Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Intra EGP isolation
Black List 的なアプローチ・・
“やっちゃダメなことだけ”を禁止する。
今までのDC内セキュリティ
ACIのDC内セキュリティ
White List 的なアプローチ・・
“やっていいことだけ”を許可する。
そもそも“不要”なことはできない方がいい
internet
FW LB
ロードバランス対象のWebサーバ群
特に禁止されていなければそ
もそも不要な通信も“できて”
しまう。
Intra EGP isolation の利点
internet
FW LB
ロードバランス対象のWebサーバ群
APICが物理・仮想スイッチ問
わずAPI経由でHost間の通信
ポリシーをコントロール。
EPG
APIC
デモ環境Intra EGP isolation 動作概要
Web
VM1
Web
VM2
EPG Web-Prod
AVS
ESXi
EPG内のHost間は通常通信可能。
Intra EPG Isolationを”Enforced”にすると・・...
micro segmentation
ポリシー適用を自動化するには?
Development Production
vlan
Security
Policy
SLB
Policy
Dev環境とProd環境ではHostに
適用すべき各種ポリシーが違う。
Dev環境からProd環境にサ...
Host名でDynamicにmicro segmentation
ESXi
Web VM3-Dev
EPG Web-Dev
Web VM1-Prod
EPG Web-Prod
AVS
PGPG
Web VM3-Prod
vCenter上でHos...
Dynamic Attach Endpoint
ACI ファブリック
Dynamic Attach Endpoint
Web
VM1
Web
VM3
Web
VM2
internet
APIC
Prod Dev
EPGへJoinすると自動的にVIP
のmember poolに追加される。
W...
Upcoming SlideShare
Loading in …5
×

Aci友の会用資料2 20160622

404 views

Published on

ACI友の会第四回 ACIデモ資料

Published in: Technology
  • Be the first to comment

Aci友の会用資料2 20160622

  1. 1. Intra EGP isolation
  2. 2. Black List 的なアプローチ・・ “やっちゃダメなことだけ”を禁止する。 今までのDC内セキュリティ ACIのDC内セキュリティ White List 的なアプローチ・・ “やっていいことだけ”を許可する。
  3. 3. そもそも“不要”なことはできない方がいい internet FW LB ロードバランス対象のWebサーバ群 特に禁止されていなければそ もそも不要な通信も“できて” しまう。
  4. 4. Intra EGP isolation の利点 internet FW LB ロードバランス対象のWebサーバ群 APICが物理・仮想スイッチ問 わずAPI経由でHost間の通信 ポリシーをコントロール。 EPG APIC
  5. 5. デモ環境Intra EGP isolation 動作概要 Web VM1 Web VM2 EPG Web-Prod AVS ESXi EPG内のHost間は通常通信可能。 Intra EPG Isolationを”Enforced”にすると・・ APIC Web VM1 Web VM2 EPG Web-Prod AVS ESXi APICがAPI経由でAVSをコントロール、 同一EPG内のHost間でも通信が不可能に。
  6. 6. micro segmentation
  7. 7. ポリシー適用を自動化するには? Development Production vlan Security Policy SLB Policy Dev環境とProd環境ではHostに 適用すべき各種ポリシーが違う。 Dev環境からProd環境にサーバを移行。 How to do it dynamically?
  8. 8. Host名でDynamicにmicro segmentation ESXi Web VM3-Dev EPG Web-Dev Web VM1-Prod EPG Web-Prod AVS PGPG Web VM3-Prod vCenter上でHost名を変更すると所属するμEPGがダイナミックに 変更され、変更後のμEPGのポリシーが自動的に適用される。
  9. 9. Dynamic Attach Endpoint
  10. 10. ACI ファブリック Dynamic Attach Endpoint Web VM1 Web VM3 Web VM2 internet APIC Prod Dev EPGへJoinすると自動的にVIP のmember poolに追加される。 Web VM3の - MAC address - IP address を通知 Web VM3を VIP poolに追加指示

×