PBR を使用したサイト間 L3Out

Cisco Application Centric Infrastructure（ACI）ポリシーベースリダイレクト（PBR）は、ファイアウォールやロードバランサなどのサービスアプライアンス、および侵入防御システム（IPS）のトラフィックリダイレクションを可能にします。一般的な使用例としては、プールしてアプリケーションプロファイルに合わせて調整すること、また容易にスケーリングすることができ、サービス停止の問題が少ないサービスアプライアンスのプロビジョニングがあります。PBR により、コンシューマとプロバイダエンドポイントの間のコントラクトに基づくサービスアプライアンスの挿入は簡素化されます。このことは、それらすべてが同じ仮想ルーティングおよびフォワーディング（VRF）インスタンスに存在する場合でも成り立ちます。

PBR の展開には、ルートリダイレクトポリシーおよびクラスタのリダイレクトポリシーの設定と、これらのポリシーを使用するサービスグラフテンプレートの作成が含まれます。サービスグラフテンプレートを展開した後、EPG 間のコントラクトにアタッチして、そのコントラクトに従うすべてのトラフィックが、作成した PBR ポリシーに基づいてサービスグラフデバイスにリダイレクトされるようにすることができます。これにより、同じ2つのEPG間のどのタイプのトラフィックをL4-L7デバイスにリダイレクトし、どのタイプのトラフィックを直接許可するかを選択できます。

サービスグラフおよびPBRに固有の詳細情報については、『Cisco APIC Layer 4 to Layer 7 Services Deployment Guide』を参照してください。

構成ワークフロー

次のセクションで説明するユースケースは、基本的なサイト間 L3Out（PBR なし）のユースケースの拡張であり、各サイトの基本的な外部接続（L3Out）構成の拡張です。サポートされるユースケースを構成するワークフローは同じですが、オブジェクトを同じ VRF で作成するか、異なる VRF で作成するか（VRF 間と VRF 内）、およびオブジェクトを展開する場所（拡張か非拡張か）のみが異なります。

各サイトの基本的な外部接続（L3Out）を構成します。

以下のセクションで説明される PBR 構成を持つサイト間 L3Out は、各サイトの既存の外部接続（L3Out）の上部で構築されます。L3Out を構成していない場合、次のセクションに進む前に、外部接続（L3Out）で説明されるように 1 つ作成し展開します。
PBR を使用せずにサイト間 L3Out の使用例を構成します。

サービスチェーンを追加する前に、ポリシーベースのリダイレクションを使用しない単純なサイト間 L3Out の使用例を構成することをお勧めします。これは、サイト間 L3Out 章で詳細を説明しています。
以下のセクションに説明されるように、L3Out コントラクトにサービスチェーンを追加します。これには、以下が含まれます。
- サイト間 L3Out が展開されている各サイトの各ポッドに外部 TEP プールを追加します。
- サービスデバイステンプレートを作成し、サイトに割り当てます。
  
  サービスデバイステンプレートは、他の構成オブジェクトを含む L3Out およびアプリケーションテンプレートと同じサイトに割り当てる必要があります。
- サービスデバイステンプレートにサイトレベル構成を提供します。
  
  各サイトは、異なる高可用性モデル（active/active、active/standby、独立サービスノードなど)を含む独自のサービスデバイス構成を持つことができます。
- 定義したサービスデバイスを、前の手順で展開した基本的なサイト間 L3Out の使用例に使用するコントラクトに関連付けます。

サポートされる使用例

次の図は、アプリケーション EPG の ACI 内部エンドポイントと、サポートされているサイト間 L3Out with PBR 使用例の別のサイトの L3Out を経由する外部エンドポイント間のトラフィックフローを示しています。

VRF 内と VRF 間

アプリケーション EPG と外部 EPG を作成および設定する場合、アプリケーション EPG のブリッジドメインと L3Out に VRF を提供する必要があります。同じ VRF（intra-VRF）を使用するか、異なるVRF（inter-VRF）を使用するかを選択できます。

EPG 間のコントラクトを確立する場合は、1 つの EPG をプロバイダとして指定し、もう 1 つの EPG をコンシューマとして指定する必要があります。

両方の EPG が同じ VRF にある場合、どちらか一方がコンシューマまたはプロバイダになることができます。
EPG が異なる VRF にある場合は、外部 EPG がプロバイダーであり、アプリケーション EPG がコンシューマである必要があります。

ストレッチ EPG への L3Out

この使用例は、2 つのサイト間で拡張される単一のアプリケーション EPG と、1 つのサイトでのみ作成される単一の L3Out を示しています。アプリケーション EPG のエンドポイントが L3Out と同じサイトにあるか、他のサイトにあるかに関係なく、トラフィックは同じ L3Out を通過します。ただし North-South トラフィックの場合、PBR ポリシーは常にコンピューティングリーフノードにのみ適用されるため（境界リーフノードには適用されない）、トラフィックは常にエンドポイントのサイトに対してローカルなサービスノードを通過します。

