Alta disponibilidade multinodo em implantações de AWS
RESUMO Leia este tópico para entender o suporte multinodo de alta disponibilidade para instâncias de firewall virtual vSRX em implantações do Amazon Web Services (AWS).
Alta disponibilidade multinodo em AWS
Você pode configurar a alta disponibilidade multinode nos firewalls de firewall virtual vSRX implantados no AWS. Os nós participantes executam planos de controle ativo e dados ao mesmo tempo e os nós se apoiam para garantir um failover sincronizado rápido em caso de falha no sistema ou hardware. A conexão do link de interchasse (ICL) entre os dois dispositivos sincroniza e mantém as informações de estado e lida com os cenários de failover do dispositivo.
Vamos começar por nos familiarizar com os termos de alta disponibilidade multinodo específicos para a implantação da AWS.
Terminologia
Descrição do termo | |
---|---|
Endereço IP elástico |
Endereço IPv4 público que é roteável de uma rede especificada ou da Internet. Os endereços IP elásticos estão vinculados dinamicamente a uma interface de qualquer nó em uma configuração de alta disponibilidade multinodo. A qualquer momento, esses endereços estão vinculados a apenas uma interface e também estão vinculados ao mesmo nó. A configuração multinodo de alta disponibilidade usa endereços IP elásticos para controlar o tráfego em implantações de AWS. O endereço IP elástico atua como um endereço IP flutuante na implantação de Camada 3 ou um endereço IP virtual como na implantação padrão do gateway. O nó com um SRG1 ativo possui o endereço IP elástico e atrai o tráfego em direção a ele. |
Link de interchassis (ICL) |
Link baseado em IP (link lógico) que conecta nós em uma rede roteada em um sistema multinodo de alta disponibilidade. O dispositivo de segurança usa a ICL para sincronizar e manter as informações de estado e lidar com cenários de failover do dispositivo. Você só pode usar a interface ge-0/0/0 para configurar uma ICL. A ICL usa o endereço MAC atribuído pela AWS (não o MAC virtual criado pelo firewall virtual vSRX). Ao configurar a ICL, certifique-se de que o endereço IP seja uma sub-rede da nuvem privada virtual (VPC). Observe que a alta disponibilidade multibode não oferece suporte à implantação entre VPC |
Processo de protocolo de redundância de serviços da Juniper (jsrpd) | Processo que gerencia a determinação e a aplicação da ativação e fornece proteção split-brain. |
Não oferecemos suporte a VPN IPsec para alta disponibilidade de multinodos em implantações de AWS.
Arquitetura
A Figura 1 mostra que duas instâncias de firewall virtual vSRX formam um par de HA na implantação de alta disponibilidade multinodo em AWS. Uma instância do firewall virtual vSRX funciona como um nó ativo e o outro como o nó de backup.
Em uma configuração multinode de alta disponibilidade, uma ICL conecta os dois nós (instâncias de firewall virtual vSRX) e ajuda a sincronizar os estados de plano de controle e plano de dados.
Na configuração multinodo de alta disponibilidade, duas instâncias de firewall virtual vSRX estão operando no modo ativo/backup. Ambos os nós se conectam entre si usando uma ICL para sincronizar os estados de controle e plano de dados. A instância de firewall virtual vSRX na qual o SRG1 está ativo hospeda o endereço IP elástico. O nó ativo direciona o tráfego em direção a ele usando o endereço IP elástico. O nó de backup permanece no modo standby e assume o controle do failover.
O processo do protocolo de redundância de serviços da Juniper (jsrpd) comunica-se com a infraestrutura de AWS para realizar a determinação e a aplicação da ativação e fornece proteção split-brain.
Durante um failover, o endereço IP elástico passa do nó ativo antigo para o novo nó ativo acionando a AWS SDK API e atrai o tráfego em direção ao novo nó ativo. A AWS atualiza as tabelas de rota para desviar o tráfego para o novo nó ativo. Esse mecanismo permite que os clientes se comuniquem com os nós usando um único endereço IP. Você configura o endereço IP elástico na interface que se conecta a redes/segmentos participantes.
Proteção split-brain
Quando a ICL entre dois nós cai, cada nó começa a pingar no endereço IP da interface do nó peer usando as sondas. Se o nó peer estiver saudável, ele responde às sondas. Caso contrário, o processo jsrpd comunica-se com a infraestrutura AWS para executar o papel ativo para o nó saudável.
