Cisco ACI 3.0(1k) release summarize in Japanese

1. ACI 3.0(1k) Release
シスコシステムズ合同会社
2017年 9月
Cisco Systems G.K.

2. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
アジェンダ
1. ACI Anywhere - Vision
2. New Hardware Support
3. Multi-Site
4. 管理性
5. スケーラビリティ
6. 管理連携
7. セキュリティ
8. Micro Segmentation

3. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
ACI Anywhere
- Vision

4. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Any Workload, Any Location, Any Cloud
Remote PoD Multi-Pod / Multi-Site Hybrid Cloud Extension
ACI Anywhere
IP
WAN
IP
WAN
Remote Location Public CloudOn Premise
Security Everywhere Policy EverywhereAnalytics Everywhere

5. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
New
Hardware Support

6. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
待望の!? 新BOX型Spine: Nexus 9364C
• 第1世代・第2世代の全Leafスイッチ
モデルとの接続をサポート
• 40/100G混在利用をサポート
• 100G Line rate MACSEC
VTEP-VTEP Encryption ※3.1～
• 40MB Smart Buffer
• VXLAN Routing
• QSFP28 / QSFP+ (40G)
• 1/10/25/40/50/100Gサポート
• 6.4T L2/L3 ASIC
MACSEC対応
(16ポート)
NX-OS/ACI両対応
※ACIはSpineのみ
Multi-site構成対応
※3.1～予定

7. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
100M/1G対応Leaf: Nexus 9348GC-FXP
• 100M/1G x48 (Port 1-48)
• 10G/25G x4 (Port 49-52)
• 40G/100G x2 (Port 53-54)
• 電源冗長構成対応
• FEX非サポート
APIC接続は
10Gポートのみサポート
NX-OS/ACI両対応
※ACIはLeafのみ
Spine接続
Breakout非対応
価格および機能と仕様の最適化
• RJ45/1G接続で十分な場合のNexus 9300の
1/10G Copperモデルからの置き換え
• Nexus 3048 からの置き換え(ACIサポート)
• Nexus 2248 FEXからの置き換え

8. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
FX Spine: N9k-X9736C-FX
• ACI Spine対応
• 100G x36ポート
• MACSECおよびCloudSec対応

9. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Multi-Site

10. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
ACI の発展
Single Pod
Single Fabric
ACI 1.0
Single Pod
“Stretch”
Single Fabric
ACI 1.1
Multi Pod
Single Availability Zone
ACI 2.0
Multi Site (Multi AZ)
Single Region
Multi Site Management
ACI 3.0
• Pod
共通のControl Plane (ISIS, BGP, COOPなど)で制御された
Leaf/Spineネットワーク
• Fabric
単一のAPICクラスタによって管理される範囲(AZ)
• Multi-Pod
単一AZ + 複数Pod
• Multi-Site
複数AZ (複数Fabric)

11. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
ACI Multi-Site 概要
Site A
VMVMVM
Multi-Site
Appliance
Site B
Site C
VMVMVM
Site D
サイト間で一貫したネットワークとポリシー
シームレスなワークロードの移行
単一のオーケストレーションポイント
完全に隔離された障害ドメイン
サイトを跨いだポリシーの作成と管理
• Tenant, Policy, Profile, RBAC rules
健全性ダッシュボード
• 単一管理UI/APIコンソールの提供
サイト
• 追加・削除・構成
Spine間接続
• Peering

12. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
L2/L3
Inter-Pod IP NetworkInter-Pod IP Network
L2/L3
EPG-Web
EPG-App
MP-BGP
IS-IS, COOP
DC1 – POD1
MP-BGP
IS-IS, COOP
DCn – PODn
シンプルに複数PODをActive/Activeで利用する仮想データセンターを構成することが可能
C1
Multi-POD構成:
単一APICクラスタ(単一AZ)・複数POD(Max 12)・最大400Leaf
※12 Pod/400 Leaf構成の場合はAPIC 7台でのクラスタ構成が必要。5台クラスタの場合は6 Pod/300Leaf構成まで。
管理性はSingle-Podのまま(単一のAPICクラスタがMulti-Pod全体の管理ポイントとなる)
MP-BGP - EVPN
(Max RTT 50msec)

13. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
シンプルに複数Site/Fabricをグローバル規模のActive/ActiveもしくはDRで利用する構成が可能
Multi-Site構成:
複数APICクラスタ(複数AZ)・複数Site(Max 5)・最大200Leaf
※スケーラビリティは3.0リリース時点、今後順次拡張予定
Inter-site IP NetworkにはMulticast要件なし(BUMトラフィックはHER)、MTUサイズ要件もなし。
L2/L3
Inter-Site IP NetworkInter-Site IP Network
L2/L3
EPG-Web
EPG-App
DC1 – SITE 1 DCn – SITE N
C1
Multi-Site
Appliance
MP-BGP - EVPN
(RTT 500msec to 1 sec)

14. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Multi-Site構成の主な想定ユースケース:
サイト間でのL3接続
L3
Site 1 Site 2
1
 BDはサイト間で延伸しない
 L3でのVRF内及びVRF間通信のみ利用
ACI
Multi
site
L3
Site 1
2 IPアドレスの移動あり
Disaster Recovery
 同一IPサブネットが異なるサイト間で
構成されている
 停止状態でのIPの移動や、サイト間で
の同一サブネットない通信を利用する
※サイト外からの接続には適切なサイトに通信を
振り向けるソリューションが必要
 サイト間を跨ぐL2フラッディングなし
Site 2
L3
Site 1 Site 2
3
IPアドレスの移動あり
Active/Active DC
 可用性および拡張性を目的として
分離したサイト間を接続する構成
 サイトを超えたL2接続性を構成
(Live VM Migration可能)
 サイト間を跨ぐL2フラッディングあり
ACI
Multi-
Site
ACI
Multi
site

15. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
ACI Multi-Site / ハードウェア要件
• Leafスイッチは全てのモデルをサポート
(必要要件なし)
• Inter-site Networkに接続する
Spineスイッチは -EX 以降の世代のみ
• Nexus 9336PQ は未サポート
(Spineとしての混在利用は可能)
• Nexus 9364C は CY18Q1 サポート予定
1st Gen
IP Network
-EX-EX1st Gen

16. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
ACI Multi-Site / Multi-Site Policy Manager
• マイクロサービスアーキテクチャ
(複数でのActive/Active構成をサポート)
• 3.0リリース時点ではvSphereのみサポート
(KVM, 物理アプライアンスは将来サポート予定)
• APICクラスタとの ～1秒のRTTをサポート
• 主な機能
• 各サイトの健全性モニタリング
• Inter-site EVPNコントロールプレーンの初期構成
• サイト間でのポリシーの展開と同期
• Inter-siteトラブルシューティング (今後提供予定)
• 現時点では全てのMulti-Siteアプライアンスを
単一のACIサイトに構成することを強く推奨
(将来的にマルチサイトでの展開に対応予定)
Hypervisor
REST
API
GUI
ACI Multi-Site
…..
VM
Site 1 Site 2 Site n
VM VM

17. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
ACI Multi-Site / 展開時の考慮事項
単一・近距離DCに複数サイトを展開する
ACI Multi-Site
VM VMVM
Hypervisor
IP Network
HypervisorHypervisor
Interconnecting DCs over WAN
San Jose
(Site2)
Tokyo
(Site1)
ACI
Multi-Site
WAN
Singapore
(Site3)
VMVM
Hypervisor
VM
Hypervisor
• ACIサイト間のRTT (～150 ms)
• ACI Multi-Site と APIC クラスタ間のRTT (～1 sec)
• Multi-Siteのノードを複数サイトに展開する (将来的な推奨)
• ACI Multi-Site は APIC と OOB ネットワーク経由で通信
• ACI Multi-Site の各ノードはそれぞれ個別のIPを保持
• ACI Multi-Site と APIC クラスタ間は非同期連携

18. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
ACI Multi-Site / テンプレートとプロファイル
• テンプレート = APICにおけるポリシー定義
• テンプレートは全てのサイトもしくは一部のサイト群に対して関連付ける
• プロファイル = 共通に利用されるテンプレートのグループ
• プロファイルの変更は非同期で各サイトに対して構成される
Site 1
プロファイル
Templateテンプレート
ポリシー
定義
SITE
LOCAL
有効なポリシー
(使用中)
Site 2
EP1
EPG
EP2
EPG
C
有効なポリシー
(使用中)

19. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
ACI APIC と Multi-Site それぞれの位置付け
APIC Multi Site
役割 Fabricを管理・構成する APICの機能を一部補完する
担当範囲
単一Fabricの範囲に対する全ての管理を
担当する
・ファブリックメンバの検出・構成
・アクセスポリシー
・ドメインの構成
・サービスグラフ連携 などなど・・・
複数のACIサイトに対して
ネットワークポリシーを展開する
連携 サードパーティとの連携ポイント
複数のAPICクラスタとの間でポリシー
のインポートや統合を行う
保持するデータ
ランタイムデータを保持する
(VTEPアドレス、VNID、Class_ID等)
ランタイムデータは保持しない
登録サイトとポリシーの紐付け等のみ
通信に対する影響範囲
Fabricとしてのコントロールプレーンおよびデータプレーンとしての参加はしない
(停止＝通信の停止とはならない)

20. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Multi-Site? Multi-Pod?
何を基準に、どちらを選べばいいのか？
Multi-Pod
運用のシンプル化 PODを跨いだ
完全機能の利用
APICノード数の
最小化
PODを跨いだ
単一の
VMM Domain
Multi-Site
隔離ドメインの
範囲の変更
Fabric全体の
さらなるスケール
遅延の多い・遠距
離のサイト間構成
マルチキャスト
要件はない

21. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
管理性

22. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
APIC Web GUIの改善
UIを全面的に改善。
• Cisco DC製品群との共通化
(色使い・アイコン等)
• Simple GUIは将来的に廃止
• ユーザ毎の構成の保持に対応
(User Preference)
• Critical Alert のより明確な表示
• Alert項目の一元表示UIの提供
• URIを用いたシェア機能の提供
• Object Browser へのリンクメニューを提供
• ポート構成UIの改善
• System Settings の提供
• プルダウンメニュー表示の改善
などなど・・・

23. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
APIC Web GUIの改善

24. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
APIC Web GUIの改善: System Settings

25. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
APIC Web GUIの改善: Faults

26. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
APIC Web GUIの改善: Object Browser

27. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
APIC Web GUIの改善: Object Clone

28. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
APIC Web GUIの改善: Object Share

29. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Forwarding Scale Profile
TCAMリソースの配分をポリシー定義することが可能となりました。
Dual Stack
(Default)
IPv4
Endpoint MAC 12k 24k
Endpoint IPv4 12k 24k
Endpoint IPv6 6k 0
LPM 20k 38k
Policy 61k 61k
Multicast 8k 8k
EXおよびFXモデルのみ利用可能、モード変更時には対象Leafスイッチがリロードされます。
今後、様々なモードのスケールプロファイルが提供される予定です。

30. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Maintenance Mode
ACIファブリックを構成するスイッチをメンバから外す際に、構成情報などは
維持したまま除外する [Maintenance (GIR)] が可能になりました。
• メンテナンス指定後も管理ポートからの接続が可
能な状態が維持され、ログの取得やデバッグ等が
可能となります。
• Re-commision(Reboot)操作により再度ファブ
リックメンバとして参加させることが可能です。
• 10分間IS-ISはoverload modeとなります
• vPCポートは起動まで2分の遅延があります
※非vPCポートでは遅延は設定されないため、サーバ側のチーミング
設定によっては通信の損失が発生する可能性があります。

31. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
遅延/PTP
トラブルシューティングツールの1つとして、ファブリックレベルでの遅延測定
が可能となりました。PTPによるファブリック全体での時刻精密同期が必
要となります(単一PODの場合、外部GrandMasterは不要/例外あり。Multi-Podの場合は必須)。
送信元・送信先いずれもEXおよびFXモデルの組合せのみ利用可能
• On-goingモード
• TEP間の遅延測定 ※経由モードは非サポート
• On-Demandモード
• レイテンシTCAMにプログラムされたフロールールに一致するIPフローに対して測定
• EP-EP, EPG-EPG, EP-EPG, External IP-EP, Any-EP, IP-EPGなどを取得可能

32. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
スケーラビリティ

33. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
あくまでも”Verified” Scalability
Ciscoは検証したスケーラビリティ情報を公開しています。
大半のスケーラビリティに関する数値はハードウェアとしての制約ではなく、
要望やソフトウェアの改善およびテスト結果に基いて各数値は継続的に
向上・改善されていきます。
※ACI3.0リリースのスケーラビリティ情報
https://www.cisco.com/c/en/us/td/docs/switches/datacenter/aci/apic/sw/
3-x/verified_scalabilty/b_Verified_Scalability_3_0_1x_and_13_0_1x.html

34. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
管理連携

35. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Kubernetes
OpFlex - OVS を用いた連携構成をサポート ※要物理サーバ
Node
OpFlex OVS
Node
OpFlex OVS

36. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
セキュリティ

37. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Dot1X Authentication
EPG接続時におけるEndpointの認証
Bare-Metal Hypervisor
Radius
Authentication
dot1x
Secure EPG
Bare-Metal 
Pass Fail Pass
• Endpointとしては物理サーバのみサポート
(将来的には対象範囲を拡大予定)
• -EX, -FX Leafスイッチのみサポート

38. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
2 Factor Authentication (2要素認証)
APIC外部認証 (SAML 2.0): IdPとしてADFS, Oktaをサポート
APICローカル認証: TOTP (Time-based One-Time Password)

39. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Micro Segmentation

40. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Intra-EPG Contract
• これまで:
”Allow All”(Default)か”Deny All”(Intra EPG Isolation)のみ
• Intra-EPG Contract:
同一EPG内のEndpoint間での通信にContractによる通信制御が可能
• 3.0リリース時点のサポート対象
 物理サーバ
 ACI連携されたVMware標準分散仮想スイッチに接続したVM
• 物理サーバとVMの混在環境への適用をサポート
• 通常EPGおよびuSeg EPGのいずれについてもサポート
• 複数vCenter / Pod をまたいで利用可能
EXおよびFXモデルに接続されたEPGに対してのみサポート
AVSおよびSCVMM管理下のHyper-V Domainは未サポート

41. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Proxy-ARP
ARPリクエストに対してLeafスイッチが
自身のMACアドレスで代理応答する。
これにより、Leafスイッチにおける通信
制御が可能となる。
仮想マシンに対しては、Private
VLAN機能と組み合わせて利用する
ことにより、Intra-EPG
Isolation/Contract機能を実現する。 VMware
分散仮想スイッチ
VM
1
VM
2
Web
X
Proxy ARP
Intra-EPG Contract/Proxy-ARP
vCenter
APIC
Controller
Intra-EPG Contract
構成・適用
TCP 22 allow
Deny all
Enable
Private VLAN
ARP
リクエスト
Proxy ARP
応答

42. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Hyper-V
• Hyper-V仮想マシンにおける Intra-EPG Isoation サポート

43. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Hyper-V
• VM-attributes による Hyper-V 連携において、AND/OR構成に対応

44. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Hyper-V
• Hyper-V仮想マシン カスタムアトリビュート ※βサポート
For example
Location: DC1