Endpoint Group

スポンサーリンク
スポンサーリンク

NOTE

  • ACI ではサーバなどのデバイスはEndpoint(EP) と呼び、そのグループをEndpoint Group(EPG) と呼ぶ単位で管理する
  • セキュリティポリシーをEPG に対して設定するので、EPG は同じポリシーを適用するEP の集合
  • EPG 同士の通信には通常、Contract の設定が必要(Contract を使わない設定もある)
  • EPG 内のEP 同士の通信はContract は不要
  • サーバなどのApplication EPG と、外部ネットワークをEPG に見做すExternal EPG がある

 

Intra EPG Isolation

EPG 内の通信を制御する機能。イメージ的にはPrivate VLAN に近い。

 

デフォルトのUnenforced では上段のようにEPG 内は通信可、EPG 間はContract に従う。Enforced で有効にすると(デフォルト設定では)EPG 内の通信ができなくなる。異なるEPG 内のEP とはContract に従う。

通常のContract をIntra-EPG Contract で適用するとEPG 内の通信を可能とすることができる。通信可能となるプロトコルはContract で指定されたFilter に従うが、Provider/Consumer が無いので方向性は無い。

 

Preferred Group Member

デフォルトではEPG 間通信はContract が必要だが、Contract 無しでも通信可能となるグループ、Contract が必要なグループを作ることができる機能。

機能としてはVRF 配下のEPG Collection for VRF でPreferred Group Member をEnabled にする。その上で各EPG をどちらのグループにするかをExclude かInclude で指定する。

 

 

コメント