-VMware/dom-productionDCadmin@apic1:domains-associated-to-interfaces> moconfig commitCommitting mo 'fabric/access-policies/global-policies/attachable-entity-profile/profile1'Committing mo 'fabric/access-policies/global-policies/attachable-entity-profile/profile1/domains-associated-to-interfaces/[uni/vmmp-VMware/dom-productionDC]'

All mos committed successfully.admin@apic1:domains-associated-to-interfaces> cd ..admin@apic1:profile1> cd vlan-encapsulation-for-vxlan-trafficadmin@apic1:vlan-encapsulation-for-vxlan-traffic> mocreate provfuncadmin@apic1:vlan-encapsulation-for-vxlan-traffic> moconfig commitCommitting mo 'fabric/access-policies/global-policies/attachable-entity-profile/profile1/vlan-encapsulation-for-vxlan-traffic/provfunc'

All mos committed successfully.admin@apic1:vlan-encapsulation-for-vxlan-traffic>


例：admin@apic1:~> cd /aciadmin@apic1:~> cd fabric/access-policies/interface-policiesadmin@apic1:interface-policies> cd policy-groups/interfaceadmin@apic1:interface> mocreate group1admin@apic1:interface> cd group1admin@apic1:group1> moset attached-entity-profile fabric/access-policies/global-policies/attachable-entity-profile/profile1admin@apic1:group1> cd ../../..admin@apic1:interface-policies> cd profiles/interfacesadmin@apic1:interfaces> mocreate swprofile1ifselectoradmin@apic1:interfaces> cd swprofile1ifselectoradmin@apic1:swprofile1ifselector> moset description 'GUI Interface Selector Generated PortPProfile: swprofile1'admin@apic1:swprofile1ifselector> mocreate selector1 rangeadmin@apic1:swprofile1ifselector> cd selector1-rangeadmin@apic1:selector1-range> moset policy-groupfabric/access-policies/interface-policies/policy-groups/interface/group1admin@apic1:selector1-range> mocreate block1admin@apic1:selector1-range> cd block1admin@apic1:block1> moset to-port 3admin@apic1:block1> moconfig commitCommitting mo 'fabric/access-policies/interface-policies/policy-groups/interface/group1'Committing mo'fabric/access-policies/interface-policies/profiles/interfaces/swprofile1ifselector'Committing mo'fabric/access-policies/interface-policies/profiles/interfaces/swprofile1ifselector/selector1-range'Committing mo'fabric/access-policies/interface-policies/profiles/interfaces/swprofile1ifselector/selector1-range/block1'





例：admin@apic1:~> cd /aciadmin@apic1:~> cd fabric/access-policies/switch-policies/profilesadmin@apic1:profiles> mocreate swprofile1admin@apic1:profiles> cd swprofile1admin@apic1:swprofile1> cd switch-selectorsadmin@apic1::switch-selectors> moset description 'GUI Interface Selector Generated Profile:swprofile1'admin@apic1:swprofile1> mocreate leaf-selector selectorswprofile11718 rangeadmin@apic1:swprofile1> cd leaf-selector-selectorswprofile11718-rangeadmin@apic1:leaf-selector-selectorswprofile11718-range> mocreate single0admin@apic1:leaf-selector-selectorswprofile11718-range> cd single0admin@apic1:single0> moset from 101admin@apic1:single0> moset to 101admin@apic1:single0> cd ..admin@apic1:leaf-selector-selectorswprofile11718-range> mocreate single1admin@apic1:leaf-selector-selectorswprofile11718-range> cd single1admin@apic1:single1> moset from 102admin@apic1:single1> moset to 102admin@apic1:single1> moconfig commitCommitting mo 'fabric/access-policies/switch-policies/profiles/swprofile1'Committing mo'fabric/access-policies/switch-policies/profiles/swprofile1/leaf-selector-selectorswprofile11718-range'Committing mo'fabric/access-policies/switch-policies/profiles/swprofile1/leaf-selector-selectorswprofile11718-range/single1'Committing mo'fabric/access-policies/switch-policies/profiles/swprofile1/leaf-selector-selectorswprofile11718-range/single0'

All mos committed successfully.admin@apic1:single1> cd ../../..admin@apic1:swprofile1> cd associated-interface-selector-profilesadmin@apic1:associated-interface-selector-profiles> mocreatefabric/access-policies/interface-policies/profiles/interfaces/swprofile1ifselectoradmin@apic1:associated-interface-selector-profiles> moconfig commitCommitting mo'fabric/access-policies/switch-policies/profiles/swprofile1/associated-interface-selector-profiles/[fabric/access-policies/interface-policies/profiles/interfaces/swprofile1ifselector]'


ステップ 7 vCenterコントローラおよび vShieldコントローラのクレデンシャルを作成します。

例：admin@apic1:~> cd /aciadmin@apic1:~> cd vm-networking/policies/vmware/vmm-domains/productionDCadmin@apic1:productionDC> cd credentialsadmin@apic1:controller-credentials> mocreate vcenter_useradmin@apic1:controller-credentials> cd vcenter_useradmin@apic1:vcenter_user> moset username administratoradmin@apic1:vcenter_user> moset password defaultadmin@apic1:vcenter_user> cd ..admin@apic1:controller-credentials> mocreate vshield_useradmin@apic1:controller-credentials> cd vshield_useradmin@apic1:vshield_user> moset username adminadmin@apic1:vshield_user> moset password defaultadmin@apic1:vshield_user> moconfig commitCommitting mo'vm-networking/policies/vmware/vmm-domains/productionDC/credentials/vcenter_user'Committing mo'vm-networking/policies/vmware/vmm-domains/productionDC/credentials/vshield_user'



All mos committed successfully.admin@apic1:vshield_user>

ステップ 8 vCenterコントローラを作成します。

例：admin@apic1:~> cd /aciadmin@apic1:~> cd vm-networking/policies/vmware/vmm-domains/productionDCadmin@apic1:productionDC> cd controllersadmin@apic1:controllers> mocreate vcenter1admin@apic1:controllers> cd vcenter1admin@apic1:vcenter1> moset host-name-or-ip-address 172.23.50.85admin@apic1:vcenter1> moset datacenter productionDCadmin@apic1:vcenter1> moset management-epg uni/tn-mgmt/out-extMgmt/instP-extNetworkadmin@apic1:vcenter1> moset associated-credential vm-networking/policies/vmware/vmm-domains/productionDC/credentials/vcenter_useradmin@apic1:vcenter1> moconfig commitCommitting mo 'vm-networking/policies/vmware/vmm-domains/productionDC/controllers/vcenter1'

All mos committed successfully.admin@apic1:vcenter1>

ステップ 9 VXLANプールおよびマルチキャストアドレス範囲を作成します。

例：admin@apic1:~> cd /aciadmin@apic1:~> cd fabric/access-policies/poolsadmin@apic1:pools> cd vxlanadmin@apic1:vxlan> mocreate vxlan1admin@apic1:vxlan> cd vxlan1admin@apic1:vxlan1> cd encap-blocksadmin@apic1:encap-blocks> mocreate vxlan-6000 vxlan-6200admin@apic1:encap-blocks> moconfig commitCommitting mo 'fabric/access-policies/pools/vxlan/vxlan1'Committing mo 'fabric/access-policies/pools/vxlan/vxlan1/encap-blocks/vxlan6000-vxlan6200'

All mos committed successfully.admin@apic1:encap-blocks> cd ../../..admin@apic1:pools> cd multicast-addressadmin@apic1:multicast-address> mocreate multicast1admin@apic1:multicast-address> cd multicast1admin@apic1:multicast1> cd address-blocksadmin@apic1:address-blocks> mocreate 224.0.0.1 224.0.0.20admin@apic1:address-blocks> moconfig commitCommitting mo 'fabric/access-policies/pools/multicast-address/multicast1'Committing mo'fabric/access-policies/pools/multicast-address/multicast1/address-blocks/224.0.0.1-224.0.0.20'

All mos committed successfully.admin@apic1:address-blocks>

ステップ 10 vShieldコントローラを作成します。

例：admin@apic1:~> cd /aciadmin@apic1:~> cd vm-networking/policies/vmware/vmm-domains/productionDCadmin@apic1:productionDC> cd controllersadmin@apic1:controllers> mocreate vshield1admin@apic1:controllers> cd vshield1admin@apic1:vshield1> moset type vshieldadmin@apic1:vshield1> moset host-name-or-ip-address 172.23.54.62admin@apic1:vshield1> moset management-epg uni/tn-mgmt/out-extMgmt/instP-extNetworkadmin@apic1:vshield1> moset associated-credential vm-networking/policies/vmware/vmm-domains/productionDC/credentials/vshield_useradmin@apic1:vshield1> moset associated-vcenter-controller vm-networking/policies/vmware/vmm-domains/productionDC/controllers/vcenter1



admin@apic1:vshield1> moset vxlan-pool fabric/access-policies/pools/vxlan/vxlan1admin@apic1:vshield1> moset multicast-address-poolfabric/access-policies/pools/multicast-address/multicast1admin@apic1:vshield1> moconfig commitCommitting mo 'vm-networking/policies/vmware/vmm-domains/productionDC/controllers/vshield1'

All mos committed successfully.admin@apic1:vshield1>





第 4 章

Cisco ACI でのマイクロセグメンテーション


• Cisco ACIでのマイクロセグメンテーション, 53 ページ

Cisco ACI でのマイクロセグメンテーションシスコアプリケーションセントリックインフラストラクチャ（ACI）を使用したマイクロセグメンテーションを使用すると、さまざまな属性に基づいて、エンドポイントをエンドポイントグ

ループ（EPG）と呼ばれる論理セキュリティゾーンに自動的に割り当てることができます。この章には、Cisco ACIでのマイクロセグメンテーションに関する概念的情報が記載されています。

Cisco ACIでのマイクロセグメンテーションでは、Cisco Application Virtual Switch（AVS）に接続された仮想エンドポイント、およびOpFlexを使用したMicrosoft vSwitchがサポートされます。この機能は、VMware DVSでは使用できません。

Cisco ACIでのマイクロセグメンテーションでは、IPベースの EPGを使用する物理エンドポイントもサポートされます。

Cisco ACIでのマイクロセグメンテーションは物理エンドポイントと仮想エンドポイントに対して設定できるため、以下に注意してください。

（注）

•物理エンドポイントと仮想エンドポイントの両方で同じ IPベースの EPGを共有できます。

•仮想エンドポイントにMACベースの EPGと他の属性（IP以外）を使用する場合、物理エンドポイントと仮想エンドポイントで重複するサブネットがあってはなりません。

Cisco AVSとMicrosoft vSwitchで使用されるマイクロセグメンテーションポリシーは、CiscoApplication Policy Infrastructure Controller（APIC）によって一元管理され、ファブリックによって適用されます。ここでは、EPG、テナント、コントラクト、および ACIポリシーに関連するその


他の主要な概念に精通していることを想定しています。詳細については、『CiscoApplicationCentricInfrastructure Fundamentals』を参照してください。

Cisco ACI でのマイクロセグメンテーションの利点テナント内の仮想マシン（VM）をグループ化してフィルタリングおよび転送ポリシーを適用するには、エンドポイントグループ（EPG）を使用します。CiscoACIでのマイクロセグメンテーションにより、EPGをネットワークまたは VMベースの属性に関連付ける機能が追加され、それらの属性を使用したフィルタリングおよびさらにダイナミックなポリシーの適用が可能になります。

Cisco ACIでのマイクロセグメンテーションにより、テナント内の任意のエンドポイントにポリシーを割り当てることもできます。

例：単一 EPG または同じテナント内の複数の EPG における Cisco ACI でのマイクロセグメンテーション

EPGにWebサーバを割り当て、類似したポリシーを適用できるようにすることができます。デフォルトでは、EPG内のすべてのエンドポイントが自由に相互に通信できます。ただし、このWeb EPGに実稼働Webサーバと開発用Webサーバが混在する場合は、このれらの異なるタイプのWebサーバ間の通信を許可したくない場合があります。Cisco ACIでのマイクロセグメンテーションを使用すると、新しい EPGを作成し、「Prod-xxxx」や「Dev-xxx」などの VM名属性に基づいてエンドポイントを自動的に割り当てることができます。

例：エンドポイント検疫のためのマイクロセグメンテーション

Webサーバおよびデータベースサーバに個別の EPGがあり、それぞれにWindows VMと LinuxVMの両方が含まれているとします。Windowsのみに影響するウィルスがネットワークに脅威を与えている場合は、たとえば「Windows-Quarantine」という新しい EPGを作成し、VMベースのオペレーティングシステム属性を適用してすべてのWindowsベースのエンドポイントをフィルタリングで除去することにより、すべての EPGにわたってWindows VMを分離することができます。この検疫EPGには、さらに制限された通信ポリシーを適用できます（許可されるプロトコルの制限や、コントラクトを持たないことによるその他のEPGとの通信の防御など）。マイクロセグメントEPGは、コントラクトを持っていてもコントラクトを持っていなくてもかまいません。

Cisco ACI を使用するマイクロセグメンテーションの仕組みCisco ACIを使用するマイクロセグメンテーションには、Cisco APIC、vCenterまたはMicrosoftSystem Center Virtual Machine Manager（SCVMM）、およびリーフスイッチが含まれます。ここでは、Cisco AVSまたはMicrosoft vSwitchを使用するマイクロセグメンテーションのワークフローを説明します。

Cisco APIC

1 ユーザは、VMMドメイン Cisco APICまたは Cisco AVS内Microsoft vSwitchを設定します。2 Cisco APICは vCenter（Cisco AVSの場合）または SCVMM（Microsoft vSwitchの場合）に接続し、以下を実行します。


Cisco ACI でのマイクロセグメンテーションCisco ACI でのマイクロセグメンテーションの利点

Cisco AVSまたはMicrosoft vSwitchのインスタンスを作成します。a

b Cisco AVSまたはMicrosoft vSwitchハイパーバイザが vCenter/SCVMMの Cisco AVSまたはMicrosoft vSwitch分散仮想スイッチ（DVS）インスタンスに接続するとただちに、VMおよびハイパーバイザインベントリおよび VMの属性に関する情報を取得します。

c vCenter/SCVMMから新しいイベントのリスナーを起動します。

3 ユーザはベースEPGを作成して、vCenter/SCVMMドメインに関連付けます。各vCenter/SCVMMドメインでは、新しいカプセル化がこのベース EPGに割り当てられます。ベース EPGに属性はありません。

vCenter/SCVMM管理者は、属性ベースのEPGではなくこのベースEPGに仮想エンドポイントを割り当てます。ポートグループとして vCenter/SCVMMに表示されるのはこのベース EPGです。

（注）

4 ユーザは属性ベースの EPGを作成して VMMドメインに関連付けます。

属性ベースの EPGはポートグループとして vCenter/SCVMMに表示されません。これには特別な機能があります。属性ベースの EPGには、フィルタ条件と一致する VMベースの属性があります。属性ベースの EPG VM属性と VMの間に一致がある場合、Cisco APICはその VMを属性ベースの EPGに動的に割り当てます。

エンドポイントはベース EPGから属性ベースの EPGに転送されます。属性ベースの EPGが削除されると、エンドポイントは再びベース EPGに割り当てられます。

Cisco AVSまたはMicrosoft vSwitchで属性ベースの EPGを有効にするには、属性ベースの EPGを VMMドメインに割り当てる必要があります。属性ベースの EPGを VMMドメインに関連付けると、条件はその VMMドメインにのみ適用されます。

リーフスイッチと Cisco AVS または Microsoft vSwitch

1 物理リーフスイッチは Cisco APICから属性ポリシーを取得します。

2 VMを Cisco AVSまたはMicrosoft vSwitchに接続すると、Cisco AVSまたはMicrosoft vSwitchは OpFlexプロトコルを使用して、物理リーフスイッチに VM接続メッセージを送信します。

3 物理リーフスイッチは、テナントに設定された属性ポリシーと VMを照合します。

4 VMが設定された VM属性と一致する場合、物理リーフスイッチは、属性ベースの EPGを対応するカプセル化とともに Cisco AVSまたはMicrosoft vSwitchにプッシュします。

この操作では、vCenter/SCVMMでの VMに対する元のポートグループ割り当ては変更されません。

パケット転送

1 VMがデータパケットを送信すると、Cisco AVSまたはMicrosoft vSwitchはパケットに属性ベースの EPGと対応するカプセル化（VLAN/VXLAN）情報をタグ付けします。


Cisco ACI でのマイクロセグメンテーションCisco ACI を使用するマイクロセグメンテーションの仕組み

これは、ポートグループに割り当てられたベースEPGの代わりに属性ベースのEPGからCiscoAVSまたはMicrosoft vSwitchが受信したものと同じ情報です。

2 物理リーフのハードウェアは、属性ベースのカプセル化されたVMパケットを確認して、設定されたポリシーと照合します。

VMは属性ベースの EPGに動的に割り当てられ、パケットは、その特定の属性ベースの EPGに定義されたポリシーに基づいて転送されます。

Cisco ACI でのマイクロセグメンテーションの属性EPGに属性を適用すると、属性なしの場合よりも高い精度の転送ポリシーおよびセキュリティポリシーを EPGに適用できます。属性はテナント内で固有です。

EPGに適用可能な属性には、ネットワークベースの属性と VMベースの属性の 2つのタイプがあります。Cisco APICで属性を適用するのは、EPGを設定する際です。

属性ベースのEPGを設定する場合、APICGUIは初期的にはすべての属性（ネットワークベースおよび VMベース）を指す用語である VMの属性を使用します。ただし、属性を作成するオプションを選択する場合、GUIは属性のタイプを指定します。

（注）

ネットワークベースの属性

ネットワークベースの属性はMACアドレスフィルタと IPアドレスフィルタです。EPGには、1つ以上のMACアドレスまたは IPアドレスを適用できます。

IPアドレスには単にアドレスまたはサブネットを指定し、MACアドレスには単にアドレスを指定します。演算子や属性などに関連する情報は指定しません。

VM ベースの属性

EPGには、複数の VMベースの属性を適用できます。VMベースの属性は、VMMドメイン、オペレーティングシステム、ハイパーバイザ ID、データセンター、VM ID、VM名および VNic Dn（vNICドメイン名）です。

データセンター属性は、Microsoft vSwitchのクラウドに対応します。（注）

Cisco AVSがあれば、カスタム属性により、他の属性で使用されていない条件に基づいて属性を定義できます。たとえば、vCenterで「セキュリティゾーン」というカスタム属性を定義し、「DMZ」や「境界」など値を使用してこの属性を 1つ以上の VMに関連付けることができます。APIC管理者は、その VMカスタム属性に基づいて、属性ベースの EPGを作成できます。

VMベースの属性を作成する場合、属性に名前を付けるほかに、以下を実行する必要があります。

1 [VM Name]や [Hypervisor Identifier]などの属性タイプを指定します。

2 [Equals]や [Starts With]などの演算子を指定します。


Cisco ACI でのマイクロセグメンテーションCisco ACI でのマイクロセグメンテーションの属性

3 特定の vNICまたはオペレーティングシステムの名前などの値を指定します。

カスタム属性

VM属性として APIC GUIに表示されるカスタム属性は、Cisco AVSでのみ使用できます。

カスタム属性を使用する場合、VMware vSphereWebクライアントにもカスタム属性を追加する必要があります。この作業は、Cisco APICで Cisco AVSを使用してマイクロセグメンテーションを設定する前に行うことが推奨されます。これにより、Cisco APICでマイクロセグメンテーションポリシーを設定する際に、ドロップダウンリストからカスタム属性を選択できるようになりま

す。Cisco APICでマイクロセグメンテーションと Cisco AVSを設定した後、vSphere Webクライアントでカスタム属性を追加できます。ただし、テキストボックスに名前を入力することはでき

ますが、Cisco APICのドロップダウンリストにカスタム属性は表示されません。

vSphere Webクライアントでカスタム属性を追加する手順については、VMware vSphere ESXiおよび vCenter Serverのマニュアルを参照してください。

テナント内の属性の一意性

属性はテナント内で一意である必要があります。一意性は属性の値によって異なります。

たとえば、ネットワークベースの属性の場合、IPアドレスが使用されるたびに IPアドレスの属性値が異なるのであれば、テナント内で IPアドレスフィルタ属性を複数回使用できます。したがって、アドレス 192.168.33.77の IPアドレスフィルタ属性は複数回使用できません。ただし、IPアドレスが異なるのであれば（たとえば 192.168.33.78）、IPアドレスフィルタ属性を 2回使用できます。

VMベースの属性の場合、属性タイプ、演算子および値の組み合わせが一意である場合のみ、テナント内で属性を複数回使用できます。たとえば、オペレーティングシステム属性を演算子

「Equals」および値「Microsoft Windows 7 (64-bit)」とともに使用して、64ビットのWindows 7マシンのみを指定できます。次に、オペレーティングシステム属性を演算子「contains」および値「Microsoft Windows 7」とともに使用して、すべてのWindows 7マシン（32または 64ビット）を指定できます。

属性の優先順位

テナント内に複数の属性ベースのEPGがある場合、属性に基づいて特定の順序でフィルタリングルールが適用されます。

属性の優先順位のルールが適用される方法

1つの VM内で属性ベースの EPGに複数の属性が定義されている場合、特定の順序でルールが適用されます。ルールはまずMACアドレスの属性に適用され、次に IPアドレスの属性、次に VMベースの属性に適用されます。ルールは、特定の順序で VMベースの属性にも適用されます。

次の表に、EPGに関連付けることのできる属性を優先順位別に示します。


Cisco ACI でのマイクロセグメンテーション属性の優先順位

例優先順位タイプ属性

5c:01:23:ab:cd:ef1ネットワークMACアドレスフィルタ

192.168.33.77

10.1.0.0/16

2ネットワークIPアドレスフィルタ

a1:23:45:67:89:0b3VMVNic Dn（vNICドメイン名）

VM-5984VMVM ID

HR_VDI_VM15VMVM名

ホスト - 256VMハイパーバイザ ID

AVS-SJC-DC17VMVMMドメイン

SJC-DC18VMデータセンター

SG_DMZ9VMカスタム属性

（Cisco AVSのみ）

Windows 2008。10VMオペレーティングシス

テム

VMベースの属性の場合、一致するルールが見つかったら、後続のルールはスキップされます。ネットワークベースの属性の場合、どの属性にも一致します。

ネットワークベースの属性および VMの属性ともに、一致する属性が見つからなかった場合は、ベース EPGのデフォルトのルールが適用されます。

優先順位は、複数の属性を含む単一の EPGには関係ありません（どの属性にも一致します）。

優先順位のルールの適用方法についての例

同じVMに関連付けられている 4つの属性ベースの EPGがあり、それぞれネットワーク属性またはVM属性が異なるとします（オペレーティングシステム、ハイパーバイザ ID、IPアドレスフィルタ、もう 1つにはMACアドレスフィルタ）。ルールは、MACアドレスフィルタ、IPアドレスフィルタ、ハイパーバイザ ID、オペレーティングシステムの順序で適用されます。ルールはMACアドレスフィルタに適用され、後続のルールはスキップされます。しかし、MACアドレスフィルタ属性を持つ属性ベースの EPGが削除された場合、ルールは IPアドレスフィルタに適用され、後続のルールはスキップされます（他の属性も同様です）。

別のケースでは、同じVMに属性ベースのEPGが関連付けられており、それぞれVM属性が異なります（VMMドメイン、データセンター、カスタム属性および VNic Dn）。ルールは VNic Dn


Cisco ACI でのマイクロセグメンテーション属性の優先順位

に適用され、後続のルールはスキップされます。しかし、VNic Dn属性を持つ属性ベースの EPGが削除された場合、ルールは VMMドメインに適用され、後続のルールはスキップされます（他の属性も同様です）。

オペレータの優先順位

テナント内でマイクロセグメント化されたEPGの属性に基づいてフィルタリングルールを適用するほかに、Cisco APICでは演算子タイプに基づいてVMベースの属性内でフィルタリングルールを適用します。

VMベースの属性でマイクロセグメントを設定する際、Contains、Ends With、Equals、Starts Withの 4つの演算子のうち 1つを選択します。各演算子は、特定の属性の文字列または値の一致を指定します。

たとえば、VM名属性でマイクロセグメントを作成し、「HR_VM」で始まる名前の VM、または名前のどこかに「HR」を含むVMをフィルタリングできます。または、特定のVMに対してマイクロセグメントを設定し、名前「HR_VM_01」をフィルタリングできます。

演算子の優先順位のルールの適用方法

テナント内の特定の VM属性の演算子により、マイクロセグメントに VMベース属性を適用する順序が決まります。また、同じ属性および重複する値を共有するマイクロセグメントグループ内

での、演算子の優先順位も決定されます。次の表に、Cisco AVSとMicrosoft vSwitchのデフォルトの演算子の優先順位を示します。

優先順位演算子タイプ

1Equals

2Contains

3Starts With

4Ends With

優先順位のルールの適用方法についての例

データセンタークラスタで同じテナントの下に VM_01_HR_DEV、VM_01_HR_TESTおよびVM_01_HR_PRODという 3つの人事 VMマシンがあります。VM名属性に基づいて、2つのマイクロセグメント化された EPGを作成しました。

HR-VM-01-PROD マイクロセグメントCONTAIN-HR マイクロセグメント

基準

VM名VM名属性タイプ

EqualsContains演算子タイプ


Cisco ACI でのマイクロセグメンテーションオペレータの優先順位

HR-VM-01-PROD マイクロセグメントCONTAIN-HR マイクロセグメント

基準

VM_01_HR_PRODVM_01_HR値

演算子タイプ Equalsは演算子タイプ Containsよりも優先順位が高いため、値 VM_01_HRの前に値VM_01_HR_PRODが一致します。したがって、VM名は両方のマイクロセグメントに当てはまりますが、完全な条件一致であるため、および演算子 Equalsは演算子 Containsよりも優先順位が高いため、VM_01_HR_PRODという名前のVMはマイクロセグメントHR-VM-01-PRODに配置されます。他の 2つの VMは、マイクロセグメント CONTAIN-HRに配置されます。

Cisco ACI でマイクロセグメンテーションを使用するシナリオここでは、ネットワークでマイクロセグメンテーションが役立つ状況の例を示します。

単一ベース EPG 内の VM における Cisco ACI でのマイクロセグメンテーションの使用Cisco ACIでのマイクロセグメンテーションを使用すると、新しい属性ベースの EPGを作成して単一ベース EPGの VMを含めることができます。デフォルトでは、ベース EPG内の各 VMは相互に通信できます。ただし、EPG内のいくつかの VM間の通信を防止したい場合があります。

例：同じベース EPG 内の VM をマイクロセグメント化された EPG に配置

企業が、人事、経理、および業務の各部門に仮想デスクトップインフラストラクチャ（VDI）を導入します。VDI仮想デスクトップVMは、EPG_VDIと呼ばれる単一ベースEPGの一部であり、ベース EPGの他の部分とアクセス要件は同じです。

EPG-VDIがインターネットリソースと内部リソースにアクセスできるようにサービスコントラクトが作成されます。ただし、それと同時に、各グループ（人事、経理、および業務）は同じベー

スEPG（EPG_VDI）に属していますが、企業は各VMグループが他のグループにアクセスできないようにする必要があります。

この要件を満たすには、ベース EPG_VDI内の VMの名前を確認するフィルタを Cisco APICで作成します。値「HR_VM」を使用してフィルタを作成すると、CiscoAPICはすべての人事VM用の属性ベースの EPG（マイクロセグメント）を作成します。一致するVMを 1つの EPGにグループ化したいのですが、Cisco APICはテナント内のすべての EPG内で一致する値を検索します。したがって、VMを作成する際には、テナント内で一意な名前を選択することを推奨します。

同様に、キーワードとして経理仮想デスクトップ用の「FIN_VMs」および業務仮想デスクトップ用の「OPS_VMs」を使用してフィルタを作成できます。これらの属性ベースの EPGマイクロセグメントは、Cisco APICポリシーモデル内の新しい EPGとして表されます。その後、各 VMグ


Cisco ACI でのマイクロセグメンテーションCisco ACI でマイクロセグメンテーションを使用するシナリオ

ループは同じベースEPGに属しているのですが、コントラクトとフィルタを適用してVMグループ間のアクセスを制御できます。

図 9：単一ベース EPG の VM における Cisco ACI でのマイクロセグメンテーション

上の図では、人事、経理、および業務の各グループのすべての仮想デスクトップ VMは、ベースEPG（EPG_VDI）から新しい属性ベースの EPG（EPG_OPS_MS、EP_FIN_MS、およびEPG_HR_MS）に移動しています。各属性ベースの EPGは、VMの名前の主要な部分に一致する値を使用した属性タイプVM名を持っています。EPG_OPS_MSは値OPS_VMを持っているため、名前に OPS_VMが含まれるテナント内のすべての VMが EPG_OPS_MSに含まれるようになります。その他の属性ベースの EPGも対応する値を持っており、一致する名前を持つテナント内のVMが属性ベースの EPGに移動されます。

別のベース EPG 内の VM における Cisco ACI でのマイクロセグメンテーションの使用Cisco ACIでマイクロセグメンテーションを設定して、異なるベース EPGに属する VMを新しい属性ベースのEPGに配置できます。これを実行することで、異なるベースEPGに属するものの、特定の特性を共有する VMにポリシーを適用できます。

例：異なるベース EPG に属する VM を新しい属性ベースの EPG に配置

企業で、3層Webアプリケーションを導入するとします。アプリケーションは、異なるオペレーティングシステムおよび同じオペレーティングシステムの異なるバージョンを実行するVM上に構築されます。たとえば、VMは Linux、Windows 2008およびWindows 2008 R2を実行する可能性があります。アプリケーションは分散型であり、企業はVMを 3つの異なる EPG（EPG_Web、EPG_App、EPG_DB）に分割しました。

Windows 2008オペレーティングシステムの脆弱性のため、企業のセキュリティチームは VMが危険にさらされた場合に備えて、Windows 2008を実行するVMを隔離することを決定しました。セキュリティチームはさらに、すべてのWindows 2008 VMをWindows 2012にアップグレードす



ることにしました。また、すべてのEPGですべての本番VMをマイクロセグメント化し、これらの VMへの外部接続を制限したいと考えています。

この要件を満たすために、Cisco APICで属性ベースの EPGを設定できます。属性はオペレーティングシステムで、属性の値はWindows 2008です。

これで、Windows 2008を実行するVMを隔離し、Windows 2012にアップグレードできます。アップグレードが完了すると、VMは、Windows 2008を実行するVMに作成した属性ベースの EPGの一部ではなくなります。この変更は、Cisco APICに動的に反映され、それらの仮想マシンは元のEPGに戻ります。

図 10：異なるベース EPG の Cisco ACI でのマイクロセグメンテーション

上の図では、新しい属性ベースの EPG EPG_Windowsは、属性タイプ「オペレーティングシステム」と値「Windows」を持ちます。VM App_VM_2、DB_VM_1、DB_VM_2およびWeb_VM_2はオペレーティングシステムとしてWindowsを実行するため、新しい属性ベースのEPGEPG_Windowsに移動されました。ただし、VM App_VM_1、DB_VM_3およびWeb_VM_1は Linuxを実行するため、それらのベースの EPGに残ります。

ネットワークベースの属性を使用したマイクロセグメンテーションの使用

Cisco APICを使用して Cisco ACIでのマイクロセグメンテーションを設定し、ネットワークベースの属性、MACアドレス、または 1つ以上の IPアドレスを使用した新しい属性ベースの EPGを作成できます。ネットワークベースの属性を使用して Cisco ACIでのマイクロセグメンテーションを設定し、単一ベース EPG内の VMまたはさまざまな EPG内の VMを分離できます。

IP ベースの属性の使用

IPベースのフィルタを使用して、単一 IPアドレス、サブネット、または多様な非連続 IPアドレスを分離できます。単一マイクロセグメントでの複数の IPアドレスの分離は、名前でVMを指定



するより便利な場合があります。ファイアウォールの使用と同様に、セキュリティゾーンを作成

するための迅速かつ簡単な方法として、IPアドレスに基づいて VMを分離できます。

MAC ベースの属性の使用

MACベースのフィルタを使用して、単一MACアドレスまたは複数のMACアドレスを分離できます。ネットワークに不正なトラフィックを送信するサーバがある場合に、これを行うことがで

きます。MACベースのフィルタを使用してマイクロセグメントを作成することにより、そのサーバを分離できます。

Cisco ACI でのマイクロセグメンテーションの設定ここでは、Cisco APIC GUIおよび NX-OSスタイルの CLIを使用して Cisco AVSまたはMicrosoftvSwitchによるマイクロセグメンテーションを設定する手順を説明します。この手順は、ネットワークの特定のニーズに合わせて調整できます。

VMware vCenterのドメインプロファイルでVXLANロードバランシングが有効の場合、CiscoAVSによるマイクロセグメンテーションはドメインでサポートされません。

（注）

Cisco ACI でのマイクロセグメンテーションを設定するためのワークフローここでは、CiscoACIでのマイクロセグメンテーションを設定するために実行する必要があるタスクの概要を示します。

1 新しい属性ベースの EPGに入れるエンドポイントに関する情報を、CLIを使用して収集します。

2 Cisco APICで、新しい属性ベースの EPGの名前とブリッジドメインを指定して VMドメインプロファイルに関連付け、EPGの解決の緊急度を選択します。

3 EPGのネットワークベースまたは VMベースの属性を選択します。

4 属性ベースの EPGが正しく作成されたことを確認します。

Cisco ACIでのマイクロセグメンテーションの設定, （63ページ）という項に記載されている手順に従ってください。

Cisco ACI でのマイクロセグメンテーションを設定するための前提条件Cisco AVSまたはMicrosoft vSwitchに対して Cisco ACIを使用してマイクロセグメンテーションを設定する前に、以下の前提条件を満たす必要があります。

•属性ベースの EPGを作成するときに使用するフィルタで使用できる名前を持つ VMがすでに存在している必要があります。


Cisco ACI でのマイクロセグメンテーションCisco ACI でのマイクロセグメンテーションの設定

使用できる名前を持つ VMが存在しない場合、手順を進めて属性ベースの EPGを作成し、その後、フィルタで使用できる VM名を変更できます。Cisco APICは、自動的にそれらのVMを新しい属性ベースの EPGに含めます。

•すでにベース EPGが存在している必要があります。

•独自の属性、名前、および値が選択済みである必要があります。

前にシナリオで使用されている属性、名前、および値は、例として提供されているもので

す。

•コントラクトに EPGを関連付ける場合は、1つ以上の属性を使用してマイクロセグメントを作成する前にコントラクトを作成する必要があります。

• Cisco AVSがあるときに VMカスタム属性を使用する場合は、その属性を VMware vSphereWebクライアントに追加する必要があります。Cisco APIC GUIでマイクロセグメントを設定するときにドロップダウンリストでカスタム属性を選択できるようにするために、CiscoAPICでマイクロセグメンテーションを設定する前にこれを行うことを推奨します。

vSphere Webクライアントでカスタム属性を追加する手順については、VMware vSphere ESXiおよび vCenter Serverのマニュアルを参照してください。

GUI を使用して、Cisco ACI とともにマイクロセグメンテーションを設定するCisco ACIでの Cisco APICのマイクロセグメンテーションの設定は、異なる複数のベース EPGまたは同一の EPGに属する VMを新しい属性ベースの EPGに配置するために使用できます。




Cisco ACIでのマイクロセグメンテーションを設定する手順は、拡張モードとベーシックモードで同じです。

（注）

手順

ステップ 1 Cisco APICにログインし、[Advanced]モードまたは [Basic]モードを選択します。

ステップ 2 [TENANTS]を選択し、マイクロセグメントを作成するテナントを選択します。

ステップ 3 テナントのナビゲーションウィンドウで、テナントフォルダ、[Application Profiles]フォルダ、[Profile]フォルダ、および [Application EPGs]フォルダを展開します。

ステップ 4 次のいずれかを実行します。

•同じベースEPGから新しい属性ベースのEPGにVMを配置するには、VMを含むベースEPGをダブルクリックします。



•異なる複数のベース EPGから新しい属性ベースの EPGに VMを配置するには、VMを含むベース EPGの 1つをダブルクリックします。

ベース EPGフォルダがテナントのナビゲーションウィンドウで開き、ベース EPGのプロパティが作業ウィンドウに表示されます。

ステップ 5 作業ウィンドウで、画面の右上にある [OPERATIONAL]タブをクリックします。

ステップ 6 [OPERATIONAL]タブの下の [Client End-Points]タブをクリックします。作業ウィンドウに、ベース EPGに属するすべての VMが表示されます。

ステップ 7 新しい属性ベースの EPGに配置する VMの VLANまたは VXLANカプセル化 IDを書き留めます。

ステップ 8 新しい属性ベースの EPGに対して別の複数のベース EPGから VMを配置する場合は、各ベースEPGに対してステップ 4～ 7を繰り返します。

ステップ 9 テナントのナビゲーションウィンドウで、[uSeg EPGs]フォルダを右クリックし、[Create UsegEPG]を選択します。

ステップ 10 VMグループの 1つの属性ベースの EPGの作成を開始するには、以下の一連の手順を実行します。

a) [Create uSeg EPG]ダイアログボックスで、[Name]フィールドに名前を入力します。新しい属性ベースの EPGはマイクロセグメントであることを示す名前を選択することを推奨します。

b) [Bridge Domain]エリアで、ドロップダウンリストからブリッジドメインを選択します。c) [uSeg Attributes]エリアで、ダイアログボックスの右側にある [+]ドロップダウンリストから

[IP Address Filter]、[MAC Address Filter]、または [VM Attributes Filter]を選択します。

ステップ 11 フィルタを設定するには、次のいずれかの一連の手順を実行します。

結果項目

1 [Create IPAttribute]ダイアログボックスで、[Name]フィールドに名前を入力します。

名前については、フィルタ機能を反映したものを選択するよう推奨します。

2 [IP Address]フィールドに、適切なサブネットマスクの IPアドレスまたはサブネットを入力します。

3 [OK]をクリックします。4 （オプション）ステップ 10 c～ 11 cを繰り返して、2番目の IPアドレスフィルタを作成します。

この手順で、マイクロセグメントに不連続の IPアドレスを含めることができます。

5 [Create uSeg EPG]ダイアログボックスで、[SUBMIT]をクリックします。

IPベースの属性



結果項目

1 [Create MAC Attribute]ダイアログボックスで、[Name]フィールドに名前を入力します。


2 [MAC Address]フィールドに、MACアドレスを入力します。3 [OK]をクリックします。4 [Create uSeg EPG]ダイアログボックスで、[SUBMIT]をクリックします。

MACベースの属性

1 [Create VM Attribute]ダイアログボックスで、[Name]フィールドに名前を入力します。


2 [Type]エリアで、ドロップダウンリストからいずれかの VMタイプを選択します。

CiscoAVSがある場合は、任意のVMタイプを選択できます。Microsoft vSwitchがある場合は、[Custom Attribute]以外の任意のタイプを選択できます。

3 [Operator]エリアで、ドロップダウンリストから適切な演算子を選択します。4 適切な値を入力または選択します。

演算子として [Equals]を選択した場合は、VMタイプとして [VMMDomain]または [Datacenter]を選択した場合にのみ、[Value]フィールドに値を入力します。それ以外の場合は、ドロップダウンリスト

から VMタイプに合った値を選択します。

（注）

5 [OK]をクリックします。6 [Create uSeg EPG]ダイアログボックスで、[SUBMIT]をクリックします。

VMベースの属性

ステップ 12 マイクロセグメンテーション EPGをVMMドメインに関連付けるには、次の手順を実行します。a) ナビゲーションウィンドウで、作成した uSeg EPGのフォルダを開きます。b) [Domains (VMs and Bare-Metals)]フォルダをクリックします。c) 作業ウィンドウの右側で、[ACTIONS]をクリックし、ドロップダウンリストから [Add VMM

Domain Association]を選択します。d) [Add VMM Domain Association]ダイアログボックスで、[VMM Domain Profile]ドロップダウンリストから VMMドメインプロファイルを選択します。

e) [Deploy Immediacy]エリアで、デフォルトの [On Demand]を受け入れます。f) [Resolution Immediacy]エリアで、デフォルトの [Immediate]を受け入れます。g) [Port Encap]エリアで、スタティック VLANを指定します。または、このフィールドを空白のままにして、Cisco APICで VLANプールから動的に VLANを割り当てます。

スタティックVLANを指定する場合は、以前に設定したVLANプール内のスタティックカプセル化ブロックから 1つ選択する必要があります。スタティック VLANはVLANのみで使用でき、VXLANでは使用できません。

（注）



h) [Submit]をクリックします。

ステップ 13 作成するその他の属性ベースのEPGすべてに対してステップ9からステップ12を繰り返します。

次の作業

属性ベースの EPGが正しく作成されたことを確認します。

VMベースの属性を設定する場合は、次の手順を実行します。

1 Cisco APICのナビゲーションウィンドウで、[uSeg EPGs]フォルダをクリックして EPGの一覧を表示し、新しい属性ベースの EPGをダブルクリックします。

2 作業ウィンドウの [OPERATIONAL]タブをクリックし、[Client End-Points]タブをクリックします。

3 作業ウィンドウで、ベース EPGから移行する VMが新しい属性ベースの EPGのエンドポイントとして表示されていることを確認します。また、ステップ8で書き留めたのとは異なるVLANプールを持つことを確認します。

4 ナビゲーションウィンドウで、新しい属性ベースの EPGに移動した VMのベース EPGをクリックします。

5 作業ウィンドウで、[OPERATIONAL]タブをクリックし、[Client End-Points]をクリックします。新しい属性ベースの EPGに移動した VMについて、ベース EPGのエンドポイントとして表示されなくなったことを確認します。

ネットワークベースの属性を設定する場合は、VMを確認します。

IPまたはMACベースの属性を設定する場合は、トラフィックが、新しいマイクロセグメントに配置した VMで動作していることを確認します。

NX-OS スタイルの CLI を使用した Cisco ACI でのマイクロセグメンテーションの設定ここでは、ベース EPG内で VMベースの属性を使用してマイクロセグメンテーションと CiscoAVSを設定する方法を説明します。

手順

ステップ 1 CLIで、コンフィギュレーションモードに入ります。

例：apic1# configureapic1(config)#

ステップ 2 マイクロセグメントを作成します。

例：



この例では、属性 VM名に基づいてフィルタを使用します。apic1(config)# tenant cli-ten1apic1(config-tenant)# application cli-a1apic1(config-tenant-app)# epg cli-uepg1 type micro-segmentedapic1(config-tenant-app-uepg)# bridge-domain member cli-bd1apic1(config-tenant-app-uepg)# attribute cli-uepg-att match vm-name contains <cos1>#Schemes to express the namecontains containsendsWith ends-withequals equalsstartsWith starts-with

apic1(config-tenant-app-uepg)# vmware-domain member cli-vmm1

例：

この例では、IPアドレスに基づいてフィルタを使用します。apic1(config)# tenant cli-ten1apic1(config-tenant)# application cli-a1apic1(config-tenant-app)# epg cli-uepg1 type micro-segmentedapic1(config-tenant-app-uepg)# bridge-domain member cli-bd1apic1(config-tenant-app-uepg)# attribute cli-upg-att match ip <X.X.X.X>#Schemes to express the ipA.B.C.D IP AddressA.B.C.D/LEN IP Address and mask


例：

この例では、MACアドレスに基づいてフィルタを使用します。apic1(config)# tenant cli-ten1apic1(config-tenant)# application cli-a1apic1(config-tenant-app)# epg cli-uepg1 type micro-segmentedapic1(config-tenant-app-uepg)# bridge-domain member cli-bd1apic1(config-tenant-app-uepg)# attribute cli-upg-att match mac <FF-FF-FF-FF-FF-FF>#Schemes to express the macE.E.E MAC address (Option 1)EE-EE-EE-EE-EE-EE MAC address (Option 2)EE:EE:EE:EE:EE:EE MAC address (Option 3)EEEE.EEEE.EEEE MAC address (Option 4)


ステップ 3 マイクロセグメントの作成を確認します。

例：apic1(config-tenant-app-uepg)# show running-config# Command: show running-config tenant cli-ten1 application cli-app1 epg cli-uepg1 typemicro-segmented# Time: Thu Oct 8 11:54:32 2015tenant cli-ten1application cli-app1epg cli-esx1bu type micro-segmentedbridge-domain cli-bd1attribute cli-uepg-att match vm-name equals cos1vmware-domain member cli-vmm1exit

exitexit



第 5 章

Cisco ACI および Cisco AVS

この章は、次の項で構成されています。

• Cisco AVSの概要, 69 ページ

• Cisco AVSのインストール, 73 ページ

• Cisco AVSの主要なインストール後設定作業, 90 ページ

• 分散ファイアウォール, 111 ページ

• Cisco AVS向けの Cisco ACIでのマイクロセグメンテーション, 127 ページ

• Layer 4 to Layer 7サービスの設定, 127 ページ

• Cisco AVSの REST APIタスク, 127 ページ

• Cisco AVSのオブジェクトモード CLIタスク, 132 ページ

Cisco AVS の概要Cisco Application Virtual Switch（AVS）は、シスコアプリケーションセントリックインフラストラクチャ（ACI）の重要な要素です。これは分散仮想スイッチであり、VMware vCenter Serverで定義された仮想化された多数のホストやデータセンターにわたって、転送とカプセル化のさまざ

まなオプションと拡張機能を提供します。

Cisco AVSは仮想リーフとして Cisco ACIアーキテクチャに統合され、Cisco APICによって管理されます。Cisco AVSは、コントロールプレーン通信用の OpFlexプロトコルを実装しています。

この項では、Cisco AVSの概要について説明します。

Cisco AVSでは、トラフィック転送の 2つのモードをサポートしています。ローカルスイッチングモードは以前の Fex Disableモードです。ローカルスイッチングなしモードは以前の Fex Enableモードです。Cisco AVSのインストール中に転送モードを選択します。


ローカルスイッチングモード

ローカルスイッチングモードでは、すべての EPG内トラフィックがリーフを介することなくCisco AVSによってローカルで転送されます。すべての EPG間トラフィックはリーフを通じて転送されます。このモードでは、Cisco AVSは VLANまたは VXLANカプセル化を使用してトラフィックをリーフとバックに転送できます。Cisco AVSのインストール中にカプセル化タイプを選択します。

VLANカプセル化を選択する場合は、VLANの範囲が Cisco AVSによって使用可能である必要があります。これらの VLANには、Cisco AVSとリーフ間のレイヤ 2ネットワーク内でのみ意味があるローカルスコープがあります。VXLANカプセル化を選択する場合は、Cisco AVSとリーフの間で使用できる必要があるのはインフラVLANのみです。このモードでは設定を簡易化できるため、Cisco AVSと物理リーフ間に 1つ以上のスイッチがある場合に推奨されるカプセル化タイプです。

図 11：ローカルスイッチングモードの Cisco AVS


Cisco ACI および Cisco AVSCisco AVS の概要

ローカルスイッチングモードなし

ローカルスイッチングなしモードでは、すべてのトラフィックがリーフによって転送されます。

このモードでは、VXLANが唯一許可されるカプセル化タイプです。

図 12：ローカルスイッチングなしモードの Cisco AVS

Cisco AVS および VMware vCenter についてCisco Application Virtual Switch（AVS）は、多数の仮想ホストにまたがって広がる分散仮想スイッチです。vCenter Serverにより定義されるデータセンターを管理します。

Cisco AVSは、Cisco Nexusスイッチなどの、イーサネット標準準拠のアップストリーム物理アクセスレイヤスイッチと互換性があります。CiscoAVSはVMwareHardwareCompatibility List（HCL）に記載されているすべてのサーバハードウェアと互換性があります。

Cisco AVSは、VMware仮想インフラストラクチャ内に完全に統合される、分散仮想スイッチソリューションです。このインフラストラクチャには、仮想化管理者のためのVMware vCenterも含まれます。このソリューションにより、ネットワーク管理者は一貫したデータセンターネット

ワークポリシーを確立するために仮想スイッチやポートグループを設定することができます。


Cisco ACI および Cisco AVSCisco AVS および VMware vCenter について

次の図は、Cisco AVSと Cisco Application Policy Infrastructure Controller（APIC）および VMwarevCenterを含むトポロジを示しています。

図 13：Cisco AVSトポロジの例

必要なソフトウェア

次の表は、Cisco Application Policy Infrastructure Controller（APIC）、VMware vCenter、およびVMware ESXiハイパーバイザと合わせて使用する Cisco Application Virtual Switch（AVS）のためにインストールする必要があるソフトウェアのバージョンを示しています。

説明コンポーネント

CiscoAVSは、リリース 4.2(1)SV2(2.3)以降のリリースでサポートされます。ただし、CiscoAVSと合わせて分散ファイアウォールおよびマイクロセグメンテーションを使用する場合は、リ

リース 5.2(1)SV3(1.5)以降が必要です。

Cisco AVSソフトウェア

互換性情報については、Cisco AVSのリリースノートを参照してください。ただし、CiscoAVSと合わせて分散ファイアウォールおよびマイクロセグメンテーションを使用する場合は、CiscoAVS 5.2(1)SV3(1.5)以降と合わせてバージョン 1.1(1j)以降が必要です。

Cisco APIC

Cisco AVSは、VMware vCenterサーバのリリース 5.1、5.5、または 6.0と互換性があります。

VMware vCenter


Cisco ACI および Cisco AVS必要なソフトウェア

説明コンポーネント

Cisco AVSは、リリース 5.1以降のリリースの VMware ESXiハイパーバイザ搭載のCiscoAPIC用の vLeafとしてサポートされます。

Cisco AVS VIBを選択する際は、使用する VMwareESXi Hypervisorのバージョンと互換性があるものを選択する必要があります。ESXi 5.1は xxix.3.1.1.vib、ESXi 5.5は xxix.3.2.1.vib、ESXi 6.0は xxxx.6.0.1.vibを使用します。

（注）

VMware vSphereのベアメタル

Cisco AVSは、VSUMリリース 1.0以降のリリースでサポートされます。

Cisco Virtual Switch UpdateManager（VSUM）

Cisco AVS のドキュメントドキュメントは Cisco.comの Cisco Application Virtual Switchページにあります。

Cisco Application Virtual Switch（AVS）のドキュメントは次のとおりです。

•『Cisco Application Virtual Switch Release Notes』

•『Cisco Application Virtual Switch Documentation Overview』

•『Cisco Application Virtual Switch Installation Guide』

•『Cisco Application Virtual Switch Download Instructions for VMware ESXi Deployments』

•『Cisco Application Virtual Switch Configuration Guide』

•『Cisco Application Virtual Switch Verified Scalability Guide』

•『Cisco Application Virtual Switch Solution Guide』

•『Cisco Application Virtual Switch Troubleshooting Guide』

•『Cisco Virtual Switch Update Manager Getting Started Guide』

•『Cisco Virtual Switch Update Manager Release Notes』

•『Cisco Virtual Switch Update Manager Troubleshooting Guide』

Cisco AVS のインストールCisco Application Virtual Switch（AVS）のインストールは 2つの別個のタスクセットで構成されます。Cisco Application Policy Infrastructure Controller（APIC）を設定し、Cisco Virtual Switch UpdateManager（VSUM）を使用してCiscoAVSをESXiホストにインストールして、ESXiホストをCiscoAVSに追加します。インストールを確認する必要もあります。


Cisco ACI および Cisco AVSCisco AVS のドキュメント

http://www.cisco.com/


ここでは、シスコアプリケーションセントリックインフラストラクチャ（ACI）ファブリック内で使用する Cisco AVSをインストールするために必要な各タスクセットの手順を示します。

Cisco AVS のインストールに関する前提条件Cisco AVSをインストールする前に、以下のタスクを実行する必要があります。

• Cisco AVSを設定する前に Cisco APICを設定する必要があります。Cisco APICを初めて設定する方法については、『Cisco APIC Getting Started Guide』を参照してください。

•すべてのスイッチが登録されており、Cisco ACIファブリックが最新であることを確認する必要があります。『Cisco Application Centric Infrastructure Fundamentals』および『Cisco APICGetting Started Guide』を参照してください。

• Cisco VSUMをインストールする必要があります。『Cisco Virtual Switch Update ManagerGetting Started Guide』を参照してください。

• VXLANカプセル化を使用して Cisco AVSを接続する場合、Cisco ACIファブリックと CiscoAVSの間のパス上のすべての中間デバイスで、最大伝送単位（MTU）の値を 1600以上に設定します。これらのデバイスにはFIスイッチおよびUCS-Bが含まれます。ただし、パフォーマンスを最適化するには、MTUを最大許容値 8950に設定する必要があります。

Cisco AVS をインストールするためのワークフローここでは、Cisco AVSをインストールするために実行すべきタスクの概要を示します。

1 CiscoApplication Policy Infrastructure Controller（APIC）GUIのユニファイド設定ウィザードで、Cisco AVSのインターフェイスポリシーおよびスイッチポリシーおよび VMware vCenterドメインプロファイルを作成します。

インターフェイスポリシーでは、vSphereホストのインターフェイスタイプ（ポートチャネル（PC）または仮想 PC（VPC））および Link Aggregation Control Protocol（LACP）またはMACピニングを設定します。サポートされるトポロジについては、『CiscoApplicationVirtual SwitchInstallation Guide』の付録「Recommended Topologies」を参照してください。

スイッチポリシーでは、リーフスイッチで物理ポートを指定し、CiscoAVSトランクの設定を指定することで、Cisco AVS（vLeaf）と ESXiハイパーバイザ間の接続を設定します。これには、VLANまたは VXLANが含まれます。

VMware vCenterドメインでは、類似するネットワークポリシー要件を持つ仮想マシン（VM）コントローラがグループ化されます。たとえば、VMコントローラは、VLANまたは VirtualExtensible Local Area Network（VXLAN）スペースおよびアプリケーションエンドポイントグループ（EPG）を共有できます。CiscoAPICはコントローラと通信して、仮想ワークロードに適用するポートグループなどのネットワーク設定をパブリッシュします。

手順については、このガイドの「拡張GUIを使用したインターフェイスおよびスイッチのプロファイルと vCenterドメインプロファイルの作成」を参照してください。


Cisco ACI および Cisco AVSCisco AVS のインストールに関する前提条件

2 Cisco VSUMを使用して Cisco AVSをインストールし、Cisco AVSに ESXiホストを追加します。

CiscoVSUMの使用は、CiscoAVSをインストールするための推奨される方法です。CiscoVSUMを使用すると、ESXiホストのバージョンと互換性が検証され、1つの手順で ESXiホストにCisco AVSをインストールし、Cisco AVS分散仮想スイッチ（DVS）に ESXiホストを追加できます。

VSUMを使用して Cisco AVSをインストールする手順については、このガイドの「VSUMでの Cisco AVSインストールの実行」を参照してください。

3 Cisco AVSのインストールを確認します。

仮想スイッチのステータスと仮想 NICのステータスを確認して、VMware ESXi HypervisorにCisco AVSがインストールされたことを確認する必要があります。vmknicが作成されていること、OpFlexがオンラインであること、およびポートがフォワーディングステートにあることも確認する必要があります。

手順については、このガイドの「Cisco AVSのインストールの確認」を参照してください。

インターフェイス、スイッチ、および vCenter ドメインプロファイルの作成

CiscoAVSをインストールする前に、インターフェイス、スイッチ、および vCenterドメインプロファイルを作成する必要があります。Cisco APIC 1.1.x以降では、Cisco APICの統合構成ウィザードで次のタスクを実行することを推奨します。これは、このガイドにある「拡張GUIを使用したインターフェイスおよびスイッチのプロファイルと vCenterドメインプロファイルの作成」の手順です。

このタスクを実行する前に、この項のガイドラインを理解し、従う必要があります。

代替手順

FEXのプロファイルまたは詳細なインターフェイス、スイッチ、または vCenterドメインのプロファイルを設定する必要がある場合は、『Cisco Application Virtual Switch Installation Guide』の付録 C「Procedures for Creating Interface, Switch, and vCenter Domain Profiles」にある手順を参照してください。

ファイアウォールの考慮事項

推奨される統合構成ウィザードを使用すると、後で変更できるファイアウォールポリシーがCiscoAPICによって自動で作成されます。代わりに代替手順を使用してインターフェイス、スイッチ、または vCenterドメインのプロファイルを作成すると、ファイアウォールポリシーを手動で作成しなければならなくなります。このガイドの「分散ファイアウォール」の項の手順に従います。


Cisco ACI および Cisco AVSインターフェイス、スイッチ、および vCenter ドメインプロファイルの作成

インターフェイスとスイッチのプロファイルのガイドラインと前提条件

Cisco AVS用のインターフェイスとスイッチのプロファイルを作成する場合は、次のガイドラインに従って前提条件を満たしてください。

インターフェイスおよびスイッチのプロファイルを作成するガイドライン

CiscoAVSではPC、VPC、MACピン接続、FEXインターフェイスのポリシーをサポートします。個々のインターフェイスポリシーはサポートされません。FEXのポリシーについては、『CiscoApplication Virtual Switch Installation Guide』を参照してください。

•リーフスイッチと Cisco AVS vSphereホスト間にレイヤ 2ネットワークがある場合は、レイヤ 2ネットワークに接続されているインターフェイス上でインターフェイスポリシーを設定します。

•使用するリンク数とリーフ数によって、Cisco AVSに対し PCまたは VPCポリシーを設定する必要があるかどうかが判断できます。

◦リーフとESXiホスト間で単一のリンクを使用している場合は、PCポリシーを設定する必要があります。

◦リーフとESXiホスト間で複数のリンクを使用している場合は、PCポリシーを設定する必要があります。

◦複数のリーフと ESXiホスト間で複数のリンクを使用している場合は、VPCポリシーを設定する必要があります。

• LACPポリシーを選択するには、以下のガイドラインに従います。

◦ Cisco AVS（vSphereホスト）からのアップリンクがリーフスイッチに直接接続されており、LACPチャネルプロトコルを使用するかオンにする場合は、[LACP (Active orPassive)]を選択します。

◦ Cisco AVSからのアップリンクがリーフスイッチに直接接続されている一方で、スタティックポートチャネルなどのLACPチャネルプロトコルを使用しない場合は、[StaticChannel - Mode On]を選択します。

◦ Cisco AVSからのアップリンクを 1つのチャネルにまとめることができず、個別のリンクとして動作する場合は、[MAC Pinning]を選択します。

インターフェイスおよびスイッチプロファイルを作成する前提条件

リーフスイッチインターフェイスが ESXiハイパーバイザに物理的に接続されていることを確認するか、レイヤ 2デバイスを使用している場合に、リーフがレイヤ 2デバイスに物理的に接続されていることを確認する必要があります。



vCenter ドメインプロファイルのガイドラインと前提条件新しい vCenterドメインプロファイルを作成する必要があります。既存のプロファイルを変換することはできません。既存の VMware vCenterドメインプロファイルの削除については、『CiscoApplication Centric Infrastructure Fundamentals』の「Guidelines for Deleting VMM Domains」を参照してください。

VMware vCenter ドメインプロファイルの作成のガイドライン

単一のドメイン下に、複数のデータセンターとDVSエントリを作成できます。ただし、各データセンターに割り当てることができる Cisco AVSは 1つだけです。

VXLANカプセル化およびMACピン接続リンクアグリゲーションを選択する場合は、VXLANロードバランシングを有効にすることを推奨します。『CiscoApplicationVirtual SwitchConfigurationGuide』の「Enabling VXLAN load-balancing」の項を参照してください。

VMware vCenterのドメインプロファイルでVXLANロードバランシングが有効の場合、CiscoAVSによるマイクロセグメンテーションはドメインで有効にできません。

（注）

VMware vCenter ドメインプロファイルの作成の前提条件

マルチキャスト IPアドレスプールに、VMware vCenterドメインにパブリッシュされる EPG数に対応するのに十分なマルチキャスト IPアドレスがあることを確認します。VMware vCenterドメインにすでに関連付けられているマルチキャストアドレスプールに IPアドレスをいつでも追加できます。

十分な数の VLAN IDがあることを確認します。これを行わないと、エンドポイントグループ（EPG）上のポートがカプセル化を使用できないと報告することがあります。

