Om security tussen EPGs te voorzien heeft ACI contracts. Dit is een snelle en goedkope oplossing om security tussen (micro)services te voorzien. Contracts bieden echter niet het aantal functionaliteiten zoals antivirus, IPS/IDS, … die NGFWs wel hebben. Om die reden bracht ACI Policy Based Redirect (PBR) uit.
PBR is een key selling point van ACI. In traditionele datacentra wordt vaak al het verkeer dat het datacenter binnenkomt door een firewall gestuurd. Het probleem hiermee is dat NGFWs vaak verkocht worden op basis van hun throughput. Wanneer al het verkeer door een firewall gaat ligt de throughput veel hoger dan wanneer dat verkeer eerst gefilterd wordt. Daarnaast is het in een traditionele DC omgeving niet mogelijk inter-subnet verkeer door een firewall te sturen.
De configuratie van PBR is niet eenvoudig. Zo moet er eerst een firewall aangemaakt worden (ik maakte een vASA) en moet er daar routing op ingesteld worden. Vervolgens moet dat apparaat aangemaakt worden in de APIC en moet er een service graph aangemaakt worden (model van hoe de PBR er zal uitzien). Tot slot wordt deze service graph toegepast en kan er getest worden.
Al het bovenstaande uitzoeken en configureren nam het grootste deel van de week in beslag.
Het datacenter sales team heeft elke week wel een aantal events waarop ze worden verwacht. Deze week moesten we een sessie geven aan partners over hybrid cloud. Op dinsdag zakte ik dus af naar Zemst en om het nuttige aan het aangename te koppelen zorgde de organisatie ervoor dat we na de workshop een initiatie curling kregen.
De week sloot ik samen met Hugues af op donderdag waar we carrièremogelijkheden bij Cisco bespraken.