以前に以下のメモを書きました。
lego を使えば certbot をインストールすること無く、Let's Encrypt の証明書を取得出来ますので非常に手軽です。 lego のバージョンは前回のメモ時点で 2.6.0 だったのですが、現時点の最新は 4.0.1 の為、改めてメモを書き直しておきます。 但し、バージョンによる差異が全く無い為、手順は全く同じです。 また、メモの最後にワイルドカード証明書を発行 / 更新する場合のメモを追加しておきました。
Cisco ACI 5.0 から ESG (EndPoint Security Groups) 機能がサポートされました。 従来の EPG では「異なる BD を跨った EPG」を設定することは出来ませんでした。 しかし、ESG を利用すると BD は無関係に、EPG を自由にグルーピングすることが出来るようになりました。
Cisco ACI において、CLI から EPG や VRF を特定する場合、各々以下の識別子を用います。
ACI の GUI 上であれば Tenant → Operational → Resource IDs → EPGs などから確認することが出来ます。
Unofficial ACI Guide は参考になる情報がたくさん掲載されています。 こちらに ACI Best Practice Configurations という記事がありますが、著者ご本人に翻訳の許可を頂いたので日本語に意訳してみました (Thank you, Jody!)。
以前に Cisco ACI のイベントをリアルタイムで検知する Node.js サンプルスクリプト というメモを書きました。 このメモの Python バージョンを作ったので、改めてメモしておきます。
Cisco ACI で Contract Preferred Groups を使うと EPG を優先グループ / 非優先グループに分けることが出来ます。 Preferred Group 設定には「include」と「exclude」があり、各々以下のように「通信する際に Contract を必要とするか? 否か?」という違いがあります。
| 設定 | 意味 | 説明 |
|---|---|---|
| include | 優先グループ | 優先グループ同士は Contract が無くても通信可能 |
| exclude | 非優先グループ | 通信するには Contract が必要 |
今回は Preferred Group を設定した場合 / していない場合で「実際に Zoning-Rule がどう見えるか?」を確認してみました。 検証は 5.0(2h) 環境で実施しています。
Cisco ACI で ExtEpg (External EPG) と AppEpg (Application EPG) を Contract した場合に作成される Zoning-Rule は AppEpg 同士を Contract した場合と、特に変わりありません。 今回は実際に ExtEpg と AppEpg を Contract し、作成される Zoning-Rule を確認してみます。 検証は 5.0(2h) 環境で実施しました。
Cisco ACI では Quota 設定を行うことにより、「特定のオブジェクトの作成上限数を制限する」ことが可能です。
例えば、Tenant1 の VRF 数の上限を「3」に設定するには下記のように設定します。
この状態で VRF を 3 以上、設定しようとするとエラーになり、設定することが出来ません。
Cisco ACI ではログインバナーをカスタマイズすることが可能です。 設定は System → System Settings → System Alias and Banners から実施することが可能です。 今回はバージョン 5.0(2h) 環境で「何を設定すると → どこに反映されるか?」を確認してみました。
Cisco ACI では Policy CAM の消費量は「SrcEPG 数 x DstEPG 数 x Filter Entry 数 x 1 (both direction なら 2)」で算出出来る、とされています。 ですが、Filter Entry は TCP/UDP のポートを Range (範囲) 設定することが可能です。 幾つかのパターンで Range 設定を実施し、各々の状態における Policy Count 数や Zoning-Rule、Zoning-Filter の状態を見ていきます。