Cisco AVSでスイッチモードを変更する場合は、最初に既存のDVSを削除し、それから必要なスイッチングモードの VMware vCenterドメインを追加する必要があります。既存の DVSを削除する手順については、『Cisco Application Virtual Switch Configuration Guide』を参照してください。

vCenterがインストールおよび設定されており、インバンド/アウトオブバンド管理ネットワークを介して到達可能である必要があります。

vCenterに対する管理者/ルートのクレデンシャルが必要です。

vCenterの管理者とルートのクレデンシャルを使用しない場合は、必要な最小アクセス許可を持つカスタムユーザアカウントを作成できます。必要なユーザ権限のリストについては、最

小 VMware vCenter権限を持つカスタムユーザアカウント, （36ページ）を参照してください。

（注）



拡張 GUI を使用したインターフェイスおよびスイッチのプロファイルと vCenter ドメインプロファイルの作成




拡張および基本モードの使用については、『Cisco APIC Getting Started Guide』を参照してください。

はじめる前に

vCenterドメインプロファイルを作成する前に、Cisco APICでインバンド管理ネットワークを使用して外部ネットワークへの接続を確立する必要があります。

手順

ステップ 1 Cisco APICにログインして、[Advanced]モードを選択します。

ステップ 2 メニューバーで、[Fabric] > [Access Policies]の順にクリックします。

ステップ 3 [Policies]ナビゲーションウィンドウで、[Switch Policies]を右クリックして [Configure Interfaces,PC, and VPC]をクリックします。

ステップ 4 作業ウィンドウで緑色の [+]アイコンをクリックして、次の手順を実行します。a) [Select Switches to Configure Interfaces]フィールドで [Quick]オプションボタンが選択されていることを確認します。

b) [Switches]ドロップダウンリストから、適切なリーフ IDを選択します。[Switch Profile Name]フィールドに、スイッチプロファイル名が自動的に表示されます。

c) 緑色の [+]アイコンをもう一度クリックします。



下図に示すように、インターフェイス、スイッチ、および vCenterのドメインプロファイルを設定できるウィザードが画面に表示されます。

図 14：統合構成ウィザード

ステップ 5 このウィザードで、次の手順を実行します。

a) [Interface Type]フィールドで、適切なオプションボタンを選択します。CiscoAVS展開で有効なオプションはPC、VPCのみです。本書の「インターフェイスとスイッチのプロファイルのガイドラインと前提条件」を参照してください。

b) [Interfaces]フィールドで、vSphereホストのインターフェイスまたはインターフェイスの範囲を入力します。

インターフェイスまたはインターフェイスの範囲を入力すると、ウィザードは [InterfaceSelectorName]フィールドに名前を入力します。

c) [Interface Policy Group]フィールドで、[Create One]オプションボタンを選択します。この手順では、インターフェイスおよびスイッチのポリシーを作成する場合であり、

vCenterのドメインを最初から作成すると想定しています。[Choose One]オプションボタンを選択すると、ウィザードでこれを行えなくなります。

（注）



d) [CDP Policy]または [LLDP Policy]ドロップダウンリストから、ポリシーを作成します。Cisco Unified Computing System（UCS）サーバを使用する場合は、Cisco DiscoveryProtocol（CDP）ポリシーを有効にするポリシーと、Link Layer Discovery Protocol（LLDP）を無効にするポリシーを作成します。

（注）

e) [Link Level Policy]ドロップダウンリストで、目的のリンクレベルポリシーを選択するか、作成します。

リンクレベルポリシーは物理インターフェイスの速度を指定します。リンクレベルポリシー

を選択しない場合、速度はデフォルトの 10 Gbpsになります。

f) [Port Channel Policy]ドロップダウンリストで、[Create Port Channel Policy]を選択します。ESXiサーバと同じポリシーを選択する必要があります。たとえば、サーバが LACPをサポートしていない場合は、[Static Channel - Mode On]または [MAC Pinning]を選択できます。

g) [Attached Device Type]フィールドで、[AVS VLAN Hosts]または [AVS VXLAN Hosts]を選択します。

ハイパーバイザがリーフスイッチに直接接続されている場合は、VLANまたはVXLANを使用できます（ファブリックインターコネクトがファブリックに接続されている

Cisco UCSブレードサーバは、直接接続されていると見なされます）。ただし、ハイパーバイザがリーフスイッチに直接接続されていない場合は、VXLANを使用する必要があります。詳細については、「Cisco AVSの概要」を参照してください。

（注）

h) [Domain]領域で、[Create One]オプションボタンが選択されていることを確認します。[Create One]オプションは、インターフェイスまたはスイッチプロファイルに新しい VMMドメインを作成する際に、この手順と同様に使用されます。[ChooseOne]ボタンは、既存のVMMドメインの一部にする新しいホスト用のインターフェイスまたはスイッチのプロファイルを作

成するときに使用します。

i) [Domain Name]フィールドに、ドメイン名を入力します。j) ステップ 5 gで [AVS VLAN Hosts]を選択した場合は、[VLAN Range]フィールドに VLAN範囲を適宜入力します。

インフラストラクチャネットワーク用に予約された VLANは内部使用が目的のため、この VLAN IDを含む範囲を定義しないでください。

（注）

k) ステップ 5 gで [AVS VXLAN Hosts]を選択した場合は、[Fabric Multicast Address]フィールドに225.1.1.1などのアドレスを入力します。

l) ステップ 5 gで [AVSVXLANHosts]を選択した場合は、[Pool ofMulticast Address Ranges]フィールドで、新しいマルチキャストプールを作成するか既存のものを選択します。

ステップ 5 kで設定したマルチキャストアドレスは、ステップ 5 lで設定した範囲とオーバーラップしてはいけません。

（注）

m) ステップ 5 gで [AVS VXLAN Hosts]を選択した場合は、[Local Switching]領域で [True]または[False]を選択します。ローカルスイッチングでは、エンドポイントグループ（EPG）内のトラフィックはリーフに送信されないため、ローカルスイッチングを選択した場合は、一部のトラフィックカウンタ

が表示されないことがあります。すべての EPG内トラフィックを表示するには、[False]を選択する必要があります。ローカルスイッチングモードとローカルスイッチングなしモードの

詳細については、「Cisco AVSの概要」を参照してください。



n) （任意）[SecurityDomains]ドロップダウンリストから、セキュリティドメインを選択するか、作成します。

o) [vCenter Login Name]フィールドに、vCenterの管理者またはルートのユーザ名を入力します。p) [Password]フィールドに、vCenterの管理者またはルートのパスワードを入力します。q) [Confirm Password]フィールドにパスワードを再入力します。

ステップ 6 [+]アイコンをクリックして [vCenter]を展開し、[Create vCenter/vShield Controller]ダイアログボックスで、次のアクションを実行します。

a) [Name]フィールドに、vCenterドメインを参照する名前を入力します。この名前は vCenterドメイン名と同じである必要はなく、vCenterホスト名を使用できます。

b) [Host Name (or IP Address)]フィールドに、ホスト名または IPアドレスを入力します。ホスト名を使用する場合、CiscoAPICでDNSポリシーをすでに設定してある必要があります。DNSポリシーを設定していない場合は、vCenter Serverの IPアドレスを入力します。

c) [DVS Version]ドロップダウンリストで、DVSバージョン 5.1を選択します。d) [Stats Collection]フィールドで [Enabled]を選択します。e) [Datacenter]フィールドで、データセンター名を入力します。

[Datacenter]に入力する名前は、vCenterでの名前と正確に一致する必要があります。大文字と小文字が区別されます。

（注）

f) [OK]をクリックします。g) [vSwitch Policy]領域で、適切なチェックボックスをオンにします。たとえば、LACPまたはMACピニングおよび関連する CDP、LLDPおよび BPDUポリシーなど、適切なポートチャネルポリシーを選択します。

[vSwitch Policy]領域でポリシーを指定しない場合は、ウィザードで先に設定したものと同じインターフェイスポリシーが vSwitchに適用されます。

（注）

トップオブラックスイッチとCisco AVSの間にユニファイドコンピューティングシステム（UCS）ファブリックインターコネクト（FI）がある場合は、[vSwitchPolicy]領域で、[MAC Pinning]チェックボックスをオンにします。

（注）

h) [Firewall]ドロップダウンリストから、[Learning]、[Enabled]または [Disabled]モードを選択します。

[Learning]モードは、分散ファイアウォールをサポートしないバージョンの Cisco AVSからサポートするバージョンにアップグレードする場合にのみ使用されます。それ以外の場合、分散

ファイアウォールは [Enabled]モードである必要があります。分散ファイアウォールのモードは後から変更できます。手順については、本書の「拡張 GUIを使用した分散ファイアウォールポリシーの作成またはそのモードの変更」を参照してください。

ステップ 7 [Configure Interface, PC, andVPC]ダイアログボックスで、[SAVE]をクリックしてからさらに [SAVE]をクリックし、[SUBMIT]をクリックします。


a) メニューバーで、[VM Networking] > [Inventory]を選択します。b) ナビゲーションウィンドウで、[VMware] > [Domain_name] > [Controllers]を展開し、vCenterを選択します。

作業ウィンドウの [Properties]の下で、仮想マシンマネージャ（VMM）ドメイン名を参照して、コントローラがオンラインであることを確認します。作業ウィンドウに、vCenterのプロパティが



動作ステータスとともに表示されます。表示される情報によって、APICコントローラからvCenterServerへの接続が確立され、インベントリが使用できることを確認します。

基本 GUI を使用した vCenter ドメインの作成注意：シスコでは、コンフィギュレーションモード（拡張または基本）を混在させないことをお



拡張および基本モードの使用については、『Cisco APIC Getting Started Guide』を参照してください。

手順

ステップ 1 Cisco APICにログインして、[Basic]モードを選択します。

ステップ 2 [VM Networking] > [Inventory] > [VMware]の順に移動します。

ステップ 3 [VMware]を右クリックして [Create vCenter Domain]を選択します。

ステップ 4 [Create vCenter Domain]ダイアログボックスで、[Virtual Switch Name]フィールドに名前を入力します。

ステップ 5 [Virtual Switch]フィールドで、[Cisco AVS]を選択します。

ステップ 6 [Switching Mode]フィールドで、VLAN、VXLAN、または VXLAN-NSを選択します。VXLAN-NSは、ローカルスイッチなしの VXLANです。

ステップ 7 次のいずれかの操作を実行します。

結果選択内容

[VLAN Pool]ドロップダウンリストで、VLANプールを選択します。

ステップ 6で VLANを選択した場合



結果選択内容

1 [AVS Fabric-Wide Multicast Address]フィールドにアドレスを入力します。

2 [Pool ofMulticast Addresses (one per EPG)]からオプションを選択します。

ステップ 6で VXLANまたはVXLAN-NSを選択した場合

ステップ 8 [vCenter]フィールドで、[+]アイコンをクリックします。

ステップ 9 [Create vCenter Controller]ダイアログボックスの [Host Name (or IP Address)]フィールドで、1つ以上の vCenterを特定します。

ステップ 10 [DVS Version]ドロップダウンリストから、[DVS Version 5.1]を選択します。

ステップ 11 [Datacenter]フィールドに、vCenter名を入力します。

ステップ 12 [vCenter Credential Name]フィールドに、vCenterクレデンシャル名を入力します。

ステップ 13 [Username]フィールドに、vCenterにログインするためのユーザ名を入力します。

ステップ 14 [Password]フィールドに、vCenterにログインするためのパスワードを入力します。

ステップ 15 [Confirm Password]フィールドに、パスワードを再入力します。

ステップ 16 [OK]をクリックします。

ステップ 17 [Create vCenter Domain]ダイアログボックスの [vSwitch Policy]領域で、該当するチェックボックスをオンにします。

トップオブラックスイッチとCiscoAVSの間にユニファイドコンピューティングシステム（UCS）ファブリックインターコネクト（FI）がある場合は、[vSwitchPolicy]領域で、[MACPinning]チェックボックスをオンにします。

ステップ 18 [Firewall]ドロップダウンリストから、[Learning]、[Enabled]または [Disabled]モードを選択します。

[Learning]モードは、分散ファイアウォールをサポートしないバージョンのCisco AVSからサポートするバージョンにアップグレードする場合にのみ使用されます。それ以外の場合、分散ファイ

アウォールは [Enabled]モードである必要があります。分散ファイアウォールのモードは後から変更できます。手順については、本書の「拡張 GUIを使用した分散ファイアウォールポリシーの作成またはそのモードの変更」を参照してください。

ステップ 19 [Submit]をクリックします。新しい vCenterドメインが中央の [Properties]ペインに表示されます。新しいドメインに接続されるポートを指定する必要があります。

ステップ 20 [Fabric] > [Inventory]の順に選択し、[Inventory]ナビゲーションウィンドウで [Pod]フォルダをクリックします。

ステップ 21 作業ウィンドウで、[Topology]をクリックします。

ステップ 22 トポロジで、リーフを右クリックして [Configure]を選択します。

ステップ 23 作業ペインの上部で、vCenterドメインが接続されているリーフのポートを選択します。

ステップ 24 作業ペインの下部で、[CONFIGURE INTERFACE]をクリックします。

ステップ 25 [Interface]タブの [Speed]フィールドで速度を選択します。



デフォルト値は [inherit]です。

ステップ 26 （オプション）[L2 Protocols]タブでプロトコルを選択します。

ステップ 27 [VLAN]タブで [VLAN Domain]ドロップダウンリストから VLANドメインを選択します。

ステップ 28 [ESX And SCVMM]領域で [+]アイコンをクリックし、[Name]ドロップダウンリストで、前の手順で作成した vCenterドメインをクリックします。

ステップ 29 [APPLY CHANGES]をクリックします。

ステップ 30 [Success]ダイアログボックスで [OK]をクリックします。

NX-OS スタイルの CLI を使用した Cisco AVS インストール前設定NX-OSスタイルの CLIを使用して、Cisco AVSインストール前設定タスクを実行できます。

NX-OS スタイルの CLI を使用した VLAN ドメインの作成

手順

VLANドメインを作成します。

例：

静的割り当てでの VLANドメインの設定：apic1# configureapic1(config)# vlan-domain cli-vdom1apic1(config-vlan)# vlan 101-200

apic1(config-vlan)# show running-config# Command: show running-config vlan-domain cli-vdom1# Time: Thu Oct 1 10:12:21 2015vlan-domain cli-vdom1vlan 101-200exit

例：

静的割り当てでの VLANドメインの設定：apic1# configureapic1(config)# vlan-domain cli-vdom1 dynamicapic1(config-vlan)# vlan 101-200 dynamic

apic1(config-vlan)# show running-config# Command: show running-config vlan-domain cli-vdom1 dynamic# Time: Thu Oct 1 10:12:21 2015vlan-domain cli-vdom1 dynamicvlan 101-200 dynamicexit



NX-OS スタイルの CLI を使用したポートチャネルの設定

手順

ポートチャネルを作成します。

例：

apic1# configapic1(config)# template port-channel cli-pc1apic1(config-if)# channel-mode activeapic1(config-if)# vlan-domain member cli-vdom1

apic1(config-if)# show running-config# Command: show running-config interface port-channel cli-pc1# Time: Thu Oct 1 10:38:30 2015interface port-channel cli-pc1vlan-domain member cli-vdom1channel-mode activeexit

NX-OS スタイルの CLI を使用した VPC の設定

NX-OSスタイルの CLIを使用したバーチャルポートチャネル（VPC）の設定は、VPCドメインの設定と、その後のスイッチインターフェイスに対するVPCの設定という、2つのタスクで構成されます。

NX-OS スタイルの CLI を使用した VPC ドメインの設定

手順

VPCドメインを設定します。

例：

apic1# configapic1(config)# vpc domain explicit 10 leaf 101 102

apic1(config-vpc)# show running-config# Command: show running-config vpc domain explicit 10 leaf 101 102# Time: Thu Oct 1 10:39:26 2015vpc domain explicit 10 leaf 101 102exit

NX-OS スタイルの CLI を使用したスイッチインターフェイスでの VPC の設定

手順

スイッチインターフェイスでの VPCの設定

例：

apic1# configapic1(config)# leaf 101 – 102



apic1(config-leaf)# interface ethernet 1/3apic1(config-leaf-if)# channel-group cli-pc1 vpc

apic1(config-leaf-if)# show running-config# Command: show running-config leaf 101 - 102 interface ethernet 1/3# Time: Thu Oct 1 10:41:15 2015leaf 101interface ethernet 1/3channel-group cli-pc1 vpcexit

exitleaf 102interface ethernet 1/3channel-group cli-pc1 vpcexit

exit

NX-OS CLI を使用したローカルスイッチを含む VMM ドメインまたは含まない VMM ドメインの作成

手順

ローカルスイッチを含む VMMドメインまたは含まない VMMドメインを作成します。

例：apic1(config)# vmware-domain cli-vmm1apic1(config-vmware)# vlan-domain member cli-vdom1apic1(config-vmware)# vcenter 10.193.218.223 datacenter dc1 dvs-version 5.1apic1(config-vmware-vc)# username rootPassword:Retype password:apic1(config-vmware-vc)#apic1(config-vmware)# configure-avsapic1(config-vmware-avs)# switching mode vlan<or>apic1(config-vmware-avs)# switching mode vxlan-nsapic1(config-vmware-avs)# multicast-address 226.0.0.1apic1(config-vmware-avs)# vxlan multicast-pool 226.0.0.11-226.0.0.20

apic1(config-vmware-vc)# show running-config# Command: show running-config vmware-domain cli-vmm1 vcenter 10.193.218.223 datacenter dc1dvs-version 5.1# Time: Thu Oct 1 10:51:45 2015vmware-domain cli-vmm1vcenter 10.193.218.223 datacenter dc1 dvs-version 5.1username rootexit

exit

apic1(config-vmware-avs)# show running-config# Command: show running-config vmware-domain cli-vmm1 configure-avs# Time: Thu Oct 1 10:53:28 2015vmware-domain cli-vmm1configure-avsswitching mode vlanexit

exit



VSUM での Cisco AVS インストールの実行Cisco APICでの Cisco AVSの設定が終了したら、Cisco VSUMで Cisco AVSのインストールを実行します。これを行うには、Cisco AVSをインストールし、ESXiホストを the Cisco AVSに追加します。

Cisco AVS をインストールするための前提条件Cisco VSUMを使用して Cisco AVSをインストールする際には、次の要件があります。

• Cisco APICの Cisco AVS設定を手動で完了する必要があります。Cisco AVSインストール前のCiscoAPIC設定の詳細については、本書の「インターフェイス、スイッチ、およびvCenterドメインプロファイルの作成」か『Cisco Application Virtual Switch Installation Guide』を参照してください。

•必要なブリッジドメイン、アプリケーションプロファイル、エンドポイントグループ、およびコントラクトを含むテナント設定がすでに作成されている必要があります。詳細につい

ては、『Cisco APIC Getting Started Guide』を参照してください。

•ホストは、1つ以上の未指定の物理 NICを実装している必要があります。

• vCenter Serverに対して管理者権限を持っている必要があります。

VSUM を使用した Cisco AVS のインストール次の手順（VSUMの [Add Host-AVS]と示された機能を使用）では、ホストをメンテナンスモードにし、Cisco AVSをインストールし、Cisco AVSに 1台以上の ESXiホストを追加します。

はじめる前に

Cisco AVSに関する次の情報を取得する必要があります。

• vCenter IPアドレス

• vCenterユーザ ID

• vCenterパスワード

手順

ステップ 1 VMware vSphere Webクライアントにログインします。

ステップ 2 [Home] > [Cisco Virtual Switch Update Manager] > [AVS] > [Configure]の順に選択します。

ステップ 3 データセンターと Cisco AVSを選択してから、[Manage]をクリックします。


Cisco ACI および Cisco AVSVSUM での Cisco AVS インストールの実行

ステップ 4 スイッチペインで、[Cisco AVS] > [Add Host-AVS]の順に選択します。

ステップ 5 [Target Version]ドロップダウンリストから、ホストにインストールするターゲット VIBバージョンを選択します。

ステップ 6 [Show Host]をクリックします。

ステップ 7 [Host Selection]領域で、追加するホストを選択します。ホストは、次のカテゴリに分類されます。

• Cluster：クラスタに含まれるホスト。

• Standalone：クラスタに属していないホスト。スタンドアロンモードのホストを追加することができます。

ホストは [Cluster]および [Standalone]のカテゴリ内で、さらに編成されます。

• Supported：Cisco AVSによってサポートされているホスト。このようなホストを追加することができます。

• Unsupported：Cisco AVSによってサポートされていないホスト。

• Unreachable：無応答状態または接続解除状態にあるホスト。

• Already in DVS：すでに DVSに関連付けられているホスト。すでに DVSに関連付けられているホストは追加できません。

• No free PNIC：空き PNICのないホスト。空き PNICのないホストは追加できません。

ステップ 8 セットアップに応じて、[Cluster]または [Standalone]を展開します。

ステップ 9 使用可能な 1つ以上のホストを選択し、[Suggest]をクリックします。[PNIC Selection]領域に、各ホストで使用可能なアップリンクが表示されます。

ステップ 10 [PNIC Selection]領域で、Cisco AVSに追加する PNICまたは PNICSを選択します。

ステップ 11 [Finish]をクリックすると、ホストが Cisco AVSに追加されます。

ステップ 12 次の手順に従ってホストの追加のステータスを確認します。

a) 作業ウィンドウの右にある [Recent Tasks]ペインで、[More Tasks]をクリックします。最新のタスクをタスクのリストの先頭に表示して [Task Console]が作業ウィンドウに表示されます。

b) [Task Name]カラムでタスクを見つけ、[Status]カラムのステータスを参照します。[Status]カラムには、タスクが完了したのか進行中であるのかが表示されます。[Refresh]アイコンをクリックすると、新しいタスクを表示でき、タスクがどれぐらい完了しているかを確認

できます。

実行したばかりのプライマリタスクの上に複数のタスクが表示されることがありま

す。これらはプライマリタスクに関連付けられている可能性があります。

（注）

ホストの追加はプライマリタスク [Add hosts to Cisco DVS]のステータスが「Completed」になったことで完了を確認できます。

ブラウザを閉じた後でタスクの履歴を表示するには、Webクライアントにログインし、ナビゲーションウィンドウで [Tasks]をクリックして、作業ウィンドウにタスクのリストを表示します。



次の作業

Cisco AVSのインストールを確認します。手順については、本書の「Cisco AVSのインストールの確認」を参照してください。

Cisco AVS のインストールの確認ここでは、Cisco Application Virtual Switch（AVS）が VMware ESXi Hypervisorにインストールされていることを確認する方法について説明します。

仮想スイッチのステータスの確認

手順

ステップ 1 VMware vSphere Clientにログインします。

ステップ 2 [Networking]を選択します。

ステップ 3 データセンターのフォルダを開き、仮想スイッチをクリックします。

ステップ 4 [Hosts]タブをクリックします。[DVS Status]および [Status]フィールドに、仮想スイッチのステータスが表示されます。VDSのステータスは、OpFlex通信が確立されていることを示す「Up」になっている必要があります。

vNIC ステータスの確認

手順

ステップ 1 VMware vSphere Clientで、[Home]タブをクリックします。

ステップ 2 [Hosts and Clusters]を選択します。

ステップ 3 ホストをクリックします。

ステップ 4 [Configuration]タブをクリックします。

ステップ 5 [Hardware]パネルで、[Networking]を選択します。

ステップ 6 [View]フィールドで、[vSphere Distributed Switch]ボタンをクリックします。

ステップ 7 [Manage Virtual Adapters]をクリックします。vmk1が仮想アダプタとして表示され、IPアドレスがリスト表示されます。

ステップ 8 vmknicステータスを表示するには、新しく作成されたvmkインターフェイスをクリックします。vmkが DHCP経由で IPアドレスを受信するには、約 20秒かかります。

（注）



Cisco AVS のアンインストールテストのために Cisco AVSを削除しなければならない場合があります。または、Cisco ACIファブリックからすべての設定を削除する必要がある場合は、ファブリックを初期状態にリセットしま

す。Cisco AVSを削除するには、次の基本的な手順に従います。

手順

ステップ 1 VMware vSphere Clientで、次の手順を実行します。a) EPGポートグループからすべての VMを削除します。b) CiscoAVSホストからすべての仮想トンネルエンドポイント（VTEP）VMwareカーネル（VMK）を削除します。

c) Cisco AVSからすべてのホストを削除します。

手順については、VMwareのドキュメントを参照してください。

ステップ 2 Cisco APICで次の手順を実行します。a) ポートグループを削除するには、EPGへのすべての仮想マシン管理（VMM）ドメインの関連付けを削除します。

Cisco ACIファブリックからすべての設定を削除する場合、この手順はオプションです。

b) Cisco AVS VMMドメインを削除します。

次の作業

Cisco AVSをアンインストールするが、Cisco ACIファブリックからすべての設定を削除しない場合は、インストールされた各ホストから VIBソフトウェアを削除できます。次の vSphere CLIコマンドを使用して、ホストから VIBソフトウェアを削除します。

esxcli software vib remove -ninstalled_vem_version

Cisco AVS の主要なインストール後設定作業CiscoApplicationVirtual Switch（AVS）をインストールした後、CiscoApplication Policy InfrastructureController（APIC）で設定作業を行う必要があります。

Cisco AVS の設定の条件Cisco Application Virtual Switch（AVS）を設定する前に、次の作業を行う必要があります。

1 このガイドの前の項の説明に従って、Cisco AVSをインストールします。

2 『ACI Fundamentals Guide』および『APIC Getting Started Guide』に記載されている概念を理解します。


Cisco ACI および Cisco AVSCisco AVS のアンインストール

Cisco AVS の主要なインストール後設定作業のワークフローここでは、Cisco AVSを設定するために、正しい順序で実行すべきタスクの概要を示します。

1 アプリケーションプロファイルを展開します。

a テナントを作成します。

テナントは、管理者がドメインベースのアクセス制御を実行するための、アプリケーショ

ンポリシーの論理コンテナです。テナントは、サービスプロバイダーの環境ではお客様

を、企業の環境では組織またはドメインを、または単にポリシーの便利なグループ化を表

すことができます。

ファブリックには複数のテナントを含めることができます。テナントは相互に分離するこ

とも、リソースを共有することもできます。テナントが含む主要な要素は、フィルタ、コ

ントラクト、外部ネットワーク、ブリッジドメイン、コンテキスト、およびエンドポイン

トグループ（EPG）を含むアプリケーションプロファイルです。テナントのエンティティはそのポリシーを継承します。

レイヤ 4～ 7のサービスを展開する前に、テナントを設定する必要があります。

テナントを作成する手順については、このガイドの拡張 GUIを使用したテナント、VRF、およびブリッジドメインの作成を参照してください。

b アプリケーションプロファイルを作成します。

アプリケーションプロファイルは、アプリケーション要件に一致しています。アプリケー

ションプロファイルは、EPGをグループ化する便利な論理コンテナです。

最新のアプリケーションには、複数のコンポーネントが含まれます。たとえば、e-コマースアプリケーションには、Webサーバ、データベースサーバ、ストレージエリアネットワーク内にあるデータ、および金融取引を可能にする外部リソースへのアクセスが必要となる

場合があります。アプリケーションプロファイルには、アプリケーションの機能の提供に

論理的に関連する必要な数の（またはそれ以下の）EPGが含まれます。

アプリケーションプロファイルを作成する手順については、このガイドのGUIを使用したアプリケーションプロファイルの作成を参照してください。

c エンドポイントグループ（EPG）の作成

エンドポイントは、ネットワークに直接的または間接的に接続されるデバイスです。エン

ドポイントには、アドレス（ID）、ロケーション、属性（バージョンやパッチレベルなど）があり、物理または仮想にできます。エンドポイントの例には、インターネット上のサー

バ、仮想マシン、ネットワーク接続ストレージ、またはクライアントが含まれます。

EPGは、セキュリティ、仮想マシンのモビリティ、QoS、レイヤ 4～レイヤ 7サービスなどの共通のポリシー要件を持つエンドポイントのコレクションを含む、名前付き論理エン

ティティです。EPGにより、エンドポイントを個別に設定および管理するのではなく、グループとして管理できます。EPGのエンドポイントは同じ設定を持ち、EPG設定の変更は、割り当てられているすべてのエンドポイントに自動的に伝搬されます。vCenterServerでは、EPSはポートグループとして表されます。


Cisco ACI および Cisco AVSCisco AVS の主要なインストール後設定作業のワークフロー

EPGを作成する手順については、このガイドのGUIを使用した EPGの作成を参照してください。

d vCenterで仮想マシン（VM）にポートグループを割り当てます。

vCenter Serverでは、EPSはポートグループとして表されます。以下を実行するために、vCenter Serverでは仮想イーサネット（vEth）インターフェイスが EPGに割り当てられます。

•ポリシーによるポート設定の定義

•多数のポートに対する単一ポリシーの適用

サービス管理者は、アップリンクとして設定された EPGを物理ポートに割り当てることができます（vmnicsまたは PNIC）。アップリンクとして設定されていない EPGは、VM仮想ポートに割り当てられることがあります。

手順については、このガイドのvCenterでのVMへのポートグループの割り当てを参照してください。

e フィルタを作成します。

フィルタは、さまざまなアプリケーションまたはサービス配信要件を満たすために、EPGや契約をうまく組み合わせるのに役立つ管理対象オブジェクトです。契約によって許可ま

たは拒否されるデータプロトコル（EPG間の通信のルール）を指定します（これにはフィルタが含まれます）。

手順についてはこのガイドのGUIを使用したフィルタの作成を参照してください。

f 契約を作成します。

契約は、EPG間の通信を可能にするポリシーです。管理者は、コントラクトを使用して許可されるプロトコルやポートを含む EPG間を通過できるトラフィックのタイプを選択します。コントラクトがなければ、EPG間通信はデフォルトでディセーブルになります。EPG内の通信には契約は不要です。EPG内の通信は常に暗黙的に許可されます。

コントラクトは、プロバイダー、コンシューマ、またはその両方とラベル付された EPG間の通信を制御します。EPGは同じコントラクトを提供および消費できます。EPGは複数のコントラクトを同時に提供および消費することもできます。

手順についてはこのガイドのGUIを使用した契約の作成を参照してください。

2 アプリケーションプロファイルを確認します。

アプリケーションプロファイルが作成されていることを確認するには、次の作業を行う必要が

あります。

a Cisco APICでアプリケーションプロファイルを確認します。

b vCenterに EPGが表示されることを確認します。

c VMが通信できることを確認します。


Cisco ACI および Cisco AVSCisco AVS の主要なインストール後設定作業のワークフロー

手順については、このガイドのGUIでのアプリケーションプロファイルと EPGの確認を参照してください。

3 IPv4または IPv6アドレスの設定

Cisco AVSに接続された VMの IPアドレスを設定するには、VMに IPv4アドレスまたは IPv6アドレス（または IPv4アドレスと IPv6アドレスの両方）を割り当ててから、ゲートウェイアドレスを割り当てます。

手順については、このガイドのCisco AVSに接続されたVMの IPアドレス設定を参照してください。

4 （推奨オプション）分散ファイアウォールを有効にします。

Cisco AVSリリース 5.2(1)SV3(1.5)をインストールまたはこれにアップグレードした後、その機能を使用するには、分散ファイアウォールを有効にする必要があります。デフォルトでは、

分散ファイアウォールは学習モードになっています。このガイドの拡張 GUIを使用した分散ファイアウォールポリシーの作成またはそのモードの変更の手順に従って、分散ファイアウォー

ルを有効にします。

拡張 GUI を使用した Cisco AVS のアプリケーションプロファイルの導入




拡張 GUI を使用したテナント、VRF、およびブリッジドメインの作成•このタスク例のビデオを視聴するには、Videos Webpageを参照してください。

•外部ルーテッドを設定するときにパブリックサブネットがある場合は、ブリッジドメインを外部設定と関連付ける必要があります。

手順

ステップ 1 メニューバーで、[TENANT] > [Add Tenant]の順にクリックします。

ステップ 2 [Create Tenant]ダイアログボックスで、次のタスクを実行します。a) [Name]フィールドに、名前を入力します。b) [Security Domains +]アイコンをクリックして [Create Security Domain]ダイアログボックスを開きます。


Cisco ACI および Cisco AVS拡張 GUI を使用した Cisco AVS のアプリケーションプロファイルの導入

http://www.cisco.com/c/en/us/support/cloud-systems-management/application-policy-infrastructure-controller-apic/products-configuration-examples-list.html

c) [Name]フィールドに、セキュリティドメインの名前を入力します。[Submit]をクリックします。

d) [Create Tenant]ダイアログボックスで、作成したセキュリティドメインのチェックボックスをオンにし、[Submit]をクリックします。

ステップ 3 [Navigation]ペインで、[Tenant-name] > [Networking]の順に展開し、[Work]ペインで、[VRF]アイコンをキャンバスにドラッグして [Create VRF]ダイアログボックスを開き、次のタスクを実行します。

a) [Name]フィールドに、名前を入力します。b) [Submit]をクリックして VRFの設定を完了します。

ステップ 4 [Networking]ペインで、[BD]アイコンを [VRF]アイコンにつなげながらキャンバスにドラッグします。[Create Bridge Domain]ダイアログボックスが表示されたら、次のタスクを実行します。a) [Name]フィールドに、名前を入力します。b) [L3 Configurations]タブをクリックします。c) [Subnets]を展開して [Create Subnet]ダイアログボックスを開き、[Gateway IP]フィールドにサブネットマスクを入力し、[OK]をクリックします。

d) [Submit]をクリックしてブリッジドメインの設定を完了します。

ステップ 5 [Networks]ペインで、[L3]アイコンを [VRF]アイコンにつなげながらキャンバスにドラッグします。[Create Routed Outside]ダイアログボックスが表示されたら、次のタスクを実行します。a) [Name]フィールドに、名前を入力します。b) [Nodes And Interfaces Protocol Profiles]を展開して [Create Node Profile]ダイアログボックスを開きます。

c) [Name]フィールドに、名前を入力します。d) [Nodes]を展開して [Select Node]ダイアログボックスを開きます。e) [Node ID]フィールドで、ドロップダウンリストからノードを選択します。f) [Router ID]フィールドに、ルータ IDを入力します。g) [Static Routes]を展開して [Create Static Route]ダイアログボックスを開きます。h) [Prefix]フィールドに、IPv4アドレスまたは IPv6アドレスを入力します。i) [Next Hop Addresses]を展開し、[Next Hop IP]フィールドに IPv4アドレスまたは IPv6アドレスを入力します。

j) [Preference]フィールドに数値を入力し、[UPDATE]をクリックしてから [OK]をクリックします。

k) [Select Node]ダイアログボックスで、[OK]をクリックします。l) [Create Node Profile]ダイアログボックスで、[OK]をクリックします。m) 必要に応じてチェックボックス [BGP]、[OSPF]、または [EIGRP]をオンにし、[NEXT]をクリックします。[OK]をクリックしてレイヤ 3の設定を完了します。

L3設定を確認するには、[Navigation]ペインで、[Networking] > [VRFs]の順に展開します。



GUI を使用したアプリケーションプロファイルの作成

手順

ステップ 1 メニューバーで、[TENANTS]を選択します。[Navigation]ペインで、テナントを展開し、[ApplicationProfiles]を右クリックし、[Create Application Profile]をクリックします。

ステップ 2 [Create Application Profile]ダイアログボックスで、[Name]フィールドに、アプリケーションプロファイル名（OnlineStore）を追加します。

GUI を使用した EPG の作成EPGが使用するポートは、VMマネージャ（VMM）ドメインまたは EPGに関連付けられた物理ドメインのいずれか 1つに属している必要があります。

手順

ステップ 1 [EPGs]を展開します。[Create Application EPG]ダイアログボックスで、次の操作を実行します。a) [Name]フィールドに、EPGの名前（db）を追加します。b) [BridgeDomain]フィールドで、ドロップダウンリストからブリッジドメイン（bd1）を選択します。

c) [Associate toVMDomainProfiles]チェックボックスをオンにします。[Next]をクリックします。d) [Step 2 for Specify the VM Domains]領域で、[Associate VM Domain Profiles]を展開し、ドロップダウンリストから目的のVMMドメインを選択します。[Update]をクリックし、[OK]をクリックします。

ステップ 2 [Create Application Profile]ダイアログボックスで、EPGをさらに 2つ作成します。3つの EPGは、同じブリッジドメインおよびデータセンター内の db、app、および webである必要があります。

拡張 GUI を使用したカプセル化ブロックを含む VLAN プールの作成VMMドメインまたは EPG（アプリケーション EPGまたはマイクロセグメントのどちらか）と関連付ける VLANプールを作成できます。

手順




ステップ 2 [Fabric] > [Access Policies]の順に移動します。

ステップ 3 [Policies]ナビゲーションウィンドウで、[Pools]フォルダを展開します。

ステップ 4 [VLAN]フォルダを右クリックし、[Create VLAN Pool]を選択します。

ステップ 5 [Create VLAN Pool]ダイアログボックスの [Name]フィールドで、VLANプールに名前を付けます。

ステップ 6 [AllocationMode]エリアで、[Dynamic Allocation]モードまたは [Static Allocation]モードを選択します。

VMMドメインにVLANプールを関連付けるには、ダイナミック割り当てを選択する必要があります。VLANプールにスタティック割り当てを定義した場合は、VMMドメインを作成してみてください。スタティック割り当てを持つ VLANプールは使用できません。

（注）

ステップ 7 [Encap Blocks]領域で、[+]アイコンをクリックします。

ステップ 8 [Create Ranges]ダイアログボックスの [Range]エリアで、[From]フィールドと [To]フィールドに適切な VLANの番号を入力します。

ステップ 9 [Allocation Mode]エリアで [Dynamic Allocation]、[Inherit allocMode from parent]、または [StaticAllocation]を選択します。VLANプールには異なる割り当てモードのカプセル化ブロックを含めることができます。たとえば、ダイナミック割り当てを持つVLANプールに、ダイナミック割り当てまたはスタティック割り当てを持つカプセル化ブロックを含めることができます。

スタティックVLANポートカプセル化を持つ EPGを設定する場合は、スタティック割り当てを持つカプセル化ブロックを設定する必要があります。スタティック割り当てを

持つカプセル化ブロック内ではいずれか 1つの VLANを使用できます。

（注）

ステップ 10 [OK]をクリックします。VLANの範囲と割り当てモードが [Create VLAN Pool]ダイアログボックスの [Encap Blocks]エリアに表示されます。

ステップ 11 [Create VLAN Pool]ダイアログボックスで、[SUBMIT]をクリックします。

vCenter での VM へのポートグループの割り当て

手順

ステップ 1 vCenterにログインします。

ステップ 2 ナビゲーションウィンドウで仮想マシン（VM）に移動します。

ステップ 3 ナビゲーションウィンドウで VMを右クリックします。

ステップ 4 [Edit Settings]ダイアログボックスで、VMに対して次の操作を実行します。a) [Network Adapter 1]ドロップダウンメニューから、テナント、アプリケーションプロファイル、エンドポイントグループ（EPG）の適切な組み合わせの値を選択します。たとえば、T2|ap4|EPG1の後に Cisco APICで設定された値が続くオプションが表示されます。



b) 設定するその他のネットワークアダプタについて、ステップ 4 aを繰り返します。1つのネットワークアダプタの設定は必須で、その他の設定はオプションです。

c) [OK]をクリックします。

GUI を使用したフィルタの作成次の手順を使用してフィルタを作成します。このタスクでは、HTTPフィルタを作成する方法を示します。

はじめる前に

テナント、ネットワーク、およびブリッジドメインが作成されていることを確認します。

手順

ステップ 1 メニューバーで、[TENANTS]を選択します。[Navigation]ペインで、[tenant] > [Security Policies]を展開し、[Filters]を右クリックして、[Create Filter]をクリックします。

[Navigation]ペインで、フィルタを追加するテナントを展開します。

（注）

ステップ 2 [Create Filter]ダイアログボックスで、次の操作を実行します。a) [Name]フィールドに、フィルタ名（http）を入力します。b) [Entries]を展開し、[Name]フィールドに、名前（Dport-80）を入力します。c) [EtherType]ドロップダウンリストから、EtherType（IP）を選択します。d) [IP Protocol]ドロップダウンリストから、プロトコル（tcp）を選択します。e) [Destination Port/Range]ドロップダウンリストから、[From]フィールドと [To]フィールドで、

[http]を選択します。（http）f) [Update]をクリックし、[Submit]をクリックします。新しく追加されたフィルタが、[Navigation]ペインと [Work]ペインに表示されます。

ステップ 3 [Name]フィールドの [Entries]を展開します。同じプロセスを実行して、別のエントリを宛先ポートとして HTTPSで追加し、[Update]をクリックします。この新しいフィルタルールが追加されます。

GUI を使用した契約の作成次の手順を使用して契約を作成します。



手順

ステップ 1 メニューバーで、[TENANTS]と実行するテナント名を選択します。[Navigation]ペインで、[tenant]> [Security Policies]を展開します。

ステップ 2 [Contracts] > [Create Contract]を右クリックします。

ステップ 3 [Create Contract]ダイアログボックスで、次のタスクを実行します。a) [Name]フィールドに、契約名（web）を入力します。b) [Subjects]の横の [+]記号をクリックし、新しいサブジェクトを追加します。c) [Create Contract Subject]ダイアログボックスで、[Name]フィールドにサブジェクト名を入力します。（web）

d) この手順では、契約のサブジェクトで前に作成されたフィルタを関連付けま

す。

（注）

[Filter Chain]領域で、[Filters]の横の [+]記号をクリックします。e) ダイアログボックスで、ドロップダウンメニューから、フィルタ名（http）を選択し、[Update]をクリックします。

ステップ 4 [Create Contract Subject]ダイアログボックスで、[OK]をクリックします。

基本 GUI を使用した Cisco AVS のアプリケーションプロファイルの導入




基本 GUI を使用したテナント、VRF、およびブリッジドメインの作成

手順

ステップ 1 APICGUIの [BasicMode]にログインし、メニューバーで、[TENANT]> [AddTenant]の順にクリックします。

ステップ 2 [Create Tenant]ダイアログボックスで、次のタスクを実行します。a) [Name]フィールドに、名前を入力します。b) [Security Domains +]アイコンをクリックして [Create Security Domain]ダイアログボックスを開きます。


Cisco ACI および Cisco AVS基本 GUI を使用した Cisco AVS のアプリケーションプロファイルの導入

c) [Name]フィールドに、セキュリティドメインの名前を入力します。[Submit]をクリックします。

d) [Create Tenant]ダイアログボックスで、作成したセキュリティドメインのチェックボックスをオンにし、[Submit]をクリックします。

ステップ 3 [Navigation]ペインで、[Tenant-name] > [Networking]の順に展開し、[VRF]アイコンを Canvasにドラッグして [Create VRF]ダイアログボックスを開き、次のタスクを実行します。a) [Name]フィールドに、名前を入力します。b) [Submit]をクリックして VRFの設定を完了します。

ステップ 4 [Networking]ペインで、[BD]アイコンを [VRF]アイコンにつなげながらキャンバスにドラッグします。[Create Bridge Domain]ダイアログボックスが表示されたら、次のタスクを実行します。a) [Name]フィールドに、名前を入力します。b) [Subnets]を展開して [Create Subnet]ダイアログボックスを開き、[Gateway IP]フィールドにサブネットマスクを入力し、[OK]をクリックします。

c) [Submit]をクリックしてブリッジドメインの設定を完了します。

ステップ 5 [Networking]ペインで、[VRF]アイコンに接続しながら、Canvasに [L3]アイコンをドラッグします。[Create Routed Outside]ダイアログボックスが表示されたら、次のタスクを実行します。a) [Node ID]フィールドに、ノード IDを入力します。b) [Router ID]フィールドに、ルータ IDを入力します。c) [Static Routes]を展開し、[IP Address]および [Next Hop IP]フィールドに IPv4または IPv6アドレスを入力し、[Update]をクリックします。

ゲートウェイ IPv6アドレスは、グローバルユニキャスト IPv6アドレスである必要があります。

（注）

d) 必要に応じて [Protocols]ボックスをクリックし、設定する [BGP]、[OSPF]、[EIGRP]を選択します。

e) [OK]をクリックしてから [Submit]をクリックし、レイヤ 3の設定を完了します。

L3の設定を確認するには、[Navigation]ペインで、[VRFs] > [VRF name] > [Deployed VRFs]の順に展開します。

基本 GUI を使用したアプリケーションポリシーの展開

はじめる前に

テナント、ネットワーク、およびブリッジドメインが作成されていることを確認します。

手順


（注）


Cisco ACI および Cisco AVS基本 GUI を使用した Cisco AVS のアプリケーションプロファイルの導入

メニューバーで、[Tenants] > [Tenant-name]の順にクリックします。ステップ 2 [Navigation]ペインで、[Application Profiles]を右クリックし、[Create Application Profile]をクリッ

クします。

ステップ 3 [Create Application Profile]ダイアログボックスに、プロファイルの名前を入力します。[Submit]をクリックします。

ステップ 4 [Navigation]ペインで、新しいアプリケーションプロファイルをクリックして選択します。

ステップ 5 [Work]ペインの [Drag and drop to configure toolbar]から最初の [EPG]をドラッグし、下の空白の画面にドロップします。

ステップ 6 表示される [Create Application EPG]ダイアログボックスで、次の操作を実行します。a) アプリケーション EPGの名前を入力します。b) [Bridge Domain]フィールドで、ドロップダウンリストから、目的のブリッジドメインを選択します。[OK]をクリックします。

異なるブリッジドメインで必要な場合はこの手順を繰り返して追加の EPGを作成します。

ステップ 7 [Drag and drop to configure toolbar]から、[Contract]をドラッグアンドドロップします。ユーザの必要に応じてドラッグするとプロバイダー EPGとしてコンシューマ EPGを自動接続します。関係が矢印で表示されます。

[Config ContractWith L4-L7 Service Graph]ダイアログボックスが表示され、選択した詳細、および関連するプロバイダーとコンシューマの契約が自動的に読み込まれます。

a) [Contract Name]フィールドに、契約名を入力します。[OK]をクリックします。b) [No Filter]フィールドのチェックボックスをオフにして、カスタマイズフィルタを作成します。

チェックボックスをオフにしない場合は、デフォルトのフィルタが自動作成されま

す。

（注）

c) （任意）カスタマイズフィルタを作成するには、必要に応じて [Filter Entries]フィールドに適切な情報を入力します。[OK]をクリックします。

ステップ 8 [Application Profile]作業ウィンドウで、[Submit]をクリックします。これで、アプリケーションプロファイルを導入する手順が完了しました。

NX-OS CLI を使用した Cisco AVS のアプリケーションプロファイルの導入

NX-OS スタイル CLI を使用したテナント、VRF、およびブリッジドメインの作成ここでは、テナント、VRFおよびブリッジドメインを作成する方法を説明します。


Cisco ACI および Cisco AVSNX-OS CLI を使用した Cisco AVS のアプリケーションプロファイルの導入

テナントの設定を作成する前に、vlan-domainコマンドを使用してVLANドメインを作成し、ポートを割り当てる必要があります。

（注）

手順

ステップ 1 次のように、VLANドメイン（一連のポートで許可される一連のVLANを含む）を作成し、VLANの入力を割り当てます。

例：

次の例（exampleCorp）では、VLAN 50～ 500が割り当てられることに注意してください。apic1# configureapic1(config)# vlan-domain dom_exampleCorpapic1(config-vlan)# vlan 50-500apic1(config-vlan)# exit

ステップ 2 VLANが割り当てられたら、これらの VLANを使用できるリーフ（スイッチ）およびインターフェイスを指定します。次に、「vlan-domainmember」と入力し、その後に作成したドメインの名前を入力します。

例：

次の例では、これらの VLAN（50～ 500）は、インターフェイスイーサネット 1/2～ 4（1/2、1/3、1/4を含む 3つのポート）上の leaf 101で有効になっています。これは、このインターフェイスを使用すると、VLANを使用できるあらゆるアプリケーションにこのポートの VLAN 50～ 500を使用できることを意味します。

apic1(config-vlan)# leaf 101apic1(config-vlan)# interface ethernet 1/2-4apic1(config-leaf-if)# vlan-domain member dom_exampleCorpapic1(config-leaf-if)# exitapic1(config-leaf)# exit

ステップ 3 次の例に示すように、グローバルコンフィギュレーションモードでテナントを作成します。

例：

apic1(config)# tenant exampleCorp

ステップ 4 次の例に示すように、テナントコンフィギュレーションモードでプライベートネットワーク

（VRFとも呼ばれます）を作成します。

例：

apic1(config)# tenant exampleCorpapic1(config-tenant)# vrf context exampleCorp_v1apic1(config-tenant-vrf)# exit

ステップ 5 次の例に示すように、テナントの下にブリッジドメイン（BD）を作成します。

例：

apic1(config-tenant)# bridge-domain exampleCorp_b1



apic1(config-tenant-bd)# vrf member exampleCorp_v1apic1(config-tenant-bd)# exit

この場合、VRFは「exampleCorp_v1」です。

（注）

ステップ 6 次の例に示すように、BDの IPアドレス（IPおよび ipv6）を割り当てます。

例：apic1(config-tenant)# interface bridge-domain exampleCorp_b1apic1(config-tenant-interface)# ip address 172.1.1.1/24apic1(config-tenant-interface)# ipv6 address 2001:1:1::1/64apic1(config-tenant-interface)# exit

次の作業

次の項では、アプリケーションプロファイルを追加し、アプリケーションエンドポイントグルー

プ（EPG）を作成し、EPGをブリッジドメインに関連付ける方法について説明します。

関連トピック

NX-OSスタイル CLIを使用した VLANドメインの設定

NX-OS スタイル CLI を使用したアプリケーションプロファイルおよび EPG の作成

はじめる前に

アプリケーションプロファイル、アプリケーションエンドポイントグループ（EPG）を作成する前に、VLANドメイン、テナント、VRF、および BDを作成する必要があります（前の項で説明しています）。

手順

ステップ 1 次の例に示すように、アプリケーションプロファイルを作成します（exampleCorp_web1）。

例：

apic1(config)# tenant exampleCorpapic1(config-tenant)# application exampleCorp_web1

ステップ 2 次の例に示すように、アプリケーションの下に EPGを作成します（exampleCorp_webepg1）。

例：

apic1(config-tenant-app)# epg exampleCorp_webepg1

ステップ 3 次に示すように、ブリッジドメインに EPGを関連付けます。

例：apic1(config-tenant-app-epg)# bridge-domain member exampleCorp_b1apic1(config-tenant-app-epg)# exit



apic1(config-tenant-app)# exitapic1(config-tenant)# exit

各 EPGはBDに属します。EPGは、同じテナント（または）共通のテナントからのBDに属することができます。チェーンを見ると、最下端は EPG、その上は BDです。BDは VRFに属し、VRFはテナントに属します。

（注）

次の作業

これらの例では、テナントのアプリケーションEPGを設定する方法について説明しました。次の項では、EPGにポート上の VLANをマッピングする方法を説明します。

NX-OS スタイル CLI を使用したカプセル化ブロックを含む VLAN プールの作成

手順

ステップ 1 ダイナミックまたはスタティックの VLANプールを作成します。

例：apic1# configapic1(config)# vlan-domain AVS-DOM2 dynamic

またはapic1# configapic1(config)# vlan-domain AVS-DOM2

スタティックVLANプールがデフォルトです。ダイナミックVLANプールを作成するには、コマンドに dynamicキーワードを追加する必要があります。

ステップ 2 ダイナミックまたはスタティック割り当てブロックを定義します。

例：apic1(config-vlan)# vlan 1071-1075 dynamic

またはapic1(config-vlan)# vlan 1071-1075

スタティック割り当てがデフォルトです。ダイナミック割り当てブロックを作成するには、コマ

ンドに dynamicキーワードを追加する必要があります。

ステップ 3 ダイナミックまたはスタティックカプセル化ブロックを割り当てます。

例：apic1(config-vlan)# vlan 1076-1080,1091 dynamicscale-apic1(config-vlan)#apic1(config-vlan)# exit

またはapic1(config-vlan)# vlan 1076-1080,1091scale-apic1(config-vlan)#apic1(config-vlan)# exit

割り当てはデフォルトでスタティックです。ダイナミックカプセル化を割り当てるには、コマン

ドに dynamicキーワードを追加する必要があります。



スタティック VLANプールにダイナミックカプセル化ブロックを含めることはできませんが、ダイナミック VLANプールにはスタティックおよびダイナミックのカプセル化ブロックを含めることができます。

（注）

ステップ 4 VMMドメインに VLANプールを関連付けます。

例：apic1(config)# vmware-domain AVS-DOM2apic1(config-vmware)# vlan-domain member AVS-DOM2apic1(config-vmware)# exitapic1(config)# exitapic1#apic1# show vlan-domain

ステップ 5 VLANプールが定義されたことを確認します。apic1# show vlan-domain name AVS-DOM2Legend:vlanscope: L (Portlocal). Default is global

vlan-domain : AVS-DOM2 Type : All

vlan : 1071-1075(dynamic) 1091(static) 1076-1080(static)

Node Interface Vlan Type Usage Operational StateOperational Vlan------------ ---------------- ---- ----------- -------------------- ----------------------------------------

scale-apic1#

NX-OS スタイル CLI を使用したアプリケーションポリシーの展開EPGが使用するポートは、VMマネージャ（VMM）ドメインまたは EPGに関連付けられた物理ドメインのいずれか 1つに属している必要があります。

手順

ステップ 1 NX-OS CLIを使用してコンフィギュレーションモードにするには、次を入力します。

例：

apic1#configureapic1(config)#

ステップ 2 テナントのアプリケーションネットワークプロファイルを作成します。

次の例のアプリケーションネットワークプロファイルは OnlineStoreです。

例：

apic1(config)# tenant exampleCorpapic1(config-tenant)# application OnlineStoreapic1(config-tenant-app)#

ステップ 3 テナントのこのアプリケーションネットワークプロファイルに関するアプリケーション web、db、および app EPGを作成します。



例：

apic1(config-tenant-app)# epg webapic1(config-tenant-app-epg)# exitapic1(config-tenant-app)# epg dbapic1(config-tenant-app-epg)# exitapic1(config-tenant-app)# epg appapic1(config-tenant-app-epg)# exit

ステップ 4 テナントモードに戻り、これらの EPG間のさまざまなトラフィックタイプのアクセスリスト（フィルタ）を作成します。

例：

apic1(config-tenant-app)# exit

ステップ 5 httpおよび httpsトラフィック用のアクセスリスト（フィルタ）を作成します。

例：

apic1(config-tenant)# access-list httpapic1(config-tenant-acl)# match tcp dest 80apic1(config-tenant-acl)# match tcp dest 443apic1(config-tenant-acl)# exit

ステップ 6 Remote Method Invocation（RMI）トラフィック用のアクセスリスト（フィルタ）を作成します。

例：

apic1(config-tenant)# access-list rmiapic1(config-tenant-acl)# match tcp dest 1099apic1(config-tenant-acl)# exit

ステップ 7 SQL/databaseトラフィック用のアクセスリスト（フィルタ）を作成します。

例：

apic1(config-tenant)# access-list sqlapic1(config-tenant-acl)# match tcp dest 1521apic1(config-tenant)# exit

ステップ 8 契約を作成し、EPG間のRMIトラフィック用のアクセスグループ（フィルタ）を割り当てます。

例：

apic1(config)# tenant exampleCorpapic1(config-tenant)# contract rmiapic1(config-tenant-contract)# subject rmiapic1(config-tenant-contract-subj)# access-group rmi bothapic1(config-tenant-contract-subj)# exitapic1(config-tenant-contract)# exit

ステップ 9 契約を作成し、EPG間のWebトラフィック用のアクセスグループ（フィルタ）を割り当てます。

例：

apic1(config-tenant)# contract webapic1(config-tenant-contract)# subject web



apic1(config-tenant-contract-subj)# access-group http bothapic1(config-tenant-contract-subj)# exit

ステップ 10 契約を作成し、EPG間のSQLトラフィック用のアクセスグループ（フィルタ）を割り当てます。

例：

apic1(config-tenant)# contract sqlapic1(config-tenant-contract)# subject sqlapic1(config-tenant-contract-subj)# access-group sql bothapic1(config-tenant-contract-subj)# exitapic1(config-tenant-contract)# exit

ステップ 11 Web EPGにブリッジドメインと契約をアタッチします。

例：

apic1(config-tenant)# application OnlineStoreapic1(config-tenant-app)# epg webapic1(config-tenant-app-epg)# bridge-domain member exampleCorp_b1apic1(config-tenant-app-epg)# contract consumer rmiapic1(config-tenant-app-epg)# contract provider webapic1(config-tenant-app-epg)# exit

ステップ 12 db EPGにブリッジドメインと契約をアタッチします。

例：

apic1(config-tenant-app)# epg dbapic1(config-tenant-app-epg)# bridge-domain member exampleCorp_b1apic1(config-tenant-app-epg)# contract provider sqlapic1(config-tenant-app-epg)# exit

ステップ 13 アプリケーション EPGにブリッジドメインと契約をアタッチします。

例：

apic1(config-tenant-app)# epg appapic1(config-tenant-app-epg)# bridge-domain member exampleCorp_b1

ステップ 14 アプリケーション EPGにプロバイダー契約を関連付けます。

例：

apic1(config-tenant-app-epg)# contract provider rm1apic1(config-tenant-app-epg)# contract consumer sqlapic1(config-tenant-app-epg)# exitapic1(config-tenant-app)# exitapic1(config-tenant)# exit

ステップ 15 EPG app、db、および webにポートと VLANを関連付けます。

例：

apic1(config)# leaf 103apic1(config-leaf)# interface ethernet 1/2-4apic1(config-leaf-if)# vlan-domain member exampleCorpapic1(config-leaf)# exitapic1(config)# leaf 103apic1(config-leaf)# interface ethernet 1/2apic1(config-leaf-if)# switchportaccess trunk vlan



apic1(config-leaf-if)# switchport trunk allowed vlan 100 tenant exampleCorp applicationOnlineStore epg appapic1(config-leaf-if)# exitapic1(config-leaf)# interface ethernet 1/3apic1(config-leaf-if)# switchport trunk allowed vlan 101 tenant exampleCorp applicationOnlineStore epg dbapic1(config-leaf-if)# exitapic1(config-leaf)# interface ethernet 1/4apic1(config-leaf-if)# switchport trunk allowed vlan 102 tenant exampleCorp applicationOnlineStore epg webapic1(config-leaf-if)# exit

アプリケーションプロファイルの確認

GUI でのアプリケーションプロファイルと EPG の確認アプリケーションプロファイルや EPGを作成したら、Cisco APICに表示されることを確認する必要があります。




手順

ステップ 1 Cisco APICにログインし、[Advanced]モードまたは [Basic]モードを選択します。

ステップ 2 メニューバーで、[TENANTS]を選択し、アプリケーションプロファイルや EPGを作成したテナントを選択します。

ステップ 3 ナビゲーションウィンドウで、テナントフォルダを展開し、次に [Application Profiles]フォルダを展開します。

ステップ 4 作成したアプリケーションプロファイルが表示されることを確認します。

ステップ 5 アプリケーションプロファイルのフォルダを開き、[Application EPGs]フォルダをクリックします。

ステップ 6 作業ウィンドウで、作成した EPGが表示されていることを確認し、各 EPGをクリックしてそのプロパティを表示します。

vCenter での EPG の確認作成した EPGが vCenterに伝播されたことを確認する必要があります。


Cisco ACI および Cisco AVSアプリケーションプロファイルの確認

手順


ステップ 2 Cisco AVSに移動します。

ステップ 3 作成した EPGが Cisco AVSのポートグループ間で表示されることを確認します。

VM 間通信の確認VMが相互に通信できることを確認する必要があります。

手順


ステップ 2 テストする仮想マシン VMの 1つに移動します。

ステップ 3 VMの [Console]タブをクリックします。

ステップ 4 VMにログインします。

ステップ 5 コマンドプロンプトにアクセスし、コマンド ping Second IP addressを入力します。ステップ 6 結果を表示して、2つの VMが通信できることを確認します。

ステップ 7 ステップ 2からステップ 6を必要なだけ繰り返します。

Cisco AVS に接続された VM の IP アドレス設定Cisco AVSに接続されたVMの IPアドレスを設定するには、IPv4アドレスまたは IPv6アドレス、または IPv4アドレスと IPv6アドレスの両方を VMに割り当ててから、ゲートウェイアドレスを割り当てます。

