Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Alta disponibilidade multinodo em implantações de AWS

RESUMO Leia este tópico para entender o suporte multinodo de alta disponibilidade para instâncias de firewall virtual vSRX em implantações do Amazon Web Services (AWS).

Alta disponibilidade multinodo em AWS

Você pode configurar a alta disponibilidade multinode nos firewalls de firewall virtual vSRX implantados no AWS. Os nós participantes executam planos de controle ativo e dados ao mesmo tempo e os nós se apoiam para garantir um failover sincronizado rápido em caso de falha no sistema ou hardware. A conexão do link de interchasse (ICL) entre os dois dispositivos sincroniza e mantém as informações de estado e lida com os cenários de failover do dispositivo.

Vamos começar por nos familiarizar com os termos de alta disponibilidade multinodo específicos para a implantação da AWS.

Terminologia

Descrição do termo

Endereço IP elástico

Endereço IPv4 público que é roteável de uma rede especificada ou da Internet. Os endereços IP elásticos estão vinculados dinamicamente a uma interface de qualquer nó em uma configuração de alta disponibilidade multinodo. A qualquer momento, esses endereços estão vinculados a apenas uma interface e também estão vinculados ao mesmo nó. A configuração multinodo de alta disponibilidade usa endereços IP elásticos para controlar o tráfego em implantações de AWS. O endereço IP elástico atua como um endereço IP flutuante na implantação de Camada 3 ou um endereço IP virtual como na implantação padrão do gateway. O nó com um SRG1 ativo possui o endereço IP elástico e atrai o tráfego em direção a ele.

Link de interchassis (ICL)

Link baseado em IP (link lógico) que conecta nós em uma rede roteada em um sistema multinodo de alta disponibilidade. O dispositivo de segurança usa a ICL para sincronizar e manter as informações de estado e lidar com cenários de failover do dispositivo. Você só pode usar a interface ge-0/0/0 para configurar uma ICL. A ICL usa o endereço MAC atribuído pela AWS (não o MAC virtual criado pelo firewall virtual vSRX). Ao configurar a ICL, certifique-se de que o endereço IP seja uma sub-rede da nuvem privada virtual (VPC). Observe que a alta disponibilidade multibode não oferece suporte à implantação entre VPC
Processo de protocolo de redundância de serviços da Juniper (jsrpd)

Processo que gerencia a determinação e a aplicação da ativação e fornece proteção split-brain.

Não oferecemos suporte a VPN IPsec para alta disponibilidade de multinodos em implantações de AWS.

Arquitetura

A Figura 1 mostra que duas instâncias de firewall virtual vSRX formam um par de HA na implantação de alta disponibilidade multinodo em AWS. Uma instância do firewall virtual vSRX funciona como um nó ativo e o outro como o nó de backup.

Figura 1: Implantação Public Cloud Deployment de nuvem pública

Em uma configuração multinode de alta disponibilidade, uma ICL conecta os dois nós (instâncias de firewall virtual vSRX) e ajuda a sincronizar os estados de plano de controle e plano de dados.

Na configuração multinodo de alta disponibilidade, duas instâncias de firewall virtual vSRX estão operando no modo ativo/backup. Ambos os nós se conectam entre si usando uma ICL para sincronizar os estados de controle e plano de dados. A instância de firewall virtual vSRX na qual o SRG1 está ativo hospeda o endereço IP elástico. O nó ativo direciona o tráfego em direção a ele usando o endereço IP elástico. O nó de backup permanece no modo standby e assume o controle do failover.

O processo do protocolo de redundância de serviços da Juniper (jsrpd) comunica-se com a infraestrutura de AWS para realizar a determinação e a aplicação da ativação e fornece proteção split-brain.

Durante um failover, o endereço IP elástico passa do nó ativo antigo para o novo nó ativo acionando a AWS SDK API e atrai o tráfego em direção ao novo nó ativo. A AWS atualiza as tabelas de rota para desviar o tráfego para o novo nó ativo. Esse mecanismo permite que os clientes se comuniquem com os nós usando um único endereço IP. Você configura o endereço IP elástico na interface que se conecta a redes/segmentos participantes.

Proteção split-brain

Quando a ICL entre dois nós cai, cada nó começa a pingar no endereço IP da interface do nó peer usando as sondas. Se o nó peer estiver saudável, ele responde às sondas. Caso contrário, o processo jsrpd comunica-se com a infraestrutura AWS para executar o papel ativo para o nó saudável.

Exemplo: configure a alta disponibilidade de multinodos na implantação de AWS

Neste exemplo, mostraremos como configurar a alta disponibilidade multinode em duas instâncias de firewall virtual vSRX na Amazon Virtual Private Cloud (Amazon VPC).

