クイックダウンロード
Cisco ACIは、デバイスごとのネットワーク設定を、ポリシー主導型の集中制御に置き換えるもので、手動管理では対応しきれなくなったデータセンター向けに設計されています。
APICコントローラは、ネットワーク全体とセキュリティポリシーを定義および管理します。リーフスイッチとスパインスイッチがそのポリシーを強制適用することで、従来のネットワークでは対応できない拡張性を実現しています。
ACIは、契約で明示的に許可されていない限り、EPG間の通信をデフォルトでブロックします。これにより、マイクロセグメンテーションが実現し、PCI DSSおよびHIPAAの監査に対応できる証拠が得られ、侵害後の横方向の移動に対する真の障壁となります。
仮想APICデプロイメントは、お客様のEPGと契約ルールをAWS、Azure、およびGCPに引き継ぐため、ワークロードが移行してもポリシーが維持されます。
ファブリックの状態、ノードの状態、テナントとEPGの状態、障害、インターフェースのテレメトリ、および契約統計をオブザーバビリティスタックに取り込みます。
シスコ アプリケーション セントリック インフラストラクチャ (ACI) これは、ネットワークとセキュリティポリシーを一度定義すれば、ファブリック内のすべてのスイッチに自動的に適用できるデータセンターネットワークシステムです。
各デバイスを手動で設定する代わりに、アプリケーションが必要とするものを記述するだけで、残りの処理はACIが行います。
大規模なデータセンターを運用している場合、手動によるスイッチ設定の限界に達している可能性が高いでしょう。ACIは、その問題に対するシスコの回答です。
それがどのように機能するのか、どのような場面で役立つのか、そして組織がそれを運用するために何が必要なのかを見ていきましょう。
Cisco ACIで知っておくべき重要な用語は何ですか? これら8つの用語は、ポリシーモデルがどのように構築され、ACI全体でどのように実施されるかを定義するものです。
契約期間 ACIではどういう意味ですか? ACI ファブリック すべてのスイッチとAPICを含むリーフスパインネットワーク全体を、単一のシステムとして管理する総称。 取得 顧客、チーム、または環境に属するポリシー、アプリケーション、およびリソースを格納する論理的なコンテナです。テナントはデフォルトでは互いに分離されていますが、契約による制御された通信をオプションで設定できます。 VRF(仮想ルーティングおよび転送) VRFとは、同一の物理ネットワークデバイス上に複数の独立したルーティングテーブルを存在させることができるレイヤ3ルーティングコンテキストです。Cisco ACIでは、VRFはテナント内に存在し、ルーティングドメインを分離することでトラフィックの分離を実現します。1つのテナントに複数のVRFを設定することで、トラフィックセグメントをさらに分離できます。 ブリッジドメイン VRF内のレイヤ2ブロードキャストドメイン。VLANと同様の機能を持つが、物理インフラストラクチャから切り離されており、ファブリック全体にまたがることが可能である。 EPG(エンドポイントグループ) セキュリティ、QoS、ポリシーを共有するサーバー、VM、コンテナなどの類似エンドポイントの論理グループ Contract EPG間で許可されるトラフィックを制御するポリシー。 アプリケーション プロファイル 1つのアプリケーションのネットワーク要件全体を表す、一連のEPGとそれらの間の契約を格納するコンテナ。 VXLAN / オーバーレイ ACIがテナントのトラフィックをリーフスパインファブリック全体に伝送するために使用するカプセル化プロトコル。
企業がCisco ACIを使用する理由とは? 手動によるネットワーク構成は拡張性に欠け、それによって生じるギャップはセキュリティ障害やコンプライアンス違反として現れます。ACIを検討している場合、おそらく以下の4つの要因のうち1つ以上が理由でしょう。