Cisco AVS VM ネットワークアダプタへの IP アドレスの割り当てCisco AVS仮想マシンネットワークアダプタには IPv4アドレスか IPv6アドレスのどちらかを割り当てることができます。最初に VMware vSphereクライアントでポートグループに VMネットワークアダプタを関連付け、VMコンソールでアダプタにすでに IPアドレスが割り当てられているか確認し、使用している LinuxまたはWindows環境に適切な手順を使用して、新しい IPv4または IPv6アドレスを割り当てます。

この手順は、VMを作成済みであると仮定しています。（注）


Cisco ACI および Cisco AVSCisco AVS に接続された VM の IP アドレス設定

はじめる前に

IPv4または IPv6アドレスを Cisco AVS VMネットワークアダプタに割り当てる必要があります。

手順

ステップ 1 VMware vSphere Clientにログインします。

ステップ 2 [Home] > [Inventory] > [Hosts and Clusters]の順に選択します。

ステップ 3 ナビゲーションウィンドウで、VMを持つサーバをクリックして、VMをクリックします。

ステップ 4 中央ペインで [Edit virtual machine settings]をクリックします。

ステップ 5 [VirtualMachine Properties]ダイアログボックスで、[Hardware]タブが選択されていることを確認します。

ステップ 6 ナビゲーションウィンドウで、ネットワークアダプタをクリックします。

ステップ 7 [Network Label]エリアで、ポートグループを選択し、[OK]をクリックします。ポートグループがネットワークアダプタに関連付けられます。

ステップ 8 VMにログインします。VMにログインするには、VMを右クリックして [Open Console]を選択するか、SSH/Telnetがすでに有効になっている場合は VM管理ポートで SSH/Telnetセッションを確立します。

ステップ 9 環境に適切なコマンド（Linuxの場合は ifconfig、Windowsの場合は ipconfigなど）を使用して、ネットワークアダプタに割り当てられている IPアドレスを一覧表示します。

ステップ 10 使用しているバージョンの LinuxやWindowsに関連する設定手順を使用して、EPGまたはブリッジドメインの目的のサブネット内の一貫した IPv4または IPv6アドレス（スタティックまたはダイナミック）を割り当てます。

ステップ 11 VMからログアウトします。

次の作業

必要に応じて、Cisco APICを使用してゲートウェイアドレスを設定できます。

GUI を使用して Cisco AVS に接続されている VM へのゲートウェイアドレスの割り当て

ブリッジドメインまたはそのブリッジドメインの EPGでゲートウェイアドレスを設定できますが、その両方ではできません。





Cisco ACI および Cisco AVSCisco AVS に接続された VM の IP アドレス設定

手順

ステップ 1 [Advanced]モードまたは [Basic]モードを選択して、Cisco APICにログインします。

ステップ 2 次のいずれかの手順を実行します。

•ブリッジドメインサブネットでゲートウェイを設定する場合は、ステップ 3からステップ7を実行して、ステップ 8から 12をスキップします。

• EPGサブネットでゲートウェイを設定する場合は、ステップ 3からステップ 7をスキップして、ステップ 8から 12を実行します。

ステップ 3 [Tenants] > [tenant_name] > [Networking] > [Bridge Domains] > [bridge_domain_name] > [Subnets]の順に選択します。

ステップ 4 作業ウィンドウの右側で、[+]アイコンをクリックします。

ステップ 5 [Create Subnet]ダイアログボックスの [Gateway IP]フィールドに、ゲートウェイ IPv4または IPv6アドレスを入力します。

ステップ 6 ダイアログボックスのデフォルト値を受け入れます。

[Scope]領域で、[Private to VRF]がデフォルトで選択されています。[Subnet Control]領域で、[NDRA Prefix]がデフォルトで選択されています。

ステップ 7 [Submit]をクリックします。

ステップ 8 [Tenant] > [tenant_name] > [Application Profiles] > [application_profile_name] > [Application EPGs] >[epg_name] > [Subnets]の順に選択します。

ステップ 9 作業ウィンドウの右側で [ACTIONS]下向き矢印をクリックし、[CreateEPGSubnet]を選択します。

ステップ 10 [Create EPG Subnet]ダイアログボックスの [Default Gateway IP]フィールドに、ゲートウェイ IPv4または IPv6アドレスを入力します。

ステップ 11 ダイアログボックスのデフォルト値を受け入れます。

[Scope]領域で、[Private to VRF]がデフォルトで選択されています。[Subnet Control]領域で、[NDRA Prefix]がデフォルトで選択されています。


Cisco AVS と VMotion の使用に関するガイドラインCisco AVSと VMotionの使用については、この項のガイドラインに従ってください。

VMotion の設定

•単独のEPGを有する個別のVMkernelNIC上で vMotionを設定することを推奨します。OpFlexチャネルに対し作成された VMkernel NIC上では vMotionを設定しないでください。


Cisco ACI および Cisco AVSCisco AVS と VMotion の使用に関するガイドライン

• OpFlexチャネルに対し作成された VMkernel NICのパラメータを削除または変更しないことを推奨します。

•

OpFlexチャネルに対し作成されたVMkernel NICを誤って削除した場合は、アタッチポートグループ vtepで再作成し、ダイナミック IPアドレスを設定します。OpFlexVMkernelNICにはスタティック IPアドレスを設定しないでください。

（注）

VXLAN カプセル化の使用時の Cisco AVS と VMotion

CiscoAVSとVMotionを使用し、Virtual Extensible LAN（VXLAN）カプセル化を使用するときは、最大伝送ユニット（MTU）の設定時に、以下を考慮します。

•デフォルト値の 1500 MTUを使用すると、Cisco AVSへの VMotionの移行中にタイムアウトが発生します。このため、MTUには 1600以上が推奨されます。ただし、パフォーマンスを最適化するために、MTUは最大許容値の 8950に設定する必要があります。

• CiscoAVSは内部パケットをフラグメント化またはセグメント化することで、物理NIC（PNIC）MTUを施行します。Fabric Interconnect（ファブリックインターコネクト）など、パス内のどのスイッチでも、MTU値は Cisco AVS PNIC MTU以上である必要があります。

• VXLANパケットの再構成はサポートされないため、仮想トンネルエンドポイント（VTEP）とファブリック間のパスMTUは、Cisco AVS PNIC MTUよりも大きい必要があります。

• VXLAN使用時のオーバーヘッド合計は 50バイト以上です。

•外部イーサネット：14バイト

• IPヘッダー：20バイト

• UDPヘッダー：8バイト

• VXLANヘッダー：8バイト

分散ファイアウォール分散ファイアウォールは、シスコアプリケーションセントリックインフラストラクチャ（ACI）ファブリック内の他のセキュリティ機能、たとえば、Cisco適応型セキュリティ仮想アプライアンス（ASAv）や、Cisco Application Virtual Switch（AVS）を使用したマイクロセグメンテーションによって作成されたセキュアゾーンなどを補完する（置換するわけではない）ハードウェアアシ

スト型のファイアウォールです。分散ファイアウォールは Cisco AVS Release 5.2(1)SV3(1.5)の新機能です。

分散ファイアウォールはCiscoAVSの一部分であり、ESXi（ハイパーバイザ）カーネルにあって、デフォルトで学習モードです。分散ファイアウォールが機能するために他のソフトウェアは必要


Cisco ACI および Cisco AVS分散ファイアウォール

ありません。ただし、分散ファイアウォールを使用するようにCiscoApplicationPolicy InfrastructureController（APIC）にポリシーを設定する必要があります。

分散ファイアウォールはすべての仮想イーサネット（vEth）ポートでサポートされていますが、すべてのシステムポート（仮想拡張 LAN（VXLAN）トンネルエンドポイント（VTEP）およびすべての VMカーネルポート）とすべてのアップリンクポートで無効化されています。

分散ファイアウォールの主な機能

説明機能

TCP接続およびFTP接続の状態を追跡し、既知のアクティブ接続と一致しないパケットをブ

ロックします。インターネットまたは内部ネッ

トワークからのトラフィックは、APIC GUIで設定するポリシーに基づいてフィルタリングさ

れます。

ダイナミックパケットフィルタリング（別名

ステートフルインスペクション）を提供

vMotionによって仮想マシン（VM）が他のサーバに再配置されていても接続を追跡します。

分散型

プロバイダーVMが SYN-ACKパケットを開始した場合、プロバイダー Cisco AVS上の分散ファイアウォールでは、対応するフロー（接

続）が作成されていないためこれらのパケット

をドロップします。

SYN ACK攻撃を阻止

ESTABLISHED状態の接続は、ポート単位の制限が 75 %のしきい値に達しない限り 2時間維持されます。このしきい値に達すると、新しい

接続によって古い接続（5分間以上非アクティブ）が置き換えられる可能性が生じます。

ESTABLISHED TCP以外の状態の接続は、アイドルまたは非アクティブの時間で 5分間保持されます。

TCPフローエージングをサポート

TCP接続上のVM間のフローを有効にして、パケットごとに TCP/IP接続を確立する必要性を排除します。

レベルフローに実装される

ローカルスイッチングモードとローカルスイッ

チングなしモードのいずれかで動作し、VLANと VXLANのいずれかを使用します。

特定のトポロジや設定に依存しない


Cisco ACI および Cisco AVS分散ファイアウォール

説明機能

ACIファブリックでは、Cisco Nexus 9000リーフスイッチにポリシーが保存され、パフォーマ

ンスへの影響が回避されます。

ハードウェアアシスト型

送信元と宛先の IPアドレス、送信元と宛先のポート、およびプロトコルを使用してポリシー

を実装します。

5タプル値上の実装に基づく

アップグレードが円滑になります。先行リリー

スの Cisco AVSからリリース 5.2(1)SV3(1.5)または分散ファイアウォールをサポートするそれ

以降のリリースにアップグレードする場合、分

散ファイアウォールは学習モードである必要が

あります。

デフォルトで学習モード

分散ファイアウォールの利点

ここでは、Cisco ACIファブリックで分散ファイアウォールがハードウェアと連携してセキュリティを提供する方法の例を示します。

再帰 ACL のセキュリティ強化

管理者は、コンシューマ EPGとプロバイダー EPG間の Cisco APICで、サブジェクトとフィルタを使用して契約を作成し、Webトラフィックを許可します。管理者は Cisco APICで、任意の送信元ポートから宛先ポート 80へのトラフィックを許可するポリシーを作成します。

Cisco APICでポリシーが設定されるとすぐに、プロバイダーからコンシューマへの再帰アクセスコントロールリスト（ACL）エントリが、ACIハードウェアで自動的にプログラムされます。この再帰 ACLは、接続が確立されている間のリバーストラフィックを可能にするために作成されます。リバーストラフィックをフローさせるには、この再帰 ACLエントリが必須です。

自動再帰 ACLの作成により、接続が確立された状態になっている場合、リーフスイッチはプロバイダーの任意のクライアントポートへの接続を許可します。しかし、一部のデータセンターで

は、これが望ましくない場合があります。プロバイダーEPGのエンドポイントが、送信元ポート80を使って、コンシューマ EPGのエンドポイントに SYN攻撃またはポートスキャンを開始する可能性があるためです。

ただし、分散ファイアウォールは物理ハードウェアを使用して、このような攻撃は許可しません。

物理リーフハードウェアは、ハイパーバイザから受信したパケットをポリシー Ternary ContentAddressable Memory（TCAM）エントリに照らして評価します。


Cisco ACI および Cisco AVS分散ファイアウォールの利点

VM が vMotion によって移動される場合のデータの保護

分散ファイアウォールはハイパーバイザカーネルにあります。送受信されるすべてのパケット

は、ハイパーバイザカーネルおよび物理リーフの Cisco AVS分散ファイアウォールのフローベースエントリに従います。フローは仮想マシン（VM）の仮想イーサネット（vEth）インターフェイスに直接接続されるため、VMがvMotionによって別のハイパーバイザホストに移動されても、フローとテーブルエントリはそれとともに新しいハイパーバイザに移動します。

この移動は、物理リーフにも報告されます。物理リーフは正当なフローの続行を許可し、発生し

た場合に攻撃を阻止します。したがって、VMが新しいホストに移動しても、VMは保護を失わずに通信し続けます。

シームレスな FTP トラフィック処理

FTPプロトコルの動作およびインターワーキングは、他の TCPベースのプロトコルとは異なります。このため、分散ファイアウォールでは特別な処理が必要です。FTPサーバ（プロバイダー）は制御ポート（TCPポート 21）とデータポート（TCPポート 20）でリッスンします。FTPクライアント（コンシューマ）とサーバ（プロバイダー）間で通信が開始されると、FTPクライアントとサーバ間で初期的に接続制御が設定されます。データ接続はオンデマンドで設定され（交換

するデータがある場合のみ）、データ転送後にただちに破壊されます。

分散ファイアウォールは、アクティブ FTPモードの処理のみをサポートします。パッシブ FTPモードのデータ接続は追跡されません。

分散ファイアウォールは、制御接続ハンドシェイク中に受信したFTPクライアント IPおよびポート情報と一致する場合にのみ、FTPデータ接続を許可します。対応する接続制御がない場合、分散ファイアウォールは FTPデータ接続をブロックし、これにより FTP攻撃が阻止されます。

分散ファイアウォールの設定

3つのモードのいずれかに設定することで、分散ファイアウォールを設定します。

•有効：分散ファイアウォールを適用します。

•無効：分散ファイアウォールを適用しません。このモードは、分散ファイアウォールを使用しないときにのみ使用します。分散ファイアウォールを無効にすると、Cisco AVSのすべてのフロー情報が削除されます。

•学習：Cisco AVSではすべての TCP通信を監視し、フローテーブルにフローを作成しますが、ファイアウォールは適用しません。学習は、Cisco AVSリリース 5.2(1)SV3(1.5)およびリリース 5.2(1)SV3(1.10)のデフォルトのファイアウォールモードです。学習モードは、トラフィックを失わずにファイアウォールを有効にする方法を提供します。

分散ファイアウォールを使用するには、Cisco APICでポリシーを作成する必要があります。


Cisco ACI および Cisco AVS分散ファイアウォールの設定

分散ファイアウォールを使用する際は、VMに vmxnet3アダプタを使用することが推奨されます。さらに、スケール設定で vmxnet3アダプタを使用して、DVSLargeHeapサイズを最大（5.1ホストで 64および 5.5ホストで 128）に拡張することが推奨されます。変更を有効にするには、ホストをリブートする必要があります。スケール設定にvmxnet3アダプタを使用する方法の詳細については、関連する VMwareナレッジベースの記事「Error message is displayed whena large number of dvPorts are in use in VMware ESXi 5.1.x (2034073)」を参照してください。

（注）

分散ファイアウォールを設定するためのワークフロー

ここでは、分散ファイアウォールモードを変更してポリシーを作成するために必要な作業の概要

を提供します。

1 インターフェイスポリシーグループを作成して、Cisco APICでファイアウォールポリシーを有効にします。または、インターフェイスポリシーグループがすでに存在する場合は、ファ

イアウォールポリシーが含まれていることを確認します。

本書の拡張GUIを使用したインターフェイスおよびスイッチのプロファイルと vCenterドメインプロファイルの作成の項に記載されている手順に従った場合は、構成ウィザードを使用し

て、ファイアウォールポリシーが適用されたインターフェイスポリシーグループが作成され

ています。

2 分散ファイアウォールのステートフルポリシーを設定します。

本書の拡張 GUIを使用した分散ファイアウォールのステートフルポリシーの設定の項に記載されている手順に従ってください。

3 必要に応じて分散ファイアウォールモードを変更します。

デフォルトでは、分散ファイアウォールは学習モードになっています。分散ファイアウォール

がまだ有効になっていない場合は、本書の拡張GUIを使用した分散ファイアウォールポリシーの作成またはそのモードの変更の項に記載されている手順に従ってください。

4 分散ファイアウォールのフローロギングを設定します。

CiscoAVSは、分散ファイアウォールによって拒否されたフローをシステムログ（syslog）サーバに報告します。フローのパラメータを設定して、拒否されたフローをsyslogサーバで確認できます。本書の分散ファイアウォールフローロギングの項に記載されている手順を参照して

ください。

5 表示する分散ファイアウォールのフロー数統計情報を選択します。

Cisco AVSは分散ファイアウォールのフロー情報を収集しますが、表示する前に必要な統計情報を選択する必要があります。本書の分散ファイアウォールフローの数の項に記載されている

手順を参照してください。

拡張 GUI を使用した分散ファイアウォールのステートフルポリシーの設定Cisco APICでステートフルポリシーを設定する必要があります。



REST APIまたは NX-OSスタイルの CLIを使用して手順を実行することもできます。手順については、このガイドの「REST APIを使用した分散ファイアウォールのステートフルポリシーの設定」または「NX-OSスタイルのCLIを使用した分散ファイアウォールのステートフルポリシーの設定, （117ページ）」を参照してください。

手順


ステップ 2 [Tenants]を選択します。

ステップ 3 ナビゲーションウィンドウで、ポリシーを設定するテナントのフォルダを展開してから、[SecurityPolicies]フォルダを展開します。

ステップ 4 [Contracts]フォルダを右クリックして [Create Contract]を選択します。

ステップ 5 [Create Contract]ダイアログボックスで、[Name]フィールドに、契約の名前を入力します。

ステップ 6 [Subjects]領域で、[+]アイコンをクリックします。

ステップ 7 [Create Contract Subject]ダイアログボックスで、[Name]フィールドに、サブジェクトの名前を入力します。

ステップ 8 [Filters]領域で、[FILTERS]の横の [+]アイコンをクリックします。

ステップ 9 下向き矢印をクリックして [Name]ドロップダウンフィルタリストを表示し、[Name]リスト上部の [+]アイコンをクリックします。

ステップ 10 [Create Filter]ダイアログボックスで、次の操作を実行します。a) [Name]フィールドにフィルタの名前を入力します。b) [Entries]領域で [+]アイコンをクリックして、追加フィールドを下に表示します。c) [Name]フィールドに、必要に応じてフィルタを詳しく説明する名前を入力します。d) [Ether Type]ドロップダウンメニューから [IP]を選択します。e) [IP Protocol]フィールドで [tcp]を選択します。f) [Stateful]チェックボックスをオンにします。g) （オプション）[Source Port / Range]フィールドで、[To]および [From]ドロップダウンメニューから、デフォルトである [Unspecified]を選択します。

h) （オプション）[Destination Port / Rangee]フィールドで、[To]および [From]ドロップダウンメニューから [http]を選択します。

i) [UPDATE]をクリックし、[SUBMIT]をクリックします。

ステップ 11 [Create Contract Subject]ダイアログボックスの [Filters]領域で、[UPDATE]をクリックしてから[OK]をクリックします。

ステップ 12 [Create Contract]ダイアログボックスで、[SUBMIT]をクリックします。



NX-OS スタイルの CLI を使用した分散ファイアウォールのステートフルポリシーの設定

手順

Cisco APICでステートフルポリシーを設定します。

例：apic1(config)# tenant Tenant1apic1(config-tenant)# access-list TCP-511 apic1apic1 (config-tenant-acl)# match icmpapic1 (config-tenant-acl)# match raw TCP-511 dFromPort 443 dToPort 443 etherT ip prot 6stateful yesapic1 (config-tenant-acl)# match raw tcp etherT ip prot 6 sFromPort 443 sToPort 443 statefulyesapic1 (config-tenant-acl)# match raw tcp-22out dFromPort 22 dToPort 22 etherT ip prot 6stateful yes apic1(config-tenant-acl)# match raw tcp-all etherT ip prot 6 stateful yesapic1(config-tenant-acl)# match raw tcp22-from etherT ip prot 6 sFromPort 22 sToPort 22stateful yes apic1(config-tenant-acl)# exit apic1(config-tenant)# contract TCP511apic1(config-tenant-contract)# subject TCP-ICMPapic1(config-tenant-contract-subj)# access-group TCP-511 bothapic1(config-tenant-contract-subj)# access-group arp bothapic1(config-tenant-contract-subj)#

拡張 GUI を使用した分散ファイアウォールポリシーの作成またはそのモードの変更「拡張 GUIを使用したインターフェイスおよびスイッチのプロファイルと vCenterドメインプロファイルの作成」の統合設定ウィザードを使用する場合は、Cisco APICが、選択したモード（[Learning]、[Enabled]、または [Disabled]）のファイアウォールポリシーを適用します。統合設定ウィザードを使用しない場合、CiscoAPICはデフォルトのポリシー（[Learning]モード）を適用します。Release5.2(1)SV3(1.5)より前のバージョン（分散ファイアウォールをサポートしないバージョン）の Cisco AVSからアップグレードする場合も、デフォルトのポリシー（[Learning]モード）が適用されます。このポリシーは、編集するか、または新しく作成することができます。

分散ファイアウォールポリシーを作成するか、Cisco APIC GUIでモードを変更できます。一方、RESTAPIを使用した手順を実行することもできます。手順については、このマニュアルの「RESTAPIを使用した分散ファイアウォールモードの変更」を参照してください。

手順


ステップ 2 [Fabric] > [Access Policies]の順に移動します。

ステップ 3 次のいずれかの操作セットを実行します。



結果実行する操作

1 [Policies]ナビゲーションウィンドウで、[Interface Policies]フォルダおよび [Policies]フォルダを開きます。

2 [Firewall]フォルダを右クリックして [Create Firewall Policy]を選択します。

3 [Create Firewall Policy]ダイアログボックスで、[Name]フィールドに、ポリシーの名前を入力します。

4 [Mode]エリアでモードを選択し、[SUBMIT]をクリックします。

[Create Firewall Policy]ダイアログボックスには、[Syslog]エリアが含まれます。ここでは、syslogサーバに送信される送信元の分散ファイアウォールフロー情報を設定できます。送信元

と宛先の設定については、このガイドの「分散ファイアウォー

ルフローロギング」を参照してください。

（注）

新しい分散ファイア

ウォールポリシー

の作成

1 [Policies]ナビゲーションウィンドウで、[Interface Policies]フォルダおよび [Policies]フォルダ、および [Firewall]フォルダを開きます。

2 変更するポリシーをクリックします。

3 [Properties]作業ウィンドウの [Mode]エリアでモードを選択し、[SUBMIT]をクリックします。

モードは、[Disabled]から [Enabled]に直接変更しないでください。直接変更すると、トラフィックが損失することになりま

す。代わりに、[Disabled]モードから [Learning]モードに変更し、5分待ってから [Enabled]モードへ変更します。[Learning]モードへ変更することで、Cisco AVSにより既存フローのフローテーブルエントリが追加されます。

（注）

[Properties]作業ウィンドウには、[Syslog]エリアが含まれます。ここでは、syslogサーバに送信される送信元の分散ファイアウォールフロー情報を設定できます。送信元と宛先の設定

については、このガイドの「分散ファイアウォールフローロ

ギング」を参照してください。

（注）

既存の分散ファイア

ウォールポリシー

モードの変更

次の作業

次の手順を実行して、分散ファイアウォールが目的の状態であることを確認します。

1 [Policies]ナビゲーションウィンドウで、[Firewall]フォルダのポリシーを選択します。

2 [Properties]ダイアログボックスで、モードが正しいことを確認します。



インストールまたはアップグレード後の分散ファイアウォールの有効化

Cisco AVS Release 5.2(1)SV3(1.5)以上をインストール、またはこれらのバージョンにアップグレードする際、分散ファイアウォールはデフォルトで学習モードになります。CiscoAPICを最初にアップグレードすると、そのときに分散ファイアウォールを有効にできます。ただし、分散ファイア

ウォールをサポートしていない以前のバージョンの Cisco AVSからのアップグレードで、CiscoAVSのみをアップグレードしている場合は、最初にすべての Cisco AVSホストをアップグレードしてから、分散ファイアウォールを有効にする必要があります。

Release 5.2(1)SV3(1.5)以上のリリースでは、以前のバージョンの Cisco AVSからのアップグレードを円滑にするために分散ファイアウォールはデフォルトで学習モードになります。学習モード

では Cisco AVS上のトラフィックのフローが許可され、確立済み状態の接続が作成されます。

詳細については、このマニュアルの「分散ファイアウォール」を参照してください。

分散ファイアウォールをサポートする Cisco AVS Release 5.2(1)SV3(1.5)以上のリリースをインストールしたか、これらのリリースにアップグレードした後で分散ファイアウォールを有効にする

には、次の手順を使用します。

手順


ステップ 2 [FABRIC] > [ACCESS POLICIES]に移動します。

ステップ 3 左方のナビゲーションウィンドウで、[Interface Policies]フォルダ、[Policies]フォルダ、および[Firewall]フォルダを開きます。

ステップ 4 変更するポリシーをクリックします。

ステップ 5 作業ウィンドウの [Properties]ダイアログボックスの [Mode]領域で、[Enabled]オプションボタンを選択します。

NX-OS スタイルの CLl を使用した分散ファイアウォールの設定

手順

分散ファイアウォールを有効にしたり、モードを変更します。

例：apic1# configureapic1(config)# vmware-domain Direct-AVS2-VXLANapic1(config-vmware)# configure-avsapic1(config-vmware-avs)# firewall mode < any of below 3>disabled Disabled modeenabled Enabled modelearning Learning mode



分散ファイアウォールフローロギング

Cisco APICと分散ファイアウォールのフロー情報を表示して、ネットワークセキュリティの監査をサポートできます。

CiscoAVSは、分散ファイアウォールによって拒否されたフローをシステムログ（syslog）サーバに報告します。フローのパラメータを設定して、拒否されたフローを syslogサーバで確認できます。

分散ファイアウォールのフロー情報のパラメータの設定

CiscoAVSは、分散ファイアウォールによって拒否されたフローをシステムログ（syslog）サーバに報告します。CLIまたは REST APIでフローのパラメータを設定して、ネットワークセキュリティの監査をサポートできます。

分散ファイアウォールのロギングは、宛先（最大 3つの syslogサーバ）と送信元の設定という 2つのタスクで設定します。次のパラメータを設定できます。

•宛先パラメータ

◦有効/無効

分散ファイアウォールのロギングは、デフォルトでは無効化されています。（注）

◦ポーリング間隔

フローのエクスポート間隔は、60秒から 24時間に設定できます。

◦ログの重大度

重大度レベルは、0～ 7に設定できます。

• syslogパラメータ

◦ IPアドレス

◦ Port

◦ログの重大度

重大度レベルは、0～ 7に設定できます。

◦ログのファシリティ

Cisco AVSはポーリング間隔ごとに、最大 50,000の拒否されたフローを syslogサーバに報告します。Syslogメッセージは、宛先ログの重大度が syslogサーバ上の同じログの重大度以下であるときにのみ送信されます。宛先および syslogサーバの重大度レベルは、次のとおりです。

• 0：緊急


Cisco ACI および Cisco AVS分散ファイアウォールフローロギング

• 1：アラート

• 2：クリティカル

• 3：エラー

• 4：警告

• 5：通知

• 6：情報

• 7：デバッグ

拒否されたフローの syslogメッセージの形式は、次のとおりです。2015-07-31T06:42:05.422 172.23.232.73 avs-dfwlog - NoMem AVS UUID:fe9260d8-f6c2-a94c-b3f3-00438c2fc577, Source IP: 60.1.1.12, Destination IP: 70.1.1.22,Source Port: 12, Destination Port: 7780, Source Interface: ten-66.eth0, Protocol: "TCP"(6),Deny Count: 1

フィールドは次のとおりです。

•タイムスタンプ

•ホスト IPアドレス

拒否理由

• Cisco AVS汎用一意識別子（UUID）

•フロー拒否に関する情報：

•送信元 IPアドレス

•宛先 IPアドレス

•送信元ポート

•宛先ポート

•送信元インターフェイス

•プロトコル（ TCPのみがサポートされています。）

•拒否数：syslogのポーリング間隔の間にフローが拒否された回数。

拡張 GUI における分散ファイアウォールフロー情報パラメータの設定

パラメータを設定するには、まず syslogサーバのパラメータを設定し、次に syslog送信元のパラメータを設定します。

はじめる前に

分散ファイアウォールを有効にしておく必要があります。分散ファイアウォールの設定について

は、このガイドの「Cisco ACIと Cisco AVS」の「分散ファイアウォール」を参照してください。



手順


ステップ 2 [Admin] > [External Data Collectors]に移動します。

ステップ 3 [External Data Collectors]ナビゲーションウィンドウで [MonitoringDestinations]フォルダを展開し、[Syslog]フォルダを選択します。

ステップ 4 [Syslog]作業ウィンドウで [ACTIONS]をクリックし、[Create Syslog Monitoring Destination Group]を選択します。

ステップ 5 [Create Syslog Monitoring Destination Group STEP 1 > Profile]ダイアログボックスで、次の手順を実行します。

a) [Define Group Name and Profile]領域で、[Name]フィールドに名前を入力します。b) [Admin State]領域で、ドロップダウンメニューから [enabled]が選択されていることを確認します。

c) 残りのダイアログボックスではデフォルトを受け入れて、[Next]をクリックします。

ステップ 6 [Create Syslog Monitoring Destination Group STEP 2 > Remote Destinations]ダイアログボックスで、[+]アイコンをクリックします。

ステップ 7 [Create Syslog Remote Destination]ダイアログボックスで、次の手順を実行します。a) [Host]フィールドに、ホストの IPアドレスを入力します。b) [Name]フィールドにホスト名を入力します。c) [Admin State]領域で、[enabled]が選択されていることを確認します。d) [Severity]ドロップダウンリストから、重大度を選択します。選択した重大度レベルは、送信元のものと一致する必要があります。重大度については、この

ガイドの「分散ファイアウォールのフロー情報のパラメータの設定」を参照してください。

e) 他のポートを使用している場合を除き、[Port]ドロップダウンリストから標準ポートを受け入れます。

f) [Forwarding Facility]ドロップダウンリストから、ファシリティを選択します。g) [Management EPG]ドロップダウンリストを無視して、[OK]をクリックします。

ステップ 8 （オプション）[Create Syslog Monitoring Destination Group STEP 2 > Remote Destinations]ダイアログボックスで、最大 2つの追加のリモート宛先を作成します。

ステップ 9 [Create Syslog Monitoring Destination Group STEP 2 > Remote Destinations]ダイアログボックスで、[FINISH]をクリックします。新しく作成された宛先が、[External Data Collectors]ナビゲーションウィンドウの [Syslog]フォルダに表示されます。

ステップ 10 [Fabric] > [Access Policies]の順に選択します。

ステップ 11 [Policies]ナビゲーションウィンドウで、[Interface Policies]フォルダおよび [Policies]フォルダを開きます。

ステップ 12 次のいずれかの手順を実行します。




1 [Firewall]フォルダを右クリックして [Create Firewall Policy]を選択します。

2 [Create Firewall Policy]ダイアログボックスの [Specify the Firewall PolicyProperties]領域で、[Name]フィールドにポリシーの名前を入力します。

3 [Mode]領域で、モードを選択します。

[Learning]モードは、分散ファイアウォールをサポートしないバージョンの Cisco AVSからサポートするバージョンにアップグレードする場合にのみ使用されます。それ以外の場合、分散ファイアウォールは [Enabled]モードである必要があります。

4 [Syslog]領域で、[Administrative State]ドロップダウンリストから [enabled]が選択されていることを確認します。

5 [Polling Interval (seconds)]領域で、60秒から 24時間の間隔を選択します。

6 [Log Level]ドロップダウンリストから、重大度レベルを選択します。

ロギング重大度レベルは、宛先 syslogサーバに定義された重大度レベルと同じか、それ以上である必要があります。

7 [DestinationGroup]ドロップダウンリストから、作成したばかりの宛先グループを選択します。

8 [Submit]をクリックします。

新しい分散ファイ

アウォールポリ

シーでの送信元の

設定




1 [Firewall]フォルダを展開し、変更する分散ファイアウォールポリシーを選択します。

2 ポリシー作業ペインで、必要に応じて [Mode]を変更します。

[Learning]モードは、分散ファイアウォールをサポートしないバージョンの Cisco AVSからサポートするバージョンにアップグレードする場合にのみ使用されます。それ以外の場合、分散ファイアウォールは [Enabled]モードである必要があります。

3 [Syslog]領域で、[Administrative State]ドロップダウンリストから [enabled]が選択されていることを確認します。

4 [Polling Interval (seconds)]領域で、60秒から 24時間の間隔を選択します。

5 [Log Level]ドロップダウンリストから、重大度レベルを選択します。

ロギング重大度レベルは、宛先 syslogサーバに定義された重大度レベルと同じか、それ以上である必要があります。

6 [DestinationGroup]ドロップダウンリストから、作成したばかりの宛先グループを選択します。


既存の分散ファイ

アウォールポリ

シーでの送信元の

設定

NX-OS スタイルの CLI での分散ファイアウォールフロー情報のパラメータの設定

はじめる前に


は、『Cisco ACI Virtualization Guide』の「Cisco ACIと Cisco AVS」の「分散ファイアウォール」を参照してください。

手順

ステップ 1 syslogサーバ（複数可）のパラメータを設定します。

例：apic1# configureapic1(config)# logging server-group group nameapic1(config-logging)# server IP address severity severity level facility facility name



追加の syslogサーバのために最後のコマンドを繰り返すことができ、最大 3つの syslogサーバを設定できます。

ステップ 2 syslog送信元のパラメータを設定します。

例：apic1# configureapic1(config)# vmware-domain Direct-AVSapic1(config)# configure-avsapic1(config-avs)# firewall mode enabledapic1(config-avs)# firewall-logging server-group group name

firewall-loggingコマンドを入力する前に、firewall mode enabledコマンドを入力する必要があります。

（注）

分散ファイアウォールフローの数

Cisco APICで分散ファイアウォールフローの数を表示できます。

Cisco AVSでは分散ファイアウォールフロー情報が収集されますが、それらを表示するには、必要な統計情報を選択する必要があります。10秒から 1年までのサンプリング間隔を選択できますが、デフォルトは 5分です。

統計情報を選択し、1つは [VMNetworking]、もう 1つは [Tenants]で始まる、Cisco APICの 2つの異なる場所から確認できます。ただし、統計情報を選択および表示する手順は同じです。

Cisco APICで統計情報を選択すると、さまざまなタイプの統計情報のリストが表示されますが、分散ファイアウォールに関連するのは 9つだけです。

•期限切れの（接続）接続

•作成した接続（接続）

•中断された接続（接続）

•拒否されたグローバル入力接続（接続）

•ポート制限当たりの拒否された接続（接続）

•無効な SYN ACKパケット（パケット）

•無効な SYNパケット（パケット）

•無効な接続パケット（パケット）

•無効な ftp SYNパケット（パケット）


Cisco ACI および Cisco AVS分散ファイアウォールフローの数

分散ファイアウォールについて表示する統計情報の選択

はじめる前に


は、『Cisco ACI Virtualization Guide』の「Cisco ACIと Cisco AVS」の「分散ファイアウォール」を参照してください。

手順

ステップ 1 [VM Networking] > [Inventory] > [VMware] > [VMM_name] > [Controllers] > [data center_name] >[DVS-VMM name] > [Portgroups] > [EPG_name] > [Learned PointMAC address (Node)]の順に選択します。

ステップ 2 [Stats]タブをクリックします。

ステップ 3 チェックマークが付いたタブをクリックします。

ステップ 4 [Select Stats]ダイアログボックスで、表示する統計情報を [Available]ペインでクリックし、右向き矢印をクリックして、それらを [Selected]ペインに移動します。

ステップ 5 （オプション）デフォルトの 5分以外のサンプリング間隔を選択します。


分散ファイアウォールの統計情報の表示

分散ファイアウォールの統計情報を選択したら、それらを確認できます。

はじめる前に

分散ファイアウォールについて表示する統計情報を選択しておく必要があります。「分散ファイ

アウォールについて表示する統計情報の選択」を参照してください。

手順

ステップ 1 [VM Networking] > [Inventory] > [VMware] > [VMM_name] > [Controllers] > [data center_name] >[DVS-VMM name] > [Portgroups] > [EPG_name] > [Learned PointMAC address (Node)]の順に選択します。

ステップ 2 [Stats]タブをクリックします。中央のウィンドウに、先ほど選択した統計情報を表示します。作業ウィンドウの左上で、テーブ

ルビューアイコンやチャートビューアイコンをクリックして、ビューを変更できます。


Cisco ACI および Cisco AVS分散ファイアウォールフローの数

Cisco AVS 向けの Cisco ACI でのマイクロセグメンテーション

CiscoACIでのマイクロセグメンテーションにより、さまざまな属性に基づいて、EPGと呼ばれる論理セキュリティゾーンにエンドポイントを自動的に割り当てることができます。Cisco ACIでのマイクロセグメンテーションは、Cisco AVSリリース 5.2(1)SV3(1.5)以降のリリースで使用できます。

CiscoACIでのマイクロセグメンテーションの詳細な概念（その仕組み、属性、優先順位）および設定手順については、このガイドの「CiscoACIでのマイクロセグメンテーション」の章を参照してください。

Layer 4 to Layer 7 サービスの設定Cisco AVS上に Layer 4 to Layer 7サービスを設定する情報については、『Cisco APIC Layer 4 toLayer 7 Services Deployment Guide』を参照してください。

『Cisco APIC Layer 4 to Layer 7 Services Deployment Guide』の手順に従う場合、VMware分散仮想スイッチ（DVS）上にサービスを設定する代わりに Cisco AVS上にサービスを設定してください。

Layer 4 to Layer 7サービスを設定する前に Cisco AVSをインストールする必要があります。（注）

Cisco AVS Release 5.2(1)SV3(1.10)以降は Layer 4 to Layer 7サービスのグラフが Cisco AVSでサポートされます。Cisco AVSの Layer 4 to Layer 7サービスグラフは、仮想 VMのみのために VLANモードのみで設定できます。

Cisco AVS の REST API タスクこの項には、この章の Cisco APIC GUIで文書化されたタスクの REST APIバージョンが含まれます。

REST API を使用したテナント、VRF、およびブリッジドメインの作成

手順

ステップ 1 テナントを作成します。

例：POST <IP>/api/mo/uni.xml<fvTenant name="ExampleCorp"/>


Cisco ACI および Cisco AVSCisco AVS 向けの Cisco ACI でのマイクロセグメンテーション

POSTが成功すると、出力に作成したオブジェクトが表示されます。

ステップ 2 VRFおよびブリッジドメインを作成します。ゲートウェイアドレスは、IPv4または IPv6アドレスにすることができます。IPv6ゲートウェイアドレスの詳細については、関連する KB記事「KB: Creating a Tenant, VRF,and Bridge Domain with IPv6 Neighbor Discovery」を参照してください。

（注）

例：URL for POST: https://<apic-ip>/api/mo/uni/tn-ExampleCorp.xml

<fvTenant name="ExampleCorp"><fvCtx name="pvn1"/><fvBD name="bd1">

<fvRsCtx tnFvCtxName="pvn1"/><fvSubnet ip="10.10.100.1/24"/>

</fvBD></fvTenant>

外部ルーテッドを設定するときにパブリックサブネットがある場合は、ブリッジドメ

インを外部設定と関連付ける必要があります。

（注）

REST API を使用したアプリケーションポリシーの展開EPGが使用するポートは、VMマネージャ（VMM）ドメインまたは EPGに関連付けられた物理ドメインのいずれか 1つに属している必要があります。

手順

ステップ 1 XML APIを使用してアプリケーションを展開するには、次の HTTP POSTメッセージを送信します。

例：POSThttps://192.0.20.123/api/mo/uni/tn-ExampleCorp.xml

ステップ 2 次の XML構造を POSTメッセージの本文に含めます。

例：

<fvTenant name="ExampleCorp">

<fvAp name="OnlineStore"><fvAEPg name="web">

<fvRsBd tnFvBDName="bd1"/><fvRsCons tnVzBrCPName="rmi"/><fvRsProv tnVzBrCPName="web"/><fvRsDomAtt tDn="uni/vmmp-VMware/dom-datacenter"/>

</fvAEPg>

<fvAEPg name="db"><fvRsBd tnFvBDName="bd1"/><fvRsProv tnVzBrCPName="sql"/><fvRsDomAtt tDn="uni/vmmp-VMware/dom-datacenter"/>

</fvAEPg>


Cisco ACI および Cisco AVSREST API を使用したアプリケーションポリシーの展開

<fvAEPg name="app"><fvRsBd tnFvBDName="bd1"/><fvRsProv tnVzBrCPName="rmi"/><fvRsCons tnVzBrCPName="sql"/><fvRsDomAtt tDn="uni/vmmp-VMware/dom-datacenter"/>

</fvAEPg></fvAp>

<vzFilter name="http" ><vzEntry dFromPort="80" name="DPort-80" prot="tcp" etherT="ip"/><vzEntry dFromPort="443" name="DPort-443" prot="tcp" etherT="ip"/></vzFilter><vzFilter name="rmi" ><vzEntry dFromPort="1099" name="DPort-1099" prot="tcp" etherT="ip"/></vzFilter><vzFilter name="sql"><vzEntry dFromPort="1521" name="DPort-1521" prot="tcp" etherT="ip"/></vzFilter>

<vzBrCP name="web"><vzSubj name="web">

<vzRsSubjFiltAtt tnVzFilterName="http"/></vzSubj>

</vzBrCP>

<vzBrCP name="rmi"><vzSubj name="rmi">

<vzRsSubjFiltAtt tnVzFilterName="rmi"/></vzSubj>

</vzBrCP>

<vzBrCP name="sql"><vzSubj name="sql">

<vzRsSubjFiltAtt tnVzFilterName="sql"/></vzSubj>

</vzBrCP></fvTenant>

XML構造の最初の行は、ExampleCorpという名前のテナントを変更するかまたは必要に応じて作成します。

<fvTenant name="ExampleCorp">

次の行は、OnlineStoreという名前のアプリケーションネットワークプロファイルを作成します。

<fvAp name="OnlineStore">

アプリケーションネットワークプロファイル内の要素は、3つのエンドポイントグループを作成します（3台のサーバそれぞれに1つずつ）。次の行は、webという名前のエンドポイントグループを作成し、bd1という名前の既存のブリッジドメインに関連付けます。このエンドポイントグループは、rmiという名前のバイナリ契約で許可されたトラフィックのコンシューマまたは宛先であり、webという名前のバイナリ契約で許可されたトラフィックのプロバイダーまたは送信元です。エンドポイントグループは、datacenterという名前の VMMドメインに関連付けられます。

<fvAEPg name="web"><fvRsBd tnFvBDName="bd1"/><fvRsCons tnVzBrCPName="rmi"/><fvRsProv tnVzBrCPName="web"/><fvRsDomAtt tDn="uni/vmmp-VMware/dom-datacenter"/>

</fvAEPg>


Cisco ACI および Cisco AVSREST API を使用したアプリケーションポリシーの展開

残りの 2つのエンドポイントグループは、アプリケーションサーバとデータベースサーバに対し、同様の方法で作成されます。

次の行は、TCPトラフィックのタイプ HTTP（ポート 80）および HTTPS（ポート 443）を指定する httpという名前のトラフィックフィルタを定義します。

<vzFilter name="http" ><vzEntry dFromPort="80" name="DPort-80" prot="tcp" etherT="ip"/><vzEntry dFromPort="443" name="DPort-443" prot="tcp" etherT="ip"/></vzFilter>

残りの2つのフィルタは、アプリケーションのデータおよびデータベース（sql）のデータに対し、同様の方法で作成されます。

次の行は、httpという名前のフィルタを組み込む webという名前のバイナリ契約を作成します。

<vzBrCP name="web"><vzSubj name="web">

<vzRsSubjFiltAtt tnVzFilterName="http"/></vzSubj>

</vzBrCP>

残りの 2つの契約は、rmiおよび sqlのデータプロトコルに対し、同様の方法で作成されます。

最後の行は、構造を閉じます。

</fvTenant>

REST API を使用した分散ファイアウォールのステートフルポリシーの設定

Cisco APICでステートフルポリシーを設定します。

手順

ステップ 1 Cisco APICにログインします。

ステップ 2 https://APIC-ip-address/api/node/mo/.xmlにポリシーをポストします。

例：<polUni><infraInfra>

<nwsFwPol name="fwpol1" mode="enabled"/> (enabled, disabled, learning)

<infraFuncP><infraAccBndlGrp name="fw-bundle">

<infraRsFwPol tnNwsFwPolName="fwpol1"/><infraRsAttEntP tDn="uni/infra/attentp-testfw2"/>

</infraAccBndlGrp></infraFuncP>

<infraAttEntityP name="testfw2"><infraRsDomP tDn="uni/vmmp-VMware/dom-mininet"/>

</infraAttEntityP>


Cisco ACI および Cisco AVSREST API を使用した分散ファイアウォールのステートフルポリシーの設定

</infraInfra>

</polUni>

REST API を使用した分散ファイアウォールモードの変更正しいモードにすることで、分散ファイアウォールを設定します。

手順

ステップ 1 Cisco APICにログインします。

ステップ 2 https://APIC-ip-address/api/node/mo/.xmlにポリシーをポストします。

例：

<polUni><infraInfra><nwsFwPol name="fwpol1" mode="<enabled|disabled|learning>"/><infraFuncP>

<infraAccBndlGrp name="fw-bundle"><infraRsFwPol tnNwsFwPolName="fwpol1"/><infraRsAttEntP tDn="uni/infra/attentp-testfw2"/>

</infraAccBndlGrp></infraFuncP><infraAttEntityP name="testfw2">

<infraRsDomP tDn="uni/vmmp-VMware/dom-<VMM-Domain-Name>"/></infraAttEntityP>

</infraInfra></polUni>

次の作業

分散ファイアウォールが次の例に示すように目的の状態にあることを確認します。~ # vemcmd show dfwShow DFW GLobals

DFW Feature Enable: ENABLEDDFW Total Flows : 0DFW Current Time : 81115

~ #

REST API による分散ファイアウォールフロー情報のパラメータの設定

手順

ステップ 1 送信元の分散ファイアウォールロギングパラメータを設定します。

例：<infraInfra>

<nwsFwPol name="__ui_vmm_pol_PARAM-AVS" mode="enabled">


Cisco ACI および Cisco AVSREST API を使用した分散ファイアウォールモードの変更

<nwsSyslogSrc adminState="enabled" name="PARAM-AVS" inclAction="deny" logLevel="4"pollingInterval="120">

<nwsRsNwsSyslogSrcToDestGroup tDn="uni/fabric/slgroup-syslog-servers"/></nwsSyslogSrc>

</nwsFwPol></infraInfra>

ステップ 2 分散ファイアウォールフローを受信する syslogサーバを指定します。

例：<syslogGroup name="syslog-servers" >

<syslogRemoteDest host="1.1.1.1" /><syslogRemoteDest host="2.2.2.2" /><syslogRemoteDest host="3.3.3.3" />

</syslogGroup>

syslogグループの名前は、前の例と同じように、両方のRESTAPIコマンドで同じにする必要があります。

Cisco AVS のオブジェクトモード CLI タスクここには、この章で文書化されているCiscoAPICGUIによる一部のタスクのオブジェクトモードCLIバージョンが含まれています。

オブジェクトモデル CLI を使用した、テナント、VRF およびブリッジドメインの作成

外部ルーテッドを設定するときにパブリックサブネットがある場合は、ブリッジドメインを外部

設定と関連付ける必要があります。

手順



ステップ 2 テナント、VRF、およびブリッジドメインを作成します。ゲートウェイアドレスは、IPv4または IPv6アドレスにすることができます。IPv6ゲートウェイアドレスの詳細については、関連する KB記事「KB: Creating a Tenant, VRF,and Bridge Domain with IPv6 Neighbor Discovery」を参照してください。

（注）

例：

admin@apic1:aci> cd tenants/admin@apic1:tenants> mocreate ExampleCorpadmin@apic1:tenants> moconfig commitCommitted mo 'tenants/ExampleCorp'


Cisco ACI および Cisco AVSCisco AVS のオブジェクトモード CLI タスク

All mos committed successfully.admin@apic1:tenants>admin@apic1:tenants> cd ExampleCorp/networking/private-networks/admin@apic1:private-networks> mocreate pvn1admin@apic1:private-networks> moconfig commitCommitting mo 'tenants/ExampleCorp/networking/private-networks/pvn1'

All mos committed successfully.admin@apic1:private-networks>admin@apic1:private-networks> cd ../bridge-domains/admin@apic1:bridge-domains> mocreate bd1admin@apic1:bridge-domains> moconfig commitCommitting mo 'tenants/ExampleCorp/networking/bridge-domains/bd1'

All mos committed successfully.admin@apic1:bridge-domains>admin@apic1:bridge-domains> cd bd1/subnets/admin@apic1:subnets> mocreate 10.10.100.1/24admin@apic1:subnets> moconfig commitCommitting mo 'tenants/ExampleCorp/networking/bridge-domains/bd1/subnets/10.10.100.1:24'


オブジェクトモデル CLI を使用したアプリケーションポリシーの展開EPGが使用するポートは、VMマネージャ（VMM）ドメインまたは EPGに関連付けられた物理ドメインのいずれか 1つに属している必要があります。

手順



ステップ 2 テナントのアプリケーションネットワークプロファイルを作成します。

次の例のアプリケーションネットワークプロファイルは OnlineStoreです。

例：admin@apic1:aci> cd /aci/tenants/ExampleCorp/application-profiles/admin@apic1:application-profiles> mocreate OnlineStoreadmin@apic1:application-profiles> moconfig commitCommitting mo 'tenants/ExampleCorp/application-profiles/OnlineStore'

All mos committed successfully.admin@apic1:application-profiles>

ステップ 3 テナントのこのアプリケーションネットワークプロファイルに関するアプリケーション web、db、および app EPGを作成します。

例：admin@apic1:application-profiles> cd OnlineStore/application-epgsadmin@apic1:application-epgs> mocreate webadmin@apic1:application-epgs> mocreate dbadmin@apic1:application-epgs> mocreate appadmin@apic1:application-epgs> moconfig commit


Cisco ACI および Cisco AVSオブジェクトモデル CLI を使用したアプリケーションポリシーの展開

Committing mo 'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg/app'Committing mo 'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg/db'Committing mo 'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg/web'

All mos committed successfully.admin@apic1:application-epgs>

ステップ 4 これらの EPG間の異なるトラフィックタイプ用のフィルタを作成します。

例：admin@apic1:OnlineStore> cd /aci/tenants/ExampleCorp/security-policies/filters/

ステップ 5 httpおよび httpsトラフィック用のフィルタを作成します。

例：admin@apic1:filters> mocreate httpadmin@apic1:filters> moconfig commitCommitting mo 'tenants/ExampleCorp/security-policies/filters/http'

All mos committed successfully.admin@apic1:filters>

admin@apic1:filters> cd http/entries/admin@apic1:entries> mocreate DPort-80 ethertype ipadmin@apic1:entries> cd DPort-80admin@apic1:DPort-80> moset ip-protocol tcpadmin@apic1:DPort-80> moset destination-port-dfromport 80admin@apic1:DPort-80> moconfig commitCommitting mo 'tenants/ExampleCorp/security-policies/filters/http/entries/DPort-80'

All mos committed successfully.admin@apic1:DPort-80> cd ../admin@apic1:entries> mocreate DPort-443 ethertype ipadmin@apic1:entries> cd DPort-443admin@apic1:DPort-443> moset ip-protocol tcpadmin@apic1:DPort-443> moset destination-port-dfromport 443admin@apic1:DPort-443> moconfig commitCommitting mo 'tenants/ExampleCorp/security-policies/filters/http/entries/DPort-443'

All mos committed successfully.admin@apic1:DPort-443>

ステップ 6 Remote Method Invocation（RMI）トラフィック用のフィルタを作成します。

例：admin@apic1:~> cd /aci/tenants/ExampleCorp/security-policies/filters/admin@apic1:filters> mocreate rmiadmin@apic1:filters> moconfig commitCommitting mo 'tenants/ExampleCorp/security-policies/filters/rmi'

All mos committed successfully.admin@apic1:filters> cd rmi/entries/admin@apic1:entries> mocreate DPort-1099 ethertype ipadmin@apic1:entries> cd DPort-1099admin@apic1:DPort-1099> moset ip-protocol tcpadmin@apic1:DPort-1099> moset destination-port-dfromport 1099admin@apic1:DPort-1099> moconfig commitCommitting mo 'tenants/ExampleCorp/security-policies/filters/rmi/entries/DPort-1099'


ステップ 7 SQL/databaseトラフィック用のフィルタを作成します。



例：admin@apic1:DPort-1099> cd /aci/tenants/ExampleCorp/security-policies/filters/admin@apic1:filters> mocreate sqladmin@apic1:filters> moconfig commitCommitting mo 'tenants/ExampleCorp/security-policies/filters/sql'

All mos committed successfully.admin@apic1:filters> cd sql/entries/admin@apic1:entries> mocreate DPort-1521 ethertype ipadmin@apic1:entries> cd DPort-1521admin@apic1:DPort-1521> moset ip-protocol tcpadmin@apic1:DPort-1521> moset destination-port-dfromport 1521admin@apic1:DPort-1521> moconfig commitCommitting mo 'tenants/ExampleCorp/security-policies/filters/sql/entries/DPort-1521'


ステップ 8 契約を作成し、EPG間の RMIトラフィック用のフィルタを割り当てます。

例：admin@apic1:DPort-1521>admin@apic1:DPort-1521> cd /aci/tenants/ExampleCorp/security-policies/contracts/admin@apic1:contracts> mocreate rmiadmin@apic1:contracts> moconfig commitCommitting mo 'tenants/ExampleCorp/security-policies/contracts/rmi'

All mos committed successfully.admin@apic1:contracts> cd rmi/subjects/admin@apic1:subjects> mocreate rmiadmin@apic1:subjects> moconfig commitCommitting mo 'tenants/ExampleCorp/security-policies/contracts/rmi/subjects/rmi'

All mos committed successfully.admin@apic1:subjects> cd rmi/filters/admin@apic1:filters> mocreate rmiadmin@apic1:filters> moconfig commitCommitting mo 'tenants/ExampleCorp/security-policies/contracts/rmi/subjects/rmi/filters/rmi'


ステップ 9 契約を作成し、EPG間のWebトラフィック用のフィルタを割り当てます。

例：admin@apic1:filters> cd /aci/tenants/ExampleCorp/security-policies/contracts/admin@apic1:contracts> mocreate webadmin@apic1:contracts> moconfig commitCommitting mo 'tenants/ExampleCorp/security-policies/contracts/web'

All mos committed successfully.admin@apic1:contracts> cd web/subjects/admin@apic1:subjects> mocreate webadmin@apic1:subjects> moconfig commitCommitting mo 'tenants/ExampleCorp/security-policies/contracts/web/subjects/web'

All mos committed successfully.admin@apic1:subjects> cd web/filters/admin@apic1:filters> mocreate httpadmin@apic1:filters> moconfig commitCommitting mo 'tenants/ExampleCorp/security-policies/contracts/web/subjects/web/filters/http'




admin@apic1:filters>

ステップ 10 契約を作成し、EPG間の SQLトラフィック用のフィルタを割り当てます。

例：admin@apic1:filters> cd /aci/tenants/ExampleCorp/security-policies/contracts/admin@apic1:contracts> mocreate sqladmin@apic1:contracts> moconfig commitCommitting mo 'tenants/ExampleCorp/security-policies/contracts/sql'

All mos committed successfully.admin@apic1:contracts> cd sql/subjects/admin@apic1:subjects> mocreate sqladmin@apic1:subjects> moconfig commitCommitting mo 'tenants/ExampleCorp/security-policies/contracts/sql/subjects/sql'

All mos committed successfully.admin@apic1:subjects> cd sql/filters/admin@apic1:filters> mocreate sqladmin@apic1:filters> moconfig commitCommitting mo 'tenants/ExampleCorp/security-policies/contracts/sql/subjects/sql/filters/sql'


ステップ 11 web EPGにブリッジドメイン、契約、および VMMドメインを接続します。

例：

admin@apic1:filters> cd/aci/tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-web/admin@apic1:application-epg-web> moset bridge-domain bd1admin@apic1:application-epg-web> moconfig commitCommitting mo 'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-web'

All mos committed successfully.admin@apic1:application-epg-web> cd contracts/consumed-contracts/admin@apic1:consumed-contracts> mocreate rmiadmin@apic1:consumed-contracts> moconfig commitCommitting mo'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-web/contracts/consumed-contracts/rmi'

All mos committed successfully.admin@apic1:consumed-contracts> cd ../provided-contracts/admin@apic1:provided-contracts> mocreate webadmin@apic1:provided-contracts> moconfig commitCommitting mo'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-web/contracts/provided-contracts/web'

All mos committed successfully.admin@apic1:provided-contracts> cd ../../domains-vms-and-bare-metals/admin@apic1:domains-vms-and-bare-metals> mocreatevm-networking/policies/VMware/vmm-domains/productionDCadmin@apic1:domains-vms-and-bare-metals> moconfig commitCommitting mo 'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-web/domains-vms-and-bare-metals/[vm-networking/policies/vmware/vmm-domains/productionDC]'

All mos committed successfully.admin@apic1:domains-vms-and-bare-metals>

ステップ 12 db EPGにブリッジドメイン、契約、および VMMドメインを接続します。



例：admin@apic1:domains-vms-and-bare-metals> cd /aci/tenants/ExampleCorp/application-profiles/application-profile-OnlineStore/application-epg-db/admin@apic1:domains-vms-and-bare-metals> moset bridge-domain bd1admin@apic1:domains-vms-and-bare-metals> moconfig commitCommitted mo'tenants/ExampleCorp/application-profiles/application-profile-OnlineStore/application-epg-sql'

All mos committed successfully.admin@apic1:domains-vms-and-bare-metals>admin@apic1:domains-vms-and-bare-metals> cd /aci/tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-db/admin@apic1:application-epg-db> moset bridge-domain bd1admin@apic1:application-epg-db> moconfig commitCommitting mo 'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-db'

All mos committed successfully.admin@apic1:application-epg-db> cd contracts/provided-contracts/admin@apic1:provided-contracts> mocreate sqladmin@apic1:provided-contracts> moconfig commitCommitting mo'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-db/contracts/provided-contracts/sql'

All mos committed successfully.admin@apic1:provided-contracts> cd ../../domains-vms-and-bare-metals/admin@apic1:domains-vms-and-bare-metals> mocreatevm-networking/policies/VMware/vmm-domains/productionDCadmin@apic1:domains-vms-and-bare-metals> moconfig commitCommitting mo 'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-db/domains-vms-and-bare-metals/[vm-networking/policies/vmware/vmm-domains/productionDC]'


ステップ 13 app EPGにブリッジドメイン、契約、および VMMドメインを接続します。

例：admin@apic1:domains-vms-and-bare-metals> cd /aci/tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-app/admin@apic1:application-epg-app> moset bridge-domain bd1admin@apic1:application-epg-app> moconfig commitCommitting mo 'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-app'


ステップ 14 アプリケーション EPGにプロバイダー契約を関連付けます。

例：admin@apic1:application-epg-app> cd contracts/provided-contracts/admin@apic1:provided-contracts> mocreate rmiadmin@apic1:provided-contracts> moconfig commitCommitting mo'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-app/contracts/provided-contracts/rmi'

All mos committed successfully.admin@apic1:provided-contracts> cd ../consumed-contracts/admin@apic1:consumed-contracts> mocreate sqladmin@apic1:consumed-contracts> moconfig commitCommitting mo'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-app/contracts/consumed-contracts/sql'

All mos committed successfully.admin@apic1:consumed-contracts> cd ../../domains-vms-and-bare-metals/admin@apic1:domains-vms-and-bare-metals> mocreatevm-networking/policies/VMware/vmm-domains/productionDC



admin@apic1:domains-vms-and-bare-metals> moconfig commitCommitting mo'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-app/domains-vms-and-bare-metals/[vm-networking/policies/vmware/vmm-domains/productionDC]'


ステップ 15 EPG app、db、および webにポートと VLANを関連付けます。

例：admin@apic1:domains-vms-and-bare-metals> cd /aci/tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-app/static-bindings-paths/admin@apic1:static-bindings-paths> mocreate topology/pod-1/paths-17/pathep-[eth1/2] encap vlan-100 deployment-immediacy immediateadmin@apic1:static-bindings-paths> moconfig commitCommitting mo'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-app/static-bindings-paths/[topology/pod-1/paths-17/pathep-[eth1/2]]'