Exemplo: configure a alta disponibilidade de multinodos na implantação de AWS
Neste exemplo, mostraremos como configurar a alta disponibilidade multinode em duas instâncias de firewall virtual vSRX na Amazon Virtual Private Cloud (Amazon VPC).
Requisitos
Este exemplo usa os seguintes componentes:
-
Duas instâncias de firewall virtual vSRX
-
Versão Junos OS 22.3R1
-
Uma conta da Amazon Web Services (AWS) e uma função de gerenciamento de identidade e acesso (IAM), com todas as permissões necessárias para acessar, criar, modificar e excluir objetos Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (S3) e Amazon Virtual Private Cloud (Amazon VPC). Veja configurar uma nuvem virtual privada da Amazon para o vSRX para obter mais detalhes.
-
Um VPC da Amazon configurado com seu gateway de Internet associado, sub-redes, tabela de rotas e grupos de segurança. Veja configurar uma nuvem virtual privada da Amazon para o vSRX.
-
Uma instância de firewall virtual vSRX lançada e configurada no Amazon VPC. Veja o lançamento de uma instância vSRX em uma nuvem virtual privada da Amazon.
Topologia
A Figura 2 mostra a topologia usada neste exemplo.
Como mostrado na topologia, duas instâncias de firewall virtual vSRX (firewall virtual vSRX-1 e firewall virtual vSRX-2) são implantadas no Amazon VPC. Os nós se comunicam entre si usando um endereço IP roteável (endereço IP elástico). O lado não confiável se conecta a uma rede pública enquanto o lado trust se conecta aos recursos protegidos.
Preencha as seguintes configurações antes de configurar a alta disponibilidade multinodo nas instâncias de firewall virtual vSRX:
-
Use a tag de instância no AWS para identificar as duas instâncias de firewall virtual vSRX como pares de alta disponibilidade multinodo. Por exemplo, você pode usar vsrx-nó-1 como nome de um peer (opção de nome ) e vsrx-nó-2 como peer HA (opção ha-peer ).
- Implante as duas instâncias de firewall virtual vSRX na mesma zona de disponibilidade e VPC da Amazon.
- Atribua a função IAM para as instâncias de firewall virtual vSRX e lance instâncias de firewall virtual vSRX como uma instância de Nuvem de Computação Elástica da Amazon (EC2) com permissões completas.
- Habilite a comunicação para a Internet colocando instâncias de firewall virtual vSRX na sub-rede pública. No Amazon VPC, as sub-redes públicas têm acesso ao gateway da Internet.
- Configure um VPC com várias sub-redes para hospedar o par de alta disponibilidade. As sub-redes são usadas para conectar os dois nós de firewall virtual vSRX usando uma conexão lógica (semelhante às portas de conexão de cabos físicos). Neste exemplo, definimos o CIDR para VPC como 10.0.0.0/16, e criamos um total de quatro sub-redes para hospedar o tráfego de firewall virtual vSRX. Você precisa de um mínimo de quatro interfaces para ambas as instâncias de firewall virtual vSRX. A Tabela 1 fornece os detalhes da sub-rede e da interface.
Tabela 1: Configurações de sub-redes Sub-rede do tipo de tráfego do tipo de conexão deinterface deporta de função Gestão 0 fxp0 Interface de gerenciamento Gerenciamento de tráfego 10.0.254.0/24 ICL 1 ge-0/0/0 Nó ICL para peer Tráfego relacionado a RTO, sincronização e sondagem 10.0.253.0/24 Público 2 ge-0/0/1 Conecte-se à rede pública. (Interface de receita) Tráfego externo 10.0.1.0/24 Privada 3 ge-0/0/2 Conecte-se à rede privada. (Interface de receita) Tráfego interno 10.0.2.0/24 Observe que o mapeamento da interface com a funcionalidade mencionada na tabela é para configuração padrão. Recomendamos usar o mesmo mapeamento na configuração.
- Configure interfaces com endereços IP primários e secundários. Você pode atribuir endereço IP elástico como endereços IP secundários para uma interface. Você precisa do endereço IP principal durante o lançamento da instância. O endereço IP secundário é transferível de um nó de firewall virtual vSRX para outro durante um failover. A Tabela 2 mostra mapeamentos de interface e endereço IP usados neste exemplo.
