Alta disponibilidade multinodo em Azure Cloud
Leia este documento para entender como configurar a alta disponibilidade multinode em instâncias vSRX implantadas na nuvem Azure.
Visão geral
Você pode configurar a alta disponibilidade multinode em firewalls virtuais vSRX implantados no Microsoft Azure Cloud. O Microsoft Azure é a plataforma de aplicativos da Microsoft para a nuvem pública. É uma plataforma de computação em nuvem aberta, flexível e de nível empresarial para construir, implantar e gerenciar aplicativos e serviços por meio de uma rede global de data centers gerenciados pela Microsoft.
Você pode configurar um par de firewalls virtuais vSRX no Azure para operar como em uma configuração ativa/de backup multinodo de alta disponibilidade. Os nós participantes executam planos de controle ativo e dados ao mesmo tempo. Os nós backup uns aos outros para garantir um failover sincronizado rápido em caso de falha de sistema ou hardware. A conexão do link de interchasse (ICL) entre os dois dispositivos sincroniza e mantém as informações de estado e lida com os cenários de failover do dispositivo.
Você pode configurar a alta disponibilidade multinode em VMs de firewall virtual vSRX personalizando as configurações de implantação de firewall no Microsoft Azure Cloud.
Suporte para VPN IPsec
A partir do Junos OS Release 24.4R1, oferecemos suporte à VPN IPsec para alta disponibilidade multinoda ativa/backup em implantações do Azure Cloud.
Limitação
A alta disponibilidade multinodo não oferece suporte a várias configurações de SRG (ativa/ativa) em implantações de nuvem pública. O modo ativo/backup oferece suporte a SRG0 ou SRG1. Âncoras de túnel de VPN IPsec no SRG1, que funciona em um modo ativo/backup stateful. Todos os túneis vpn terminam no dispositivo onde o SRG1 está ativo.
Arquitetura
A Figura 1 mostra que duas instâncias de firewall virtual vSRX formam um par de alta disponibilidade Multinode na nuvem do Azure. Uma instância do firewall virtual vSRX atua como um nó ativo e a outra instância funciona como um nó de backup. Ambos os nós se conectam entre si usando uma ICL para sincronizar e manter informações de estado e lidar com cenários de failover de dispositivos.
O firewall virtual vSRX requer dois endereços IP públicos e um ou mais endereço IP privado para cada grupo de instâncias individuais. As sub-redes públicas consistem em uma interface de gerenciamento (fxp0) e outra para uma interface de receita (dados). Você pode usar qualquer quatro interfaces de receita para a configuração da sub-rede. A interface privada está conectada aos recursos protegidos. Ele garante que todo o tráfego entre aplicativos na sub-rede privada e na Internet deve passar pela instância de firewall virtual vSRX.
Para a alta disponibilidade de multinodos no Azure, você deve implantar ambos os firewalls dentro do mesmo grupo de recursos do Azure. Um grupo de recursos do Azure é um contêiner lógico que detém recursos relacionados para uma solução Azure. Ele pode incluir todos os recursos para a solução, ou apenas os recursos que você deseja gerenciar como um grupo.
Você deve alocar um endereço primário específico de nós para cada nó e um endereço IP secundário ou flutuante comum para ambos os nós. O endereço IP secundário, que funciona como um endereço IP flutuante, é sempre anexado ao nó ativo. Em caso de falha no nó ativo atual, o endereço IP secundário faz a transição do nó ativo fracassado para o nó ativo atual. O novo nó ativo garante a continuidade do fluxo de tráfego.
Inicialmente, ambos os nós são lançados com tags predefinidas afirmando qual é o proprietário do endereço IP secundário durante o inicialização. Esse nó em particular começa a operar quando o nó ativo e outro começa como um nó de backup.
Proteção split-brain
O cenário de cérebro dividido refere-se a uma situação em que ambos os nós do sistema de alta disponibilidade multinodo ficam presos no mesmo estado, ativos ou de backup, quando o enlace entre chassis (ICL) entre os nós está desativado. Para evitar esse estado, ambos os nós tentam sondar o endereço IP primário da confiança ou a interface não confiável, com base na configuração.
Quando um Link de Interchassis (ICL) experimenta uma falha, juntamente com uma falha na sonda, o nó que não recebe uma resposta de seus pares assumirá o papel ativo. No entanto, se a sonda tiver sucesso e confirmar que o nó peer ainda está operacional, o nó manterá seu estado atual. Esse processo de sondagem persiste até que a ICL seja restaurada.