All mos committed successfully.admin@apic1:static-bindings-paths>admin@apic1:static-bindings-paths> cd/aci/tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-db/static-bindings-paths/admin@apic1:static-bindings-paths> mocreate topology/pod-1/paths-17/pathep-[eth1/3] encap vlan-101 deployment-immediacy immediateadmin@apic1:static-bindings-paths> moconfig commitCommitting mo'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-db/static-bindings-paths/[topology/pod-1/paths-17/pathep-[eth1/3]]'

All mos committed successfully.admin@apic1:static-bindings-paths>admin@apic1:static-bindings-paths> cd/aci/tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-web/static-bindings-paths/admin@apic1:static-bindings-paths> mocreate topology/pod-1/paths-17/pathep-[eth1/4] encap vlan-102 deployment-immediacy immediateadmin@apic1:static-bindings-paths> moconfig commitCommitting mo'tenants/ExampleCorp/application-profiles/OnlineStore/application-epg-web/static-bindings-paths/[topology/pod-1/paths-17/pathep-[eth1/4]]'

All mos committed successfully.admin@apic1:static-bindings-paths>



第 6 章

Cisco ACI with VMware vRealize


• Cisco ACI with VMware vRealizeについて, 139 ページ

• Cisco ACI with VMware vRealizeの開始, 144 ページ

• Cisco ACI with VMware vRealizeアップグレードワークフロー , 152 ページ

• 管理者とテナントエクスペリエンスのユースケースシナリオ, 154 ページ

• トラブルシューティング, 212 ページ

• APICプラグインの削除, 214 ページ

• プラグインの概要, 214 ページ

• vRealize Orchestratorにおけるテナント用 vCACホストの設定, 215 ページ

• vRealize Orchestratorにおける IaaSホストの設定, 216 ページ

• vROカスタマイズのインストール, 217 ページ

Cisco ACI with VMware vRealize についてCisco Application Centric Infrastructure（ACI）は、VMware製品 vRealize Orchestrator（vRO）、vRealize Automation（vRA）、および vCenterと統合されます。

Cisco ACI with VMware vRealize ソリューションの概要vRAの統合は、vRAにインポートされた一連のサービスブループリントを通じて提供されます。サービスブループリントでは vROApplication Policy Infrastructure Controller（APIC）ワークフローを活用して、テナントがネットワーキングコンポーネントを作成、管理および削除できるよう

に、セルフサービスポータルにカタログ項目を提供します。ACIワークフローを持つ複数のマシンは、次の機能を使用できます。


•自動作成テナントエンドポイントグループ（EPG）

• APICで必要なポリシー

• vCenterでの VMとポートグループの作成

•各ポートグループへの VMの自動配置

• APICによる作成

•アクセスリストを使用するセキュリティポリシーの作成

• L4-L7サービスの設定および外部接続の提供

この消費モデルにより、ユーザはワンクリックで、事前定義されたカスタマイズ可能なコンピュー

ティングおよびネットワークポリシーで、単一および複数層アプリケーションワークロードを展

開できます。カタログ項目がインフラストラクチャ管理者によって発行され、それにより詳細な

権限をテナントごとに追加または削除できます。

統合では、2つのモードのネットワーキングが提供されます。

説明モード

共有モードは、使用する IPアドレス空間の好みがなく、共有コンテキスト（VRF）を持つ共有アドレス空間がテナント間で使用されるテナ

ント向けです。ACIエンドポイントグループ（EPG）を使用して分離が提供され、ホワイトリストメソッドを使用して EPG間での接続が有効化されます。

Shared

VPCモードでは独自のアドレス空間アーキテクチャが使用され、ネットワーク接続はテナント

ごとに一意のコンテキスト（VRF）を介して分離され、共通共有 L3出力を介して外部接続が提供されます。

仮想プライベートクラウド（VPC）


Cisco ACI with VMware vRealizeCisco ACI with VMware vRealize ソリューションの概要

物理トポロジと論理トポロジ

ここでは、vRealize ACI統合の論理モデルと、共有サービスプランと仮想プライベートクラウドプランの比較を示します。

図 15：vRealize ACI 統合の論理モデル図

図 16：共有サービスプランと仮想プライベートクラウドプランの比較図


Cisco ACI with VMware vRealize物理トポロジと論理トポロジ

詳細については、『Cisco APIC Getting Started Guide』を参照してください。

VMware vRealize における ACI 構造のマッピングについて次の表に、Cisco ACIポリシーと vRealizeポリシーの機能のマッピングを示します。

VMware vRealizeCisco ACI

テナントテナント

ネットワークEPG

外部ルーテッドネットワークレイヤ 3外部接続

セキュリティポリシーコントラクト

ルールエントリリストフィルタ

共有ロードバランサまたはファイアウォールL4-L7サービスデバイス

このリストは、次の機能に関する詳細を示します。

•テナント：テナントには、組織内の従業員、事業部門、アプリケーション所有者、またはアプリケーションを指定できます。サービスプロバイダーの場合は、ホスティングカスタマー

（ITサービスを受けるために支払を行う個人または組織）を指定できます。


Cisco ACI with VMware vRealizeVMware vRealize における ACI 構造のマッピングについて

•ネットワーク：CiscoACIでは、「ネットワーク」はアプリケーションをネットワークにマッピングするための新しいモデルを提供する EPGのことを指します。アドレスや VLANなどの転送構造を使用して接続やポリシーを適用する代わりに、EPGではアプリケーションエンドポイントのグループ化を使用します。EPGは、vRealizeポータルでネットワークにマッピングされます。分離されたネットワークはアプリケーション、アプリケーションコンポーネ

ントおよび層のコレクションのコンテナとして機能し、転送・ポリシーロジックを適用する

ために使用できます。ネットワークポリシー、セキュリティおよび転送をアドレッシングか

ら分離し、代わりにこれらを論理アプリケーション境界に適用します。vRealizeでネットワークが作成される際、バックエンドではvCenterのポートグループとして作成されます。vRealizeテナントは、vCenterを使用してコンピューティングリソースを管理し、仮想マシンを適切なネットワークに接続できます。

•レイヤ 3外部接続：Cisco ACIファブリックはレイヤ 3外部ネットワークを介して外部に接続します。これらの構造を vRealizeテナントで使用して、データセンター内、データセンター間、またはインターネット上の他のサービスにアクセスすることもできます。

•セキュリティポリシー：Cisco ACIはセキュリティが強化されたモデルの上に構築されており、ポリシー契約によって明示的に許可された場合を除き、EPG（分離されたネットワーク）間のトラフィックは拒否されます。Cisco ACI契約は、vRealizeポータルでセキュリティポリシーにマッピングされます。セキュリティポリシーは、サービスを提供および使用する

ネットワーク（EPG）を記述します。セキュリティポリシーには、1つ以上のルールエントリリスト（フィルタ）、さまざまなアプリケーション間の通信を定義する一連のレイヤ 4TCPまたはユーザデータグラムプロトコル（UDP）ポート番号を記述するステートレスファイアウォールルールが含まれます。

•共有ロードバランサおよびファイアウォール：Cisco ACIは、サービスをアプリケーションの一体要素として扱います。必要なサービスはすべて、ApplicationPolicy InfrastructureController（APIC）でインスタンス化されるサービスグラフとして管理されます。ユーザはアプリケーションのサービスを定義し、サービスグラフはアプリケーションで必要な一連のネットワー

クおよびサービス機能を識別します。Cisco ACIには、そのサービスがCisco ACIとネイティブに統合される L4-7サービスベンダーのオープンエコシステムがあります。この統合は、ベンダーによって記述され所有されるデバイスパッケージを介して実現します。APICはネットワークサービスを管理し、Cisco ACIポリシーモデルに従ってサービスを実装します。vRealize向けに、CiscoACIは仮想および物理フォームファクタの両方で、F5および Citrixロードバランサおよび Cisco ASAファイアウォールを提供しており、これらは Cisco ACIファブリックに接続され、さまざまな vRealizeテナントで共有されます。デバイスが CiscoACIに統合されたら、vRealize管理者はデバイスをプレミアムサービスとして追加し、プランをアップセルすることを選択できます。vRealize管理者は共有デバイスの仮想 IPアドレス範囲を管理して、vRealizeテナントのワークフローを簡易化します。

• VPCプラン：VPCプランでは、vRealizeテナントは独自のアドレス空間を定義し、DHCPサーバを再起動して、アドレス空間をネットワークにマッピングできます。VPCテナントは、共有サービスプランからロードバランシングなどのサービスを受けることもできます。

このシナリオでは、デバイスに複数の仮想 NIC（vNIC）が存在します。1つの vNICはプライベートアドレス空間に接続し、もう 1つは共有サービスインフラストラクチャに接続します。共有サービスインフラストラクチャに接続する vNICには、インフラストラクチャに


Cisco ACI with VMware vRealizeVMware vRealize における ACI 構造のマッピングについて

よって割り当てられたアドレスがあり、インフラストラクチャが所有する共有ロードバラン

サを消費します。

Cisco ACI with VMware vRealize の開始ここでは、Cisco ACI with VMware vRealizeを使い始める方法について説明します。

Cisco ACI with VMware vRealizeをインストールする前に、1.2(1x)リリースのCisco ACIとVMwarevRealizeファイルをダウンロードして解凍します。

手順

ステップ 1 シスコの Application Policy Infrastructure Controller（APIC）Webサイトにアクセスします。http://www.cisco.com/c/en/us/support/cloud-systems-management/application-policy-infrastructure-controller-apic/tsd-products-support-series-home.html

ステップ 2 [All Downloads for this Product]を選択します。

ステップ 3 リリースバージョンと apic-vrealize-1.2.1x.tgzファイルを選択します。

ステップ 4 [Download]をクリックします。

ステップ 5 Apic-vrealize-1.2.1x.tgzファイルを解凍します。Cisco ACI with VMware vRealizeは ASCII文字のみをサポートします。非 ASCII文字はサポートしていません。

（注）

Cisco ACI with VMware vRealize を開始するための前提条件開始する前に、vRealizeのコンピューティング環境が以下の前提条件を満たしていることを確認します。

• vRealize Automationリリース 6.2.xをインストールする必要があります。

Vmwareの vRealizeマニュアルを参照してください。

•テナントは vRealizeAutomationで設定し、IDストアに関連付けます。テナントで「インフラ管理者」、「テナント管理者」、および「テナントユーザ」の役割を持つユーザを 1人以上設定する必要があります。


•テナントで「ビジネスグループ」を 1つ以上設定する必要があります。


•エンドポイントとして vRealize Orchestratorを設定します。



Cisco ACI with VMware vRealizeCisco ACI with VMware vRealize の開始



•エンドポイントとして vCenterを設定します。


• vCenterコンピューティングリソースを使用して「予約」を設定します。


• vRealizeアプライアンスを設定します。


•レイヤ3（L3）出力ポリシーがテナントによって消費される場合は、BGPルートリフレクタを設定する必要があります。

基本 GUIを使用してMP-BGPルートリフレクタを設定する方法や、拡張 GUIを使用してMP-BGPルートリフレクタを設定する方法については、『Cisco APIC Getting Started Guide』を参照してください。

• vROで vCACハンドルを設定します。

これは、ACIサービスカタログワークフローをインストールするために使用します。

• vROで IAASハンドルを設定します。

これは、ACIサービスカタログワークフローをインストールするために使用します。

vRealize Orchestratorにおける IaaSハンドルの設定, （145ページ）を参照してください。

• vCO/vROの vCAC/vRAカスタムプロパティツールキットをインストールします。このパッケージは次の URLからダウンロードできます。

https://communities.vmware.com/docs/DOC-26693

• vRAの組み込み vROには、デフォルトでインストールされる vCAC vROプラグインがあります。スタンドアロンの vROを使用する場合は、vCACvROプラグインをインストールする必要があります。このプラグインは次の URLからダウンロードできます。

https://solutionexchange.vmware.com/store/products/vmware-vrealize-orchestrator-plug-in-for-vra-6-2-0

vRealize Orchestrator における IaaS ハンドルの設定ここでは、vRealize Orchestrator（vRO）で Infrastructure as a Service（IaaS）ハンドルを設定する方法を説明します。


Cisco ACI with VMware vRealizeCisco ACI with VMware vRealize を開始するための前提条件

https://communities.vmware.com/docs/DOC-26693

https://solutionexchange.vmware.com/store/products/vmware-vrealize-orchestrator-plug-in-for-vra-6-2-0

手順

ステップ 1 VMware vRealize Orchestratorに管理者としてログインします。

ステップ 2 VMware vRealize Ochestrator GUIが表示されたら、メニューバーのドロップダウンリストから[Run]を選択します。

ステップ 3 [Navigation]ペインで、[Workflows]アイコンを選択します。

ステップ 4 [Adminstrator@vra_name] > [Library] > [vCloud Automation Center] > [Configuration] > [Add the IaaShost of a vCAC host]の順に選択します。

ステップ 5 [Add the IaaS host of a vCAC host]を右クリックして、[Start Workflow]を選択します。

ステップ 6 [Start Workflow: Add the IaaS host of a vCAC host]ダイアログボックスで、次の操作を実行します。a) [vCAC host]フィールドに、vRealizeハンドルを入力します。b) [Next]をクリックします。

ステップ 7 次の画面で、次の操作を実行します。

a) [Host Name]フィールドに、名前を入力します。b) [Host URL]フィールドに、IaaSホストの URLを入力します。c) 残りのフィールドはデフォルト値を使用します。d) [Next]をクリックします。


a) [Session mode]ドロップダウンリストで、[Shared Session]を選択します。b) [Authentication user name]フィールドに、認証ユーザ名を入力します。c) [Authentication password]フィールドに、パスワードを入力します。d) [Next]をクリックします。


a) [Workstation for NTLM authentication]フィールドに、NTLM認証に使用するワークステーションの名前を入力します。

b) [Domain for NTLM authentication]フィールドに、IaaSホストURLで使用するドメインを入力します。

c) [Submit]をクリックします。

Cisco ACI with VMware vRealize のインストールワークフローここでは、Cisco ACI with VMware vRealizeのインストールワークフローを説明します。

手順

ステップ 1 vRealize Orchestrator（vRO）に APICプラグインをインストールします。


Cisco ACI with VMware vRealizeCisco ACI with VMware vRealize のインストールワークフロー

詳細については、vRealize Orchestratorでの APICプラグインのインストール, （147ページ）を参照してください。

ステップ 2 VMware vRealize Automationアプライアンスを ACI向けに設定します。詳細については、VMware vRealize AutomationアプライアンスをACI向けに設定, （148ページ）を参照してください。

vRealize Orchestrator での APIC プラグインのインストールここでは、vRealize Orchestratorに APICプラグインをインストールする方法を説明します。

手順

ステップ 1 パッケージを解凍したら、既知のディレクトリに aci-vra-plugin-1.2.1000.N.darファイルを保存します。

ステップ 2 SSHを使用して vRAアプライアンスに rootとしてログインし、以下を入力します。$ ssh root@<vra_ip>

ステップ 3 コンフィギュレータを起動してコンフィギュレータサービスWebインターフェイスを有効にし、次のコマンドを入力します。# service vco-configurator start...Tomcat started.Status: Running as PID=15178

ステータスが実行中であることを確認します。

ステップ 4 Firefoxブラウザを使用して VMWareアプライアンスにログインし、以下を入力します。https://applicance_address:port/vco-config

Firefoxブラウザを使用することが推奨されます。

初回は、Internet Explorerや Chromeブラウザを使用しないでください。デフォルトのユーザ名とパスワードを使用するときの既知の問題があります。適切にログインできま

せん。

詳細については、https://communities.vmware.com/thread/491785を参照してください。

（注）

a) VMware vRealizeOrchestratorConfigurationGUIで、デフォルトのユーザ名とパスワード（vmwareと vmware）を入力します。パスワードの変更を求められます。

ステップ 5 [Navigation]ペインで、プラグインの横に緑のドットがあることを確認してから、プラグインを選択します。

ステップ 6 右側のペインで、[Plug-in file]フィールドまで下にスクロールし、[Search]アイコンをクリックします。



https://communities.vmware.com/thread/491785

a) aci-vra-plugin-1.2.1000.N.darファイルを保存した場所を検索して、aci-vra-plugin-1.2.1000.N.darファイルを選択します。

b) [Upload and install]をクリックします。ウィンドウの上部に、次のようなメッセージが緑で表示されます。Cisco APIC Plugin

ステップ 7 SSHを使用して rootとしてログインした vRAアプライアンスで、次のコマンドを入力します。# service vco-configurator restart# service vco-server restart

ステップ 8 VMWareアプライアンスにログインする Firefoxブラウザを更新します。a) VMware vRealize Orchestrator Configuration GUIに [Cisco APIC Plug-in]があり、[Navigation]ペインに緑色のドットがあることを確認します。

b) [Cisco APIC Plug-in]を選択すると、ウィンドウに次のようなメッセージが表示されます。APIC Plugin for vRealize Orchestrator configuration is done through workflows.These workflows arelocated in the "Cisco APIC workflows" folder.

c) [Navigation]ペインで [Plug-ins]を選択し、下にスクロールして [Cisco APIC Plugin]を見つけ、「Installation OK」と表示されていることを確認します。

vRealize Orchestratorへの APICプラグインのインストールは完了です。

VMware vRealize Automation アプライアンスを ACI 向けに設定ここでは、VMware vRealize Automationアプライアンスを ACI向けに設定する方法について説明します。

手順

ステップ 1 ブラウザを使用し、テナントポータルを介して VMware vRealize Automationアプライアンスに管理者としてログインします。https://applicance_address/vcac/org/tenant_id

管理者のユーザ名とパスワードを入力します。

ステップ 2 VMware vRealize Automationアプライアンス GUIで、次の操作を実行します。a) [Administration] > [Users & Groups] > [Custom Groups]の順に選択します。b) [Custom Group]ペインで [Add]をクリックして、カスタムグループを追加します。c) カスタムグループの名前を入力します。（サービスアーキテクト）d) [Roles to this group]フィールドで、前の手順で作成したカスタムグループを選択します。（サービスアーキテクト）

e) [Member]ペインを選択し、ユーザ名を入力して選択します。f) [Add]をクリックします。これにより、カスタムグループとメンバーが作成されます。



g) [Custom Group]ペインで、作成したカスタムグループを選択します。（サービスアーキテクト）

h) [Edit Group]ペインでは、[Members]ペインでメンバーを確認できます。

ステップ 3 ブラウザで、VMware vRealize Automationアプライアンスを入力します。https://applicance_address

次に例を示します。

https://vra3-app.ascisco.net

a) [vRealize Orchestrator Client]を選択して client.jnlpファイルをダウンロードします。b) [Downloads]ダイアログボックスが表示され、client.jnlpファイルが起動します。


ステップ 5 VMware vRealize Ochestrator GUIが表示されたら、メニューバーのドロップダウンリストから[Run]を選択します。


ステップ 7 [[email protected]] > [Cisco APIC Workflows] > [Utils > [Install ACI Service Catalog]の順に選択します。

ステップ 8 [Install ACI Service Catalog]を右クリックして [Start Workflow]を選択します。

ステップ 9 [Start Workflow - Install ACI Service Catalog]ダイアログボックスで、次の操作を実行します。a) [JSON File containing vRealize Properties]フィールドで [Not set]をクリックして、vRealizeプロパティを含む JSONファイルに移動して選択します。（aci-vra-properties-1.2.1000.x.json）

b) [Delete All Cisco Service Blueprints (Cannot be reverted)]フィールドで [Yes]オプションボタンを選択します。

c) [Zip file containing the service blueprints]フィールドで [Not set]をクリックして、サービスブループリントを含む zipファイルに移動して選択します。（aci-vra-asd-1.2.1000.x.zip）

d) [Do you want to use an existing vRA handle and business group]フィールドで [Yes]オプションボタンを選択します。

e) [Admin User]フィールドに、テナントの管理者ユーザを入力します。f) [End users]フィールドで [Not set]をクリックして、権限を有効にするユーザ名を入力します。g) [Submit]をクリックします。

ステップ 10 [Workflow interaction form - Install ACI Service Catalog]ダイアログボックスで、次の操作を実行します。

a) [vRealize Automation handle]フィールドで [Not set]をクリックして、このアプライアンスのvRealize automationハンドルに移動して選択します。

b) [Business group associated with the vRA handle]フィールドで [Not set]をクリックして、ビジネスグループを選択します。




d) インストールが成功した場合、[Logs]ペインに [The workflow was successful]と表示され、ナビゲーションウィンドウでは [Install ACI Service Catalog]の横に緑のチェックマークが表示されます。


ステップ 12 [Install ACI Property Dictionary]を右クリックして [Start Workflow]を選択します。

ステップ 13 [Start Workflow - Install ACI Property Dictionary]ダイアログボックスで [Net set]をクリックし、IaaSホストに移動して選択します。

a) [Submit]をクリックします。インストールが成功した場合、[Navigation]ペインで [Install ACI Property Dictionary]の横に緑色のチェックマークが表示されます。

ステップ 14 テナントとして確認するには、VMwarevRealizeAutomationアプライアンスにテナントとしてログインして [Catalog]を選択します。すると、22のサービスが表示されます。

ステップ 15 管理者として確認するには、VMwarevRealizeAutomationアプライアンスに管理者としてログインして [Catalog]を選択します。すると、20のサービスが表示されます。a) [Infrastructure] > [Blueprints] > [Property Dictionary]の順に選択すると、47のプロパティが表示されます。

ACI の初回操作ここでは、ACIの初回操作について説明します。

はじめる前に

•ファブリックの起動

ファブリックを開くとすべてのトポロジがサポートされます。

•アクセスポリシー

◦アタッチエンティティポリシー（AEP）

◦リーフスイッチと ESXiホスト間のアクセスポリシーを設定し、リーフとホスト間でCDPおよび LLDPを有効にします。

•レイヤ 3（L3）out設定

◦消費されるユーザテナントにする共通テナントで L3 Out設定を作成します。

◦ L3ポリシーには任意の名前を選択できます。

◦外部 EPGは、「[L3OutName|InstP]」という名前にする必要があります。

◦ 2つのポリシーを作成します。

共有プランには「default」を指定し、VPCプランには「vpcDefault」を指定します。



詳細については、L3外部接続について, （179ページ）を参照してください。

•サービスグラフテンプレートとデバイス

共通テナントでサービスグラフデバイスを作成します。

詳細については、XMLPOSTを使用したAPICでのサービスの設定, （175ページ）を参照してください。

•セキュリティドメインとテナントユーザ

◦ vRealizeプラグインには、2つのユーザアカウントが必要です。

最初のアカウントには管理者権限が必要です。このアカウントでは、テナント共通、ア

クセスポリシー、VMMドメインでオブジェクトを作成、読み取り、更新、および廃棄できます。

2番目のアカウントには、制限されたテナント権限が必要です。このアカウントでは、共通テナントおよびVMMドメインの読み取りのみ行うことができます。ただし、独自のテナントではオブジェクトを作成、読み取り、更新、および廃棄できます。

◦ Role-Based Access Control（RBAC）ルールは、プラグインではなく APICによって実施されます。

手順

詳細については、『Cisco APIC Getting Started Guide』を参照してください。

VMware VMM ドメインと AEP の関連付けここでは、VMwareVMMドメインと接続可能エンティティプロファイル（AEP）を関連付ける方法について説明します。

手順

ステップ 1 APIC GUIにログインし、[FABRIC] > [ACCESS POLICIES]の順に選択します。

ステップ 2 [Navigation]ペインで、[Global Policies] > [Attachable Access Entity Policies] > [AEP_profile_name]の順に展開します。

ステップ 3 [PROPERTIES]ペインで、次の操作を実行します。a) [Domains (VMM, Physical or External) Associated to Interfaces]フィールドの [+]をクリックして展開します。

b) [Unformed]フィールドで、VMMドメインを選択し、[UPDATE]をクリックします。



Cisco ACI with VMware vRealize アップグレードワークフロー

ここでは、Cisco ACI with VMware vRealizeアップグレードワークフローを説明します。

手順

ステップ 1 APICイメージをアップグレードします。

ステップ 2 vRealize Orchestrator（vRO）で APICプラグインをアップグレードします。詳細については、vRealize Orchestratorでの APICプラグインのアップグレード, （152ページ）を参照してください。

ステップ 3 VMware vRealize Automationアプライアンスを ACI向けに設定します。詳細については、VMware vRealize AutomationアプライアンスをACI向けに設定, （148ページ）を参照してください。

ステップ 4 APICと vRealize間の接続を確認します。詳細については、APICと vRealize間の接続の確認, （153ページ）を参照してください。

vRealize Orchestrator での APIC プラグインのアップグレードここでは、vRealize Orchestratorで APICプラグイン証明書をアップグレードする方法について説明します。

手順

ステップ 1 パッケージを解凍したら、既知のディレクトリに aci-vra-plugin-1.2.1000.N.darファイルを保存します。

ステップ 2 SSHを使用して VRAアプライアンスに rootとしてログインし、以下を入力します。$ ssh root@<vra_ip>

ステップ 3 コンフィギュレータを起動してコンフィギュレータサービスWebインターフェイスを有効にし、次のコマンドを入力します。# service vco-configurator start...Tomcat started.Status: Running as PID=15178

ステータスが実行中であることを確認します。


Cisco ACI with VMware vRealizeCisco ACI with VMware vRealize アップグレードワークフロー

ステップ 4 Firefoxブラウザを使用して VMWareアプライアンスにログインし、以下を入力します。https://applicance_address:port/vco-config

Firefoxブラウザを使用することが推奨されます。

初回は、Internet Explorerや Chromeブラウザを使用しないでください。デフォルトのユーザ名とパスワードを使用するときの既知の問題があります。適切にログインできま

せん。

詳細については、https://communities.vmware.com/thread/491785を参照してください。

（注）

a) VMware vRealizeOrchestratorConfigurationGUIで、デフォルトのユーザ名とパスワード（vmwareと vmware）を入力します。その後、パスワードを変更する必要があります。

ステップ 5 [Navigation]ペインで、プラグインの横に緑のドットがあることを確認してから、プラグインを選択します。

ステップ 6 右側のペインで、[Plug-in file]フィールドまで下にスクロールし、[Search]アイコンをクリックします。

a) aci-vra-plugin-1.2.1000.N.darファイルを保存した場所を検索して、aci-vra-plugin-1.2.1000.N.darファイルを選択します。

b) [Upload and install]をクリックします。ウィンドウの上部に、次のようなメッセージが緑で表示されます。Cisco APIC Plugin

ステップ 7 SSHを使用して rootとしてログインした VRAアプライアンスで、次のコマンドを入力します。# service vco-configurator restart# service vco-server restart

ステップ 8 VMWareアプライアンスにログインする Firefoxブラウザを更新します。a) VMware vRealize Orchestrator Configuration GUIに [Cisco APIC Plug-in]があり、[Navigation]ペインに緑色のドットがあることを確認します。

a) [Cisco APIC Plug-in]を選択すると、ウィンドウに次のようなメッセージが表示されます。APIC Plugin for vRealize Orchestrator configuration is done through workflows.These workflows arelocated in the "Cisco APIC workflows" folder.

b) [Navigation]ペインで [Plug-ins]を選択し、下にスクロールして [Cisco APIC Plugin]を見つけ、「Installation OK」と表示されていることを確認します。

ステップ 9 サービスブループリント、サービスカテゴリおよびエンタイトルメントをアップグレードしま

す。VMware vRealize AutomationアプライアンスをACI向けに設定, （148ページ）を参照してください。

APIC と vRealize 間の接続の確認Application Policy Infrastructure Controller（APIC）コントローラとスイッチソフトウェアをアップグレードしたら、vRealize Orchestratorから APICへの接続を確認する必要があります。


Cisco ACI with VMware vRealizeAPIC と vRealize 間の接続の確認

https://communities.vmware.com/thread/491785

はじめる前に

• APICコントローラとスイッチソフトウェアがアップグレードされていることを確認します。

詳細については、『Cisco ACI Firmware Management Guide』を参照してください。

手順

ステップ 1 vRealize Orchestratorに管理者としてログインします。

ステップ 2 [Navigation]ペインで、[Inventory]アイコンを選択します。

ステップ 3 [Cisco APIC Plugin]を展開して [APIC]を選択し、以下を確認します。a) [General]ペインで、[Name]フィールドにコントローラが表示されているかどうかを確認します

b) APICの下でネストされた階層を制御できるかどうかを確認します。これにより、APICと通信していることを確認できます。

vROからAPICへの接続が確立されていない場合、APIC名の横に文字列 downが表示され、接続がダウンしていることが示されます。

管理者とテナントエクスペリエンスのユースケースシ

ナリオここでは、管理者とテナントエクスペリエンスのユースケースシナリオについて説明します。

層アプリケーション導入の概要

ここでは、3層アプリケーション導入の概要を説明します。

ビルドプロファイルを使用した単一階層アプリ

ケーションの導入,（155ページ）を参照してください。

構成プロファイルを使用した単一層アプリケー

ションの導入

マルチマシンブループリントを使用した 3層アプリケーションの導入,（157ページ）を参照してください。

複数マシンブループリントを使用した3層アプリケーションの導入


Cisco ACI with VMware vRealize管理者とテナントエクスペリエンスのユースケースシナリオ

ビルドプロファイルを使用した単一階層アプリケーションの導入

ここでは、ビルドプロファイルを使用して単一階層アプリケーションを導入する方法を説明しま

す。

手順

ステップ 1 次の URLをブラウザに入力して、vRealize Automationアプライアンスに接続します。https://appliance_address/vcac/org/tenant_id

ステップ 2 テナント管理者のユーザ名とパスワードを入力します。

ステップ 3 [Catalog]を選択します。

ステップ 4 [Configure Build Profile]をクリックします。データベース層を設定します。

ステップ 5 [Request]をクリックします。

ステップ 6 [Request Information]タブで、要求の説明を入力します。

ステップ 7 [Next]をクリックします。

ステップ 8 [Common]タブで、次の操作を実行します。a) [IaaS Host for vRealize]フィールドで [Add]をクリックします。b) 必要な IaaSホストの横のボックスにチェックマークを付けます。c) [Submit]をクリックします。d) [APIC Tenant]フィールドで [Add]をクリックします。e) [apic_name] > [Tenants]の順に展開します。f) 必要なテナント名の横のボックスにチェックマークを付けます。例：

green

g) [Submit]をクリックします。h) [Build Profile Name]フィールドにビルドプロファイルの名前を入力します。例：

green-app-bp

i) [Plan Type (Shared or VPC)]フィールドで [Shared]をクリックします。j) [VMM Domain/DVS]フィールドで [Add]をクリックします。k) [apic_name] > [Vcenters] > [vcenter_name]の順に展開します。l) 必要な vCenter名の横のボックスにチェックマークを付けます。例：

green


Cisco ACI with VMware vRealize層アプリケーション導入の概要

m) [Submit]をクリックします。


ステップ 10 [VM Networking]タブで、すべてのフィールドをデフォルト値のままにします。


ステップ 12 [Security]タブで、次の操作を実行します。a) [Configure Security Policy]ドロップダウンリストで [No]を選択します。

ステップ 13 [Load Balancer]タブで、ドロップダウンリストから [No]を選択します。

ステップ 14 [Firewall]タブで、ドロップダウンリストから [No]を選択します。



ステップ 17 要求を確認するには、[Requests]タブを選択します。a) 送信した要求を選択し、[view details]をクリックします。ステータスが [Succesful]であることを確認します。

ステップ 18 （オプション）ビルドプロファイルでブループリントを編集するには、[Infrastructure]> [Blueprints]> [Build Profiles]の順に選択します。a) [Build Profile]ペインで、作成したビルドプロファイル（green-app-bp）を選択して、[edit]をクリックします。

b) [EditBuildProfile]ペインで、編集するビルドプロファイルを選択し、鉛筆アイコンをクリックして特定のブループリントを編集します。

c) 編集が完了したら、[OK]をクリックします。

ステップ 19 ビルドプロファイルを VMにアタッチして、[Infrastructure] > [Blueprints]の順に選択します。

ステップ 20 [Blueprints]ペインで、ドロップダウンリストから [New Blueprint]をクリックして、[Virtual] >[vSphere (vCenter)]の順に選択します。

ステップ 21 [New Blueprint vSphere (vCenter)]ペインで、次の操作を実行します。a) [Blueprint Information]タブで、ブループリントを作成するための情報を入力して [OK]をクリックします。マシンブループリントを作成する方法の詳細については、VMwareのドキュメントを参照してください。

b) [Build Information]タブで、ビルドプロファイルを作成するための情報を入力して [OK]をクリックします。マシンブループリントを作成する方法の詳細については、VMwareのドキュメントを参照してください。

ステップ 22 [Properties]タブで、次の操作を実行します。a) [Build Profiles]フィールドで、作成したビルドプロファイル（green-app-bp）を選択して、[OK]をクリックします。

b) 新しく作成したビルドプロファイル（green-app-bp）の虫眼鏡アイコンをクリックします。c) [Build Profile Custom Properties]ダイアログボックスで、プロパティがビルドプロファイルと一致することを確認します。これにより、VMおよび ACIネットワークとの接続が作成されます。



d) [New Blueprint vSphere (vCenter)]ペインで [OK]をクリックします。

ステップ 23 [Blueprints]ペインで、次の操作を実行します。a) 作成したビルドプロファイル（green-app-bp）を選択し、カーソルを当てて [Publish]を選択します。

b) [OK]をクリックします。c) [Aministration] > [Catalog Management] > [Catalog Items]の順に選択します。

ステップ 24 [Catalog Items]ペインで、次の操作を実行します。a) 作成したブループリント（green-app-bp）を探して選択します。

ステップ 25 [Configure Catalog Item]ペインで、次の操作を実行します。a) [Details]タブの [Service]フィールドで [VM Services]を選択します。b) [New and noteworthy]チェックボックスをオンにします。c) [Update]をクリックします。

これで、ビルドプロファイルを使用して単一階層アプリケーションが導入されました。

ステップ 26 単一階層アプリケーションの導入を確認するには、管理者セッションをログアウトして、テナン

トとしてログインし直します。

a) [Catalog]タブをクリックします。b) [Navigation]ペインで [VM Services]を選択します。c) [Work]ペインで、作成したブループリントを選択します。d) [Catalog Item Details]ペインで、ブループリントのプロパティを確認して [Request]をクリックします。

e) [New Request]ペインで [Submit]をクリックしてから [OK]をクリックします。

これにより、新しい仮想マシンである ACIネットワークがプロビジョニングされ、両者が接続されます。

マルチマシンブループリントを使用した 3 層アプリケーションの導入VMware vRealizeマルチマシンブループリントは、同時に導入する 1台以上のマシンブループリントが属するグループです。一般的な使用例は、Web層、アプリケーション層、データベース層が一緒に導入される 3層型Webアプリケーションです。ネットワークの観点から、アプリケーションポリシーを Cisco Application Centric Infrastructure（ACI）にプッシュして、通信する必要がある層間で安全な通信を有効にする必要があります。これは、セキュリティポリシーを作成し、

展開時に関連するマシンを動的に関連付けることによって実現されます。

マルチマシンブループリントで使用されるブループリントを設定する際には、セキュリティポリ

シーを作成する必要があります。作成プロセスで、消費側と提供側を指定する必要があります。

提供側には、構築中のマシンを必ず指定します。消費側には他のマシンやネットワークを指定で

きます。

例として、ポート 3306でサービスを提供するMySQLデータベースマシンブループリントがあるとします。アプリケーション層のマシンはこのデータベースにアクセスする必要がありますが、



Web層のマシンはその必要はありません。[Configure Build Profile]ワークフローの [Security Policy]セクションで、「アプリケーション」層を消費側とするポリシーを作成し、ポート 3306を許容（デフォルトでは、他のすべてが拒否される）としてリストすると、ブループリントは自動的に

「db」層をプロバイダーとして配置します。

「アプリケーション」層はサービスも提供する必要があります。この例では、サーバはポート

8000でリッスンします。このサービスは、Web層が消費します。セキュリティポリシーは、「アプリケーション」層のビルドプロファイルで指定する必要があります。

マシンプレフィクスにより、導入される各仮想マシンに一意の名前が生成されます。「Green」というテナントのプレフィクス例は、「green-web-」にマシンごとの 3つの固有の数字を加えたものです。シーケンスは「green-web-001」、「green-web-002」、「green-web-003」のようになります。Application Policy Infrastructure Controller（APIC）プラグインが消費側エンドポイントグループ名を正確に予測できるように、マシンプレフィクスと同様のスキームに従うこと

が重要です。また、各マシンは同じプレフィックス番号である必要があります。たとえば、3層アプリケーションの名前は、green-db-001、green-app-001、green-web-001である必要があります。いずれかの層が整合していない場合、セキュリティポリシーは正確な関係を形成しま

せん。vRealizeでは兄弟階層の名前が提供されず、プラグインは独自の名前に基づいて兄弟の名前を推測する必要があるため、これは必要条件です。

ビルドプロファイルでセキュリティポリシーを設定するときは、コンシューマ名がマシンプ

レフィクスの第 2文字である必要があります。プレフィクス例の「green-web-」では、コンシューマ名は「web」です。

（注）

ここでは、マルチマシンブループリントを使用して 3層アプリケーションを導入する方法を説明します。

手順

ステップ 1 次の URLをブラウザに入力して、vRealize Automationアプライアンスに接続します。https://appliance_address/vcac/org/tenant_id

ステップ 2 テナント管理者のユーザ名とパスワードを入力します。

ステップ 3 [Catalog]を選択します。

ステップ 4 [Configure Build Profile]をクリックします。データベース層を設定します。




ステップ 8 [Common]タブで、次の操作を実行します。a) [IaaS Host for vRealize]フィールドで [Add]をクリックします。b) 必要な IaaSホストの横のボックスにチェックマークを付けます。c) [Submit]をクリックします。



d) [APIC Tenant]フィールドで [Add]をクリックします。e) [apic_name] > [Tenants]の順に展開します。f) 必要なテナント名の横のボックスにチェックマークを付けます。例：

green


green-db-mm

i) [VMM Domain/DVS]フィールドで [Add]をクリックします。j) [apic_name] > [Vcenters] > [vcenter_name]の順に展開します。k) 必要な vCenter名の横のボックスにチェックマークを付けます。例：

green

l) [Submit]をクリックします。




ステップ 12 [Security]タブで、次の操作を実行します。a) [Configure Security Policy]ドロップダウンリストで [Yes]を選択します。b) [Consumer Network/EPG Name of Security Policy]フィールドに、完全なマシンプレフィクスなしでコンシューマネットワークの名前を入力します。

例：

app

データベース層には、消費側としてアプリケーション層が必要です。

c) [Starting Port Number in Security Policy]フィールドに、開始ポート番号を入力します。例：

3306

d) [Ending Port Number in Security Policy]フィールドに、終了ポート番号を入力します。例：

3306



e) 他のフィールドについては、値をデフォルトのままにします。


ステップ 14 [Load Balancer]タブで、フィールドをデフォルト値のままにします。


ステップ 16 [Firewall]タブで、フィールドをデフォルト値のままにします。



ステップ 19 [Configure Build Profile]をクリックします。今回は、アプリケーション層を設定します。





green


green-app-mm

i) [VMM Domain/DVS]フィールドで [Add]をクリックします。j) [apic_name] > [Vcenters] > [vcenter_name]の順に展開します。k) 必要な vCenter名の横のボックスにチェックマークを付けます。例：

green





ステップ 27 [Security]タブで、次の操作を実行します。a) [Configure Security Policy]ドロップダウンリストで [Yes]を選択します。



b) [Consumer Network/EPG Name of Security Policy]フィールドに、完全なマシンプレフィクスなしでコンシューマネットワークの名前を入力します。

例：

web

アプリケーション層には、消費側としてWeb層が必要です。

c) [Starting Port Number in Security Policy]フィールドに、開始ポート番号を入力します。例：

8000

d) [Ending Port Number in Security Policy]フィールドに、終了ポート番号を入力します。例：

8000

e) 他のフィールドについては、値をデフォルトのままにします。







ステップ 34 [Configure Build Profile]をクリックします。Web層を設定します。





green


green-web-mm

i) [VMM Domain/DVS]フィールドで [Add]をクリックします。



j) [apic_name] > [Vcenters] > [vcenter_name]の順に展開します。k) 必要な vCenter名の横のボックスにチェックマークを付けます。例：

green





ステップ 42 [Security]タブで、フィールドをデフォルト値のままにします。これは消費側ポリシーであるため、セキュリティポリシーを設定する必要はありません。







プランタイプについて

管理者は独自の価値観でプランを作成します。プランタイプは次のとおりです。

仮想プライベートクラウド

（VPC）共有インフラストラクチャ

ありあり分離ネットワーク

ありありファイアウォール

あり *ありプロバイダー DHCP

あり *あり共有ロードバランサ

ありありパブリックインターネットア

クセス

ありありテナント間共有サービス

ありなし独自のアドレス空間（プライ

ベートアドレス空間）とDHCPサーバの保持


Cisco ACI with VMware vRealizeプランタイプについて

*VPCプランでは、プライベートアドレス空間に対するロードバランサとDHCPはサポートされません。いずれの機能もテナントには提供されますが、共有インフラストラクチャによって所有

されます。

*VPCプランでは、このリリースではファイアウォールとロードバランサはサポートされません。

vRealize サービスのカテゴリとカタログ項目についてここでは、vRealizeサービスのカテゴリとカタログ項目について説明します。すべての項目のリストは各サービスにグループ化され、各サービスにエンタイトルメントが割り当てられています。

ACIエンタイトルメントは特定のユーザに割り当てられます。

詳細については、 vRealizeの ACI管理者サービス, （164ページ）を参照してください。

詳細については、vRealizeの ACIテナントサービス, （166ページ）を参照してください。

詳細については、 vRealizeにおけるACIカタログ項目向けエンタイトルメント, （171ページ）を参照してください。

ACI プランタイプと vRealize サービスカテゴリのマッピングここでは、ACIプランタイプと vRealizeサービスカテゴリのマッピングを示します。

図 17：vRA - ユーザ、エンタイトルメント、サービス、およびブループリント


Cisco ACI with VMware vRealizevRealize サービスのカテゴリとカタログ項目について

ブループリント一覧vRA カタログカテゴリ

Add APIC with Admin credentialsAdd APIC with Tenant credentialsAdd Provider for Shared Service (Contract)Add TenantAdd VIP PoolAdd VMM Domain, DVS and Vlan PoolAdd or Delete Bridge Domain in Tenant-commonAdd or Delete Consumer for Shared Service (Contract)Add or Delete L3 context (VRF) in Tenant-commonAdd or Delete Router IdAdd or Delete Subnets in Bridge Domain for Tenant-CommonConfigure Build ProfileDelete APICDelete Provider Shared Service (Contract)Delete TenantDelete VIP PoolDelete VMM Domain, DVS and Vlan PoolRest APIUpdate VMM Domain DVS security domain mappingUpdate Vlan Pool (encap blocks)

管理サービスブループリン

ト

Add FW and LB to Tenant Network - Shared PlanAdd FW to Tenant Network - Shared PlanAdd Loadbalancer to Tenant Network - Shared planAdd Tenant Network - Shared planDelete FW and LB from Tenant Network - Shared PlanDelete FW from Tenant Network - Shared PlanDelete Loadbalancer from Tenant Network - Shared PlanDelete Tenant Network - Shared plan

テナント共有プランサービ

スブループリント

Add FW and LB to Tenant Network - VPC PlanAdd FW to Tenant Network - VPC PlanAdd Loadbalancer to Tenant Network - VPC planAdd Tenant Network - VPC planDelete FW and LB from Tenant Network - VPC PlanDelete FW from Tenant Network - VPC PlanDelete Loadbalancer from Tenant Network - VPC PlanDelete Tenant Network - VPC plan

テナント VPCプランサービスブループリント

Add Security Policy (Contracts)Delete Security Policy (Contracts)Update Access List Security Rules

ネットワークセキュリティ

サービスブループリント

Add or Delete Bridge domain in TenantAdd or Delete L3 Context (VRF) in TenantAdd or Delete Subnets in Bridge domainAttach or Detach L3 external connectivity to NetworkUpdate Tenant Network

テナントネットワークサー

ビスブループリント

vRealize の ACI 管理者サービスここでは、vRealizeの ACI管理者サービスについて説明します。

ACI 管理者サービス向け管理者サービスカタログ項目一覧ここでは、ACI管理者サービスの管理者サービスカタログ項目の一覧を示します。


Cisco ACI with VMware vRealizevRealize の ACI 管理者サービス

説明カタログ項目

テナントクレデンシャルで Application PolicyInfrastructure Controller（APIC）ハンドルを作成します。

テナントクレデンシャルでの APICの追加

管理者クレデンシャルで（APIC）ハンドルを作成します。

管理者クレデンシャルでの APICの追加

テナント共通のブリッジドメインを追加または

削除します。

テナント共通のブリッジドメインの追加または

削除

共有サービス（契約）のコンシューマを追加ま

たは削除します。

共有サービス（契約）のコンシューマの追加ま

たは削除

テナント共通のレイヤ 3コンテキスト（VRF）を追加または削除します。

テナント共通の L3コンテキスト（VRF）の追加または削除

テナント共通のブリッジドメインのサブセット

を追加または削除します。

テナント共通のブリッジドメインのサブセット

の追加または削除

共有サービス（契約）のプロバイダーを追加し

ます。

共有サービス（契約）のプロバイダーの追加

ルータ IDを追加または削除します。ルータ IDの追加または削除

テナントを追加します。テナントの追加

仮想 IPプールを追加します。VIPプールの追加

VMMドメイン、DVSおよびVLANプールを追加します。

APICで vCenterに DVSが作成された、データセンター内のすべてのホストに、少なくとも 1つの物理 NICが接続されていること確認します。これにより、DVSのポートグループが仮想 NICの配置に使用できるようになります。

VMMドメイン、DVSおよびVLANプールの追加

ビルドプロファイルを設定します。ビルドプロファイルの設定

APICを削除します。APICの削除

プロバイダー共有サービス（契約）を削除しま

す。

プロバイダー共有サービス（契約）の削除

テナントを削除します。テナントの削除


Cisco ACI with VMware vRealizevRealize の ACI 管理者サービス


仮想 IPプールを削除します。VIPプールの削除

VMMドメイン、DVSおよびVLANプールを削除します。

VMMドメイン、DVSおよびVLANプールの削除

REST APIです。REST API

VLANプール（encapブロック）を更新します。VLANプール（encapブロック）の更新

VMMドメインDVSセキュリティドメインマッピングを更新します。

VMMドメインDVSセキュリティドメインマッピングの更新

要求を送信するには、次の手順を実行します。

1 vRealize Automationに管理者としてログインし、[Catalog] > [Admin Services]の順に選択します。

2 要求を選択し、フィールドに情報を入力して、[Submit]をクリックします。

要求を表示するには、次の手順を実行します。

1 vRealize Automationの GUIで [Requests]を選択します。2 送信した要求を選択し、[view details]をクリックします。

vRealize の ACI テナントサービスここでは、vRealizeの ACIテナントサービスについて説明します。

ACI テナントサービス向けネットワークセキュリティカタログ項目一覧ここでは、ACIテナントサービスのネットワークセキュリティカタログ項目の一覧を示します。


テナントネットワーク間のセキュリティポリ

シーを作成します。例：コンシューマ EPGとプロバイダー EPG間の APIC契約。

セキュリティポリシーの追加（契約）

テナントネットワーク間のセキュリティポリ

シーを削除します。例：コンシューマ EPGとプロバイダー EPG間の APIC契約。

セキュリティポリシーの削除（契約）


Cisco ACI with VMware vRealizevRealize の ACI テナントサービス


（セキュリティポリシーの追加（契約）を使用

して）APICで作成されたセキュリティポリシーフィルタに関連付けられているアクセスリスト

ルールを追加または削除します。アクセスリス

トルールの形式は、<送信元ポート、宛先ポート、プロトコル、EtherType>です。

送信元および宛先ポートは、arp、icmp、icmpv6ルールでは使用できません。ポートはTCPおよびUDPプロトコルでのみ有効です。アクセスリ

ストルールは ACIファブリックで導入および適用され、本質的にはステー

トレスです。

（注）

また、このブループリントには、入力として提

供されている特定のサービスグラフのために、

Cisco ASAなどのファイアウォールアプライアンスでステートフルファイアウォールルール

を更新するオプションがあります。

アクセスリストのセキュリティルールの更新


1 vRealize Automationに管理者としてログインし、[Catalog] > [Network Security]の順に選択します。




ACI テナントサービス向けテナントネットワークサービスカタログ項目一覧ここでは、ACIテナントサービスのテナントネットワークサービスのカタログ項目の一覧を示します。テナントネットワークサービスのカタログ項目を実行するには、テナントの管理者権限

でテナントポータルにログインする必要があります。


テナントのブリッジドメインを追加または削除

します。

テナントのブリッジドメインの追加または削除




テナントのレイヤ 3コンテキスト（VRF）を追加または削除します。

テナントの L3コンテキスト（VRF）の追加または削除

ブリッジドメインのサブネットを追加または削

除します。

ブリッジドメインのサブネットの追加または削

除

ネットワークへのレイヤ 3外部接続を接続または切断します。

ネットワークへの L3外部接続の接続または切断

テナントネットワークを更新します。テナントネットワークの更新


1 vRealize Automationにテナント管理者としてログインし、[Catalog] > [Tenant Network Services]の順に選択します。




ACI テナントサービス向けテナント共有プランカタログ項目一覧ここでは、ACIテナントサービスのテナント共有プランのカタログ項目の一覧を示します。


共有プランのテナントネットワークを追加しま

す。

テナントネットワークの追加

共有プランのテナントネットワークにファイア

ウォールとロードバランサを追加します。

テナントネットワークへの FWおよび LBの追加 -共有プラン

共有プランのテナントネットワークにファイア

ウォールを追加します。

テナントネットワークへの FWの追加 -共有プラン

共有プランのテナントネットワークにロード

バランサを追加します。

テナントネットワークへのロードバランサの

追加 -共有プラン

共有プランのテナントネットワークからファイ

アウォールとロードバランサを削除します。

テナントネットワークからの FWおよび LBの削除 -共有プラン




共有プランのテナントネットワークからファイ

アウォールを削除します。

テナントネットワークからの FWの削除 -共有プラン

共有プランのテナントネットワークからロード

バランサを削除します。

テナントネットワークからのロードバランサ

の削除 -共有プラン

共有プランのテナントネットワークを削除しま

す。

テナントネットワークの削除 -共有プラン


1 vRealize Automationに管理者としてログインし、[Catalog] > [Tenant Shared Plan]の順に選択します。




症状：vRealizeAutomation（vRA）のワークフローによってサービスグラフを削除中にVMwarevCenterのエラーが表示されることがあります。

条件：VPXや F5などのサービスデバイスを設定する前にポートグループを削除した場合、サービスグラフの削除中にこのようなエラーが表示されます。このシーケンスは vRAからは制御できません。

回避策：回避策はありません。これらは一時的なエラーなので、サービスデバイスの再構成

が完了すると表示されなくなります。

（注）

ACI テナントサービス向けテナント VPC プランカタログ項目一覧ここでは、ACIのテナントサービスのテナント仮想プライベートクラウド（VPC）プランのカタログ項目の一覧を示します。

VPCプランでは、ファイアウォールとロードバランサはこのリリースではサポートされていません。

（注）




VPCプランのテナントネットワークを追加します。

テナントネットワークの追加 - VPCプラン

VPCプランのテナントネットワークにファイアウォールとロードバランサを追加します。

テナントネットワークへの FWおよび LBの追加 - VPCプラン

VPCプランのテナントネットワークにロードバランサを追加します。

テナントネットワークへのロードバランサの

追加 - VPCプラン

VPCプランのテナントネットワークからファイアウォールとロードバランサを削除します。

テナントネットワークからの FWおよび LBの削除 - VPCプラン

VPCプランのテナントネットワークからロードバランサを削除します。

テナントネットワークからのロードバランサ

の削除 - VPCプラン

VPCプランのテナントネットワークを削除します。

テナントネットワークの削除 - VPCプラン


1 vRealize Automationに管理者としてログインし、[Catalog] > [Tenant VPC Plan]の順に選択します。




ACI テナントサービス向け VM サービスカタログ項目一覧ここでは、ACIテナントサービスの VMサービスのカタログ項目の一覧を示します。

このサービスカテゴリには、単一マシンと複数マシンのブループリントに基づくテナントカタロ

グ項目があります。たとえば、一般的な3層アプリケーションには、「Web」、「アプリケーション」、単一マシンブループリントを使用する「Db」の3つのカタログ項目と、複数マシンブループリントを使用するカタログ項目「Webアプリケーション Db」 1つが含まれます。


アプリケーション VMです。アプリケーション

データベース VMです。Db




構成プロファイルテスト用の単一マシンVMブループリントです。

テスト

Web VMです。Web

この複数マシンブループリントは 3層アプリケーション、Web層に接続されたロードバランサ、およびセキュリティポリシー設定を作成

します。

Web Dbアプリケーション


1 vRealize Automationに管理者としてログインし、[Catalog] > [VM Services]の順に選択します。




vRealize における ACI カタログ項目向けエンタイトルメントここでは、vRealizeにおける ACIカタログ項目向けエンタイトルメントについて説明します。各サービスカテゴリにはエンタイトルメントが必要です。エンタイトルメントによって、ユーザが

カタログ項目を使用できるようになります。

エンタイトルメントを作成および管理して、カタログ項目、操作へのアクセスを制御し、カタロ

グ要求に適用する承認ポリシーを指定できます。エンタイトルメントの優先度を更新して、特定

の要求に適用する承認ポリシーを指定できます。

ACI カタログ項目向けエンタイトルメント一覧ここでは、ACIカタログ項目向けエンタイトルメント一覧を示します。

名前

VMエンタイトルメント

管理者エンタイトルメント

テナント共有プランエンタイトルメント

テナント VPCプランエンタイトルメント


Cisco ACI with VMware vRealizevRealize における ACI カタログ項目向けエンタイトルメント

名前

共通ネットワークサービスエンタイトルメント

テナントネットワークサービスエンタイトルメント

テナント共通ネットワークサービス

ネットワークセキュリティエンタイトルメント

エンタイトルメントを編集するには、次の手順を実行します。

1 vRealize Automationに管理者としてログインし、[Administration] > [Catalog Management] >[Entitlements]の順に選択します。

2 編集するエンタイトルメントを選択し、フィールドに情報を入力して、[Update]をクリックします。

vRealize Orchestrator の ACI プラグインサービスカテゴリとカタログ項目をワークフローにマップします。

APIC のワークフロー以下は、サービスカテゴリおよびカタログ項目であり、各カタログ項目は vRealize Orchestratorのワークフローとして実装され、カタログ項目のパラメータはワークフローパラメータと正確に同

じです。

説明サービスカテゴリ

グローバル管理者によって実行される管理カタ

ログ項目

管理サービス

セキュリティポリシーを設定するためのカタロ

グ項目

ネットワークセキュリティ

ネットワークサービスの設定用（ブリッジド

メイン、サブネット）

テナントネットワークサービス

共有モードでロードバランサおよびファイア

ウォールを使用する EPGおよびネットワークの設定用

テナント共有プラン


Cisco ACI with VMware vRealizevRealize Orchestrator の ACI プラグイン

説明サービスカテゴリ

VPCモードでロードバランサおよびファイアウォールを使用する EPGおよびネットワークの設定用

テナント VPCプラン

ACIビルドプロファイルで設定された単一マシンおよび複数マシンのブループリント

VMサービス

APIC のインベントリビューvRealizeOrchestratorGUIのインベントリビューでは、CiscoAPICプラグインは読み取り専用ビューです。vRealize Orchestratorの Cisco APICプラグインは APICにマッピングされます。たとえば、vRealize Orchestrator GUIでオブジェクトを表示すると、APIC GUIのMultiApicDnが表示されます。


Cisco ACI with VMware vRealizevRealize Orchestrator の ACI プラグイン

ロードバランシングおよびファイアウォールサービスについて

VLAN、Virtual Routing and Forwarding（VRF）スティッチングは従来のサービス挿入モデルによってサポートされ、Application Policy Infrastructure Controller（APIC）はポリシー制御の中心点として機能する一方でサービス挿入を自動化できます。APICポリシーは、ネットワークファブリックとサービスアプライアンスの両方を管理します。APICは、トラフィックがサービスを通って流れるように、ネットワークを自動的に設定できます。APICは、アプリケーション要件に従ってサービスを自動的に設定することもでき、それにより組織はサービス挿入を自動化し、従来のサー

ビス挿入の複雑な技術の管理に伴う課題を排除できます。

境界ファイアウォールは通常、アプリケーションへのすべての着信外部トラフィックに、ステー

トフルファイアウォールサービスを提供するために使用されます。トラフィックがファイアウォー

ルを通過した後に実装されるもう 1つの一般的なサービスは、ロードバランシングです。外部トラフィックは仮想 IPに向かって送信されます。ロードバランサはこのトラフィックを終了させて、ロードバランサの背後にある使用可能なサーバ間で着信トラフィック（Webサーバなど）のロードバランスを行います。

詳しくは、『Cisco APIC Layer 4 to Layer 7 Services Deployment Guide』を参照してください。

APIC vRealizeプラグインを使用して新しい複数層アプリケーションを作成したり（それらの間のトラフィックにロードバランサとファイアウォールサービスを実装しつつ）、既存のアプリケー

ションのエンドポイントグループ間のトラフィックにファイアウォールとロードバランササー

ビスを実装できます。複数層アプリケーションとL4-7サービスを作成するには、「管理者サービス」の「ビルドプロファイルの設定」カタログ項目を使用して、ビルドプロファイルを作成する

必要があります。「テナント共有サービス」項目から適切なカタログ項目を選択して、既存のア

プリケーションのエンドポイントグループ間に L4-7サービスを追加することができます。

このリリースでは、ロードバランサおよびファイアウォールサービスに対して、共有プラン

のサポートのみがサポートされます。

（注）

サービスを有効にするための条件

ここでは、サービスを有効にするための条件について説明します。

APIC vRealizeプラグインを使用してレイヤ 4～レイヤ 7のサービスを導入するには、次のタスクを実行する必要があります。

• APIC管理者によって、ロードバランサのデバイスパッケージがアップロードされる必要があります。

リンクを使用して、必要な Citrix、F5および Cisco ASAデバイスパッケージをダウンロードします。



Cisco ACI with VMware vRealizeロードバランシングおよびファイアウォールサービスについて



デバイスパッケージのバージョンが、使用している APICリリースで認定されていることを確認します。

• APIC管理者によってテナント「共通」でロードバランサのデバイスクラスタ、ファイアウォールが作成される必要があります。CitrixおよびF5は、ロードバランサでサポートされているベンダーです。CiscoASAは、ファイアウォールでサポートされているベンダーです。

•スタンドアロンファイアウォールまたはロードバランササービスに、単一ノードのサービスグラフテンプレートを設定する必要があります。ファイアウォールおよびロードバラン

ササービスに、2つのノードのサービスグラフテンプレートを設定する必要があります。

•抽出サービスグラフでは、ファイアウォールノード（vnsAbsNode）に FWという名前を付け、ロードバランサノードに SLBという名前を付ける必要があります。

•ロードバランサのみの抽象サービスグラフ名（vnsAbsGraph）は、ロードバランサデバイスクラスタ（vnsLdevVip）と同じである必要があります。

•ロードバランサのみのサービスでは、テナント共通の「デフォルト」VRFで、コンシューマL3接続ポリシーを設定する必要があります。

•ファイアウォールには、テナント共通の別個の VRF（「外部」）で、コンシューマ L3接続ポリシーを設定する必要があります。

•ファイアウォールデバイスは、ルーテッドモードで導入する必要があります。ファイアウォールデバイス接続用に、2つの追加のL3接続ポリシーを設定する必要があります。1つは「外部」VRFで設定する必要があり、ファイアウォールデバイスへの外部接続として使用されます。もう1つは「デフォルト」VRFで設定する必要があり、ファイアウォールデバイスへの内部接続として使用されます。ファイアウォールに接続されているこれら 2つの L3接続ポリシーにより、ファイアウォールは VRFスティッチングを実行し、VRF間でトラフィックを適切にリダイレクトできます。管理者は、L3外部接続ポリシーのもとで、正しいインポートおよびエクスポートフラグが付いた適切なプレフィクスが設定されていることを