ハイブリッドクラウドの無秩序な拡大: 現在、ワークロードはオンプレミスのハードウェア、コロケーション施設、パブリッククラウドアカウントなど、複数の環境にまたがっています。これらすべてにおいて一貫したポリシーを大規模に手動で維持することは困難です。マイクロセグメンテーションの要件: ゼロトラストセキュリティモデルや規制枠組みでは、アプリケーション間のトラフィックをきめ細かく分離することが求められます。従来のVLANベースのセグメンテーションは、柔軟性に欠け、運用コストが高いため、拡張が困難です。手動設定のボトルネック: データセンターが拡大するにつれて、デバイスごとのCLI変更は人為的ミスの主な原因となり、あらゆる導入プロセスにおいて最も時間がかかるステップとなる。アプリケーション速度: 開発チームは、ネットワークチームが手作業でインフラストラクチャを構成するよりも迅速にデプロイできます。ACIは、APIと自動化されたポリシー適用によって、このギャップを埋めます。 Cisco ACIのアーキテクチャはどのようなものですか? ACIは、APICコントローラ、リーフスイッチ、スパインスイッチの3つのコンポーネントで動作します。これらが一体となってACIファブリックを構成します。
APIC:中央制御装置 アプリケーションポリシーインフラストラクチャコントローラ(APIC)は、ポリシーの定義と管理を行う場所です。APICは、リーフスイッチとスパインスイッチに構成情報を配信し、自動化ツール用のREST APIを公開し、手動管理用のWebインターフェースを提供します。
APICは冗長性と高可用性を確保するため、クラスタシステム(通常は3つ以上のノード)として動作します。データパスの外側に位置し、ネットワークを管理しますが、本番環境のトラフィックは処理しません。
リーフスイッチ:アクセス層 リーフスイッチは、サーバー、仮想マシン、ストレージ、および外部ネットワークに直接接続します。すべてのエンドポイントはリーフスイッチに接続されます。リーフスイッチは、APIC分散ポリシーを使用して回線速度で契約を適用します。
物理的な葉は Cisco Nexus 9000シリーズスイッチ しかし、ACIは仮想スイッチングやハイパーバイザー統合を通じて、VMwareやNutanixなどの環境とも統合できます。
背骨スイッチ:ファブリックの背骨 スパインスイッチはすべてのリーフスイッチを相互接続し、リーフ間のトラフィックを伝送します。すべてのリーフスイッチはすべてのスパインスイッチに接続されます。これにより、スパニングツリーを使用せずに、高性能かつ低遅延のトポロジーが実現します。
スパインスイッチはエンドポイントに直接接続されることはなく、リーフスイッチ間でトラフィックを予測可能な形で転送するためだけに存在します。
Cisco ACIはどのように動作するのですか? ACIは宣言型モデルを採用しています。アプリケーションが必要とする接続性とセキュリティルールを定義すると、システムがそれらの定義を自動的にスイッチレベルの設定に変換します。意図から適用までのこの流れは、次の5つのステップで構成されます。
要件を定義します。 どのエンドポイントグループが通信する必要があるか、どのエンドポイントグループが隔離された状態を維持する必要があるか、そしてどのようなトラフィックルールが適用されるかを説明してください。APICでポリシーを作成します。 これらの要件は、コントローラー内でテナント、VRF、ブリッジドメイン、EPG、および契約になります。これは、GUI を介して、または次のようなツールからの APIC の REST API を介して実行できます。 テラフォーム or Ansible .エンドポイントをEPGにマッピングする: サーバーまたは仮想マシンがファブリックに接続すると、APICはそれらの属性(VLAN、IPアドレス、仮想マシンのメタデータなど)に基づいて、適切なエンドポイントグループに配置を行います。ポリシーは即座に適用されます。生地全体に適用される: リーフスイッチは、VXLANオーバーレイ上でEPG間の契約を回線速度で強制します。契約で明示的に許可されていないトラフィックはブロックされます。アプリケーションの変更に合わせて適応する: ワークロードが移動したり、ポリシーの更新が必要になったりすると、APICは関連するすべてのスイッチに自動的に変更をプッシュします。 Cisco ACIはどのような問題を解決しますか? 従来のネットワークは大規模になると4つの問題を引き起こしますが、ACIはこれらの課題それぞれに対処するように設計されています。
プロビジョニングが遅い
一貫性のないセキュリティ
高い運用オーバーヘッド
クラウドにポリシーを拡張する一貫した方法がない
プロビジョニングが遅い 従来のネットワークでは、新しいアプリケーションごとに複数のデバイスで手動設定が必要でした。ACIでは、APICでポリシーを一元的に定義すると、自動的に伝播されます。そのため、これまでネットワーク変更に何日も費やしていたチームは、API呼び出しによって数分でプロビジョニングを完了できます。
