コントラクト範囲の例

この章は、次の内容で構成されています。

コントラクト範囲の例

VRF1 に EPG1 と EPG2 があり、VRF2 に EPG3 と EPG4 があるとして、C1 と呼ばれるコントラクトおよび scope = context を使用します。

  • EPG1 はコントラクト C1 を提供し、EPG2 はコントラクト C1 を消費します。

  • EPG3 はコントラクト C1 を提供し、EPG4 はコントラクト C1 を消費します。

この例では、4 つすべての EPG が同じコントラクトを共有していますが、そのうちの 2 つが 1 つの仮想ルート転送(VRF)インスタンス(コンテキストまたはプライベートネットワークとも呼ばれる)にあり、そのうちの 2 つが他の VRF にあります。コントラクトは EPG1 と EPG2 の間でのみ適用され、EPG3 と EPG4 の間で個別に適用されます。コントラクトは、範囲が何であれ、この場合は VRF に限定されます。

scope = application profile の場合も同じです。2 つのアプリケーション プロファイルに EPG があり、scope = application profile である場合、コントラクトはアプリケーション プロファイルの EPG に適用されます。

以下に、2 つのコントラクトの APIC GUI スクリーンショットを示します。
図 1. セキュリティポリシーのコントラクトの例


1 つのコントラクトは、アプリケーション プロファイルの範囲を持つ Web からアプリへの通信用です。app-to-db コントラクトには、VRF の範囲があります。app1 および app2 アプリケーション プロファイルは、同じ VRF にあります。各アプリケーション プロファイルには EPG が含まれています。

app-to-db コントラクトの範囲は VRF レベルで適用され、両方のアプリケーション プロファイルが同じ VRF に属しているため、app-to-db コントラクトのすべてのコンシューマーはプロバイダー EPG と通信できます。

  • EPG-app1-db は EPG-app1-app と双方向に通信できます

  • EPG-app2-db は EPG-app2-app と双方向に通信できます

  • EPG-app1-db は EPG-app2-app と双方向に通信できます

  • EPG-app2-db は EPG-app1-app と双方向に通信できます

アプリケーション プロファイルの範囲を持つ Web からアプリへのコントラクトを使用するエンドポイントの次のペアは、コントラクトのプロバイダーとコンシューマーのみがそのアプリケーション プロファイル内で通信できるようにします。

  • EPG-app1-app は EPG-app1-web と通信できます

  • EPG-app2-app は EPG-app2-web と通信できます

上記とは異なり、アプリおよびデータベースの EPG は、アプリケーション プロファイルの外部で通信できません。