Exemplo: configure a alta disponibilidade de multinodos na implantação do Azure Cloud
Você pode configurar a alta disponibilidade multinode em firewalls virtuais vSRX implantados no Microsoft Azure Cloud. O Microsoft Azure é a plataforma de aplicativos da Microsoft para a nuvem pública. É uma plataforma de computação em nuvem aberta, flexível e de nível empresarial para construir, implantar e gerenciar aplicativos e serviços por meio de uma rede global de data centers gerenciados pela Microsoft.
Você pode configurar um par de firewalls virtuais vSRX no Azure para operar como em uma configuração ativa/de backup multinodo de alta disponibilidade. Os nós participantes executam planos de controle ativo e dados ao mesmo tempo. Os nós backup uns aos outros para garantir um failover sincronizado rápido em caso de falha de sistema ou hardware. A conexão do link de interchasse (ICL) entre os dois dispositivos sincroniza e mantém as informações de estado e lida com os cenários de failover do dispositivo.
| Tempo de leitura |
1 hora |
| Tempo de configuração |
2 horas |
Pré-requisitos de exemplo
Leia este tópico para entender como configurar a solução multinodo de alta disponibilidade em firewalls da Série SRX.
Neste exemplo, mostraremos como configurar a alta disponibilidade multinode em duas instâncias de firewall virtual vSRX implantadas na Azure Cloud.
| Requisitos de VMs |
Dois firewalls virtuais vSRX implantados no Azure Cloud |
| Requisitos de software |
Versão do Junos OS 23.4R1 ou posteriores |
| Requisitos de licenciamento |
Use a licença de firewall virtual vSRX ou solicite uma licença de avaliação. As licenças podem ser adquiridas no Sistema de Gerenciamento de Licenças (LMS) da Juniper Networks. |
Antes de começar
| Benefícios |
Aumenta a disponibilidade de firewalls da Série vSRX implantados no Azure, o que resulta em maior confiabilidade e redução do tempo de inatividade. |
| Saiba mais |
|
| Saiba Mais |
Visão geral funcional
| Tecnologias usadas |
|
| Tarefas primárias de verificação |
|
Visão geral da topologia
A Figura 2 mostra a topologia usada neste exemplo.
Como mostrado na topologia, duas instâncias de firewall virtual vSRX (nó vSRX 0 e nós vSRX 1) são implantadas na Nuvem Azure. O lado não confiável se conecta a uma rede pública enquanto o lado trust se conecta aos recursos protegidos.
Duas instâncias de firewall virtual vSRX são colocadas na sub-rede pública, pois as sub-redes públicas têm acesso ao gateway da Internet.
Em uma configuração multinode de alta disponibilidade, um endereço IP flutuante se move entre dois firewalls da Série SRX, se um link ou firewall falhar. Como o endereço IP da interface primária no firewall do Azure não pode ser movido, você atribui um endereço IP secundário como um IP flutuante. Quando o nó ativo falha, o endereço IP flutuante muda para o nó de backup, permitindo que ele lide perfeitamente com o tráfego como o novo peer ativo.
Além disso, você deve configurar um link de interchassis (ICL) para sincronização de dados e manutenção de informações de estado. Os nós se comunicam entre si usando um endereço IP roteável que é atribuído à ICL.
A tabela a seguir fornece detalhes de interface e endereço IP usados neste exemplo.
| Nó de backup de | função | de interface (nó primário vSRX 0) | (nó vSRX 1) |
|---|---|---|---|
| ge-0/0/0 | ICL para se conectar a nós peer |
10.0.1.10/24 |
10.0.1.11/24 |
| ge-0/0/1 | Interface não confiável |
|
|
| ge-0/0/2 | Interface de confiança |
|
|
Você precisa selecionar a imagem do firewall virtual vSRX no Azure Marketplace e personalizar as configurações e dependências de firewall virtual vSRX com base em seus requisitos de rede no Microsoft Azure Cloud. Essa abordagem de implantação pode ser necessária para configurar a alta disponibilidade multinode em VMs vSRX. Observe que este cenário de implantação está fora dos casos de uso oferecidos nos modelos de solução VM de firewall virtual vSRX disponíveis na Juniper Networks.
Vamos nos aprofundar nos detalhes de cada etapa para a implantação do firewall virtual vSRX no Microsoft Azure.
