2022-01-13 03:34 PM 2023-10-11 09:49 AM 更新
Cisco ACI の導入やご利用にあたり、よくお問合せいただくものをまとめております。随時、質問と回答は追加、更新を行っております。このページを「購読」してアップデートをご確認ください。購読の仕方は、こちらの資料 P. 38 をご覧ください。
それぞれの質問項目に関連する推奨 Ask the Experts*1(オンラインセッション)をご案内しています。詳細なデモやライブ Q&A セッションにご参加いただけます。リンク先から過去のオンラインセミナーの録画か、次回セッション日時をご確認ください。
*1 Ask the Experts のウェビナーに参加するためには、有効な特定のサービス契約と一定のサービスレベルが必要です。ご不明な点がありましたら japan-atx@cisco.com までお問合せください。
(推奨 Ask the Experts: Installation / Implementation Best Practices: Cisco ACI)
Q. 質問内容 APICが3台でなければならないのはなぜでしょうか?
A. 回答内容 ACI内の設定等の情報はShard (32個)に分割され、各Shardは3つのコピー(レプリカ)を作成し、3台のAPICに分散保存されます。
仮に2台構成で、この分散情報を格納している場合、1台のAPICに障害が発生し、情報の不整合が発生した場合に、どちらの情報が正しいかの判断がつきません。3台構成であれば、1台のAPICに障害が発生し、情報が破損しても、残り2台の情報は正常であるため、正しい情報がどれかが判断がつきます。
なお、3台以上のクラスター構成は可能であり、APICの台数によりサポートするコンポーネント数が異なりますので、APIC台数を何台にするべきかは最新のScalability Guideを参照ください。
(以下は、Version5.2の例です)
Q. APICが1台でも壊れた通信に影響がでるのでしょうか?
A. APICが3台とも壊れても、通信影響はありません。
なお、3台構成のクラスターの場合、1台故障時はAPICからのACIファブリックの管理としてRead/Writeの操作ができますが、2台故障するとRead-onlyのみの操作となります。
Q. APICのinfrastructure network vlan設定について、範囲内であればどのVlanを 使用しても問題ないでしょうか?
A. ACIファブリック内や接続先で使用するVLANと重複しないIDを使用してください。
また、Nexusで予約されているVlan(3968-4094)を除外下さい。
UCS FIをご利用の場合には予約VLAN(3915以降)を避けてアサインしてください。
Q. TEP Poolのアドレスレンジは外部のアドレスと重複していても問題ないでしょうか? APICの管理ネットワークと重複するのはNGという話も聞いた事があるのですが、その理解で正しいでしょうか?
A. 一部例外を除いて重複は可能ですが、重複しないアドレスアサインを推奨しています。
TEP Poolのアドレスレンジは基本的にはACI内部のVRFでのみ使用します。APICのみVRFの概念が無いため例外となります。
APICから発信する通信先(NTP、DNS、SNMP等)との重複はNGです。
また、APICの内部で使用するdocker0ネットワークとの重複もNGです
docker0はデフォルトで172.17.0.0/16を使用するのでこことの重複を避ける、またはdocker0のレンジを変更する必要があります。
詳細は、こちらを参照ください。
https://www.cisco.com/c/en/us/td/docs/switches/datacenter/aci/apic/white_papers/Cisco-ACI-Initial-Deployment-Cookbook.html
Q. スパインスイッチには、リーフ以外配線しないとのことでしたが、 ポッド接続、クラウドACI接続時にはスパインスイッチにルータを接続すると ベンダーより教えてもらいましたが、こちらは問題無いのでしょうか。
A. ご認識の通り、Multi Pod構成やMulti Site構成などスパインスイッチに接続する構成もございます。
(推奨 Ask the Experts: Migration Strategies & Best Practices: Cisco ACI Layer 2)