確認する必要があります。

• L3接続ポリシーの設定時には、次の規則を使用する必要があります。L3接続ポリシーにはL3ExtNameという名前を付ける必要があり、子 L3インスタンスには L3ExtNameInstという名前を付ける必要があります。

•ファイアウォールとロードバランサデバイスで使用されるインターフェイス IPアドレスを、抽象グラフで設定する必要があります。

• 2ノード抽象グラフの場合、ファイアウォールノードに、すべてのトラフィックを許可するアクセスリストを設定する必要があります。

XML POST を使用した APICでのサービスの設定管理者のみがXML POSTを設定して送信できます。テンプレート POSTは、servicesディレクトリの apic-vrealizeパッケージにあります。



はじめる前に

• Application Policy Infrastructure Controller（APIC）でデバイスパッケージファイルをアップロードしておく必要があります。

詳細については、『Cisco APIC Layer 4 to Layer 7 Device Package Development Guide』を参照してください。

•テナント共通には、「default」および「vpcDefault」という2つのブリッジドメインが必要です。ロードバランサを消費するテナントで使用されるサブネットが、これらのブリッジド

メインに追加されていることを確認します。通常、vRealizeテナントに DHCPインフラストラクチャを設定する際に、これらのブリッジドメインとサブネットを作成します。

•非仮想プライベートクラウド（VPC）プランでは、ロードバランサのバックエンドインターフェイスは、上で作成したテナント共通下のデフォルト EPGに配置する必要があります。VPCプランでは、EPGは「vpcDefault」です。

• VIPサブネットが L3にリンクされていることを確認します。EPGあたり 1つの VIPが、テナントに関連する VIPプールから割り当てられます。

•サービススクリプトの条件：

◦ Python 2.7

◦ Pythonライブラリ：

◦ jinja2

◦ yaml

◦ glob

◦ json

◦要求

◦ xml

◦ re

手順

ステップ 1 次のリンクを使用して、必要なデバイスパッケージ Citrix、F5および ASAをダウンロードします。デバイスパッケージのバージョンが、使用している APICリリースで認定されていることを確認します。次のディレクトリに、デバイスパッケージ zipファイルを保存します。http://www.cisco.com/c/en/us/solutions/collateral/data-center-virtualization/application-centric-infrastructure/solution-overview-c22-734587.html

ステップ 2 shared.cfgファイルのVENDOR-DEVICE-PACKAGE.zipエントリを、正しいデバイスパッケージファイルに置き換えます。

ステップ 3 setup.yamlファイルを編集し、設定に応じて変数を変更します。





setup.yamlファイルのテンプレート変数は次のとおりです。TEMPLATE_VARS:

VCENTER: "vcenter1"ASA_IP: "1.1.1.1"ASA_CLUSTER: "AsaCluster1"ASA_VM: "asav-service5"OUTSIDE_CTX: "outside"INSIDE_CTX: "default"FW_GRAPH: "FWOnlyGraph"FW_SLB_GRAPH: "FWAndSLBGraph"BD_WEB: "default"CITRIX_MGMT_IP: "1.1.1.1"FW_NODE: "FW"SLB_NODE: "SLB"CITRIX_GRAPH: "CitrixCluster1_L3"CITRIX_CLUSTER: "CitrixCluster1_L3"CITRIX_GRAPH: "CitrixCluster1_L3"CITRIX_VM: "NS-service4"F5_BD: "F5Cluster1_L3"F5_EPG: "F5Cluster1_L3"F5_CLUSTER: "F5Cluster1_L3"F5_MGMT_IP: "1.1.1.1"F5_GRAPH: "F5Cluster1_L3"F5_ABS_NODE: "SLB"# Use deleted to generate the "deleted" version of the posts# STATUS: "deleted"STATUS: ""

ステップ 4 次のコマンドを実行します。./jinja.py setup.yaml tn-common-template.xml > tn-common.xml./jinja.py setup.yaml Shared-Plan-Citrix-graph-template.xml > Shared-Plan-Citrix-graph.xml./jinja.py setup.yaml Shared-Plan-F5-graph-template.xml > Shared-Plan-F5-graph.xml

Pythonエラーが表示されたら、条件の Pythonライブラリがシステムにインストールされていることを確認します。

ステップ 5 shared.cfgファイルを編集し、hosts: <YOUR_APIC_IP>および passwd:<YOUR_APIC_ADMIN_PASSWD>の値を設定します。shared.cfgファイルの例：host: <YOUR_APIC_IP>:443name: adminpasswd: <YOUR_APIC_ADMIN_PASSWD>tests:

- type: filepath: /ppi/node/mo/.xml

# file: asa-device-pkg-1.2.2.1.zip# Replace actual ASA Device package file in the line below

file: ASA-DEVICE-PACKAGE.zipwait: 2

- type: filepath: /ppi/node/mo/.xml

# file: CitrixNetscalerPackage.zip# Replace actual Citrix Device package file in the line below

file: CITRIX-DEVICE-PACKAGE.zip



wait: 2- type: filepath: /ppi/node/mo/.xml

# file: CitrixNetscalerPackage.zip# Replace actual F5 Device package file in the line below

file: F5-DEVICE-PACKAGE.zipwait: 2

- type: xmlpath: /api/node/mo/.xmlfile: tn-common.xmlwait: 0

- type: xmlpath: /api/node/mo/.xmlfile: Shared-Plan-Citrix-graph.xmlwait: 0

- type: xmlpath: /api/node/mo/.xmlfile: Shared-Plan-F5-graph.xmlwait: 0

ステップ 6 テンプレートをポストします。./request.py shared.cfg

サービス設定の削除

ここでは、サービス設定の削除方法について説明します。管理者のみがXMLPOSTを設定して送信できます。テンプレート POSTは、servicesディレクトリの apic-vrealizeパッケージにあります。

手順

ステップ 1 shared.cfgファイルを編集し、hosts: <YOUR_APIC_IP>および passwd:<YOUR_APIC_ADMIN_PASSWD>の値を設定します。

ステップ 2 setup.yamlファイルを編集して STATUS変数を deletedに設定し、削除されたバージョンのポストを生成します。

ステップ 3 次のコマンドを実行します。./jinja.py setup.yaml tn-common-template.xml > tn-common-del.xml./jinja.py setup.yaml Shared-Plan-Citrix-graph-template.xml > Shared-Plan-Citrix-graph-del.xml./jinja.py setup.yaml Shared-Plan-F5-graph-template.xml > Shared-Plan-F5-graph-del.xml

ステップ 4 テンプレートをポストします。./request.py shared_del.cfg



L3 外部接続についてレイヤ3（L3）外部接続は、スタティックルーティング、OSPF、EIGRP、BGPなどのL3ルーティングプロトコルによって、外部ネットワークに ACIファブリックを接続する Cisco ApplicationCentric Infrastructure（ACI）機能です。vRealizeに L3外部接続を設定することで、テナントネットワークはファブリック外部への発信トラフィックを開始し、外部からのトラフィックを引き付

けることができます。この機能の前提は、テナント仮想マシンの IPアドレスが、NATを使用しないファブリック外部に表示され、ACI L3外部接続に NATが含まれないことです。

vRealize に L3 外部接続を設定するため条件vRealizeにレイヤ 3（L3）外部接続を設定するには、次の条件を満たす必要があります。

• Application Policy Infrastructure Controller（APIC）の GUIにログインし、メニューバーで[TENANT] > [common]の順に選択します。

◦「default」という l3ExtOutを作成し、BD「default」を参照します。

◦ l3ExtOutの下に名前が「defaultInstP」の l3extInstPを作成します。これは、共有サービスのテナントで使用されます。

L3外部接続設定については、『Cisco APIC Getting Started Guide』を参照してください。

• APIC GUIにログインしていることを確認し、メニューバーで [TENANT] > [common]の順に選択します。

◦「vpcDefault」という l3ExtOutを作成し、BD「vpcDefault」を参照します。

◦この l3ExtOutの下に名前が「vpcDefaultInstP」の l3extInstPを作成します。

これは、VPCテナントで使用されます。

テナントの外部接続の設定については、『Cisco APIC Getting Started Guide』を参照してください。

vRealizeは、上述した命名規則以外の特別な要件なしで、共通の l3ExtOut設定を活用します。

共有または仮想プライベートクラウドプランのテナントエクスペリ

エンス

共有プランでのネットワークの作成

ここでは、共有プランでネットワークを作成する方法を説明します。


Cisco ACI with VMware vRealizeL3 外部接続について

手順

ステップ 1 vRealize Automationにテナント管理者としてログインして [Catalog]を選択します。

ステップ 2 [Navigation]ペインで、[Tenant Shared Plan]を選択します。

ステップ 3 [Tenant Shared Plan]ペインで [Add Tenant Network - Shared Plan]を選択し、次の操作を実行します。a) 入力フィールドのサービスブループリント情報を表示し、[Request]をクリックします。b) [Request Information]ペインで説明を追加して、[Next]をクリックします。c) [Step]ペインで、次の操作を実行します。d) [NetworkEPG name]フィールドに、新しい共有ネットワークの名前（new-shared-network）を入力します。

e) [DomainDVS name]フィールドに、APICに存在する VMMドメイン名（your_vmm_domain）を入力する必要があります。

f) [Submit]をクリックします。

VMware vRealize と APIC で新しく作成されたネットワークの確認この項では、VMware vRealizeとApplication Policy Infrastructure Controller（APIC）で新しく作成されたネットワークを確認する方法を説明します。

手順

ステップ 1 vRealize Automationにテナント管理者としてログインし、[Request]を選択して要求のステータスが正常であることを確認します。

ステップ 2 APIC GUIにテナントとしてログインし、[Tenants]を選択します。

ステップ 3 [Navigation]ペインで、[Tenant name] > [Application Profiles] > [default] > [Application EPGs] > [EPGnew-shared-network]の順に展開します。

ステップ 4 [Properties]ペインで、[Received Bridge Domain]フィールドが共通/デフォルトであることを確認します。

ステップ 5 [Navigation]ペインで [Domains (VMs and Bare-Metals)]を選択し、your_vmm_domainにバインドされていることを確認します。

VPC プランでのブリッジドメインの作成ここでは、VPCプランでブリッジドメインを作成する方法を説明します。


Cisco ACI with VMware vRealize共有または仮想プライベートクラウドプランのテナントエクスペリエンス

手順


ステップ 2 [Navigation]ペインで、[Tenant Network Services]を選択します。

ステップ 3 [Tenant Network Services]ペインで [Add or Delete Bridge domain in Tenant]を選択し、次の操作を実行します。

a) 入力フィールドのサービスブループリント情報を表示し、[Request]をクリックします。b) [Request Information]ペインで説明を追加して、[Next]をクリックします。c) [Step]ペインで、次の操作を実行します。d) [Bridge Domain name]フィールドに、ブリッジドメイン名（new-bd）を入力します。e) [Enable ARP Flooding]フィールドで [No]を選択します。f) [Enable flooding for L2 Unknown Unicast]フィールドで [hardware-proxy]を選択します。g) [Enable flooding for L3 Unknown Multicast]フィールドで [flood]を選択します。h) [L3 context (VRF)]フィールドで [Add]をクリックし、[your_apic] > [Tenants] > [your_tenant] >

[Networking] > [VRFs]の順に展開して、VRF（ctx1）を選択します。i) [Submit]をクリックします。j) [Operation]フィールドで [Add]を選択します。k) [Submit]をクリックします。

APIC で新しく作成したブリッジドメインの確認

ここでは、Application Policy Infrastructure Controller（APIC）で新しく作成したブリッジドメインを確認する方法について説明します。

手順


ステップ 2 [Navigation]ペインで、[Tenant name] > [Networking] > [Bridge Domain] > [your_newly_created_bd]の順に展開します。

ステップ 3 [Properties]ウィンドウで、フィールドが VMware vRealize GUIと同じであることを確認します。

VPC プランでのネットワークの作成およびブリッジドメインへの関連付けここでは、VPCプランでネットワークを作成してブリッジドメインに関連付ける方法を説明します。



手順


ステップ 2 [Navigation]ペインで、[Tenant VPC Plan]を選択します。

ステップ 3 [Tenant VPC Plan]ペインで [Add Tenant Network - VPC Plan]を選択し、次の操作を実行します。a) 入力フィールドのサービスブループリント情報を表示し、[Request]をクリックします。b) [Request Information]ペインで説明を追加して、[Next]をクリックします。c) [Step]ペインで、次の操作を実行します。d) [NetworkEPG name]フィールドに、新しい共有ネットワークの名前（new-vpc-network）を入力します。

e) [DomainDVS name]フィールドに、APICに存在する VMMドメイン名（your_vmm_domain）を入力する必要があります。

f) [Subnet Prefix]フィールドに、ゲートウェイ IPアドレスとサブネットマスクを入力します（10.1.1.1/24）。

g) [Submit]をクリックします。

APIC での VPC プランのネットワークとブリッジドメインへのアソシエーションの確認

ここでは、APICで新しく作成したブリッジドメインを確認する方法について説明します。

手順


ステップ 2 [Navigation]ペインで、[Tenant name] > [Application Profiles] > [default] > [Application EPGs] > [EPGnew-vpc-network]の順に展開します。

ステップ 3 [Properties]ペインで、ブリッジドメインが your_tenant/bd1であることを確認します。ステップ 4 [Navigation]ペインで [Domains (VMs and Bare-Metals)]を選択し、your_vmm_domainにバインドさ

れていることを確認します。

ステップ 5 [Navigation]ペインで、[Tenant name] > [Networking] > [Bridge Domain] > [bd1] > [Subnets]の順に展開します。

ステップ 6 [Subnets]ペインで、ネットワークを作成して VPCプラン（10.1.1.1/24）のブリッジドメインに関連付けた際に入力したゲートウェイ IPアドレスとサブネットマスクを確認し、スコープがプライベートから VRFであることを確認します。

ステップ 7 メニューバーで、[VM Networking]を選択します。

ステップ 8 [Navigation]ペインで、[VMware] > [your_vmm_domain] > [Controllers] > [vcenter1] > [DVS -your_vmm_domain] > [Portgroups]の順に展開し、ポートグループとテナントアプリケーションプロファイル EPG名が表示されていることを確認します。



テナント内のセキュリティポリシーの作成

ここでは、テナント内のセキュリティポリシーを作成する方法を説明します。

次の図は、Webとアプリケーションは同じブリッジドメインにありますが、通信していないことを示しています。Webとアプリケーションは隔離されていますが、ゲートウェイとは通信できます。Webとアプリケーションが通信するには、セキュリティポリシーを作成する必要があります。

はじめる前に

2つの仮想マシン（VM）を持つ 2つの共有ネットワークが設定されていることを確認します。

手順

ステップ 1 vRealize Automationに管理者としてログインし、[Catalog] > [Network Security]の順に選択します。

ステップ 2 [Add Security Policy (Contracts)]を選択します。

ステップ 3 [Request]を選択します。


ステップ 5 [Next]を選択します。

ステップ 6 [Step]タブで、次の操作を実行します。a) [Rule Entry List]フィールドに値を入力し、[Save]をクリックします。次の表は、各ルールエントリの値を示しています。

値ルールエントリリスト

•ブランク

•未指定

• 1～ 65535

dstFormPort




•ブランク

•未指定

• 1～ 65535

dstToPort

• icmp

• icmpv6

• tcp

• udp

•ブランク

protocol

• IP

• ARP

etherType

b) [Consumer Network/EPG name]フィールドで [Add]をクリックし、コンシューマのネットワーク/EPGを検索して選択します。（Webホスト）

c) [Submit]をクリックします。d) [Provider Network/EPG name]フィールドで [Add]をクリックし、プロバイダーのネットワーク/EPGを検索して選択します。（app-host）

e) [Submit]をクリックします。



APICでのテナント内でのセキュリティポリシーの確認

ここでは、APICでテナント内でセキュリティポリシーを確認する方法を説明します。

手順

ステップ 1 APICの拡張 GUIにテナントとしてログインし、メニューバーで [TENANTS]を選択します。

ステップ 2 [Navigation]ペインで、[Tenant your_tenant] > [Networking] > [Security Policies] > [Contracts]の順に展開します。



a) [Contracts]の下にネストされている名前が、プロバイダーとコンシューマの名前であることを確認します。（app-host_ctrct_web-hosts）

ステップ 3 [Navigation]ペインで、[Tenant your_tenant] > [Networking] > [Security Policies] > [Filters]の順に展開します。

a) [Filters]の下にネストされている名前が、プロバイダーとコンシューマの名前であることを確認します。（app-host_flt_web-hosts）

ステップ 4 [Navigation]ペインで、[Tenant your_tenant] > [Networking] > [Application Profiles] > [default] >[Application EPGs] > [EPG web-hosts] > [Contracts]の順に展開します。a) [Work]ペインで、コンシューマが [Comsumed]であることを確認します。

ステップ 5 [Navigation]ペインで、[Tenant your_tenant] > [Networking] > [Application Profiles] > [default] >[Application EPGs] > [EPG app-hosts] > [Contracts]の順に展開します。a) [Work]ペインで、プロバイダーが [Provided]であることを確認します。

テナント内のセキュリティポリシーの接続の確認

ここでは、テナント内のセキュリティポリシーの接続を確認する方法について説明します。

手順

ステップ 1 仮想マシン（Webホスト）にログインし、コマンドラインから他の VM（アプリケーションホスト）を pingします。

ステップ 2 仮想マシン（アプリケーションホスト）にログインし、コマンドラインから他の VM（Webホスト）を pingします。これにより、VMが互いに通信していることが確認できます。

共通テナントでの共有サービスの消費

ここでは、共通テナントでの共有サービスの消費について説明します。

はじめる前に

ブリッジドメインと「共通/デフォルト」の関係にある共通テナントの EPGが必要です。



手順

ステップ 1 テナントとして vRealize Automationにログインし、[Catalog] > [Network Security]の順に選択します。

ステップ 2 [Add Security Policy (Contracts)]を選択します。






•ブランク

•未指定

• 1～ 65535

dstFormPort

•ブランク

•未指定

• 1～ 65535

dstToPort

• icmp

• icmpv6

• tcp

• udp

•ブランク

protocol

• IP

• ARP

etherType

b) [Consumer Network/EPG name]フィールドで [Add]をクリックし、コンシューマのネットワーク/EPGを検索して選択します。（Webホスト）




d) [Provider Network/EPG name]フィールドで [Add]をクリックし、プロバイダーのネットワーク/EPGを検索して選択します。（SYSLOG-EPG）

e) [Submit]をクリックします。



APICのテナント共通でのセキュリティポリシーの確認

ここでは、APICでテナント共通でのセキュリティポリシーを確認する方法を説明します。

手順

ステップ 1 APICの拡張 GUIにテナントとしてログインし、メニューバーで [TENANTS]を選択します。

ステップ 2 [Navigation]ペインで、[Tenant your_tenant] > [Networking] > [Security Policies] > [Contracts]の順に展開します。

a) [Contracts]の下にネストされている名前が、プロバイダーとコンシューマの名前であることを確認します。（SYSLOG-EPG_ctrct_web-hosts）

ステップ 3 [Navigation]ペインで、[Tenant your_tenant] > [Networking] > [Security Policies] > [Filters]の順に展開します。

a) [Filters]の下にネストされている名前が、プロバイダーとコンシューマの名前であることを確認します。（SYSLOG-EPG_flt_web-hosts）

ステップ 4 [Navigation]ペインで、[Tenant your_tenant] > [Networking] > [Application Profiles] > [default] >[Application EPGs] > [EPG web-hosts] > [Contracts]の順に展開します。a) [Work]ペインで、コンシューマが [Comsumed]であることを確認します。

ステップ 5 [Navigation]ペインで、[Tenant your_tenant] > [Networking] > [Application Profiles] > [default] >[Application EPGs] > [EPG SYSLOG-EPG-hosts] > [Contracts]の順に展開します。a) [Work]ペインで、プロバイダーが [Provided]であることを確認します。

テナント共通でのセキュリティポリシーの接続の確認

ここでは、テナント共通でのセキュリティポリシーの接続を確認する方法について説明します。



手順

ステップ 1 仮想マシン（Webホスト）にログインし、コマンドラインから他の VM（SYSLOG-EPG）を pingします。

ステップ 2 仮想マシン（SYSLOG-EPG）にログインし、コマンドラインから他の VM（Webホスト）を pingします。

これにより、VMが互いに通信していることが確認できます。

セキュリティポリシー（アクセスコントロールリスト）の更新

ここでは、セキュリティポリシー（アクセスコントロールリスト）を更新する方法を説明しま

す。

手順


ステップ 2 [Update Security policies (Access Control Lists)]を選択します。




ステップ 6 [Step]タブで、次の操作を実行します。a) [apic security filter name]フィールドで [Add]をクリックして、vRealizeによってプッシュされたフィルタを見つけて選択します。

b) [Rule Entry List]フィールドに値を入力し、[Save]をクリックします。ルールエントリリストを再作成する必要があります。

このセキュリティポリシー（アクセスコントロールリスト）の更新を行うと、新し

いルールが追加され、同じ名前の既存ルールは上書きされます。

（注）

次の表は、各ルールエントリの値を示しています。


•ブランク

•未指定

• 1～ 65535

dstFormPort




•ブランク

•未指定

• 1～ 65535

dstToPort

• icmp

• icmpv6

• tcp

• udp

•ブランク

protocol

• IP

• ARP

etherType

c) [Update firewall access-list]フィールドで、アクセスリストがファイアウォールで使用されている場合は [Yes]をクリックし、そうでない場合は [No]をクリックします。

d) [Submit]をクリックします。



セキュリティポリシー（アクセスコントロールリスト）の削除

ここでは、セキュリティポリシー（アクセスコントロールリスト）を削除する方法について説

明します。



手順


ステップ 2 [Delete Security policies (Access Control Lists)]を選択します。




ステップ 6 [Step]タブで、次の操作を実行します。a) [Comsume Network/EPG name]フィールドで [Add]をクリックし、プロバイダーのネットワーク/EPGを検索して選択します。（Webホスト）

b) [Provider Network/EPG name]フィールドで [Add]をクリックし、プロバイダーのネットワーク/EPGを検索して選択します。（app-host）




VPC プランでのネットワークの作成ここでは、VPCプランでネットワークを作成する方法を説明します。

手順

ステップ 1 vRealize Automationアプライアンスにテナントとしてログインし、[Catalog] > [Tenant VPC Plan] >[Add Tenant Network - VPC plan]の順に選択して [Request]をクリックします。

ステップ 2 [Request Information]ペインで、次の操作を実行します。a) [Description]フィールドに、説明を入力します。b) [Next]をクリックします。

ステップ 3 [Step]ペインで、次の操作を実行します。a) [Network/EPG name]フィールドに、ネットワーク/EPG名を入力します。（web-hosts-vpc）b) [Domain Type]フィールドでドロップダウンリストから、仮想マシンに接続する場合は

[VmmDomain (Dynamic Binding)]、物理インフラストラクチャに接続する場合は [PhysDomain(Static Binding)]を選択します。vRealizeプラグインの全機能を使用するには、[VmmDomain(Dynamic Binding)]を選択することが推奨されます。

c) [Domain name]フィールドに、vCenterのドメイン名を入力します。（グリーン）



管理者によって提供されたドメイン名を使用します。

d) [Subnet prefix]フィールドに、ゲートウェイ IPアドレスとサブネットマスクを入力します。（192.168.1.1/24）サブネットプレフィクスは、この VPCで任意のホストに対して利用できるサブネットです。

e) [Submit]をクリックします。f) [OK]をクリックします。

ステップ 4 [Requests]を選択します。

ステップ 5 送信した要求を選択し、[view details]をクリックします。

ステップ 6 要求のステータスが [Successful]であることを確認します。

APIC での VPC プランのネットワークの確認

ここでは、APICで VPCプランのネットワークを確認する方法を説明します。

手順

ステップ 1 APICの拡張 GUIにテナントとしてログインします（[Tenants > your_tenant]）。ステップ 2 [Navigation]ペインで、[Tenant your_tenant] > [Application Profiles] > [default] > [Application EPGs] >

[EPG web-hosts-vpc]の順に選択します。

ステップ 3 [properties ]ペインの [Bridge Domain]フィールドで、テナント名と bd1があることを確認します。（green/bd1）

ステップ 4 [Navigation]ペインで、[Tenant your_tenant] > [Application Profiles] > [default] > [Application EPGs] >[EPG web-hosts-vpc] > [Domains (VMs and Bare-Metals)]の順に選択します。

ステップ 5 状態が作成され、ドメインプロファイルがVMware/vmmdomain_you_specified VMware/であることを確認します。

ステップ 6 [Navigation]ペインで、[Tenant your_tenant] > [Networking] > [Bridge Domains] > [bd1] > [Subnets]の順に選択します。

ステップ 7 [Subnets]で、指定したサブネットプレフィクスが存在することを確認します。

vCenter での VPC プランのネットワークの確認

ここでは、vCenterで VPCプランのネットワークを確認する方法を説明します。



手順

ステップ 1 vSphere Webクライアント GUIにログインし、[Networking]アイコンを選択します。

ステップ 2 [Navigation]ペインで、[vCenter_IP/Host] > [Datacenter] > [green] > [distributed_virtual_switch] >[port_group]の順に選択して存在することを確認します。port_group名の形式は、テナント名|アプリケーションプロファイル名|アプリケーション EPG名です。

マシンブループリントを使用しない VM の作成とネットワークへの接続ここでは、マシンブループリントを使用せずにマシン（VM）を作成しネットワークに接続する方法を説明します。

手順

ステップ 1 vSphere Webクライアント GUIにログインし、[Networking]アイコンを選択します。

ステップ 2 ナビゲーションウィンドウで、[vCenter_IP/Host] > [Datacenter] > [Unmanaged]の順に選択し、ACIネットワークを接続する仮想マシンを選択します。

ステップ 3 [Summary]ペインの [VM Hardware]セクションで、[Edit Settings]をクリックします。

ステップ 4 [Edit Settings]ダイアログボックスで、ACIネットワークに接続するネットワークアダプタを選択して、ドロップダウンリストから作成したポートグループを選択します。

（green|default|web-hosts-vpc (green)）

ステップ 5 [OK]をクリックします。この VMで ACIネットワーキングを利用できるようになりました。

ロードバランサのテナントネットワークへの追加について

ここでは、ロードバランササービスをテナントネットワーク（APICの EPG）に追加する手順について説明します。このリリースでは、ロードバランサの共有プランのみをサポートします。今

後のリリースでは、VPCプランがサポートされます。



このプランでは、ロードバランサを tn-commonに導入することで、共有インフラストラクチャを使用して vRAおよび APICテナントに消費モデルを提供します。

図 18：共有プラン：ロードバランサの概要

APIC上の設定要件

ここでは、APIC上の設定要件について説明します。

• APIC管理者によって、ロードバランサのデバイスパッケージがアップロードされる必要があります。

•ロードバランサのデバイスクラスタが、APIC管理者によって tn-common（テナント「共通」）で作成される必要があります。CitrixおよびF5は、ロードバランサでサポートされているベンダーです。

• Citrixおよび F5の共有プランのロードバランササービスグラフテンプレートが、APIC管理者によって tn-commonで作成される必要があります

VIP プールの追加

ここでは、VIPプールを追加する方法について説明します。



はじめる前に

vRAテナントが Loadbalancerサービスを利用するには、事前に vRA管理者が管理者カタログの「VIPプールの追加」サービスブループリントを使用して、vRAテナントごとに仮想 IPプールを作成する必要があります。

たとえば Tenant-Redの場合、VIPプールは 6.1.1.1～ 6.1.1.30で、Tenant-Greenの場合、VIPプールは 6.1.2.1～ 6.1.2.30です。

VIPプールは、テナント「共通」の BD「デフォルト」で定義されているサブネットの 1つである必要があります。

（注）

手順

ステップ 1 vRealize Automationに管理者としてログインし、[Catalog] > [Admin Services]の順に選択します。

ステップ 2 [Add VIP Pool]を選択し、フィールドに情報を入力して [Submit]をクリックします。

VIP プールの削除

ここでは、VIPプールの削除方法について説明します。

このブループリントでは、テナントで消費されるすべてのロードバランササービスを削除した後

に、VIPプールの必要なクリーンアップを行います。

手順


ステップ 2 [Delete VIP Pool]を選択して、フィールドに情報を入力し、[Submit]をクリックします。

テナントネットワークへのロードバランサの追加

vRAテナントはテナントネットワークにロードバランサ（LB）を追加できます。必要なパラメータは、ネットワーク名、LBデバイスクラスタ、LBエンドポイント（プロトコル、ポート）、ベンダータイプ、およびコンシューマ EPGまたは L3outです。このワークフローの一部として、プロバイダー EPGとして選択したテナントネットワークを持つすべての必要なサービスグラフインスタンスと契約（セキュリティポリシー）が作成されます。このロードバランスが設定された

エンドポイントのコンシューマは、テナント共通の L3outであることも、テナントに属する別のテナントネットワークであることもあります。



手順

ステップ 1 vRealize Automationに管理者としてログインし、[Catalog] > [Tenant Shared Plan]の順に選択します。

ステップ 2 [AddLoadBalancer to TenantNetwork - Shared Plan]を選択し、フィールドに情報を入力して、[Submit]をクリックします。

テナントネットワークからのロードバランサの削除

既存のテナントネットワークやエンドポイントグループからロードバランササービス（lb-port、lb-protocol）を削除できます。

手順


ステップ 2 [Delete Load Balancer to Tenant Network - Shared Plan]を選択します。

ステップ 3 フィールドに必要な情報を入力します。




ファイアウォールの設定

ここでは、テナントネットワーク（Application Policy Infrastructure Controllerのエンドポイントグループ）にファイアウォールサービスを追加する手順について説明します。

図 19：共有プラン：境界ファイアウォールのみの概要

テナントネットワークへのファイアウォールの追加

既存のテナントネットワークまたはエンドポイントグループにファイアウォールを追加できま

す。ファイアウォールのコンシューマは、別のVRF（たとえば「外部」のVRF）でレイヤ 3外部接続ポリシーを設定しておく必要があります。

手順


ステップ 2 [Add FW to Tenant Network - Shared Plan]を選択します。





テナントネットワークからのファイアウォールの削除

既存のテナントネットワークやエンドポイントグループからファイアウォールを削除できます。

手順


ステップ 2 [Delete FW from Tenant Network - Shared Plan]を選択します。



ファイアウォールとロードバランサの設定

ここでは、テナントネットワーク（Application Policy Infrastructure Controllerのエンドポイントグループ）にファイアウォールおよびロードバランササービスを追加する手順について説明しま

す。

このプランでは、ファイアウォールとロードバランサデバイスは「共通」テナントに導入され、

共有インフラストラクチャを使用する vRealize Automation（vRA）およびAPICテナントの消費モデルを提供します。

図 20：共有プラン：ファイアウォールとロードバランサの概要



テナントネットワークへのファイアウォールとロードバランサの追加

ファイアウォールおよびロードバランササービスを使用する前に、仮想 IPアドレスプールをテナントに追加する必要があります。

VIPプールの追加, （193ページ）を参照してください。

ファイアウォールとロードバランサは、既存のテナントネットワークまたはエンドポイントグ

ループに追加できます。ファイアウォールのコンシューマは、「外部」VRFで L3 out接続ポリシーを設定する必要があります。

はじめる前に

ファイアウォールおよびロードバランササービスを導入するには、ファイアウォールとロード

バランサの両方について、サービスのみが満たされている必要があります。

手順


ステップ 2 [Add FW and LB to Tenant Network - Shared Plan]を選択します。



テナントネットワークからのファイアウォールとロードバランサの削除

手順


ステップ 2 [Delete FWandLB fromTenantNetwork - Shared Plan]を選択し、フィールドに情報を入力して [Submit]をクリックします。

外部 L3 ネットワークインターネットアクセスの接続ここでは、外部レイヤ 3（L3）ネットワークインターネットアクセスを接続する方法を説明します。

はじめる前に

• L3ポリシーには任意の名前を選択できます。



•外部 L3ポリシーインスタンスの名前は [L3OutName|InstP]にする必要があります。

手順

ステップ 1 vRealize Automationにテナントとしてログインし、[Catalog] > [Tenant Network Service]の順に選択します。

ステップ 2 [Attach or Detach L3 external connectivity to Network]を選択します。






•ブランク

•未指定

• 1～ 65535

dstFormPort

•ブランク

•未指定

• 1～ 65535

dstToPort

• icmp

• icmpv6

• tcp

• udp

•ブランク

protocol

• IP

• ARP

etherType

b) [L3out Policy]フィールドで [Add]をクリックして、共通テナントの L3接続ポリシーを検索し選択します。（デフォルト）



c) [Network/EPG Name]フィールドで [Add]をクリックして、共通テナントのネットワーク/EPGを検索し選択します。（Webホスト）

d) [EPG/Network plan type]フィールドで [Add]をクリックして、共通テナントのネットワーク/EPGを検索し選択します。（Webホスト）

e) [Operation]フィールドで [Add]をクリックして、レイヤ 3出力を追加します。


APICでのセキュリティおよび L3 ポリシーの確認

ここでは、APICでセキュリティおよびレイヤ 3（L3）ポリシーを確認する方法について説明します。

手順

ステップ 1 APIC拡張 GUIにテナントとしてログインし、メニューバーで [TENANTS] > [common]の順に選択します。

ステップ 2 ナビゲーションウィンドウで、[Tenant Common] > [Networking] > [Security Policies] > [Contracts]の順に展開します。

a) [Contracts]の下にネストされて、接続先の end_user_tenant name-L3ext_ctrct_network_nameとの新しい契約があります。（green-L3ext_ctrct_web-hosts）

b) end_user_tenant name-L3ext_ctrct_network_nameを展開します。（green-L3ext_ctrct_web-hosts）c) end_user_tenant name-L3ext_ctrct_network_nameを展開します。（green-L3ext_ctrct_web-hosts）d) [Property]ペインの [Filter]フィールドで、フィルタをクリックします。（green-L3ext_filt_web-hosts）

e) [Properties]ペインで、フィルタが vRealizeにマッピングされていることを確認できます。

ステップ 3 ナビゲーションウィンドウで、[Tenant Common] > [Networking] > [External Routed Networks] >[default] > [Networks] > [defaultInstP]の順に展開します。a) [Properties]ペインの [Provided Contracts]フィールドに、end_user_tenant

name-L3ext_ctrct_network_nameが表示されています。（green-L3ext_filt_web-hosts）b) [Consumed Contracts]フィールドに、end_user_tenant name-L3ext_ctrct_network/EPG_nameが表示されています。（green-L3ext_filt_web-hosts）

ステップ 4 メニューバーで、[TENANTS] > [your_tenant]の順に選択します。ステップ 5 ナビゲーションウィンドウで、[Tenant your_tenant] > [Application Profile] > [default] > [Application

EPGs] > [EPG web-hosts] > [Contracts]の順に展開します。a) [Contracts]ペインで、契約および消費される契約が存在することを確認できます。



ネットワークの接続性の確認

ここでは、ネットワークの接続性を確認する方法について説明します。

手順

仮想マシン（Webホスト）ログインし、コマンドラインから他の VMを pingします。

アプリケーションの導入シナリオ

次の表に、サポートされる導入シナリオを示します。

説明導入シナリオ

セキュリティポリシー（「デフォルト」VRFで設定されたL3out）を使用して接続されたWeb層から L3外部接続ポリシー

[Web] > [L3out]

Web層とファイアウォールおよび L3out（「外部」VRFで設定された L3out）

[Web] > [Firewall] > [L3out]

Web層と L3out（「外部」VRFで設定されたL3out）に接続されたロードバランサ

[Web] > [Load Balancer] > [L3out]

Web層とL3out（「外部」で設定されたL3out）に接続されたロードバランサとファイアウォー

ルサービス

[Web] > [Load Balancer and Firewall] > [L3out]

セキュリティポリシーを使用して接続された、

アプリケーション層からWeb層[Application] > [Web]

セキュリティポリシーを使用して接続された、

データベース層からアプリケーション層

[Database] > [Application]

ロードバランサを使用したアプリケーション層

からWeb層。Web層からアプリケーション層へのトラフィックは、ロードバランスされま

す。

[Application] > [Load Balancer] > [Web]

マルチテナント環境では、サービス導入の設定にいくつかの制限があります。管理者は、この導

入においてアプリケーションが最初の（Web）層で、ファイアウォールサービスを使用するか、ロードバランサのみのサービスを使用するかを決定する必要があります。

次の表に、共有プランでサポートされるサービスの組み合わせを示します。


Cisco ACI with VMware vRealizeアプリケーションの導入シナリオ

EPG 間の LBFW > L3outLB のみ> L3outFW + LB > L3out展開タイプ

ありありありファイアウォール

のみまたはファイ

アウォールとロー

ドバランサ

ありありロードバランサの

み

マルチテナントの場合は、各テナントに専用のサービスデバイスを使用する必要があります。

ビルドプロファイルについて

ビルドプロファイルは、仮想マシンのカスタマイズを提供する vRealize Automation（vRA）コンストラクトです。ビルドプロファイルを使用すると、vRAは仮想マシンのライフサイクルの特定の段階で vRealize Orchestration（vRO）のワークフローを呼び出すことができます。この仮想マシン拡張機能は、Application Policy Infrastructure Controller（APIC）vRealizeによって、APIC vRAワークフローの呼び出しと APICポリシーの設定に使用されます。

APIC vRealizeは、多数のアプリケーション導入シナリオをサポートします。複数層アプリケーションでは、APICセキュリティポリシー、ロードバランシング、またはファイアウォールサービスを各層の間に挿入できます。これは、次の手順で達成されます。

1 [Admin Services]カタログの [Configure Build Profile]カタログ項目を実行して、ビルドプロファイルを作成します。

2 [Security Policy]タブ、[LoadBalancer]タブ、および [Firewall]タブを使用して、ビルドプロファイルをカスタマイズします。

3 vRealizeの [Infrastructure] > [Blueprints] > [SingleMachine Blueprint]レベルで、単一マシンブループリント内のビルドプロファイルを有効にします。

サービスブループリントについて

ここでは、サービスブループリントについて説明します。

vRealizeには 2セットのブループリントがあります。1つはマシンブループリントで、VMのインストール、セットアップ、およびスピンの計算用です。ネットワーキングワークフローのマシン

ブループリントと呼ばれる、単一層アプリケーションワークロードまたは複数層アプリケーショ

ンワークロードを起動するための単一マシンおよび複数マシンのブループリントが存在します。

管理ワークフロー：

• APICハンドルの作成

• VMMドメインの作成


Cisco ACI with VMware vRealizeビルドプロファイルについて

•テナントの作成

•共通のサブネットの作成

•レイヤ 7 ACLの作成

テナントワークフロー：

• EPGの作成

•コントラクトの作成

•コントラクトの提供

•コントラクトの使用

• L3Outの使用

•レイヤ 4～ 7のデバイスの使用

特定の設定へのサービスブループリントのカスタマイズ

CiscoAdvancedServiceDesigner（ASD）ブループリントを使用して、テナントの設定をカスタマイズできます。[Install ACI Service Catalog]ワークフローでテナントに関連付けられている vRealizeAutomation（vRA）ハンドルを指定することで、テナントを指定できます。

vRealize Utils を使用したブループリントのインポートおよびエンタイトルメントの設定

ここでは、vRealize Utilsを使用してブループリントをインポートし、エンタイトルメントを設定する方法について説明します。

手順


ステップ 2 VMware vRealize Orchestrator GUIが表示されたら、メニューバーのドロップダウンリストから[Run]を選択します。


ステップ 4 [vra_name] > [Cisco APIC workflows] > [Utils] > [Install ACI Service Catalog]の順に選択します。

ステップ 5 [Install ACI Service Catalog]を右クリックして [Start Workflow]を選択します。

ステップ 6 [Start Workflow: Install ACI Service Catalog]ダイアログボックスで、次の操作を実行します。a) [JSON File containing vRealize Properties]フィールドに、vRealizeプロパティを含む JSONファイルを入力します。（vra-properties.json）

b) [Delete All Cisco Service Blueprints (Cannot be reverted)]オプションボタンに対して [Yes]を選択します。

c) [Zip file containing the service blueprints]フィールドに、サービスブループリントを含む zipファイルの名前を入力します。（advanced-designer-service.zip）


Cisco ACI with VMware vRealizeサービスブループリントについて

d) [Do you want to use an existing vRA handle and business group]オプションボタンに対して [No]を選択します。

e) [Do you want to use an existing vRA handle]オプションボタンに対して [No]を選択します。f) [Do you want to use an existing vRA business group]オプションボタンに対して [Yes]を選択します。

g) [Admin user]フィールドに、管理者のユーザ名と完全修飾ドメイン名を入力します。（[email protected]）

h) [End user]フィールドに、vRealize関連付けられているエンドユーザ名を入力します。（[email protected]）これらのユーザは、エンタイトルメントのテナントユーザです（管理者エンタイトルメントを

除く）。

i) [Submit]をクリックします。

ステップ 7 [Navigation]ペインで、[Install ACI Service Catalog]を展開します。

ステップ 8 [Install ACI Service Catalog] xx.yy.zzを右クリックして（ここで、xx.yy.zzはインストールしたばかりのサービスカタログの識別子です）、[Start Workflow]を選択します。

ステップ 9 [Workflow interacton form - Install ACI Service Catalog : User interaction]ダイアログボックスで、次の操作を実行します。

a) [Host Name]フィールドに、ホストの名前をスペースなしで入力します。b) [Host URL]フィールドにホストの URLを入力します。c) [Automatically install SSL certificates]オプションボタンに対して、[Yes]を選択します。d) [Connection]フフィールドは、デフォルト値のままにします。e) [Operation timeout]フフィールドは、デフォルト値のままにします。f) [Tenant]フィールドに、テナントの名前をすべて小文字で入力します。g) [Authentication username]フィールドに、管理者のユーザ名と完全修飾ドメイン名を入力します。

h) [Authentication password]フィールドに、管理者のパスワードを入力します。i) [Submit]をクリックします。

ステップ 10 [Navigation]ペインで、[Install ACI Service Catalog]を展開します。

ステップ 11 [Install ACI Service Catalog] xx.yy.zzを右クリックして（ここで、xx.yy.zzはインストールしたばかりのサービスカタログの識別子です）、[Start Workflow]を選択します。

ステップ 12 [Workflow interacton form - Install ACI Service Catalog : Ask for business group]ダイアログボックスで、[Not set]をクリックします。

ステップ 13 [Select]ダイアログボックスで、[vCloudAutomationCenter] > [CiscoAPICworkflows] > [Administration]> [BusinessGroups] > [business_group]の順に選択します。business_groupは、設定のビジネスグループです。

ステップ 14 [Select]をクリックします。

ステップ 15 [Workflow interacton form - Install ACI Service Catalog : Ask for business group]ダイアログボックスで、[Submit]をクリックします。


Cisco ACI with VMware vRealizeサービスブループリントについて

ビジネスグループが送信されると、ワークフローによって、カタログ項目とエンタイトルメント

に割り当てられてたユーザで vRealize Automationが設定されます。このワークフローは約 5分で完了します。

vRealize Orchestrator の APIC ワークフローのマニュアルAPICのメソッドとタイプに関するドキュメントを入手するために、vROAPIの検索を使用できます。

1 vRO GUIにログインし、[Tools] > [API Search]の順に選択します。

2 [APIC]を入力します。

これにより、APICのすべてのメソッドとタイプの一覧が表示されます。

ApicConfigHelper クラスのメソッド一覧ここでは ApicConfigHelperクラスのメソッド一覧を示します。

•リポジトリにAPICホストを追加し、APICにログインします。ApicHandle addHost(String hostName,

String hostIp0,String hostIp1,String hostIp2,String userName,String pwd,int port,boolean noSsl,String role,String tenantName)

• APIC名を指定して APICハンドルを取得します。ApicHandle getApicHandle(String hostName)

• <role, username>を指定して APICハンドルの一覧を取得します。List<ApicHandle> getApicHandleByRole(String role, String userName)

•リポジトリから APICホストを削除します。boolean removeHost(String inApicName)

• APICでテナントのエンドポイントグループと vmmDomainへの関連付けを作成します。ApicResponse addNetwork(ApicHandle handle,

String tenantName,String apName,String epgName,String bdName,String ctxName,String subnet,String domName,boolean vmm,boolean vpc)

•追加または削除することで、エンドポイントグループのドメインを更新します。ApicResponse updateNetwork(ApicHandle handle,

String tenantName,String apName,


Cisco ACI with VMware vRealizevRealize Orchestrator の APIC ワークフローのマニュアル

String epgName,String domName,boolean vmm,boolean add)

•仮想プライベートクラウド（VPC）テナントのブリッジドメインのサブネットを追加または削除します。

ApicResponse updateSubnets(ApicHandle handle,String tenantName,String bdName,fvSubnet subnetList[],boolean add)

•テナントのブリッジドメインを追加または削除します。ApicResponse updateBD(ApicHandle handle,

String tenantName,String bdName,String ctxName,boolean arpFlooding,String l2UnknownUnicast,String l3UnknownMulticast,boolean add)

•テナントのコンテキスト（Ctx）を追加または削除します。ApicResponse updateCtx(ApicHandle handle,

String tenantName,String ctxName,boolean add)

•追加または削除に基づいて以下を追加または削除します。ApicResponse addOrDeleteLBToNetwork(ApicHandle handle,

String tenantName,String apName,String epgName,String bdName,String ctxName,boolean vpc,String planName,String lbVendor,String ldevName,String graphName,boolean sharedLb,String protocol,String port,String consumerDn,String snipIntAddress,String snipIntNetMask,String snipExtAddress,String snipExtNetMask,String snipNextHopGW,boolean addOperation)

• URLへの接続を開き、URLの場所に postBody文字列を送信して、結果を返します。ApicResponse addOrDelFWReq(ApicHandle handle,

String tenantName,String apName,String epgName,String ctrctName,String graphName,vzEntry entryList[],String consumerDn,boolean addOp,boolean updateOp)



•共有および VPCプランのエンドポイントグループにファイアウォールサービスを追加します。

ApicResponse addFWToNetwork(ApicHandle handle,String tenantName,String apName,String epgName,boolean vpc,String fwVendor,String ldevName,String graphName,vzEntry entryList[],String fwL3extExternal,String fwL3extInternal,boolean skipFWReq,String consumerDn)

•共有および VPCプランのエンドポイントグループからファイアウォールを削除します。ApicResponse deleteFWFromNetwork(ApicHandle handle,

String tenantName,String apName,String epgName,boolean vpc,String graphName,String ctrctName,String protocol,String startPort,boolean skipFWReq,String consumerDn)

• REST APIを APICに対して実装します。String apicRestApi(ApicHandle handle,

String apiUrl,String method,String postBody)

•テナントのルータ IDを追加または削除します。ApicResponse addOrDelRouterId(ApicHandle handle,

String rtrId,boolean addOp)

•テナントのエンドポイントグループと関連付けを削除します。ApicResponse deleteNetwork(ApicHandle handle,

String tenantName,String apName,String epgName)

• APICでテナント、ブリッジドメイン、およびコンテキスト（Ctx）を作成します。ApicResponse addTenant(ApicHandle handle,

String tenantName,String bdName,String ctxName,String aaaDomain)

• APICでテナントを削除します。ApicResponse deleteTenant(ApicHandle handle,

String tenantName)

• VlaNS、vmmDomP、vmmCtrlP、vmmUsrAccp、および必要な関係オブジェクトを APICに追加します。

ApicResponse addVmmDomain(ApicHandle handle,String dvsName,String vcenterIP,String userName,



String passwd,String datacenter,String vlanPoolName,int vlanStart,int vlanEnd,String aaaDomain)

• VlanNSと vmmDomPオブジェクトを APICから削除します。ApicResponse deleteVmmDomain(ApicHandle handle,

String domName,String vlanPoolName)

• VLANプールのカプセル化ブロックを追加または削除します。ApicResponse updateVlanPool(ApicHandle handle,

String vlanPoolName,fvnsEncapBlk encapList[])

•セキュリティポリシー（契約エントリ）を追加します。ApicResponse addSecurityPolicySet(ApicHandle handle,

String tenant,String ap,String srcEpg,String dstEpg,vzEntry entryList[],boolean createFlg)

•セキュリティポリシー（契約エントリ）を更新します。ApicResponse updateSecurityFilters(ApicHandle handle,

String tenant,String filterName,vzEntry entryList[])

•コンシューマ契約インターフェイスを追加または削除します。ApicResponse updateSharedSvcConsumer(ApicHandle handle,

String tenant,String ap,String consumerEpg,vzBrCP contract,boolean add)

•セキュリティポリシー（契約エントリ）を更新します。ApicResponse updateL3outPolicy(ApicHandle handle,

String tenant,String ap,String dstEpg,vzEntry entryList[],l3extOut l3out,boolean vpc,boolean add)

•すべてのセキュリティポリシー（契約）を削除します。ApicResponse deleteSecurityPolicy(ApicHandle handle,

String tenant,String ap,String srcEpg,String dstEpg)

• TN共通の VIPアドレスブロックを作成します。ApicResponse addVipPool(ApicHandle handle,

String planName,



String addrStart,String addrEnd)

• TN共通の VIPアドレスブロックを削除します。ApicResponse deleteVipPool(ApicHandle handle,

String planName,String addrStart,String addrEnd)

•セキュリティドメインの関連付けを追加または削除します。ApicResponse updateVmmDomain(ApicHandle handle,

String domName,aaaDomainRef aaaList[])

•契約から共有サービスプロバイダー（エンドポイントグループ）を削除します。ApicResponse deleteSharedServiceProvider(ApicHandle handle,

String tenant,String ap,String srcEpg,String dstEpg,vzBrCP contract)

APIC プラグインメソッドを使用したカスタムワークフローの記述ここでは、Application Policy Infrastructure Controller（APIC）プラグインメソッドを使用してカスタムワークフローを記述する方法について説明します。テナントには、既定の設計ではカバーさ

れない論理ネットワークトポロジ固有の要件が存在することがあります。既存のCiscoAPICワークフローをカスタムワークフローに統合することで、制限のないネットワーク設計が可能になり

ます。

すべてのワークフローには入力パラメータセットが必要であり、新しいオブジェクトを作成する

ワークフローは出力パラメータセットをエクスポートします。出力パラメータは、次のワークフ

ローの入力パラメータに結合できます。

次の手順例では、新しいネットワークを構築するカスタムワークフローを作成し、新たに作成し

たネットワークをアタッチレイヤ 3ワークフローの入力に直接渡します。

手順

ステップ 1 vRealize Orchestratorにログインします。

ステップ 2 [Design]モードに切り替えます。

ステップ 3 [Navigation]ペインで、[Custom Workflow]というフォルダを作成します。

ステップ 4 [Custom Workflow]フォルダを選択します。

ステップ 5 [Work]ペインで [New workflow]ボタンをクリックします。

ステップ 6 [Workflow name]ダイアログボックスに、ワークフローの名前を入力します。例：

Create_Network_Attach_L3


Cisco ACI with VMware vRealizeAPIC プラグインメソッドを使用したカスタムワークフローの記述


ステップ 8 [Schema]タブを選択します。

ステップ 9 [Navigation]ペインで、[All Workflows] > [Administrator] > [Cisco APIC workflows] > [Tenant SharedPlan]の順に展開します。

ステップ 10 [Add Tenant Network - Shared Plan]を [Work]ペインの青い矢印にドラッグアンドドロップします。

ステップ 11 [Do you want to add the activity's parameters as input/output to the current workflow?]ダイアログボックスで、[Setup...]をクリックします。

ステップ 12 [Promote Workflow Input/Output Parameters]ダイアログボックスで、[Promote]をクリックします。すべての値をデフォルトのままにします。

ステップ 13 [Navigation]ペインで、[All Workflows] > [Administrator] > [APIC workflows] > [Advanced NetworkServices]の順に展開します。

ステップ 14 [Attach or Detach L3 external connectivity to Network]を [Work]ペインの [Add Tenant Network]オブジェクトの右側にある青い矢印にドラッグアンドドロップします。

ステップ 15 [Do you want to add the activity's parameters as input/output to the current workflow?]ダイアログボックスで、[Setup...]をクリックします。

ステップ 16 [Promote Workflow Input/Output Parameters]ダイアログボックスで、[Promote]をクリックします。すべての値をデフォルトのままにします。

ステップ 17 [Inputs]タブを選択します。画面にワークフローの入力が表示されます。入力がすべて表示され、作成されたエンドポイント

グループが出力パラメータであることを確認できます。

ステップ 18 [Schema]タブを選択します。

ステップ 19 [Work]ペインで [Validate]をクリックして、カスタムワークフローが有効であることを確認します。

ステップ 20 [Close]をクリックします。

ステップ 21 [Run]をクリックしてワークフローをテストします。

ステップ 22 [Start Workflow]ダイアログボックスで [Submit]をクリックして、ワークフローを開始します。

マルチテナントおよびセキュリティドメインを使用したロールベース

のアクセス制御

APICと vRAは両方ともネイティブでマルチテナントをサポートしています。vRAテナントユーザは APICテナントユーザと 1対 1でマッピングされるため、両方のシステムでテナント名が正確に一致する必要があります。

vRAテナントごとに、APIC管理者はユーザアカウントと必要なセキュリティドメインおよびロールが Day-0操作の一部として APICで作成されていることを確認する必要があります。


Cisco ACI with VMware vRealizeマルチテナントおよびセキュリティドメインを使用したロールベースのアクセス制御

次の手順として、vRA管理者はテナントサービス追加ブループリントを実行し（管理者カタログの一部）、APICでテナントを作成/更新して、適切なセキュリティドメインに関連付けます。たとえば、vRAのテナント -グリーンは、「ユーザ -グリーン」に対して有効化されたセキュリティドメイン「ドメイン -グリーン」との関連付けで、APICのテナント -グリーンにマップされます。

テナントを適切なセキュリティドメインに関連付けることで、ロールベースのアクセス制御が実

施され、きめ細かいより厳格なテナントのポリシー適用が可能になります。

テナントの追加

ここでは、テナントを追加する方法について説明します。

このブループリントでは、入力パラメータ「Tenant」によって指定されるテナントは、2番目の入力によって指定されるセキュリティドメインと関連付けた状態で APICに作成されます。

手順


ステップ 2 [Add Tenant]を選択し、フィールドに情報を入力して [Submit]をクリックします。

テナントの削除

ここでは、APICからテナントを削除する方法について説明します。

手順


ステップ 2 [Delete Tenant]を選択し、フィールドに情報を入力して [Submit]をクリックします。

APICワークフローのクレデンシャルvRAとの ACI統合の一部として、このリリースでは、vRAと APICクラスタで管理されるACIファブリックとのペアリングをサポートしています。複数の ACIファブリックのサポートは、将来的にサポートされます。

ネットワークサービスブループリントは管理者ワークフローとテナントワークフローに分類さ

れるため、vRA管理者は vRA-Tenantごとに、APIC-Adminクレデンシャルと APIC-Tenantクレデンシャルの APIC接続ハンドルを設定する必要があります。


Cisco ACI with VMware vRealizeAPICワークフローのクレデンシャル

プラグインの一部として、ワークフローのコンテキストおよび APICでのオブジェクトの作成と管理に必要な権限に基づいて、適切なハンドル（管理者 vsテナント）が暗黙的に自動選択されます。これにより、テナントに強力なアクセス制御と分離が提供されます。

管理者クレデンシャルを用いた APIC の追加ここでは、管理者クレデンシャルで APICを追加する方法について説明します。

管理者ポータルのカタログ項目に含まれるすべてのブループリントとワークフローは管理者クレ

デンシャルを使用して実行されます。

手順

ステップ 1 vRealize Automationに管理者としてログインし、[Catalog] > [VM Services]の順に選択します。

ステップ 2 [Add APIC with Admin Credentials]を選択し、フィールドに情報を入力して、[Submit]をクリックします。

テナントクレデンシャルを用いた APIC の追加ここでは、テナントの管理者クレデンシャル（セキュリティドメイン）の使用方法について説明

します。

手順


ステップ 2 [Add APIC with Tenant credentials]を選択し、フィールドに情報を入力して [Submit]をクリックします。

トラブルシューティングここでは、トラブルシューティングテクニックについて説明します。

レポート対象ログの収集

ここでは、レポートする vRealizeアプライアンスからログファイルを収集する方法を説明します。


Cisco ACI with VMware vRealizeトラブルシューティング

手順

ログファイルを収集するには、次のコマンドを入力します。tar xvfz apic-vrealize-1.2.1x.tgzcd apic-vrealize-1.2.1xcd scripts/./get_logs.shUsage: get_logs.sh [-u] [-p <password>] [-s <vra_setup>]

-p password (can be skipped for default passwd)-s vra_setup-u un-compress (ie., don't create .tar.gz file)

Example:./get_logs.sh –p ***** -s vra-app…VMware vCloud Automation Center ApplianceCompressing Logslogs/logs/app-server/logs/app-server/catalina.outlogs/app-server/server.loglogs/configuration/logs/configuration/catalina.outLogs saved in vra_logs_201511251716.tar.gz

ACI ヘルパースクリプトのインストールここでは、ヘルパースクリプトのインストール方法について説明します。ACIヘルパースクリプトは以下を実行します。

• vcoサーバと vcoコンフィギュレータを再起動します。

• APICプラグインをアンインストールします。

手順

ヘルパースクリプトをインストールするには、次のコマンドを入力します。cd scripts./install_apic_scripts.shUsage: install_apic_scripts.sh [-p <password>] [-s <vra_setup>]

-p password-s vra_setup

Example:./install_apic_scripts.sh -p ***** -s vra-appCopying APIC scripts 'rmapic', 'restart' to vra: vra-app


Cisco ACI with VMware vRealizeACI ヘルパースクリプトのインストール

APICプラグインの削除ここでは、APICプラグインの削除方法について説明します。

手順

ステップ 1 SSHを使用して rootとして VRAアプライアンスにログインします。$ ssh root@<vra_ip>

ステップ 2 ~/rmapicに rmapic bashスクリプトを作成し、以下の内容を追加します。#!/bin/bash

cd /usr/lib/vcofind . -name "*aci*" -exec rm -rf {} \;cd /var/lib/vcofind . -name "*aci*" -exec rm -rf {} \;\rm -f /var/lib/vco/app-server/conf/plugins/apic.xmlservice vco-configurator restart;sleep 10;service vco-server restart

ステップ 3 rmapic bashスクリプトのアクセス許可を実行可能に変更します。# chmod a+x rmapic

ステップ 4 rmapic bashスクリプトを実行して、APICプラグインを削除します。# ~/rmapic

ステップ 5 [Plug-ins]をクリックします。

ステップ 6 右側のペインでスクロールして、[search/browse]をクリックします。a) aci-vra-plugin-1.2.1000.N.darファイルを保存した場所を検索して、aci-vra-plugin-1.2.1000.N.darを選択します。

b) [Upload and install]をクリックします。

ステップ 7 コンフィギュレータとアプリケーションサーバを再起動します。service vco-configurator restart;sleep 10;service vco-server restart

プラグインの概要

APIC マネージドオブジェクト名

vRO JavaScript オブジェクト名vRA ブループリント入力パラメータ

com.cisco.apic.mo.fvTenantApicTenantテナント

com.cisco.apic.mo.fvBDApicBridgeDomainブリッジドメイン

com.cisco.apic.mo.fvCtxApicL3ContextVRF

com.cisco.apic.mo.fvAEPgApicEPGテナントネットワーク（EPG）


Cisco ACI with VMware vRealizeAPICプラグインの削除

APIC マネージドオブジェクト名

vRO JavaScript オブジェクト名vRA ブループリント入力パラメータ

com.cisco.apic.mo.vzBrCPApicSecurityPolicyセキュリティポリシー（契約）

com.cisco.apic.mo.vzFilterApicSecurityFilterセキュリティフィルタ

com.cisco.apic.mo.vzEntryApicSecurityRuleセキュリティルール

com.cisco.apic.mo.aaaDomainApicAAADomainAAAドメイン

com.cisco.apic.mo.vmmDomPApicVmmDomainVMMドメイン

com.cisco.apic.mo.vmmCtrlrPApicVmmControllerVMMコントローラ

com.cisco.apic.mo.physDomPApicPhysicalDomain物理的なドメイン

com.cisco.apic.mo.vnsLDevVipApicLogicalLBDeviceL4-L7デバイスクラスタ

com.cisco.apic.mo.l3extOutApicL3ConnectivityL3外部接続

vRealize Orchestrator におけるテナント用 vCAC ホストの設定

ここでは、vRealizeOrchestratorr（vRO）でテナント用vCACホストを設定する方法を説明します。

デフォルトで作成された vCACホストハンドルがすでに 1つ存在します。これはグローバルなテナント用で、管理を目的として、IaaSホストハンドルを作成するために使用します。