Configuração no Portal Azure
| Tipo de nome | |
|---|---|
| azure-vsrx3.0 | Grupo de recursos |
| azure-vsrx3.0-vnet | Rede virtual |
| vsrx3.0-nó0 | Máquina virtual para nós 0 |
| vsrx3.0-nó1 | Máquina virtual para nós 1 |
| vsrx3.0-node0-ip | Endereço IP público para Nós 0 |
| vsrx3.0-nó1-ip | Endereço IP público para nós 1 |
| vsrx3.0-node0-nsg | Grupo de segurança de rede para nós 0 |
| vsrx3.0-node1-nsg | Grupo de segurança de rede para Nós 1 |
| vsrx3.0-nó172 | Interface de rede para nós 0 |
| vsrx3.0-nó719 | Interface de rede para nós 1 |
| Nome | IP privado primário |
|---|---|
| L3HA-ge-0 | 10.0.1.10 |
| Nó L3HALink1 | 10.0.1.11 |
| nó0-ge-1 | 10.0.2.110 |
| nó0-ge-2 | 10.0.3.10 |
| nó1-ge-1 | 10.0.2.20 |
| nó1-ge-2 | 10.0.3.20 |
- Criar um grupo de recursos
- Atribuir função de IAM (Gerenciamento de identidade e acesso)
- Criar uma conta de armazenamento
- Criar uma rede virtual
- Atribuir a função IAM
Criar um grupo de recursos
Um grupo de recursos é um contêiner lógico para recursos implantados no Azure. Ele ajuda você a gerenciar e organizar recursos relacionados. O vSRX VM é um recurso dentro de um grupo de recursos do Azure. Todos os componentes relacionados ao vSRX (como rede virtual, conta de armazenamento, IP público etc.) fazem parte do mesmo grupo de recursos.- Entre no portal do Azure.
- Clique em Criar um recurso.
- Pesquise em grupo de recursos e crie um novo.
- Escolha um nome, insira a assinatura e selecione a região para o grupo de recursos.
- Clique em Revisar + criar e, em seguida, Criar. A imagem a seguir mostra uma amostra do Resource Group.
Consulte Criar um grupo de recursos para obter mais detalhes.
Atribuir função de IAM (Gerenciamento de identidade e acesso)
As funções de IAM controlam o acesso aos recursos do Azure. A atribuição de funções garante que apenas usuários autorizados possam gerenciar recursos específicos. Você deve conceder a função "principal de serviço" aos grupos de usuários ou usuários para gerenciar a IAM.
- Navegue até o seu grupo de recursos.
- Clique em Controle de acesso (IAM).
- Adicione uma nova atribuição de função.
- Selecione a função desejada (Exemplo: Contribuinte principal de serviços, Proprietário e assim por diante).
- Escolha o grupo de usuários ou usuários para atribuir a função.
- Clique em Salvar.
Criar uma conta de armazenamento
Uma conta de armazenamento oferece um espaço de nome exclusivo para armazenar e acessar objetos de dados no Azure.- Em seu grupo de recursos, clique em Criar (+).
- Pesquise por "Conta de armazenamento" e crie uma nova.
- Especifique o nome, o modelo de implantação, o desempenho e outras configurações.
- Clique em Revisar + criar e, em seguida, Criar. Consulte Criar uma conta de armazenamento para obter mais detalhes.
Criar uma rede virtual
Uma rede virtual (VNet) é a base para sua infraestrutura do Azure. Ele permite que você conecte com segurança os recursos do Azure.
- Em seu grupo de recursos, clique em Criar (+).
- Pesquise na rede virtual e crie uma nova.
- Definir o nome, o espaço do endereço e a configuração da sub-rede.
- Clique em Revisar + criar e, em seguida, Criar.
- Clique em Configurações > Sub-redes. As sub-redes são usadas para conectar os dois nós de firewall virtual vSRX usando uma conexão lógica (como as portas de conexão de cabo físico).
A tabela a seguir mostra uma configuração de amostra usada neste exemplo.
Tabela 5: Configuração de sub-rede no portal Azure Função CIDR Sub-rede de gerenciamento 10.0.3.0/24 Gerenciamento de tráfego Sub-rede ICL 10.0.1.0/24 RTO, sincronização e tráfego relacionado a sondagens Sub-rede não confiável 10.0.2.0/24 Tráfego externo Trust Subnet 10.0.3.0/24 Tráfego interno
Atribuir a função IAM
- Habilite permissões para usar a Azure API navegando em casa > identidades gerenciadas.
- Selecione seu grupo de recursos e selecione as atribuições de funções do Azure e clique na função que deseja atribuir permissões.
Você precisa habilitar as seguintes permissões:
- Microsoft.Authorization/*/read
- Microsoft.Compute/virtualMachines/read
- Microsoft.Network/networkSecurityGroups/join/action
- Microsoft.Network/networkInterfaces/*
- Microsoft.Network/virtualNetworks/join/action
- Microsoft.Network/publicIPAddresses/leia
- Microsoft.Network/publicIPAddresses/write
- Microsoft.Network/publicIPAddresses/join/action
- Microsoft.Authorization/*/read
- Microsoft.Compute/virtualMachines/read
- Microsoft.Network/routeTables/*
- Microsoft.Network/networkInterfaces/*
Agora você está pronto para implantar VMs vSRX.
Implantar VMs vSRX
Use as seguintes etapas para implantar duas instâncias VM vSRX. Você usará essas duas instâncias para configurar o Multinode High Availability. Para obter mais informações, veja Implantar a imagem do firewall virtual vSRX do Azure Marketplace.
- Entre no portal do Azure usando suas credenciais de conta da Microsoft.
- Pesquise pelo vSRX no Azure Marketplace clicando em Criar um recurso e procurar o firewall virtual vSRX.
Selecione a imagem vSRX VM do Azure Marketplace.
- Configure as configurações de implantação fornecendo os seguintes detalhes:
- Nome do seu vSRX VM.
- Grupo de recursos. (Você pode criar um novo ou usar um grupo existente). Neste exemplo, use o azure-vsrx3.0 que você criou anteriormente.
Nota:
Implante ambas as instâncias de firewall virtual vSRX no mesmo grupo de recursos. O grupo de recursos manterá todos os recursos associados aos firewalls virtuais vSRX para esta implantação.
- Subscrição
- Tipo de disco VM
- Região onde você deseja implantar a VM.
- Tipo de autenticação
- Nome de usuário e senha para acesso VM.
- Configure as configurações de armazenamento, rede e monitoramento para o VM de firewall virtual vSRX. Isso inclui especificar a conta de armazenamento, rede virtual, sub-rede, endereço IP público, grupo de segurança de rede, extensões VM, conjunto de disponibilidade e opções de monitoramento.
- Analise suas configurações e clique em Criar.
O Azure começará a provisionar o vSRX VM com base na sua configuração. Após a criação dos VMs de firewall virtual vSRX, o painel do portal Azure lista as novas VMs de firewall virtual vSRX em grupos de recursos.
Lembre-se de personalizar essas etapas com base em seus requisitos específicos e design de rede.
Preencha as seguintes configurações para as instâncias de firewall virtual vSRX que você acabou de implantar no portal Azure:
- Criar tags
- Crie um endereço IP público
- Crie uma interface de rede
- Criar um grupo de segurança de rede (NSG)
- Configure interfaces e endereços IP
Criar tags
Em sua página vSRX VM, selecione Tags na barra de navegação à esquerda.
Crie tags no Azure para ambos os VMs para identificar as interfaces de confiança e não confiáveis em duas instâncias de firewall virtual vSRX. As tabelas a seguir mostram etiquetas de amostra usadas neste exemplo.
| Nome da tag |
Valor |
|---|---|
| local_trust_interface |
nó0-ge-002 |
| local_untrust_interface |
nó0-ge-001 |
| peer_trust_interface |
nó1-ge-002 |
| peer_untrust_interface |
nó1-ge-001 |
Observe que os nomes de tag mencionados na tabela são para configuração padrão. Recomendamos usar os mesmos nomes de tags na configuração.
Crie um endereço IP público
No portal do Azure, acesse a seção Criar uma seção de recursos . Localize e selecione redes e depois vá para o endereço IP público.
- Clique em Criar para começar a configurar um novo endereço IP público.
- Configure as configurações do endereço IP com os seguintes detalhes:
- Nome: Insira um nome exclusivo para o recurso IP público.
- SKU: Escolha entre ofertas básicas e padrão.
- Versão IP: Selecione IPv4 ou IPv6 com base em seus requisitos.
- Atribuição de endereço IP: Escolha estática ou dinâmica.
- Selecione ou crie um grupo de recursos onde esse IP resida.
- Localização: Escolha a região do Azure mais próxima de seus usuários.
- Uma vez configurados, analise as configurações e clique em Criar para alocar o endereço IP público.
Crie uma interface de rede
Planeje a configuração da interface de rede nos firewalls da Série vSRX no Azure.
- Navegue até as interfaces de rede no portal do Azure sob a seção Redes .
- Clique em Criar uma interface de rede.
- Digite os seguintes detalhes para a nova interface de rede:
- Nome: Forneça um nome exclusivo para sua NIC.
- Região: selecione a mesma região que seus endereços VNet, VMs e IP.
- Rede virtual: Escolha a rede virtual com a qual você deseja que sua NIC seja associada.
- Sub-rede: Selecione a sub-rede apropriada.
- Conecte o endereço IP público que você criou antes, se necessário.
- Escolha criar um novo grupo de segurança de rede ou associar-se a um já existente.
- Analise as configurações e clique em Criar para provisionar a nova NIC.
Criar um grupo de segurança de rede (NSG)
- Selecione grupos de segurança de rede na categoria Redes no portal do Azure.
- Selecione Criar um grupo de segurança de rede.
- Configure seu NSG com os seguintes detalhes:
- Nome: Crie um nome para o seu NSG.
- Assinatura: Verifique se você está trabalhando dentro da assinatura certa.
- Grupo de recursos: Selecione um já existente ou crie um novo.
- Localização: Combine-o com a localização dos recursos que você está protegendo.
- Adicione regras: Após a criação, defina regras de segurança de entrada e saída para controlar o tráfego de e para sua NIC e VMs.
- Volte para sua NIC ou sub-rede e associe-a ao novo NSG.
- Verifique as configurações e crie o NSG.
Lembre-se de definir as regras de segurança apropriadas para o seu NSG para gerenciar o fluxo de tráfego conforme os seus requisitos.
Uma vez que você tenha criado uma interface de rede, um endereço IP público e um grupo de segurança de rede, você pode prosseguir para anexar a NIC a uma máquina virtual e o NSG à NIC ou a uma sub-rede. Isso completa a configuração necessária para conectividade e segurança de rede para o seu ambiente Azure.
Configure interfaces e endereços IP
- Navegue até sua VM vSRX implantada e clique em Configurações > Networking.
- Localize a interface de rede anexada.
- Clique no nome da interface de rede para abrir seus detalhes. Na seção de configurações de IP, você encontrará o endereço IP atribuído (se houver) e também poderá configurar o endereço IP. Para este exemplo, use a configuração de endereço IP conforme mencionado na tabela a seguir:
| Vms |
Nó vSRX VM 0 (vsrx3.0-nó0) (nó ativo) |
Nó vSRX VM 1 (vsrx3.0-nó1) (nó de backup) |
||||
|---|---|---|---|---|---|---|
| Interface não confiável | Interface de confiança |
ICL |
Interface não confiável |
Interface de confiança |
ICL |
|
| Interfaces | ge-0/0/1 | ge-0/0/2 | ge-0/0/0 |
ge-0/0/1 | ge-0/0/2 | ge-0/0/0 |
| Endereço IP primário | 10.0.2.110 |
10.0.3.10 |
10.0.1.10/24 |
10.0.2.20 |
10.0.3.20 |
10.0.1.11/24 |
| Endereço IP secundário (endereço IP estático da sub-rede) | 10.0.2.11 |
10.0.3.12 |
- |
O nó que atua como nó de backup recebe o mesmo endereço IP quando faz a transição para a função ativa.- | O nó que atua como nó de backup recebe o mesmo endereço IP quando faz a transição para a função ativa.- | - |
| Associar endereço IP público ao secundário para chegar à Internet | 172.16.0.0 |
(Não aplicável neste exemplo) |
- |
Nota: O nó que atua como nó de backup recebe o mesmo endereço IP quando faz a transição para a função ativa. |
(Não aplicável neste exemplo) |
- |
Garanta que você habilite o encaminhamento de IP na interface do link de controle e configure rotas padrão em ambos os lados confiáveis e não confiáveis.
Clique em Configurações > Redes para exibir interfaces, sub-rede e configurações de IP do seu VM.
Após a implantação do firewall virtual vSRX ser concluída, o VM de firewall virtual vSRX é ativado e lançado automaticamente. Neste ponto, você pode usar um cliente SSH para fazer login no VM de firewall virtual vSRX.
Agora que todas as configurações necessárias no portal Azure estão completas, vamos iniciar a configuração no firewall virtual vSRX usando CLI.
Certifique-se de usar a versão mais recente da imagem do software vSRX (23.4R1 ou posterior). Você pode atualizar diretamente o Junos OS para o software de firewall virtual vSRX usando o CLI. Atualizar ou rebaixar o Junos OS pode levar várias horas, dependendo do tamanho e configuração da rede. Você baixa a versão desejada do Junos OS para o arquivo vSRX Virtual Firewall.tgz no site da Juniper Networks. Veja instruções de migração, atualização e rebaixamento.
Configure firewalls virtuais vSRX
Para ver configurações de amostra completas no DUT, veja:
O pacote Junos IKE é recomendado em seus firewalls da Série SRX para configuração multinode de alta disponibilidade. Este pacote está disponível como um pacote padrão ou como um pacote opcional em firewalls da Série SRX. Consulte o suporte para o Junos IKE Package para obter mais detalhes.
Se o pacote não for instalado por padrão em seu firewall da Série SRX, use o comando a seguir para instalá-lo. Você requer esse passo para a criptografia ICL.
user@host> request system software add optional://junos-ike.tgz Verified junos-ike signed by PackageProductionECP256_2022 method ECDSA256+SHA256 Rebuilding schema and Activating configuration... mgd: commit complete Restarting MGD ... ...... Restart cli using the new version ? [yes,no] (yes)
Verificação
Use os comandos de exibição para confirmar se a configuração está funcionando corretamente.
| Tarefa de verificação | de comandos |
|---|---|
|
|
Exibir detalhes do status de alta disponibilidade multinodo em seu dispositivo de segurança, incluindo o estado de saúde do nó peer. |
show security cloud high- availability information |
Status do display sobre a implantação de alta disponibilidade de váriosnodos em nuvem pública (AWS ou Azure). |
- Verifique os detalhes de alta disponibilidade de múltiplos datas
- Verifique as informações de alta disponibilidade do multinodo no Azure
Verifique os detalhes de alta disponibilidade de múltiplos datas
Propósito
Visualize e verifique os detalhes da configuração multinode de alta disponibilidade configurada em sua instância de firewall virtual vSRX.
Ação
A partir do modo operacional, execute o seguinte comando em ambos os dispositivos.
No nó 0 (nó ativo)
user@srx-00> show chassis high-availability information
Node failure codes:
HW Hardware monitoring LB Loopback monitoring
MB Mbuf monitoring SP SPU monitoring
CS Cold Sync monitoring SU Software Upgrade
Node Status: ONLINE
Local-id: 1
Local-IP: 10.0.1.10
HA Peer Information:
Peer Id: 2 IP address: 10.0.1.11 Interface: ge-0/0/0.0
Routing Instance: default
Encrypted: NO Conn State: UP
Configured BFD Detection Time: 5 * 400ms
Cold Sync Status: COMPLETE
SRG failure event codes:
BF BFD monitoring
IP IP monitoring
IF Interface monitoring
CP Control Plane monitoring
Services Redundancy Group: 1
Deployment Type: CLOUD
Status: ACTIVE
Activeness Priority: 200
Preemption: DISABLED
Process Packet In Backup State: NO
Control Plane State: READY
System Integrity Check: N/A
Failure Events: NONE
Peer Information:
Peer Id: 2
Status : BACKUP
Health Status: HEALTHY
Failover Readiness: NOT READY
No nó 1 (nó de backup)
user@srx-01# show chassis high-availability information
Node failure codes:
HW Hardware monitoring LB Loopback monitoring
MB Mbuf monitoring SP SPU monitoring
CS Cold Sync monitoring SU Software Upgrade
Node Status: ONLINE
Local-id: 2
Local-IP: 10.0.1.11
HA Peer Information:
Peer Id: 1 IP address: 10.0.1.10 Interface: ge-0/0/0.0
Routing Instance: default
Encrypted: NO Conn State: UP
Configured BFD Detection Time: 5 * 400ms
Cold Sync Status: COMPLETE
Services Redundancy Group: 0
Current State: ONLINE
Peer Information:
Peer Id: 1
SRG failure event codes:
BF BFD monitoring
IP IP monitoring
IF Interface monitoring
CP Control Plane monitoring
Services Redundancy Group: 1
Deployment Type: CLOUD
Status: BACKUP
Activeness Priority: 100
Preemption: DISABLED
Process Packet In Backup State: NO
Control Plane State: NOT READY
System Integrity Check: COMPLETE
Failure Events: NONE
Peer Information:
Peer Id: 1
Status : ACTIVE
Health Status: HEALTHY
Failover Readiness: N/A
Significado
Verifique esses detalhes da saída de comando:
- Detalhes de nó local e nó de peer, como endereço IP e ID.
- Tipo de implantação de campo: A nuvem indica que a configuração é para a implantação da nuvem.
- O grupo de redundância de serviços de campo:1 indica o status do SRG1 (ACTIVE ou BACKUP) nesse nó.
Verifique as informações de alta disponibilidade do multinodo no Azure
Propósito
Verifique o status da implantação de alta disponibilidade multinodo no Azure Cloud.
Ação
A partir do modo operacional, execute o seguinte comando:
user@srx-00> show security cloud high-availability information
Cloud HA Information:
Cloud Type Cloud Service Type Cloud Service Status
AZURE Secondary IP Bind to Peer Node
Significado
Verifique esses detalhes da saída de comando:
- Tipo de nuvem de campo: o Azure indica que a implantação é para o Azure.
- Tipo de serviço de nuvem de campo: IP secundário indica que a implantação do Azure usa o IP secundário para controlar o tráfego.
- O status do serviço de nuvem de campo: o nó bind to Peer indica a ligação do endereço IP secundário ao nó peer, o que significa que o nó atual é um nó de backup.
Lista de verificação básica de solução de problemas
- Verifique se o IP secundário não é confiável e a interface de confiança está na mesma instância vsrx3.0 VM.
- Verifique os quatro valores de tag para combinar com os nomes da interface.
- Verifique se a regra de entrada está correta para permitir o tráfego.
- Verifique se o encaminhamento de IP está habilitado no portal Azure.
- Verifique a rota do portal Azure e a rota vSRX CLI estão sincronizadas.
- Verifique a interface não confiável do nó ativo para ver se os endereços IP flutuantes anexados a ele no portal Azure.
Definir comandos em todos os dispositivos
Firewall virtual vSRX (nó 0)
set chassis high-availability local-id 1 set chassis high-availability local-id local-ip 10.0.1.10 set chassis high-availability peer-id 2 peer-ip 10.0.1.11 set chassis high-availability peer-id 2 interface ge-0/0/0.0 set chassis high-availability peer-id 2 liveness-detection minimum-interval 400 set chassis high-availability peer-id 2 liveness-detection multiplier 5 set chassis high-availability services-redundancy-group 1 mode active-backup set chassis high-availability services-redundancy-group 1 deployment-type cloud set chassis high-availability services-redundancy-group 1 peer-id 2 set chassis high-availability services-redundancy-group 1 prefix-list pref1 routing-instance s1-router set chassis high-availability services-redundancy-group 1 managed-services ipsec set chassis high-availability services-redundancy-group 1 activeness-priority 200 set security policies default-policy permit-all set security zones security-zone icl host-inbound-traffic system-services all set security zones security-zone icl host-inbound-traffic protocols all set security zones security-zone icl interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust host-inbound-traffic protocols bfd set security zones security-zone untrust host-inbound-traffic protocols bgp set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/2.0 set security cloud high-availability azure peer-liveliness probe-ip 10.0.2.20 set security cloud high-availability azure peer-liveliness probe-ip source-ip 10.0.2.110 set security cloud high-availability azure peer-liveliness probe-ip routing-instance s1-router set interfaces ge-0/0/0 unit 0 family inet address 10.0.1.10/24 set interfaces ge-0/0/1 unit 0 family inet address 10.0.2.110/24 primary set interfaces ge-0/0/1 unit 0 family inet address 10.0.2.11/24 set interfaces ge-0/0/2 unit 0 family inet address 10.0.3.10/24 primary set interfaces ge-0/0/2 unit 0 family inet address 10.0.3.12/24 set interfaces lo0 description HA_LOOPBACK set interfaces lo0 unit 0 family inet address 10.11.1.10/32 primary set policy-options prefix-list pref1 10.0.2.0/24 set routing-instances s1-router instance-type virtual-router set routing-instances s1-router routing-options static route 0.0.0.0/0 next-hop 10.0.2.1 set routing-instances s1-router interface ge-0/0/1.0 set routing-instances s1-router interface ge-0/0/2.0
Firewall virtual vSRX (nó 1)
set chassis high-availability local-id 2 set chassis high-availability local-id local-ip 10.0.1.11 set chassis high-availability peer-id 1 peer-ip 10.0.1.10 set chassis high-availability peer-id 1 interface ge-0/0/0.0 set chassis high-availability peer-id 1 liveness-detection minimum-interval 400 set chassis high-availability peer-id 1 liveness-detection multiplier 5 set chassis high-availability services-redundancy-group 1 mode active-backup set chassis high-availability services-redundancy-group 1 deployment-type cloud set chassis high-availability services-redundancy-group 1 peer-id 1 set chassis high-availability services-redundancy-group 1 prefix-list pref1 routing-instance s1-router set chassis high-availability services-redundancy-group 1 managed-services ipsec