新機能および変更された機能に関する情報

次の表は、この最新リリースまでの主な変更点の概要を示したものです。ただし、今リリースまでの変更点や新機能の一部は表に記載されていません。

Cisco APIC のリリース バージョン

特長

説明

25.0(2)

 Cisco Cloud APIC への既存のブラウンフィールド AWS クラウド VPC のインポートのサポート

このリリースでは、既存のブラウンフィールド AWS クラウド VPC を Cisco Cloud APIC に指定します。

Cisco Cloud APIC への既存のブラウンフィールド AWS クラウド VPC のインポートの利点


(注)  

  • このドキュメントでは、ブラウンフィールド VPC は、Cisco Cloud APIC の介入なしにユーザーが作成する VPC として定義されています。リリース 25.0(2) でのこの初期サポートでは、ブラウンフィールド VPC とアンマネージド VPC は同じことを意味します。

  • このドキュメントでは、特に、既存のブラウンフィールド AWS クラウド VPC のインポートについて説明します。これは、リリース 25.0(2) 以降でサポートされます。Cisco Cloud APIC

    リリース 5.2(1) からサポートされていた既存のブラウンフィールド Azure クラウド VNet のインポートについては、「既存のブラウンフィールド Azure クラウド VNet を Cisco Cloud APIC にインポートする」を参照してください。Cisco Cloud APIC

リリース 25.0(2) より前では、Cisco Cloud APIC を通じたクラウド導入はグリーンフィールド導入と見なされ、必要なコンポーネント(リソース グループ、VPC、CIDR、サブネットなど)の設定は Cisco Cloud APIC を通じて行われます。次に、Cisco Cloud APIC で作成したこれらのリソース グループの下にサービスを展開し、アプリケーションを起動します。

データセンター拡張に Amazon Web Services(AWS)を採用した多くのユーザーは、すでにクラウドに導入された数百の VPC とインスタンスを持っています。これにより、AWS の Cisco Cloud APIC を通じた新しいグリーンフィールド設定と既存のブラウンフィールド設定の2つの異なる環境ができます。Cisco Cloud APIC ソリューションを導入した後、既存のクラウドリソースに個別のコントロール ポイントが必要ない場合、これは理想的ではありません。

リリース 25.0(2) よりも前では、リソース グループと VPC が Cisco Cloud APIC を使用せずに作成された既存のブラウンフィールド環境は、Cisco Cloud APIC のマネージド サイトで共存できませんでした。リリース 25.0(2) 以降では、既存のブラウンフィールド AWS VPC を Cisco Cloud APIC にインポートできるようになりました。この拡張機能では、AWS トランジット ゲートウェイを使用して、Cisco Cloud APICを通じて設定されたグリーンフィールド VPC と Cisco Cloud APIC の外部で設定されたブラウンフィールド VPC 間の通信を提供します。

次の図は、AWS トランジット ゲートウェイが構成されているか、AWS トランジット ゲートウェイ接続が構成されている AWS トポロジの例を示しています。Cisco Cloud APIC および AWS トランジット ゲートウェイまたはトランジット ゲートウェイの接続の詳細については、ドキュメント「AWS トランジット ゲートウェイまたは AWS トランジット ゲートウェイ コネクトを使用した VPC 間の帯域幅の増加」を参照してください。

図 1. AWS トランジット ゲートウェイを使用した AWS トポロジの例
図 2. AWS トランジット ゲートウェイ コネクトを使用した AWS トポロジの例

上の図では、次のように設定されています。

  • インフラ VPC とグリーンフィールド VPC が作成され、Cisco Cloud APIC を通して管理されています。さらに、グリーンフィールド VPC の場合、トランジット ゲートウェイ アタッチメントは Cisco Cloud APIC によって作成されます。

  • ブラウンフィールド VPC は AWS 経由で作成され、Cisco Cloud APIC の外部で管理されます。さらに、リリース 25.0(2) では、ブラウンフィールド VPC は読み取り専用アカウントでのみインポートできるため、Cisco Cloud APIC はトランジット ゲートウェイ アタッチメントを作成する権限はありません。この場合、ネットワークが完成するように、トランジット ゲートウェイ アタッチメントを手動で作成する必要があります。詳細については、「読み取り専用アカウントの概要」を参照してください。

この機能を使用すると、Cisco Cloud APIC は既存のブラウンフィールド リソースグループで何も設定またはプロビジョニングされないことに注意してください。セキュリティ グループ ルール、ルート テーブル、およびルータは、これらのブラウンフィールド リソース グループでは Cisco Cloud APIC を通じてプログラムされません。Cisco Cloud APIC は、これらの既存のブラウンフィールド展開のセキュリティ グループ ルール、ルート テーブルおよびルータを管理しないため、Cisco Cloud APIC の外部の既存のブラウンフィールド展開のセキュリティ グループ ルール、ルート テーブルおよびルートを引き続き管理します。

さらに、Cisco Cloud APIC(CIDR、サブネット、ルート テーブル、トランジット ゲートウェイ、トランジット ゲートウェイ VPC アタッチメントなど)にインポートしたくないブラウンフィールド VPC の下に既存のクラウド リソースがある場合、これらの既存のクラウド リソースは Cisco Cloud APIC から変更または削除されることなく引き続き存在し続けます。読み取り専用アクセスポリシーでは、読み取りインベントリの実行を除き、Cisco Cloud APIC はこれらの既存のクラウド リソースに対する権限はありません。

このドキュメントで使用される用語

このセクションでは、このドキュメントで使用される主要な用語と概念の一部を紹介します。

グリーンフィールド VPC
クラウド コンテキスト プロファイルの Cloud APIC に基づいて作成される AWS 上の VPC。
ブラウンフィールドまたはアンマネージド VPC
ポリシーを使用せずに作成された AWS の VPC。Cloud APIC
アクセス ポリシー
Cloud APIC で作成されたポリシーは、それぞれの権限を示します。現在、ポリシーは次のとおりです。

  • デフォルト

  • 読み取り専用

  • Unmanaged

読み取り専用クラウド コンテキスト プロファイル
読み取り専用アクセス ポリシーに関連するクラウド コンテキスト プロファイル。
読み取り専用アカウント
読み取り専用アクセス ポリシーに関連するクラウド アカウント。読み取り/書き込みアカウントも使用できますが、読み取り/書き込みアカウントは読み取り専用アクセス ポリシーとは関係がないことに注意してください。
グリーンフィールド クラウド コンテキスト プロファイル
アクセス ポリシーと関係がない、またはデフォルト アクセス ポリシーと関係がないクラウド コンテキスト プロファイル。

アンマネージド(ブラウンフィールド)VPC のトランジット ゲートウェイ アタッチメントについて

通常、AWS トランジット ゲートウェイ構成の一部としてクラウド上にグリーンフィールド VPC を作成すると、グリーンフィールド VPC とトランジット ゲートウェイ間のトランジット ゲートウェイのアタッチメントも構成されます。Cisco Cloud APIC

ただし、アンマネージド(ブラウンフィールド)VPC で AWS トランジット ゲートウェイを構成する場合、Cisco Cloud APIC はブラウンフィールド VPC とインフラ トランジット ゲートウェイ間のトランジット ゲートウェイ アタッチメントを構成できないため、ブラウンフィールド VPC のトランジット ゲートウェイ アタッチメント構成は使用者が手動で行う必要があります。

グリーンフィールド VPC とブラウンフィールド VPC の間で通信を行うには、ブラウンフィールド VPC のトランジット ゲートウェイ アタッチメントをグリーンフィールド トランジット ゲートウェイ(Cisco Cloud APIC によって作成された TGW)に手動で設定する必要があります。これがないと、グリーンフィールド VPC とブラウンフィールド VPC の間でパケット フローが発生しません。

詳細については、ドキュメント「AWS トランジット ゲートウェイまたは AWS トランジット ゲートウェイ コネクトを使用した VPC 間の帯域幅の増加」を参照してください。https://www.cisco.com/c/en/us/td/docs/switches/datacenter/aci/cloud-apic/5-x/use-case/increasing-bandwidth-using-aws-transit-gateway-or-aws-transit-gateway-connect.html

ブラウンフィールド VPC でできることとできないことCisco Cloud APIC

リリース 25.0(2) の一部としてのこの拡張により、Cisco Cloud APIC はブラウンフィールド VPC とパケットを送受信できるように、グリーンフィールド リソース グループ/VPC 側で必要なネットワーク接続とセキュリティを調整できます。

ブラウンフィールド VPC を Cisco Cloud APIC で登録すると、次の設定が行われます。

  • インベントリ プルは、ブラウンフィールド リソース グループまたは VPC で実行されます。

  • ブラウンフィールド クラウド EPG とグリーンフィールド クラウド EPG の間のコントラクトに基づいて、特定のエリアでのみ必要な設定を行います。Cisco Cloud APIC

