PBR を使用したサイト間 L3Out
Cisco Application Centric Infrastructure(ACI)ポリシーベース リダイレクト(PBR)は、ファイアウォールやロード バランサなどのサービス アプライアンス、および侵入防御システム(IPS)のトラフィック リダイレクションを可能にします。一般的な使用例としては、プールしてアプリケーション プロファイルに合わせて調整すること、また容易にスケーリングすることができ、サービス停止の問題が少ないサービス アプライアンスのプロビジョニングがあります。PBR により、コンシューマとプロバイダ エンドポイントの間のコントラクトに基づくサービス アプライアンスの挿入は簡素化されます。このことは、それらすべてが同じ仮想ルーティングおよびフォワーディング(VRF)インスタンスに存在する場合でも成り立ちます。
PBR の展開には、ルート リダイレクト ポリシーおよびクラスタのリダイレクト ポリシーの設定と、これらのポリシーを使用するサービス グラフ テンプレートの作成が含まれます。サービスグラフ テンプレートを展開した後、EPG 間のコントラクトにアタッチして、そのコントラクトに従うすべてのトラフィックが、作成した PBR ポリシーに基づいてサービス グラフ デバイスにリダイレクトされるようにすることができます。これにより、同じ2つのEPG間のどのタイプのトラフィックをL4-L7デバイスにリダイレクトし、どのタイプのトラフィックを直接許可するかを選択できます。
サービス グラフおよびPBRに固有の詳細情報については、 『Cisco APIC Layer 4 to Layer 7 Services Deployment Guide』を参照してください。
構成ワークフロー
次のセクションで説明するユース ケースは、基本的なサイト間 L3Out(PBR なし)のユース ケースの拡張であり、各サイトの基本的な外部接続(L3Out)構成の拡張です。サポートされるユース ケースを構成するワークフローは同じですが、オブジェクトを同じ VRF で作成するか、異なる VRF で作成するか(VRF 間と VRF 内)、およびオブジェクトを展開する場所(拡張か非拡張か)のみが異なります。
-
各サイトの基本的な外部接続(L3Out)を構成します。
以下のセクションで説明される PBR 構成を持つサイト間 L3Out は、各サイトの既存の外部接続(L3Out)の上部で構築されます。L3Out を構成していない場合、次のセクションに進む前に、外部接続(L3Out) で説明されるように 1 つ作成し展開します。
-
PBR を使用せずにサイト間 L3Out の使用例を構成します。
サービス チェーンを追加する前に、ポリシーベースのリダイレクションを使用しない単純なサイト間 L3Out の使用例を構成することをお勧めします。これは、サイト間 L3Out 章で詳細を説明しています。
-
以下のセクションに説明されるように、L3Out コントラクトにサービス チェーンを追加します。これには、以下が含まれます。
-
サイト間 L3Out が展開されている各サイトの各ポッドに外部 TEP プールを追加します。
-
サービス デバイス テンプレートを作成し、サイトに割り当てます。
サービス デバイス テンプレートは、他の構成オブジェクトを含む L3Out およびアプリケーション テンプレートと同じサイトに割り当てる必要があります。
-
サービス デバイス テンプレートにサイトレベル構成を提供します。
各サイトは、異なる高可用性モデル(active/active、active/standby、独立サービス ノードなど)を含む独自のサービス デバイス構成を持つことができます。
-
定義したサービス デバイスを、前の手順で展開した基本的なサイト間 L3Out の使用例に使用するコントラクトに関連付けます。
-
サポートされる使用例
次の図は、アプリケーション EPG の ACI 内部エンドポイントと、サポートされているサイト間 L3Out with PBR 使用例の別のサイトの L3Out を経由する外部エンドポイント間のトラフィック フローを示しています。
VRF 内と VRF 間
アプリケーション EPG と外部 EPG を作成および設定する場合、アプリケーション EPG のブリッジドメインと L3Out に VRF を提供する必要があります。同じ VRF(intra-VRF)を使用するか、異なるVRF(inter-VRF)を使用するかを選択できます。
EPG 間のコントラクトを確立する場合は、1 つの EPG をプロバイダとして指定し、もう 1 つの EPG をコンシューマとして指定する必要があります。
-
両方の EPG が同じ VRF にある場合、どちらか一方がコンシューマまたはプロバイダになることができます。
-
EPG が異なる VRF にある場合は、外部 EPG がプロバイダーであり、アプリケーション EPG がコンシューマである必要があります。
ストレッチ EPG への L3Out
この使用例は、2 つのサイト間で拡張される単一のアプリケーション EPG と、1 つのサイトでのみ作成される単一の L3Out を示しています。アプリケーション EPG のエンドポイントが L3Out と同じサイトにあるか、他のサイトにあるかに関係なく、トラフィックは同じ L3Out を通過します。ただし North-South トラフィックの場合、PBR ポリシーは常にコンピューティング リーフ ノードにのみ適用されるため(境界リーフ ノードには適用されない)、トラフィックは常にエンドポイントのサイトに対してローカルなサービス ノードを通過します。
(注) |
外部 EPG が拡張され、各サイトに独自の L3Out があるが、トラフィックの発信元または宛先であるサイトの L3Out がダウンしている場合も、同じフローが適用されます。 |
サイトローカル EPG への L3Out
この使用例は、North-South トラフィックに他のサイトの L3Out を使用するサイトローカル アプリケーション EPG を示しています。前の例と同様に、すべてのトラフィックは EPG のサイトローカル サービス グラフ デバイスを使用します。
(注) |
外部 EPG が拡張され、各サイトに独自の L3Out があり、EPG のローカル L3Out がダウンしている場合も、同じフローが適用されます。 |