一貫性のないセキュリティ ACIはデフォルトでゼロトラストの許可リストモデルを適用します。EPG間のトラフィックは、契約で明示的に許可されていない限りブロックされます。1つのEPGが侵害された場合でも、攻撃者は契約で明示的に許可されていない限り、他のEPGにアクセスすることはできません。
セキュリティポリシーは一元的に定義され、リーフスイッチでラインレートで適用されるため、パフォーマンスの低下はありません。ACIは、ラインレート暗号化、APICアクセス用のロールベースアクセス制御、および組み込みの侵入検知・防御機能もサポートしています。
規制対象業界においては、契約モデルによって、どのシステム間でどのようなトラフィックが許可されているかを明確に監査できる証拠が提供される。
高い運用オーバーヘッド 従来のネットワークでは、管理者が個々のデバイスにログインして変更を加える必要があり、環境が大きくなるにつれて作業量とエラー率が増大します。ACIでは、すべての設定がAPICに一元化されます。何らかの障害が発生した場合、APICは各デバイスへのSSHセッションを必要とせず、ファブリック全体の健全性スコアを表示します。
クラウドポリシーのギャップ ACIは、クラウド統合コントローラーおよびサービス(Cloud APICなど)を使用して、ポリシーモデルをAWS、Microsoft Azure、およびGoogle Cloud Platformに拡張します。オンプレミス環境で使用するEPGおよび契約モデルは、クラウドワークロードにも適用されます。
ワークロードが移行されると、そのポリシーも一緒に移行されます。移行先のプラットフォームごとにルールを書き直す必要はありません。
Cisco ACIにはどのような導入モデルがありますか? Cisco ACIは複数の導入モデルを提供しています。それぞれ異なる規模やインフラストラクチャタイプを対象としていますが、最適な選択は、運用拠点の数、ワークロードの実行場所、必要なネットワーク規模によって異なります。
単一サイトACI: APICクラスタは、単一のデータセンター内で1つのリーフスパインファブリックを管理します。これは、ACIを初めて導入するチームにとって標準的な導入ポイントとなります。マルチポッド: 同一または近隣のデータセンター内の複数の物理ポッドに単一のACIファブリックを拡張し、ポッド間ネットワーク(IPN)で接続します。 複数拠点: 地理的に離れたデータセンター間で独立した ACI ファブリックを接続します。 Nexus Dashboard Orchestrator 各サイトには独自のAPICクラスタがありますが、ポリシーは中央で管理され、サイト全体に一貫して展開されます。アクティブ/アクティブ構成や災害復旧構成に最適なソリューションです。リモートリーフ: 標準IPネットワークを介して、ACIファブリックを支店やコロケーション施設に拡張します。これらのスイッチはメインのAPICクラスタによって管理され、プライマリファブリックの一部として認識されます。ミニACIファブリック: リーフスパイン型のハードウェアをフル数必要としない環境において、ACIのポリシーモデルをより小規模に展開するためのソリューション。クラウドACI(vAPIC): AWS または Azure に仮想 APIC をデプロイして、ACI ポリシーをパブリック クラウド環境に拡張します。 VMware vSphereの そしてNutanixハイパーバイザー環境。 Cisco ACIは、セキュリティとマイクロセグメンテーションをどのように実現するのですか? ACIのセキュリティモデルは、EPG間の契約に基づいて動作します。デフォルトでは、すべてのEPGは他のすべてのEPGから隔離されており、同じデータセンター内であっても暗黙の信頼関係は存在しません。トラフィックは、契約で明示的に許可された場合にのみ流れます。
コントラクトは、従来のACLに代わり、ワークロードがどこで実行されても一緒に移行する、アプリケーション認識型のポリシーを提供します。Web層がポート5432でデータベースEPGにアクセスする必要がある場合、そのフローのみを許可するコントラクトを作成し、それ以外のフローは一切通過させないようにします。
リーフスイッチはハードウェアでポリシーを適用するため、分離は誰かが設定ミスをしたり回避したりする可能性のあるソフトウェアファイアウォールに依存しません。