    • グリーンフィールド VPC のセキュリティ グループ ルールをプログラムして、ブラウンフィールド VPC との間のインバウンドおよびアウトバウンド トラフィックを許可します。ブラウンフィールド VPC のセキュリティ グループ ルールをプログラムしません。Cisco Cloud APICCisco Cloud APICブラウンフィールド VPC のセキュリティ グループ ルールを個別に手動でプログラムする必要があります。

    • Cisco Cloud APIC ブラウンフィールド VPC のルート テーブルまたはルートをプログラミングしません。ブラウンフィールド VPC がグリーンフィールド VPC と通信するには、次の構成を手動で行う必要があります。

      • グリーンフィールドとブラウンフィールドの EPG 間のコントラクトを作成します。

      • インフラ トランジット ゲートウェイを使用してトランジット ゲートウェイ VPC アタッチメントを作成する

      • ブラウンフィールド VPC とサブネットのルート テーブルを作成します。

      • 宛先がグリーンフィールド CIDR であり、ネクストホップがトランジット ゲートウェイ VPC アタッチメントであるルートを追加します

  • すべての CSR にブラウンフィールド VPC に対応する VRF を作成し、ブラウンフィールド VPC の CIDR に対応するアクセス制御リストとルートを作成します。また、構成されたコントラクトに基づいて、CSR でルート リークを構成します。Cisco Cloud APICCisco Cloud APIC

  • Cisco Cloud APIC ブラウンフィールド VPC の作成に使用された AWS アカウントにインフラ トランジット ゲートウェイを共有します。この時点で、ブラウンフィールド VPC のインポートを続行する前に、トランジット ゲートウェイ VPC アタッチメントを手動で作成する必要があります。Cisco Cloud APIC

VRF を介したブラウンフィールド クラウド コンテキスト プロファイルに関連付けられているクラウドEPGには、サブネット ベースのエンドポイント セレクタが必要です(タグベースの EPG はブラウンフィールド クラウド コンテキスト プロファイルには適用されません)。

Cisco Cloud APIC ルート プログラミングの構成、セキュリティ グループ ルールの作成、またはトランジット ゲートウェイ VPC アタッチメントの作成など、ブラウンフィールド VPC に関してクラウド リソースを作成しません。

さらに、ブラウンフィールド VPC を Cisco Cloud APIC に登録すると、次の Cisco Cloud APIC コンポーネントが影響を受けるか、影響を受けません。

  • ブラウンフィールド VRF の CSR プログラミングに変更はありません。CSR の観点からは、ブラウンフィールド VRF は他の VRF と同様に動作します。CSR では、ブラウンフィールド VRF はブラウンフィールド クラウド コンテキスト プロファイルの一部としてインポートされた CIDR とともにプログラムされます。CSR は、特定の VRF がグリーンフィールドまたはブラウンフィールド クラウド コンテキスト プロファイルに関連付けられているかどうかを認識していません。

  • アクセス制御リストは GigabitEthernet1 インターフェイスでプログラムされることにより、これらのアンマネージド(ブラウンフィールド)VPC CIDR とのトラフィックの行き来を許可します。コントラクトに基づいて、VRF に関連付けられた EPG 間でルート リークが発生します。

注意事項および制約事項

次に、既存のブラウンフィールド クラウド設定を Cloud APIC にインポートする際の注意事項と制約事項を示します。

  • アンマネージド(ブラウンフィールド)クラウド コンテキスト プロファイルには、特に次の注意事項と制約事項が適用されます。

    • アンマネージド VPC の特定の VPC ID は、Cisco Cloud APIC 上の 2 つの異なるアンマネージド クラウド コンテキスト プロファイルにマッピングできません。特定の VPC ID は、Cisco Cloud APICで 1 つのアンマネージド クラウド コンテキスト プロファイルのみを作成するために使用できます。

    • クラウド コンテキスト プロファイルにマッピングされたアンマネージド VPC は、このクラウド コンテキスト プロファイルに関連付けられているテナントと同じ AWS アカウントに存在する必要があります。Cisco Cloud APIC でこれらのアンマネージド クラウド コンテキスト プロファイルを定義している間は、ランダムな VPC ID を指定できません。

    • リージョンは、ブラウンフィールド VPC が作成されたものと同じである必要があります。

    • CIDR は、ブラウンフィールド VPC で構成されたものと同じである必要があります。

    • ブラウンフィールド VPC の下で CIDRS のすべてまたは特定のセットを選択的にインポートできますが、プライマリ CIDR がなければブラウンフィールド VPC をインポートすることはできません。ブラウンフィールド VPC をインポートする場合、プライマリ CIDR のインポートは必須です。

  • ホスト VRF は、ブラウンフィールド VPC のインポートには使用できません。

既存のブラウンフィールド クラウド VPC を Cisco Cloud APIC にインポートするためのワークフロー

以下は、グリーンフィールド VPC(Cisco Cloud APICによって構成および管理される VPC)がブラウンフィールド VPC(Cisco Cloud APICで管理されない VPC)との間でトラフィックを送受信するための一般的なワークフローです。

  1. ブラウンフィールド(アンマネージド)VPC が AWS ですでに作成されていることを確認します。

  2. このブラウンフィールド(アンマネージド)VPC をCisco Cloud APICにインポートします。

    1. 必要な場合は、アンマネージド(ブラウンフィールド)クラウド コンテキスト プロファイルで使用する新しいテナントを作成します。

      ブラウンフィールド VPC は、同じ AWS アカウントに存在することも、グリーンフィールド VPC とは異なる AWS アカウントに存在することもあります。

      ブラウンフィールド VPC が別の AWS アカウントにある場合は、このアカウントを指す AWS アカウント ID フィールド(cloudAwsProvider)フィールドで新しいテナントを作成する必要があります。この AWS アカウントがブラウンフィールド VPC の管理にのみ使用される場合、このテナントは「読み取り専用」アクセスポリシーに関連します。この読み取り専用ポリシーは、イベントと統計タスクがトリガーされず、フロー ログがこのアカウントで構成されないことを意味します。このアカウントでは、インベントリ プルのみが実行されます。詳細については、「読み取り専用アカウントの概要」を参照してください。

      新しいテナントを作成する手順については、読み取り専用アカウントの設定または、『Cisco Cloud APIC for AWS User Guide』、リリース 25.0(x) 以降の「リリース 4.2(3) およびそれ以降向けテナント AWS プロバイダーの構成」を参照してください。https://www.cisco.com/c/en/us/support/cloud-systems-management/cloud-application-policy-infrastructure-controller/series.html

    2. Cisco Cloud APIC に既存のブラウンフィールド VPC、CIDR、およびサブネット設定をインポートします。

      これを行うには、ブラウンフィールド VPC に対応するクラウド コンテキスト プロファイルを作成します。これにより、ブラウンフィールド VPC と VRF の間に関連付けが作成されます。Cisco Cloud APIC のクラウドコンテキストプロファイルは、ブラウンフィールド VPC と VRF 間のリンクに使用されるオブジェクトです。ブラウンフィールド VPC をインポートするには、最初に VRF オブジェクトを作成する必要があります。これは、後でブラウンフィールド VPC をインポートするときに使用されるクラウド コンテキスト プロファイル関連付けのプレースホルダです。

      これらの手順については、管理対象外(ブラウンフィールド)クラウド コンテキスト プロファイルの作成 を参照してください。

  3. AWS のアンマネージド(ブラウンフィールド)VPC のトランジット ゲートウェイ アタッチメントを追加します。

    Cisco Cloud APIC はアンマネージド(ブラウンフィールド)VPC と AWS のインフラ トランジット ゲートウェイ(Cisco Cloud APIC によって作成された TGW)との間に AWS トランジット ゲートウェイ アタッチメントを構成しません。インフラ構成の一部として作成された AWS トランジット ゲートウェイはブラウンフィールド ユーザー アカウントと共有されますが、アンマネージド(ブラウンフィールド)VPC と AWS のインフラ トランジット ゲートウェイ間の AWS トランジット ゲートウェイ アタッチメントを手動で構成する必要があります。

    詳細については、「AWS でのアンマネージド VPC のトランジット ゲートウェイ アタッチメントの追加」を参照してください。

  4. この VRF の下にクラウド EPG を作成し、グリーンフィールド EPG に対するコントラクトを構成します。

    これらの手順については、ブラウンフィールド クラウド コンテキスト プロファイルに関連付けられた EPG の作成 を参照してください。

    ブラウンフィールド(アンマネージド)VPC をCisco Cloud APIC にインポートする場合:

    • ブラウンフィールド クラウド EPG とグリーンフィールド クラウド EPG 間のコントラクトkに基づいて、グリーンフィールド VPC のルート テーブルとセキュリティ グループ ルールをプログラムします。Cisco Cloud APIC

    • すべての CSR にブラウンフィールド VPC に対応する VRF を作成し、ブラウンフィールド VPC の CIDR に対応するアクセス制御リストとルートを作成します。また、構成されたコントラクトに基づいて、CSR でルート リークを構成します。Cisco Cloud APICCisco Cloud APIC