set chassis high-availability services-redundancy-group 1 activeness-priority 100 set security policies default-policy permit-all set security zones security-zone icl host-inbound-traffic system-services all set security zones security-zone icl host-inbound-traffic protocols all set security zones security-zone icl interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust host-inbound-traffic protocols bfd set security zones security-zone untrust host-inbound-traffic protocols bgp set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/2.0 set security cloud high-availability azure peer-liveliness probe-ip 10.0.2.110 set security cloud high-availability azure peer-liveliness probe-ip source-ip 10.0.2.20 set security cloud high-availability azure peer-liveliness probe-ip routing-instance s1-router set interfaces ge-0/0/0 unit 0 family inet address 10.0.1.11/24 set interfaces ge-0/0/1 unit 0 family inet address 10.0.2.20/24 primary set interfaces ge-0/0/1 unit 0 family inet address 10.0.2.11/24 set interfaces ge-0/0/2 unit 0 family inet address 10.0.3.20/24 primary set interfaces ge-0/0/2 unit 0 family inet address 10.0.3.12/24 set interfaces lo0 description HA_LOOPBACK set interfaces lo0 unit 0 family inet address 10.11.1.11/32 primary set policy-options prefix-list pref1 10.0.2.0/24 set routing-instances s1-router instance-type virtual-router set routing-instances s1-router routing-options static route 0.0.0.0/0 next-hop 10.0.2.1 set routing-instances s1-router interface ge-0/0/1.0 set routing-instances s1-router interface ge-0/0/2.0
Mostrar saída de configuração
A partir do modo de configuração, confirme sua configuração entrando no show high availability, show security zonese show interfaces comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
Firewall virtual vSRX (nó 0)
user@srx-00# show chassis high-availability
local-id {
1;
local-ip 10.0.1.10;
}
peer-id 2 {
peer-ip 10.0.1.11;
interface ge-0/0/0.0;
liveness-detection {
minimum-interval 400;
multiplier 5;
}
}
services-redundancy-group 1 {
mode active-backup;
deployment-type cloud;
peer-id {
2;
}
prefix-list pref1 {
routing-instance s1-router;
}
managed-services ipsec;
activeness-priority 200;
}
user@srx-00# show security zones
security-zone icl {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
ping;
}
protocols {
bfd;
bgp;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/2.0;
}
}
user@srx-00# show security cloud
high-availability {
azure {
peer-liveliness {
probe-ip 10.0.2.20 source-ip 10.0.2.110 routing-instance s1-router;
}
}
}
user@srx-00# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.0.1.10/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 10.0.2.110/24 {
primary;
}
address 10.0.2.11/24;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
address 10.0.3.10/24 {
primary;
}
address 10.0.3.12/24;
}
}
}
lo0 {
description HA_LOOPBACK;
unit 0 {
family inet {
address 10.11.1.10/32 {
primary;
}
}
}
}
user@srx-00# show routing-instances
s1-router {
instance-type virtual-router;
routing-options {
static {
route 0.0.0.0/0 next-hop 10.0.2.1;
}
interface ge-0/0/1.0;
interface ge-0/0/2.0;
}
Firewall virtual vSRX (nó 1)
user@srx-01# show chassis high-availability
local-id {
2;
local-ip 10.0.1.11;
}
peer-id 1 {
peer-ip 10.0.1.10;
interface ge-0/0/0.0;
liveness-detection {
minimum-interval 400;
multiplier 5;
}
}
services-redundancy-group 1 {
mode active-backup;
deployment-type cloud;
peer-id {
1;
}
prefix-list pref1 {
routing-instance s1-router;
}
managed-services ipsec;
activeness-priority 100;
}
user@srx-01# show security zones
security-zone icl {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
ping;
}
protocols {
bfd;
bgp;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/2.0;
}
}
user@srx-01# show security cloud
high-availability {
azure {
peer-liveliness {
probe-ip 10.0.2.110 source-ip 10.0.2.20 routing-instance s1-router;
}
}
}
user@srx-01# show interfacesge-0/0/0 {
unit 0 {
family inet {
address 10.0.1.11/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 10.0.2.20/24 {
primary;
}
address 10.0.2.11/24;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
address 10.0.3.20/24 {
primary;
}
address 10.0.3.12/24;
}
}
}
lo0 {
description HA_LOOPBACK;
unit 0 {
family inet {
address 10.11.1.11/32 {
primary;
}
}
}
}
user@srx-01# show routing-instances
s1-router {
instance-type virtual-router;
routing-options {
static {
route 0.0.0.0/0 next-hop 10.0.2.1;
}
interface ge-0/0/1.0;
interface ge-0/0/2.0;
}