Virtual Machine Manager のドメイン

この章は、次の内容で構成されています。

Cisco ACI の VM ネットワーキングによる Virtual Machine Manager のサポート

ACI VM ネットワー キングの利点

Cisco Application Centric Infrastructure(ACI)稼働マシン(VM)ネットワーキングは、複数のベンダーからハイパーバイザをサポートします。ハイパーバイザに対し、高パフォーマンスでスケーラブルな仮想データセンター インフラストラクチャへのプログラム可能で自動化されたアクセスを提供します。

プログラム可能性と自動化は、スケーラブルなデータ センター仮想化インフラストラクチャにおける重要な機能です。Cisco ACI オープン REST API により、ポリシー モデル ベースの Cisco ACI ファブリックとの仮想マシンの統合およびオーケストレーションが可能になります。Cisco ACI VM ネットワーキングでは、複数のベンダーからハイパーバイザにより管理されている仮想および物理ワークロードの両方でのポリシーの一貫した適用を可能にします。

接続可能なエンティティ プロファイルにより、VM のモビリティと、Cisco ACI ファブリック内の任意の場所にワークロードを簡単に配置できます。Cisco Application Policy Infrastructure Controller(APIC)は、一元化されたトラブルシューティング、アプリケーション ヘルス スコア、および仮想化モニタリングを提供します。Cisco ACI マルチハイパーバイザ VM 自動化により、手動構成と手動エラーが削減または排除されます。これにより、仮想化データセンターが多数の VM を信頼性が高く、コスト効率の優れた方法でサポートすることが可能になります。

サポートされている製品とベンダー

Cisco ACI は、次の製品およびベンダーの virtual machine managers(VMM)をサポートします。

  • Cisco Unified Computing System Manager(UCSM)

    Cisco UCSM の統合は、Cisco Cisco APIC リリース 4.1(1) 以降でサポートされています。詳細については、『Cisco ACI 仮想化ガイド、リリース 4.1(1)』の「Cisco ACI と Cisco UCSM の統合」の章を参照してください。

  • Cisco Application Centric Infrastructure (ACI) 仮想ポッド (vPod)

    Cisco ACI vPod は、Cisco APIC リリース 4.0(2) 以降で一般に利用可能です。詳細については、Cisco.com で Cisco ACI vPod のマニュアルを参照してください。

  • Cloud Foundry

    Cloud Foundry と Cisco ACI との統合は、Cisco APIC リリース 3.1(2) 以降でサポートされています。詳細については、Cisco.com のナレッジ ベース記事「Cisco ACI と Cloud Found 統合」を参照してください。

  • Kubernetes

    詳細については、Cisco.com の ナレッジ ベースの記事、 『Cisco ACI と Kubernetes の統合』を参照してください。

  • Microsoft System Center Virtual Machine Manager(SCVMM)

    詳細については、Cisco.com の『Cisco ACI 仮想化ガイド』の「Microsoft SCVMM を搭載した Cisco ACI」および「Microsoft Windows Azure Pack を搭載した Cisco ACI」の章を参照してください。

  • OpenShift

    詳細については、Cisco.com の OpenShift のマニュアルを参照してください。

  • Openstack

    詳細については、Cisco.com の OpenStack のマニュアルを参照してください。

  • Red Hat 仮想化 (RHV)

    詳細については、Cisco.com のナレッジ ベースの記事、 『Cisco ACI および Red Hat の統合』を参照してください。

  • VMware 仮想分散スイッチ(VDS)

    詳細については、『Cisco ACI 仮想化ガイド』の「Cisco "ACI と VMware VDSの統合」の章を参照してください。

検証済みの相互運用可能な製品の最新のリストについては、『Cisco ACI Virtualization Compatibility Matrix』を参照してください)。

VMM ドメイン ポリシー モデル

VMM ドメイン プロファイル(vmmDomP)は、仮想マシン コントローラが ACI ファブリックに接続できるようにする接続ポリシーを指定します。次の図は、vmmDomP ポリシーの概要を示しています。
図 1. VMM ドメイン ポリシー モデルの概要


Virtual Machine Manager ドメインの主要コンポーネント

ACI ファブリック Virtual Machine Manager(VMM)ドメインにより、管理者は仮想マシン コントローラの接続ポリシーを設定できます。ACI VMM ドメイン ポリシーの基本的なコンポーネントは次のとおりです。