Requisitos

Este exemplo usa os seguintes componentes:

Topologia

A Figura 2 mostra a topologia usada neste exemplo.

Figura 2: Alta disponibilidade multinodo na implantação Multinode High Availability in AWS Deployment de AWS

Como mostrado na topologia, duas instâncias de firewall virtual vSRX (firewall virtual vSRX-1 e firewall virtual vSRX-2) são implantadas no Amazon VPC. Os nós se comunicam entre si usando um endereço IP roteável (endereço IP elástico). O lado não confiável se conecta a uma rede pública enquanto o lado trust se conecta aos recursos protegidos.

Preencha as seguintes configurações antes de configurar a alta disponibilidade multinodo nas instâncias de firewall virtual vSRX:

  • Use a tag de instância no AWS para identificar as duas instâncias de firewall virtual vSRX como pares de alta disponibilidade multinodo. Por exemplo, você pode usar vsrx-nó-1 como nome de um peer (opção de nome ) e vsrx-nó-2 como peer HA (opção ha-peer ).

  • Implante as duas instâncias de firewall virtual vSRX na mesma zona de disponibilidade e VPC da Amazon.
  • Atribua a função IAM para as instâncias de firewall virtual vSRX e lance instâncias de firewall virtual vSRX como uma instância de Nuvem de Computação Elástica da Amazon (EC2) com permissões completas.
  • Habilite a comunicação para a Internet colocando instâncias de firewall virtual vSRX na sub-rede pública. No Amazon VPC, as sub-redes públicas têm acesso ao gateway da Internet.
  • Configure um VPC com várias sub-redes para hospedar o par de alta disponibilidade. As sub-redes são usadas para conectar os dois nós de firewall virtual vSRX usando uma conexão lógica (semelhante às portas de conexão de cabos físicos). Neste exemplo, definimos o CIDR para VPC como 10.0.0.0/16, e criamos um total de quatro sub-redes para hospedar o tráfego de firewall virtual vSRX. Você precisa de um mínimo de quatro interfaces para ambas as instâncias de firewall virtual vSRX. A Tabela 1 fornece os detalhes da sub-rede e da interface.
    de de
    Tabela 1: Configurações de sub-redes
    Sub-rede do tipo de tráfego do tipo de conexãointerfaceporta de função
    Gestão 0 fxp0 Interface de gerenciamento Gerenciamento de tráfego 10.0.254.0/24
    ICL 1 ge-0/0/0 Nó ICL para peer Tráfego relacionado a RTO, sincronização e sondagem 10.0.253.0/24
    Público 2 ge-0/0/1 Conecte-se à rede pública. (Interface de receita) Tráfego externo 10.0.1.0/24
    Privada 3 ge-0/0/2 Conecte-se à rede privada. (Interface de receita) Tráfego interno 10.0.2.0/24

    Observe que o mapeamento da interface com a funcionalidade mencionada na tabela é para configuração padrão. Recomendamos usar o mesmo mapeamento na configuração.

  • Configure interfaces com endereços IP primários e secundários. Você pode atribuir endereço IP elástico como endereços IP secundários para uma interface. Você precisa do endereço IP principal durante o lançamento da instância. O endereço IP secundário é transferível de um nó de firewall virtual vSRX para outro durante um failover. A Tabela 2 mostra mapeamentos de interface e endereço IP usados neste exemplo.
    de instância
    Tabela 2: Mapeamentos de endereços IP e interface
    Endereço IP primário de interfaceendereço IP secundário (endereço IP elástico)
    Firewall virtual vSRX-1 ge-0/0/1 10.0.1.101 10.0.1.103
    ge-0/0/2 10.0.2.201 10.0.2.203
    Firewall virtual vSRX-2 ge-0/0/1 10.0.1.102 10.0.1.103
    ge-0/0/2 10.0.2.202 10.0.2.203
  • Configure roteadores vizinhos para incluir o firewall virtual vSRX no caminho de dados e marcar o firewall virtual vSRX como o próximo salto para o tráfego. Você pode usar um endereço IP elástico para configurar a rota. Por exemplo, use o comando sudo ip route x.x.x.x/x dev ens6 via 10.0.2.203, onde o endereço 10.0.2.203 é um endereço IP elástico.

Configuração

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Essas configurações são capturadas de um ambiente de laboratório e são fornecidas apenas para referência. As configurações reais podem variar com base nos requisitos específicos do seu ambiente.

No firewall virtual vSRX-1

No firewall virtual vSRX-2

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

  1. Configure ge-0/0/0 como a interface para a ICL

  2. Configure interfaces para tráfego interno e externo.

    Usaremos o endereço IP secundário atribuído ao ge-0/0/1 e ge-0/0/2 como endereço IP elástico.

  3. Configure zonas de segurança, atribua interfaces às zonas e especifique serviços de sistema permitidos para as zonas de segurança.

  4. Configure opções de roteamento.

    Aqui, você precisará de um tipo virtual router de instância de roteamento separado para separar o tráfego de gerenciamento e o tráfego de receita.

  5. Configure os detalhes do nó local e do nó de peer.

  6. Associe a interface ao nó peer para monitoramento de interface e configure os detalhes de detecção de liveness.

  7. Configure o SRG1 com tipo de implantação como nuvem, atribua um ID e defina a prioridade de preempção e ativação.

  8. Configure opções relacionadas à implantação do AWS. Por exemplo, especifique a base de eip como o tipo de serviço e, também, configure opções de monitoramento, como a liveness por peer da AWS.

Nota:

Em multinodos de alta disponibilidade para instâncias de firewall virtual vSRX no ambiente VMWare ESXi com VMXNET3 vNIC, a configuração do endereço MAC virtual não é suportada na seguinte declaração:

Resultados

Firewall virtual vSRX-1

A partir do modo de configuração, confirme sua configuração inserindo os seguintes comandos.

Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Firewall virtual vSRX-2

A partir do modo de configuração, confirme sua configuração inserindo os seguintes comandos.

Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Verifique os detalhes de alta disponibilidade de múltiplos datas

Propósito

Visualize e verifique os detalhes da configuração multinode de alta disponibilidade configurada em sua instância de firewall virtual vSRX.

Ação

A partir do modo operacional, execute o seguinte comando:

Firewall virtual vSRX-1

Firewall virtual vSRX-2

Significado

Verifique esses detalhes da saída de comando:

  • Detalhes de nó local e nó de peer, como endereço IP e ID.

  • O campo Deployment Type: CLOUD indica que a configuração é para a implantação da nuvem.

  • O campo Services Redundancy Group: 1 indica o status do SRG1 (ACTIVE ou BACKUP) nesse nó.

Verifique as informações de alta disponibilidade de váriosnodos no AWS

Propósito

Verifique se a alta disponibilidade de multinodos está implantada na nuvem AWS.

Ação

A partir do modo operacional, execute o seguinte comando:

Significado

Verifique esses detalhes da saída de comando:

  • O campo Cloud Type: AWS indica que a implantação é para AWS.

  • O campo Cloud Service Type: EIP indica que a implantação da AWS usa o tipo de serviço EIP (para endereço IP elástico) para controlar o tráfego.

  • O campo Cloud Service Status: Bind to Local Node indica a ligação do endereço IP elástico ao nó local. Para o nó de backup, este campo é Bind to Peer Nodeexibido.

    .

Verifique o status do nó peer de alta disponibilidade multinodo

Propósito

Verifique o status de nó de peer de alta disponibilidade multinodo.

Ação

A partir do modo operacional, execute o seguinte comando:

Firewall virtual vSRX-1

Firewall virtual vSRX-2

Significado

Verifique esses detalhes da saída de comando:

  • Detalhes de nós de peer, incluindo ID, endereço IP, interface.

  • Estatísticas de pacotes em todo o nó.

Verifique o SRG de alta disponibilidade multinodo

Propósito

Visualize e verifique os detalhes do SRG em Alta Disponibilidade multinodo.

Ação

A partir do modo operacional, execute o seguinte comando:

Significado

Verifique esses detalhes da saída de comando:

  • O SRG detalha esse tipo de implantação. O campo Status: ACTIVE indica que o SRG1 em particular está na função ativa. Você também pode ver o estado de prioridade e preempção da ativação na saída.

  • Detalhes do nó de peer.

  • Detalhes da sondagem de prevenção de cérebros divididos.

Verifique o status de alta disponibilidade multinodo antes e depois do failover

Propósito

Verifique a alteração no status do nó antes e depois de um failover em uma configuração de alta disponibilidade multinodo.

Ação

Verifique o status de alta disponibilidade multinodo no nó de backup (SRX-2).

A partir do modo operacional, execute o seguinte comando:

Significado

Na Services Redundancy Group: 1 seção, você pode ver o Status: BACKUP. Este campo indica que o SRG-1 está no modo de backup.

Ação

Inicie o failover no nó ativo (firewall virtual vSRX-1) e execute novamente o comando no nó de backup (firewall virtual vSRX-2).

Significado

Services Redundancy Group: 1 Na seção, o status do SRG1 muda de BACKUP para ACTIVE. A mudança no valor de campo indica que o nó passou para a função ativa e o outro nó (anteriormente ativo) passou para a função de backup. Você pode ver o status do outro nó na opção, que Peer Information mostraBACKUP.