（注）

手順




ステップ 4 [Adminstrator@vra_name] > [Library] > [vCloud Automation Center] > [Configuration] > [Add a vCAChost]の順に選択します。

ステップ 5 [Add a vCAC host]を右クリックして、[Start Workflow]を選択します。

ステップ 6 [Start Workflow: Add a vCAC host]ダイアログボックスで、次の操作を実行します。


Cisco ACI with VMware vRealizevRealize Orchestrator におけるテナント用 vCAC ホストの設定

a) [Host Name]フィールドにホスト名を入力します。b) [Host URL]フィールドにホストの URLを入力します。c) [Autotmatically install SSL certificates]は [Yes]を選択します。d) [Connection timeout]フィールドに "30"と入力します。e) [Operation timeout]フィールドに "60"と入力します。f) [Session Mode]は [Shared session]を選択します。g) [Tenant]フィールドに、テナント名を入力します。h) [Authentication username]フィールドに、テナント管理者のユーザ名を入力します。i) [Authentication pwd]フィールドに、テナント管理者のパスワードを入力します。j) [Submit]をクリックします。

vRealize Orchestrator における IaaS ホストの設定ここでは、vRealize Orchestratorr（vRO）で IaaSホストを設定する方法を説明します。

手順




ステップ 4 [Adminstrator@vra_name] > [Library] > [vCloud Automation Center] > [Configuration] > [Add the Iaas hostof a vCAC host]の順に選択します。

ステップ 5 [Add the Iaas host of a vCAC host]を右クリックして、[Start Workflow]を選択します。

ステップ 6 [Start Workflow: Add the Iaas host of a vCAC host]ダイアログボックスで、次の操作を実行します。a) [vCAC Host]ドロップダウンリストで、システムによって作成されたデフォルトの vCACホストを選択します。テナントハンドルは選択しないでください。

b) [Host Name]フィールドは、自動で設定された名前をそのまま残します。c) [Host URL]フィールドに vRAホストの URLを入力します。d) [Connection timeout]フィールドに "30"と入力します。e) [Operation timeout]フィールドに "60"と入力します。f) [Session Mode]は [Shared session]を選択します。g) [Authentication username]フィールドに、IaaS管理者のユーザ名を入力します。h) [Authentication pwd]フィールドに、IaaS管理者のパスワードを入力します。i) [Workstation for NTLM authentication]フィールドに、IaaSホスト名を入力します。j) [Domain for NTLM authentication]フィールドに、IaaSドメイン名を入力します。k) [Submit]をクリックします。


Cisco ACI with VMware vRealizevRealize Orchestrator における IaaS ホストの設定

vRO カスタマイズのインストールここでは、vRealize Orchestrator（vRO）カスタマイズをインストールする方法について説明します。これにより、仮想マシンの拡張が vRealize Automation（vRA）/IaaSで有効になります。vROカスタマイズとインストール手順については、次のWebサイトに詳細が説明されています。

http://orchestration.io/2015/02/09/installing-vro-customizations-on-vrealize-automation/

手順




ステップ 4 [Adminstrator@vra_name] > [Library] > [vCloud Automation Center] > [Infrastructure Administration] >[Extensibility] > [Installation] > [Install vRO Customization]の順に選択します。

ステップ 5 [Install vRO Customization]ダイアログボックスで、次の操作を実行します。a) [vCAC Host]画面の [vCAC host]ドロップダウンリストで、[IaaS host]を選択します。b) [Next]をクリックします。c) [Stubs]画面で、デフォルト値を使用します。d) [Next]をクリックします。e) [Virtual machine menus]画面で、メニューの操作数を、必要に応じて変更します。f) [Submit]をクリックします。


Cisco ACI with VMware vRealizevRO カスタマイズのインストール

http://orchestration.io/2015/02/09/installing-vro-customizations-on-vrealize-automation/


Cisco ACI with VMware vRealizevRO カスタマイズのインストール

第 7 章

Cisco ACI with Microsoft SCVMM


• Cisco ACI with Microsoft SCVMMについて, 219 ページ

• CiscoACI with Microsoft SCVMMの開始, 222 ページ

• Cisco ACI with Microsoft SCVMMコンポーネントのアップグレード, 245 ページ

• テナントのポリシーの導入, 249 ページ

• Cisco ACI with Microsoft SCVMMのトラブルシューティング, 253 ページ

• REST APIリファレンス, 254 ページ

• 参考資料, 258 ページ

• プログラマビリティのリファレンス, 263 ページ

• 設定リファレンス, 264 ページ

• Cisco ACI with Microsoft SCVMMコンポーネントのアンインストール, 265 ページ

• Cisco ACI with Microsoft SCVMMコンポーネントでの APICコントローラとスイッチソフトウェアのダウングレード, 267 ページ

• APIC OpFlex証明書のエクスポート, 268 ページ

Cisco ACI with Microsoft SCVMM についてApplication Policy Infrastructure Controller（APIC）をMicrosoft VM管理システムと統合して、プラットフォームのネットワーク管理機能を拡張します。Cisco Application Centric Infrastructure（ACI）は、Microsoft VM管理システムの次のレベルで統合されます。

• Cisco ACI with Microsoft System Center Virtual Machine Manager（SCVMM）：Cisco ACIと統合すると、SCVMMはネットワーク管理のために ACIと SCVMM間の通信を可能にします。


SCVMMから SCVMM HAへの移行は、Microsoftではサポートされません。（注）

• Cisco ACI with Microsoft Windows Azure Pack：Cisco ACI with Microsoft Windows Azure Packの設定方法については、Cisco ACI with Microsoft Windows Azure Packソリューションの概要, （272ページ）を参照してください。

Cisco ACI with Microsoft SCVMM ソリューションの概要この統合ポイントでは、Application Policy Infrastructure Controller（APIC）とMicrosoft SystemCenterVirtual Machine Manager（SCVMM）は、ネットワーク管理のために互いに通信します。エンドポイントグループ（EPG）がAPICで作成され、SCVMMのVMネットワークとして作成されます。計算は SCVMMでプロビジョニングされ、これらのネットワークを利用できます。

SCVMM の物理トポロジと論理トポロジ次の図は、Cisco Application Centric Infrastructure（ACI）ファブリックでの一般的な System CenterVirtual Machine Manager（SCVMM）導入の典型的なトポロジを示しています。Microsoft SCVMMサービスはスタンドアロンサービスとしてまたは可用性の高いサービスとして、物理ホストや仮

想マシンに導入できますが、論理的には APICと通信する単一の SCVMMインスタンスです。


Cisco ACI with Microsoft SCVMMCisco ACI with Microsoft SCVMM ソリューションの概要

SCVMMサービスとApplication Policy InfrastructureController（APIC）との接続は、管理ネットワークを介して行われます。

図 21：ACI ファブリックと SCVMM のトポロジ

SCVMM での ACIの構造のマッピングについてここでは、Microsoft System Center Virtual Machine Manager（SCVMM）での Application PolicyInfrastructure Controller（APIC）の構造のマッピングの表と図を示します。

表 3：APICおよび SCVMM の構造のマッピング

システムセンターAPIC

論理スイッチと論理ネットワークVMMドメイン

SCVMMVMMコントローラ

クラウドSCVMMクラウド名

VMネットワークEPG


Cisco ACI with Microsoft SCVMMSCVMM での ACIの構造のマッピングについて

システムセンターAPIC

各論理スイッチに 1つのインフラストラクチャVMネットワーク

インフラストラクチャ VLAN

図 22：ACIおよび SCVMM の構造のマッピング

マッピングは次のルールに従います。

• 1つの VMMドメインを、同じ SCVMMに複数回マッピングすることはできません。

CiscoACI with Microsoft SCVMM の開始ここでは、Cisco Application Centric Infrastructure（ACI）withMicrosoft SystemCenter Virtual MachineManager（SCVMM）を開始する方法について説明します。

Cisco ACI with Microsoft Windows Azure Packをインストールする前に、Cisco ACIと 1.2(1i)リリースのMicrosoft Integrationファイルをダウンロードして解凍します。

1 次のアドレスのシスコのApplication Policy Infrastructure Controller（APIC）Webサイトにアクセスします。


2 [All Downloads for this Product]を選択します。

3 リリースバージョンと aci-msft-pkg-1.2.1i.zipファイルを選択します。

4 [Download]をクリックします。

5 aci-msft-pkg-1.2.1i.zipファイルを解凍します。


Cisco ACI with Microsoft SCVMMCiscoACI with Microsoft SCVMM の開始



CiscoACIと System Center Virtual Machine Manager（SCVMM）では ASCII文字のみをサポートしています。非 ASCII文字はサポートしていません。

（注）

Cisco ACI with Microsoft SCVMM の開始の条件開始する前に、コンピューティング環境が以下の前提条件を満たしていることを確認します。

• Microsoft System Center 2012 R2 - Virtual Machine Manager（SCVMM）サーバおよび管理者コンソール（SCVMM）と更新ロールアップ 5、6または 7がインストールされていることを確認してください。

Microsoftのマニュアルを参照してください。

• Windows Server 2012 R2が、Hyper-Vロールが有効化されたHyper-V Serverにインストールされていることを確認します。


• SCVMMでクラウドが設定され、そのクラウドに適切なホストが追加されていることを確認します。


•インフラストラクチャ VLANが有効な「default」 AEPが存在することを確認します。

• APICSCVMMおよびホストエージェント用のCiscoMSIファイルがあることを確認します。

CiscoACI with Microsoft SCVMMの開始, （222ページ）を参照してください。

• SCVMMのインストールのメンテナンスウィンドウをスケジュールしたことを確認します。Cisco ACI SCVMMのインストールプロセスにより、現在実行中の SCVMMサービスインスタンスが自動的に再起動されます。

SCVMMで VMがダイナミックMACで設定されている場合、SCVMMでこれらのMACアドレスを認識または検出するのに時間がかかるため、APICで VMインベントリを更新するのに時間がかかります。

（注）

Cisco ACI with Microsoft SCVMM コンポーネントのインストール、設定、および確認

ここでは、Microsoft System Center Virtual Machine Manager（SCVMM）のコンポーネントを備えたCisco Application Centric Infrastructure（ACI）をインストール、設定、および確認する方法を説明します。


Cisco ACI with Microsoft SCVMMCisco ACI with Microsoft SCVMM の開始の条件

タスクコンポーネント

SCVMMへの APIC SCVMMのエージェントのインストール,（225ページ）を参照してください。

可用性の高い SCVMMへの APIC SCVMMエージェントのインストール,（226ページ）を参照してください。

Windowsコマンドプロンプトの方法については、Windowsのコマンドプロンプトを使用したSCVMMへの APICエージェントのインストール, （258ページ）を参照してください。

SCVMMまたは高可用性 SCVMMへの APICSCVMMエージェントのインストール

APICOpFlex証明書の生成, （227ページ）を参照してください。

OpflexAgent証明書の生成

APICへのOpFlex証明書ポリシーの追加, （229ページ）を参照してください。

APICへの OpFlex証明書ポリシーの追加

OpflexAgent証明書のインストール, （230ページ）を参照してください。

OpflexAgent証明書のインストール

SCVMMエージェントでの OpflexAgent証明書を使用したAPIC IP設定の構成, （232ページ）を参照してください。

または

可用性の高い SCVMMでの SCVMMエージェントでの OpflexAgent証明書を使用した APICIP設定の構成,（234ページ）を参照してください。

SCVMMエージェントまたは高可用性 SCVMMの SCVMMエージェントでの APICクレデンシャルを使用する APIC IPの設定

Hyper-V ServerへのAPICHyper-Vエージェントのインストール,（235ページ）を参照してください。

Windowsコマンドプロンプトの方法については、Windowsのコマンドプロンプトを使用したHyper-Vサーバへの APIC Hyper-Vエージェントのインストール,（259ページ）を参照してください。

Hyper-Vサーバへの APIC Hyper-Vエージェントのインストール


Cisco ACI with Microsoft SCVMMCisco ACI with Microsoft SCVMM コンポーネントのインストール、設定、および確認


SCVMMでの APIC SCVMMエージェントのインストールの確認,（238ページ）を参照してください。

または

可用性の高い SCVMM上の APIC SCVMMエージェントのインストールの確認,（239ページ）を参照してください。

SCVMMまたは高可用性 SCVMMでの APICSCVMMエージェントインストールの確認

Hyper-V Server上のAPICHyper-Vエージェントのインストールの確認,（240ページ）を参照してください。

Hyper-Vサーバでの APIC Hyper-Vエージェントインストールの確認

SCVMMドメインプロファイルの作成, （241ページ）およびGUIを使用したSCVMMドメインプロファイルの作成, （241ページ）を参照してください。

CLIを使用する方法については、CLIを使用した SCVMMドメインプロファイルの作成, （260ページ）を参照してください。

REST APIを使用する方法については、RESTAPIを使用したSCVMMドメインプロファイルの作成, （254ページ）を参照してください。

SCVMMドメインプロファイルの作成

SCVMM VMMドメインおよび SCVMM VMMの確認, （244ページ）を参照してください。

SCVMM VMMドメインおよび SCVMM VMMの確認

SCVMM上のホストへの論理スイッチの導入,（244ページ）を参照してください。

SCVMMのホストへの論理スイッチの導入

SCVMM への APIC SCVMM のエージェントのインストールここでは、System Center Virtual Machine Manager（SCVMM）に Application Policy InfrastructureController（APIC）SCVMMエージェントをインストールする方法を説明します。



手順

ステップ 1 SCVMMサーバに SCVMM管理者クレデンシャルでログインします。

ステップ 2 SCVMMサーバで、Explorerで APIC SCVMM Agent.msiファイルを見つけます。

ステップ 3 APIC SCVMM Agent.msiファイルを右クリックして [Install]を選択します。

ステップ 4 [Cisco APIC SCVMM Agent Setup]ダイアログボックスで、次の操作を実行します。a) [Next]をクリックします。b) [I accept the terms in the License Agreement]チェックボックスにチェックを入れ、[Next]をクリックします。

c) アカウント名とパスワードからなるクレデンシャルを入力します。SCVMMコンソールに使用したのと同じクレデンシャルを入力します。Cisco APIC SCVMMエージェントで SCVMM操作を行うには、これらのクレデンシャルが必要です。

インストールプロセスで、入力されたアカウント名とパスワードからなるクレデンシャルが検

証されます。インストールが失敗した場合、SCVMMでエラーメッセージが表示され、ユーザは有効なクレデンシャルを再入力する必要があります。

d) アカウント名とパスワードからなるクレデンシャルの検証が成功したら、[Install]をクリックします。

e) [Finish]をクリックします。

可用性の高い SCVMM への APIC SCVMM エージェントのインストールここでは、可用性の高い System Center Virtual Machine Manager（SCVMM）に Application PolicyInfrastructure Controller（APIC）SCVMMエージェントをインストールする方法について説明します。

手順

ステップ 1 可用性の高い SCVMMインストールの現在の所有者ノードにログインします。

ステップ 2 SCVMMサーバで、File Explorerで APIC SCVMM Agent.msiファイルを見つけます。

ステップ 3 APIC SCVMM Agent.msiファイルを右クリックして [Install]を選択します。









ステップ 5 Windowsフェールオーバークラスタのスタンバイノードごとに、ステップ 1から 4を繰り返します。

APIC OpFlex 証明書の生成ここでは、Application Policy Infrastructure Controller（APIC）と SCVMMエージェント間の通信をセキュリティで保護する APIC OpFlex証明書の生成方法について説明します。

これはインストールごとに一度のみ実行してください。（注）

手順

ステップ 1 SCVMMサーバにログインし、[スタート] > [実行] > [Windows Powershell]の順に選択して、アプリケーションのバーで [管理者として実行]をクリックします。

ステップ 2 [ACISCVMMPsCmdlets]をロードし、次のコマンドを入力して、新しいOpflexAgent.pfx証明書ファイルを作成します。Windows PowerShellCopyright (C) 2013 Microsoft Corporation. All rights reserved.

PS C:\Users\Administrator.INSCISCO> cd \PS C:\> cd '.\Program Files (x86)\ApicVMMService'PS C:\Program Files (x86)\ApicVMMService> Import-Module .\ACIScvmmPsCmdlets.dllPS C:\Program Files (x86)\ApicVMMService> Get-Command -Module ACIScvmmPsCmdlets

CommandType Name ModuleName----------- ---- ----------Cmdlet Get-ACIScvmmOpflexInfo ACIScvmmPsCmdletsCmdlet Get-ApicConnInfo ACIScvmmPsCmdletsCmdlet Get-ApicCredentials ACIScvmmPsCmdletsCmdlet New-ApicOpflexCert ACIScvmmPsCmdletsCmdlet Read-ApicOpflexCert ACIScvmmPsCmdletsCmdlet Set-ApicConnInfo ACIScvmmPsCmdletsCmdlet Set-ApicCredentials ACIScvmmPsCmdlets



ステップ 3 次のコマンドを入力して、新しい OpFlex証明書を生成します。"New-ApicOpflexCert" PowerShellコマンドでは、他のマシンに使用する PFX証明書のパッケージファイルを生成し、ローカルマシンの証明書ストアにこの証明書をインストールします。PS C:\Program Files (x86)\ApicVMMService> $pfxpassword = ConvertTo-SecureString "MyPassword"-AsPlainText -ForcePS C:\Program Files (x86)\ApicVMMService> New-ApicOpflexCert -ValidNotBefore 1/1/2015-ValidNotAfter 1/1/2020-Email [email protected] -Country USA -State CA -Locality "San Jose" -Organization MyOrg–PfxPassword $pfxpasswordSuccessfully created:C:\Program Files (x86)\ApicVMMService\OpflexAgent.pfx

PS C:\Program Files (x86)\ApicVMMService>

ステップ 4 REST APIを使用して APICで使用する証明書情報を表示します。RESTAPIを使用したAPICで使用される証明書情報の表示, （228ページ）を参照してください。

REST API を使用した APICで使用される証明書情報の表示

ここでは、REST APIを使用して APICで使用される証明書情報を表示する方法を説明します。

手順

APICで使用される証明書情報を表示するには、以下を実行します。PS C:\Program Files (x86)\ApicVMMService> $pfxpassword = ConvertTo-SecureString "MyPassword"-AsPlainText -ForcePS C:\Program Files (x86)\ApicVMMService> Read-ApicOpflexCert -PfxFile"C:\Program Files (x86)\ApicVMMService\OpflexAgent.pfx" -PfxPassword $pfxpassword-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----PS C:\Program Files (x86)\ApicVMMService>



APICへの OpFlex 証明書ポリシーの追加ここではApplication Policy Infrastructure Controller（APIC）にOpFlex認証ポリシーを追加する方法について説明します。

手順

AAAポリシーを追加して、この証明書を APICサーバで認証できるようにします。Hyper-Vエージェント証明書ポリシーを GUIまたは REST Postを使用して APICに追加できます。

• GUI方式：

1 APIC GUIにログインし、メニューバーで [ADMIN] > [AAA]の順に選択します。

2 [Navigation]ペインで、[Security Management] > [Local Users]の順に選択し、[admin]をクリックします。

3 [PROPERTIES]ペインのドロップダウンリストで [Actions] > [Create X509 Certificate]の順に選択し、名前とデータを入力します。

4 [Create X509 Certificate]ダイアログボックスで、[Name]フィールドに "OpflexAgent"と入力します。

5 SCVMMサーバで、PowerShellの Read-ApicOpflexCertコマンドレットの出力を入力します。

6 Read-ApicOpflexCertコマンドレットを実行するときに、pfxファイル名の入力を求められたらフルリンク（C:\Program Files (x86)\ApicVMMService\OpflexAgent.pfx）を入力し、パスワードを入力します。

7 先頭の「-----BEGINCERTIFICATE-----」から末尾の「-----ENDCERTIFICATE-----」までコピーして、[DATA]フィールドに貼り付けます。


9 [PROPERTIES]ペインの [User Certificates]フィールドの下に、ユーザ証明書が表示されます。

• REST POST方式：

POSThttp://ifav19-ifc1.insieme.local/api/policymgr/mo/uni/userext/user-admin.json?rsp-subtree=full{"aaaUserCert":{"attributes":{"name":"OpflexAgent", "data":"-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

OpflexAgent 証明書のインストールここでは、OpflexAgent証明書をインストールする方法について説明します。

手順

ステップ 1 SCVMMサーバに管理者クレデンシャルでログインします。

ステップ 2 次のいずれかの方法を使用します。

•大規模な展開の場合、グループポリシーを使用した証明書の展開について、Microsoftドキュメントを参照してください。

https://technet.microsoft.com/en-us/library/cc770315(v=ws.10).aspx.

•小規模な展開の場合は、次の手順に従います。

ローカルマシンにOpFlexセキュリティ証明書を追加する必要があります。Microsoft SCVMMエージェントにはOpflexAgent.pfxというセキュリティ証明書ファイルがあり、これはSCVMMサーバ上のC:\ProgramFiles (x86)\ApicVMMServiceフォルダにあります。SCVMMサーバで次の手順を実行しない場合、APIC SCVMMエージェントはApplication Policy InfrastructureController（APIC）ファブリックリーフスイッチと通信できません。

SCVMMWindows Server 2012ローカルマシンの証明書リポジトリに、OpFlexセキュリティ証明書をインストールします。各SCVMMサーバで次の手順を実行して、この証明書をインストールします。

1 [スタート] > [実行]を選択します。

2 mmcと入力し、[OK]をクリックします。

3 [Console Root]ウィンドウのメニューバーで、[Add/Remove Snap-in]を選択します。

4 [Available Snap-ins]フィールドで [Certificates]を選択して [Add]をクリックします。

5 [Certificates snap-in]ダイアログボックスで [Computer Account]オプションボタンを選択し、[Next]をクリックします。

6 [Select Computer]ダイアログボックスで [Local Computer]オプションボタンを選択し、[Finish]をクリックします。



https://technet.microsoft.com/en-us/library/cc770315(v=ws.10).aspx

7 [OK]をクリックして、[MMC Console]メインウィンドウに戻ります。

8 [MMC Console]ウィンドウで [Certificates (local computer)]をダブルクリックして、ビューを展開します。

9 [Personal]の下で [Certificates]を右クリックして、[All Tasks] > [Import]の順に選択します。

10 [Certificates Import Wizard]ダイアログボックスで、次の操作を実行します。

a [Next]をクリックします。

b Opflex Agentファイルを参照して [Next]をクリックします。

11 MSIのインストール時に提供された証明書のパスワードを入力します。

12 [Mark this key as exportable. [This will allow you to back up or transport your keys at a later time]オプションボタンを選択する必要があります。

13 [Include all extended properties]オプションボタンを選択します。

14 [Place all certificates in the following store]オプションボタンを選択し、[Personal]を見つけて [Next]をクリックします。

15 [Finish]をクリックします。

16 [OK]をクリックします。



ステップ 3 SCVMMサーバごとにステップ 1～ 5を繰り返します。

SCVMM エージェントでの OpflexAgent 証明書を使用した APIC IP 設定の構成ここでは、System Center Virtual Machine Manager（SCVMM）エージェントで OpflexAgent証明書を使用して Application Policy Infrastructure Controller（APIC）IP設定を構成する方法について説明します。

手順

ステップ 1 SCVMMサーバにログインし、[スタート] > [実行] > [Windows PowerShell]の順に選択します。

ステップ 2 次のコマンドを入力して、ACISCVMMPsCmdletsをロードします。

例：

GET ApicCredentialsと ApicCredentialsは現在非推奨であるため、Get-ApicConnInfoとSet-ApicConnInfoを使用します。

（注）

Windows PowerShellCopyright (C) 2013 Microsoft Corporation. All rights reserved.


CommandType Name ModuleName----------- ---- ----------Cmdlet Get-ACIScvmmOpflexInfo ACIScvmmPsCmdletsCmdlet Get-ApicConnInfo ACIScvmmPsCmdletsCmdlet Get-ApicCredentials ACIScvmmPsCmdlets



Cmdlet New-ApicOpflexCert ACIScvmmPsCmdletsCmdlet Read-ApicOpflexCert ACIScvmmPsCmdletsCmdlet Set-ApicConnInfo ACIScvmmPsCmdletsCmdlet Set-ApicCredentials ACIScvmmPsCmdlets


ステップ 3 次のコマンドを入力して、APIC接続パラメータを SCVMMエージェントに設定します。PS C:\Users\administrator.APIC> Set-ApicConnInfo -ApicNameOrIPAddress 172.23.139.224-CertificateSubjectName OpflexAgent

Apic Credential is successfully set to APIC SCVMM service agent.

Set-ApicCredentialsに誤った情報を入力した場合、情報を適用できず APICで検証できません。この情報は保存されません。

PS C:\Program Files (x86)\ApicVMMService> Set-ApicConnInfo -ApicNameOrIPAddress 172.23.139.224

-CertificateSubjectName OpflexAgentWrongFailed cmdlet with Error: Invalid APIC Connection Settings.Set-ApicConnInfo : The remote server returned an error: (400) Bad Request.At line:1 char:1+ Set-ApicConnInfo -ApicNameOrIPAddress 172.23.139.224 -CertificateSubjectName Opf ...+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

+ CategoryInfo : InvalidArgument: (:) [Set-ApicConnInfo], WebException+ FullyQualifiedErrorId : Failed cmdlet with Error: Invalid APIC Connection

Settings.,Cisco.ACI.SCVMM.PowerShell.SetApicConnInfo

ステップ 4 APIC SCVMMエージェントで APIC接続パラメータが正しく設定されていることを確認し、次のコマンドを入力します。PS C:\Program Files (x86)\ApicVMMService> Get-ApicConnInfo

EndpointAddress :Username :Password :ApicAddresses : 172.23.139.224ConnectionStatus : ConnectedadminSettingsFlags : 0certificateSubjectName : OpflexAgentExtensionData :




可用性の高い SCVMM での SCVMM エージェントでの OpflexAgent 証明書を使用したAPIC IP 設定の構成

ここでは、System Center Virtual Machine Manager（SCVMM）エージェントで OpflexAgent証明書を使用して Application Policy Infrastructure Controller（APIC）IP設定を構成する方法について説明します。

手順

ステップ 1 所有者ノード SCVMMサーバにログインし、[スタート] > [実行] > [Windows PowerShell]の順に選択します。

ステップ 2 次のコマンドを入力して、ACISCVMMPsCmdletsをロードします。

例：

GET ApicCredentialsと ApicCredentialsは現在非推奨であるため、Get-ApicConnInfoとSet-ApicConnInfoを使用します。

（注）

Windows PowerShellCopyright (C) 2013 Microsoft Corporation. All rights reserved.




ステップ 3 次のコマンドを入力して、APIC接続パラメータを SCVMMエージェントに設定します。PS C:\Users\administrator.APIC> Set-ApicConnInfo -ApicNameOrIPAddress 172.23.139.224-CertificateSubjectName OpflexAgent

Apic Credential is successfully set to APIC SCVMM service agent. 10:25 AM

Set-ApicCredentialsに誤った情報を入力した場合、情報を適用できず APICで検証できません。この情報は保存されません。

PS C:\Program Files (x86)\ApicVMMService> Set-ApicConnInfo -ApicNameOrIPAddress 172.23.139.224

-CertificateSubjectName OpflexAgentWrongFailed cmdlet with Error: Invalid APIC Connection Settings.Set-ApicConnInfo : The remote server returned an error: (400) Bad Request.At line:1 char:1+ Set-ApicConnInfo -ApicNameOrIPAddress 172.23.139.224 -CertificateSubjectName Opf ...+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



+ CategoryInfo : InvalidArgument: (:) [Set-ApicConnInfo], WebException+ FullyQualifiedErrorId : Failed cmdlet with Error: Invalid APIC Connection

Settings.,Cisco.ACI.SCVMM.PowerShell.SetApicConnInfo

ステップ 4 APIC SCVMMエージェントで APIC接続パラメータが正しく設定されていることを確認し、次のコマンドを入力します。PS C:\Program Files (x86)\ApicVMMService> Get-ApicConnInfo

EndpointAddress :Username :Password :ApicAddresses : 172.23.139.224ConnectionStatus : ConnectedadminSettingsFlags : 0certificateSubjectName : OpflexAgentExtensionData

Hyper-V Server への APIC Hyper-V エージェントのインストールここでは、Hyper-V Serverに APIC Hyper-Vエージェントをインストールする方法を説明します。

はじめる前に

Hyper-Vノードのダウンタイムをスケジュールしておきます。Hyper-Vメンテナンスモードの動作に関する詳細については、https://technet.microsoft.com/en-us/library/hh882398.aspxを参照してください

手順

ステップ 1 SCVMMサーバにログインし、Hyper-Vノードをメンテナンスモードにします。

ステップ 2 管理者クレデンシャルで Hyper-Vサーバにログインします。

ステップ 3 Hyper-V Serverで、File Explorerで APIC Hyper-V Agent.msiファイルを見つけます。

ステップ 4 APIC Hyper-V Agent.msiファイルを右クリックして、[Install]を選択します。

ステップ 5 [ApicHypervAgent Setup]ダイアログボックスで、次の操作を実行します。a) [I accept the terms in the License Agreement]チェックボックスをオンにします。b) [Install]をクリックします。c) [Finish]をクリックします。

ステップ 6 Microsoftドキュメントの手順に従って、apicVSwitch論理スイッチを表示して対応を向上させます。 https://technet.microsoft.com/en-us/library/dn249415.aspx





https://technet.microsoft.com/en-us/library/hh882398.aspx

https://technet.microsoft.com/en-us/library/dn249415.aspx



ローカルシステムにOpFlexセキュリティ証明書を追加する必要があります。MicrosoftHyper-VエージェントにはOpflexAgent.pfxというセキュリティ証明書ファイルがあり、これはSCVMMサーバ上の C:\Program Files (x86)\ApicVMMServiceフォルダにあります。Hyper-V Serverで次の手順を実行しない場合、APICHyper-VエージェントはCiscoApplicationCentric Infrastructure（ACI）ファブリックリーフスイッチと通信できません。

Hyper-V Windows Server 2012ローカルマシンの証明書リポジトリに、OpFlexセキュリティ証明書をインストールします。各 Hyper-V Serverで次の手順を実行して、この証明書をインストールします。
























ステップ 8 SCVMMサーバにログインし、Hyper-Vノードをメンテナンスモードから抜けさせます。

ステップ 9 Hyper-V Serverごとにステップ 1～ 8を繰り返します。

Cisco ACI with Microsoft SCVMM のインストールの確認

SCVMM での APIC SCVMM エージェントのインストールの確認

ここでは、System Center Virtual Machine Manager（SCVMM）上の APIC SCVMMエージェントのインストールを確認する方法を説明します。

手順

ステップ 1 [スタート] > [コントロールパネル]の順に選択します。

ステップ 2 [コントロールパネル]ウィンドウで、アドレスバーにコントロールパネル\プログラム\プログラムと機能と入力します。

ステップ 3 [Cisco APIC SCVMM Agent]を探します。[Cisco APIC SCVMM Agent]が存在する場合、製品はインストールされています。

[Cisco APIC SCVMMAgent]が存在しない場合、製品はインストールされていません。SCVMMへのAPIC SCVMMのエージェントのインストール, （225ページ）またはWindowsのコマンドプロンプトを使用した SCVMMへのAPICエージェントのインストール, （258ページ）を参照してください。

ステップ 4 GUIまたは CLIを使用して、ApicVMMServiceが RUNNING状態であることを確認します。

• GUI方式：[スタート] > [実行]の順に選択して services.mscを入力します。[Service]ペインでApicVMMServiceを見つけて、状態が RUNNINGであることを確認します。

• CLI方式：コマンドプロンプトで sc.exe query ApicHypervAgentコマンドを入力し、状態がRUNNINGであることを確認します。sc.exe query ApicVMMService

SERVICE_NAME: ApicVMMServiceTYPE : 10 WIN32_OWN_PROCESSSTATE : 4 RUNNING(STOPPABLE, NOT_PAUSABLE, ACCEPTS_SHUTDOWN)WIN32_EXIT_CODE : 0 (0x0)SERVICE_EXIT_CODE : 0 (0x0)CHECKPOINT : 0x0WAIT_HINT : 0x0



可用性の高い SCVMM 上の APIC SCVMM エージェントのインストールの確認

ここでは、可用性の高い System Center Virtual Machine Manager（SCVMM）上の APIC SCVMMエージェントのインストールを確認する方法を説明します。

手順



ステップ 3 [Cisco APIC SCVMM Agent]を探します。[Cisco APIC SCVMM Agent]が存在する場合、製品はインストールされています。

[Cisco APIC SCVMMAgent]が存在しない場合、製品はインストールされていません。SCVMMへのAPIC SCVMMのエージェントのインストール, （225ページ）またはWindowsのコマンドプロンプトを使用した SCVMMへのAPICエージェントのインストール, （258ページ）を参照してください。

ステップ 4 GUIまたは CLIを使用して、ApicVMMServiceが RUNNING状態であることを確認します。

• GUI方式：[スタート] > [実行]の順に選択して services.mscを入力します。[Service]ペインでApicVMMServiceを見つけて、状態が RUNNINGであることを確認します。

• CLI方式：コマンドプロンプトで sc.exe query ApicHypervAgentコマンドを入力し、状態がRUNNINGであることを確認します。sc.exe query ApicVMMService

SERVICE_NAME: ApicVMMServiceTYPE : 10 WIN32_OWN_PROCESSSTATE : 4 RUNNING(STOPPABLE, NOT_PAUSABLE, ACCEPTS_SHUTDOWN)WIN32_EXIT_CODE : 0 (0x0)SERVICE_EXIT_CODE : 0 (0x0)CHECKPOINT : 0x0WAIT_HINT : 0x0

ステップ 5 [スタート] > [PowerShell]の順に選択して、次のコマンドを入力します。PS C:\Users\administrator.APIC\Downloads> Get-ClusterResource -Name ApicVMMService

Name State OwnerGroup ResourceType---- ----- ---------- ------------ApicVMMService Online clustervmm07-ha Generic Service

PS C:\Users\administrator.APIC\Downloads> Get-ClusterCheckpoint -ResourceName ApicVMMService

Resource Name-------- ----ApicVMMService SOFTWARE\Wow6432Node\Cisco\Apic

PS C:\Users\administrator.APIC\Downloads> Get-ClusterResourceDependency -Resource



ApicVMMService

Resource DependencyExpression-------- --------------------ApicVMMService ([VMM Service clustervmm07-ha])

Hyper-V Server 上の APIC Hyper-V エージェントのインストールの確認

ここでは、Hyper-V Server上の APIC Hyper-Vエージェントのインストールを確認する方法を説明します。

手順



ステップ 3 [Cisco APIC Hyperv Agent]を見つけます。[Cisco APIC Hyperv Agent]が存在する場合、製品はインストールされています。

[Cisco APIC Hyperv Agent]が存在しない場合、製品はインストールされています。Hyper-V Serverへの APIC Hyper-Vエージェントのインストール, （235ページ）またはWindowsのコマンドプロンプトを使用したHyper-VサーバへのAPICHyper-Vエージェントのインストール,（259ページ）を参照してください。

ステップ 4 GUIまたは CLIを使用して、ApicHypervAgentが RUNNING状態であることを確認します。

• GUI方式：[スタート] > [実行]の順に選択して services.mscを入力します。[Service]ペインでApicHypervAgentを見つけて、状態が RUNNINGであることを確認します。

• CLI方式：コマンドプロンプトで sc.exe query ApicHypervAgentコマンドを入力し、状態がRUNNINGであることを確認します。sc.exe query ApicHypervAgent

SERVICE_NAME: ApicHypervAgentTYPE : 10 WIN32_OWN_PROCESSSTATE : 4 RUNNING(STOPPABLE, NOT_PAUSABLE, ACCEPTS_SHUTDOWN)WIN32_EXIT_CODE : 0 (0x0)SERVICE_EXIT_CODE : 0 (0x0)CHECKPOINT : 0x0WAIT_HINT : 0x0



ACI ポリシーの設定

SCVMM ドメインプロファイルの作成

ここでは、VMMドメインの例は、System Center Virtual Machine Manager（SCVMM）ドメインです。タスクの例は次のとおりです。

• VMMドメイン名と SCVMMコントローラの設定。

•接続エンティティプロファイルの作成および VMMドメインへの関連付け。

•プールの設定。

•すべての設定されたコントローラとそれらの動作状態の確認。

GUI を使用した SCVMM ドメインプロファイルの作成

はじめる前に

VMMドメインプロファイルを作成する前に、Application Policy Infrastructure Controller（APIC）上でインバンドまたはアウトオブバンド管理ネットワークを使用して外部ネットワークへの接続

を確立する必要があります。

手順

ステップ 1 APICGUIにログインし、メニューバーで [VMNETWORKING] > [POLICIES]の順に選択します。

ステップ 2 [Navigation]ペインで、[VM Provider Microsoft]を右クリックして、[Create SCVMM Domain]を選択します。

ステップ 3 [CreateSCVMMdomain]ダイアログボックスで、[Name]フィールドに、ドメイン名（productionDC）を入力します。

ステップ 4 [Associated Attachable Entity Profile]フィールドで、ドロップダウンリストから [Create AttachableEntity Profile]を選択し、次の操作を実行して、VMMドメイン SPAN間でスイッチインターフェイスのリストを設定します。

a) [Create Attachable Access Entity Profile]ダイアログボックスの [Profile]領域で、[Name]フィールドに名前（profile1）を入力し、[Next]をクリックします。

b) [Association to Interfaces]領域で、[Interface Policy Group]を展開します。c) [Configured Interface, PC, and VPC]ダイアログボックスの [Configured Interfaces, PC, and VPC]領域で、[Switch Profile]を展開します。

d) [Switches]フィールドで、ドロップダウンリストから、目的のスイッチ ID（101および 102）の隣にあるチェックボックスをオンにします。

e) [Switch Profile Name]フィールドに、名前（swprofile1）を入力します。f) [+]アイコンを展開してインターフェイスを設定します。g) スイッチのイメージで適切なインターフェイスポート（インターフェイス 1/1、1/2、1/3）を個別に選択します。

[Interfaces]フィールドに、対応するインターフェイスが自動入力されます。



h) [Interface Selector Name]フィールドに、名前（selector1）を入力します。i) [Interface PolicyGroup]フィールドで、ドロップダウンリストから、[Create Interface PolicyGroup]を選択します。

j) [CreateAccess Port PolicyGroup]ダイアログボックスで、[Name]フィールドに、名前（group1）を入力します。

k) [Submit]をクリックします。l) [Save]をクリックし、[Save]をもう一度クリックします。m) [Submit]をクリックします。n) [Select the interfaces]領域で、[Select Interfaces]下の [All]オプションボタンをクリックします。o) [vSwitch Policies]フィールドで、[Inherit]オプションボタンが選択されていることを確認します。

p) [Finish]をクリックします。

[Attach Entity Profile]が選択され、[AssociatedAttachable Entity Profile]フィールドに表示されます。

ステップ 5 [VLANPool]フィールドで、ドロップダウンリストから、[CreateVLANPool]を選択します。[CreateVLAN Pool]ダイアログボックスで、次の操作を実行します。a) [Name]フィールドに、VLANプール名（VlanRange）を入力します。b) [AllocationMode]フィールドで、[Dynamic Allocation]オプションボタンが選択されていることを確認します。

c) [EncapBlocks]を展開して、VLANブロックを追加します。[Create Ranges]ダイアログボックスで、VLANの範囲を入力します。


（注）

d) [OK]をクリックし、[Submit]をクリックします。[VLAN Pool]フィールドに、「VlanRange-dynamic」が表示されます。

ステップ 6 [SCVMM]を展開します。[Create SCVMM Controller]ダイアログボックスで、[Type]が [SCVMM]であることを確認して、次の操作を実行します。

a) [Name]フィールドに名前（SCVMM1）を入力します。b) SCVMMHAクラスタに接続するには、SCVMMHAのインストール時に指定された、SCVMM

HAクラスタ IPアドレスまたは SCVMMクラスタリソース DNS名を指定します。VMMコンソールを使用して可用性の高い VMM管理サーバに接続する方法を参照してください。 https://technet.microsoft.com/en-us/library/gg610673.aspx

c) [Host Name (or IP Address)]フィールドに、SCVMMの完全修飾ドメイン名（FQDN）または IPアドレスを入力します。

d) [SCVMM Cloud Name]フィールドに、SCVMMクラウド名（ACI-Cloud)）を入力します。e) [OK]をクリックします。f) [Create SCVMM Domain]ダイアログボックスで、[Submit]をクリックします。


a) メニューバーで、[VM Networking] > [Inventory]を選択します。b) [Navigation]ペインで[Microsoft] > [productionDC] > [SCVMM1]の順に選択します。



https://technet.microsoft.com/en-us/library/gg610673.aspx

https://technet.microsoft.com/en-us/library/gg610673.aspx

c) [Work]ペインで、VMMドメイン名を表示して、コントローラがオンラインであることを確認します。

d) [Work]ペインに、SCVMM1のプロパティが動作ステータスとともに表示されます。表示される情報によって、APICコントローラから SCVMMサーバへの接続が確立され、インベントリが使用できることを確認します。

ポートチャネルポリシーの設定

ここでは、ポートチャネルポリシーの設定方法について説明します。

インターフェイスポートチャネルポリシーの変更

ACISCVMMエージェントは、SCVMMアップリンクポートプロファイルと集約インターフェイスポートチャネルポリシーを同期させ、ポリシーが変更されると自動更新を実行します。

Hyper-Vサーバのポリシーを更新するには、次の手順を実行します。

手順

ステップ 1 APIC GUIにログインし、メニューバーで [Fabric] > [Access Policies]の順に選択します。

ステップ 2 [Navigation]ペインで、[Interface Policies] > [Policy Groups]の順に展開します。

ステップ 3 ポリシーグループを選択して、ポリシーグループの名前を確認します。

ステップ 4 ポリシーグループに移動し、要件（たとえば LACPかMAC Pinningかなど）に基づいて更新します。

ブレードサーバの VMMドメイン VSwitchポリシーの上書きブレードサーバを ACIファブリックインターフェイスに接続しているときは、インターフェイスとファブリックインターコネクト間でポートチャネルポリシーを使用します。ファブリック

インターコネクトを LACP用に設定するときは、MAC Pinningモードの Hyper-Vサーバを設定する必要があります。

MAC Pinningモードの Hyper-Vサーバを設定するには、次の手順を実行します。

手順

ステップ 1 APIC GUIにログインし、メニューバーで [VM Networking]を選択します。

ステップ 2 [Navigation]ペインで、[Microsoft] > [Domain_Name]の順に展開します。

ステップ 3 [Work]ペインで [ACTIONS]をクリックし、[Create VSwitch Policies]を選択します。

ステップ 4 ポートチャネルポリシーで、MAC Pinningの既存のポリシーを選択するか、新しいポリシーを作成します。

ホストが論理スイッチにすでに接続されている場合は、SCVMM管理者は、有効にするアップリンクポリシーのすべてのホストについて、ホストの修復を行う必要がありま

す。

（注）



SCVMM VMM ドメインおよび SCVMM VMM の確認

手順

System Center Virtual Machine Managerコンソール GUIでは、新しく作成された SCVMM VMMドメインおよび VMMコントローラの rootContName（SCVMMクラウド名）に、SCVMMエージェントによって次のオブジェクトが作成されました。

a) 左下のペインで [Fabric]をクリックし、ファブリックの下で次のオブジェクトを確認します。

例：

1 [Networking] > [Logical Switches]の順に選択し、右側のペインで論理スイッチ名がapicVSwitch_VMMdomainNameであることを確認します。

2 [Networking] > [Logical Networks]の順に選択し、右側のペインで論理ネットワーク名がapicLogicalNetwork_VMMdomainNameであることを確認します。

3 [Networking] > [Port Profiles]の順に選択し、右側のペインでポートプロファイル名がapicUplinkPortProfile_VMMdomainNameであることを確認します。

b) 左下のペインで [VMs and Services]をクリックします。

例：

1 [VM Networks]を選択します。

2 右側のペインで VMネットワーク名が apicInfra|10.0.0.30|SCVMM ControllerHostNameORIPAddress filed value|VMMdomainNameであることを確認します。

Hyper-V ServerでVTEPを作成するには、インフラVMネットワークを使用する必要があります。

SCVMM 上のホストへの論理スイッチの導入

ここでは、論理スイッチを System Center Virtual Machine Manager（SCVMM）上のホストに展開する方法を説明します。

SCVMMのアップグレードが実行されてホストがすでに論理スイッチに接続されている場合、ホストからリーフへの接続を確立するには、SCVMM管理者はすべてのホストに対してホストの修復を行う必要があります。

（注）



手順

ステップ 1 SCVMMサーバにログインし、[Navigation]ペインで左下の [Fabric]を選択します。

ステップ 2 [Navigation]ペインで、[Networking] > [Logical Switches]の順に展開して、論理スイッチが作成されていることを確認します（apicVswitch_cloud1）。

ステップ 3 [Navigation]ペインで左下の [VMs and Services]を選択します。

ステップ 4 [Navigation]ペインで、[All Hosts]を展開します。

ステップ 5 Hyper-Vホストフォルダ（Dev8）を選択します。

ステップ 6 Hyper-Vホスト（Dev8-HV1）を右クリックして、[Properties]を選択します。

ステップ 7 [Dev8-HV1.inscisco.net Properties]ダイアログボックスで [Virtual Switches]を選択して、次の操作を実行します。

a) [+ New Virtual Switch]を選択します。b) [New Logical Switch]を選択します。c) [Logical switch]フィールドで、ドロップダウンリストから論理スイッチ（apicVswitch_cloud1）を選択します。

d) [Adapter]フィールドで、ドロップダウンリストからアダプタ（Leaf1-1-1 - Intel(R)イーサネットサーバアダプタ X520-2 #2）を選択します。

e) [Uplink Port Profile]フィールドで、ドロップダウンリストからアップリンクポートプロファイル（apicUplinkPortProfile_Cloud01）を選択します。

f) [New Virtual Network Adapter]をクリックし、名前のない仮想ネットワークアダプタを選択して、名前（dev8-hv1-infra-vtep）を入力します。

g) [Browse]をクリックします。h) [Dev8-HV1.inscisco.net Properties]ダイアログボックスで VMネットワーク（apicInfra| 10.0.0.30

|dev8-scvmm.apic.net|Cloud01）を選択し、[OK]をクリックします。i) [Virtual Machine Manager]ダイアログボックスで [OK]をクリックします。

ステップ 8 左下で [Job]をクリックします。

ステップ 9 [History]ペインで [Change properties of virtual machine host]ジョブのステータスを調べて、ジョブが完了したことを確認できます。

ステップ 10 Hyper-V Serverが SCVMMの適切な Hyper-Vホスト IPアドレスを反映するには、SCVMM下のホストを更新する必要があります。更新すると、APIC GUIは更新された Hyper-Vホスト IP情報を反映します。

Cisco ACI with Microsoft SCVMM コンポーネントのアップグレード

ここでは、CiscoACIwithMicrosoft SCVMMコンポーネントをアップグレードする方法を説明しています。


Cisco ACI with Microsoft SCVMMCisco ACI with Microsoft SCVMM コンポーネントのアップグレード

ACI Microsoft SCVMM コンポーネントのワークフローのアップグレードここでは、ACI Microsoft SCVMMコンポーネントのワークフローのアップグレードについて説明します。

手順

ステップ 1 APICコントローラとスイッチソフトウェアをアップグレードします。詳細については、『Cisco APIC Firmware Management Guide』を参照してください。

ステップ 2 SCVMMでAPIC SCVMMエージェントをアップグレードするか、可用性の高い SCVMMでAPICSCVMMエージェントをアップグレードします。詳細については、SCVMMでの APIC SCVMMエージェントのアップグレード, （246ページ）を参照してください。

詳細については、可用性の高い SCVMM上の APIC SCVMMエージェントのアップグレード, （247ページ）を参照してください。

ステップ 3 APIC Hyper-Vエージェントをアップグレードします。詳細については、APICHyper-Vエージェントのアップグレード,（248ページ）を参照してください。

SCVMM での APIC SCVMM エージェントのアップグレードここでは、SystemCenterVirtualMachineManager（SCVMM）でAPICSCVMMエージェントをアップグレードする方法を説明します。

はじめる前に

Microsoft SCVMMサーバのダウンタイムをスケジュールしておきます。アップグレードプロセスではMicrosoft SystemCenterVirtualMachineManagerサービスが自動的に再起動されるため、SCVMMサービスは一時的に変更またはクエリ要求を処理できなくなります。

手順

SCVMMで APIC SCVMMエージェントをアップグレードします。リリース 1.1(2x)以降からアップグレードする場合：

a) SCVMMへのAPIC SCVMMのエージェントのインストール, （225ページ）の手順に従ってください。

MSIパッケージでは、以前のバージョンをアンインストールし、アップグレードの一環として新しいバージョンをインストールします。

1.1(2x)以前のリリースからアップグレードする場合：


Cisco ACI with Microsoft SCVMMACI Microsoft SCVMM コンポーネントのワークフローのアップグレード

a) SCVMMへのAPIC SCVMMのエージェントのインストール, （225ページ）の手順に従ってください。


b) APIC OpFlex証明書のエクスポート, （268ページ）の手順に従ってください。c) OpflexAgent証明書のインストール, （230ページ）の手順に従ってください。d) SCVMMエージェントでのOpflexAgent証明書を使用したAPIC IP設定の構成, （232ページ）または可用性の高い SCVMMでの SCVMMエージェントでの OpflexAgent証明書を使用したAPIC IP設定の構成, （234ページ）の手順に従ってください。

可用性の高い SCVMM 上の APIC SCVMM エージェントのアップグレード

ここでは、可用性の高い System Center Virtual Machine Manager（SCVMM）で APIC SCVMMエージェントをアップグレードする方法について説明します。

手順

ステップ 1 可用性の高い SCVMMインストールのスタンバイノードにログインします。

ステップ 2 SCVMMサーバで、File Explorerで APIC SCVMM Agent.msiファイルを見つけます。

ステップ 3 APIC SCVMM Agent.msiファイルを右クリックして [Install]を選択します。MSIパッケージでは、以前のバージョンをアンインストールし、アップグレードの一環として新しいバージョンをインストールします。







Cisco ACI with Microsoft SCVMM可用性の高い SCVMM 上の APIC SCVMM エージェントのアップグレード


ステップ 5 Windowsフェールオーバークラスタのスタンバイノードごとに、ステップ 1から 4を繰り返します。

ステップ 6 可用性の高いSCVMMインストールの現在の所有者ノードから、新たなアップグレードスタンバイノードの 1つにフェールオーバーします。

ステップ 7 Windowsフェールオーバークラスタの最終スタンバイノードで、ステップ 2から 4を繰り返します。

APIC Hyper-V エージェントのアップグレードここでは、APIC Hyper-Vエージェントをアップグレードする方法について説明します。

はじめる前に

Hyper-Vノードのダウンタイムをスケジュールしておきます。Hyper-Vメンテナンスモードの動作に関する詳細については、https://technet.microsoft.com/en-us/library/hh882398.aspxを参照してください

手順

APIC Hyper-Vエージェントをアップグレードします。リリース 1.1(2x)以降からアップグレードする場合：

a) Hyper-V Serverへの APIC Hyper-Vエージェントのインストール, （235ページ）のステップ 1～ 8に従ってください。ステップ 7は省略します。OpflexAgent証明書が Hyper-Vノードにすでにインストールされているため、ステップ 7はアップグレードには不要です。MSIパッケージでは、以前のバージョンをアンインストールし、アップグレードの一環として新しいバージョンをインストールします。


a) APICH yper-Vエージェントのアンインストール, （318ページ）の手順に従ってください。b) Hyper-V Serverへの APIC Hyper-Vエージェントのインストール, （235ページ）のステップ 1～ 8に従ってください。ステップ 7は省略します。OpflexAgent証明書が Hyper-Vノードにすでにインストールされているため、ステップ 7はアップグレードには不要です。MSIパッケージでは、以前のバージョンをアンインストールし、アップグレードの一環として新しいバージョンをインストールします。


Cisco ACI with Microsoft SCVMMAPIC Hyper-V エージェントのアップグレード

https://technet.microsoft.com/en-us/library/hh882398.aspx

テナントのポリシーの導入

テナントポリシーの導入の条件

コンピューティング環境が次の条件を満たしていることを確認します。

• APIC SCVMMエージェントがインストールされていることを確認します。

詳細については、SCVMMへのAPICSCVMMのエージェントのインストール,（225ページ）を参照してください。

• APIC Hyper-Vエージェントがインストールされていることを確認します。

詳細については、Hyper-VServerへのAPICHyper-Vエージェントのインストール, （235ページ）を参照してください。

•論理スイッチを作成したことを確認します。


•仮想スイッチを作成したことを確認します。


テナントの作成

手順

ステップ 1 メニューバーで、[TENANTS]を選択し、次の操作を実行します。a) [Add Tenant]をクリックします。

[Create Tenant]ダイアログボックスが開きます。b) [Name]フィールドに、テナント名（ExampleCorp）を追加します。

ステップ 2 [Finish]をクリックします。詳細については、『Cisco APIC Getting Started Guide』を参照してください。

EPG の作成ここでは、エンドポイントグループ（EPG）の作成方法について説明します。


Cisco ACI with Microsoft SCVMMテナントのポリシーの導入

手順

ステップ 1 APIC GUIにログインし、メニューバーで [TENANTS] > [Tenant Name]の順に選択します。

ステップ 2 [Navigation]ペインで、[Tenant Name] > [Application Profiles] > [Application Profile Name]の順に展開し、[Application EPGs]を右クリックして [Create Application EPG]を選択します。

ステップ 3 [Create Application EPG]ダイアログボックスで、次の操作を実行します。a) [Name]フィールドに名前（EPG1）を入力します。b) [Bridge Domain]フィールドのドロップダウンリストから、ブリッジドメインに関連付けるものを選択します。

c) [Associate toVMDomainProfiles]フィールドで、適切なオプションボタンをクリックし、[Next]をクリックします。

d) [Associated VM Domain Profiles]フィールドの [+]アイコンをクリックし、追加するクラウド（Cloud10）を選択します。

EPGが作成されました。

Microsoft VMM ドメインの関連付けここでは、Microsoft VMMドメインをエンドポイントグループ（EPG）に関連付けて VMネットワークを作成する方法を説明します。

はじめる前に

EPGが作成されていることを確認します。

手順


ステップ 2 [Navigation]ペインで [Tenant Name] > [Application Profiles] > [Application Profile Name] > [ApplicationEPGs]の順に展開して、既存の EPGを選択します。

ステップ 3 [Navigation]ペインで [Domains (VMs and Bare-Metals)]を選択します。

ステップ 4 [Domains (VMandBare-Metals)]ペインで [ACTIONS]をクリックして、[AddVMMDomainAssociation]を選択します。

ステップ 5 [Add VMM Domain Association]ダイアログボックスで、[Immediate]または [On Demand]のいずれかについて、[Deploy Immediacy]フィールドオプションボタンをクリックします。詳細については、EPGポリシーの解決および展開の緊急度, （10ページ）を参照してください。

ステップ 6 [Add VMM Domain Association]ダイアログボックスで、[Immediate]、[On Demand]または[Pre-Provision]のいずれかについて、[Resolution Immediacy]フィールドオプションボタンをクリックします。

詳細については、EPGポリシーの解決および展開の緊急度, （10ページ）を参照してください。


Cisco ACI with Microsoft SCVMMMicrosoft VMM ドメインの関連付け

これで、VMネットワークが作成されました。

APICでの VMM ドメインとの EPG の関連付けの確認ここでは、Application Policy Infrastructure Controller（APIC）での VMMドメインとのエンドポイントグループの関連付けを確認する方法について説明します。

手順

ステップ 1 APIC GUIにログインし、メニューバーで [VM NETWORKING] > [INVENTORY]の順に選択します。

ステップ 2 [Navigation]ペインで、[Microsoft] > [Cloud10] > [Controller] > [Controller1] > [Distributed Virtual Switch]> [SCVMM|Tenant|SCVMM|EPG1|Cloud1]の順に展開します。新しい VMネットワーク名の形式は、テナント名|アプリケーションプロファイル名|アプリケーション EPG名|Microsoft VMMドメインです。

ステップ 3 [PROPERTIES]ペインで、VMMドメインに関連付けられているEPG、VMネットワーク、およびNIC名、VM名、IP、MAC、状態などの詳細を確認します。

SCVMM で VMM ドメインに関連付けられている EPG の確認ここでは、System Center Virtual Machine Manager（SCVMM）で VMMドメインに関連付けられているエンドポイントグループ（EPG）を確認する方法を説明します。

手順

ステップ 1 デスクトップで [Virual Machine Manager Console]アイコンを開きます。

ステップ 2 左下部ペインで、[VMs and Services]をクリックするか Ctrl+Mを押します。

ステップ 3 [VMs and Services]ペインで [VM Networks]をクリックして、VMMドメインに関連付けられている EPGを確認します。VMMドメインに関連付けられているEPGの形式は、テナント名|アプリケーションプロファイル名|アプリケーション EPG名|Microsoft VMMドメインです。


Cisco ACI with Microsoft SCVMMAPICでの VMM ドメインとの EPG の関連付けの確認

仮想マシンの接続および電源投入

ここでは、仮想マシンを接続して電源を入れる方法を説明します。

手順

ステップ 1 SCVMMサーバにログインし、[VMs and Services] > [All Hosts]の順に選択して、いずれかのホストを選択します。

ステップ 2 [VMs]ペインで、VMネットワークに関連付ける VMホストを右クリックして、[Properties]を選択します。

ステップ 3 [Properties]ダイアログボックスで [Hardware Configuration]を選択し、ネットワークアダプタ（Network Adapter 1）を選択します。

ステップ 4 [Network Adapter 1]ペインで、次の操作を実行して VMネットワークに接続します。a) [Connect to a VM network]オプションボタンをクリックします。b) [Browse]ボタンをクリックします。c) ハイパーバイザが関連付けられているすべてのVMネットワークを示す、VMネットワークのリストを確認します。

ステップ 5 仮想マシンの電源をオンにします。

APICでの関連付けの確認ここでは、Application Policy Infrastructure Controller（APIC）で関連付けを確認する方法について説明します。

手順

ステップ 1 APIC GUIにログインし、メニューバーで [VM NETWORKING] > [INVENTORY]の順に選択します。

ステップ 2 ナビゲーションウィンドウで、[Microsoft] > [Cloud10] > [Controller] > [Controller1] > [Hypervisors]> [Hypervisor1] > [Virtual Machines]の順に展開して関連付けを確認します。

APICでの EPG の表示ここでは、Application Policy Infrastructure Controller（APIC）でエンドポイントグループ（EPG）を表示する方法について説明します。


Cisco ACI with Microsoft SCVMM仮想マシンの接続および電源投入

手順


ステップ 2 ナビゲーションウィンドウで、[Tenant Name] > [Application Profiles] > [VMM] > [Application EPGs]> [EPG1]の順に展開します。

ステップ 3 [Application EPG - EPG1]ペインで [OPERATIONAL]ボタンをクリックし、エンドポイントグループが存在するかどうかを確認します。

Cisco ACI with Microsoft SCVMM のトラブルシューティング

APICから SCVMM への接続のトラブルシューティングApicVMMServiceログを使用して、System Center Virtual Machine Manager（SCVMM）サーバをデバッグします。

手順

ステップ 1 SCVMMサーバにログインして、ApicVMMServiceログに移動します。これは、C:\Program Files(X86)\ApicVMMService\Logsにあります。

ステップ 2 ApicVMMServiceログを確認してデバッグします。デバッグできない場合は、SCVMMサーバですべての ApicVMMServiceログを C:\Program Files(X86)\ApicVMMService\Logsからコピーして、シスコテクニカルサポートにお寄せください。