Tabela 2: Mapeamentos de endereços IP e interface Endereço IP primário de interface de instânciaendereço IP secundário (endereço IP elástico) Firewall virtual vSRX-1 ge-0/0/1 10.0.1.101 10.0.1.103 ge-0/0/2 10.0.2.201 10.0.2.203 Firewall virtual vSRX-2 ge-0/0/1 10.0.1.102 10.0.1.103 ge-0/0/2 10.0.2.202 10.0.2.203 -
Configure roteadores vizinhos para incluir o firewall virtual vSRX no caminho de dados e marcar o firewall virtual vSRX como o próximo salto para o tráfego. Você pode usar um endereço IP elástico para configurar a rota. Por exemplo, use o comando
sudo ip route x.x.x.x/x dev ens6 via 10.0.2.203
, onde o endereço 10.0.2.203 é um endereço IP elástico.
Configuração
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
Essas configurações são capturadas de um ambiente de laboratório e são fornecidas apenas para referência. As configurações reais podem variar com base nos requisitos específicos do seu ambiente.
No firewall virtual vSRX-1
set chassis high-availability local-id 1 set chassis high-availability local-id local-ip 10.0.3.10 set chassis high-availability peer-id 2 peer-ip 10.0.3.11 set chassis high-availability peer-id 2 interface ge-0/0/0.0 set chassis high-availability peer-id 2 liveness-detection minimum-interval 400 set chassis high-availability peer-id 2 liveness-detection multiplier 5 set chassis high-availability services-redundancy-group 1 deployment-type cloud set chassis high-availability services-redundancy-group 1 peer-id 2 set chassis high-availability services-redundancy-group 1 preemption set chassis high-availability services-redundancy-group 1 activeness-priority 200 set security policies default-policy permit-all set security zones security-zone fab host-inbound-traffic system-services all set security zones security-zone fab host-inbound-traffic protocols all set security zones security-zone fab interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/2.0 set security cloud high-availability aws eip-based set security cloud high-availability aws peer-liveliness probe-ip 10.0.1.102 set security cloud high-availability aws peer-liveliness probe-ip routing-instance s1-router set interfaces ge-0/0/0 mtu 9192 set interfaces ge-0/0/0 unit 0 family inet address 10.0.3.10/24 set interfaces ge-0/0/1 mtu 9192 set interfaces ge-0/0/1 unit 0 family inet address 10.0.1.101/24 primary set interfaces ge-0/0/1 unit 0 family inet address 10.0.1.103/24 set interfaces ge-0/0/2 mtu 9192 set interfaces ge-0/0/2 unit 0 family inet address 10.0.2.201/24 primary set interfaces ge-0/0/2 unit 0 family inet address 10.0.2.203/24 set routing-instances s1-router instance-type virtual-router set routing-instances s1-router routing-options static route 0.0.0.0/0 next-hop 10.0.1.1 set routing-instances s1-router interface ge-0/0/1.0 set routing-instances s1-router interface ge-0/0/2.0
No firewall virtual vSRX-2
set chassis high-availability local-id 2 set chassis high-availability local-id local-ip 10.0.3.11 set chassis high-availability peer-id 1 peer-ip 10.0.3.10 set chassis high-availability peer-id 1 interface ge-0/0/0.0 set chassis high-availability peer-id 1 liveness-detection minimum-interval 400 set chassis high-availability peer-id 1 liveness-detection multiplier 5 set chassis high-availability services-redundancy-group 1 deployment-type cloud set chassis high-availability services-redundancy-group 1 peer-id 1 set chassis high-availability services-redundancy-group 1 preemption set chassis high-availability services-redundancy-group 1 activeness-priority 100 set security policies default-policy permit-all set security zones security-zone fab host-inbound-traffic system-services all set security zones security-zone fab host-inbound-traffic protocols all set security zones security-zone fab interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/2.0 set security cloud high-availability aws eip-based set security cloud high-availability aws peer-liveliness probe-ip 10.0.1.101 set security cloud high-availability aws peer-liveliness probe-ip routing-instance s1-router set interfaces ge-0/0/0 mtu 9192 set interfaces ge-0/0/0 unit 0 family inet address 10.0.3.11/24 set interfaces ge-0/0/1 mtu 9192 set interfaces ge-0/0/1 unit 0 family inet address 10.0.1.102/24 primary set interfaces ge-0/0/1 unit 0 family inet address 10.0.1.103/24 set interfaces ge-0/0/2 mtu 9192 set interfaces ge-0/0/2 unit 0 family inet address 10.0.2.202/24 primary set interfaces ge-0/0/2 unit 0 family inet address 10.0.2.203/24 set routing-instances s1-router instance-type virtual-router set routing-instances s1-router routing-options static route 0.0.0.0/0 next-hop 10.0.1.1 set routing-instances s1-router interface ge-0/0/1.0 set routing-instances s1-router interface ge-0/0/2.0
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
-
Configure ge-0/0/0 como a interface para a ICL
[edit] user@host# set interfaces ge-0/0/0 mtu 9192 user@host# set interfaces ge-0/0/0 unit 0 family inet address 10.0.3.11/24
- Configure interfaces para tráfego interno e externo.