このアプローチは、セグメンテーションと最小権限の通信を強制することで、ゼロトラストの原則に合致しています。データセンター内のどのワークロードも、他のワークロードへの暗黙的なアクセス権を持ちません。攻撃者が最初の侵害後に用いる主要な手段である横方向の移動は、EPGの境界ごとに阻止されます。
セキュリティチームは、APICから契約リストをエクスポートすることでコンプライアンスを証明できます。なぜなら、そのリストは、どの機器がどの機器と通信できるかを示す、権威ある完全な記録だからです。
『Brooklyn Galaxy』のために、倪氏はブルックリン美術館のコレクションからXNUMX点の名品を選び、そのイメージを極めて詳細に描き込みました。これらの作品は、彼の作品とともに中国ギャラリーに展示されています。彼はXNUMX年にこの作品の制作を開始しましたが、最初の硬貨には、当館が所蔵する PCI DSS and HIPAAコンプライアンス ACIのEPG間契約モデルは、有用な監査証跡を生成します。そのため、カード所有者データゾーンのような範囲が限定された環境をEPGレベルで分離し、必要最小限のフローのみを許可する契約を締結できます。
Cisco ACI環境において、チームは何を監視する必要があるのでしょうか? APICは膨大なデータを表示するため、すべてを監視したくなる気持ちは分かります。しかし、そうすべきではありません。ACI環境の監視を運用してきた私たちの経験から、問題が本番環境に影響を与える前に発見するために最も重要な6つの主要領域は以下のとおりです。
生地の健康度スコア: 生地全体の総合的な健全性。劣化した葉や棘が1つでもこのスコアを下げるため、個々のデバイスをスキャンしなくても問題が可視化されます。葉と棘節の健康状態: スイッチごとのCPU使用率、メモリ使用量、インターフェースエラー率、ハードウェア障害発生率。これらは、容量決定やハードウェア障害の早期発見に不可欠です。テナントとEPGの健全性: アプリケーションレベルでのポリシー関連の障害や契約違反。これらは、予期しないトラフィックパターンがポリシーモデルに発生した際に顕在化し、設定ミスやセキュリティ上の問題を示している可能性があります。障害と事象: APICは、設定エラー、接続の問題、ハードウェアの問題に対して障害を通知します。重大度でフィルタリングすることで、対応が必要な問題に焦点を絞ることができます。インターフェーステレメトリ: インターフェースごとのトラフィック量、エラー率、およびパケット損失率。これらは、容量管理やトラブルシューティングの判断の根拠となる生データです。契約統計: EPG間のトラフィック量(許可されたトラフィックと破棄されたトラフィックの両方)。これにより、アプリケーションの通信パターンが可視化され、異常を検出できるようになります。 このデータのほとんどはAPICのREST APIを通じて利用可能であり、LogicMonitorはそれを利用して、サーバー、ストレージ、クラウドワークロード、ACI上で動作するアプリケーションなど、スタック全体の他の要素と並べて単一のビューに表示します。
その多層的な視点こそが、生地の状態スコアを、あなたが関心を持っている質問への答えへと変えるのです。 アプリケーションの動作が遅いのは、ネットワークの問題が原因でしょうか、それとも別の原因でしょうか? 次のセクションで説明するCisco Nexusダッシュボードは、複数のサイトにわたるACIのみのビューを処理します。
Cisco Nexusダッシュボードとは何ですか?また、ACIとどのように関連していますか? Nexus Dashboardは、APICの上位に位置するCiscoの統合運用プラットフォームです。ACI環境向けに、分析、異常検知、ライフサイクル管理機能を提供します。
APICはポリシーとデバイス構成を管理します。Nexusダッシュボードは、複数のACIサイトとファブリックにわたる一元的な可視性、分析、およびオーケストレーション機能を提供します。
ACIサイトが1つしかないチームであれば、APICだけで十分です。しかし、マルチサイトまたはマルチポッド構成の場合は、Nexusダッシュボードを中央運用レイヤーとして使用する必要があります。Nexusダッシュボードは、サイト間ポリシーの管理、ソフトウェアアップグレードの調整、複数のファブリックにまたがる問題の可視化を1つのインターフェースで行える場所です。
その主要な機能は以下のとおりです。
複数サイトの可視性
ファブリック全体におけるソフトウェアアップグレードの調整