リーフから Hyper-V ホストへの接続のトラブルシューティングApicHypervAgentログを使用して、Hyper-V Serverをデバッグします。

手順

ステップ 1 Hyper-V Serverにログインして、ApicHypervAgentログに移動します。これは、C:\Program Files(x86)\ApicHypervAgent\Logsにあります。

ステップ 2 ApicHypervAgentログを確認してデバッグします。


Cisco ACI with Microsoft SCVMMCisco ACI with Microsoft SCVMM のトラブルシューティング

デバッグできない場合は、Hyper-V Serverですべての ApicHypervAgentログを C:\Program Files(x86)\ApicHypervAgent\Logsからコピーして、シスコテクニカルサポートにお寄せください。

EPG の設定の問題のトラブルシューティングエンドポイントグループ（EPG）のライフタイム中、EPGの VLAN IDが APICで変更された場合、新しい設定を有効にするには、すべての仮想マシンで VLAN設定を更新する必要があります。

手順

この操作を実行するには、SCVMMサーバで次の PowerShellコマンドを実行します。

例：$VMs = Get-SCVirtualMachine$VMs | Read-SCVirtualMachine$NonCompliantAdapters=Get-SCVirtualNetworkAdapter -All | Where-Object{$_.VirtualNetworkAdapterComplianceStatus -eq "NonCompliant"}$NonCompliantAdapters | Repair-SCVirtualNetworkAdapter

REST API リファレンス

REST API を使用した SCVMM ドメインプロファイルの作成ここでは、REST APIを使用して SCVMMドメインプロファイルを作成する方法を説明します。

手順

ステップ 1 VMMドメイン名および System Center Virtual Machine Manager（SCVMM）コントローラを設定します。

例：https://<api-ip>/api/node/mo/.xml

<polUni><vmmProvP vendor="Microsoft"><vmmDomP name="productionDC"><infraRsVlanNs tDn="uni/infra/vlanns-VlanRange-dynamic"/></vmmCtrlrP>


Cisco ACI with Microsoft SCVMMEPG の設定の問題のトラブルシューティング



例：https://<apic-ip>/api/policymgr/mo/uni.xml<infraInfra><infraAttEntityP name="profile1"><infraRsDomP tDn="uni/vmmp-Microsoft/dom-productionDC"/></infraAttEntityP></infraInfra>


例：https://<apic-ip>/api/policymgr/mo/uni.xml




</infraAccPortP>





例：https://<apic-ip>/api/policymgr/mo/uni.xml <infraInfra><infraNodeP name="swprofile1"> <infraLeafSname="selectorswprofile11718" type="range"> <infraNodeBlk name="single0"from_="101" to_="101"/> <infraNodeBlk name="single1" from_="102"to_="102"/> </infraLeafS> <infraRsAccPortPtDn="uni/infra/accportprof-swprofile1ifselector"/> </infraNodeP></infraInfra>


例：https://<apic-ip>/api/node/mo/.xml

<polUni><infraInfra><fvnsVlanInstP name="VlanRange" allocMode="dynamic">

<fvnsEncapBlk name="encap" from="vlan-100" to="vlan-400"/></fvnsVlanInstP></infraInfra></polUni>

ステップ 6 設定されたすべてのコントローラとそれらの動作状態を検索します。

例：GET:https://ifav22-ifc1.insieme.local/api/node/class/vmmAgtStatus.xml


Cisco ACI with Microsoft SCVMMREST API を使用した SCVMM ドメインプロファイルの作成

<imdata totalCount="11"><vmmAgtStatus HbCount="9285" childAction="" dn="uni/vmmp-Microsoft/dom-productionDC /ctrlr-SCVMM1/AgtStatus-172.21.120.21" lastHandshakeTime="2015-02-24T23:02:51.800+00:00" lcOwn="local" modTs="2015-02-24T23:02:53.695+00:00" monPolDn="uni/infra/moninfra-default" name="172.21.120.21" operSt="online" remoteErrMsg="" remoteOperIssues="" status="" uid="15374"/></imdata>

ステップ 7 1つのコントローラの下に Hyper-Vを取得します。

例：

https://ifav41-ifc5.insieme.local/api/node/class/opflexODev.json?query-target-filter=and(eq(opflexODev.ctrlrName,'Scale-Scvmm1.inscisco.net'),eq(opflexODev.domName,'Domain1'),ne(opflexODev.isSecondary,'true'))

{"totalCount":"8","subscriptionId":"72057718609018900","imdata":[{"opflexODev":{"attributes":{"childAction":"","ctrlrName":"Scale-Scvmm1.inscisco.net","devId":"167807069","devOperIssues":"","devType":"hyperv","dn":"topology/pod-1/node-191/sys/br-[eth1/43]/odev-167807069","domName":"Domain1","encap":"unknown","features":"0","hbStatus":"valid-dvs","hostName":"Scale-Hv2.inscisco.net","id":"0","ip":"0.0.0.0","ipAddr":"10.0.136.93","isSecondary":"false","lNodeDn":"","lastHandshakeTime":"2015-04-15T17:10:25.684-07:00","lastNumHB":"19772","lcOwn":"local","mac":"00:00:00:00:00:00","maxMissHb":"0","modTs":"2015-04-15T17:12:09.485-07:00","monPolDn":"uni/fabric/monfab-default","name":"","numHB":"19772","operSt":"identified","pcIfId":"1","portId":"0","state":"connected","status":"","transitionStatus":"attached","uid":"15374","updateTs":"0","uuid":"","version":""}}},{"opflexODev":{"attributes":{"childAction":"","ctrlrName":"Scale-Scvmm1.inscisco.net","devId":"167831641","devOperIssues":"","devType":"hyperv","dn":"topology/pod-1/node-191/sys/br-[eth1/43]/odev-167831641","domName":"Domain1","encap":"unknown","features":"0","hbStatus":"valid-dvs","hostName":"Scale-Hv6.inscisco.net","id":"0","ip":"0.0.0.0","ipAddr":"10.0.232.89","isSecondary":"false","lNodeDn":"","lastHandshakeTime":"2015-04-15T17:10:26.492-07:00","lastNumHB":"15544","lcOwn":"local","mac":"00:00:00:00:00:00","maxMissHb":"0","modTs":"2015-04-15T17:12:10.292-07:00","monPolDn":"uni/fabric/monfab-default","name":"","numHB":"15544","operSt":"identified","pcIfId":"1","portId":"0","state":"connected","status":"","transitionStatus":"attached","uid":"15374","updateTs":"0","uuid":"","version":""}}},{"opflexODev":{"attributes":{"childAction":"","ctrlrName":"Scale-Scvmm1.inscisco.net","devId":"167831643","devOperIssues":"","devType":"hyperv","dn":"topology/pod-1/node-191/sys/br-[eth1/43]/odev-167831643","domName":"Domain1","encap":"unknown","features":"0","hbStatus":"valid-dvs","hostName":"Scale-Hv3.inscisco.net","id":"0","ip":"0.0.0.0","ipAddr":"10.0.232.91","isSecondary":"false","lNodeDn":"","lastHandshakeTime":"2015-04-15T17:10:23.268-07:00","lastNumHB":"15982","lcOwn":"local","mac":"00:00:00:00:00:00","maxMissHb":"0","modTs":"2015-04-15T17:12:07.068-07:00","monPolDn":"uni/fabric/monfab-default","name":"","numHB":"15982","operSt":"identified","pcIfId":"1","portId":"0","state":"connected","status":"","transitionStatus":"attached","uid":"15374","updateTs":"0","uuid":"","version":""}}},{"opflexODev":{"attributes":{"childAction":"","ctrlrName":"Scale-Scvmm1.inscisco.net","devId":"167807070","devOperIssues":"","devType":"hyperv","dn":"topology/pod-1/node-191/sys/br-[eth1/43]/odev-167807070","domName":"Domain1","encap":"unknown","features":"0","hbStatus":"valid-dvs","hostName":"Scale-Hv8.inscisco.net","id":"0","ip":"0.0.0.0","ipAddr":"10.0.136.94","isSecondary":"false","lNodeDn":"","lastHandshakeTime":"2015-04-15T17:10:26.563-07:00","lastNumHB":"14219","lcOwn":"local","mac":"00:00:00:00:00:00","maxMissHb":"0","modTs":"2015-04-15T17:12:10.364-07:00","monPolDn":"uni/fabric/monfab-default","name":"","numHB":"14219","operSt":"identified","pcIfId":"1","portId":"0","state":"connected","status":"","transitionStatus":"attached","uid":"15374","updateTs":"0","uuid":"","version":""}}},{"opflexODev":{"attributes":{"childAction":"","ctrlrName":"Scale-Scvmm1.inscisco.net","devId":"167831642","devOperIssues":"","devType":"hyperv","dn":"topology/pod-1/node-191/sys/br-[eth1/43]/odev-167831642","domName":"Domain1","encap":"unknown","features":"0","hbStatus":"valid-dvs","hostName":"Scale-Hv4.inscisco.net","id":"0","ip":"0.0.0.0","ipAddr":"10.0.232.90","isSecondary":"false","lNodeDn":"","lastHandshakeTime":"2015-04-15T17:10:24.978-07:00","lastNumHB":"13947","lcOwn":"local","mac":"00:00:00:00:00:00","maxMissHb":"0","modTs":"2015-04-15T17:12:08.778-07:00","monPolDn":"uni/fabric/monfab-default","name":"","numHB":"13947","operSt":"identified","pcIfId":"1","portId":"0","state":"connected","status":"","transitionStatus":"attached",



"uid":"15374","updateTs":"0","uuid":"","version":""}}},{"opflexODev":{"attributes":{"childAction":"","ctrlrName":"Scale-Scvmm1.inscisco.net","devId":"167807071","devOperIssues":"","devType":"hyperv","dn":"topology/pod-1/node-190/sys/br-[eth1/43]/odev-167807071","domName":"Domain1","encap":"unknown","features":"0","hbStatus":"valid-dvs","hostName":"Scale-Hv7.inscisco.net","id":"0","ip":"0.0.0.0","ipAddr":"10.0.136.95","isSecondary":"false","lNodeDn":"","lastHandshakeTime":"2015-04-15T17:12:10.057-07:00","lastNumHB":"5708","lcOwn":"local","mac":"00:00:00:00:00:00","maxMissHb":"0","modTs":"2015-04-15T17:12:09.659-07:00","monPolDn":"uni/fabric/monfab-default","name":"","numHB":"5708","operSt":"identified","pcIfId":"1","portId":"0","state":"connected","status":"","transitionStatus":"attached","uid":"15374","updateTs":"0","uuid":"","version":""}}},{"opflexODev":{"attributes":{"childAction":"","ctrlrName":"Scale-Scvmm1.inscisco.net","devId":"167807067","devOperIssues":"","devType":"hyperv","dn":"topology/pod-1/node-190/sys/br-[eth1/43]/odev-167807067","domName":"Domain1","encap":"unknown","features":"0","hbStatus":"valid-dvs","hostName":"Scale-Hv1.inscisco.net","id":"0","ip":"0.0.0.0","ipAddr":"10.0.136.91","isSecondary":"false","lNodeDn":"","lastHandshakeTime":"2015-04-15T17:12:08.637-07:00","lastNumHB":"17659","lcOwn":"local","mac":"00:00:00:00:00:00","maxMissHb":"0","modTs":"2015-04-15T17:12:08.240-07:00","monPolDn":"uni/fabric/monfab-default","name":"","numHB":"17659","operSt":"identified","pcIfId":"1","portId":"0","state":"connected","status":"","transitionStatus":"attached","uid":"15374","updateTs":"0","uuid":"","version":""}}},{"opflexODev":{"attributes":{"childAction":"","ctrlrName":"Scale-Scvmm1.inscisco.net","devId":"167831644","devOperIssues":"","devType":"hyperv","dn":"topology/pod-1/node-190/sys/br-[eth1/43]/odev-167831644","domName":"Domain1","encap":"unknown","features":"0","hbStatus":"valid-dvs","hostName":"Scale-Hv5.inscisco.net","id":"0","ip":"0.0.0.0","ipAddr":"10.0.232.92","isSecondary":"false","lNodeDn":"","lastHandshakeTime":"2015-04-15T17:12:09.093-07:00","lastNumHB":"15433","lcOwn":"local","mac":"00:00:00:00:00:00","maxMissHb":"0","modTs":"2015-04-15T17:12:08.695-07:00","monPolDn":"uni/fabric/monfab-default","name":"","numHB":"15433","operSt":"identified","pcIfId":"1","portId":"0","state":"connected","status":"","transitionStatus":"attached","uid":"15374","updateTs":"0","uuid":"","version":""}}}]}

ステップ 8 1つの Hyper-Vの下に VMを取得します。

例：

https://ifav41-ifc5.insieme.local/api/node/mo/topology/pod-1/node-190/sys/br-[eth1/43]/odev-167807067.json?query-target=children&target-subtree-class=opflexOVm&subscription=yes

{"totalCount":"1","subscriptionId":"72057718609018947","imdata":[{"opflexOVm":{"attributes":{"childAction":"","ctrlrName":"Scale-Scvmm1.inscisco.net","dn":"topology/pod-1/node-190/sys/br-[eth1/43]/odev-167807067/ovm-ExtConn_1002_EPG17_003","domName":"Domain1","id":"0","lcOwn":"local","modTs":"2015-04-14T17:36:51.512-07:00","name":"ExtConn_1002_EPG17_003","state":"Powered On","status":"","uid":"15374"}}}]}

ステップ 9 1つの VMの下に VNICを取得します。

例：

https://ifav41-ifc5.insieme.local/api/node/class/opflexIDEp.json?query-target-filter=eq(opflexIDEp.containerName,'ExtConn_1002_EPG17_003')

{"totalCount":"4","subscriptionId":"72057718609018983","imdata":[{"opflexIDEp":{"attributes":{"brIfId":"eth1/43","childAction":"","compHvDn":"","compVmDn":"","containerName":"ExtConn_1002_EPG17_003","ctrlrName":"Scale-Scvmm1.inscisco.net","dn":"topology/pod-1/node-190/sys/br-[eth1/43]/idep-00:15:5D:D2:14:84-encap-[vlan-1398]","domName":"Domain1","domPDn":"","dpAttr":"0","encap":"vlan-1398","epHostAddr":"http://10.0.136.91:17000/Vleaf/policies/setpolicies","epPolDownloadHint":"all","epgID":"","eppDownloadHint":"always","eppdn":"uni/epp/fv-[uni/tn-ExtConn_1002/ap-SCVMM/epg-EPG17]","gtag":"0","handle":"0","hypervisorName":"Scale-Hv1.inscisco.net","id":"0","instType":"unknown","ip":"0.0.0.0","lcC":"","lcOwn":"local","mac":"00:15:5D:D2:14:84","mcastAddr":"0.0.0.0","modTs":"2015-04-14T17:36:50.838-07:00","monPolDn":"uni/fabric/monfab-default","name":"00155DD21484","pcIfId":"1","portId":"0","scopeId":"0","state":"up","status":"","transitionSt



atus":"attached","uuid":"","vendorId":"Microsoft","vmAttr":"vm-name","vmAttrDn":"","vmAttrOp":"equals","vmAttrOverride":"0","vmmSrc":"msft"}}},{"opflexIDEp":{"attributes":{"brIfId":"eth1/43","childAction":"","compHvDn":"","compVmDn":"","containerName":"ExtConn_1002_EPG17_003","ctrlrName":"Scale-Scvmm1.inscisco.net","dn":"topology/pod-1/node-190/sys/br-[eth1/43]/idep-00:15:5D:D2:14:85-encap-[vlan-1438]","domName":"Domain1","domPDn":"","dpAttr":"0","encap":"vlan-1438","epHostAddr":"http://10.0.136.91:17000/Vleaf/policies/setpolicies","epPolDownloadHint":"all","epgID":"","eppDownloadHint":"always","eppdn":"uni/epp/fv-[uni/tn-ExtConn_1002/ap-SCVMM-Domain1/epg-EPG1]","gtag":"0","handle":"0","hypervisorName":"Scale-Hv1.inscisco.net","id":"0","instType":"unknown","ip":"0.0.0.0","lcC":"","lcOwn":"local","mac":"00:15:5D:D2:14:85","mcastAddr":"0.0.0.0","modTs":"2015-04-14T17:36:51.025-07:00","monPolDn":"uni/fabric/monfab-default","name":"00155DD21485","pcIfId":"1","portId":"0","scopeId":"0","state":"up","status":"","transitionStatus":"attached","uuid":"","vendorId":"Microsoft","vmAttr":"vm-name","vmAttrDn":"","vmAttrOp":"equals","vmAttrOverride":"0","vmmSrc":"msft"}}},{"opflexIDEp":{"attributes":{"brIfId":"eth1/43","childAction":"","compHvDn":"","compVmDn":"","containerName":"ExtConn_1002_EPG17_003","ctrlrName":"Scale-Scvmm1.inscisco.net","dn":"topology/pod-1/node-191/sys/br-[eth1/43]/idep-00:15:5D:D2:14:84-encap-[vlan-1398]","domName":"Domain1","domPDn":"","dpAttr":"0","encap":"vlan-1398","epHostAddr":"http://10.0.136.91:17000/Vleaf/policies/setpolicies","epPolDownloadHint":"all","epgID":"","eppDownloadHint":"always","eppdn":"uni/epp/fv-[uni/tn-ExtConn_1002/ap-SCVMM/epg-EPG17]","gtag":"0","handle":"0","hypervisorName":"Scale-Hv1.inscisco.net","id":"0","instType":"unknown","ip":"0.0.0.0","lcC":"","lcOwn":"local","mac":"00:15:5D:D2:14:84","mcastAddr":"0.0.0.0","modTs":"2015-04-14T17:36:50.731-07:00","monPolDn":"uni/fabric/monfab-default","name":"00155DD21484","pcIfId":"1","portId":"0","scopeId":"0","state":"up","status":"","transitionStatus":"attached","uuid":"","vendorId":"Microsoft","vmAttr":"vm-name","vmAttrDn":"","vmAttrOp":"equals","vmAttrOverride":"0","vmmSrc":"msft"}}},{"opflexIDEp":{"attributes":{"brIfId":"eth1/43","childAction":"","compHvDn":"","compVmDn":"","containerName":"ExtConn_1002_EPG17_003","ctrlrName":"Scale-Scvmm1.inscisco.net","dn":"topology/pod-1/node-191/sys/br-[eth1/43]/idep-00:15:5D:D2:14:85-encap-[vlan-1438]","domName":"Domain1","domPDn":"","dpAttr":"0","encap":"vlan-1438","epHostAddr":"http://10.0.136.91:17000/Vleaf/policies/setpolicies","epPolDownloadHint":"all","epgID":"","eppDownloadHint":"always","eppdn":"uni/epp/fv-[uni/tn-ExtConn_1002/ap-SCVMM-Domain1/epg-EPG1]","gtag":"0","handle":"0","hypervisorName":"Scale-Hv1.inscisco.net","id":"0","instType":"unknown","ip":"0.0.0.0","lcC":"","lcOwn":"local","mac":"00:15:5D:D2:14:85","mcastAddr":"0.0.0.0","modTs":"2015-04-14T17:36:50.932-07:00","monPolDn":"uni/fabric/monfab-default","name":"00155DD21485","pcIfId":"1","portId":"0","scopeId":"0","state":"up","status":"","transitionStatus":"attached","uuid":"","vendorId":"Microsoft","vmAttr":"vm-name","vmAttrDn":"","vmAttrOp":"equals","vmAttrOverride":"0","vmmSrc":"msft"}}}]}

参考資料

Windows のコマンドプロンプトを使用した SCVMM へのAPICエージェントのインストール

ここでは、Windowsのコマンドプロンプトを使用して、System Center Virtual Machine Manager（SCVMM）に APICエージェントをインストールする方法を説明します。


Cisco ACI with Microsoft SCVMM参考資料

手順

ステップ 1 SCVMMサーバに SCVMM管理者クレデンシャルでログインします。

ステップ 2 コマンドプロンプトを起動し、APICSCVMMAgent.msiファイルをコピーしたフォルダを変更し、以下のコマンドを実行します。

例：C:\>cd MSIPackage

C:\MSIPackage>dirVolume in drive C has no label.Volume Serial Number is 726F-5AE6

Directory of C:\MSIPackage

02/24/2015 01:11 PM <DIR> .02/24/2015 01:11 PM <DIR> ..02/24/2015 05:47 AM 3,428,352 APIC SCVMM Agent.msi

1 File(s) 3,428,352 bytes2 Dir(s) 37,857,198,080 bytes free

C:\MSIPackage>msiexec.exe /I "APIC SCVMM Agent.msi" /Qn ACCOUNT="inscisco\Administrator"PASSWORD="MyPassword" /log "C:\InstallLog.txt"C:\MSIPackage>sc.exe query ApicVMMService

SERVICE_NAME: ApicVMMServiceTYPE : 10 WIN32_OWN_PROCESSSTATE : 4 RUNNING

(STOPPABLE, NOT_PAUSABLE, ACCEPTS_SHUTDOWN)WIN32_EXIT_CODE : 0 (0x0)SERVICE_EXIT_CODE : 0 (0x0)CHECKPOINT : 0x0WAIT_HINT : 0x0

ステップ 3 msiexec.exeインストーラパッケージが成功した場合、警告またはエラーメッセージなしで終了します。失敗した場合、適切な警告またはエラーメッセージが表示されます。

Windows のコマンドプロンプトを使用した Hyper-V サーバへの APICHyper-V エージェントのインストール

ここでは、Windowsのコマンドプロンプトを使用して Hyper-Vサーバに APIC Hyper-Vエージェントをインストールする方法を説明します。

手順

ステップ 1 管理者クレデンシャルで Hyper-Vサーバにログインします。

ステップ 2 コマンドプロンプトを起動し、APICHyper-VAgent.msiファイルをコピーしたフォルダに変更し、以下のコマンドを実行します。


Cisco ACI with Microsoft SCVMMWindows のコマンドプロンプトを使用した Hyper-V サーバへの APIC Hyper-V エージェントのインストー

ル

例：C:\>cd MSIPackage

C:\MSIPackage>dirVolume in drive C has no label.Volume Serial Number is C065-FB79

Directory of C:\MSIPackage

02/24/2015 01:11 PM <DIR> .02/24/2015 01:11 PM <DIR> ..02/24/2015 05:44 AM 958,464 APIC Hyper-V Agent.msi

1 File(s) 958,464 bytes2 Dir(s) 749,486,202,880 bytes free

C:\MSIPackage>msiexec.exe /I "APIC Hyper-V Agent.msi" /log "C:\InstallLog.txt"

C:\MSIPackage>msiexec.exe /I "APIC Hyper-V Agent.msi" /Qn /log "C:\InstallLog.txt"

C:\MSIPackage>sc.exe query ApicHyperVAgent

SERVICE_NAME: ApicHyperVAgentTYPE : 10 WIN32_OWN_PROCESSSTATE : 4 RUNNING

(STOPPABLE, NOT_PAUSABLE, ACCEPTS_SHUTDOWN)WIN32_EXIT_CODE : 0 (0x0)SERVICE_EXIT_CODE : 0 (0x0)CHECKPOINT : 0x0WAIT_HINT : 0x0

ステップ 3 各 Hyper-Vサーバについてステップ 1～ 2を繰り返します。msiexec.exeインストーラパッケージが成功した場合、警告またはエラーメッセージなしで終了します。失敗した場合、適切な警告またはエラーメッセージが表示されます。

CLI を使用した SCVMM ドメインプロファイルの作成ここでは、コマンドラインインターフェイス（CLI）を使用して SCVMMドメインプロファイルを作成する方法を説明します。

手順




例：admin@apic1:~> cd /aci/vm-networking/policies/Microsoft/vmm-domains/admin@apic1:vmm-domains> mocreate productionDCadmin@apic1:vmm-domains> moconfig commitCommitting mo 'vm-networking/policies/Microsoft/vmm-domains/productionDC'



Cisco ACI with Microsoft SCVMMCLI を使用した SCVMM ドメインプロファイルの作成

admin@apic1:vmm-domains> cd productionDC/admin@apic1:productionDC> moset vlan-poolfabric/access-policies/pools/vlan/vlanRange-dynamic-allocationadmin@apic1:productionDC> moconfig commitCommitting mo 'vm-networking/policies/Microsoft/vmm-domains/productionDC'

All mos committed successfully.admin@apic1:productionDC>admin@apic1:productionDC> cd/aci/vm-networking/policies/Microsoft/vmm-domains/productionDC/controllers/admin@apic1:controllers> mocreate SCVMM1admin@apic1:controllers> cd SCVMM1admin@apic1:SCVMM1> moset host-name-or-ip-address 192.168.81.2admin@apic1:SCVMM1> moset datacenter Datacenter1admin@apic1:SCVMM1> moset management-epg tenants/mgmt/networking/external-routed-networks/l3-outside-extMgmt/networks/extNetworkadmin@apic1:SCVMM1> moset associated-credentialuni/vmmp-Microsoft/dom-productionDC/usracc-adminadmin@apic1:SCVMM1> moconfig commitCommitting mo 'vm-networking/policies/Microsoft/vmm-domains/productionDC/controllers/SCVMM1'

All mos committed successfully.admin@apic1:SCVMM1>admin@apic1:SCVMM1> cd/aci/vm-networking/policies/Microsoft/vmm-domains/productionDC/credentialsadmin@apic1:credentials> mocreate adminadmin@apic1:credentials> moconfig commitCommitting mo 'vm-networking/policies/Microsoft/vmm-domains/productionDC/credentials/admin'

All mos committed successfully.admin@apic1:credentials> cd admin/admin@apic1:admin> moset username administratoradmin@apic1:admin> moset passwordPassword: <admin>Verify: <admin>admin@apic1:admin> moconfig commitCommitting mo 'vm-networking/policies/Microsoft/vmm-domains/productionDC/credentials/admin'



例：admin@apic1:~> cd /aci/fabric/access-policies/global-policies/attachable-entity-profile/admin@apic1:attachable-entity-profile> mocreate profile1admin@apic1:attachable-entity-profile> moconfig commitCommitting mo 'fabric/access-policies/global-policies/attachable-entity-profile/profile1'

All mos committed successfully.admin@apic1:attachable-entity-profile> cd profile1/admin@apic1:profile1> cd domains-associated-to-interfaces/admin@apic1:domains-associated-to-interfaces> mocreate uni/vmmp-Microsoft/dom-productionDCadmin@apic1:domains-associated-to-interfaces> moconfig commitCommitting mo 'fabric/access-policies/global-policies/attachable-entity-profile/profile1/domains-associated-to-interfaces/[vm-networking/policies/Microsoft/vmm-domains/productionDC]'

All mos committed successfully.admin@apic1:domains-associated-to-interfaces>


例：admin@apic1:~> cd /aci/fabric/access-policies/interface-policies/policy-groups/interfaceadmin@apic1:interface> mocreate group1



admin@apic1:interface> moconfig commitCommitting mo 'fabric/access-policies/interface-policies/policy-groups/interface/group1'

All mos committed successfully.admin@apic1:interface> cd group1admin@apic1:group1> moset attached-entity-profile fabric/access-policies/global-policies/attachable-entity-profile/profile1admin@apic1:group1> moconfig commitCommitting mo 'fabric/access-policies/interface-policies/policy-groups/interface/group1'

All mos committed successfully.admin@apic1:group1>admin@apic1:group1> cd ../../../admin@apic1:interface-policies> cd profiles/interfaces/admin@apic1:interfaces> mocreate swprofile1ifselectoradmin@apic1:interfaces> cd swprofile1ifselectoradmin@apic1:swprofile1ifselector> moset description 'GUI Interface Selector Generated PortPProfileswprofile1'admin@apic1:swprofile1ifselector> moconfig commitCommitting mo 'fabric/access-policies/interface-policies/profiles/interfaces/swprofile1ifselector'

All mos committed successfully.admin@apic1:swprofile1ifselector> mocreate selector1 rangeadmin@apic1:swprofile1ifselector> cd selector1-rangeadmin@apic1:selector1-range> moset policy-groupfabric/access-policies/interface-policies/policy-groups/interface/group1admin@apic1:selector1-range> mocreate block1admin@apic1:selector1-range> cd block1admin@apic1:block1> moset from-port 1admin@apic1:block1> moset to-port 3admin@apic1:block1> moconfig commitCommitting mo 'fabric/access-policies/interface-policies/profiles/interfaces/swprofile1ifselector/selector1-range'Committing mo 'fabric/access-policies/interface-policies/profiles/interfaces/swprofile1ifselector/selector1-range/block1'



例：admin@apic1:~> cd /aci/fabric/access-policies/switch-policies/profiles/admin@apic1:profiles> mocreate swprofile1admin@apic1:profiles> cd swprofile1/admin@apic1:swprofile1> moset description 'GUI Interface Selector Generated Profile:swprofile1'admin@apic1:swprofile1> cd switch-selectors/admin@apic1:switch-selectors> mocreate selectorswprofile11718 rangeadmin@apic1:switch-selectors> cd selectorswprofile11718-range/admin@apic1:selectorswprofile11718-range> mocreate single0admin@apic1:selectorswprofile11718-range> cd single0/admin@apic1:single0> moset from 101admin@apic1:single0> moset to 101admin@apic1:single0> cd ../admin@apic1:selectorswprofile11718-range> mocreate single1admin@apic1:selectorswprofile11718-range> cd single1/admin@apic1:single1> moset from 102admin@apic1:single1> moset to 102admin@apic1:single1> moconfig commitCommitting mo 'fabric/access-policies/switch-policies/profiles/swprofile1'Committing mo 'fabric/access-policies/switch-policies/profiles/swprofile1/switch-selectors/selectorswprofile11718-range'



Committing mo 'fabric/access-policies/switch-policies/profiles/swprofile1/switch-selectors/selectorswprofile11718-range/single1'Committing mo 'fabric/access-policies/switch-policies/profiles/swprofile1/switch-selectors/selectorswprofile11718-range/single0'

All mos committed successfully.admin@apic1:single1> cd ../../../admin@apic1:swprofile1> cd associated-interface-selector-profiles/admin@apic1:associated-interface-selector-profiles> mocreatefabric/access-policies/interface-policies/profiles/interfaces/swprofile1ifselectoradmin@apic1:associated-interface-selector-profiles> moconfig commitCommitting mo 'fabric/access-policies/switch-policies/profiles/swprofile1/associated-interface-selector-profiles/[fabric/access-policies/interface-policies/profiles/interfaces/swprofile1ifselector]'



例：admin@apic1:~> cd /aci/fabric/access-policies/pools/vlan/admin@apic1:vlan> mocreate VlanRange dynamic-allocationadmin@apic1:vlan> moconfig commitCommitting mo 'fabric/access-policies/pools/vlan/VlanRange-dynamic-allocation'

All mos committed successfully.admin@apic1:vlan> cd VlanRange-dynamic-allocation/encap-blocks/admin@apic1:encap-blocks> mocreate vlan100 vlan400admin@apic1:encap-blocks> moconfig commitCommitting mo 'fabric/access-policies/pools/vlan/VlanRange-dynamic-allocation/encap-blocks/vlan100-vlan400'


プログラマビリティのリファレンス

ACI SCVMM PowerShell コマンドレットここでは、Cisco Application Centric Infrastructure（ACI）System Center Virtual Machine Manager（SCVMM）PowerShellのコマンドレット、ヘルプ、および例を示します。

手順

ステップ 1 SCVMMサーバにログインし、[スタート] > [実行] > [Windows PowerShell]の順に選択します。

ステップ 2 次のコマンドを入力します。

例：Windows PowerShellCopyright (C) 2013 Microsoft Corporation. All rights reserved.


Cisco ACI with Microsoft SCVMMプログラマビリティのリファレンス

PS C:\Program Files (x86)\ApicVMMService> cd C:\Program Files (x86)\ApicVMMService>PS C:\Program Files (x86)\ApicVMMService> Import-Module .\ACIScvmmPsCmdlets.dllPS C:\Program Files (x86)\ApicVMMService> Add-Type -Path .\Newtonsoft.Json.dllPS C:\Program Files (x86)\ApicVMMService> Get-Command -Module ACIScvmmPsCmdlets


ステップ 3 ヘルプを生成します。

例：commandname -?

ステップ 4 例を生成します。

例：get-help commandname -examples

設定リファレンス

MAC アドレス設定の推奨事項ここでは、MACアドレス設定の推奨事項について説明します。

•ダイナミックMACとスタティックMACの両方がサポートされます。

• APICで迅速にVMインベントリを表示する場合、VMネットワークアダプタにはスタティックMACが推奨されます。

•ダイナミックMACを選択した場合、APICでのVMインベントリの表示に遅延が生じます。遅延は、ダイナミックMACが SCVMMでただちに認識されないためです。


Cisco ACI with Microsoft SCVMM設定リファレンス

VMインベントリが表示されなくても、データプレーンは有効に機能します。（注）

図 23：[Properties ] ペインに [MAC address] セクションを表示

Cisco ACI with Microsoft SCVMM コンポーネントのアンインストール

ここでは、Cisco Application Centric Infrastructure（ACI）withMicrosoft SystemCenter Virtual MachineManager（SCVMM）コンポーネントをアンインストールする方法について説明します。


Cisco ACI with Microsoft SCVMMCisco ACI with Microsoft SCVMM コンポーネントのアンインストール

手順

ステップ 1 VMネットワークからすべての仮想マシンをデタッチします。Microsoftのマニュアルを参照してください。

ステップ 2 すべてのHyper-Vで、インフラVLANトンネルエンドポイント（VTEP）およびAPIC論理スイッチを削除します。


ステップ 3 APIC GUIで、すべての VMおよびホストが切断されていることを確認します。

ステップ 4 Application Policy Infrastructure Controller（APIC）から VMMドメインを削除します。VMMドメインを削除するためのガイドライン, （11ページ）を参照してください。

ステップ 5 論理スイッチと論理ネットワークが SCVMMから削除されたことを確認します。

ステップ 6 SCVMMまたは可用性の高いSCVMMでAPICSCVMMエージェントをアンインストールします。APIC SCVMMエージェントのアンインストール, （266ページ）を参照してください。

可用性の高いAPIC SCVMM上の SCVMMエージェントのアンインストール, （267ページ）を参照してください。

APIC SCVMM エージェントのアンインストールここでは、APIC SCVMMエージェントをアンインストールする方法について説明します。

手順

ステップ 1 SCVMMサーバにログインします。

ステップ 2 [スタート] > [コントロールパネル] > [プログラムのアンインストール]の順に選択します。

ステップ 3 [プログラムと機能]ウィンドウで [ApicVMMService]を右クリックして、[アンインストール]を選択します。

これにより、APIC SCVMMエージェントがアンインストールされます。

ステップ 4 APIC SCVMMエージェントがアンインストールされたかどうかを確認するには、[プログラムと機能]ウィンドウで [ApicVMMService]が表示されていないことを確認します。


Cisco ACI with Microsoft SCVMMAPIC SCVMM エージェントのアンインストール

可用性の高いAPIC SCVMM 上の SCVMM エージェントのアンインストール

ここでは、可用性の高い System Center Virtual Machine Manager（SCVMM）で Application PolicyInfrastructure Controller（APIC）SCVMMエージェントをアンインストールする方法について説明します。

手順

ステップ 1 可用性の高い SCVMMフェールオーバークラスタ内の任意のノードにログインします。

ステップ 2 [Failover Cluster Manager Application]を開きます。

ステップ 3 [Windows Failover Cluster Manager]ウィンドウの [Highly Available SCVMM Roles/Resources]タブで、[ApicVMMService]を選択します。

ステップ 4 [ApicVMMService Role]を右クリックして [Take Offline]を選択します。

ステップ 5 ロールがオフラインになったら、[ApicVMMService Role]を右クリックして [Remove]を選択します。

ステップ 6 可用性の高い SCVMMフェールオーバークラスタ内の各ノードで次の操作を実行して、APICSCVMMエージェントをアンインストールします。a) SCVMMサーバにログインします。b) [スタート] > [コントロールパネル] > [プログラムのアンインストール]の順に選択します。c) [プログラムと機能]ウィンドウで [ApicVMMService]を右クリックして、[アンインストール]を選択します。

これにより、APIC SCVMMエージェントがアンインストールされます。d) APIC SCVMMエージェントがアンインストールされたかどうかを確認するには、[プログラムと機能]ウィンドウで [ApicVMMService]が表示されていないことを確認します。

Cisco ACI with Microsoft SCVMM コンポーネントでの APICコントローラとスイッチソフトウェアのダウングレード

ここでは、Cisco ACI with Microsoft System Center Virtual Machine Manager（SCVMM）コンポーネントで APICコントローラとスイッチソフトウェアをダウングレードする方法について説明します。

手順

ステップ 1 SCVMMまたは可用性の高いSCVMMでAPICSCVMMエージェントをアンインストールします。


Cisco ACI with Microsoft SCVMM可用性の高いAPIC SCVMM 上の SCVMM エージェントのアンインストール

APIC SCVMMエージェントのアンインストール, （266ページ）を参照してください。

可用性の高いAPIC SCVMM上の SCVMMエージェントのアンインストール, （267ページ）を参照してください。

ステップ 2 論理スイッチと仮想スイッチの拡張マッピングを更新します。

a) [logical switch properties]ダイアログボックスで、b) [Extensions]を選択します。c) [Cisco ACI Virtual Switch Filter]をオフにします。d) [OK]をクリックします。

ステップ 3 APICコントローラをダウングレードします。『Cisco APIC Firmware Management Guide』を参照してください。

ステップ 4 SCVMMエージェントの古いバージョンをインストールします。

APIC OpFlex 証明書のエクスポートここでは、元のOpFlex証明書を検出できない場合に、新しいHyper-Vノード、SystemCenterVirtualMachine Manager（SCVMM）およびWindows Azure Packのリソースプロバイダーサーバの ACIファブリックへの展開に使用できるファイルに、APIC OpFlex証明書をバックアップする方法を説明します。

手順

ステップ 1 現在 ACIファブリックのメンバーである Hyper-Vノードにログインします。

ステップ 2 次の操作を実行して、Hyper-Vノードから証明書をエクスポートします。a) [スタート] > [実行]の順に選択し、certlm.mscと入力して証明書マネージャを起動します。b) [navigation]ペインで、[Certificates - Local Computer]を右クリックして [Find Certificates]を選択します。

c) [Find Certificate]ダイアログボックスで、次の操作を実行します。

• [Find in]フィールドで、ドロップダウンリストから [All certificate stores]を選択します。

• [Contains]フィールドに OpflexAgentと入力します。

• [Look in Field]フィールドで、ドロップダウンリストから [Issued By]を選択します。

• [Find Now]をクリックします。

結果のリストとして、リストに 1つの証明書が表示されます。

d) 新たに見つかった [OpflexAgent]証明書を右クリックして、[Export]を選択します。証明書エクスポートウィザードが表示されます。


Cisco ACI with Microsoft SCVMMAPIC OpFlex 証明書のエクスポート

ステップ 3 [Certificate Export Wizard]ダイアログボックスで、次の操作を実行します。a) [Welcome to the Certificate Export Wizard]ダイアログボックスで [Next]をクリックします。b) [Export Private Key]ダイアログボックスで [Yes, export the private key]オプションボタンを選択し、[Next]をクリックします。

c) [Export File Format]ダイアログボックスで [Personal Information Exchange - PKCS #12 (.PFX)]オプションボタンを選択し、[Include all certificates in the certificate path if possible]および [Exportall extended properties]チェックボックスをオンにします。[Next]をクリックします。

d) [Security]ダイアログボックスで [Password]チェックボックスをオンにして、PFXパスワードを入力し、もう一度 PFXパスワードを入力して確認します。[Next]をクリックします。PFXパスワードは、ターゲットマシンで PFXファイルをインポートするために後で使用されます。

e) [File to Export]ダイアログボックスで、エクスポートしたファイル（C:\OpflexAgent.pfx）を保存する任意のファイル名を入力して、[Next]をクリックします。

f) [Completing the Certificate Export Wizard]ダイアログボックスで、指定した設定がすべて適切であることを確認して [Finish]をクリックします。

g) [Certificate Export Wizard]ダイアログボックスに [The export was successful]と表示されます。[Ok]をクリックします。

ステップ 4 PFXファイルを既知の場所にコピーします。ACIファブリックへの統合のために、Active Directoryグループポリシーで証明書を展開したり、SCVMM、Windows Azure Packのリソースプロバイダー、Hyper-Vサービスをホストする各種のMicrosoftサーバにファイルをコピーできます。





第 8 章

Cisco ACI with Microsoft Windows Azure Pack


• Cisco ACI with Microsoft Windows Azure Packについて, 271 ページ

• Cisco ACI with Microsoft Windows Azure Packの開始, 275 ページ

• Cisco ACI with Microsoft Windows Azure Packコンポーネントのアップグレード, 282 ページ

• 管理者とテナントエクスペリエンスのユースケースシナリオ, 285 ページ

• Cisco ACI with Microsoft Windows Azure Packのトラブルシューティング, 313 ページ

• プログラマビリティのリファレンス, 314 ページ

• Cisco ACI withMicrosoftWindows Azure Packコンポーネントのアンインストール, 315 ページ

• Cisco ACI with Microsoft Windows Azure Packでの APICコントローラとスイッチソフトウェアのダウングレード, 319 ページ

Cisco ACI with Microsoft Windows Azure Pack についてCisco Application Centric Infrastructure（ACI）とMicrosoft Windows Azure Packの統合によって、テナントにセルフサービスエクスペリエンスを提供します。

ACIはプラットフォームのネットワーク管理機能を拡張します。MicrosoftWindowsAzurePackは、既存のMicrosoft SystemCenter VirtualMachineManager（SCVMM）インストールの最上位に構築されます。CiscoACIはこれらの各レイヤに統合ポイントがあり、SCVMM環境で実行された作業を活用し、Microsoft Windows Azure Packのインストールで使用できます。

• CiscoACIwithMicrosoftWindowsAzure Pack（MicrosoftWindowsAzure Pack forWindows Server）は、次の機能を含むMicrosoft Azureテクノロジーのコレクションです。

◦テナント用の管理ポータル

◦管理者用の管理ポータル

◦サービス管理 API


• Cisco ACI withMicrosoft SystemCenter VirtualMachineManager：Cisco ACI withMicrosoft SystemCenter Virtual MachineManager（SCVMM）を設定する方法について詳しくは、Cisco ACI withMicrosoft SCVMMソリューションの概要, （220ページ）を参照してください。

Cisco ACI with Microsoft Windows Azure Pack ソリューションの概要Cisco Application Centric Infrastructure（ACI）は、Microsoft Windows Azure Packに統合され、テナントにセルフサービスエクスペリエンスを提供します。Windows Azure PackのACIリソースプロバイダーは、ネットワーク管理のために Application Policy Infrastructure Controller（APIC）を推進します。ネットワークは、System Center Virtual Machine Manager（SCVMM）で作成され、それぞれのテナントのためにWindows Azure Packで使用可能になります。F5の ACI Layer 4 to Layer 7機能、Citrixロードバランサ、およびステートレスのファイアウォールがテナントに提供されます。詳細については、ロードバランシングの概要, （294ページ）を参照してください。

Windows Server向けのWindows Azure Packは、Microsoftの顧客が使用可能なMicrosoft Azureテクノロジーのコレクションで、データセンターへのインストールに追加コストはかかりません。

Windows Server 2012 R2および System Center 2012 R2で動作し、Windows Azureテクノロジーを使用することで、Windows Azureエクスペリエンスとともに、豊富なセルフサービス、マルチテナントクラウド、一貫性の提供を実現します。

Windows Azure Packには次の機能があります。

•テナントの管理ポータル：ネットワーク、ブリッジドメイン、VM、ファイアウォール、ロードバランサ、外部接続、共有サービスなどのサービスをプロビジョニング、監視、および管

理するためのカスタマイズ可能なセルフサービスポータル。ユーザポータルの GUIを参照してください。

•管理者の管理ポータル：リソースクラウド、ユーザアカウント、テナントのオファー、クォータ、価格設定、Webサイトのクラウド、仮想マシンのクラウド、およびサービスバスのクラウドを設定し管理する管理者のためのポータル。

•サービス管理API：カスタムポータルや課金システムなどのさまざまな統合シナリオの実現に役立つ REST API。

詳細については、管理者とテナントエクスペリエンスのユースケースシナリオ, （285ページ）を参照してください。


Cisco ACI with Microsoft Windows Azure PackCisco ACI with Microsoft Windows Azure Pack ソリューションの概要

物理トポロジと論理トポロジ

図 24：ACIファブリックを使用する標準的な Windows Azure Pack 導入トポロジ

上図は、Cisco Application Centric Infrastructure（ACI）ファブリックを使用する標準的なWindowsAzure Pack導入の代表的なトポロジを示しています。Windows Azure Packと Application PolicyInfrastructure Controller（APIC）の間の接続は管理ネットワークを対象としています。テナントイ


Cisco ACI with Microsoft Windows Azure Pack物理トポロジと論理トポロジ

ンターフェイスは、GUIまたは REST APIのどちらかを介してWindows Azure Packのみを対象とします。テナントは、APICへの直接アクセスを持ちません。

図 25：リソースプロバイダーフレームワークにおける ACI

Microsoft Windows Azure Pack での ACI 構造のマッピングについてここでは、Microsoft Windows Azure PackでのCisco Application Centric Infrastructure（ACI）のマッピングの表を示します。

表 4：ACIおよび Windows Azure Pack の構造のマッピング

ACIWindows Azure Pack

テナントサブスクリプション

EPGネットワーク

テナント内の契約ファイアウォールルール

テナント間の契約共有サービス


Cisco ACI with Microsoft Windows Azure PackMicrosoft Windows Azure Pack での ACI 構造のマッピングについて

ACIWindows Azure Pack

VMドメインSCVMMクラウド

Cisco ACI with Microsoft Windows Azure Pack の開始ここでは、Cisco ACI with Microsoft Windows Azure Packを使い始める方法について説明します。

Cisco ACI with Microsoft Windows Azure Packをインストールする前に、Cisco ACIと 1.2(1i)リリースのMicrosoft Integrationファイルをダウンロードして解凍します。

1 次のアドレスのシスコのApplication Policy Infrastructure Controller（APIC）Webサイトにアクセスします。


2 [All Downloads for this Product]を選択します。

3 リリースバージョンと aci-msft-pkg-1.2.1i.zipファイルを選択します。

4 [Download]をクリックします。

5 aci-msft-pkg-1.2.1i.zipファイルを解凍します。

Cisco ACI with Microsoft Windows Azure Packは ASCII文字のみをサポートします。非 ASCII文字はサポートしていません。

（注）

Cisco ACI with Microsoft Windows Azure Pack を開始するための前提条件開始する前に、コンピューティング環境が以下の前提条件を満たしていることを確認します。

• CiscoApplication Centric Infrastructure（ACI）withMicrosoft SystemCenter VirtualMachineManager（SCVMM）が設定されていることを確認します。

詳細については、CiscoACI with Microsoft SCVMMの開始, （222ページ）を参照してください。

• Microsoft Windows Azure Packの更新プログラムロールアップ 5、6、または 7がインストールされていることを確認します。


• Microsoft System Center 2012 R2 - Virtual Machine Manager（SCVMM）管理者コンソールがWindowsAzure Packリソースプロバイダーサーバにインストールされていることを確認します。


Cisco ACI with Microsoft Windows Azure PackCisco ACI with Microsoft Windows Azure Pack の開始




• Hyper-Vホストがインストールされていることを確認します。


•クラウドが SCVMMで設定されていることを確認します。


• VMクラウドがWindows Azure Packで設定されていることを確認します。


•インフラストラクチャ VLANが有効な「default」 AEPが存在することを確認します。

•「default」および「vpcDefault」BDと、対応する「default」および「vpcDefault」EPGがテナント共通に存在することを確認します。

• APIC Windows Azure Packリソースおよびホストエージェント用の Cisco MSIファイルがあることを確認します。

詳細については、CiscoACI with Microsoft SCVMMの開始, （222ページ）を参照してください。

症状：プランを作成または更新するときに、エラーメッセージが表示されて失敗することが

あります。

条件：FQDNを使用せずにMicrosoftのWindowsAzure Packを設定している場合に、次のエラーメッセージが表示されます。

Cannot validate the new quota settings because one of the underlying services failed to

respond.Details: An error has occurred.

回避策：VMクラウドを設定するときは、SCVMMサーバに FQDNを使用するよう通知するMicrosoftのWindows Azure Pack UIの指示に従います。

（注）

Cisco ACI with Microsoft Windows Azure Pack コンポーネントのインストール、設定および確認

ここでは、Cisco ACI withMicrosoftWindows Azure Packコンポーネントをインストール、設定および確認する方法を説明します。


ACI Azure Packリソースプロバイダーのインストール, （277ページ）を参照してください。

ACI Azure Packのリソースプロバイダーのインストール


Cisco ACI with Microsoft Windows Azure PackCisco ACI with Microsoft Windows Azure Pack コンポーネントのインストール、設定および確認


OpflexAgent証明書のインストール, （277ページ）を参照してください。

OpflexAgent証明書のインストール

ACIAzure Packのリソースプロバイダーサイトの設定, （280ページ）を参照してください。

ACIAzure Packのリソースプロバイダーサイトの設定

ACIAzurePackの管理者サイト拡張のインストール, （280ページ）を参照してください。

ACIAzurePackの管理者サイト拡張のインストール

ACI Azure Packのテナントサイト拡張のインストール, （281ページ）を参照してください。

ACI Azure Packのテナントサイト拡張のインストール

ACIの設定, （281ページ）を参照してください。

ACIの設定

WindowsAzure Packのリソースプロバイダーの確認, （282ページ）を参照してください。

WindowsAzure Packのリソースプロバイダーの確認

ACI Azure Pack リソースプロバイダーのインストールここでは、Windows Azure Packサーバに ACI Azure Packリソースプロバイダーをインストールする方法を説明します。

手順

ステップ 1 Windows Azure Pack環境に VMクラウドを提供するMicrosoft Service Provider Foundationサーバにログインします。ACI Azure Pack - Resource Provider Site.msiファイルを見つけてコピーします。

ステップ 2 ACI Azure Pack - Resource Provider Site.msiファイルをダブルクリックします。

ステップ 3 [Setup]ダイアログボックスで以下の操作を実行し、ACI Azure Pack -リソースプロバイダーをインストールします。

a) [I accept the terms in the License Agreement]チェックボックスをオンにします。b) [Install]をクリックします。c) [Install]をクリックします。d) [Finish]をクリックします。

OpflexAgent 証明書のインストールここでは、OpflexAgent証明書をインストールする方法について説明します。



手順

ステップ 1 管理者クレデンシャルでWindows Azure Packサーバにログインします。



https://technet.microsoft.com/en-us/library/cc770315(v=ws.10).aspx.


ローカルシステムに OpFlexセキュリティ証明書を追加する必要があります。ACI WindowsAzure Packのリソースプロバイダーは、SCVMMサーバ上にある（C:\Program Files(x86)\ApicVMMService\OpflexAgent.pfx）、Cisco ACI SCVMMインストールプロセスからの同じセキュリティ証明書ファイルを使用します。このファイルをWindows Azure Packのリソースプロバイダーサーバにコピーします。ACI Windows Azure Packのリソースプロバイダーサーバで次の手順を実行しない場合、APIC ACI Windows Azure Packのリソースプロバイダーは Application Policy Infrastructure Controller（APIC）と通信できません。

ACI Windows Azure PackのリソースプロバイダーのWindows Server 2012ローカルマシンの証明書リポジトリに、OpFlexセキュリティ証明書をインストールします。各 ACI WindowsAzurePackのリソースプロバイダーサーバで次の手順を実行して、この証明書をインストールします。
























ACI Azure Pack のリソースプロバイダーサイトの設定ここでは、Windows Azure Packサーバで ACI Azure Packのリソースプロバイダー IISサイトを設定する方法を説明します。

手順

ステップ 1 Windows Azure Packサーバにログインし、[Internet Information Services Manager Application]を開きます。

ステップ 2 [Application Pools] > [Cisco-ACI]に移動します。

ステップ 3 [Actions]タブで [Advanced Settings]をクリックします。a) IDフィールドを見つけて、スクロールバーの左側の省略記号をクリックします。b) カスタムアカウントを選択し、Service Provider Foundation管理者のアカウント名とパスワードからなるクレデンシャルを入力します。Service Provider Foundation管理者のユーザアカウントには、Administrator、SPF_Adminのグループメンバーシップが必要です。このユーザアカウントが必要なのは、リソースプロバイダーが接続された SCVMMサーバを問い合わせるためです。また、ユーザクレデンシャルには、ローカルマシンのレジストリへの書き込み権限、

リソースプロバイダーのロギング用に次のディレクトリへの読み取り/書き込みアクセス権が必要です。C:\Windows\System32\config\systemprofile\AppData\Local

c) [OK]をクリックして、アプリケーションプール IDを終了します。

ステップ 4 [OK]をクリックして、拡張設定を終了します。

ACI Azure Pack の管理者サイト拡張のインストールここでは、Windows Azure Packサーバに ACI Azure Packの管理者サイト拡張をインストールする方法を説明します。

手順

ステップ 1 Windows Azure Packサーバにログインし、ACI Azure Pack - Admin Site Extension.msiファイルを見つけます。

ステップ 2 ACI Azure Pack - Admin Site Extension.msiファイルをダブルクリックします。

ステップ 3 [Setup]ダイアログボックスで、次の操作を実行して ACI Azure Packの管理者サイト拡張をインストールします。

a) [I accept the terms in the License Agreement]チェックボックスをオンにします。b) [Install]をクリックします。



c) [Finish]をクリックします。

ACI Azure Pack のテナントサイト拡張のインストールここでは、Windows Azure Packサーバに ACI Azure Packのテナントサイト拡張をインストールする方法を説明します。

手順

ステップ 1 Windows Azure Packサーバにログインし、ACI Azure Pack - Tenant Site Extension.msiファイルを見つけます。

ステップ 2 ACI Azure Pack - Tenant Site Extension.msiファイルをダブルクリックします。

ステップ 3 [Setup]ダイアログボックスで、次の操作を実行してACI Azure Packのテナントサイト拡張をインストールします。

a) [I accept the terms in the License Agreement]チェックボックスをオンにします。b) [Install]をクリックします。c) [Finish]をクリックします。

ACIの設定ここでは、ACIの設定方法について説明します。

手順

ステップ 1 サービス管理ポータルにログインします。

ステップ 2 [Navigation]ペインで [ACI]を選択します。[ACI]がない場合、[Refresh]をクリックします。

ステップ 3 QuickStartアイコンをクリックします。

ステップ 4 [QuickStart]ペインで、次の操作を順序どおりに実行します。a) [Register your ACI REST endpoint]をクリックします。b) [ENDPOINT URL]フィールドに、リソースプロバイダーアドレスである Cisco-ACIポート（http://resource_provider_address:50030）を入力します。

c) [USERSNAME]フィールドに、ユーザ名（ドメイン管理者）を入力します。d) [PASSWORD]フィールドに、パスワード（ドメイン管理者のパスワード）を入力します。

ステップ 5 [ACI] > [Setup]タブを選択し、次の操作を実行します。a) [APIC ADDRESS]フィールドに、APIC IPアドレスを入力します。



b) [CERTIFICATE NAME]フィールドに OpflexAgentと入力します。

Windows Azure Pack のリソースプロバイダーの確認ここでは、Windows Azure Packのリソースプロバイダーを確認する方法について説明します。

手順

ステップ 1 サービス管理ポータル（管理者ポータル）にログインします。

ステップ 2 [Navigation]ペインで [ACI]を選択します。

ステップ 3 [aci]ペインで QuickStart Cloudアイコンを選択します。[Register your ACI REST Endpoint]リンクがグレー表示になっていることを確認します。

ステップ 4 [aci]ペインで [SETUP]を選択します。APICアドレスに有効な apicアドレスがあり、証明書名がOpflexAgentであることを確認します。

Cisco ACI with Microsoft Windows Azure Pack コンポーネントのアップグレード

各 Cisco ACI withWindows Azure Pack統合の .msiファイルをアップグレードするには、更新プログラムロールアップごとにリストされるWindows Azure PackコンポーネントをアップグレードするためのMicrosoftの全般的なガイドラインに従います。全般的なガイドラインは次のとおりです。

•システムが現在稼働中（顧客のトラフィックを処理中）の場合は、Azureサーバのダウンタイムをスケジュールします。Windows Azure Packは現在ローリングアップグレードをサポートしていません。

•顧客のトラフィックを停止するか、適切と思われるサイトにリダイレクトします。

•コンピュータのバックアップを作成します。


Cisco ACI with Microsoft Windows Azure PackCisco ACI with Microsoft Windows Azure Pack コンポーネントのアップグレード

仮想マシン（VM）を使用している場合は、現在の状態のスナップショットを撮ります。

VMを使用していない場合は、Windows Azure Packコンポーネントがインストールされている各マシンの inetpubディレクトリの各 MgmtSvc-*フォルダのバックアップを作成します。

証明書、ホストヘッダーなどのポートの変更に関連するファイルと情報を収集します。

アップグレードが完了し確認したら、VMスナップショットの管理に関するHyper-Vのベストプラクティス（https://technet.microsoft.com/en-us/library/dd560637(v=ws.10).aspx）に従います。

（注）

ACI Windows Azure Pack ワークフローのアップグレードここでは、ACI Windows Azure Packのワークフローをアップグレードする方法を説明します。

手順

ステップ 1 APICコントローラとスイッチソフトウェアをアップグレードします。『Cisco APIC Firmware Management Guide』を参照してください。

ステップ 2 ACI Windows Azure Packをアップグレードします。1.1(2x)以前のリリースからアップグレードする場合：

a) APIC Windows Azure Packのリソースプロバイダーをアンインストールする必要があります。APICWindows Azure Packのリソースプロバイダーのアンインストール, （316ページ）を参照してください。

b) Cisco ACI with Microsoft Windows Azure Packコンポーネントのインストール、設定および確認,（276ページ）の手順に従います。

c) ステップ 6に進み、SCVMMで APIC SCVMMエージェントをアップグレードするか、可用性の高い SCVMMで APIC SCVMMエージェントをアップグレードします。

リリース 1.1(2x)以降からアップグレードする場合：

a) ステップ 3に進みます。

ステップ 3 ACI Windows Azure Packのリソースプロバイダーをアップグレードします。詳細については、ACI Windows Azure Packリソースプロバイダーのアップグレード, （284ページ）を参照してください。

ステップ 4 ACI Azure Packの管理者サイト拡張をアップグレードします。詳細については、ACI Azure Pack管理者サイト拡張のアップグレード, （284ページ）を参照してください。

ステップ 5 ACI Azure Packのテナントサイト拡張をアップグレードします。詳細については、ACI Azure Packテナントサイト拡張のアップグレード, （285ページ）を参照してください。


Cisco ACI with Microsoft Windows Azure PackACI Windows Azure Pack ワークフローのアップグレード

https://technet.microsoft.com/en-us/library/dd560637(v=ws.10).aspx

ステップ 6 SCVMMでAPIC SCVMMエージェントをアップグレードするか、可用性の高い SCVMMでAPICSCVMMエージェントをアップグレードします。詳細については、SCVMMでの APIC SCVMMエージェントのアップグレード, （246ページ）を参照してください。

詳細については、可用性の高い SCVMM上の APIC SCVMMエージェントのアップグレード, （247ページ）を参照してください。

ステップ 7 APIC Hyper-Vエージェントをアップグレードします。詳細については、APICHyper-Vエージェントのアップグレード,（248ページ）を参照してください。

ACI Windows Azure Pack リソースプロバイダーのアップグレードここでは、ACI Windows Azure Packのリソースプロバイダーをアップグレードする方法を説明します。

手順

ACI Windows Azure Packのリソースプロバイダーをアップグレードします。リリース 1.1(2x)以降からアップグレードする場合：

a) ACI Azure Packリソースプロバイダーのインストール, （277ページ）の手順に従ってください。


b) ACI Azure Packのリソースプロバイダーサイトの設定, （280ページ）の手順に従ってください。


a) APICWindows Azure Packのリソースプロバイダーのアンインストール, （316ページ）の手順に従ってください。

b) ACI Azure Packリソースプロバイダーのインストール, （277ページ）の手順に従ってください。


c) ACI Azure Packのリソースプロバイダーサイトの設定, （280ページ）の手順に従ってください。

ACI Azure Pack 管理者サイト拡張のアップグレードここでは、ACI Azure Packの管理者サイト拡張をアップグレードする方法を説明します。


Cisco ACI with Microsoft Windows Azure PackACI Windows Azure Pack リソースプロバイダーのアップグレード

