Cisco ACI で Route Leak した際の Zoning-Rule
以前に下記のメモを書きました。
今回は Route Leak の有る構成 / 無い構成で Resource IDs や Zoning-Rule がどのように表示されるか、確認してみます。 検証は 5.0(2h) で実施しました。
Blog¶
Cisco ACI で BD Subnet と異なるネットワークのアドレスを学習させる設定
Cisco ACI では EPG が EndPoint を学習します。 デフォルトの状態では対象の EndPoint が「BD Subnet と同じネットワークに所属しているか? 異なるネットワークに所属しているか?」に応じて「IP アドレスを学習するか? 否か?」の挙動が異なります。
| 項目 | IP アドレスを学習するか? |
|---|---|
| BD Subnet と同じネットワークに所属する EndPoint | 学習する |
| BD Subnet と異なるネットワークに所属する EndPoint | 学習しない |
稀に何かの理由で「BD Subnet と異なるネットワークに所属する EndPoint の IP アドレスも学習させたい」ケースがあるかも知れません。 「BD Subnet と異なる IP アドレスを学習させるか? 学習させないか?」は以下、2 つの設定によって制御されます。
System→System Settings→Fabric-Wide Settings→Enforce Subnet CheckTenant→Networking→Bridge Domains→Limit Local IP Learning To BD/EPG Subnet(s)
これらを適切に設定することにより、「BD Subnet と異なるネットワークの EndPoint に関しても IP アドレスを学習させる」ことが出来ます。
lego を使い Route53 認証でサーバ証明書を取得する (2020/09/27 版)
以前に以下のメモを書きました。
lego を使えば certbot をインストールすること無く、Let's Encrypt の証明書を取得出来ますので非常に手軽です。 lego のバージョンは前回のメモ時点で 2.6.0 だったのですが、現時点の最新は 4.0.1 の為、改めてメモを書き直しておきます。 但し、バージョンによる差異が全く無い為、手順は全く同じです。 また、メモの最後にワイルドカード証明書を発行 / 更新する場合のメモを追加しておきました。
Cisco ACI における ESG 設定の基本
Cisco ACI 5.0 から ESG (EndPoint Security Groups) 機能がサポートされました。 従来の EPG では「異なる BD を跨った EPG」を設定することは出来ませんでした。 しかし、ESG を利用すると BD は無関係に、EPG を自由にグルーピングすることが出来るようになりました。
Cisco ACI で EPG を内部的に識別する pcTag の種類と範囲
Cisco ACI において、CLI から EPG や VRF を特定する場合、各々以下の識別子を用います。
- EPG … pcTag (または Class ID)
- VRF … VNID (または scope)
GUI で確認する方法
ACI の GUI 上であれば Tenant → Operational → Resource IDs → EPGs などから確認することが出来ます。
ACI ベストプラクティスに従った設定
Unofficial ACI Guide は参考になる情報がたくさん掲載されています。 こちらに ACI Best Practice Configurations という記事がありますが、著者ご本人に翻訳の許可を頂いたので日本語に意訳してみました (Thank you, Jody!)。
Cisco ACI のイベントをリアルタイムで検知する Python サンプルスクリプト
以前に Cisco ACI のイベントをリアルタイムで検知する Node.js サンプルスクリプト というメモを書きました。 このメモの Python バージョンを作ったので、改めてメモしておきます。
ACI で Preferred Group 設定時の Zoning-Rule
Cisco ACI で Contract Preferred Groups を使うと EPG を優先グループ / 非優先グループに分けることが出来ます。 Preferred Group 設定には「include」と「exclude」があり、各々以下のように「通信する際に Contract を必要とするか? 否か?」という違いがあります。
| 設定 | 意味 | 説明 |
|---|---|---|
| include | 優先グループ | 優先グループ同士は Contract が無くても通信可能 |
| exclude | 非優先グループ | 通信するには Contract が必要 |
今回は Preferred Group を設定した場合 / していない場合で「実際に Zoning-Rule がどう見えるか?」を確認してみました。 検証は 5.0(2h) 環境で実施しています。
ACI で ExtEpg ~ AppEpg 接続時の Zoning-Rule
Cisco ACI で ExtEpg (External EPG) と AppEpg (Application EPG) を Contract した場合に作成される Zoning-Rule は AppEpg 同士を Contract した場合と、特に変わりありません。 今回は実際に ExtEpg と AppEpg を Contract し、作成される Zoning-Rule を確認してみます。 検証は 5.0(2h) 環境で実施しました。
ACI でオブジェクト数の上限を設定する
Cisco ACI では Quota 設定を行うことにより、「特定のオブジェクトの作成上限数を制限する」ことが可能です。
例えば、Tenant1 の VRF 数の上限を「3」に設定するには下記のように設定します。
この状態で VRF を 3 以上、設定しようとするとエラーになり、設定することが出来ません。