[edit] user@host# set interfaces ge-0/0/1 mtu 9192 user@host# set interfaces ge-0/0/1 unit 0 family inet address 10.0.1.102/24 primary user@host# set interfaces ge-0/0/1 unit 0 family inet address 10.0.1.103/24 user@host# set interfaces ge-0/0/2 mtu 9192 user@host# set interfaces ge-0/0/2 unit 0 family inet address 10.0.2.202/24 primary user@host# set interfaces ge-0/0/2 unit 0 family inet address 10.0.2.203/24
Usaremos o endereço IP secundário atribuído ao ge-0/0/1 e ge-0/0/2 como endereço IP elástico.
-
Configure zonas de segurança, atribua interfaces às zonas e especifique serviços de sistema permitidos para as zonas de segurança.
[edit] user@host# set security zones security-zone fab host-inbound-traffic system-services all user@host# set security zones security-zone fab host-inbound-traffic protocols all user@host# set security zones security-zone fab interfaces ge-0/0/0.0 user@host# set security zones security-zone untrust host-inbound-traffic system-services all user@host# set security zones security-zone untrust host-inbound-traffic protocols all user@host# set security zones security-zone untrust interfaces ge-0/0/1.0 user@host# set security zones security-zone trust host-inbound-traffic system-services all user@host# set security zones security-zone trust host-inbound-traffic protocols all user@host# set security zones security-zone trust interfaces ge-0/0/2.0
-
Configure opções de roteamento.
[edit] user@host# set routing-instances s1-router instance-type virtual-router user@host# set routing-instances s1-router routing-options static route 0.0.0.0/0 next-hop 10.0.1.1 user@host# set routing-instances s1-router interface ge-0/0/1.0 user@host# set routing-instances s1-router interface ge-0/0/2.0
Aqui, você precisará de um tipo
virtual router
de instância de roteamento separado para separar o tráfego de gerenciamento e o tráfego de receita. -
Configure os detalhes do nó local e do nó de peer.
[edit] user@host# set chassis high-availability local-id 1 user@host# set chassis high-availability local-id local-ip 10.0.3.10 user@host# set chassis high-availability peer-id 2 peer-ip 10.0.3.11
-
Associe a interface ao nó peer para monitoramento de interface e configure os detalhes de detecção de liveness.
[edit] user@host# set chassis high-availability peer-id 2 interface ge-0/0/0.0 user@host# set chassis high-availability peer-id 2 liveness-detection minimum-interval 400 user@host# set chassis high-availability peer-id 2 liveness-detection multiplier 5
-
Configure o SRG1 com tipo de implantação como nuvem, atribua um ID e defina a prioridade de preempção e ativação.
[edit] user@host# set chassis high-availability services-redundancy-group 1 deployment-type cloud user@host# set chassis high-availability services-redundancy-group 1 peer-id 2 user@host# set chassis high-availability services-redundancy-group 1 preemption user@host# set chassis high-availability services-redundancy-group 1 activeness-priority 200
-
Configure opções relacionadas à implantação do AWS. Por exemplo, especifique a base de eip como o tipo de serviço e, também, configure opções de monitoramento, como a liveness por peer da AWS.
[edit] user@host# set security cloud high-availability aws eip-based user@host# set security cloud high-availability aws peer-liveliness probe-ip 10.0.1.101 user@host# set security cloud high-availability aws peer-liveliness probe-ip routing-instance s1-router
Em multinodos de alta disponibilidade para instâncias de firewall virtual vSRX no ambiente VMWare ESXi com VMXNET3 vNIC, a configuração do endereço MAC virtual não é suportada na seguinte declaração:
[set chassis high-availability services-redundancy-group <number> virtual-ip <id> use-virtual-mac
Resultados
Firewall virtual vSRX-1
A partir do modo de configuração, confirme sua configuração inserindo os seguintes comandos.
Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show chassis high-availability local-id 1 local-ip 10.0.3.10; peer-id 2 { peer-ip 10.0.3.11; interface ge-0/0/0.0; liveness-detection { minimum-interval 400; multiplier 5; } } services-redundancy-group 1 { deployment-type cloud; peer-id { 2; } preemption; activeness-priority 200; }
[edit] user@host# show routing-instances s1-router { instance-type virtual-router; routing-options { static { route 0.0.0.0/0 next-hop 10.0.1.1; } } interface ge-0/0/1.0; interface ge-0/0/2.0; }
[edit] user@host# show security zones security-zone security-zone fab { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/0.0; } } security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/1.0; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/2.0; } }
[edit] user@host# show interfaces ge-0/0/0 { mtu 9192; unit 0 { family inet { address 10.0.3.10/24; } } } ge-0/0/1 { mtu 9192; unit 0 { family inet { address 10.0.1.101/24 { primary; } address 10.0.1.103/24; } } } ge-0/0/2 { mtu 9192; unit 0 { family inet { address 10.0.2.201/24 { primary; } address 10.0.2.203/24; } } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Firewall virtual vSRX-2
A partir do modo de configuração, confirme sua configuração inserindo os seguintes comandos.
Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show chassis high-availability local-id 2 local-ip 10.0.3.11; peer-id 1 { peer-ip 10.0.3.10; interface ge-0/0/0.0; liveness-detection { minimum-interval 400; multiplier 5; } } services-redundancy-group 1 { deployment-type cloud; peer-id { 1; } preemption; activeness-priority 100; }
[edit] user@host# show routing-instances s1-router { instance-type virtual-router; routing-options { static { route 0.0.0.0/0 next-hop 10.0.1.1; } } interface ge-0/0/1.0; interface ge-0/0/2.0; }
[edit] user@host# show security zones security-zone fab { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/0.0; } } security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/1.0; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/2.0; } }
[edit] user@host# show interfaces ge-0/0/0 { mtu 9192; unit 0 { family inet { address 10.0.3.11/24; } } } ge-0/0/1 { mtu 9192; unit 0 { family inet { address 10.0.1.102/24 { primary; } address 10.0.1.103/24; } } } ge-0/0/2 { mtu 9192; unit 0 { family inet { address 10.0.2.202/24 { primary; } address 10.0.2.203/24; } } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
- Verifique os detalhes de alta disponibilidade de múltiplos datas
- Verifique as informações de alta disponibilidade de váriosnodos no AWS
- Verifique o status do nó peer de alta disponibilidade multinodo
- Verifique o SRG de alta disponibilidade multinodo
- Verifique o status de alta disponibilidade multinodo antes e depois do failover
Verifique os detalhes de alta disponibilidade de múltiplos datas
Propósito
Visualize e verifique os detalhes da configuração multinode de alta disponibilidade configurada em sua instância de firewall virtual vSRX.