    • Cisco Cloud APIC ルート プログラミングの構成、セキュリティ グループ ルールの作成、またはトランジット ゲートウェイ VPC アタッチメントの作成など、ブラウンフィールド VPC に関してクラウド リソースを作成しません。

  5. Cisco Cloud APIC トランジット ゲートウェイ ルート テーブルを関連付け、ブラウンフィールド トランジット ゲートウェイ VPC アタッチメントの伝播を構成します。ただし、Cisco Cloud APIC はブラウンフィールド VPC のセキュリティ グループ ルール プログラミングを構成しないため、AWS ポータルから手動でこれらの構成を行う必要があります。

読み取り専用アカウントの設定

次のセクションでは、読み取り専用アカウントの設定に関して説明します。

読み取り専用アカウントの概要


(注)  

リリース 25.0(2) では、ブラウンフィールド VPC は、このセクションで説明されている読み取り専用アカウントにのみインポートできます。

アンマネージド VPC のみを含むアカウントがあり、AWS でこのアカウントの VPC を管理するために Cisco Cloud APIC を使用しない場合は、このアカウントを読み取り専用アカウントとして定義できます。読み取り専用アカウント(ポリシー)は、これらのアカウントでイベント収集/統計収集リソースの作成をトリガーしません。この読み取り専用ポリシーに関連するアカウントに対しては、インベントリ プルのみが実行されます。

テナントの下で読み取り専用アカウントとしてアカウントを設定する場合、そのテナントのすべてのクラウドコンテキストプロファイルは読み取り専用である必要があります。そのテナントでは、通常のグリーンフィールド(Cisco Cloud APIC が作成)クラウド コンテキスト プロファイルを使用できません。Cisco Cloud APIC は、クラウドのこのアカウントにリソースを作成しません。また、このアカウントのイベントまたは統計に関連する項目はクラウドに表示されません。

このアカウントはクラウド上で読み取り専用アクセス権を持ちますが、アクセス タイプは信頼できるテナントまたは信頼できないテナントのいずれかにすることができます。

GUI を使用した読み取り専用のアカウントの設定

始める前に

読み取り専用のアカウントを作成する前に、読み取り専用アカウントの概要 に示された情報をレビューします。

手順

ステップ 1

左のナビゲーション バーで、[アプリケーション管理(Application Management)] > [テナント(Tenants)] に移動します。

設定済みのテナントが [テナント(Tenants)] ページに表示されます。
ステップ 2

[アクション(Actions)] をクリックし、[テナントの作成(Create Tenant)]を選択します。

[テナントの作成(Create Tenant)] ダイアログ ボックスが表示されます。
ステップ 3

このテナントのために必要な予備情報を入力します。

[名前(Name)][説明(Description)]、および [セキュリティ ドメイン(Security Domains)] フィールドに必要な情報を入力します。

ステップ 4

このユーザー テナントが信頼できるかどうかを決定します。

  • Cloud APIC のユーザ テナントが信頼されている場合(CFT を使用して信頼できるテナントの AWS アカウントを設定した場合)は、このページに次の情報を入力します。

    • [AWS アカウント ID (AWS Account ID):] ユーザ テナントの AWS アカウント番号 (CFT を使用して、信頼できるテナントの AWS アカウントをセットアップしたときにログインした AWS アカウント) を入力します。

    • [アクセスタイプ(Access Type)]:このフィールドで[信頼(Trusted)]を選択します。

      (注)   

      [クラウド アクセス キー ID (Cloud Access KEY ID)] フィールドと [クラウド秘密アクセス キー (Cloud Secret Access Key)] フィールドは、[アクセス タイプ(Access Type)] として [信頼済み(Trusted)] を選択している場合、 表示されません。これらのフィールドは、信頼できるテナントには必要ありません。

  • Cloud APICのユーザ テナントが信頼されていない場合 (AWS アクセスキー ID と秘密アクセス キーを使用して、信頼できないユーザ テナントの AWS アカウントをセットアップした場合) は、このページで次の情報を入力します。

    • [AWS アカウント ID (AWS Account ID):] このフィールドには、ユーザ テナントの AWS アカウント番号を入力します。

    • Access Type:このフィールドで[Untrusted]を選択します。

    • [クラウド アクセス キー ID (Cloud Access KEY ID):] このフィールドには、ユーザ テナントの AWS アクセスキー ID 情報を入力します。

    • [クラウド秘密アクセス キー (Cloud Secret Access Key):] このフィールドには、ユーザ テナントの AWS 秘密アクセス キー情報を入力します。

  • のユーザテナントがAWS組織のメンバーである場合(AWS組織を使用して組織を設定し、組織内にアカウントを作成するか、組織にアカウントを招待することでアカウントを追加した場合)、組織のマスターアカウントの場合は、次の情報を入力して組織タグをこのテナントに割り当てます。Cloud APICCloud APIC

    • [AWS アカウント ID (AWS Account ID):] このフィールドには、ユーザ テナントの AWS アカウント番号を入力します。

    • [アクセスタイプ(Access Type)]:このフィールドで[組織(Organization)]を選択します。

      (注)   
      このテナントに組織タグを割り当てる場合は、以下が適用されます。

      • このフィールドで[組織(Organization)]オプションがグレー表示されている場合は、AWS組織のマスターアカウント(インフラストラクチャテナント)を展開していません。Cloud APIC(インフラテナント)がAWS組織のマスターアカウントに展開されていない場合、テナントに組織タグを割り当てることはできません。Cloud APIC

      • 既存の AWS アカウントに招待されたマスター アカウントが組織に加わる場合、組織テナント用の AWS に設定された OrganizationAccountAccessRole IAM ロールがあり、Cloud APIC 関連の許可を使用可能であることを確認してください。

    (注)   

    [クラウド アクセス キー ID (Cloud Access KEY ID)] フィールドと [クラウド秘密アクセス キー (Cloud Secret Access Key)] フィールドは、[アクセス タイプ(Access Type)] として [信頼済み(Trusted)] を選択している場合、 表示されません。これらのフィールドは、組織テナントには必要ありません。

ステップ 5

[クラウド アクセス権限(Cloud Access Privilege)] フィールドで、[読み取り専用(Read Only)] を選択します。

このフィールドは、クラウドアカウントを読み取り専用に設定します。この AWS アカウントにはブラウンフィールド VPC(アンマネージドのリソース)のみを持つことができます。

このフィールドで [読み取りと書き込み(Read and Write)] オプションをクリックした場合、これは、このテナントがグリーンフィールドとブラウンフィールドの両方の VPC(マネージド リソースとアンマネージド リソース両方)を持つことができることを意味し、読み取り専用アカウントの概要 に記載されている読み取り専用アカウントにする場合は、望む結果とは異なります。

ステップ 6

このテナントの残りの設定を完了し、完了したら [保存(Save)] をクリックします。

次のタスク

管理対象外(ブラウンフィールド)クラウド コンテキスト プロファイルの作成 で提供される情報を使用したアンマネージド(ブラウンフィールド)クラウド コンテキスト プロファイルの作成

REST API を使用した読み取り専用アカウントの設定

始める前に

読み取り専用のアカウントを作成する前に、読み取り専用アカウントの概要 に示された情報をレビューします。

手順

クライアント シークレットを使用して読み取り専用アカウントでアンマネージド テナントを作成するには、以下を投稿します。

太字のテキストは、クラウド アカウントを読み取り専用に設定する行を示しています。


POST https://<cloud-apic-ip-address>/api/mo/uni.xml

<fvTenant name=”unmanagedTenant1">
    <cloudAwsProvider accountId="976500909689” 
      accessKeyId=”XXXXXXXXXXXXXXXXXX”
      secretAccessKey="XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX”
      providerId="aws">
        <cloudRsProviderToAccessPolicy tDn="uni/tn-infra/accesspolicy-read-only"/>
    </cloudAwsProvider>
</fvTenant>

次のタスク

管理対象外(ブラウンフィールド)クラウド コンテキスト プロファイルの作成 で提供される情報を使用したアンマネージド(ブラウンフィールド)クラウド コンテキスト プロファイルの作成

管理対象外(ブラウンフィールド)クラウド コンテキスト プロファイルの作成

次のトピックでは、アンマネージド(ブラウン フィールド)クラウド コンテキスト プロファイルを作成する方法について説明します。

アンマネージド(ブラウンフィールド)クラウド コンテキスト プロファイルの概要

アンマネージド(ブラウンフィールド)クラウド コンテキスト プロファイルは、アンマネージド(ブラウンフィールド)VPC に関連付けられているに Cisco Cloud APIC ポストされた構成を参照します。

アカウントは、読み取り/書き込みアクセス (グリーンフィールド VPC とブラウンフィールド VPC の両方の作成をサポートできます) または読み取り専用アクセス (ブラウンフィールド VPC の作成のみをサポートできます) を持つことができます。したがって、デフォルトのアクセス ポリシー (読み取り/書き込み) を持つアカウントの下と、読み取り専用アクセス ポリシーを持つアカウントの下に、アンマネージド (ブラウンフィールド) クラウド コンテキスト プロファイルを作成できます。