Q. 従来のスイッチだと、インタフェース配下に数行の設定をいれればすむのに対して、ACIでは1つのインタフェースの設定をするのにいろんな設定が必要でとても複雑な気がします。従来のスイッチと同じように簡単に設定できないのでしょうか?
A. ACIの設計コンセプトは、一度設定したポリシーを使いまわせるというところにあります。初回のポリシー作成は多少手間かもしれませんが、既に作成したポリシーを適切なポートに割り当てる作業だけであれば、数クリックの作業で済みます。
Q. BDをL2モードで使用する際は、なぜhardware-proxyじゃなくfloodが推奨なのでしょうか?
A. hardware-proxyを有効にするとACIは宛先不明の通信をFloodする代わりにSpineに問い合わせをするようになります。
その時、Spineが宛先を知らない場合には該当トラフィックを破棄してしまいます。
BDがL3モードの場合には、ARP gleaning機能により、該当アドレスを探し出す処理をするため、実際にエンドポイントが存在していれば、破棄されずに通信できますが、BDがL2の場合にはその処理をしないため、Floodの設定が推奨になります。
Cisco Application Centric Infrastructure - ACI Fabric Endpoint Learning White Paper - Cisco
Q. 同じVlanを別のVlanpool(ドメイン)で使用することは不可能なのでしょうか。
A. 可能ですが、管理が複雑にとなるデメリットがあります。
詳細は、以下リンクをご参照いただけますでしょうか。Q. ACIをL2 Fabricとして利用する設計ではEPG間のContractという概念は無くなるという理解で正しいでしょうか?
A. L2として利用する場合にもContractは必要です。
なお、Contractを不要で通信させる機能としてのPreferred groupや、すべてのEPGに対して設定することができるcontractの実装方法としてのvzAnyなどの機能もあります。
詳細は、ATXセッションでご紹介していますので、ご確認ください。
Advanced Feature Overview: Security and Policy for Cisco ACI
Q. Interface Profileをインタフェース毎に作成していましたが、共通の設定はできるのでしょうか??
A. Interface Profileはインターフェース毎に作成する必要はありません。ポリシー、Profileの効率的な利用のためには、同じPolicy Groupを持つもので、Interface Profileを使いまわすのが得策だと思います。
(推奨 Ask the Experts: Migration Strategies & Best Practices: Cisco ACI)
Q. L3OutにおけるInterface Profileのインターフェースタイプ(Routed、Routed Sub Interfae、SVI )はどれを選択すればいいでしょうか?
A. VPCを構成する場合は、SVIのみのサポートとなります。
物理Port、PortChannelの場合は、Routed、Sub Interface、SVIをすべてサポートしていますが、接続対向側の構成に応じて適切な構成を選択ください。
設計のヒントとなるHow Toがこちらのサイトにまとまっているので、ご確認ください。
Cisco ACI How To - Cisco Community
(推奨 Ask the Experts: Monitoring Best Practices: Cisco ACI)
Q. APICで取得した統計情報の保持期間はどの程度になるのでしょうか?
A. 統計情報のデータ保持期間は15分間隔で1日、1日間隔の場合に10日というように取得間隔によって異なります。
Q. APICで保管するログの保持期間はどの程度になるのでしょうか。
A.ログの保持期間はデータのサイズによって期間は異なります。Admin>Histrical Record PoliciesからLog Retention Policiesでログサイズを設定します。
Q. インターフェースのトラフィックStatsなどは、csv等にexportできるのでしょうか?
A. XML形式でダウンロードが可能です。
Q. SFPモジュールの故障でエラーが多発した経験がありますが、インタフェースのエラーカウンタの情報はスコアリングに反映され、点数が下がったりするのでしょうか?
A. インターフェースがダウンしたり、カウンタが閾値を超えるとヘルススコアが下がります。
これにより該当インターフェースの故障を確認することができます。
Q. たとえば大規模障害で大量にFaultが発生した場合、その対処を実施し、回復後に一括で対象Faultのステータス変更は可能でしょうか?タイマー経過前に該当Faultを消したい意味合いとなります。
A. System>Faultの画面からFault IDを選択いただくと同じIDは同じ画面で一括でAckdチェックいただくことができます。ただし、異なるFault IDの場合は、Fault ID毎にチェックが必要です。
なお、あるFault IDのSeverityをSquelchedに設定すると、そのFaultを発生しないようにすることもできます。
この場合は、再度発生しても、Faultとしては表示されなくなります。
Q.SNMP/Syslogの設定ポリシーはFabric Policy、Access Policy、Tenantに設定が可能かと思います。
A.テナント配下のオブジェクト(AP、EPG、BD、VRF、Contract、L3Outなど)はすべてテナント配下のMonitoringポリシーに含まれます。例えば、オブジェクトの解決失敗や設定不備によりポリシーが展開されない場合などのFaultが発生します。
(推奨 Ask the Experts: Upgrade Planning & Best Practices: Cisco ACI)
