- 最終編集日: 、編集者:
JapanTAC_CSC
■概要
ACIにおけるポリシーによる管理の世界では "End Point" をグループとしてまとめた "End Point Group" (EPG) 同士を "Contract" と呼ばれる通信ルールによって紐づけるという完全に抽象化されたデザインでエンドポイント間の接続性を定義することができますが、この「ポリシーによる管理の世界」と「ネットワークの管理の世界」の関連付けを行う必要があります。これらを関連付けるポイントとなるのが "Domain" です。
物理サーバの場合は "Physical Domain"、vCenterと連携された仮想化環境の場合は "VMM Domain" を EPGに対してマッピングすることによってポリシーの世界とネットワークの世界を関連付けることができます。どのEPGに対してどのDomainを結びつけるのかは自由に組み合わせることができます。EPGに複数のDomainをマッピングすることにより、物理サーバと仮想マシンに対して共通のContractを紐づけることも可能です。
※ VMM連携を行っていない仮想マシンの場合は"Physical Domain"を利用することを推奨します。
本記事では、VMM連携を行っている場合においてEPGにDomainをマッピングする際のオプションパラメータをどのように選択するべきかについてご説明します。デフォルト値はいずれもリソース効率の最大化を意図したものとなっています。
EPGにDomainをマッピングする際には、以下2つのオプションがあります。
・Resolution Immediacy
・Deployment Immediacy
■Resolution Immediacy
[Resolution Immediacy]は、ポリシーをLeafスイッチに対してプッシュするタイミングを指定するパラメータです。
| 選択肢 | 概要 |
| Immidiate | HypervisorホストがLeafスイッチに接続された時点で必要なポリシーをLeafスイッチに通知する (Hypervisorホストの検出にはOpFlexもしくはCDP/LLDPを使用) |
| On Demand (Default) | 仮想マシンが連携するネットワーク(ポートグループやVMネットワーク)に接続された時点で必要なポリシーをLeafスイッチに通知する |
| Pre-provision | Hypervisorホストの接続有無に関わらずLeafスイッチにポリシーを通知する |
※ Pre-provision を選択した場合であっても、ACI Fabricを構成する全てのLeafスイッチにポリシーがプッシュされるわけではなく、AEPに紐づく範囲に限定されます。
■Deploy Immediacy
[Deploy Immediacy]は、ポリシーをLeafスイッチのHardware Policy CAMに対してプログラムするタイミングを指定するパラメータです。
| 選択肢 | 概要 |
| Immidiate | Leafスイッチにダウンロードされてきたポリシーを即時ハードウェアにプログラムする |
| On Demand (Default) | Leafスイッチにダウンロードされたポリシーを必要とする最初のパケットを受信した時点でハードウェアにプログラムする |
※ On Demandを利用していた場合、Pingによる疎通確認などを行った際に最初の1パケットが返らない場合があります。
■設定の組み合わせについて
いずれの項目も "On-Demand" がデフォルト値となっています。この場合、対象のポリシーが必要となった時点で初めてLeafスイッチに対して必要なポリシーがプッシュされ、そしてプログラムされます。必要最小限のポリシーのみが設定に反映されることになるため、ACIのスケーリングという観点からは、この組み合わせが最適となります。この設定の場合、VMM DomainをEPGに紐付けたとしてもその時点ではポリシーはLeafスイッチに投入されておらず、VMM Domainに紐付いたポートグループ/VMネットワークに仮想マシンが接続され、さらに通信が発生した時点で初めてLeafスイッチに必要なポリシーが反映されることになります。
一般的な仮想マシンの場合はデフォルト設定で特に問題はありません。しかし、NFSデータストア通信やvMotion通信のためのVMkernelが利用するようなネットワークの場合は実際の通信が発生してからポリシーが構成される動作では問題が発生する可能性があるため、設定値を両方とも "Immediate" に変更することを推奨します。Immediateに設定した場合、ポリシーは実際の通信の有無に関わらずHypervisorホストが接続されたLeafスイッチに設定され、TCAMにプログラムされます。
ただし、設定値をImmediateとしてポリシーを事前投入するためには当該Leafスイッチに分散仮想スイッチが接続されていることをACIファブリックが認識している必要があります。分散仮想スイッチ側と、Leafの分散仮想スイッチが接続されたポートに設定されているInterface Profileの両方において、CDPもしくはLLDPが有効となっていて相互に隣接検出できていることを確認してください。ただし、AVSを使用している場合はOpFlexによる検出が行われるため、CDP/LLDPの有効化は不要です。
何らかの理由でCDPやLLDPを使用できないという場合には、Resolution Immediacyで "Pre-provision" を設定してください。Pre-provisionを設定した場合、当該Leafスイッチへの分散仮想スイッチの接続の有無に関わらず、ポリシーが作成された時点でポリシーをLeafスイッチに投入します。この設定は、ESXiホストの管理通信用のVMkernel通信のために利用されるEPGの場合にも必要です。
以下のマトリックスは、Deploy ImmediacyおよびResolution Immediacyのパラメータを変更すべき場合の例となります。
| Resolution Immediacy | ||||
| on Demand (Default) | Immidiate | Pre-provision | ||
| Deploy Immediacy |
On Demand |
基本的にはデフォルトを使用 | - | - |
| Immidiate | - | NFS通信やvmkernelの通信などの場合(要OpFlex/CDP/LLDP) | vmkernelの通信の場合や、VMM DomainでCDP/LLDPによる隣接検出を使用できない場合、サイレントホストを接続する場合など | |
全パターンの組み合わせにおける設定と構成される動作の組合せは以下のとおりです。
不必要な設定をPolicy CAMに投入することはハードウェアリソースの利用効率を下げることになるため、明確な理由がある場合のみ設定値を "Immediate" や "Pro-provision" に変更することを強く推奨します。
Cisco Customer SuccessではCisco Communityを通じて様々なベストプラクティス情報の提供を進めています。
こちらを、設計検討、運用検討の際にご活用ください。
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