さらに、すでにCisco Cloud APIC構成済みの VPC があり、同じ AWS アカウント内にアンマネージド VPC も存在する、デフォルトのアクセス ポシリー(読み取り/書き込み)のアカウントを有している場合、このアカウントに関連付けられたテナントでアンマネージド クラウド コンテキスト プロファイルを定義できます。つまり、グリーンフィールド クラウド コンテキスト プロファイルで使用されているテナントがすでに作成されている場合、その同じテナントをブラウンフィールド クラウド コンテキスト プロファイル(アンマネージド VPC のインポート)の作成にも使用できます。

アンマネージド(ブラウンフィールド)クラウド コンテキスト プロファイルに設定する必要があるパラメータは次のとおりです。

  • VRF:アンマネージド VPC を関連付けるCisco Cloud APIC のVRF

  • リージョン:アンマネージド VPC がクラウド上に存在するリージョン

  • VNet ID:クラウド上のこのアンマネージド VPC のクラウド プロバイダー ID

  • CIDRCisco Cloud APIC で参照する必要がある CIDR

Cisco Cloud APICはこれらのパラメータを使用して、ブラウンフィールド クラウド コンテキスト プロファイルをクラウド上の特定の VPC にマッピングします。

GUI を使用したアンマネージド(ブラウンフィールド)クラウド コンテキスト プロファイルの作成

始める前に

これらの手順を実行する前に、アンマネージド(ブラウンフィールド)クラウド コンテキスト プロファイルの概要 に記載されている情報を確認してください。

手順

ステップ 1

必要な場合は、アンマネージド(ブラウンフィールド)クラウド コンテキスト プロファイルで使用する新しいテナントを作成します。

アンマネージド(ブラウンフィールド)VPC が別の AWS にある場合、新しいテナントを作成する必要があります。

新しいテナントを作成する手順については、『Cisco Cloud APIC for AWS User Guide』、リリース 25.0(x) 以降の「リリース 4.2(3) およびそれ以降向けテナント AWS の構成」を参照してください。

このテナントは、AWS 内のアンマネージド(ブラウンフィールド)VPC と同じ AWS アカウントを使用する必要があります。

ステップ 2

ブラウンフィールド VPC のクラウド コンテキスト プロファイルに関連付ける VRF を作成します。

  1. Cisco Cloud APIC GUIの左側のナビゲーション バーで、[Application Management] > [VRF] をクリックします。

    設定されている VRF リストが表示されます。

  2. [アクション(Actions)] > [VRF の作成(Create VRF)] をクリックします。

    [VRF の作成(Create VRF)] ページが表示されます。

  3. 次の [VRF ダイアログボックスの作成(Create VRF)] ダイアログボックスのフィールドの表に示されているように、各フィールドに適切な値を入力し、続行します。

    表 1. [VRF の作成(Create VRF)] ダイアログボックスのフィールド

    [プロパティ(Properties)]

    説明

    全般

    名前

    		[Name] フィールドに、VRF の表示名を入力します。

    すべての VRF に vrfEncoded 値が割り当てられます。テナントと VRF 名の組み合わせが 32 文字を超える場合、VRF 名(テナント名も含む)は vrfEncoded 値を使用してクラウド ルータで識別されます。vrfEncoded 値を表示するには、[Application Management] > [VRFs] サブタブに移動します。右側のペインで VRF をクリックし、クラウド ルータで [Encoded VRF Name] を探します。

    テナント

    テナントを選択します。

    1. [テナントの選択(Select Tenant)] をクリックします。[テナントの選択(Select Tenant)] ダイアログボックスが表示されます。

    2. [テナントの選択(Select Tenant)] ダイアログで、左側の列のテナントをクリックして選択し、

      アンマネージド(ブラウンフィールド)VPC に関連付けられているテナントを選択します。

    3. [選択(Select)]をクリックします。

      [VRF の作成(Create VRF)] ダイアログボックスに戻ります。

    説明

    VRF の説明を入力します。

  4. 作業が完了したら、[保存(Save)] をクリックします。

ステップ 3

Cisco Cloud APIC GUIで、[Intent] アイコン()をクリックします。

ウィンドウの右側に、何をしますかを尋ねるスライドイン ペインが表示されます。

ステップ 4

[アンマネージド VPC(Unmanaged VPC)] オプションをクリックします。

アンマネージド クラウド コンテキスト プロファイルを作成するためのセットアップ ウィザードが表示されます。
ステップ 5

[アンマネージド VPC の関連付け(Unmanaged VPC Association)] ウィンドウの [設定(Settings)] 領域で、[アンマネージド VPC(Unmanaged VPC)] フィールドの下の [アンマネージド VPC の選択(Select Unmanaged VPC)] をクリックします。

[アンマネージド VPC の選択(Select Unmanaged VPC)] ウィンドウが表示され、テナントを作成した AWS アカウントで AWS で使用可能なすべてのブラウンフィールド VPC(Cisco Cloud APIC によって管理されていない VPC)が表示されます。このウィンドウに入力される VPC のリストは、この AWS アカウントのインベントリ プルに基づいています。

(注)   

インベントリ プルが完了するまでに 8 ~ 10 分かかる場合があるため、ブラウンフィールド VPC がリストされていない場合は、インベントリ プルが完了するまで 8 ~ 10 分待ちます。
ステップ 6

インポートするアンマネージド VPC をリストから探し、アンマネージド クラウド コンテキスト プロファイルに関連付けます。

Cisco Cloud APIC GUI のこのウィンドウでは、このリストのアンマネージド VPC が [クラウドプロバイダー ID(Cloud Provider ID)] 列の形式で表示されます。

VPC_ID

AWS > {tenant} > {AWS_region}

Cisco Cloud APIC GUI ページの [名前(Name)] 列のブラウンフィールド VPC の名前。

https://console.aws.amazon.com/vpc/ にある Amazon VPC コンソールに移動し、AWS ページで管理されていない VPC を特定し、このブラウンフィールド VPC の [名前(Name)] および [VPC ID] フィールドを特定して、情報が GUI ページに表示される情報と一致していることを確認します。https://console.aws.amazon.com/vpc/Cisco Cloud APIC
ステップ 7

リストから適切なアンマネージド VPC をクリックします。

ウィンドウの右側のペインに、このアンマネージド VPC に関する追加情報が表示されます。
ステップ 8

[選択(Select)]をクリックします。

[アンマネージド VPC 関連付けのインポート(Import Unmanaged VPC Association)] のメイン ウィンドウに戻ります。

ステップ 9

[テナント(Tenant)] フィールドに、テナント エントリが自動的に入力されます。

リストからインポートするアンマネージド VPC を選択すると、対応するテナントがこのフィールドに自動的に入力されます。このアンマネージド クラウド コンテキスト プロファイルは、このテナントの下に作成されます。
ステップ 10

[VRF] フィールドで、このアンマネージド クラウド コンテキスト プロファイルに関連付ける VRF を選択します。

ステップ 11

[クラウド コンテキスト プロファイルの名前(Cloud Context Profile Name)] フィールドに、プロファイルの名前を入力します。

ステップ 12

[TGW アタッチメント(TGW Attachment)] フィールドで、[Enable] の横にあるボックスをクリックして、このアンマネージド クラウド コンテキスト プロファイルの AWS トランジット ゲートウェイを有効にします。

このフィールドを有効にすると、次の手順でハブ ネットワークとトランジット ゲートウェイ ルート テーブルの関連付けスコープを選択できます。これらのステップで行った選択に基づいて、ルート テーブルがインフラ トランジット ゲートウェイに作成されます。詳細については、ドキュメント「AWS トランジット ゲートウェイまたは AWS トランジット ゲートウェイ コネクトを使用した VPC 間の帯域幅の増加」を参照してください。
ステップ 13

[ハブ ネットワーク(Hub Network)] フィールドで、このクラウド コンテキスト プロファイルに関連付けるハブ ネットワークを選択します。

AWS トランジット ゲートウェイまたは AWS トランジット ゲートウェイ コネクトを最初にセットアップしたときに、このハブ ネットワークを作成しておく必要があります。ハブ ネットワークをまだ作成していない場合は、ドキュメント「AWS トランジット ゲートウェイまたは AWS トランジット ゲートウェイ コネクトを使用した VPC 間の帯域幅の増加」に記載されている手順を使用して、ハブ ネットワークを作成します。
ステップ 14

[TGW ルート テーブル 関連付けの範囲(TGW Route Table Association Scope)] フィールドで、次のオプションのいずれかを選択します。