Cisco管理ツール全体でシングルサインオンが可能
キャパシティプランニング分析
Cisco AppDynamicsなどのアプリケーション監視ツールとの統合により、アプリケーション認識型のネットワーク分析が可能になる。
Cisco ACI は何に使用されますか? ACIは、7種類の運用環境で使用されています。
プライベートクラウドネットワーク: ネットワークチームはAPICでポリシーのガードレールを定義し、アプリケーションチームはAPIまたはポータルを通じて独自のネットワークリソースをプロビジョニングします。新しいサービスごとにチケットを発行する必要はありません。一貫性のあるポリシーを備えたハイブリッドクラウド: AWS、Azure、またはGCP上のワークロードは、オンプレミス環境と同じEPGおよび契約モデルを使用するため、ワークロードがクラウドに移行すると、そのポリシーも一緒に移行されます。複数の拠点にわたる災害復旧: Nexus Dashboard Orchestratorは、マルチサイトACI展開全体でポリシーを複製するため、アプリケーションがフェイルオーバーした場合でも、リカバリサイトのネットワークは一貫したポリシーで事前に構成できます。規制環境におけるセグメンテーション: EPGは、カード所有者データ環境と患者記録システムを一般的な企業トラフィックから分離し、契約モデルはPCI DSSおよびHIPAAの審査のための明確な監査証跡を生成します。Kubernetesとコンテナネットワーク: ACI CNIプラグインは、Kubernetesの構成要素(名前空間、ラベル、ポッドなど)をEPGにマッピングし、契約を使用してそれらの間のトラフィックを制御するため、コンテナワークロードはVMやベアメタルサーバーと同じポリシーモデルに従います。サービスとしてのインフラストラクチャ: チームはAPIC APIを通じてVM、ストレージ、ネットワークをプロビジョニングし、手動でハードウェアを変更することなくインフラストラクチャを拡張できます。DevOps and CI / CDパイプライン 統合: Terraform、Ansible、ServiceNowは、デプロイメントパイプラインの一部としてAPIC APIを介してネットワーク変更をトリガーするため、ネットワークポリシーは、他のインフラストラクチャ変更と同様に、バージョン管理、テスト、デプロイされるコードになります。 ACIは、オープンなREST APIを通じて外部ツールと連携します。HTTP呼び出しが可能なプラットフォームであれば、APICへの読み書きが可能です。
シスコは、最も一般的なツールカテゴリ向けに認定済みの統合機能も提供しています。
カテゴリー ツール コードとしてのインフラストラクチャ / 自動化Terraform (Cisco ACI プロバイダー)、Ansible (ACI モジュール)、Puppet ITサービス管理 ServiceNowは、APIC APIを介してネットワーク変更を自動化またはトリガーするために、ACIワークフローと統合できます。 セキュリティと本人確認 Cisco ISE(IDベースのポリシー)、Cisco SD-Access(キャンパス環境とデータセンター環境間のセグメンテーション概念を拡張するための統合) 可観測性 Cisco AppDynamics、LogicMonitor クラウドプラットフォーム AWS (vAPIC)、Microsoft Azure (vAPIC)、Google Cloud Platform 仮想化とコンテナ VMware vSphere、Nutanix、Kubernetes(ACI CNIプラグイン)、Cisco UCS WANおよびキャンパスネットワーク Cisco SD-WAN Cisco Catalyst(SD-Access統合経由)
Cisco ACIはどのようなユーザー向けに設計されていますか? Cisco ACIは、マルチアプリケーション環境を運用するネットワークエンジニア、データセンターアーキテクト、NetOpsチーム向けに設計されています。以下のような場合に、Cisco ACIを最大限に活用できます。
1つまたは複数のデータセンターにまたがる多数のアプリケーションまたはワークロードを管理する
物理環境、仮想環境、クラウド環境全体で一貫したポリシー意図が必要
PCI DSS、HIPAA、またはネットワークセグメンテーションの実証とサポートが必要です。 フェドランプ
手動でのネットワーク変更が追いつかないほどの速さでリリースする開発者と協力する