手順

ACI Azure Packの管理者サイト拡張をアップグレードします。a) ACIAzure Packの管理者サイト拡張のインストール, （280ページ）の手順に従ってください。


ACI Azure Pack テナントサイト拡張のアップグレードここでは、ACI Azure Packのテナントサイト拡張をアップグレードする方法を説明します。

手順

ACI Azure Packのテナントサイト拡張をアップグレードします。a) ACI Azure Packのテナントサイト拡張のインストール, （281ページ）の手順に従ってください。


管理者とテナントエクスペリエンスのユースケースシ

ナリオここでは、管理者とテナントエクスペリエンスのユースケースシナリオについて説明します。

タスクユー

ザ

VPC プラン

共有

プラ

ン

ユースケース

1.プランタイプについて, （289ページ）を参照してください。

Adminありありプランの作成

これにより、管理者は独自の制限値

を使用してプランを作成できます。2.プランの作成,（290ページ）を参照してください。

Admin

テナントの作成,（291ページ）を参照してください。

Adminありありテナントの作成

これにより、管理者はテナントを作

成できます。


Cisco ACI with Microsoft Windows Azure PackACI Azure Pack テナントサイト拡張のアップグレード

タスクユー

ザ

VPC プラン

共有

プラ

ン

ユースケース

1.共有プランでのネットワークの作成,（305ページ）を参照してください。

Tenantなしあり共有プランでのネットワークの作成

と検証

これにより、テナントは共有プラン

のネットワークを作成し検証できま

す。2.APICのMicrosoftWindowsAzurePackで作成されたネットワークの確認,（305ページ）を参照してください。

Tenant

VPCプランでのネットワークの構築,（307ページ）を参照してください。

TenantありなしVPCプランでのネットワークの構築

これにより、テナントはVPCプランでネットワークを作成できます。

1.VPCプランでのブリッジドメインの作成,（306ページ）を参照してください。

TenantありなしVPCプランのブリッジドメインの作成、ネットワークの作成、およびブ

リッジドメインの関連付け

仮想プライベートクラウド（VPC）プランのみに適用されます。これに

より、テナントはネットワークに対

する独自の IPアドレス空間を取得できます。

2.VPCプランでのネットワークの作成およびブリッジドメインへの

関連付け,（306ページ）を参照してください。

Tenant

同一サブスクリプション内のファ

イアウォールの作成, （306ページ）を参照してください。

Tenantありあり同一サブスクリプション内のファイ

アウォールの作成

これにより、テナントは同一サブス

クリプション内にファイアウォール

を作成できます。


Cisco ACI with Microsoft Windows Azure Pack管理者とテナントエクスペリエンスのユースケースシナリオ

タスクユー

ザ

VPC プラン

共有

プラ

ン

ユースケース

1.テナントによる共有サービス提供の許可,（292ページ）を参照してください。

Adminありありテナントによる共有サービス提供の

許可

これにより、テナントはネットワー

クを作成し、作成したネットワーク

にコンピューティングサービス

（サーバ）を接続し、他のテナント

にこれらのサービスへの接続を提供

できます。管理者は、プランで明示

的にこの機能を有効にする必要があ

ります。

2.共有サービスの提供,（308ページ）を参照してください。

Tenant

3.アクセスコントロールリストの追加,（310ページ）またはアクセスコントロールリストの削除,（311ページ）を参照してください。

Tenant

4.テナントによる共有サービス消費の許可,（292ページ）を参照してください。

Admin

5.消費される共有サービスの設定,（309ページ）を参照してください。

Tenant

6.共有サービスプロバイダーとコンシューマの表示,（293ページ）を参照してください。

Admin

新しいテナントからの共有サービ

スの廃止,（293ページ）を参照してください。

共有サービスからのテナントの取

り消し,（294ページ）を参照してください。

Adminありあり共有サービスの管理

これにより、管理者は新しいテナン

トの共有サービスを廃止し、共有サー

ビスからのテナントアクセスを取り

消すことができます。

VMの作成とネットワークへの接続,（307ページ）を参照してください。

TenantありありVMの作成とネットワークへの接続



タスクユー

ザ

VPC プラン

共有

プラ

ン

ユースケース

1.ロードバランシングの概要, （294ページ）を参照してください。

Adminありありロードバランサの作成

2.APICでのデバイスパッケージのインポート,（295ページ）を参照してください。

Admin

3.XML POSTを使用した APICでのロードバランサデバイスの設

定,（296ページ）を参照してください。

Admin

4.プランに合わせたロードバランサの作成,（302ページ）を参照してください。

Admin

5.ロードバランサの設定, （309ページ）を参照してください。

Tenant



タスクユー

ザ

VPC プラン

共有

プラ

ン

ユースケース

1.L3外部接続について,（302ページ）を参照してください。

APICAdmin

ありあり外部接続の作成

これにより、テナントネットワーク

でファブリックの外部宛てに送信さ

れるトラフィックを開始し、外部か

らのトラフィックを引き付けること

ができます。

2.Windows Azure Pack用に L3外部接続を設定するための前提条件,（303ページ）を参照してください。

APICAdmin

3.l3extinstP「default」で提供される契約の作成,（303ページ）を参照してください。

APICAdmin

4.l3extinstP「vpcDefault」で提供される契約の作成,（304ページ）を参照してください。

APICAdmin

5.外部接続用ネットワークの作成,（311ページ）を参照してください。

Tenant

6.外部接続用のファイアウォールの作成,（311ページ）を参照してください。

Tenant

7.APICでのテナントの L3外部接続の確認,（312ページ）を参照してください。

APICAdmin

エクスペリエンスの管理

プランタイプについて

管理者は独自の価値観でプランを作成します。プランタイプは次のとおりです。

仮想プライベートクラウド共有インフラストラクチャ

ありあり分離ネットワーク

ありありファイアウォール


Cisco ACI with Microsoft Windows Azure Packエクスペリエンスの管理

仮想プライベートクラウド共有インフラストラクチャ

あり *ありプロバイダー DHCP

あり *あり共有ロードバランサ

ありありパブリックインターネットア

クセス

ありありテナント間共有サービス

ありなし独自のアドレス空間（プライ

ベートアドレス空間）とDHCPサーバの保持

*仮想プライベートクラウド（VPC）プランでは、プライベートアドレス空間に対するロードバランサと DHCPはサポートされません。いずれの機能もテナントには提供されますが、共有インフラストラクチャによって所有されます。

プランの作成

これにより、管理者は独自の値でプランを作成できます。

手順


ステップ 2 [Navigation]ペインで [PLANS]を選択します。

ステップ 3 [NEW]を選択します。

ステップ 4 [NEW]ペインで [CREATE PLAN]を選択します。

ステップ 5 [Let's Create a Hosting Plan]ダイアログボックスで、プラン（ブロンズ）の名前を入力し、矢印をクリックして次に進みます。

ステップ 6 [Select services for a Hosting Plan]ダイアログボックスで機能を選択します。[VIRTUAL MACHINECLOUDS]および [NETWORKING (ACI)]チェックボックスをオンにし、矢印をクリックして次に進みます。

ステップ 7 [Select add-ons for the plan]ダイアログボックスで、チェックマークをクリックして次に進みます。

ステップ 8 [plans]ペインで、プラン（ブロンズ）が作成されるのを待って、（ブロンズ）プラン矢印を選択して設定します。

ステップ 9 プランのサービスの [Bronze]ペインで、[Virtual Machine Clouds]矢印を選択します。

ステップ 10 [virtual machine clouds]ペインで、次の操作を実行します。a) [VMMMANAGEMENT SERVER]フィールドで、VMM管理サーバ（172.23.142.63）を選択します。



b) [VIRTUAL MACHINE CLOUD]フィールドで、クラウド名（Cloud01）を入力します。c) 下にスクロールして、[Add templates]を選択します。d) [Select templates to add to this plan]ダイアログボックスで、テンプレートのチェックボックスをオンにし、チェックマークをクリックして次に進みます。

e) [Custom Settings]まで下にスクロールして、SCVMMについて [Disable built-in network extensionsfor tenants]チェックボックスをオンにします。

f) 下部で [SAVE]をクリックします。g) 終了したら、[OK]をクリックします。

ステップ 11 サービス管理ポータルで、戻る矢印をクリックすると、[Bronze]ペインに戻ります。

ステップ 12 プランのサービスの [Bronze]ペインで、[Networking (ACI)]をクリックして、次の操作を実行します。

a) [PLAN TYPE]フィールドで、ドロップダウンリストからプランタイプを選択します。b) [SAVE]をクリックします。

ステップ 13 [OK]をクリックします。プランが作成されました。

テナントの作成

これにより、管理者はテナントを作成できます。

手順


ステップ 2 [Navigation]ペインで、[USER ACCOUNTS]を選択します。

ステップ 3 [NEW]を選択します。

ステップ 4 [NEW]ペインで下にスクロールし、[USER ACCOUNTS]を選択します。

ステップ 5 [NEW]ペインで、[QUICK CREATE]を選択し、以下の操作を実行します。a) [ENTER EMAIL ADDRESS]フィールドに電子メールアドレス（[email protected]）を入力します。

b) [ENTER PASSWORD]フィールドにパスワードを入力します。c) [CONFIRM PASSWORD]フィールドに同じパスワードをもう一度入力します。d) [CHOOSE PLAN]フィールドでプラン（BRONZE）を選択します。e) [CREATE]をクリックします。f) [OK]をクリックします。テナントが作成されました。



テナントによる共有サービス提供の許可

このオプションにより、テナントはネットワークを作成し、コンピューティングサービス（サー

バ）をこれらのネットワークに接続し、他のテナントにこれらのサービスへの接続を提供するこ

とができます。管理者は、プランで明示的にこの機能を有効にする必要があります。

手順


ステップ 2 [Navigation]ペインで [PLANS]を選択します。a) プランを選択します。b) プランのサービスで、[Networking (ACI)]をクリックします。

ステップ 3 [networking (aci)]ペインで [allow tenants to provide shared services]チェックボックスをオンにして、[SAVE]をクリックします。

テナントによる共有サービス消費の許可

テナントが他のテナントで使用される共有サービスを作成できる場合であっても、管理者はテナ

ント間で共有できるサービスを選択する必要があります。この手順では、Windows Azure Packの管理者がプラン用に共有サービスを選択する方法を示します。

はじめる前に

•管理者がテナントによる共有サービスの提供を許可していることを確認します。

•テナントが共有サービスを提供していることを確認します。

手順



ステップ 3 [plans]ペインで [PLANS]を選択します。a) プラン（ゴールド）をクリックします。

ステップ 4 [Gold]ペインで [Networking (ACI)]を選択します。

ステップ 5 [networking (aci)]ペインで、アクセス権を与える共有サービスのチェックボックスをオンにします（DBSrv）。

ステップ 6 [SAVE]をクリックします。



共有サービスプロバイダーとコンシューマの表示

これにより、管理者は共有サービスプロバイダーとコンシューマを表示できます。

はじめる前に



•管理者がプランで共有サービスを有効化していることを確認します。

•消費される共有サービスがテナントに設定されていることを確認します。

手順



ステップ 3 [ACI]ペインで、[SHARED SERVICES]を選択して共有サービスプロバイダーを表示します。

ステップ 4 プロバイダーをクリックします。

ステップ 5 [INFO]をクリックして、この共有サービスを消費しているすべてのユーザを表示します。

共有サービスの管理

新しいテナントからの共有サービスの廃止

これにより、管理者は新しいテナントから共有サービスを廃止できます。

手順



ステップ 3 [plans]ペインで、プラン（ゴールド）を選択します。

ステップ 4 [gold]ペインで [Networking (ACI)]を選択します。

ステップ 5 [networking (aci)]ペインで、プランからサービスのマークを外して [SAVE]をクリックします。テナントから共有サービスを廃止しました。



共有サービスからのテナントの取り消し

これにより、管理者は共有サービスからテナントを取り消すことができます。

手順



ステップ 3 [aci]ペインで、共有サービス（DBSrv）を選択します。

ステップ 4 [INFO]をクリックして、取り消すユーザがその共有サービスに存在することを確認します。


ステップ 6 [plans]ペインで、プラン（ゴールド）を選択します。

ステップ 7 [gold]ペインで [Networking (ACI)]を選択します。

ステップ 8 [networking (aci)]ペインで、プランからサービスのマークを外して [SAVE]をクリックします。


ステップ 10 [aci]ペインで [SHARED SERVICES]を選択します。

ステップ 11 [aci]ペインで、共有サービス（DBSrv）を選択して [INFO]クリックします。

ステップ 12 [Revoke Consumers of DBSrv]ダイアログボックスで、取り消すユーザのチェックボックスをオンにします。

ステップ 13 チェックマークをクリックします。

ロードバランシングの概要

VLAN、Virtual Routing and Forwarding（VRF）スティッチングは従来のサービス挿入モデルによってサポートされ、Application Policy Infrastructure Controller（APIC）はポリシー制御の中心点として機能する一方でサービス挿入を自動化できます。APICポリシーは、ネットワークファブリックとサービスアプライアンスの両方を管理します。APICは、トラフィックがサービスを通って流れるように、ネットワークを自動的に設定できます。APICは、アプリケーション要件に従ってサービスを自動的に設定することもでき、それにより組織はサービス挿入を自動化し、従来のサー

ビス挿入の複雑な技術の管理に伴う課題を排除できます。

詳しくは、『Cisco APIC Layer 4 to Layer 7 Services Deployment Guide』を参照してください。

APICGUIを使用してレイヤ 4～ 7のサービスを導入するには、以下のタスクを実行する必要があります。

APICでのデバイスパッケージのインポート,（295ページ）を参照してください。

デバイスパッケージのインポート

管理者のみがデバイスパッケージをインポート

できます。



XMLPOSTを使用したAPICでのロードバランサデバイスの設定, （296ページ）を参照してください。

XML POSTを設定して Application PolicyInfrastructure Controller（APIC）へ送信

デバイスパッケージについては、MicrosoftのWindows Azure Packサービスに関する項を参照してください。

管理者のみが XML POSTを設定して送信できます。

プランに合わせたロードバランサの作成,（302ページ）を参照してください。

プランに合わせたロードバランサの作成

Windows Azure Packに対する VIP範囲が設定されています。

管理者のみがプランに合わせたロードバランサ

を作成できます。

ロードバランサの設定, （309ページ）を参照してください。

ロードバランサの設定

テナントのみがロードバランサを設定できま

す。

APIC でのデバイスパッケージのインポート

管理者のみがデバイスパッケージをインポートできます。管理者がデバイスパッケージを

Application Policy Infrastructure Controller（APIC）にインポートすると、APICはユーザが持っているデバイス、およびそのデバイスで何ができるかを知ることができます。

はじめる前に

デバイスパッケージがダウンロードされていることを確認します。

手順

ステップ 1 APIC GUIにログインし、メニューバーで [L4-L7 SERVICES] > [PACKAGES]の順に選択します。

ステップ 2 [navigation]ペインで、[Quick Start]を選択します。

ステップ 3 [Quick Start]ペインで、[Import a Device Package]を選択します。

ステップ 4 [Import Device Package]ダイアログボックスで、次の操作を実行します。a) [BROWSE]をクリックして、F5や Citrixデバイスパッケージなどのデバイスパッケージを探します。

b) [Submit]をクリックします。



XML POST を使用した APICでのロードバランサデバイスの設定

管理者のみが XML POSTを設定して送信できます。

はじめる前に

• Application Policy Infrastructure Controller（APIC）でデバイスパッケージファイルをアップロードしておく必要があります。

詳細については、『Cisco APIC Layer 4 to Layer 7 Device Package Development Guide』を参照してください。

•テナント共通には、「default」および「vpcDefault」という2つのブリッジドメインが必要です。ロードバランサを消費するテナントで使用されるサブネットが、これらのブリッジド

メインに追加されていることを確認します。通常、Windows Azure Packテナントに DHCPインフラストラクチャを設定する際に、これらのブリッジドメインとサブネットを作成しま

す。

•非 VPCプランでは、ロードバランサのバックエンドインターフェイスは、上で作成したテナント共通下のデフォルト EPGに配置する必要があります。VPCプランでは、EPGは「vpcDefault」です。

•ロードバランサの VIPインターフェイスは、外部にリンクする必要がある任意の EPGに配置する必要があります。

ファブリック外部の L3 extOut外部接続については、『Cisco APIC Layer 4 to Layer 7 DevicePackage Development Guide』を参照してください。

•（オプション）必要に応じて、VIPサブネットが L3または L2 extOutにリンクされていることを確認してください。EPGあたり 1つの VIPが割り当てられます。

手順

ステップ 1 次に、Citrixおよび F5の XML POSTの例を示します。a) Citrixの XML POSTの例：

例：<polUni dn="uni">

<fvTenant dn="uni/tn-common" name="common">

<vnsLDevVip name="MyLB" devtype="VIRTUAL">

<vnsRsMDevAtt tDn="uni/infra/mDev-Citrix-NetScaler-1.0"/>

<vnsRsALDevToDomP tDn="uni/vmmp-VMware/dom-mininet"/>

<vnsCMgmt name="devMgmt" host="172.31.208.179" port="80"/><vnsCCred name="username" value="nsroot"/><vnsCCredSecret name="password" value="nsroot"/>

<vnsDevFolder key="enableFeature" name="EnableFeature"><vnsDevParam key="LB" name="lb_1" value="ENABLE"/>



<vnsDevParam key="CS" name="cs_1" value="ENABLE"/><vnsDevParam key="SSL" name="ssl_1" value="ENABLE"/>

</vnsDevFolder><vnsDevFolder key="enableMode" name="EnableMode_1">

<vnsDevParam key="USIP" name="usip_1" value="DISABLE"/><vnsDevParam key="USNIP" name="usnip_1" value="ENABLE"/>

</vnsDevFolder>

<vnsCDev name="ADC1" devCtxLbl="C1"><vnsCIf name="1_1"/><vnsCIf name="mgmt"/>

<vnsCMgmt name="devMgmt" host="172.31.208.179" port="80"/><vnsCCred name="username" value="nsroot"/><vnsCCredSecret name="password" value="nsroot"/>

</vnsCDev>

<vnsLIf name="C5"><vnsRsMetaIf tDn="uni/infra/mDev-Citrix-NetScaler-1.0/mIfLbl-outside"/><vnsRsCIfAtt tDn="uni/tn-common/lDevVip-MyLB/cDev-ADC1/cIf-[1_1]"/>

</vnsLIf><vnsLIf name="C4">

<vnsRsMetaIf tDn="uni/infra/mDev-Citrix-NetScaler-1.0/mIfLbl-inside"/><vnsRsCIfAtt tDn="uni/tn-common/lDevVip-MyLB/cDev-ADC1/cIf-[1_1]"/>

</vnsLIf>

</vnsLDevVip>

<vnsAbsGraph name ="MyLB">

<vnsAbsNode name = "Node2" funcType="GoTo" >

<vnsRsDefaultScopeToTermtDn="uni/tn-common/AbsGraph-MyLB/AbsTermNodeProv-Output1/outtmnl"/>

<vnsAbsFuncConn name = "C4"><vnsRsMConnAtt

tDn="uni/infra/mDev-Citrix-NetScaler-1.0/mFunc-LoadBalancing/mConn-external" /></vnsAbsFuncConn>

<vnsAbsFuncConn name = "C5" attNotify="true"><vnsRsMConnAtt

tDn="uni/infra/mDev-Citrix-NetScaler-1.0/mFunc-LoadBalancing/mConn-internal" /></vnsAbsFuncConn>

<vnsAbsDevCfg><vnsAbsFolder key="Network"

name="network"scopedBy="epg">

<vnsAbsFolder key="nsip" name="snip1"><vnsAbsParam key="ipaddress" name="ip1" value="5.5.5.251"/><vnsAbsParam key="netmask" name="netmask1"

value="255.255.255.0"/><vnsAbsParam key="hostroute" name="hostroute"

value="DISABLED"/><vnsAbsParam key="dynamicrouting" name="dynamicrouting"

value="ENABLED"/><vnsAbsParam key="type" name="type" value="SNIP"/>

</vnsAbsFolder></vnsAbsFolder>

</vnsAbsDevCfg>

<vnsAbsFuncCfg><vnsAbsFolder key="internal_network"

name="internal_network"scopedBy="epg">

<vnsAbsCfgRel name="internal_network_key"key="internal_network_key"targetName="network/snip1"/>

</vnsAbsFolder>



</vnsAbsFuncCfg>

<vnsRsNodeToMFunctDn="uni/infra/mDev-Citrix-NetScaler-1.0/mFunc-LoadBalancing"/>

</vnsAbsNode>

<vnsAbsTermNodeCon name = "Input1"><vnsAbsTermConn name = "C1"/>

</vnsAbsTermNodeCon>

<vnsAbsTermNodeProv name = "Output1"><vnsAbsTermConn name = "C6"/>

</vnsAbsTermNodeProv>

<vnsAbsConnection name = "CON1" adjType="L2"><vnsRsAbsConnectionConns

tDn="uni/tn-common/AbsGraph-MyLB/AbsTermNodeCon-Input1/AbsTConn" /><vnsRsAbsConnectionConns

tDn="uni/tn-common/AbsGraph-MyLB/AbsNode-Node2/AbsFConn-C4" /></vnsAbsConnection>

<vnsAbsConnection name = "CON3" adjType="L2"><vnsRsAbsConnectionConns

tDn="uni/tn-common/AbsGraph-MyLB/AbsNode-Node2/AbsFConn-C5" /><vnsRsAbsConnectionConns

tDn="uni/tn-common/AbsGraph-MyLB/AbsTermNodeProv-Output1/AbsTConn" /></vnsAbsConnection>

</vnsAbsGraph>

</fvTenant></polUni>

b) F5の XML POSTの例：

例：<polUni dn="uni">

<fvTenant name="common">

<fvBD name="MyLB"><fvSubnet ip="6.6.6.254/24" /><fvRsCtx tnFvCtxName="default"/>

</fvBD>

<vnsLDevVip name="MyLB" devtype="VIRTUAL"><vnsRsMDevAtt tDn="uni/infra/mDev-F5-BIGIP-1.1.1"/><vnsRsALDevToDomP tDn="uni/vmmp-VMware/dom-mininet"/><vnsCMgmt name="devMgmt" host="172.31.210.88" port="443"/><vnsCCred name="username" value="admin"/><vnsCCredSecret name="password" value="admin"/>

<vnsLIf name="internal"><vnsRsMetaIf tDn="uni/infra/mDev-F5-BIGIP-1.1.1/mIfLbl-internal"/><vnsRsCIfAtt tDn="uni/tn-common/lDevVip-MyLB/cDev-BIGIP-1/cIf-[1_1]"/>

</vnsLIf>

<vnsLIf name="external"><vnsRsMetaIf tDn="uni/infra/mDev-F5-BIGIP-1.1.1/mIfLbl-external"/><vnsRsCIfAtt tDn="uni/tn-common/lDevVip-MyLB/cDev-BIGIP-1/cIf-[1_2]"/>

</vnsLIf>

<vnsCDev name="BIGIP-1"><vnsCIf name="1_1"/><vnsCIf name="1_2"/>

<vnsCMgmt name="devMgmt" host="172.31.210.88" port="443"/><vnsCCred name="username" value="admin"/><vnsCCredSecret name="password" value="admin"/>

<vnsDevFolder key="HostConfig" name="HostConfig"><vnsDevParam key="HostName" name="HostName"



value="ifav22-bigip1.insime.local"/><vnsDevParam key="NTPServer" name="NTPServer" value="172.23.48.1"/>

</vnsDevFolder>

</vnsCDev>

</vnsLDevVip><vnsAbsGraph name = "MyLB"><vnsAbsTermNodeCon name = "Consumer">

<vnsAbsTermConn name = "Consumer"></vnsAbsTermConn>

</vnsAbsTermNodeCon><vnsAbsNode name = "Virtual-Server" funcType="GoTo">

<vnsAbsFuncConn name = "internal" attNotify="yes"><vnsRsMConnAtt

tDn="uni/infra/mDev-F5-BIGIP-1.1.1/mFunc-Virtual-Server/mConn-internal" />

</vnsAbsFuncConn><vnsAbsFuncConn name = "external"><vnsRsMConnAtt

tDn="uni/infra/mDev-F5-BIGIP-1.1.1/mFunc-Virtual-Server/mConn-external" />

</vnsAbsFuncConn><vnsRsNodeToMFunc

tDn="uni/infra/mDev-F5-BIGIP-1.1.1/mFunc-Virtual-Server"/><vnsAbsDevCfg><vnsAbsFolder key="Network" name="webNetwork">

<vnsAbsFolder key="ExternalSelfIP" name="External1" devCtxLbl="ADC1"><vnsAbsParam key="SelfIPAddress" name="seflfipaddress"

value="6.6.6.251"/><vnsAbsParam key="SelfIPNetmask" name="selfipnetmask"

value="255.255.255.0"/><vnsAbsParam key="Floating" name="floating"

value="NO"/></vnsAbsFolder><vnsAbsFolder key="InternalSelfIP" name="Internal1" devCtxLbl="ADC1"><vnsAbsParam key="SelfIPAddress" name="seflfipaddress"

value="12.0.251.251"/><vnsAbsParam key="SelfIPNetmask" name="selfipnetmask"

value="255.255.0.0"/><vnsAbsParam key="Floating" name="floating"

value="NO"/></vnsAbsFolder><vnsAbsFolder key="Route" name="Route"><vnsAbsParam key="DestinationIPAddress" name="DestinationIPAddress"

value="0.0.0.0" /><vnsAbsParam key="DestinationNetmask" name="DestinationNetmask"

value="0.0.0.0"/><vnsAbsParam key="NextHopIPAddress" name="NextHopIP"

value="6.6.6.254"/></vnsAbsFolder>

</vnsAbsFolder></vnsAbsDevCfg><vnsAbsFuncCfg><vnsAbsFolder key="NetworkRelation" name="webNetwork"><vnsAbsCfgRel key="NetworkRel" name="webNetworkRel"

targetName="webNetwork"/></vnsAbsFolder>

</vnsAbsFuncCfg></vnsAbsNode>

<vnsAbsTermNodeProv name = "Provider"><vnsAbsTermConn name = "Provider" ></vnsAbsTermConn>

</vnsAbsTermNodeProv><vnsAbsConnection name = "CON3" adjType="L3">

<vnsRsAbsConnectionConnstDn="uni/tn-common/AbsGraph-MyLB/AbsTermNodeCon-Consumer/AbsTConn" />

<vnsRsAbsConnectionConns



tDn="uni/tn-common/AbsGraph-MyLB/AbsNode-Virtual-Server/AbsFConn-external" /></vnsAbsConnection><vnsAbsConnection name = "CON1" adjType="L2">

<vnsRsAbsConnectionConnstDn="uni/tn-common/AbsGraph-MyLB/AbsNode-Virtual-Server/AbsFConn-internal" />

<vnsRsAbsConnectionConnstDn="uni/tn-common/AbsGraph-MyLB/AbsTermNodeProv-Provider/AbsTConn" />

</vnsAbsConnection></vnsAbsGraph>

</fvTenant>

</polUni>

ステップ 2 次に、Citrixおよび F5の設定可能なパラメータを示します。a) Citrixの設定可能なパラメータ：

説明サンプル値パラメータ

この値はロードバランサの IDで、ロードバランサ選択のプ

ランセクションの、WindowsAzure Packの管理者ポータルに表示されます。これは、同

じ代替値を持つXMLPOST全体でグローバルに変更できま

す。

「MyLB」vnsLDevVip name

これは、ロードバランサ VMが置かれている VMMドメインです。たとえば、仮想ロー

ドバランサがある場合、

vCenter VMMドメイン、SCVMM、または物理ドメインに関連付けることができま

す。

どのドメインを指定

する場合でも、

VLAN範囲が関連付けられている必要が

あります。

（注）

「uni/vmmp-VMware/dom-mininet」vnsRsALDevToDomP tDn

これは、Cisco ApplicationCentric Infrastructure（ACI）ファブリックと通信するロー

ドバランサの IPアドレスです。

「172.31.208.179」vnsCMgmt name="devMgmt"host

ユーザ名。「username」vnsCCred name

パスワード。「password」vnsCCredSecret name




これは、ファブリックがこの

デバイスを識別する IPアドレスです。

「ipaddress」vnsAbsParam key

この IPアドレスは、ブリッジドメインの 1つである必要があります。

「5.5.5.251」vnsAbsParamkey="ipaddress"name="ip1" value

b) F5の設定可能なパラメータ：


この値はロードバランサの IDで、ロードバランサ選択のプ

ランセクションの、WindowsAzure Packの管理者ポータルに表示されます。これは、同

じ代替値を持つXMLPOST全体でグローバルに変更できま

す。

「MyLB」fvBD name

これは、有効なVLANENCAPブロックを持つ任意の VMMドメインです。

このWindows AzurePackのロードバランサ設定では、この

VMMドメインにLB構成との関連性はほ

かにありません。こ

れは、後方互換性の

ために使用されま

す。

（注）

「uni/vmmp-VMware/dom-mininet」vnsRsALDevToDomP tDn

これは、ACIファブリックと通信するロードバランサの IPアドレスです。

「172.31.210.88」vnsCMgmt name="devMgmt"host

ユーザ名。「username」vnsCCred name

パスワード。「password」vnsCCredSecret name



ステップ 3 F5または Citrixのいずれかのデバイスパッケージを POSTします。

プランに合わせたロードバランサの作成

管理者のみがデバイスパッケージをインポートできます。

はじめる前に

•デバイスパッケージをインポートします。

• Application Policy Infrastructure Controller（APIC）へのXML POSTを設定してポストします。

手順



ステップ 3 [plans]ペインで、ロードバランサを追加するプランを選択します（shareplan）。

ステップ 4 [shareplan]ペインで [Networking (ACI)]を選択します。

ステップ 5 [networking (aci)]ペインで、次の操作を実行して共有ロードバランサを追加します。a) [shared load balancer]チェックボックスをオンにします。b) [LBDEVICE ID INAPIC]フィールドで、ドロップダウンリストからロードバランサ（MyLB）を選択します。

c) [VIP RANGE]フィールドで、VIP範囲（5.5.5.1～ 5.5.5.100）を指定します。d) [SAVE]をクリックします。

VIP範囲が重複しない限り、異なるプラン間で共有される、単一のロードバランサを使用できます。

（注）

L3 外部接続についてレイヤ3（L3）外部接続は、スタティックルーティング、OSPF、EIGRP、BGPなどのL3ルーティングプロトコルによって、外部ネットワークに ACIファブリックを接続する Cisco ApplicationCentric Infrastructure（ACI）機能です。Microsoft Windows Azure Packに L3外部接続を設定することで、テナントネットワークはファブリック外部への発信トラフィックを開始し、外部からのト

ラフィックを引き付けることができます。この機能の前提は、テナント仮想マシンの IPアドレスが、NATを使用しないファブリック外部に表示され、ACI L3外部接続に NATが含まれないことです。



Windows Azure Pack 用に L3 外部接続を設定するための前提条件

Windows Azure Pack用にレイヤ 3（L3）外部接続を設定するには、次の前提条件を満たす必要があります。

• Application Policy Infrastructure Controller（APIC）の GUIにログインし、メニューバーで[TENANT] > [common]の順に選択します。

◦「default」という l3ExtOutを作成し、BD「default」を参照します。

◦ l3ExtOutの下に名前が「defaultInstP」の l3extInstPを作成します。これは、共有サービスのテナントで使用されます。

L3外部接続設定については、『Cisco APIC Getting Started Guide』を参照してください。

• APIC GUIにログインしていることを確認し、メニューバーで [TENANT] > [common]の順に選択します。

◦「vpcDefault」という l3ExtOutを作成し、BD「vpcDefault」を参照します。

◦この l3ExtOutの下に名前が「vpcDefaultInstP」の l3extInstPを作成します。

これは、VPCテナントで使用されます。

テナントの外部接続の設定については、『Cisco APIC Getting Started Guide』を参照してください。

Windows Azure Packは、上で強調表示した命名規則以外の特別な要件なしで、共通 l3ExtOut構成を利用します。

l3extinstP「default」で提供される契約の作成

ここでは、l3extinstP「default」で提供される契約の作成方法を説明します。

Windows Azure Pack用に L3外部接続を設定するための前提条件, （303ページ）を参照してください。

スコープが「グローバル」であることを確認します。この契約では、コンシューマからプロバイ

ダーへのすべてのトラフィックを許可し、プロバイダーからコンシューマへ確立された TCPのみを許可します。

手順

ステップ 1 APIC GUIにログインし、メニューバーで [TENANTS] > [common]の順に選択します。

ステップ 2 [Navigation]ペインで、[Tenant Name] > [Security Policies] > [Contracts]の順に展開します。

ステップ 3 [ACTION]をクリックし、ドロップダウンリストから [Create Contract]を選択します。

ステップ 4 [Create Contract]ダイアログボックスで、次の操作を実行します。a) [Name]フィールドに名前（L3_DefaultOut）を入力します。b) [Scope]タブで、ドロップダウンリストから [Global]を選択します。



c) [Subjects]フィールドで、[+]アイコンをクリックします。d) [Create Contract Subject]ダイアログボックスで、次の操作を実行します。e) [Name]フィールドに、任意の名前を入力します。f) [Apply Both direction]をオフにします。g) [Filter Chain For Consumer to Provider]フィールドで [+]アイコンをクリックし、ドロップダウンリストから [default/common]を選択して、[Update]をクリックします。

h) [Filter Chain For Provider to Consumer]フィールドで [+]アイコンをクリックし、ドロップダウンリストから [est/common]を選択して、[Update]をクリックします。

i) [OK]をクリックして [Create Contract Subject]ダイアログボックスを閉じます。j) [OK]をクリックして [Create Contract]ダイアログボックスを閉じます。

これで、l3extinstP「default」で提供される契約が作成されました。

l3extinstP「vpcDefault」で提供される契約の作成

ここでは、l3extinstP「vpcDefault」で提供される契約の作成方法を説明します。

Windows Azure Pack用に L3外部接続を設定するための前提条件, （303ページ）を参照してください。

スコープが「グローバル」であることを確認します。この契約では、コンシューマからプロバイ

ダーへのすべてのトラフィックを許可し、プロバイダーからコンシューマへ確立された TCPのみを許可します。

手順

ステップ 1 APIC GUIにログインし、メニューバーで [TENANTS] > [common]の順に選択します。

ステップ 2 [Navigation]ペインで、[Tenant Name] > [Security Policies] > [Contracts]の順に展開します。

ステップ 3 [ACTION]をクリックし、ドロップダウンリストから [Create Contract]を選択します。

ステップ 4 [Create Contract]ダイアログボックスで、次の操作を実行します。a) [Name]フィールドに名前（L3_VpcDefaultOut）を入力します。b) [Scope]タブで、ドロップダウンリストから [Global]を選択します。c) [Subjects]フィールドで、[+]アイコンをクリックします。d) [Create Contract Subject]ダイアログボックスで、次の操作を実行します。e) [Name]フィールドに、任意の名前を入力します。f) [Apply Both direction]をオフにします。g) [Filter Chain For Consumer to Provider]フィールドで [+]アイコンをクリックし、ドロップダウンリストから [default/common]を選択して、[Update]をクリックします。

h) [Filter Chain For Provider to Consumer]フィールドで [+]アイコンをクリックし、ドロップダウンリストから [est/common]を選択して、[Update]をクリックします。

i) [OK]をクリックして [Create Contract Subject]ダイアログボックスを閉じます。j) [OK]をクリックして [Create Contract]ダイアログボックスを閉じます。



これで、l3extinstP「vpcDefault」で提供される契約が作成されました。

テナントエクスペリエンス

ここでは、テナントエクスペリエンスについて説明します。

共有または仮想プライベートクラウドプランのエクスペリエンス

これは、共有または仮想プライベートクラウド（VPC）プランでのテナントのエクスペリエンスです。

共有プランでのネットワークの作成

これにより、管理者は共有プランのネットワークを作成できます。

手順

ステップ 1 サービス管理ポータル（テナントポータル）にログインします。


ステップ 3 [ACI]ペインで、[NETWORKS]を選択します。

ステップ 4 [New]をクリックします。

ステップ 5 [NEW]ペインで、[NETWORKS]を選択し、以下の操作を実行します。a) [NETWORK NAME]フィールドに、ネットワークの名前（S01）を入力します。b) [CREATE]をクリックします。c) [REFRESH]をクリックします。

APIC の Microsoft Windows Azure Pack で作成されたネットワークの確認

ここでは、APICのMicrosoft Windows Azure Packで作成したネットワークを確認する方法を説明します。

手順

ステップ 1 APIC GUIにログインし、メニューバーで [TENANTS]を選択します。

ステップ 2 [Navigation]ペインで、[Tenant 018b2f7d-9e80-43f0-abff-7559c026bad5] > [Application Profiles] > [default]> [Application EPGs] > [EPG Network01]の順に展開し、Microsoft Windows Azure Packで作成したネットワークがAPICで作成されたことを確認します。


Cisco ACI with Microsoft Windows Azure Packテナントエクスペリエンス

VPC プランでのブリッジドメインの作成

仮想プライベートクラウド（VPC）プランのみに適用されます。これにより、テナントはネットワークに対する独自の IPアドレス空間を取得できます。

手順




ステップ 4 [NEW]ペインで、[BRIDGE DOMAIN]を選択します。

ステップ 5 [BRIDGE DOMAIN]フィールドにブリッジドメイン名（BD01）を入力します。

ステップ 6 [SUBNET'SGATEWAY]フィールドにサブネットのゲートウェイ（192.168.1.1/24）を入力します。

ステップ 7 [CREATE]をクリックします。

VPC プランでのネットワークの作成およびブリッジドメインへの関連付け

これにより、テナントはVPCプランでネットワークを作成し、ブリッジドメインに関連付けることができます。

手順




ステップ 4 [NEW]ペインで [NETWORK]を選択します。

ステップ 5 [NETWORK NAME]フィールドに、ネットワーク名（S01）を入力します。

ステップ 6 [BRIDGE NAME]フィールドに、ブリッジ名（BD01）を入力します。


ステップ 8 [aci]ペインで、[NETWORKS]を選択します。ネットワークがブリッジドメインに関連付けられていることがわかります。

同一サブスクリプション内のファイアウォールの作成

これにより、テナントは同一サブスクリプション内にファイアウォールを作成できます。

はじめる前に

2つのネットワークが作成されていることを確認します。



手順




ステップ 4 [NEW]ペインで、[FIREWALL]を選択します。

ステップ 5 [FROMNETWORK]フィールドで、ドロップダウンリストから、ネットワーク名（WEB01）を選択します。

ステップ 6 [TONETWORK]フィールドで、ドロップダウンリストから、もう1つのネットワーク名（WEB02）を選択します。

ステップ 7 [PROTOCOL]フィールドにプロトコル（tcp）を入力します。

ステップ 8 [PORT RANGE BEGIN]フィールドに開始ポート範囲（50）を入力します。

ステップ 9 [PORT RANGE END]フィールドに終了ポート範囲（150）を入力します。

ステップ 10 [CREATE]をクリックします。同一サブスクリプション内にファイアウォールが追加されました。

VPC プランでのネットワークの構築

これにより、テナントは VPCプランでネットワークを作成できます。

手順




ステップ 4 [NEW]ペインで [ACI] > [NETWORK]の順に選択して、次の操作を実行します。a) [NETWORK NAME]フィールドに、ネットワーク名（Network01）を入力します。b) [BRIDGE DOMAIN]フィールドで、ドロップダウンリストからブリッジドメインを選択します。（デフォルト）。

c) [CREATE]をクリックします。このプロセスが完了するには、数分かかることがあります。

VM の作成とネットワークへの接続

これにより、テナントは VMを作成し、ネットワークに接続することができます。



手順




ステップ 4 [NEW]ペインで、[STANDALONEVIRTUALMACHINE] > [FROMGALLERY]の順に選択します。

ステップ 5 [Virtual Machine Configuration]ダイアログボックスで、設定（LinuxCentOS）を選択します。

ステップ 6 次に進む矢印をクリックします。

ステップ 7 [Portal Virtual Machine Settings]ダイアログボックスで、次の操作を実行します。a) [Name]フィールドに VM名（SVM01）を入力します。b) [ADMINISTRATOR ACCOUNT]フィールドに rootが表示されます。c) [New Password]フィールドに新しいパスワードを入力します。d) 確認のために [CONFIRM]フィールドにもう一度パスワードを入力します。e) 次に進む矢印をクリックします。

ステップ 8 [Provide Virtual Machine Hardware Information]ダイアログボックスで、次の操作を実行します。a) [NETWORK ADAPTER 1]フィールドのドロップダウンリストから、関連付けて計算するネットワークアダプタ（6C6DB302-aObb-4d49-a22c-151f2fbad0e9|default|S01）を選択します。

b) チェックマークをクリックします。

ステップ 9 [Navigation]ペインで、[Virtual Machines]を選択して VM（SVM01）のステータスを確認します。

共有サービスの提供

これにより、テナントは共有サービスを提供することができます。

はじめる前に

管理者がテナントによる共有サービスの提供を許可していることを確認します。

手順



ステップ 3 [ACI]ペインで [SHARED SERVICE]を選択します。

ステップ 4 [SHARED SERVICES]ダイアログボックスで、次の操作を実行します。a) [ACTION]フィールドで、ドロップダウンリストから、[PROVIDE A SHARED SERVICE

CONTRACT]を選択します。b) [NETWORK]フィールドで、ドロップダウンリストから、ネットワーク（WEB01）を選択します。



c) [SERVICE NAME]フィールドに、サービス名（DBSrv）を入力します。d) [DESCRIPTION]フィールドに、説明を入力します。e) [PROTOCOL]フィールドにプロトコル（tcp）を入力します。f) [PORT RANGE BEGIN]フィールドに、ポート範囲の開始（139）を入力します。g) [PORT RANGE END]フィールドに、終了ポート範囲（139）を入力します。h) チェックマークをクリックします。

消費される共有サービスの設定

これにより、テナントは消費される共有サービスを設定できます。

はじめる前に



•管理者がプランで共有サービスを有効化していることを確認します。

手順


ステップ 2 ナビゲーションウィンドウで、[ACI] > [SHARED SERVICE]の順に選択します。

ステップ 3 [SHARED SERVICE]ダイアログボックスで、次の操作を実行します。a) [Network]フィールドで、ネットワーク（V1）を選択します。b) [Consumed Services]フィールドで、サービスのチェックボックス（DBSrv）をオンにします。c) チェックマークを付けます。

ステップ 4 [aci]ペインで [SHARED SERVICES]を選択して、プランのコンシューマをチェックします。

ロードバランサの設定

これにより、テナントはロードバランサを設定することができます。

はじめる前に

•管理者がデバイスパッケージをインポートしたことを確認します。

•管理者がXML POSTを設定し、Application Policy Infrastructure Controller（APIC）にポストしたことを確認します。

•管理者がプランにロードバランサを追加したことを確認します。



手順




ステップ 4 [NEW]ペインで、[LOAD BALANCER]を選択します。

ステップ 5 [NETWORK NAME]フィールドに、ネットワーク名（WEB01）を入力します。

ステップ 6 [PORT]フィールドにポート（80）を入力します。



ステップ 9 [ACI]ペインで、[LOAD BALANCER]を選択し、ロードバランサのネットワーク、仮想サーバ、アプリケーションサーバ、ポート、およびプロトコルを確認します。

ブリッジドメインには次のサブネットを設定してください。

• SNIPのサブネット

•ホストのサブネット

• VIPのサブネット

VIPのサブネットが必要な場合は、L3または L2 extOutにリンクする必要があります。

アクセスコントロールリストの追加

これにより、テナントは共有サービスにアクセスコントロールリスト（ACL）を追加することができます。

手順



ステップ 3 [aci]ペインで [SHARED SERVICES]を選択します。

ステップ 4 [aci]ペインで、ACL（DBSrv）をさらに追加する共有サービスを選択します。

ステップ 5 [+ACL]をクリックして ACLを追加します。

ステップ 6 [Add ACL for DBSrv]ダイアログボックスで、次の操作を実行します。a) [PROTOCOL]フィールドにプロトコル（tcp）を入力します。b) [PORT NUMBER BEGIN]フィールドに、開始ポート番号（301）を入力します。c) [PORT NUMBER END]フィールドに、終了ポート番号（400）を入力します。



d) チェックマークをクリックします。

アクセスコントロールリストの削除

これにより、テナントは共有サービスからアクセスコントロールリスト（ACL）を削除することができます。

手順



ステップ 3 [aci]ペインで、次の操作を実行します。a) [SHARED SERVICES]を選択します。b) ACLを削除する共有サービス（DBSrv）を選択します。c) [Trash ACL]をクリックして ACLを削除します。

ステップ 4 [Delete ACL fromDBSrv]ダイアログボックスで、削除するACLのチェックボックスをオンにし、チェックマークをクリックします。

外部接続用ネットワークの作成

これにより、テナントは外部接続用のネットワークを作成することができます。

手順




ステップ 4 [NEW]ペインで [NETWORK]を選択します。

ステップ 5 [NETWORK NAME]フィールドに、ネットワーク名（wapL3test）を入力します。


外部接続用のファイアウォールの作成

これにより、テナントは外部接続用のファイアウォールを作成することができます。



手順




ステップ 4 [NEW]ペインで、[FIREWALL]を選択します。

ステップ 5 [FROMNETWORK]フィールドで、ドロップダウンリストからネットワーク名（External）を選択します。

ステップ 6 [TO NETWORK]フィールドで、ドロップダウンリストから別のネットワーク名（wapL3test）を選択します。


ステップ 8 [PORT RANGE BEGIN]フィールドに、ポート範囲の開始（12345）を入力します。

ステップ 9 [PORT RANGE END]フィールドに、ポート範囲の終了（45678）を入力します。

ステップ 10 [CREATE]をクリックします。外部接続用のファイアウォールが追加されました。

APIC でのテナントの L3 外部接続の確認

ここでは、APIC上のテナントの L3外部接続を確認する方法について説明します。



手順

ステップ 1 APIC GUIにログインし、メニューバーで [TENANTS]を選択します。

ステップ 2 ナビゲーションウィンドウで、[Tenant b81b7a5b-7ab8-4d75-a217-fee3bb23f427] > [Application Profiles]> [ApplicationEPG]の順に展開し、外部接続用ネットワークの作成, （311ページ）で作成したネットワークが存在することを確認します（wapL3test）。

ステップ 3 ナビゲーションウィンドウで、[EPG wapL3test] > [Contracts]の順に展開し、契約名が L3+EPG名+プロトコル+ポート範囲（L3wapL3testtcp1234545678）の形式で存在し、契約が EPGによって提供され、STATEが [formed]であることを確認します。

ステップ 4 メニューバーで、[TENANTS] > [common]の順に選択します。

ステップ 5 ナビゲーションウィンドウで、[Security Policies] > I[mported Contracts]の順に展開し、ステップ 3で確認した契約が契約インターフェイスとしてインポートされていることを確認します。

ステップ 6 メニューバーで、[TENANTS] > [common]の順に選択します。

ステップ 7 [External Network Instance Profile -defaultInstP]ペインの [Consumed Contracts]フィールドで、ステップ 5で確認した契約インターフェイスを探し、それが存在することおよび STATEが [formed]であることを確認します。

ステップ 8 メニューバーで、[TENANTS]を選択します。

ステップ 9 ナビゲーションウィンドウで、[Tenant b81b7a5b-7ab8-4d75-a217-fee3bb23f427] > [Application Profiles]> [Application EPG] > [EPG wapL3test] > [Contracts]の順に展開します。

ステップ 10 [Contracts]ペインの [Consumed Contracts]フィールドで、Windows Azure Pack用に L3外部接続を設定するための前提条件,（303ページ）で共有サービスのテナントまたはVPCのテナントのために定義したデフォルトの契約がこの EPGによって消費され、STATEが [formed]であることを確認します。

Cisco ACI with Microsoft Windows Azure Pack のトラブルシューティング

管理者としてのトラブルシューティング

手順

Windows Azure Packの管理者は管理者ポータルで、テナントによって導入されたすべてのネットワークを表示できます。問題が発生した場合は、APIC GUIを使用して、次のオブジェクトのエラーを探します。

a) VMMドメインb) Windows Azure Packのテナントネットワークに対応するテナントおよび EPG


Cisco ACI with Microsoft Windows Azure PackCisco ACI with Microsoft Windows Azure Pack のトラブルシューティング

テナントとしてトラブルシューティング

エラーメッセージがある場合、エラーメッセージとともにワークフローの説明および管理者に対

するアクションを提供してください。

EPG の設定の問題のトラブルシューティングエンドポイントグループ（EPG）のライフタイム中、EPGの VLAN IDが APICで変更された場合、新しい設定を有効にするには、すべての仮想マシンで VLAN設定を更新する必要があります。

手順

この操作を実行するには、SCVMMサーバで次の PowerShellコマンドを実行します。

例：$VMs = Get-SCVirtualMachine$VMs | Read-SCVirtualMachine$NonCompliantAdapters=Get-SCVirtualNetworkAdapter -All | Where-Object{$_.VirtualNetworkAdapterComplianceStatus -eq "NonCompliant"}$NonCompliantAdapters | Repair-SCVirtualNetworkAdapter

プログラマビリティのリファレンス

ACI Windows Azure Pack の PowerShell コマンドレットここでは、Cisco Application Centric Infrastructure（ACI）Windows Azure Packの PowerShellコマンドレット、ヘルプおよび例をリストする方法を説明します。

手順

ステップ 1 Windows Azure Packサーバにログインし、[スタート] > [実行] > [Windows PowerShell]の順に選択します。

ステップ 2 次のコマンドを入力します。

例：Windows PowerShellCopyright (C) 2013 Microsoft Corporation. All rights reserved.

PS C:\Users\administrator> cd C:\inetpub\Cisco-ACI\binPS C:\inetpub\Cisco-ACI\bin> Import-Module .\ACIWapPsCmdlets.dllPS C:\inetpub\Cisco-ACI\bin> Add-Type -Path .\Newtonsoft.Json.dllPS C:\inetpub\Cisco-ACI\bin> Get-Command -Module ACIWapPsCmdlets

CommandType Name ModuleName----------- ---- ----------


Cisco ACI with Microsoft Windows Azure Packテナントとしてトラブルシューティング

Cmdlet Add-ACIWAPEndpointGroup ACIWapPsCmdletsCmdlet Get-ACIWAPAdminObjects ACIWapPsCmdletsCmdlet Get-ACIWAPAllEndpointGroups ACIWapPsCmdletsCmdlet Get-ACIWAPBDSubnets ACIWapPsCmdletsCmdlet Get-ACIWAPConsumersForSharedService ACIWapPsCmdletsCmdlet Get-ACIWAPEndpointGroups ACIWapPsCmdletsCmdlet Get-ACIWAPEndpoints ACIWapPsCmdletsCmdlet Get-ACIWAPLBConfiguration ACIWapPsCmdletsCmdlet Get-ACIWAPOpflexInfo ACIWapPsCmdletsCmdlet Get-ACIWAPPlans ACIWapPsCmdletsCmdlet Get-ACIWAPStatelessFirewall ACIWapPsCmdletsCmdlet Get-ACIWAPSubscriptions ACIWapPsCmdletsCmdlet Get-ACIWAPTenantPlan ACIWapPsCmdletsCmdlet Get-ACIWAPTenantSharedService ACIWapPsCmdletsCmdlet Get-ACIWAPVlanNamespace ACIWapPsCmdletsCmdlet New-ApicOpflexCert ACIWapPsCmdletsCmdlet Read-ApicOpflexCert ACIWapPsCmdletsCmdlet Remove-ACIWAPEndpointGroup ACIWapPsCmdletsCmdlet Remove-ACIWAPPlan ACIWapPsCmdletsCmdlet Set-ACIWAPAdminLogin ACIWapPsCmdletsCmdlet Set-ACIWAPBDSubnets ACIWapPsCmdletsCmdlet Set-ACIWAPLBConfiguration ACIWapPsCmdletsCmdlet Set-ACIWAPLogin ACIWapPsCmdletsCmdlet Set-ACIWAPOpflexOperation ACIWapPsCmdletsCmdlet Set-ACIWAPPlan ACIWapPsCmdletsCmdlet Set-ACIWAPStatelessFirewall ACIWapPsCmdletsCmdlet Set-ACIWAPTenantSharedService ACIWapPsCmdletsCmdlet Set-ACIWAPUpdateShareServiceConsumption ACIWapPsCmdletsCmdlet Set-ACIWAPVlanNamespace ACIWapPsCmdlets

ステップ 3 ヘルプを生成します。

例：commandname -?

ステップ 4 例を生成します。

例：get-help commandname -examples

Cisco ACI with Microsoft Windows Azure Pack コンポーネントのアンインストール

ここでは、Cisco Application Centric Infrastructure（ACI）withMicrosoftWindowsAzure Packコンポーネントをアンインストールする方法について説明します。

アンインストールでは、VMや論理ネットワークのようなアーティファクトが削除されます。アンインストールは、VMやホストなどの他のリソースが、これらを使用していないときにのみ成功します。

（注）


Cisco ACI with Microsoft Windows Azure PackCisco ACI with Microsoft Windows Azure Pack コンポーネントのアンインストール


Microsoftのマニュアルを参照してください。VMネットワークからのすべての仮想マシンの切断

Microsoftのマニュアルを参照してください。すべてのHyper-VからのVXLANトンネルエンドポイント（VTEP）の論理スイッチの削除

Microsoftのマニュアルを参照してください。System Center Virtual Machine Manager（SCVMM）からのクラウドの削除

APIC Windows Azure Packのリソースプロバイダーのアンインストール,（316ページ）を参照してください。

ACI with Microsoft Windows Azure Service Pack1.1(1j)リリースをアンインストールするためにAPICWindowsAzurePackリソースプロバイダーをアンインストール

ACI Azure Packリソースプロバイダーのアンインストール, （317ページ）を参照してください。

ACI Azure Pack管理者サイト拡張のアンインストール, （317ページ）を参照してください。

ACI Azure Packテナントサイト拡張のアンインストール,（318ページ）を参照してください。

このリリースの ACI with Microsoft WindowsAzure Packをアンインストールするために以下をアンインストール

• ACI Azure Packリソースプロバイダー

• ACI Azure Pack管理者サイト拡張

• ACI Azure Packテナントサイト拡張

APICH yper-Vエージェントのアンインストール, （318ページ）を参照してください。

APICHyper-Vエージェントのアンインストール

APIC Windows Azure Pack のリソースプロバイダーのアンインストールここでは、APIC Windows Azure Packのリソースプロバイダーをアンインストールする方法について説明します。

手順

ステップ 1 Windows Azure Packサーバにログインします。


ステップ 3 [プログラムと機能]ウィンドウで [APICWindowsAzure PackResource Provider]を右クリックして、[アンインストール]を選択します。


Cisco ACI with Microsoft Windows Azure PackAPIC Windows Azure Pack のリソースプロバイダーのアンインストール

これにより、Windows Azure Packサーバから APIC Windows Azure Packのリソースプロバイダーがアンインストールされます。

ステップ 4 APIC Windows Azure Packのリソースプロバイダーがアンインストールされたかどうかを確認するには、次の操作を実行します。

a) [スタート] > [コントロールパネル] > [プログラムのアンインストール]の順に選択します。b) [プログラムと機能]ウィンドウで [APIC Windows Azure Pack Resource Provider]が表示されていないことを確認します。

ACI Azure Pack リソースプロバイダーのアンインストールここでは、ACI Azure Packのリソースプロバイダーをアンインストールする方法を説明します。

手順



ステップ 3 [プログラムと機能]ウィンドウで [ACI Azure Pack Resource Provider]を右クリックして、[アンインストール]を選択します。これにより、Windows Azure Packサーバから ACI Azure Packのリソースプロバイダーがアンインストールされます。

ステップ 4 ACI Azure Packのリソースプロバイダーがアンインストールされたかどうかを確認するには、次の操作を実行します。

a) [スタート] > [コントロールパネル] > [プログラムのアンインストール]の順に選択します。b) [プログラムと機能]ウィンドウで [ACI Azure Pack Resource Provider]が表示されていないことを確認します。

ACI Azure Pack 管理者サイト拡張のアンインストールここでは、ACI Azure Packの管理者サイト拡張をアンインストールする方法を説明します。

手順



ステップ 3 [プログラムと機能]ウィンドウで [ACI Azure Pack Admin Site Extension]を右クリックして、[アンインストール]を選択します。


Cisco ACI with Microsoft Windows Azure PackACI Azure Pack リソースプロバイダーのアンインストール

これにより、WindowsAzure PackサーバからACIAzure Packの管理者サイト拡張がアンインストールされます。

ステップ 4 ACI Azure Packの管理者サイト拡張がアンインストールされたかどうかを確認するには、次の操作を実行します。

a) [スタート] > [コントロールパネル] > [プログラムのアンインストール]の順に選択します。b) [プログラムと機能]ウィンドウで [ACI Azure Pack Admin Site Extension]が表示されていないことを確認します。

ACI Azure Pack テナントサイト拡張のアンインストールここでは、ACI Azure Packのテナントサイト拡張をアンインストールする方法を説明します。

手順



ステップ 3 [プログラムと機能]ウィンドウで [ACI Azure Pack Tenant Site Extension]を右クリックして、[アンインストール]を選択します。これにより、Windows Azure Packサーバから ACI Azure Packのテナントサイト拡張がアンインストールされます。

ステップ 4 ACI Azure Packのテナントサイト拡張がアンインストールされたかどうかを確認するには、次の操作を実行します。

a) [スタート] > [コントロールパネル] > [プログラムのアンインストール]の順に選択します。b) [プログラムと機能]ウィンドウで [ACI Azure Pack Tenant Site Extension]が表示されていないことを確認します。

APICH yper-V エージェントのアンインストールここでは、APIC Hyper-Vエージェントをアンインストールする方法について説明します。

手順

ステップ 1 Hyper-V Serverにログインします。


ステップ 3 [プログラムと機能]ウィンドウで [Cisco APIC HyperV Agent]を右クリックして、[アンインストール]を選択します。


Cisco ACI with Microsoft Windows Azure PackACI Azure Pack テナントサイト拡張のアンインストール

これにより、Hyper-V Serverから APIC Hyper-Vエージェントがアンインストールされます。

ステップ 4 APICHyper-Vエージェントがアンインストールされたかどうかを確認するには、次の操作を実行します。

a) [スタート] > [コントロールパネル] > [プログラムのアンインストール]の順に選択します。b) [プログラムと機能]ウィンドウで [Cisco APIC HyperV Agent]が表示されていないことを確認します。

ステップ 5 Hyper-V Serverごとにステップ 1～ -4を繰り返します。

Cisco ACI with Microsoft Windows Azure Pack での APICコントローラとスイッチソフトウェアのダウングレード

ここでは、Cisco ACI with Microsoft Windows Azure Packコンポーネントで APICコントローラとスイッチソフトウェアをダウングレードする方法について説明します。

手順

ステップ 1 Cisco ACI with Microsoft Windows Azure Packコンポーネントをアンインストールします。Cisco ACI with Microsoft Windows Azure Packコンポーネントのアンインストール, （315ページ）を参照してください。

ステップ 2 APICコントローラとスイッチソフトウェアをダウングレードします。『Cisco APIC Firmware Management Guide』を参照してください。


Cisco ACI with Microsoft Windows Azure PackCisco ACI with Microsoft Windows Azure Pack での APICコントローラとスイッチソフトウェアのダウング

レード


Cisco ACI with Microsoft Windows Azure PackCisco ACI with Microsoft Windows Azure Pack での APICコントローラとスイッチソフトウェアのダウングレード

Documents

Cisco ACI 仮想化ガイド、リリース 1.2(1x)...Cisco ACI 仮想化ガイド、リリース 1.2(1x) 初版：2015年12月08日 最終更新：2016年04月19日 シスコシステムズ合同会社

Cisco ACI 仮想化ガイド、リリース 1.2(1x)...Cisco ACI 仮想化ガイド、リリース 1.2(1x) 初版：2015年12月08日最終更新：2016年04月19日シスコシステムズ合同会社