次の選択はリリース 25.0(2) 以降の変更に基づき、AWS トランジット ゲートウェイの構成時に、デフォルトでトランジット ゲートウェイ ルート テーブルが VRF ごとに展開されます。この変更の一環として、トランジット ゲートウェイ ルート テーブルのラベルベースの展開も利用可能になり、新しいラベルごとに、そのラベルにちなんで名付けられた新しいトランジット ゲートウェイ ルート テーブルが展開されます。詳細については、ドキュメント「AWS トランジット ゲートウェイまたは AWS トランジット ゲートウェイ コネクトを使用した VPC 間の帯域幅の増加」の「トランジット ゲートウェイ外部ネットワーク」の項を参照してください。https://www.cisco.com/c/en/us/td/docs/switches/datacenter/aci/cloud-apic/5-x/use-case/increasing-bandwidth-using-aws-transit-gateway-or-aws-transit-gateway-connect.html

  • ネットワーク レベル:ネットワークまたは VRF レベルでトランジット ゲートウェイ ルート テーブルを展開する場合は、このオプションを選択します。

    [TGW ルート テーブル関連付けラベル(TGW Route Table Association Label)] フィールドでは、トランジット ゲートウェイ ルート テーブルの名前が次の形式を使用して自動的に入力されます。

    <tenantName>-<vrfName>

  • アカウント レベル:アカウントまたはテナント レベルでトランジット ゲートウェイ ルート テーブルを展開する場合は、このオプションを選択します。

    [TGW ルート テーブル関連付けラベル(TGW Route Table Association Label)] フィールドでは、トランジット ゲートウェイ ルート テーブルの名前が次の形式を使用して自動的に入力されます。

    <tenantName>

  • ラベル ベース:トランジット ゲートウェイ ルート テーブルの展開にカスタム ラベルを使用する場合は、このオプションを選択します。VPC は、このカスタム ラベルに基づいて展開されたトランジット ゲートウェイ ルート テーブルに関連付けられます。

    [カスタム ラベル(Custom Label)] 領域で [カスタム ラベルの選択(Select Custom Label)] をクリックし、トランジット ゲートウェイ ルート テーブルの展開に使用するカスタム ラベルを選択します。
ステップ 15

[インポートするリソース(Resources to Import)] 領域で、必要に応じて、このアンマネージド クラウド コンテキスト プロファイルにインポートするアンマネージド VPC 内で使用可能な追加の CIDR を選択します。

  • アンマネージド VPC のプライマリ CIDR ブロック範囲は自動的にインポートされ、プライマリ CIDR としてタグ付けされます。

  • [CIDR の追加(Add CIDR)] をクリックして、アンマネージド VPC 内に CIDR を追加します。この領域にリストされているすべての CIDR を選択するか、このアンマネージド クラウド コンテキスト プロファイルにインポートする特定の CIDR を選択できます。

[インポートするリソース(Resources to Import)] 領域に表示されるすべての CIDR について、対応するサブネットもインポートされます。

ステップ 16

[アンマネージド VPC 関連付けのインポート(Import Unmanaged VPC Association)] ウィンドウで [保存(Save)] をクリックして、このクラウド コンテキスト プロファイルを保存します。

[What's Next] ページが表示されます。

ステップ 17

ウィンドウの右下にある [クラウド コンテキスト プロファイルの詳細に移動(Go to Cloud Context Profile Details)] をクリックします。

先ほど作成したクラウド コンテキスト プロファイルの詳細画面が表示されます。

次の図は、読み取り専用フラグが有効になっており、関連付けられている VPC ID が設定されたアンマネージド クラウド コンテキスト プロファイルを示しています。
ステップ 18

Cisco Cloud APIC GUIの左側のナビゲーション バーで、[Application Management] > [VRF] をクリックします。

設定されている VRF リストが表示されます。
ステップ 19

ブラウンフィールド VPC のクラウド コンテキスト プロファイルに関連付けられるこれらの手順で以前に作成した VRF を特定し、その VRF をクリックします。

VRF がインポートされたブラウンフィールド VPC に関連付けられていることを確認します。

次のタスク

AWS でのアンマネージド VPC のトランジット ゲートウェイ アタッチメントの追加 で提供されている手順を使用して、アンマネージド(ブラウンフィールド)VPC と AWS のインフラ トランジット ゲートウェイの間に AWS トランジット ゲートウェイ アタッチメントを構成します。

REST API を使用したアンマネージド(ブラウンフィールド)クラウド コンテキスト プロファイルの作成

始める前に

これらの手順を実行する前に、アンマネージド(ブラウンフィールド)クラウド コンテキスト プロファイルの概要 に記載されている情報を確認してください。

手順

アンマネージド(ブラウンフィールド)のクラウド コンテキスト プロファイルを作成するには、以下を投稿します。

以下のエリアでは、アンマネージド クラウド コンテキスト プロファイルの作成に使用される行を示しています。

  • cloudRsCtxProfileToAccessPolicy 行は、クラウド コンテキスト プロファイルを読み取り専用に設定します(詳細については、読み取り専用アカウントの概要 を参照してください)。

  • cloudBrownfield および cloudIDMapping 行は、AWS クラウドのブラウンフィールド VPC の VPC ID を使用して、ブラウンフィールド VPC をインポートするために使用されます。

  • cloudRsCtxProfileToRegion 行は、VPC が AWS クラウドに存在するリージョンを指します。

  • cloudCidr の行は、AWS クラウドの CIDR と一致する 1 つ以上の CIDR(そのうちの 1 つがプライマリ CIDR)です。


POST https://<cloud-apic-ip-address>/api/mo/uni.xml
<fvTenant name=”unmanagedTenant1">
 <fvCtx name="vrf1" />
    <cloudCtxProfile name=”BrownfieldCtxProfile1">
        <cloudRsCtxProfileToAccessPolicy tDn="uni/tn-infra/accesspolicy-read-only"/>
        <cloudRsCtxProfileToRegion tDn="uni/clouddomp/provp-aws/region-us-west-1"/>
        <cloudRsToCtx tnFvCtxName="vrf1" />
        <cloudRsCtxProfileToGatewayRouterP tDn="uni/tn-infra/gwrouterp-default-foo" label="system=='vrf'"/>
        <cloudBrownfield status="">
            <cloudIDMapping cloudProviderId="vpc-0fe1afe17568417c8"/>
        </cloudBrownfield>
        <cloudCidr name="cidr1" addr="40.0.0.0/16" primary="yes" />
    </cloudCtxProfile>
</fvTenant>

次のタスク

ブラウンフィールド クラウド コンテキスト プロファイルに関連付けられた EPG の作成 に示す情報を使用して、ブラウンフィールド クラウド コンテキスト プロファイルに関連付ける EPG を作成します。

AWS でのアンマネージド VPC のトランジット ゲートウェイ アタッチメントの追加

このタスクでは、アンマネージド(ブラウンフィールド)VPC のトランジット ゲートウェイ アタッチメントについて で説明されているように、アンマネージド(ブラウンフィールド)VPC と AWS のインフラ トランジット ゲートウェイ間に AWS トランジット ゲートウェイ アタッチメントを構成します。

ブラウンフィールド VPC でできることとできないことCisco Cloud APIC および アンマネージド(ブラウンフィールド)VPC のトランジット ゲートウェイ アタッチメントについて で説明されているように、Cisco Cloud APIC はアンマネージド(ブラウンフィールド)VPC と AWS のインフラ トランジット ゲートウェイ間の AWS トランジット ゲートウェイ アタッチメントを構成しません。インフラ構成の一部として Cisco Cloud APIC によって作成された AWS トランジット ゲートウェイは、ブラウンフィールド AWS ユーザーアカウントと共有されますが、Cisco Cloud APIC にインポートしたブラウンフィールド VPC のすべての共有インフラトランジット ゲートウェイを使用して、トランジット ゲートウェイ VPC アタッチメントを手動で作成する必要があります。

始める前に

これらの手順を開始する前に、管理対象外(ブラウンフィールド)クラウド コンテキスト プロファイルの作成 の手順を実行してください。これらの手順の最後に、Cisco Cloud APIC はすべてのインフラ トランジット ゲートウェイを使用してトランジット ゲートウェイ VPC アタッチメントを構成します。

手順

ステップ 1

AWS ポータルで、[トランジット ゲートウェイ アタッチメント(Transit Gateway Attachments)] に移動します。

[トランジット ゲートウェイ アタッチメント(Transit Gateway Attachments)] ページが表示されます。

ステップ 2

[トランジット ゲートウェイ アタッチメントの作成(Create transit gateway attachment)] をクリックします。

[トランジット ゲートウェイ アタッチメントの作成(Create transit gateway attachment)] ページが表示されます。

ステップ 3

[詳細(Details)] 領域で、作成するトランジット ゲートウェイ アタッチメントに必要な情報を入力します。

  • [名前タグ(Name tag)] フィールドに、このトランジット ゲートウェイ アタッチメントの名前タグを入力します。

  • [トランジット ゲートウェイ ID(Transit gateway ID)] フィールドで、ブラウンフィールド ユーザー アカウントと共有されたグリーンフィールド VPC 構成の一部として作成された AWS トランジット ゲートウェイを選択します。