Ação
A partir do modo operacional, execute o seguinte comando:
Firewall virtual vSRX-1
user@host> show chassis high-availability information Node failure codes: HW Hardware monitoring LB Loopback monitoring MB Mbuf monitoring SP SPU monitoring CS Cold Sync monitoring SU Software Upgrade Node Status: ONLINE Local-id: 1 Local-IP: 10.0.3.10 HA Peer Information: Peer Id: 2 IP address: 10.0.3.11 Interface: ge-0/0/0.0 Routing Instance: default Encrypted: NO Conn State: UP Cold Sync Status: COMPLETE SRG failure event codes: BF BFD monitoring IP IP monitoring IF Interface monitoring CP Control Plane monitoring Services Redundancy Group: 1 Deployment Type: CLOUD Status: ACTIVE Activeness Priority: 200 Preemption: ENABLED Process Packet In Backup State: NO Control Plane State: READY System Integrity Check: N/A Failure Events: NONE Peer Information: Peer Id: 2 Status : BACKUP Health Status: HEALTHY Failover Readiness: NOT READY
Firewall virtual vSRX-2
user@host> show chassis high-availability information Node failure codes: HW Hardware monitoring LB Loopback monitoring MB Mbuf monitoring SP SPU monitoring CS Cold Sync monitoring SU Software Upgrade Node Status: ONLINE Local-id: 2 Local-IP: 10.0.3.11 HA Peer Information: Peer Id: 1 IP address: 10.0.3.10 Interface: ge-0/0/0.0 Routing Instance: default Encrypted: NO Conn State: UP Cold Sync Status: COMPLETE SRG failure event codes: BF BFD monitoring IP IP monitoring IF Interface monitoring CP Control Plane monitoring Services Redundancy Group: 1 Deployment Type: CLOUD Status: BACKUP Activeness Priority: 100 Preemption: ENABLED Process Packet In Backup State: NO Control Plane State: NOT READY System Integrity Check: COMPLETE Failure Events: NONE Peer Information: Peer Id: 1 Status : ACTIVE Health Status: HEALTHY Failover Readiness: N/A
Significado
Verifique esses detalhes da saída de comando:
-
Detalhes de nó local e nó de peer, como endereço IP e ID.
-
O campo
Deployment Type: CLOUD
indica que a configuração é para a implantação da nuvem. -
O campo
Services Redundancy Group: 1
indica o status do SRG1 (ACTIVE ou BACKUP) nesse nó.
Verifique as informações de alta disponibilidade de váriosnodos no AWS
Propósito
Verifique se a alta disponibilidade de multinodos está implantada na nuvem AWS.
Ação
A partir do modo operacional, execute o seguinte comando:
user@host> show security cloud high-availability information Cloud HA Information: Cloud Type Cloud Service Type Cloud Service Status AWS EIP Bind to Local Node
Significado
Verifique esses detalhes da saída de comando:
-
O campo
Cloud Type: AWS
indica que a implantação é para AWS. -
O campo
Cloud Service Type: EIP
indica que a implantação da AWS usa o tipo de serviço EIP (para endereço IP elástico) para controlar o tráfego. O campo
.Cloud Service Status: Bind to Local Node
indica a ligação do endereço IP elástico ao nó local. Para o nó de backup, este campo éBind to Peer Node
exibido.
Verifique o status do nó peer de alta disponibilidade multinodo
Propósito
Verifique o status de nó de peer de alta disponibilidade multinodo.
Ação
A partir do modo operacional, execute o seguinte comando:
Firewall virtual vSRX-1
user@host> show chassis high-availability peer-info HA Peer Information: Peer-ID: 2 IP address: 10.0.3.11 Interface: ge-0/0/0.0 Routing Instance: default Encrypted: NO Conn State: UP Cold Sync Status: COMPLETE Internal Interface: N/A Internal Local-IP: N/A Internal Peer-IP: N/A Internal Routing-instance: N/A Packet Statistics: Receive Error : 0 Send Error : 0 Packet-type Sent Received SRG Status Msg 7 6 SRG Status Ack 6 7 Attribute Msg 2 1 Attribute Ack 1 1
Firewall virtual vSRX-2
user@host> show chassis high-availability peer-info HA Peer Information: Peer-ID: 1 IP address: 10.0.3.10 Interface: ge-0/0/0.0 Routing Instance: default Encrypted: NO Conn State: UP Cold Sync Status: COMPLETE Internal Interface: N/A Internal Local-IP: N/A Internal Peer-IP: N/A Internal Routing-instance: N/A Packet Statistics: Receive Error : 0 Send Error : 0 Packet-type Sent Received SRG Status Msg 9 9 SRG Status Ack 9 9 Attribute Msg 3 2 Attribute Ack 2 2
Significado
Verifique esses detalhes da saída de comando:
-
Detalhes de nós de peer, incluindo ID, endereço IP, interface.
-
Estatísticas de pacotes em todo o nó.
