EPG 優先のグループ概要と制限
デフォルトでは、Multi-Site アーキテクチャは EPG 間でコントラクトが設定されている場合のみ、EPG 間の通信を許可します。EPG 間にコントラクトがない場合は、EPG 間の通信は明示的に無効になります。優先グループ(PG)機能を使用すると、同じ VRF の一部である複数の EPG を指定して、コントラクトを作成する必要なく、それらの間の完全な通信を可能にすることができます。
優先グループ 対 コントラクト
コントラクト優先グループが設定されている VRF で、EPG に利用可能なポリシー施行には 2 種類あります。
-
EPG を含む – 優先グループのメンバーである EPG は、コントラクトなしでグループ内の他のすべての EPG と自由に通信できます。通信は、
source-any-destination-any-permit
のデフォルト ルールと適切な Multi-Site 変換に基づいています。 -
EPG を除外 - 優先グループのメンバーではない EPG は、相互に通信するためにコントラクトが必要です。そうしない場合、デフォルトの
source-any-destination-any-deny
ルールが適用されます。
コントラクト優先グループ機能を使用すると、拡張 VRF コンテキストのサイト間での EPG 間の通信をより詳細に制御し、設定を容易にすることができます。拡張 VRF の 2 つ以上の EPG がオープン通信を要求する一方で、他は制限された通信しかもてない場合、コントラクト優先グループとフィルタ付きのコントラクトの組み合わせを設定し、EPG
内の通信を正確に制御できます。優先グループから除外されている EPG は、source-any-destination-any-deny
デフォルト ルールを上書きするコントラクトがある場合にのみ、他の EPG と通信できます。
拡張 対 シャドウ
複数のサイトの EPG が同じコントラクト優先グループの一部になるように構成されている場合、Nexus Dashboard Orchestrator は他のサイトに各サイトの EPG のシャドウを作成して、EPG からサイト間接続を正しく変換およびプログラムします。次に、コントラクト優先グループポリシーコンストラクトが、EPG 間通信の実際の EPG とシャドウ EPG の間の各サイトに適用されます。
たとえば、Site1 のウェブサービス EPG1 と Site2 のアプリサービス EPG2 がコントラクト優先グループに追加される場合を考察します。次に、EPG1 が EPG2 にアクセスする場合は、最初にサイト 2 のシャドウ EPG1 に変換され、次にコントラクト優先グループを使用して EPG2 と通信できるようになります。適切な BD は、その下の EPG がコントラクト優先グループの一部である場合、拡張されるか、シャドウされます。
VRF 優先グループ設定
優先グループを APIC で直接設定する場合は、個々の EPG で PG メンバーシップを有効にする前に、まず VRF で設定を明示的に有効にする必要があります。VRF の PG 設定が無効になっている場合、EPG はその VRF の優先グループの一部であっても、コントラクトなしでは通信できません。
(注) |
リリース 4.0(1)以降、NDO の PG 構成は、APIC の場合と同じアプローチに従います。つまり、VRF の PG 構成は、その VRF の一部である EPG が PG 構成を使用するために明示的に有効にする必要があります。 Nexus ダッシュボード オーケストレータのリリース 4.0(1)以前のリリースでは、GUI で VRF の PG 設定を管理することはできませんが、代わりに次のように動的に設定を調整します。
|
制限事項
EPG の優先グループを使用するとき次のガイドラインと制限を使用します:
-
優先グループは、サイト間 L3Out 外部 EPG ではサポートされません。
-
特定の VRF の EPG および外部 EPG オブジェクトは、その VRF の vzAny がすでにコントラクトを使用または提供している場合、優先グループの一部として設定しないでください。