Q. 同時にアップグレードを実行できるLeaf数に上限はありますか?
A. 4.2(5)まではデフォルトで20台が上限でした。20台以上を同時実行する場合は、同時実行数の設定をunlimitedに変更する必要があります。
4.2(5)以降は、デフォルトでunlimitedに設定されています。
Q. APICからNexus9kのアップグレードステータスを確認できますか?
A. ACI4.2以降のバージョンで確認が可能になっています。
Q. APICをアップグレードした際に、APICとスイッチのバージョンの乖離が一時的に発生すると思いますが、ファブリック内のテーブル学習やトラフィックの転送には影響ございませんでしょうか?
A. 特に問題ありません。
バージョンが混在する環境下における設定変更は、積極的には推奨しませんが、サポートされる内容が以下に定義されていますので、ご確認ください。
Q. バージョンアップ時にオペレータが陥りやすいミスや、やりがちなミスについてなにか知見があれば、アドバイスいただけますでしょうか?
A. 以下、チェックリストを参照下さい。
バージョン毎に注意ポイントは異なってきますが、最低限必要な項目等はこちらから確認できると思います。
Q. APICの後継機種へのリプレース手順は公開されていますでしょうか?
A. リプレース手順は、ハードウェアの障害交換手順と同様の手順で対応が可能です。
https://learningnetwork.cisco.com/s/article/apic-hw-x
Q. ディスク容量の確認について質問です。/firmwareは大体何%空き容量があれば良いでしょうか?
A. 75%を目安に空き容量を確保してください。
(推奨 Ask the Experts: Advanced Feature Overview: Security and Policy for Cisco ACI)
Q. vzAnyとpreferred groupは、どう違いますか?
A. vzanyは、コントラクトを同じVRF内のすべてのEPGに適用する方法です。
Preferred Groupは、コントラクト不要で通信する事を可能にする機能です。
Q. PrefferdGroupは、VRF内でのみ有効なため、Preferred Groupが有効な異なるVRF間(例 VRF1とVRF2)のEPG間で通信をさせる場合には、EPG間をコントラクトを結ぶ必要がある認識でよいでしょうか?
A. 正しいです。
Cisco Application Centric Infrastructure - Cisco ACI Contract Guide - Cisco
Q. コントラクトで許可したログ、ドロップしたログは閲覧が可能なのでしょうか?
A. テナントを選択した右画面でOperationalタブをご確認いただけますと、ドロップが確認できます。
ただし、長期間ログを保管できないため、証跡ログとして利用することは現実的でないと考えます。
Q. Prefferd GroupとVzAnyの仕様上出来ないことをまとめたサイトはありますか?
A. 機能の詳細は、以下のサイトにまとまっているのでご確認ください。(英語サイトです)
Cisco Application Centric Infrastructure - Cisco ACI Contract Guide - Cisco
また、スケーラビリティの制約がありますので、お使いのバージョンのVerified Scalability Guideをご参照ください。 リンクは4.2(6)の例です。
(推奨 Ask the Experts: Use Case Overview & Planning: Automation & Programmability for Cisco ACI )
Q. ベンダーからはCLIを利用した設定変更は非推奨と案内されているのですが、正しいですか?
A. すべての設定をCLIを利用して変更できるわけではないため、積極的に利用いただくことは推奨していません。ただし、CLI操作もREST APIに変更されて実行されるため、検証済みの定型作業であれば問題はないと思われます。
Q. DEVNET内容をご紹介いただいていますが、コンテンツは全て英語でしょうか?
A. 一部、日本語コンテンツもございますので、積極的にご活用ください。
https://developer.cisco.com/japan/
Q.GUIとNX-OS Styleとの併用は推奨されていない認識ですが正しいでしょうか?
A.マニュアルに記載の通り、GUIとCLIとの併用は推奨ではありませんが、GUIとCLIの併用を、事前に検証いただいたうえで、手順として確立されている環境において、使用していただくこと自体に問題ないと思います。ただし、CLIにおいては、VPCの設定など、全ての定義をサポートしていないため、自動化を行うにあたっては、REST APIを使用することを推奨します。
(推奨 Ask the Experts: Use Case Overview & Planning: Distributed Networking for Cisco ACI)
