Cisco ACI 初期状態でのリソース使用状況
Cisco ACI 初期状態でのリソース使用状況は以下の通りです。 今回は 5.0(2h) 環境で確認しました。
Cisco¶
Cisco ACI で Domains 設定は必須なのか?
Cisco ACi でベアメタルサーバ (物理サーバ) を収容する場合、一般的には以下の設定が必要です。
- 「利用する VLAN 範囲」を
AEP→Domain→VLAN Poolで設定し、そのAEPが最終的にInterface ProfileやSwitch Profileから参照されるように関連付ける TenantのApplication EPG設定で、Domainsに 1. で定義したDomainを設定するTenantのStatic Ports設定で、ベアメタルサーバを収容する物理ポートを定義する
しかし、デフォルトの状態では上記の 2. (Application EPG の Domains 設定) を省略しても通信出来てしまいます。 但し、この場合は「Domain が未設定」という、下記の Fault が表示されます。
Cisco ACI でログイン中のユーザを確認する
Cisco ACI では Web UI 上であれば System → Active Sessions から現在、ログイン中のユーザを確認することが出来ます。
CLI であれば APIC 上から show aaa sessions を実行することで同じ情報を確認することが出来ます。
ACI で BD Subnet 宛通信を「同一ネットワーク」のみに制限する BD Enforcement Status 設定
Cisco ACI 環境において、Contract が設定されていれば、などが設定あれ、Filter 上も許可されていれば Ping による疎通が確認出来るはずです。 これを図解すると以下のようになります。
Cisco ACI での「Enforce EPG VLAN Validation」設定
Cisco ACI では VLAN ID の重複する Domain を同一に Epg に設定するとトラフィック処理上、問題が発生しますが、設定自体は出来てしまいます。 Enforce EPG VLAN Validation という設定を有効化することで、そもそもこういった「問題のある構成」を設定出来なくすることが可能です。 この設定については Validating Overlapping VLANs に説明があります。 今回はこの設定についてメモします。
Cisco IOS でコンフィグを世代管理する
従来からある Cisco IOS でもコンフィグを世代管理することは可能です。 コンフィグの世代管理を行う場合、コンフィグ保存専用のディレクトリを作成した方が管理が簡単なので、予めディレクトリを作成しておきます。
Cisco ACI で多数の EPG を設定すると、どうなるか?
Cisco ACI のドキュメント のうち、Verified Scalability Guide は一般的なスケーラビリティの検証値・上限値などについて言及されたドキュメントです。 このドキュメントの General Scalability Limits で EPG 数 (Number of endpoint groups (EPGs)) は L3 Fabric と Large L3 Fabric の両方で以下と記載されています。
For a fabric with a single Tenant: 4,000
For a fabric with multiple Tenants: 500 per Tenant, up to 15,000 total across all Tenants
今回は ACI バージョン 5.0(2h) 環境で EPG を多数設定して、「設定出来るか?」「Fault は表示されるか?」と言った点をウォッチしてみました。
Cisco ACI に ELAM Assistant をインストールする
ELAM Assistant は Cisco ACI に無償で追加インストール出来、ACI で「どのようにパケット転送が行われているか?」を確認する上で非常に有益なツールです。 今回は ACI のバージョン 5.x 系へ ELAM Assistant をインストールし、利用開始するまでの手順をメモしておきます。
Cisco ACI で acitoolkit を使って物理インターフェイスをシャットダウンする
acitoolkit を使って物理インターフェイスをシャットダウンする手順をメモしておきます。
Cisco ACI 5.x 系で DOM を有効化し、トランシーバの光レベルを計測する
Catalyst や Nexus の場合、デフォルトで DOM (Digital Optical Monitoring Statistics) が有効になっており、トランシーバの光レベルをコマンドから確認することが出来ます。 しかし、Cisco ACI の場合はデフォルトで DOM は無効になっている為、明示的に有効化する必要があります。 DOM を有効化するデメリットは無く、運用上は有効にしておいた方が良いと思われます。 但し、そもそもトランシーバが DOM 対応のものでなければ光レベルは取得出来ませんので、「あらゆるトランシーバで光レベルを計測出来るわけでは無い」という点には注意する必要があります。
今回は ACI バージョン 5.x 系で DOM を有効化する手順をメモしておきます。