  • Virtual Machine Manager ドメイン プロファイル:同様のネットワーキング ポリシー要件を持つ VM コントローラをグループ化します。たとえば、VM コントローラは VLAN プールとアプリケーション エンドポイント グループ(EPG)を共有できます。APIC はコントローラと通信し、のちに仮想ワークロードに適用されるポート グループなどのネットワーク設定を公開します。VMM ドメイン プロファイルには、次の基本コンポーネントが含まれます。

    • クレデンシャル:有効な VM コントローラ ユーザ クレデンシャルを APIC VMM ドメインと関連付けます。

    • コントローラ:ポリシーの適用ドメインの一部である VM コントローラへの接続方法を指定します。たとえば、コントローラは VMM ドメインの一部である VMware vCenter への接続を指定します。


    (注)  
    1 つのドメインに VM コントローラの複数のインスタンスを含めることができますが、それらは同じベンダーのものである必要があります(VMware または Microsoft など)。

  • EPG の関連付け:エンドポイント グループにより、エンドポイント間の接続と可視性が VMM ドメイン ポリシーの範囲内に規制されます。VMM ドメイン EPG は次のように動作します。

    • APIC は、これらの EPG をポート グループとして VM コントローラにプッシュします。

    • 1 つの EPG は、複数の VMM ドメインをカバーでき、1 つの VMM ドメインには複数の EPG を含めることができます。

  • 接続可能エンティティ プロファイルの関連付け:VMM ドメインを物理ネットワーク インフラストラクチャと関連付けます。接続可能エンティティ プロファイル(AEP)は、多数のリーフ スイッチ ポートで VM コントローラ ポリシーを展開するための、ネットワーク インターフェイス テンプレートです。AEP は、使用できるスイッチやポートおよびその設定方法を指定します。

  • VLAN プールの関連付け:VLAN プールは、VMM ドメインが消費する VLAN カプセル化に使用する VLAN ID または範囲を指定します。

Virtual Machine Manager のドメイン

APIC VMM ドメイン プロファイルは、VMM ドメインを定義するポリシーです。VMM ドメイン ポリシーは APIC で作成され、リーフ スイッチにプッシュされます。

VMM ドメインは以下を提供します。

  • 複数の VM コントローラ プラットフォームに対してスケーラブルな耐障害性サポートを可能にする、ACI ファブリックの共通レイヤ

  • ACI ファブリック内の複数のテナントに対する VMM サポート

VMM ドメインには、VMware vCenter や Microsoft SCVMM Manager などの VM コントローラと、VM コントローラと対話するための ACI API に必要なクレデンシャルが含まれます。VMM ドメインはドメイン内の VM モビリティを実現できますが、ドメイン間は実現できません。単一の VMM ドメイン コントローラに VM コントローラの複数のインスタンスを含めることはできますが、同じタイプである必要があります。たとえば、1 つの VMM ドメインに、それぞれが複数の VM を実行する複数のコントローラを管理する多くの VMware vCenter を含めることができますが、SCVMM Manager も含めることはできません。VMM ドメインはコントローラ要素(pNIC、vNIC、VM 名など)をインベントリに含め、コントローラにポリシーをプッシュして、ポート グループなどの必要な要素を作成します。ACI VMM ドメインは VM モビリティなどのコントローラ イベントを監視し、状況に応じて応答します。

VMM ドメイン VLAN プールの関連付け

VLAN プールは、トラフィック VLAN ID のブロックを表します。VLAN プールは共有リソースで、VMM ドメインおよびレイヤ 4 ~レイヤ 7 のサービスなど、複数のドメインで使用できます。

各プールには、作成時に定義された割り当てタイプ(静的または動的)があります。割り当てタイプによって、含まれる ID が Cisco APIC で自動割り当てに使用されるか(動的)、管理者によって明示的に設定されるか(静的)が決まります。デフォルトでは、VLAN プールに含まれるすべてのブロックの割り当てタイプはプールと同じですが、ユーザは動的プールに含まれるカプセル化ブロックの割り当てタイプを静的に、また、静的プールに含まれるカプセル化ブロックの割り当てタイプを動的に変更できます。静的割り当てタイプのブロックからのエントリは、動的割り当てから除外されます。

VMM ドメインは、1 つの動的 VLAN プールにのみ関連付けることができます。APIC リリース 6.0(4) 以降、VMware vDS の VMM ドメインは、動的 VLAN プールの代わりに静的 VLAN プールを関連付けることができます。ただし、静的 VLAN プールは、他のタイプの VMM ドメインではサポートされません。デフォルトでは、VMM ドメインに関連付けられた EPG への VLAN ID の割り当ては、Cisco APIC によって動的に行われます。動的割り当てはデフォルトの推奨設定ですが、管理者は代わりにエンドポイント グループ(EPG)に VLAN 識別子を静的に割り当てることができます。この場合、使用する識別子は、VLAN プールの静的割り当てタイプのカプセル化ブロックから選択する必要があります。

物理ワークロードから VM(既存の VLAN プールを使用)に移行する場合は、VMM ドメインが、物理ドメインで使用されているのと同じ VLAN プールを参照するようにすることをお勧めします。レイヤ 4 ~ レイヤ 7 デバイスの場合、デバイスが VMM ドメインを参照している場合、VMM ドメインは動的 VLAN プールを参照する必要があります。

Cisco APIC は、リーフ ポート上の VMM ドメイン VLAN を EPG イベントに基づいてプロビジョニングします(リーフ ポート上の静的バインドまたは VMware vCenter や Microsoft SCVMM などのコントローラからの VM イベントに基づいて)。


(注)  
動的 VLAN プールでは、VLAN と EPG の関連付けが解除されると、5 分以内に自動的に EPG に再関連付けされます。

(注)  

動的 VLAN 関連付けは構成ロールバックの一部ではありません。つまり、EPG またはテナントが最初に削除され、バックアップから復元された場合、動的 VLAN プールから新しい VLAN が自動的に割り当てられます。

VMM ドメイン EPG の関連付け

Cisco Application Centric Infrastructure(ACI)ファブリックは、テナント アプリケーション プロファイル エンドポイント グループ(EPG)を仮想マシン マネージャ(VMM)ドメインに関連付けます。Cisco ACI では、Microsoft Azure などのオーケストレーション コンポーネントによって自動的に、またはそのような構成を作成する Cisco Application Policy Infrastructure Controller(APIC)管理者によって行われます。1 つの EPG は、複数の VMM ドメインをカバーでき、1 つの VMM ドメインには複数の EPG を含めることができます。

図 2. VMM ドメイン EPG の関連付け


前の図では、同じ色のエンド ポイント(EP)が同じ EPG の一部です。たとえば、2 つの異なる VMM ドメインにあるにもかかわらず、すべての緑の EP は同じ EPG にあります。

仮想ネットワークおよび VMM ドメイン EPG の容量情報については、最新の『Cisco ACI の検証済みスケーラビリティ ガイド』を参照してください。

図 3. VMM ドメイン EPG VLAN の消費



(注)  

VLAN ID 範囲が重複している複数の VMM ドメインが同じリーフ スイッチに接続されている場合、それらのドメインは同じ VLAN プールを使用する必要があります。同じ VLAN プールを使用すると、 Cisco APIC はドメインと EPG の関連付けごとに異なる VLAN ID を選択できます。そうしないと、 Cisco APIC は、別のドメインと EPG の関連付けのためにスイッチですでに使用されている VLAN ID を選択する可能性があり、これにより VLAN の展開が失敗します。

VLAN ID 範囲が重複する複数の VMM ドメインが同じリーフ スイッチに接続され、それらのドメインが同じ VLAN プールを使用する場合、複数の VMM ドメインを同じ EPG に関連付けることができます。ただし、各ドメインと EPG の関連付けでは、VLAN が同じ EPG 用となり、同じポート上のものとなる可能性があります。それでもそれぞれ異なる VLAN ID を展開します。この方法で VLAN ID を使用することが要件に最適でない場合は、複数の VMM ドメインを使用する代わりに、複数の VMM コントローラで同じ VMM ドメインを使用できます。

EPG は複数の VMM ドメインを次のように使用できます。

  • カプセル化 ID を使用して VMM ドメイン内の EPG が識別されます。Cisco APIC は自動的に ID を管理したり、管理者が静的に選択したりできます。一例は、VLAN、仮想ネットワーク ID(VNID)です。

  • EPG は複数の物理ドメイン(baremetal サーバの場合)または仮想ドメインにマッピングできます。各ドメインで異なる VLAN または VNID カプセル化を使用できます。


(注)  
デフォルトでは、Cisco APIC は EPG の VLAN の割り当てを動的に管理します。VMware DVS 管理者は、EPG に対して特定の VLAN を設定できます。その場合、VLAN は、VMM ドメインに関連付けられているプール内の静的割り当てブロックから選択されます。

アプリケーションは、複数の VMM ドメインに導入できます。

図 4. ファブリック内の複数の VMM ドメインと EPG の増大


VMM ドメイン内の VM のライブ マイグレーションがサポートされていても、VMM ドメイン間の VM のライブ マイグレーションはサポートされません。


(注)  
VMM ドメインが関連付けられている EPG にリンクされているブリッジ ドメインで VRF を変更すると、ポート グループが削除され、vCenter に再び追加されます。これにより、EPG が VMM ドメインから展開解除されます。これは想定されている動作です。

トランク ポート グループ

トランク ポート グループを使用して、VMware virtual machine manager (VMM) ドメインのエンドポイント グループ (EPG) のトラフィックを集約します。Cisco Application Policy Infrastructure Controller (APIC) GUI の [テナント (Tenant)] タブで設定されている通常のポート グループとは異なり、[VM ネットワーキング (VM Networking)] タブでトランク ポート グループが設定されます。通常のポート グループは、EPG 名の T|A|E 形式に従います。

同じドメインの EPG の集約は、トランク ポート グループに含まれるカプセル化ブロックとして指定された VLAN の範囲に基づきます。EPG のカプセル化を変更するか、またはトランク ポート グループのカプセル化ブロックを変更した場合は、EGP を集約する必要があるかどうかを判別するために、集約が再評価されます。

トランク ポート グループは、集約される EPG に割り当てられた VLAN などのネットワーク リソースのリーフ展開を制御します。EPG には、ベース EPG とマイクロセグメント (uSeg) EPG の両方が含まれています。uSeg EPG の場合、トランク ポート グループの VLAN 範囲は、プライマリおよびセカンダリ VLAN の両方を含む必要があります。

EPG ポリシーの解決および展開の緊急度

エンドポイント グループ(EPG)が virtual machine manager(VMM)ドメインに関連付けられるときは常に、管理者は解像度と展開設定を選択して、ポリシーをリーフ スイッチにプッシュするタイミングを指定できます。

解決の緊急性 (Resolution Immediacy)

  • 事前プロビジョニング:VM コントローラが仮想スイッチ(例:VMware vSphere 分散スイッチ(VDS))に接続される前でも、ポリシー(例:VLAN、VXLAN バインディング、契約、またはフィルタ)をリーフ スイッチにダウンロードすることを指定します。これにより、スイッチ上の設定が事前プロビジョニングされます。

    「この設定は、ハイパーバイザまたは VM コントローラ用の管理トラフィックに対して、Cisco Application Policy Infrastructure Controller(APIC)VMM ドメインに関連付けられた仮想スイッチ(VMM スイッチ)を使用している状況で役立ちます」

    Cisco Application Centric Infrastructure(ACI)リーフ スイッチで VLAN など VMM ポリシーを展開する場合、Cisco APIC により、VM コントローラおよび Cisco ACI リーフ スイッチを介して両方のハイパーバイザから CDP/LLDP 情報を収集する必要があります。ただし、VM コントローラが同じ VMM ポリシー(VMM スイッチ)を使用してハイパーバイザまたは Cisco APIC と通信することが想定されている場合は、VM コントローラまたはハイパーバイザの管理トラフィックに必要なポリシーがまだ導入されていないため、ハイパーバイザの CDP または LLDP の情報を収集することは絶対にできません。

    事前プロビジョニングを直ちに使用する場合、ポリシーは、CDP/LLDP のネイバーシップには関係なく、Cisco ACI リーフ スイッチにダウンロードされます。VMM スイッチに接続されているハイパーバイザ ホストがない場合でも可能です。

  • 即時:EPG ポリシー(契約およびフィルタを含む)が、DVS への ESXi ホスト接続時に関連するリーフ スイッチ ソフトウェアにダウンロードされることを指定します。VM コントローラ/リーフ ノード接続を解決するために LLDP または OpFlex 権限が使用されます。