Q. Multi Pod/Multi SiteのMTU要件は1600バイトと記載されておりましたが、 1550バイトではなく1600バイトとしている理由は何になりますでしょうか? VXLANのオーバーヘッドは50バイトと認識しております。
A. ご認識の通りVXLANのオーバーヘッドは50バイトですが、IEEE 802.1qヘッダが保持される場合に54バイトとなります。 その為、一般的なご案内として+100バイトとご案内しています。
Q. 2Pod構成の時、それぞれの拠点にAPICを設置したとした場合の、推奨のAPICの台数、構成は何になりますでしょうか?
A. 台数はスケーラビリティに応じて必要な台数をご準備ください。
3台構成の場合には、Pod1に2台、Pod2に1台+Standby APICを推奨します。その他の台数の構成はMulti pod white paperを参照いただけますでしょうか。
Q. リモートリーフ用ですでに使用しているSpineのsub-ifをMultipod用のIPN向けとして使用したい場合、ウィザードを使って設定可能でしょうか。?
A. はい、可能です。
Q.メインデータセンター(APIC)~Remote Leaf間の回線が全て切断された場合でもRemote Leaf側のEPG間通信等は継続されますでしょうか。
A.ACIリリース 4.1(2)以降の場合、通信は継続されます。詳細はホワイトペーパーの Failure handling in Remote leaf deployment の部分をご確認ください。
Q. APICのVersionを上げた場合、MSOも合わせてVersion Upが必要でしょうか?また逆も同様でしょうか?
A. Compatibilityに合致していれば、必ずしもVersion Upの必要性はありません。詳細は、Compatibility Guideを参照ください。
Q. Node IDはサイトごとに分離が必要でしょうか?例えば、複数のサイトにLeaf 101が存在しても問題ないでしょうか?
A. 問題ありません。
Q. APICとMSOとはISNで接続する構成になるのでしょうか?
A. MSOは各サイトのAPICとOOBもしくはINB経由で通信できるネットワークに配置することになります。
詳細は、マルチサイトのホワイトペーパーをご参照ください。
Q. MSOで作成したオブジェクト(テナントやEPGなど)をローカルサイトのAPICから設定変更するようなことは可能なものでしょうか?
A. MSOによって管理されているオブジェクトをAPICから操作することも可能ですが、MSOから構成変更可能な範囲については、MSOからのみ構成変更することを強く推奨します。
Q. ISNとIPNのネットワーク機器は同じ機器を使用して共存可能でしょうか?
A. はい。可能です。
Q.MSO-MSO間のRTT150msやMSO-APIC間のRTT500msはどれだけ厳格に守る必要がありますか?また、MSOやAPICでこれらのRTTを計測、確認することは可能でしょうか?
A.RTTをモニタリングしていないので、必ずしも厳密ではないと考えますが、仮に不具合発生時に遅延要件が問題だったとならないためにも、遵守頂くことを推奨します。なお、APICや中継NW機器等からPINGを実行することで遅延は測定可能です。
Q. 2つのサイトを個別に管理する場合と、マルチサイトにする場合のメリット、デメリットを教えてください。
A.個別管理のメリットは、ライセンス追加費用なしで構成可能で、デメリットはサイトごとに独立した管理が必要です。
Q. 2サイトを最終的に1サイトにする(古いデータセンターの廃止)場合において、
A.移行方法によりますが、基本的に本日のデモの通り、NDOに設定を吸い上げる(Import)ことで対応できます。ダウンタイムについても移行方法次第ですが、単純にNDOに設定を吸い上げ、別々のTemplateとして管理するだけの場合は、ダウンタイムは発生しません。
(推奨 Ask the Experts: Troubleshooting Best Practices: Cisco ACI)
Q. キャプチャしている端末のIF速度を超える通信がSPANに来た場合は、ACI内でドロップされますか?
また、ERSPANの通信が大量に発生することで、業務通信に影響を与えることがありますか?
A.キャプチャしている端末のIF速度を超える通信がSPANに来た場合は、ACI内でドロップされます。
Q. Ask the Experts (ATXs)の資料を提供いただくことは可能でしょうか?
A.セッションの資料と録画は下記サイトにてご視聴いただけます。新規セッションについては準備が出来次第、順次掲載予定です。
Cisco ACI ATXsレコーディング-日本語 (Japanese)
※ご視聴にはシスコアカウントが必要です。ご視聴方法は下記サイトをご参照ください。
https://learningnetwork.cisco.com/s/article/jp-how-to-enroll-in-learning-tracks?dtid=osoblg000513
Q. Ask the Experts や Accelerators(個別セッション) 等などカスタマーサクセスのプログラムに関する問い合わせはどこにすればよいでしょうか?
A. japan-atx@cisco.com までお問い合わせください。
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします