Alta disponibilidade de vários nós na nuvem do Azure
Leia este documento para entender como configurar a alta disponibilidade de vários nós em instâncias do vSRX implantadas na nuvem do Azure.
Visão geral
Você pode configurar a alta disponibilidade de vários nós em firewalls virtuais vSRX implantados na nuvem do Microsoft Azure. O Microsoft Azure é a plataforma de aplicativos da Microsoft para a nuvem pública. É uma plataforma de computação em nuvem aberta, flexível e de nível empresarial para criar, implantar e gerenciar aplicativos e serviços por meio de uma rede global de data centers gerenciados pela Microsoft.
Você pode configurar um par de firewalls virtuais vSRX no Azure para operar como em uma configuração de alta disponibilidade de vários nós ativa/backup. Os nós participantes executam o controle ativo e os planos de dados ao mesmo tempo. Os nós fazem backup uns dos outros para garantir um failover sincronizado rápido em caso de falha do sistema ou hardware. A conexão de link de interchassis (ICL) entre os dois dispositivos sincroniza e mantém as informações de estado e lida com cenários de failover de dispositivo.
Você pode configurar a alta disponibilidade de vários nós em VMs de Firewall virtual vSRX personalizando as configurações de implantação de firewall na nuvem do Microsoft Azure.
Suporte a VPN IPsec
A partir do Junos OS versão 24.4R1, oferecemos suporte à VPN IPsec para alta disponibilidade de vários nós ativa/backup em implantações de nuvem do Azure.
Limitação
A alta disponibilidade de vários nós não dá suporte a várias configurações SRG (ativas/ativas) em implantações de nuvem pública. O modo ativo/backup é compatível com SRG0 ou SRG1. O túnel VPN IPsec ancora no SRG1, que funciona em um modo ativo/backup stateful. Todos os túneis VPN terminam no dispositivo em que o SRG1 está ativo.
Arquitetura
A Figura 1 mostra duas instâncias de Firewall virtual vSRX que formam um par de alta disponibilidade de vários nós na nuvem do Azure. Uma instância do Firewall virtual vSRX atua como o nó ativo e a outra instância atua como o nó de backup. Ambos os nós se conectam usando uma ICL para sincronizar e manter informações de estado e lidar com cenários de failover de dispositivo.
do Azure
O Firewall virtual vSRX requer dois endereços IP públicos e um ou mais endereços IP privados para cada grupo de instâncias individuais. As sub-redes públicas consistem em uma para a interface de gerenciamento (fxp0) e outra para uma interface de receita (dados). Você pode usar quaisquer quatro interfaces de receita para a configuração da sub-rede. A interface privada está conectada aos recursos protegidos. Ele garante que todo o tráfego entre aplicativos na sub-rede privada e na Internet passe pela instância do Firewall virtual vSRX.
Para Alta Disponibilidade de Vários Nós no Azure, você deve implantar os dois firewalls no mesmo Grupo de Recursos do Azure. Um Grupo de Recursos do Azure é um contêiner lógico que contém recursos relacionados para uma solução do Azure. Ele pode incluir todos os recursos da solução ou apenas os recursos que você deseja gerenciar como um grupo.
Você deve alocar um endereço primário específico do nó para cada nó e um endereço IP secundário ou flutuante comum para ambos os nós. O endereço IP secundário, que atua como um endereço IP flutuante, está sempre conectado ao nó ativo. Em caso de falha no nó ativo atual, o endereço IP secundário faz a transição do nó ativo com falha para o nó ativo atual. O novo nó ativo garante a continuidade do fluxo de tráfego.
Inicialmente, ambos os nós são iniciados com tags predefinidas informando qual é o proprietário do endereço IP secundário durante a inicialização. Esse nó específico começa a operar como o nó ativo e outro começa como um nó de backup.
Proteção Split-Brain
O cenário split-brain refere-se a uma situação em que ambos os nós do sistema Multinode High Availability ficam presos no mesmo estado, ativo ou backup, quando o enlace entre chassis (ICL) entre os nós está inativo. Para evitar esse estado, ambos os nós tentam investigar o endereço IP primário da relação de confiança ou não confiável, com base na configuração.
Quando um Interchassis Link (ICL) apresenta uma falha junto com uma falha de sondagem, o nó que não recebe uma resposta de seu peer assumirá a função ativa. No entanto, se a sondagem for bem-sucedida e confirmar que o nó peer ainda está operacional, o nó manterá seu estado atual. Esse processo de sondagem persiste até que a LCI seja restaurada.
Exemplo: configurar a alta disponibilidade de vários nós na implantação de nuvem do Azure
Você pode configurar a alta disponibilidade de vários nós em firewalls virtuais vSRX implantados na nuvem do Microsoft Azure. O Microsoft Azure é a plataforma de aplicativos da Microsoft para a nuvem pública. É uma plataforma de computação em nuvem aberta, flexível e de nível empresarial para criar, implantar e gerenciar aplicativos e serviços por meio de uma rede global de data centers gerenciados pela Microsoft.
Você pode configurar um par de firewalls virtuais vSRX no Azure para operar como em uma configuração de alta disponibilidade de vários nós ativa/backup. Os nós participantes executam o controle ativo e os planos de dados ao mesmo tempo. Os nós fazem backup uns dos outros para garantir um failover sincronizado rápido em caso de falha do sistema ou hardware. A conexão de link de interchassis (ICL) entre os dois dispositivos sincroniza e mantém as informações de estado e lida com cenários de failover de dispositivo.
| Tempo de leitura |
1 hora |
| Tempo de configuração |
2 horas |
Pré-requisitos de exemplo
Leia este tópico para entender como configurar a solução de alta disponibilidade de múltiplos nós em firewalls da Série SRX.
Neste exemplo, mostraremos como configurar a Alta Disponibilidade de Vários Nós em duas instâncias de Firewall virtual vSRX implantadas na Nuvem do Azure.
| Requisitos de VMs |
Dois firewalls virtuais vSRX implantados na nuvem do Azure |
| Requisitos de software |
Junos OS versão 23.4R1 ou versões posteriores |
| Requisitos de licenciamento |
Use a licença de Firewall virtual vSRX ou solicite uma licença de avaliação. As licenças podem ser obtidas no Sistema de gerenciamento de licenças (LMS) da Juniper Networks. |
Antes de começar
| Benefícios |
Aumenta a disponibilidade de firewalls da Série vSRX implantados no Azure, o que resulta em maior confiabilidade e redução do tempo de inatividade. |
| Saiba mais |
|
| Saiba Mais |
Visão geral funcional
| Tecnologias utilizadas |
|
| Tarefas de verificação primária |
|
Visão geral da topologia
A Figura 2 mostra a topologia usada neste exemplo.
Conforme mostrado na topologia, duas instâncias de Firewall virtual vSRX (nó 0 do vSRX e nó 1 do vSRX) são implantadas na nuvem do Azure. O lado não confiável se conecta a uma rede pública, enquanto o lado confiável se conecta aos recursos protegidos.
Duas instâncias de Firewall virtual vSRX são colocadas na sub-rede pública, pois as sub-redes públicas têm acesso ao gateway da Internet.
Em uma configuração de alta disponibilidade de vários nós, um endereço IP flutuante se move entre dois firewalls da Série SRX se um link ou firewall falhar. Como o endereço IP da interface primária no firewall do Azure não pode ser movido, você atribui um endereço IP secundário como um IP flutuante. Quando o nó ativo falha, o endereço IP flutuante muda para o nó de backup, permitindo que ele lide perfeitamente com o tráfego como o novo peer ativo.
Além disso, você deve configurar um link de interchassis (ICL) para sincronização de dados e manutenção de informações de estado. Os nós se comunicam entre si usando um endereço IP roteável atribuído à ICL.
A tabela a seguir fornece detalhes de interface e endereço IP usados neste exemplo.
| Função de interface | : nó primário (nó 0 do vSRX), | nó de backup (nó 1 do vSRX) | |
|---|---|---|---|
| ge-0/0/0 | ICL para se conectar ao nó peer |
10.0.1.10/24 |
10.0.1.11/24 |
| ge-0/0/1 | Interface não confiável |
|
|
| ge-0/0/2 | Interface de confiança |
|
|
Você precisa selecionar a imagem do Firewall virtual vSRX do Azure Marketplace e personalizar as configurações e dependências de implantação da VM do Firewall virtual vSRX com base em seus requisitos de rede na Nuvem do Microsoft Azure. Essa abordagem de implantação pode ser necessária para configurar a alta disponibilidade de vários nós em VMs vSRX. Observe que esse cenário de implantação está fora dos casos de uso oferecidos nos modelos de solução de VM de Firewall virtual vSRX disponíveis na Juniper Networks.
Vamos nos aprofundar nos detalhes de cada etapa para implantar o Firewall virtual vSRX no Microsoft Azure.
Configuração no Portal do Azure
| Nome | Tipo |
|---|---|
| azure-vSRX3.0 | Grupo de recursos |
| azure-vsrx3.0-vnet | Rede virtual |
| vsrx3.0-node0 | Máquina virtual para o Nó 0 |
| vsrx3.0-node1 | Máquina virtual para o Nó 1 |
| vsrx3.0-node0-ip | Endereço IP público para o Nó 0 |
| vsrx3.0-node1-ip | Endereço IP público para o Nó 1 |
| vsrx3.0-node0-nsg | Grupo de segurança de rede para o nó 0 |
| vsrx3.0-node1-nsg | Grupo de segurança de rede para o Nó 1 |
| vsrx3.0-node172 | Interface de rede para o nó 0 |
| vsrx3.0-node719 | Interface de rede para o nó 1 |
| Nome | IP privado primário |
|---|---|
| L3HA-ge-0 | 10.0.1.10 |
| L3HALink-node1 | 10.0.1.11 |
| node0-ge-1 | 10.0.2.110 |
| node0-ge-2 | 10.0.3.10 |
| node1-ge-1 | 10.0.2.20 |
| node1-ge-2 | 10.0.3.20 |
- Criar um grupo de recursos
- Atribuir função IAM (Gerenciamento de Identidade e Acesso)
- Criar uma conta de armazenamento
- Criar uma rede virtual
- Atribuir função do IAM
Criar um grupo de recursos
Um grupo de recursos é um contêiner lógico para recursos implantados no Azure. Ele ajuda você a gerenciar e organizar os recursos relacionados. A VM vSRX é um recurso dentro de um grupo de recursos do Azure. Todos os componentes relacionados ao vSRX (como rede virtual, conta de armazenamento, IP público etc.) fazem parte do mesmo grupo de recursos.- Entre no portal do Azure.
- Clique em Criar um recurso.
- Pesquise Grupo de recursos e crie um novo.
- Escolha um nome, insira a assinatura e selecione a região para o grupo de recursos.
- Clique em Examinar + criar e, em seguida, em Criar. A imagem a seguir mostra um exemplo de Grupo de Recursos.
Consulte Criar um grupo de recursos para obter detalhes.
Atribuir função IAM (Gerenciamento de Identidade e Acesso)
As funções do IAM controlam o acesso aos recursos do Azure. A atribuição de funções garante que apenas usuários autorizados possam gerenciar recursos específicos. Você deve conceder a função de "entidade de serviço" ao usuário ou grupos de usuários para gerenciar o serviço IAM.
- Navegue até o grupo de recursos.
- Clique em Controle de acesso (IAM).
- Adicione uma nova atribuição de função.
- Selecione a função desejada (Exemplo: Colaborador da Entidade de Serviço, Proprietário e assim por diante).
- Escolha o usuário ou grupo de usuários ao qual atribuir a função.
- Clique em Salvar.
Criar uma conta de armazenamento
Uma conta de armazenamento fornece um espaço de nome exclusivo para armazenar e acessar objetos de dados no Azure.- Em seu grupo de recursos, clique em Criar (+).
- Pesquise "Conta de armazenamento" e crie uma nova.
- Especifique o nome, o modelo de implantação, o desempenho e outras configurações.
- Clique em Examinar + criar e, em seguida, em Criar. Consulte Criar uma conta de armazenamento para obter detalhes.
Criar uma rede virtual
Uma VNet (rede virtual) é a base da sua infraestrutura do Azure. Ele permite que você conecte recursos do Azure com segurança.
- Em seu grupo de recursos, clique em Criar (+).
- Procure por Rede virtual e crie uma nova.
- Defina o nome, o espaço de endereço e a configuração da sub-rede.
- Clique em Examinar + criar e, em seguida, em Criar.
- Clique em Configurações > sub-redes. As sub-redes são usadas para conectar os dois nós do Firewall virtual vSRX usando uma conexão lógica (como as portas de conexão do cabo físico).
A tabela a seguir mostra uma configuração de exemplo usada neste exemplo.
Tabela 5: Configuração de sub-rede no Portal do Azure Função CIDR de função Sub-rede de gerenciamento 10.0.3.0/24 Gerenciamento de tráfego Sub-rede ICL 10.0.1.0/24 RTO, sincronização e tráfego relacionado a sondas Sub-rede não confiável 10.0.2.0/24 Tráfego externo Sub-rede de confiança 10.0.3.0/24 Tráfego interno
Atribuir função do IAM
- Habilite as permissões para usar a API do Azure navegando em Página Inicial > Identidades Gerenciadas.
- Selecione seu Grupo de Recursos e selecione Atribuições de função do Azure e clique na função que você deseja atribuir permissões.
Você precisa habilitar as seguintes permissões:
- Microsoft.Authorization/*/read
- Microsoft.Compute/virtualMachines/read
- Microsoft.Network/networkSecurityGroups/join/action
- Microsoft.Network/networkInterfaces/*
- Microsoft.Network/virtualNetworks/join/action
- Microsoft.Network/publicIPAddresses/read
- Microsoft.Network/publicIPAddresses/write
- Microsoft.Network/publicIPAddresses/join/action
- Microsoft.Authorization/*/read
- Microsoft.Compute/virtualMachines/read
- Microsoft.Network/routeTables/*
- Microsoft.Network/networkInterfaces/*
Agora você está pronto para implantar VMs vSRX.
Implantar VMs vSRX
Use as etapas a seguir para implantar duas instâncias de VM vSRX. Você usará essas duas instâncias para configurar a alta disponibilidade de vários nós. Para obter detalhes, consulte Implantar a imagem do Firewall virtual vSRX do Azure Marketplace.
- Entre no portal do Azure usando suas credenciais de conta da Microsoft.
- Pesquise vSRX no Azure Marketplace clicando em Criar um recurso e pesquise por Firewall virtual vSRX.
-
Selecione a imagem da VM vSRX no Azure Marketplace.
- Defina as configurações de implantação fornecendo os seguintes detalhes:
- Nome da VM vSRX.
- Grupo de recursos. (Você pode criar um novo ou usar um grupo existente). Neste exemplo, use o azure-vsrx3.0 que você criou anteriormente.
Observação:
Implante ambas as instâncias do Firewall virtual vSRX no mesmo grupo de recursos. O grupo de recursos conterá todos os recursos associados aos firewalls virtuais vSRX para essa implantação.
- Assinatura
- Tipo de disco da VM
- Região em que você deseja implantar a VM.
- Tipo de autenticação
- Nome de usuário e senha para acesso à VM.
- Defina as configurações de armazenamento, rede e monitoramento para a VM de Firewall virtual vSRX. Isso inclui especificar a conta de armazenamento, a rede virtual, a sub-rede, o endereço IP público, o grupo de segurança de rede, as extensões de VM, o conjunto de disponibilidade e as opções de monitoramento.
- Revise suas configurações e clique em Criar.
O Azure começará a provisionar a VM vSRX com base em sua configuração. Depois que as VMs do Firewall virtual vSRX são criadas, o painel do portal do Azure lista as novas VMs do Firewall virtual vSRX em Grupos de Recursos.
Lembre-se de personalizar essas etapas com base em seus requisitos específicos e design de rede.
Conclua as seguintes configurações para as instâncias do Firewall virtual vSRX que você acabou de implantar no portal do Azure:
- Criar tags
- Criar um endereço IP público
- Criar uma interface de rede
- Criar um Grupo de Segurança de Rede (NSG)
- Configurar interfaces e endereços IP
Criar tags
Na página da VM do vSRX, selecione Tags na barra de navegação à esquerda.
Crie marcas no Azure para ambas as VMs para identificar as interfaces confiáveis e não confiáveis em duas instâncias de Firewall virtual vSRX. As tabelas a seguir mostram marcas de exemplo usadas neste exemplo.
| Nome da tag |
Valor |
|---|---|
| local_trust_interface |
node0-ge-002 |
| local_untrust_interface |
node0-ge-001 |
| peer_trust_interface |
node1-ge-002 |
| peer_untrust_interface |
node1-ge-001 |
Observe que os nomes de tag mencionados na tabela são para configuração padrão. Recomendamos usar os mesmos nomes de tag na configuração.
Criar um endereço IP público
No portal do Azure, vá para a seção Criar um recurso . Localize e selecione Rede e vá para Endereço IP público.
- Clique em Criar para começar a configurar um novo endereço IP público.
- Defina as configurações de endereço IP com os seguintes detalhes:
- Nome: insira um nome exclusivo para o recurso de IP público.
- SKU: Escolha entre as ofertas Basic e Standard.
- Versão do IP: Selecione IPv4 ou IPv6 com base em seus requisitos.
- Atribuição de endereço IP: escolha Estático ou Dinâmico.
- Selecione ou crie um grupo de recursos em que esse IP residirá.
- Local: escolha a região do Azure mais próxima de seus usuários.
- Depois de configuradas, revise as configurações e clique em Criar para alocar o endereço IP público.
Criar uma interface de rede
Planeje a configuração do adaptador de rede nos firewalls da Série vSRX no Azure.
- Navegue até Interfaces de rede no portal do Azure na seção Rede .
- Clique em Criar interface de rede.
- Insira os seguintes detalhes para o novo adaptador de rede:
- Nome: forneça um nome exclusivo para sua NIC.
- Região: selecione a mesma região que sua VNet, VMs e endereços IP.
- Rede virtual: escolha a rede virtual à qual você deseja que sua NIC seja associada.
- Sub-rede: selecione a sub-rede apropriada.
- Anexe o endereço IP público que você criou anteriormente, se necessário.
- Escolha criar um novo grupo de segurança de rede ou associá-lo a um existente.
- Revise as configurações e clique em Criar para provisionar a nova NIC.
Criar um Grupo de Segurança de Rede (NSG)
- Selecione Grupos de segurança de rede na categoria Rede no portal do Azure.
- Selecione Criar grupo de segurança de rede.
- Configure seu NSG com os seguintes detalhes:
- Nome: crie um nome para o NSG.
- Assinatura: verifique se você está trabalhando com a assinatura correta.
- Grupo de recursos: selecione um existente ou crie um novo.
- Localização: Combine-o com o local dos recursos que você está protegendo.
- Adicionar regras: após a criação, defina regras de segurança de entrada e saída para controlar o tráfego de e para sua NIC e VMs.
- Volte para sua NIC ou sub-rede e associe-a ao novo NSG.
- Verifique as configurações e crie o NSG.
Lembre-se de definir as regras de segurança apropriadas para o NSG gerenciar o fluxo de tráfego de acordo com seus requisitos.
Depois de criar um adaptador de rede, um endereço IP público e um grupo de segurança de rede, você pode continuar a anexar a NIC a uma máquina virtual e o NSG à NIC ou a uma sub-rede. Isso complementa a configuração necessária para conectividade de rede e segurança para seu ambiente do Azure.
Configurar interfaces e endereços IP
- Navegue até a VM vSRX implantada e clique em Configurações > Rede.
- Localize a interface de rede conectada.
- Clique no nome do adaptador de rede para abrir seus detalhes. Na seção Configurações de IP, você encontrará o endereço IP atribuído (se houver) e também poderá configurar o endereço IP. Para este exemplo, use a configuração de endereço IP conforme mencionado na tabela a seguir:
| VMs |
Nó de VM vSRX 0 (vsrx3.0-node0) (nó ativo) |
Nó de VM vSRX 1 (vsrx3.0-node1) (nó de backup) |
||||
|---|---|---|---|---|---|---|
| Interface não confiável | Interface de confiança |
ICL |
Interface não confiável |
Interface de confiança |
ICL |
|
| Interfaces | ge-0/0/1 | ge-0/0/2 | ge-0/0/0 |
ge-0/0/1 | ge-0/0/2 | ge-0/0/0 |
| Endereço IP primário | 10.0.2.110 |
10.0.3.10 |
10.0.1.10/24 |
10.0.2.20 |
10.0.3.20 |
10.0.1.11/24 |
| Endereço IP secundário (endereço IP estático da sub-rede) | 10.0.2.11 |
10.0.3.12 |
- |
O nó que atua como nó de backup recebe o mesmo endereço IP quando faz a transição para a função ativa.- | O nó que atua como nó de backup recebe o mesmo endereço IP quando faz a transição para a função ativa.- | - |
| Associar endereço IP público ao secundário para acessar a Internet | 172.16.0.0 |
(Não aplicável neste exemplo) |
- |
Observação: o nó que atua como nó de backup recebe o mesmo endereço IP quando faz a transição para a função ativa. |
(Não aplicável neste exemplo) |
- |
Certifique-se de habilitar o encaminhamento de IP na interface do link de controle e configurar rotas padrão nos lados confiável e não confiável.
Clique em Configurações > Rede para exibir as configurações de interfaces, sub-rede e IP da VM.
Após a conclusão da implantação do Firewall virtual vSRX, a VM do Firewall virtual vSRX é ligada e iniciada automaticamente. Neste ponto, você pode usar um cliente SSH para fazer login na VM do Firewall virtual vSRX.
Agora que todas as configurações necessárias no portal do Azure foram concluídas, vamos iniciar a configuração no Firewall virtual vSRX usando a CLI.
Certifique-se de usar a versão mais recente da imagem de software vSRX (23.4R1 ou posterior). Você pode atualizar diretamente o software Junos OS para Firewall virtual vSRX usando a CLI. A atualização ou o downgrade do Junos OS pode levar várias horas, dependendo do tamanho e da configuração da rede. Faça o download do arquivo Junos OS Release for Firewall virtual vSRX.tgz desejado no site da Juniper Networks. Consulte as instruções de migração, upgrade e downgrade.
Configurar firewalls virtuais vSRX
Para obter exemplos completos de configurações no DUT, consulte:
O pacote Junos IKE é recomendado em seus firewalls da Série SRX para configuração de alta disponibilidade de vários nós. Esse pacote está disponível como um pacote padrão ou como um pacote opcional nos firewalls da Série SRX. Consulte Suporte para o pacote Junos IKE para obter detalhes.
Se o pacote não estiver instalado por padrão no firewall da Série SRX, use o comando a seguir para instalá-lo. Você precisa desta etapa para criptografia ICL.
user@host> request system software add optional://junos-ike.tgz Verified junos-ike signed by PackageProductionECP256_2022 method ECDSA256+SHA256 Rebuilding schema and Activating configuration... mgd: commit complete Restarting MGD ... ...... Restart cli using the new version ? [yes,no] (yes)
Verificação
Use os comandos show para confirmar se a configuração está funcionando corretamente.
| Tarefa de verificação de | comando |
|---|---|
|
|
Exiba detalhes do status de alta disponibilidade de vários nós em seu dispositivo de segurança, incluindo o status de integridade do nó de mesmo nível. |
show security cloud high- availability information |
Exibir status sobre a implantação de alta disponibilidade de vários nós na nuvem pública (AWS ou Azure). |
- Verificar detalhes de alta disponibilidade de vários nós
- Verificar informações de alta disponibilidade de vários nós no Azure
Verificar detalhes de alta disponibilidade de vários nós
Finalidade
Visualize e verifique os detalhes da configuração de alta disponibilidade de múltiplos nós configurada em sua instância do Firewall virtual vSRX.
Ação
Do modo operacional, execute o comando a seguir em ambos os dispositivos.
No nó 0 (nó ativo)
user@srx-00> show chassis high-availability information
Node failure codes:
HW Hardware monitoring LB Loopback monitoring
MB Mbuf monitoring SP SPU monitoring
CS Cold Sync monitoring SU Software Upgrade
Node Status: ONLINE
Local-id: 1
Local-IP: 10.0.1.10
HA Peer Information:
Peer Id: 2 IP address: 10.0.1.11 Interface: ge-0/0/0.0
Routing Instance: default
Encrypted: NO Conn State: UP
Configured BFD Detection Time: 5 * 400ms
Cold Sync Status: COMPLETE
SRG failure event codes:
BF BFD monitoring
IP IP monitoring
IF Interface monitoring
CP Control Plane monitoring
Services Redundancy Group: 1
Deployment Type: CLOUD
Status: ACTIVE
Activeness Priority: 200
Preemption: DISABLED
Process Packet In Backup State: NO
Control Plane State: READY
System Integrity Check: N/A
Failure Events: NONE
Peer Information:
Peer Id: 2
Status : BACKUP
Health Status: HEALTHY
Failover Readiness: NOT READY
No nó 1 (nó de backup)
user@srx-01# show chassis high-availability information
Node failure codes:
HW Hardware monitoring LB Loopback monitoring
MB Mbuf monitoring SP SPU monitoring
CS Cold Sync monitoring SU Software Upgrade
Node Status: ONLINE
Local-id: 2
Local-IP: 10.0.1.11
HA Peer Information:
Peer Id: 1 IP address: 10.0.1.10 Interface: ge-0/0/0.0
Routing Instance: default
Encrypted: NO Conn State: UP
Configured BFD Detection Time: 5 * 400ms
Cold Sync Status: COMPLETE
Services Redundancy Group: 0
Current State: ONLINE
Peer Information:
Peer Id: 1
SRG failure event codes:
BF BFD monitoring
IP IP monitoring
IF Interface monitoring
CP Control Plane monitoring
Services Redundancy Group: 1
Deployment Type: CLOUD
Status: BACKUP
Activeness Priority: 100
Preemption: DISABLED
Process Packet In Backup State: NO
Control Plane State: NOT READY
System Integrity Check: COMPLETE
Failure Events: NONE
Peer Information:
Peer Id: 1
Status : ACTIVE
Health Status: HEALTHY
Failover Readiness: N/A
Significado
Verifique estes detalhes na saída do comando:
- Detalhes do nó local e do nó de peer, como endereço IP e ID.
- O campo Tipo de Implantação: CLOUD indica que a configuração é para a implantação da nuvem.
- O campo Grupo de Redundância de Serviços:1 indica o status do SRG1 (ATIVO ou BACKUP) nesse nó.
Verificar informações de alta disponibilidade de vários nós no Azure
Finalidade
Verifique o status da implantação de alta disponibilidade de vários nós na nuvem do Azure.
Ação
Do modo operacional, execute o seguinte comando:
user@srx-00> show security cloud high-availability information
Cloud HA Information:
Cloud Type Cloud Service Type Cloud Service Status
AZURE Secondary IP Bind to Peer Node
Significado
Verifique estes detalhes na saída do comando:
- O campo Tipo de nuvem: Azure indica que a implantação é para o Azure.
- O campo Tipo de Serviço de Nuvem: IP Secundário indica que a implantação do Azure usa o IP secundário para controlar o tráfego.
- O campo Status do Serviço de Nuvem: Vincular ao Nó Par indica a ligação do endereço IP secundário ao nó par, o que significa que o nó atual é o nó de backup.
Lista de verificação de solução básica de problemas
- Verifique se o IP secundário para interface não confiável e a interface confiável estão na mesma instância de VM vsrx3.0.
- Verifique os quatro valores de tag para corresponder aos nomes das interfaces.
- Verifique se a regra de entrada está correta para permitir o tráfego.
- Verifique se o encaminhamento de IP está habilitado no portal do Azure.
- Verifique se a rota do portal do Azure e a rota da CLI do vSRX estão sincronizadas.
- Verifique a interface não confiável do nó ativo para ver se os endereços IP flutuantes estão anexados a ele no portal do Azure.
Definir comandos em todos os dispositivos
Firewall virtual vSRX (Nó 0)
set chassis high-availability local-id 1 set chassis high-availability local-id local-ip 10.0.1.10 set chassis high-availability peer-id 2 peer-ip 10.0.1.11 set chassis high-availability peer-id 2 interface ge-0/0/0.0 set chassis high-availability peer-id 2 liveness-detection minimum-interval 400 set chassis high-availability peer-id 2 liveness-detection multiplier 5 set chassis high-availability services-redundancy-group 1 mode active-backup set chassis high-availability services-redundancy-group 1 deployment-type cloud set chassis high-availability services-redundancy-group 1 peer-id 2 set chassis high-availability services-redundancy-group 1 prefix-list pref1 routing-instance s1-router set chassis high-availability services-redundancy-group 1 managed-services ipsec set chassis high-availability services-redundancy-group 1 activeness-priority 200 set security policies default-policy permit-all set security zones security-zone icl host-inbound-traffic system-services all set security zones security-zone icl host-inbound-traffic protocols all set security zones security-zone icl interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust host-inbound-traffic protocols bfd set security zones security-zone untrust host-inbound-traffic protocols bgp set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/2.0 set security cloud high-availability azure peer-liveliness probe-ip 10.0.2.20 set security cloud high-availability azure peer-liveliness probe-ip source-ip 10.0.2.110 set security cloud high-availability azure peer-liveliness probe-ip routing-instance s1-router set interfaces ge-0/0/0 unit 0 family inet address 10.0.1.10/24 set interfaces ge-0/0/1 unit 0 family inet address 10.0.2.110/24 primary set interfaces ge-0/0/1 unit 0 family inet address 10.0.2.11/24 set interfaces ge-0/0/2 unit 0 family inet address 10.0.3.10/24 primary set interfaces ge-0/0/2 unit 0 family inet address 10.0.3.12/24 set interfaces lo0 description HA_LOOPBACK set interfaces lo0 unit 0 family inet address 10.11.1.10/32 primary set policy-options prefix-list pref1 10.0.2.0/24 set routing-instances s1-router instance-type virtual-router set routing-instances s1-router routing-options static route 0.0.0.0/0 next-hop 10.0.2.1 set routing-instances s1-router interface ge-0/0/1.0 set routing-instances s1-router interface ge-0/0/2.0
Firewall virtual vSRX (nó 1)
set chassis high-availability local-id 2 set chassis high-availability local-id local-ip 10.0.1.11 set chassis high-availability peer-id 1 peer-ip 10.0.1.10 set chassis high-availability peer-id 1 interface ge-0/0/0.0 set chassis high-availability peer-id 1 liveness-detection minimum-interval 400 set chassis high-availability peer-id 1 liveness-detection multiplier 5 set chassis high-availability services-redundancy-group 1 mode active-backup set chassis high-availability services-redundancy-group 1 deployment-type cloud set chassis high-availability services-redundancy-group 1 peer-id 1 set chassis high-availability services-redundancy-group 1 prefix-list pref1 routing-instance s1-router set chassis high-availability services-redundancy-group 1 managed-services ipsec set chassis high-availability services-redundancy-group 1 activeness-priority 100 set security policies default-policy permit-all set security zones security-zone icl host-inbound-traffic system-services all set security zones security-zone icl host-inbound-traffic protocols all set security zones security-zone icl interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust host-inbound-traffic protocols bfd set security zones security-zone untrust host-inbound-traffic protocols bgp set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/2.0 set security cloud high-availability azure peer-liveliness probe-ip 10.0.2.110 set security cloud high-availability azure peer-liveliness probe-ip source-ip 10.0.2.20 set security cloud high-availability azure peer-liveliness probe-ip routing-instance s1-router set interfaces ge-0/0/0 unit 0 family inet address 10.0.1.11/24 set interfaces ge-0/0/1 unit 0 family inet address 10.0.2.20/24 primary set interfaces ge-0/0/1 unit 0 family inet address 10.0.2.11/24 set interfaces ge-0/0/2 unit 0 family inet address 10.0.3.20/24 primary set interfaces ge-0/0/2 unit 0 family inet address 10.0.3.12/24 set interfaces lo0 description HA_LOOPBACK set interfaces lo0 unit 0 family inet address 10.11.1.11/32 primary set policy-options prefix-list pref1 10.0.2.0/24 set routing-instances s1-router instance-type virtual-router set routing-instances s1-router routing-options static route 0.0.0.0/0 next-hop 10.0.2.1 set routing-instances s1-router interface ge-0/0/1.0 set routing-instances s1-router interface ge-0/0/2.0
mostrar saída de configuração
No modo de configuração, confirme sua configuração inserindo os show high availabilitycomandos , show security zonese show interfaces . Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
Firewall virtual vSRX (Nó 0)
user@srx-00# show chassis high-availability
local-id {
1;
local-ip 10.0.1.10;
}
peer-id 2 {
peer-ip 10.0.1.11;
interface ge-0/0/0.0;
liveness-detection {
minimum-interval 400;
multiplier 5;
}
}
services-redundancy-group 1 {
mode active-backup;
deployment-type cloud;
peer-id {
2;
}
prefix-list pref1 {
routing-instance s1-router;
}
managed-services ipsec;
activeness-priority 200;
}
user@srx-00# show security zones
security-zone icl {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
ping;
}
protocols {
bfd;
bgp;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/2.0;
}
}
user@srx-00# show security cloud
high-availability {
azure {
peer-liveliness {
probe-ip 10.0.2.20 source-ip 10.0.2.110 routing-instance s1-router;
}
}
}
user@srx-00# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.0.1.10/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 10.0.2.110/24 {
primary;
}
address 10.0.2.11/24;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
address 10.0.3.10/24 {
primary;
}
address 10.0.3.12/24;
}
}
}
lo0 {
description HA_LOOPBACK;
unit 0 {
family inet {
address 10.11.1.10/32 {
primary;
}
}
}
}
user@srx-00# show routing-instances
s1-router {
instance-type virtual-router;
routing-options {
static {
route 0.0.0.0/0 next-hop 10.0.2.1;
}
interface ge-0/0/1.0;
interface ge-0/0/2.0;
}
Firewall virtual vSRX (nó 1)
user@srx-01# show chassis high-availability
local-id {
2;
local-ip 10.0.1.11;
}
peer-id 1 {
peer-ip 10.0.1.10;
interface ge-0/0/0.0;
liveness-detection {
minimum-interval 400;
multiplier 5;
}
}
services-redundancy-group 1 {
mode active-backup;
deployment-type cloud;
peer-id {
1;
}
prefix-list pref1 {
routing-instance s1-router;
}
managed-services ipsec;
activeness-priority 100;
}
user@srx-01# show security zones
security-zone icl {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
ping;
}
protocols {
bfd;
bgp;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/2.0;
}
}
user@srx-01# show security cloud
high-availability {
azure {
peer-liveliness {
probe-ip 10.0.2.110 source-ip 10.0.2.20 routing-instance s1-router;
}
}
}
user@srx-01# show interfacesge-0/0/0 {
unit 0 {
family inet {
address 10.0.1.11/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 10.0.2.20/24 {
primary;
}
address 10.0.2.11/24;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
address 10.0.3.20/24 {
primary;
}
address 10.0.3.12/24;
}
}
}
lo0 {
description HA_LOOPBACK;
unit 0 {
family inet {
address 10.11.1.11/32 {
primary;
}
}
}
}
user@srx-01# show routing-instances
s1-router {
instance-type virtual-router;
routing-options {
static {
route 0.0.0.0/0 next-hop 10.0.2.1;
}
interface ge-0/0/1.0;
interface ge-0/0/2.0;
}
Tabela de histórico de alterações
A compatibilidade com recursos é determinada pela plataforma e versão utilizada. Use o Explorador de recursos para determinar se um recurso é compatível com sua plataforma.