  • [アタッチメント タイプ(Attachment type)] フィールドで、[VPC] を選択します。

ステップ 4

[VPC アタッチメント(VPC Attachment)] エリアで、作成するトランジット ゲートウェイ アタッチメントに必要な情報を入力します。

  • [DNS サポート(DNS support)] フィールドは選択したままにし、[IPv6 サポート(IPv6 support)] フィールドは選択しないでください。

  • [VPC ID] フィールドで、ブラウンフィールド VPC ID を選択します。
ステップ 5

残りのフィールドのデフォルト エントリはそのままにして、[トランジット ゲートウェイ アタッチメントの作成(Create transit gateway attachment)] をクリックします。

次のタスク

ブラウンフィールド クラウド コンテキスト プロファイルに関連付けられた EPG の作成 に示す情報を使用して、ブラウンフィールド クラウド コンテキスト プロファイルに関連付ける EPG を作成します。

ブラウンフィールド クラウド コンテキスト プロファイルに関連付けられた EPG の作成

次のトピックでは、ブラウンフィールド クラウド コンテキスト プロファイルに関連付けられた EPG の作成について説明します。

EPG が VRF を通じたブラウンフィールド クラウド コンテキスト プロファイルと関連付けられている方法

EPG が VRF を介してブラウンフィールド クラウド コンテキスト プロファイルに関連付けられていることをよりよく理解するために、EPG が正常にマッピングされる方法と比較すると役立ちます。

  • 通常の EPG マッピング:通常、通常のクラウド EPG を定義する場合は、クラウド EPG を VRF に関連付けます。クラウド コンテキスト プロファイルも、このプロセスの一部として VRF に関連付けられます。したがって、EPG が定義されると、EPG はこの VRF に関連付けられたすべてのクラウド コンテキスト プロファイル(VPC)の下の適切なセキュリティ グループに変換され、AWS クラウドでセキュリティ グループ ルールに変換されます。

  • ブラウンフィールド クラウド コンテキスト プロファイルに関連付けられている EPG:アンマネージド(ブラウンフィールド)クラウド コンテキスト プロファイルが定義され、VRF に関連付けられている場合、およびこの同じ VRF に関連付けられている EPG を定義すると、この EPG はブラウンフィールド クラウド コンテキスト プロファイルと関連付けられた EPG と呼ばれます。ブラウンフィールド クラウド コンテキスト プロファイルに関連付けられた EPG を作成する理由は、グリーンフィールド VPC 上のセキュリティやルーティングなど、Cisco Cloud APIC のすべてのネットワーキングおよびセキュリティ構造をオーケストレーションして、ブラウンフィールド VPC への通信を可能にするためです。

たとえば、次の図の設定を考えます。

This image 504087_2.jpg is not available in preview/cisco.com

この設定では、ブラウンフィールド クラウド コンテキスト プロファイルに関連付けられた EPG を作成し、契約を作成する理由は、グリーンフィールド VPC 側のルーティングとセキュリティをプロビジョニングして、トラフィックがこのアンマネージド(ブラウンフィールド)VPC に到達できるようにするためです。

  • ルート テーブル エントリとセキュリティ グループ ルールのプログラミング、およびグリーンフィールド VPC(例の図の At 1)のトランジット ゲートウェイ アタッチメントの作成は、すべて Cisco Cloud APIC によって行われます。

  • ただし、ブラウンフィールド VPC の場合、Cisco Cloud APIC はルート テーブル エントリとセキュリティ グループ ルールをプログラムせず、Cisco Cloud APIC はブラウンフィールド VPC のトランジット ゲートウェイ アタッチメントを作成しません。したがって、ブラウンフィールド VPC に対してこれらの構成を手動で行う必要があります。

  • Cisco Cloud APIC グリーンフィールド VPC とブラウンフィールド VPC 間のルーティングを許可するように CSR をプログラムします。

この例の目標は、グリーンフィールド VPC のパケット フローが 40.40.10.0/24(セキュリティ グループ ルール)にパケットを送受信できるようにし、このサブネット宛てのトラフィックをインフラ トランジット ゲートウェイに送信して、CSR をブラウンフィールド VPC にパケットを送信します。これらはすべてコントラクトを使用して実現されます。

Cisco Cloud APIC は、ブラウンフィールド VPC 側のルート エントリまたはセキュリティ グループ ルールをプログラムしません。代わりに、Cisco Cloud APIC はコントラクトに基づいてブラウンフィールド VPC サブネットとの間でパケットを送受信するようにグリーンフィールド VPC 側のみをプログラムします。Cisco Cloud APICは、グリーンフィールド VPC とブラウンフィールド VPC の間でルーティングが発生するように CSR を適宜プログラムします。

そのため、ブラウンフィールド クラウド コンテキスト プロファイルに関連付けられた EPG を作成し、他のグリーンフィールド VPC がブラウンフィールド VPC との間でトラフィックを送受信できるようにします。

ブラウンフィールド クラウド コンテキスト プロファイルに関連付けられている EPG には、サブネットベースまたは正確な IP ベースのエンドポイントセレクタのみがあり、タグ ベースのエンドポイント セレクタはないことに注意してください。Cisco Cloud APIC はアンマネージド VPC に属するエンドポイントを認識しません。このため、Cisco Cloud APIC はアンマネージド(ブラウンフィールド)の VPC に属するタグベースのエンドポイントを認識しません。Cisco Cloud APIC がエンドポイントを検出できない場合、IP アドレスが見つからないため、グリーンフィールド VPC 側のセキュリティ ルールをプログラムして、ブラウンフィールド VPC 側との間でパケットを送受信することはできません。

ブラウンフィールド クラウド コンテキスト プロファイルに関連付けられた EPG を作成し、その EPG でサブネットベースまたは特定の IP ベースのエンドポイント セレクタを定義する理由は次のとおりです。

  • この EPG(ブラウンフィールド クラウド コンテキスト プロファイルに関連付けられている)から別の EPG(グリーンフィールド クラウド コンテキスト プロファイルに関連付けられている)へのコントラクトを作成すると、グリーンフィールド VPC 側のルート テーブルにあるアンマネージド VPC CIDR へのルート エントリのプログラミングが実行されます。

  • これにより、グリーンフィールド VPC 側のすべてのセキュリティ グループ ルールがプログラミングされ、EPG のエンドポイント セレクタで定義されたこれらのサブネットとの間でパケットを送受信できるようになります。

  • EPG がタグベースのエンドポイント セレクタで設定され、ブラウンフィールド クラウド コンテキスト プロファイルに関連付けられている場合は、この EPG を使用できないというエラーが発生します。

GUI を使用したブラウンフィールド クラウド コンテキスト プロファイルと関連付けられた EPG の作成

このトピックでは、ブラウンフィールド クラウド コンテキスト プロファイルに関連付けられた EPG を作成します。これを行う必要がある理由については、EPG が VRF を通じたブラウンフィールド クラウド コンテキスト プロファイルと関連付けられている方法 を参照してください。

始める前に

次の手順を実行する前に、次の手順を実行する前に、必要なすべての設定が完了していることを確認します。

手順

ステップ 1

インテント アイコンをクリックします。

[インテント(Intent)] メニューが表示されます。

ステップ 2

[インテント(Intent)]検索ボックスの下にあるドロップダウン矢印をクリックし、[アプリケーション管理(Application Management)] を選択します。

[アプリケーション管理(Application Management)] オプションのリストが [インテント(Intent)] メニューに表示されます。

ステップ 3

[インテント(Intent)] メニューの [アプリケーション管理(Application Management)] リストで、[EPG の作成(Create EPG)] をクリックします。

[EPG の作成(Create EPG)] ダイアログ ボックスが表示されます。

ステップ 4

EPGに必要な一般設定を入力します。

表 2. [EPG の作成(Create EPG)] ダイアログボックスのフィールド

[プロパティ(Properties)]

説明

全般

名前

ブラウンフィールド クラウド コンテキスト プロファイルに関連付けられた EPG の名前を入力します。

テナント

テナントを選択します。

  1. [テナントの選択(Select Tenant)] をクリックします。[テナントの選択(Select Tenant)] ダイアログボックスが表示されます。

  2. [テナントの選択(Select Tenant)] ダイアログで、左側の列のテナントをクリックして選択します。

    アンマネージド(ブラウンフィールド)VPC に関連付けられているテナントを選択します。

  3. [選択(Select)]をクリックします。[EPG の作成(Create EPG)] ダイアログボックスに戻ります。

アプリケーション プロファイル

アプリケーション プロファイルを選択します。

  1. [アプリケーション プロファイルの選択(Select Application Profile)]をクリックします。[アプリケーション プロファイルの選択(Select Application Profile)] ダイアログ ボックスが表示されます。

  2. [アプリケーション プロファイルの選択(Select Application Profile)] ダイアログで、左側の列のアプリケーション プロファイルをクリックして選択します。