Verifique o SRG de alta disponibilidade multinodo
Propósito
Visualize e verifique os detalhes do SRG em Alta Disponibilidade multinodo.
Ação
A partir do modo operacional, execute o seguinte comando:
user@host> show chassis high-availability services-redundancy-group 1 SRG failure event codes: BF BFD monitoring IP IP monitoring IF Interface monitoring CP Control Plane monitoring Services Redundancy Group: 1 Deployment Type: CLOUD Status: ACTIVE Activeness Priority: 200 Preemption: ENABLED Process Packet In Backup State: NO Control Plane State: READY System Integrity Check: N/A Failure Events: NONE Peer Information: Peer Id: 2 Status : BACKUP Health Status: HEALTHY Failover Readiness: READY Split-brain Prevention Probe Info: DST-IP: 10.0.1.102 SRC-IP: 0.0.0.0 Routing Instance: s1-router Status: NOT RUNNING Result: N/A Reason: N/A
Significado
Verifique esses detalhes da saída de comando:
-
O SRG detalha esse tipo de implantação. O campo
Status: ACTIVE
indica que o SRG1 em particular está na função ativa. Você também pode ver o estado de prioridade e preempção da ativação na saída. -
Detalhes do nó de peer.
-
Detalhes da sondagem de prevenção de cérebros divididos.
Verifique o status de alta disponibilidade multinodo antes e depois do failover
Propósito
Verifique a alteração no status do nó antes e depois de um failover em uma configuração de alta disponibilidade multinodo.
Ação
Verifique o status de alta disponibilidade multinodo no nó de backup (SRX-2).
A partir do modo operacional, execute o seguinte comando:
user@host> show chassis high-availability information Node failure codes: HW Hardware monitoring LB Loopback monitoring MB Mbuf monitoring SP SPU monitoring CS Cold Sync monitoring SU Software Upgrade Node Status: ONLINE Local-id: 2 Local-IP: 10.0.3.11 HA Peer Information: Peer Id: 1 IP address: 10.0.3.10 Interface: ge-0/0/0.0 Routing Instance: default Encrypted: NO Conn State: UP Cold Sync Status: COMPLETE SRG failure event codes: BF BFD monitoring IP IP monitoring IF Interface monitoring CP Control Plane monitoring Services Redundancy Group: 1 Deployment Type: CLOUD Status: BACKUP Activeness Priority: 100 Preemption: ENABLED Process Packet In Backup State: NO Control Plane State: NOT READY System Integrity Check: COMPLETE Failure Events: NONE Peer Information: Peer Id: 1 Status : ACTIVE Health Status: HEALTHY Failover Readiness: N/A
Significado
Na Services Redundancy Group: 1
seção, você pode ver o Status: BACKUP
. Este campo indica que o SRG-1 está no modo de backup.
Ação
Inicie o failover no nó ativo (firewall virtual vSRX-1) e execute novamente o comando no nó de backup (firewall virtual vSRX-2).
user@host> show chassis high-availability information Node failure codes: HW Hardware monitoring LB Loopback monitoring MB Mbuf monitoring SP SPU monitoring CS Cold Sync monitoring SU Software Upgrade Node Status: ONLINE Local-id: 2 Local-IP: 10.0.3.11 HA Peer Information: Peer Id: 1 IP address: 10.0.3.10 Interface: ge-0/0/0.0 Routing Instance: default Encrypted: NO Conn State: UP Cold Sync Status: COMPLETE SRG failure event codes: BF BFD monitoring IP IP monitoring IF Interface monitoring CP Control Plane monitoring Services Redundancy Group: 1 Deployment Type: CLOUD Status: ACTIVE Activeness Priority: 100 Preemption: ENABLED Process Packet In Backup State: NO Control Plane State: READY System Integrity Check: N/A Failure Events: NONE Peer Information: Peer Id: 1 Status : BACKUP Health Status: HEALTHY Failover Readiness: NOT READY
Significado
Services Redundancy Group: 1
Na seção, o status do SRG1 muda de BACKUP
para ACTIVE
. A mudança no valor de campo indica que o nó passou para a função ativa e o outro nó (anteriormente ativo) passou para a função de backup. Você pode ver o status do outro nó na opção, que Peer Information
mostraBACKUP
.