マルチクラウドまたはハイブリッドクラウド環境を運用する(または運用を計画する)
銀行がACI EPGのセットを通してカード取引を処理している様子を想像してみてください。カード保有者環境は独自のEPG内にあり、契約によって監査人が想定する特定のデータフローのみが許可されています。
PCI監査が実施される際には、チームはAPICから契約リストをエクスポートして提出します。このリストは、どの機器がどの機器と通信できるかを示す公式記録であり、監査担当者がまさに確認しようとしている内容です。
小規模な組織でもMini ACI Fabric(リーフスイッチとスパインスイッチの数が少ない)を運用することは可能ですが、運用上のメリットが最も明確に現れるのは、より大規模で複雑な環境です。
注意点: 習得には時間がかかります。オペレーターはAPICで効率的に作業できるようになる前に、EPGと契約のモデルを理解する必要があります。もしチームのバックグラウンドが従来のネットワーク関連業務であれば、ポリシーモデルを理解するまでには数週間かかるでしょう。
Cisco ACIは従来のネットワークとどのように異なるのですか? 従来のネットワークでは、ポリシーは個々のデバイスに分散して適用されます。一方、ACIでは、ポリシーはAPICに配置され、スイッチがそれを強制します。この構造的な変化こそが、他のあらゆる違いを生み出す要因となっています。
次元 従来のネットワーク Cisco ACI 政策モデル デバイスごとのACLとVLANは、各スイッチで手動で設定されます。 APICにおける集中型宣言型ポリシーは、ファブリックに自動的に配信される。 Segmentation VLANベース。粒度が限られている。時間の経過とともにスプロール現象が蓄積する。 EPG/契約のマイクロセグメンテーション。アプリケーション認識型。ハードウェアレベルで適用。 プロビジョニング デバイスごとにCLI設定を手動で行う APIまたはGUIポリシーの変更は、関連するすべてのスイッチに自動的に反映されます。 スケーリング スイッチを追加したり、既存のスイッチを手動で再構成したりします。 リーフノードまたはスパインノードを追加すると、APICは手動での再設定なしにそれらをファブリックに統合します。 透明性 デバイスごとのログとSNMPポーリング ファブリック全体にわたる、集中管理されたヘルススコア、障害、およびテナント/EPGテレメトリ セキュリティデフォルト ネットワーク内部における暗黙の信頼。境界防御重視。 デフォルトでは、EPG間ではゼロトラスト原則に基づく拒否モデルが採用されています。明示的に許可されない限り、EPG間のすべてのトラフィックはデフォルトでブロックされます。 マルチクラウド クラウド環境ごとにツールとポリシーを分ける 仮想APICを介してAWS、Azure、GCPに拡張された一貫性のあるACIポリシーモデル 運用モデル 手作業による負担が大きい。規模が大きくなるにつれてエラーも増加する。 集中管理とオープンAPIにより、手作業による介入が削減されます。
SDNとは何ですか?また、ACIはSDNの中でどのような位置づけにあるのでしょうか? SDN(ソフトウェア定義ネットワーク)は、制御プレーン(トラフィックのルーティング方法を決定するシステム)とデータプレーン(パケットを転送するハードウェア)を分離します。
従来のネットワークでは、両者は同じ物理デバイス上に存在する。一方、SDN(ソフトウェア定義ネットワーク)では、中央コントローラがソフトウェアでルーティングの決定を管理し、各スイッチにトラフィックの転送方法を指示するため、各スイッチを手動で再構成する必要はない。
Cisco ACIは、シスコがデータセンター向けに開発したエンタープライズSDN(ソフトウェア定義ネットワーク)の実装です。初期のSDNモデルの中には、OpenFlowなどのプロトコルを使用して汎用ハードウェアと通信するものもありましたが、ACIはAPICコントローラ、ACIファームウェア、Nexus 9000スイッチから構成される統合システムであり、連携して動作するように設計されています。
これにより、ACIはオープンなSDN実装よりも多くの機能を備えることになるが、同時にACIがCiscoのハードウェア上で動作することを意味する。
Cisco ACI の始め方 データセンターにACIを導入することを検討している場合、最も重要な質問は次の2つです。
あなたの環境は、それを正当化するだけの規模と複雑さを備えていますか?
