■Service Graphの運用モード

Service Graphを利用したL4-7デバイスとの連携においては、以下のように様々なモードでの利用が可能となっています。

 本ページでは、そのうち ACI 3.1リリースから対応した Cloud Orchestrator Mode を使った Service Graph の利用方法についてご説明します。

■Cloud Orchestrator Modeとは

Cloud Orchestrator Mode は、標準的な Firewall もしくは ADC / LB の構成をより簡易にAPICを通じたGUI操作で構成・展開することを可能とするためのモードです。これまで、Device Packageを用いたService Graphの展開を利用する際には、必ず Function Profile と呼ばれる Device Package によって定義された各ベンダー毎のL4-7デバイス用のパラメータを定義する必要がありました。これは、ベンダー毎の機能を必要に応じて適切に構成することができますが、ベンダー毎に構成できる内容や設定内容の階層構造などが異なるため、汎用的には扱いづらい面がありました。Cloud Orchestrator Mode は、APIC で標準提供される Cloud Orchestrator Mode 用の Device Package を介在させることで、ベンダー毎の差異を超えて「一般的に利用される共通的なパラメータ」を汎用的かつ簡易に設定する仕組みです。

■Cloud Orchestrator Mode 利用条件

Cloud Orchestrator Modeを使用するためには、以下の要件を満たす必要があります。

• ACI 3.1(1) 以降
• Cloud Orchestrator Mode 対応の Device Package のインストール および 当該 Device Package がサポートするL4-7デバイス・モデル・バージョンの利用
• Cloud Orchestrator Mode 用 Device Package が APIC に登録されていること

Cloud Orchestrator Mode 用 Device Package は APICを3.1(1)以降にアップグレードすると標準で含まれていますが、誤って消してしまった場合などは cisco.com より再度ダウンロードの上で再登録することが可能です。

ASA用のDevice Packageの場合、1.3以降で対応しています。Cloud Orchestrator Mode 対応の Device Package は統合されて提供されており、Function Profile 名として [XXXXXCloud]のように最後に "Cloud" の文字列を含むものが Cloud Orchestrator Mode に対応したものとなります。

■ASAvを利用する構成でのCloud Orchestrator Mode構成手順

Cloud Orchestrator Mode を利用するための手順は以下のとおりです。

• 事前準備
  1. L4-7 Device の登録
  2. Function Profile の登録
  3. Service Graph Template の構成
• 適用操作
  1. Service Graph Template の適用
  2. 動作確認

・事前準備 / 1. L4-7 Device の登録

L4-7 Device の登録操作については、Cloud Orchestrator Mode を使用しない場合と一切違いはありません。Device Package の選択では、Cloud Orchestrator Mode に対応した 対象デバイス対応の Device Package を選択してください。

・事前準備 / 2. Function Profile の登録

Cloud Orchestrator Mode として利用する Function Profile では、Device Function として Cloud Orchestrator Mode 用のものを選択してください。Function Profileのパラメータについては、基本的には入力の必要はありません。

・事前準備 / 3. Service Graph Template の構成

1. で登録した L4-7 Device と Function Profile を紐付けます。[XXXXCloud]の中から、適切なものを選択してください。PBR構成とする場合は、[WebPolicyRoutedModeCloud2]を選択してください。

■Cloud Orchestrator Mode 構成例 (1) - ASAv を Gateway として利用する場合

下図のようにASAvをEndpointにとってのGatewayとして利用する構成例となります。

1. Service Graph Templateを選択し、右クリックメニューから[Apply L4-L7 Service Graph Template]をクリック

2. Consumer EPG および Provider EPG を選択、Contractについて新規作成もしくは既存利用を選択し、必要に応じてContractの構成を行う

3. 利用する Service Graph Template、Consumer側・Provider側双方の接続先BDと、接続するInterfaceが正しいことを確認する

4. ASAvに対して構成するConsumer側・Provider側双方のInterfaceのIPアドレスと、ACLを構成する

■Cloud Orchestrator Mode 構成例 (2) - ASAv を PBRで利用する場合

下図のようにEndpointのGatewayはACIに向けたままで、PBRでService Graphを利用する構成例となります。

(1)の例と違いがない部分については記載を省略しています。また、PBRを利用する上で適切な入力値を構成する方法については、こちらを合わせて参照してください。

1. Service Graph Templateを選択し、右クリックメニューから[Apply L4-L7 Service Graph Template]をクリック

2. Consumer EPG および Provider EPG を選択、Contractについて新規作成もしくは既存利用を選択し、必要に応じてContractの構成を行う

3. Consumer EPGと接続する側のBD および Provider EPG と接続する側のBDをそれぞれ選択 (ACI 3.1以降で第2世代以降のLeafスイッチを利用している場合はConsumer EPGおよびProvider EPGが紐付いているBDと同じBDを利用することも可能)、ASAvのInterfaceのMACアドレスおよび構成するIPアドレスに基づいたRedirect Policy、接続するInterfaceを指定する

4. Consumer側・Provider側それぞれのInterfaceに構成するIPアドレスについては、3.のRedirect Policyで構成したIPアドレスと同じIPアドレスを入力し、合わせてConsumer EPGが紐づくBD SubnetへのRouteをConsumer Interface側に、Provider EPGが紐づくBD SubnetへのRouteをProvider Interface側に構成する。ACLについても適切に構成する。

■構成・動作確認

• ASAv仮想アプライアンスのインターフェイスが適切なPort Groupに接続していることを確認する

  

• ASAvのConfigが想定どおりに構成されていることを確認する
• EPG間の疎通確認を行う

以下はASAvをGatewayとして構成した場合のConfig例です。

以下はASAvをPBRで利用する場合のConfig例です。

APICからもCLIで仮想アプライアンスとしてのASAvの接続状況や、Service Graphの状況なども確認することが可能です。