    VMM スイッチにホストを追加すると、ポリシーがリーフにダウンロードされます。ホストからリーフへの CDP または LLDP のネイバーシップが必要です。

  • オンデマンド:ESXi ホストが DVS に接続され、VM がポート グループに配置されるときにのみ、ポリシー(例:VLAN, VXLAN バインディング、契約、またはフィルタ)がリーフ ノードにプッシュされることを指定します。

    VMM スイッチにホストが追加されると、ポリシーがリーフにダウンロードされます。VM はポート グループ(EPG)に配置する必要があります。ホストからリーフへの CDP または LLDP のネイバーシップが必要です。

    即時とオンデマンドの両方において、ホストおよびリーフが LLDP または CDP のネイバーシップを失うと、ポリシーは削除されます。


    (注)  

    OpFlex ベースの VMM ドメインでは、ハイパーバイザの OpFlex エージェントが、EPG への VM/EP 仮想ネットワーク インターフェイス カード(vNIC)の接続をリーフ OpFlex プロセスに報告します。オンデマンド即時解決を使用する場合、次の条件に当てはまる場合、EPG VLAN/VXLAN はすべてのリーフ ポート チャネル ポート、仮想ポート チャネル ポート、またはその両方でプログラムされます。

    • ハイパーバイザは、直接またはブレード スイッチを介して接続されたポート チャネルまたは仮想ポート チャネルのリーフに接続されます。

    • VM またはインスタンス vNIC が EPG に接続されています。

    • ハイパーバイザは、EPG または VMM ドメインの一部として接続されます。

    Opflex ベースの VMM ドメインは、Microsoft Security Center Virtual Machine Manager(SCVMM)と HyperV、および Cisco Application Virtual Switch(AVS)です。

展開の緊急性

ポリシーがリーフ ソフトウェアにダウンロードされると、展開の緊急度によってポリシーをいつハードウェア ポリシーの Content-Addressable Memory (CAM) にプッシュするかを指定できます。

  • 即時:リーフ ソフトウェアにダウンロードされたポリシーがハードウェアのポリシー CAM ですぐにプログラミングされるように指定します。

  • オン デマンド:最初のパケットがデータ パス経由で受信された場合にのみポリシーがハードウェアのポリシー CAM でプログラミングされるように指定します。このプロセスは、ハードウェアの領域を最適化するのに役立ちます。


(注)  
オン デマンドの緊急性指定と MAC 固定の VPC の両方を使用する場合、 最初のエンドポイントがリーフごとの EPG を学習するまでは、EPG コントラクトは リーフの三重 Content-Addressable Memory (TCAM) にプッシュされません。このような場合、VPC ピア間での TCAM 使用率が不均一になる可能性があります。(通常、コントラクトは両方の両方のピアにプッシュされます)。

VMM ドメインを削除するためのガイドライン

次の手順に従って、VMM ドメインを自動的に削除する APIC リクエストによって関連する VM コントローラ(VMware vCenter または Microsoft SCVMM)がトリガーされ、プロセスが正常に完了すること、および ACI ファブリックに孤立した EPG が残されないことを確認します。

  1. VM 管理者は、APIC によって作成されたすべての VM を、ポート グループ(VMware vCenter の場合)または VM ネットワーク(SCVMM の場合)からデタッチする必要があります。

    Cisco AVS の場合、VM 管理者は Cisco AVS に関連付けられている vmk インターフェイスも削除する必要があります。

  2. ACI 管理者は、APIC で VMM ドメインを削除します。APIC は、VMware VDS または Cisco AVS または SCVMM 論理スイッチおよび関連するオブジェクトの削除をトリガーします。


    (注)  
    VM 管理者が仮想スイッチまたは関連オブジェクト(ポート グループまたは VM ネットワークなど)を削除することはできません。上記のステップ 2 の完了時に、APIC に仮想スイッチの削除を許可します。VMM ドメインが APIC で削除される前に VM 管理者が VM コントローラから仮想スイッチを削除した場合、EPG は APIC で孤立する可能性があります。

このシーケンスに従わない場合、VM コントローラは APIC VMM ドメインに関連付けられている仮想スイッチを削除します。このシナリオでは、VM 管理者は VM コントローラから VM および vtep アソシエーションを手動で削除してから、以前に APIC VMM ドメインに関連付けられていた仮想スイッチを削除します。