Contract

NOTE

  • ContractはACIのセキュリティポリシーを実現する機能
  • 従来のアクセスリストに相当
    – 許可、拒否、ログ、マーク、リダイレクト、コピー
  • EPG間の通信を制御
    – EPG内の通信にも適用できる
    – Contractを使わないで通信する設定もある
    – IPアドレスではなく、L4以上の情報で制御する
  • Contractは階層構造になっている
    – Contract(Subjectのグループ)
    – Subject(Filterのグループ)
    – Filter(Entryのグループ)
  • Provider (Provided)とConsumer (Consumed)という考え方がある
    – 発通信のあるほうがConsumer
  • Provider側から発通信がある場合はConsumerとして別途Contractを設定する
    (Provider兼Consumer)
  • APICやACIドキュメントでは矢印はProviderからConsumerに向かっているがContractの提供方向であって、通信の向きではない
  • 例外として、ICMP許可フィルタが適用されるEPG間ではプロバイダ通信も許可される(icmpというよりポート番号を持たない通信)
  • ACIをL2ネットワークとして使用する場合でも、EPG間の通信にはContractが必要

コメント