  3. [選択(Select)]をクリックします。[EPG の作成(Create EPG)] ダイアログボックスに戻ります。

説明

EPG の説明を入力します。

[設定(Settings)]

タイプ(Type)

EPG タイプとして [アプリケーション(Application)] を選択します。

VRF

VRF を選択するには、次の手順を実行します。

  1. [VRF の選択(Select VRF)] をクリックします。[VRF の選択(Select VRF)] ダイアログボックスが表示されます。

  2. [VRFの選択(Select VRF)] ダイアログで、左側の列の VRF をクリックして選択します。

    ブラウンフィールド クラウド コンテキスト プロファイルに関連付けられている VRF を選択します。

  3. [選択(Select)]をクリックします。[EPG の作成(Create EPG)] ダイアログボックスに戻ります。

ルート到達可能性

ルートの到達可能性に対して選択されたデフォルトの [インターネット(Internet)] オプションをそのままにします。

エンドポイントセレクタ

AWS ブラウンフィールド サイトに対応するサブネットベースまたは特定の IP ベースのエンドポイント セレクタを定義します。

詳細については、「EPG が VRF を通じたブラウンフィールド クラウド コンテキスト プロファイルと関連付けられている方法」を参照してください。

  1. [エンドポイント セレクタの追加(Add Endpoint Selector)] をクリックして、エンドポイント セレクタを追加します。

  2. [名前(Name)] フィールドに名前を入力します。

  3. [一致表現(Match Expressions)] 領域に次の情報を入力します。

    • キーIP を選択します。

      演算子: equals (==) を選択します。

    • :適切なサブネット ベースまたは特定の IP ベースの IP エンドポイントを入力します。

      たとえば、これは、Cloud APICにインポートするブラウンフィールド VPC のリソース グループ内の仮想マシンの [プライベート IP アドレス(Private IP address)] です。

  4. この一致表現でこれらの値を受け入れるには、チェックマークをクリックします。

  5. [追加(Add)] をクリックして、このエンドポイント セレクタを追加します。

  6. 必要に応じて、[エンドポイント セレクタの追加(Add Endpoint Selector)] を再度クリックして、エンドポイント セレクタを追加します。

ステップ 5

この EPG を保存するには、[保存(Save)] をクリックします。

次のタスク

GUI を使用した EPG 間のコントラクトの作成 に示す手順を使用して、EPG 間のコントラクトを設定します。

GUI を使用した EPG 間のコントラクトの作成

このトピックでは、ブラウンフィールド クラウド コンテキスト プロファイルに関連付けられた EPG からグリーンフィールド クラウド コンテキスト プロファイルに関連付けられた外部 EPG に使用されるコントラクトを作成します。これは、グリーンフィールド VPC 側のルート テーブル内のアンマネージド VPC CIDR へのルート エントリのプログラミングを実行するために行われます。これにより、グリーンフィールド VPC 側のすべてのセキュリティ グループ ルールがプログラミングされ、EPG のエンドポイント セレクタで定義されたこれらのサブネットとの間でパケットを送受信できるようになります。

始める前に

GUI を使用したブラウンフィールド クラウド コンテキスト プロファイルと関連付けられた EPG の作成 の手順に従って、ブラウンフィールド クラウド コンテキスト プロファイルに関連付けられた外部 EPG を作成します。

手順

ステップ 1

インテント アイコンをクリックします。[インテント(Intent)] メニューが表示されます。

ステップ 2

[インテント(Intent)]検索ボックスの下にあるドロップダウン矢印をクリックし、[アプリケーション管理(Application Management)] を選択します。

[アプリケーション管理(Application Management)] オプションのリストが [インテント(Intent)] メニューに表示されます。

ステップ 3

[インテント(Intent)] メニューの [アプリケーション管理(Application Management)] リストで、[コントラクトの作成(Create Contract)] をクリックします。[コントラクトの作成(Create Contract)] ダイアログ ボックスが表示されます。

ステップ 4

次の [コントラクト ダイアログ ボックス フィールドの作成(Create Contract Dialog Box Fields)] テーブルにリストされているように、各フィールドに適切な値を入力して続行します。

表 3. [コントラクトの作成(Create Contract)] ダイアログボックスのフィールド

[プロパティ(Properties)]

説明

名前(Name)

契約の名前を入力します。

テナント

テナントを選択します。

  1. [テナントの選択(Select Tenant)] をクリックします。[テナントの選択(Select Tenant)] ダイアログボックスが表示されます。

  2. [テナントの選択(Select Tenant)] ダイアログで、左側の列のテナントをクリックして選択します。

    アンマネージド(ブラウンフィールド)VPC に関連付けられているテナントを選択します。

  3. [選択(Select)]をクリックします。[コントラクトの作成(Create Contract)] ダイアログボックスに戻ります。

説明

コントラクトの説明を入力してください。

[設定(Settings)]

スコープ

テナントの適切なスコープを選択します。

  • 1 つのテナントの EPG が別のテナントの EPG と通信できるようにするには、[グローバル(Global)] スコープを選択します。

  • 1 つの VRF の EPG が別の VRF の別の EPG と通信できるようにするには、[グローバル(Global)] または [テナント(Tenant)] スコープを選択します。

フィルタの追加

フィルタを選択します。

  1. [フィルタの追加(Add Filter)] をクリックします。フィルタ行が表示され、[フィルタの選択(Select Filter)] オプションが表示されます。

  2. [フィルタの選択(Select Filter)] をクリックします。[フィルタの選択(Select Filter)] ダイアログボックスが表示されます。

  3. [フィルタの選択(Select Filter)] ダイアログで、左側の列のフィルタをクリックして選択し、[選択(Select)] をクリックするか、または必要に応じて [フィルタの作成(Create Filter)] をクリックして新しいフィルタを作成します。

    フィルタの詳細については、 『Cloud APIC for AWS Users Guide』を参照してください。

    [コントラクトの作成(Create Contract)] ダイアログボックスに戻ります。

ステップ 5

設定が終わったら [Save] をクリックします。

[次は(What's Next)] ウィンドウが表示されます。

ステップ 6

ウィンドウの右下隅にある [詳細に移動(Go to Details)] をクリックします。

コントラクトの詳細ウィンドウが表示されます。
ステップ 7

[アクション(Actions)] > [EPG 通信(EPG Communication)] をクリックします。 >

[EPG 通信設定(EPG Communication Configuration)] ウィンドウが表示されます。

ステップ 8

左側の [コンシューマー EPG(Consumer EPGs)] 領域で、[コンシューマー EPG の追加(Add Consumer EPGs)] をクリックします。

[コンシューマー EPG の選択(Select Consumer EPGs)] ウィンドウが表示されます。

ステップ 9

グリーンフィールドとブラウンフィールド クラウド コンテキスト プロファイルに関連付けられている EPG を選択し、[選択(Select)] をクリックします。

次に例を示します。

次に、[コンシューマー EPG の選択(Select Consumer EPGs)] ウィンドウで epg1(グリーンフィールド EPG)と epg2(ブラウンフィールド EPG)の両方を選択します。
ステップ 10

[選択(Select)]をクリックします。

[EPG 通信設定(EPG Communication Configuration)] ウィンドウに戻ります。

ステップ 11

右側の [プロバイダー EPG(Provider EPGs)] 領域で、[プロバイダー EPG の追加(Add Provider EPGs)] をクリックします。

[プロバイダー EPG の選択(Select Provider EPGs)] ウィンドウが表示されます。

ステップ 12

再度、グリーンフィールドとブラウンフィールド クラウド コンテキスト プロファイルに関連付けられている EPG を選択します。

コンシューマー EPG の手順で提供されている例を使用して、[プロバイダー EPG の選択(Select Provider EPGs)] ウィンドウで同じ EPG(グリーンフィールド EPG epg1 およびブラウンフィールド EPG epg2)を選択します。
ステップ 13

[選択(Select)]をクリックします。

[EPG 通信設定(EPG Communication Configuration)] ウィンドウに戻ります。

ステップ 14

[保存(Save)] をクリックします。

次のタスク

AWS でのブラウンフィールド VPC の残りの構成の完了 の手順に従って、AWS の残りの設定タスクを完了します。

REST API を使用してブラウンフィールド クラウド コンテキスト プロファイルと関連付けられた EPG の作成

手順

ブラウンフィールド VPC のクラウド EPG を作成します。

クラウド EPG を作成して、オンプレミス サイトまたは別のクラウド サイトがこのアンマネージド ブラウンフィールド VPC とトラフィックを送受信できるようにします。

(注)   

これらのブラウンフィールド クラウド EPG のエンドポイント セレクタは、タグ ベースではなく、サブネット ベースまたは IP ベースである必要があります。

 