あなたのチームには、ポリシーモデルを習得するための時間的余裕がありますか?
テナント、EPG、契約など、ACIの構成要素を使用して、1つのアプリケーションのネットワーク要件をマッピングしてください。この作業によってセキュリティとセグメンテーションのニーズが明確になれば、ACIは本番環境で効果を発揮するでしょう。既にいくつかのVLANで対応できる範囲に対してACIが過剰だと感じられる場合は、現時点では必要ないでしょう。
そこから、Mini ACI Fabricや単一サイトでの展開は、妥当な概念実証となります。ほとんどのACIプロジェクトは学習曲線で停滞するため、本格的な展開に着手する前に、ネットワークエンジニアにAPICを実際に操作してもらうようにしてください。そのため、このギャップを早期に埋めることが、スムーズな展開と困難な展開を分ける鍵となります。
ACIを導入したら、監視体制もそれに合わせて強化していく必要があります。なぜなら、建物の状態スコアや契約統計は、適切なタイミングで誰も確認して対策を講じなければ、何の意味もないからです。
LogicMonitorを使えば、ACIファブリック全体と、その上で動作しているすべてのものを一箇所で確認できます。
サーバー、クラウドワークロード、アプリケーションと並行して、ファブリックの状態、EPG契約、インターフェースのテレメトリ情報を取得します。ユーザーが気づく前に、パフォーマンス低下の真の原因を特定できます。
よくあるご質問
1. Cisco ACIとNX-OSの違いは何ですか?
NX-OSは、シスコの従来型スイッチオペレーティングシステムです。ACIは、同じNexus 9000ハードウェア上で動作する全く異なる動作モデルですが、NX-OSモードではなくACIファームウェアを使用します。
2. ACIはどのようにKubernetesをサポートしますか?
Cisco ACI は以下と統合されます Kubernetes ACI CNI(コンテナネットワークインターフェース)プラグインを介して、KubernetesクラスタをACIファブリックに接続し、コンテナワークロードにACIネットワークポリシーを適用します。名前空間などのKubernetesの構成要素はEPGにマッピングされ、コントラクトによって名前空間間のトラフィックが制御されます。コンテナワークロードはVMやベアメタルサーバーと同じポリシーモデルに参加するため、コンテナ専用のポリシーシステムは存在しません。
3. チームはどのようにしてACIファブリックの状態を監視しますか?
APICは、ファブリック、個々のノード、テナント、およびEPGに0~100のスケールで健全性スコアを割り当てます。障害は、構成エラー、接続の問題、およびハードウェアの問題をリアルタイムで特定します。チームは、APIC REST APIを介してこのデータを取得し、サードパーティの監視ツールと統合したり、Cisco Nexusダッシュボードを使用して複数のACIサイトにわたる統合ビューを取得したりできます。
4. Cisco ACIを操作するには、どのようなスキルが必要ですか?
APICで効果的に作業するには、テナント、VRF、ブリッジドメイン、EPG、契約などを含むACIのポリシーモデルを理解する必要があります。
© LogicMonitor 2026 | 無断複写・転載を禁じます。 | ここで言及されているすべての商標、商号、サービス マーク、およびロゴは、それぞれの会社に帰属します。