（注）

外部 EPG が拡張され、各サイトに独自の L3Out があるが、トラフィックの発信元または宛先であるサイトの L3Out がダウンしている場合も、同じフローが適用されます。

サイトローカル EPG への L3Out

この使用例は、North-South トラフィックに他のサイトの L3Out を使用するサイトローカルアプリケーション EPG を示しています。前の例と同様に、すべてのトラフィックは EPG のサイトローカルサービスグラフデバイスを使用します。

（注）

外部 EPG が拡張され、各サイトに独自の L3Out があり、EPG のローカル L3Out がダウンしている場合も、同じフローが適用されます。

注意事項と制約事項

サイト間 L3Out を設定する際には次の制約事項が適用されます。

PBR を使用したサイト間 L3Out では、次の使用例がサポートされています。
- アプリケーション EPG をコンシューマとする Inter-VRF サイト間 L3Out。
  
  VRF 間コントラクトの場合、L3Out へ関連付けられている外部 EPG がプロバイダである必要があります。
  
  この使用例は、Cisco APIC リリース 4.2(5) 以降またはリリース 5.1(x) を実行しているサイトでサポートされていますが、APIC リリース 5.0(x) ではサポートされていません。
- アプリケーション EPG がプロバイダまたはコンシューマのいずれかである VRF 内サイト間 L3Out
  
  この使用例は、Cisco APIC リリース 4.2(5) 以降またはリリース 5.1(x) を実行しているサイトでサポートされていますが、APIC リリース 5.0(x) ではサポートされていません。
- ファイアウォールノード専用の PBR を使用したサイト間中継ルーティング（L3Out-to-L3Out）
  
  ロードバランサへのトラフィックのリダイレクトはサポートされていません。
  
  この使用例は、Cisco APIC リリース 6.0(3) 以降を実行しているサイトでサポートされています。
EPG-to-L3Out のユースケースでは、アプリケーション EPG をストレッチまたはサイトローカルにすることができます。
EPG-to-L3Out のユースケースでは、ワンアームとツーアームの両方の導入モデルがサポートされています。 L3Out-to-L3Out の使用例では、ワンアームファイアウォールデバイスのみがサポートされます。

ワンアーム展開では、サービスグラフの内部インターフェイスと外部インターフェイスの両方が同じブリッジドメインに接続されます。ツーアーム展開では、サービスグラフインターフェイスは個別の BD に接続されます。
EPG-to-L3Out ユースケースについては、PBR を使用してロードバランサを構成する場合、ロードバランサと仮想 IP（VIP）の実サーバは同じサイトに存在する必要があります。PBR がディセーブルの場合、ロードバランサと実サーバは異なるサイトに存在できます。

L3Out-to-L3Out の場合は、ロードバランサをサポートしていません。
1 つのサイトの L3Out と別のサイトの EPG 間、または異なるサイトの 2 つの L3Out 間ですでに構成されているコントラクトでサービスチェーンを有効にして、サービスデバイスを挿入する前に、サイト間 L3Out の基本的なユースケースを構成しておく必要があります。

PBR を使用しないサイト間 L3Out の展開に関する詳細な手順については、「サイト間 L3Out」の章を参照してください。

サービスデバイステンプレートの作成

注意事項と制約事項で説明されているように、要件を読んで満たしていることを確認します。

ここでは、サービスグラフの1つ以上のデバイスを設定する方法について説明します。

手順

ステップ 1

Nexus Dashboard Orchestrator の GUI にログインします。

ステップ 2

左のナビゲーションペインから、[構成（Configure）] > [テナントテンプレート（Tenant Template）]を選択します。

ステップ 3

[サービスノード（Service Nodes）] タブを選択します。

ステップ 4

サービスデバイステンプレートを作成し、サイトに関連付けます。

[テナントテンプレートの > 構成から、[サービスデバイス（Service Device）] タブを選択します。
[サービスデバイステンプレートの作成（Create Service Device Template）] をクリックします。
開くテンプレート　プロパティサイドバーで、テンプレートの [名前（Name）] を入力し、[テナントの選択（Select a Tenant）] を選択します。
[テンプレートプロパティ（Template Properties）] ページで、[アクション（Actions）] > [サイトの追加/削除（Add/Remove Sites）] を選択し、それらのサイトにテンプレートを関連付けます。
[保存（Save）] をクリックして、テンプレートを保存します。

ステップ 5

デバイスクラスタを作成して構成します。

[テンプレートプロパティ（Template Properties）] ページ（テンプレートレベルの設定）で、[オブジェクトの作成（Create Object）] > [サービスデバイスクラスタ（Service Device Cluster）] を選択します。

デバイスクラスタは、トラフィックのリダイレクト先であるサービスを定義します。このリリースでは、サービスクラスタは、アクティブ/アクティブクラスタ、アクティブ/スタンバイクラスタ、または上記に示す複数の独立したノードのクラスタ内の、単一ノードファイアウォールデバイスで構成する必要があります。
[<cluster-name>] サイドバーで、クラスタの [名前（Name）]を入力します。