<fvTenant name=”unmanagedTenant1">
 <fvCtx name="vrf1" />
    <cloudCtxProfile name=”BrownfieldCtxProfile1">
        <cloudRsCtxProfileToAccessPolicy tDn="uni/tn-infra/accesspolicy-read-only"/>
        <cloudRsCtxProfileToRegion tDn="uni/clouddomp/provp-aws/region-us-west-1"/>
        <cloudRsToCtx tnFvCtxName="vrf1" />
        <cloudRsCtxProfileToGatewayRouterP tDn="uni/tn-infra/gwrouterp-default-foo" label="system=='vrf'"/>
        <cloudBrownfield status="">
            <cloudIDMapping cloudProviderId="vpc-0fe1afe17568417c8"/>
        </cloudBrownfield>
        <cloudCidr name="cidr1" addr="40.0.0.0/16" primary="yes" />
    </cloudCtxProfile>
</fvTenant>

この例では、次のポストに示すように、EPG が VRF vrf1 を介してブラウンフィールド クラウド コンテキスト プロファイルに関連付けられていることに注意してください。


<fvTenant name=”unmanagedTenant1">
    <fvCtx name="vrf1" />
    <cloudApp name="ap3">
        <cloudEPg name="epg3">
            <cloudRsCloudEPgCtx tnFvCtxName="vrf1"/>
            <fvRsProv tnVzBrCPName="contract4"/>
            <cloudEPSelector name="EP_SEL1" matchExpression="IP=='40.0.0.0/24'" status=""/>
        </cloudEPg>
    </cloudApp>
</fvTenant>

AWS でのブラウンフィールド VPC の残りの構成の完了

次の手順では、AWS の残りの構成を完了します。次のセクションでは、AWS でこれらの残りの構成を完了するための一般的な手順と構成例を示しますが、構成が異なる場合があることに注意してください。

始める前に

次の手順を実行する前に、次の手順を実行する前に、必要なすべての設定が完了していることを確認します。

手順

ステップ 1

AWS ポータルで、[ルート テーブル(Route Talbes)] ページに移動します。

[ルート テーブル(Route tables)] ページが表示され、構成済みのルート テーブルがすべて表示されます。
ステップ 2

ブラウンフィールド VPC 用に作成された 2 つのルート テーブルを見つけます。

VPC 列でブラウンフィールド VPC の VPC ID を持つエントリを探し、ブラウンフィールド VPC 用に作成された 2 つのルート テーブルを見つけます。

たとえば、ブラウンフィールド VPC の VPC ID が ...a807 で終わることがわかっている場合は、次の図に示すように、[VPC] 列でその VPC ID を持つ 2 つのルート テーブルを見つけます。

ステップ 3

2 つのルート テーブルのどちらがサブネットのルート テーブルであるかを判別します。

ルートを編集するには、サブネット ルート テーブルを選択する必要があります。サブネット ルート テーブルは、次の識別子を使用して見つけることができます。

  • 明示的なサブネット関連付け の列には、サブネット のエントリがあります。

  • メイン 列には No というエントリがあります。

ステップ 4

サブネットのルート テーブルの横にあるボックスをクリックしてブラウンフィールド ルート テーブルを選択し、[ルートの編集(Edit routes)] をクリックします。

[ルートの編集(Edit routes)] ウィンドウが表示されます。

ステップ 5

[ルートを追加(Add routes)] をクリックします。

追加ルートの新しい行が表示されます。
ステップ 6

[宛先(Destination)] フィールドに、トランジット ゲートウェイの CIDR を入力します。

ステップ 7

[ターゲット(Target)] フィールドで、[トランジット ゲートウェイ(Transit Gateway)] を選択します。

前に作成したトランジット ゲートウェイ アタッチメントが自動的に読み込まれます。これは、ブラウンフィールド(アンマネージド)VPC とインフラストラクチャ トランジット ゲートウェイの間で、プロセスの一部として作成されたトランジット ゲートウェイ アタッチメントです。Cisco Cloud APIC管理対象外(ブラウンフィールド)クラウド コンテキスト プロファイルの作成
ステップ 8

[変更の保存(Save Changes)] をクリックします。

このルート テーブルの詳細ウィンドウが表示されます。
ステップ 9

トランジット ゲートウェイを介して新しいルートが使用可能であることを確認します。

  1. AWS ポータルで、[トランジット ゲートウェイ ルート テーブル(Transit Gateway Route Tables)] ページに移動します。

    [トランジット ゲートウェイ ルート テーブル(Transit gateway route tables)] ページが表示され、トランジット ゲートウェイ用に構成されたすべてのルート テーブルが表示されます。ルート テーブルのうち 2 つは 2 つの VRF に関連付ける必要があります。一方のルート テーブルはグリーンフィールド VPC の VRF に関連付けられ、もう一方のルート テーブルはブラウンフィールド VPC の VRF に関連付けられます。

  2. これら 2 つの VRF 関連ルート テーブルの最初の左側にあるボックスをクリックします。

    このルート テーブルの詳細ペインが表示されます。

  3. [ルート(Routes)] タブをクリックし、使用したエントリと一致する CIDR 列のエントリが、[ルート状態(Route state)] 列のアクティブ状態で表示されていることを確認します。ステップ 6

  4. 2 つの VRF 関連のルート テーブルの 2 番目についてこれらの手順を繰り返し、CIDR 列の同じエントリが、2 番目の VRF 関連のルート テーブルの [ルート状態(Route state)] 列のアクティブ状態で表示されることを確認します。
ステップ 10

ブラウンフィールド VPC のセキュリティ グループ ルール プログラミングを構成します。

Cisco Cloud APIC は、ブラウンフィールド VPC のセキュリティ グループ ルール プログラミングを構成しないため、AWS ポータルから手動でこれらの構成を行う必要があります。

ブラウンフィールド VPC のセキュリティ グループ ルール プログラミングの構成に使用できる情報については、次の AWS の記事を参照してください。

VPC のセキュリティ グループ

以下は、ブラウンフィールド VPC のセキュリティ グループ ルール プログラミングを構成する方法を示す構成例で、新しいエンドポイントを生成したり、既存のエンドポイントにセキュリティ グループを適用したりできます。

たとえば、新しいエンドポイントを生成する場合:

  1. AWS ポータルで、[インスタンスの起動ウィザード(Launch Instance Wizard)] を見つけて起動します。

  2. [インスタンスの詳細の構成(Configure Instance Details)] ウィンドウが表示されるまで、[インスタンスの起動ウィザード(Launch Instance Wizard)] の [AMI の選択(Choose AMI)] ウィンドウと [インスタンス タイプの選択(Choose Instance Type)] ウィンドウをナビゲートします。

  3. [インスタンスの詳細の構成(Configure Instance Details)] ウィンドウの [ネットワーク(Network)] フィールドで、ブラウンフィールド VPC を選択します。

  4. セットアップに基づいて [インスタンスの詳細の構成(Configure Instance Details)] の残りの構成を完了し、[次へ:ストレージの追加(Next: Add Storage)] をクリックします。

  5. [セキュリティ グループの構成(Configure Security Group)] ウィンドウが表示されるまで、[ストレージの追加(Add Storage)] および [タグの追加(Add Tags)] ウィンドウの画面をナビゲートします。

  6. [セキュリティ グループの構成(Configure Security Group)] ウィンドウでセキュリティ グループ ルールを手動で追加します。

    [ルールの追加(Add Rule)] をクリックして、セットアップに適切なセキュリティ グループ ルールを追加します。

    [インバウンド ルール(Inbound rules)] には、グリーンフィールド CIDR が含まれます。

  7. セキュリティ グループ ルールの追加が完了したら、[確認して起動(Review and Launch)] をクリックします。

  8. [レビューと起動(Review and Launch)] ウィンドウで情報を確認し、[起動(Launch)] をクリックします。

    構成したセキュリティ グループ ルールに基づいて、残りの構成を完了します。

別の例として、既存のエンドポイントがあるとします。

  1. AWS ポータルの [ネットワークとセキュリティ(Network & Security)] で、[セキュリティ グループ(Security Groups)] を見つけてクリックします。

  2. [セキュリティグループの作成(Create security group)] をクリックします。

  3. [セキュリティ グループの作成(Create security group)] ウィンドウで必要な情報を入力します。

    • [VPC] フィールドで、ブラウンフィールド VPC を選択します。

    • このウィンドウの [インバウンド ルール(Inbound rules)] および [アウトバウンド ルール(Outbound rules)] 領域の下にある [ルールの追加(Add Rule)] をクリックして、セットアップに適切なセキュリティ グループ ルールを追加します。

      [インバウンド ルール(Inbound rules)] には、グリーンフィールド CIDR が含まれます。

  4. 必要なセキュリティ グループ ルールの追加が完了したら、ページの下部にある [セキュリティ グループの作成(Create security group)] をクリックします。

  5. [インスタンス(Instances)] ページに移動します。

  6. エンドポイントを選択し、[アクション(Actions)]、[セキュリティ(Actions)]、[セキュリティ グループの変更(Change security groups)] の順にクリックします。 > >

  7. [セキュリティ グループの変更(Change security groups)] ウィンドウで、作成したセキュリティ グループを追加し、[保存(Save)] をクリックします。