[デバイスの場所（Device Location）] と [デバイスモード（Device Mode）] は、現在サポートされているユースケースに基づいて事前に入力されています。
[デバイスタイプ（Device Type）] を選択します。
[デバイスモード（Device Mode）] で、[L3] を選択します。

[接続モード（Connectivity Mode）] を選択します。

（注）

L3Out-to-L3Out の使用例を構成する場合は、[ワンアーム（One Arm）] を使用する必要があります。

[インターフェイス名（Interface Name）] を入力します。
[インターフェイスタイプ（Interface Type）] で、[BD]を選択します。

vzAny の使用例の場合、このリリースでは、ブリッジドメインへのサービスデバイスの接続のみがサポートされます。
[BD の選択（Select BD）] をクリックして、このデバイスを接続するサービスブリッジドメインを選択します。

これは、前のセクションで作成した拡張サービス BD です（例：[FW 外部（FW-external）]）。
[リダイレクト（Redirect）] オプションで、[はい（Yes）] を選択します。

PBR の使用例では、リダイレクトの有効化を選択する必要があります。[はい（Yes）] を選択すると、[IP SLA モニタリングポリシー（IP SLA Monitoring Policy）] オプションが使用可能になります。
（オプション）[IP SLA モニタリングポリシーの選択（Select IP SLA Monitoring Policy）] をクリックし、作成した IP-SLA ポリシーを選択します。
（オプション）サービスクラスタの追加設定を指定する場合は、[詳細設定（Advanced Settings）] 領域で [有効（Enable）] を選択します。
次の詳細設定を構成できます。
- QoS ポリシー：リダイレクトされたトラフィックに ACI ファブリック内で特定の QoS レベルを割り当てることができます。
- 優先グループ：このサービスクラスタが優先グループの一部であるかどうかを指定します。
- ロードバランシングハッシュ：PBR ロードバランシングのハッシュアルゴリズムを指定できます。
  
  詳細については、「ACI ポリシーベースのリダイレクトサービスグラフの設計」を参照してください。
- ポッド対応リダイレクション：優先 PBR ノードを指定する場合は、マルチポッド構成で構成できます。ポッド対応リダイレクションを有効にすると、ポッド ID を指定でき、リダイレクトは指定されたポッドにあるリーフスイッチでのみプログラムされます。
- 送信元 MACの書き換え：PBR ノードが IP ベースの転送ではなく「送信元 MAC ベースの転送」を使用している場合に、送信元 MAC アドレスを更新します。
  
  詳細については、「ACI ポリシーベースのリダイレクトサービスグラフの設計」を参照してください。
- 高度なトラッキングオプション：サービスノードトラッキングのさまざまな詳細設定を設定できます。詳細については、「サービスノードをトラッキングするためのポリシーベースリダイレクトとしきい値の設定」を参照してください。
Ok をクリックして保存します。

サービスデバイスクラスタを作成すると、[テンプレートプロパティ（Template Properties）]（テンプレートレベルの構成）ページで赤色で強調表示されることに注意してください。この時点で、ファイアウォールサービスへのリダイレクトを定義しましたが、やはりサイトローカルレベルで使用するファイアウォール情報とリダイレクトポリシーを指定する必要があります。

コントラクトへのサービスチェーンの追加

基本のサイト間 L3Out ユースケースとサービスデバイステンプレートを展開した後、L3Out とアプリケーション EPG または別の L3Out の間で作成したコントラクトにサービスチェーンを追加することで、ポリシーベースのリダイレクションを追加できます。

手順

ステップ 1

コントラクトを定義したアプリケーションテンプレートに戻ります。

ステップ 2

コントラクトを選択します。

ステップ 3

[サービスチェーン（Service Chaining）] 領域で、[+ サービスチェーン（+Service Chaining）] をクリックします。

ステップ 4

[デバイスタイプ（Device Type）] を選択します。

（注）

L3Out-to-L3Out の使用例を構成している場合、この使用例はファイアウォール デバイスのみをサポートします。

ステップ 5

[デバイス（Device）] ドロップダウンから、前の手順で作成した FW デバイスクラスタを選択します。

ステップ 6

[コンシューマコネクタタイプのリダイレクト（Consumer Connector Type Redirect）] が有効になっていることを確認します。

ステップ 7

[プロバイダコネクタタイプのリダイレクト（Provider Connector Type Redirect）] が有効になっていることを確認します。

ステップ 8

[追加（Add）] をクリックして続行します。

ステップ 9

[保存（Save）] をクリックして、テンプレートを保存します。

ステップ 10

[テンプレートの展開（Deploy）] をクリックして、再展開します。

『Cisco Nexus Dashboard Orchestrator Configuration Guide for ACI Fabrics、Release 4.2（x）』

偏向のない言語

翻訳について

Book Title

『Cisco Nexus Dashboard Orchestrator Configuration Guide for ACI Fabrics、Release 4.2（x）』

Chapter Title