多节点高可用性
了解多节点高可用性解决方案,以及如何在简单可靠的部署模型中使用它。
业务连续性是现代网络的一项重要要求。即使是几秒钟的停机,除了影响 OpEx 和 CapEx 外,也可能会造成中断和不便。现代网络的数据中心也分布在多个地理区域。在这种情况下,实现高可用性可能非常具有挑战性。
瞻博网络® SRX 系列防火墙支持新的多节点高可用性 (MNHA) 解决方案,以满足现代数据中心的高可用性要求。在此解决方案中,参与设备(节点)的控制平面和数据平面同时处于活动状态。因此,该解决方案提供了机箱之间的弹性。
参与的设备可以位于同一地点,也可以跨地理区域或其他位置(例如不同的房间或建筑物)物理分离。跨地理位置拥有高可用性的节点可确保弹性服务。如果灾难影响一个物理位置,多节点高可用性可以将故障转移到另一个物理位置的节点,从而确保连续性。
多节点高可用性的优势
-
减少 CapEx 和 OpEx — 无需围绕防火墙综合体构建交换式网络,也无需在节点之间建立直接的第 2 层 (L2) 连接
-
网络灵活性 — 通过支持跨第 3 层 (L3) 和交换网段的高可用性来提供更高的网络灵活性。
-
有 状态弹性解决方案 — 在两个节点上同时支持活动控制平面和数据平面。
-
业务连续性和灾难恢复 — 最大限度地提高可用性,增加数据中心和地理区域内部及之间的冗余。
-
平滑升级 — 支持在两个节点上使用不同版本的 Junos OS,以确保 Junos OS 版本之间的顺利升级,还允许运行两个不同版本的 Junos。
我们支持主动/备份模式和主动-主动模式下的多节点高可用性(支持多个服务冗余组 (SRG)。有关支持的功能和平台的完整列表,请参阅功能资源管理器中的多节点高可用性。
支持的功能
MNHA 基础架构通过两种部署模型提供冗余:
- 双节点 MNHA: 一对协同运作的防火墙以实现高可用性。
- 四节点 MNHA: 两对防火墙分布在不同的域中,以增强弹性。
具有多节点高可用性的 SRX 系列防火墙支持防火墙和高级安全服务,例如应用安全、内容安全性、入侵防御系统 (IPS)、防火墙用户身份验证、NAT、ALG。
有关多节点高可用性支持的设备和功能的完整列表,请参阅 功能浏览器 。
多节点高可用性不支持透明模式高可用性(高可用性)
多节点高可用性与机箱群集有何不同?
机箱群集在第 2 层网络环境中运行,并且节点之间需要两个链路(控制链路和交换矩阵链路)。这些链路使用背对背电缆通过专用 VLAN 或暗光纤连接两个节点。控制链路和结构链路使用 SRX 系列防火墙上的专用物理端口。
多节点高可用性使用加密的逻辑机箱间链路 (ICL)。ICL 通过路由路径(而非专用第 2 层网络)连接节点。此路由路径可以使用一个或多个收入端口来获得最佳弹性,甚至可以将自己的路由实例专用于这些端口和路径,以确保完全隔离,从而最大限度提高解决方案的弹性。
中的机箱群集拓扑
中的多节点高可用性
表 1 列出了两种架构之间的差异
| 参数 | 机箱群集 | 多节点高可用性 |
|---|---|---|
| 网络拓扑结构 | 节点连接到广播域 | 节点连接到路由器、广播域或两者的组合。
|
| 网络环境 | 2 层 |
|
| 流量切换方法 | SRX 系列防火墙向交换机发送 GARP | 通过对等第 3 层路由器或第 2 层 GARP 从 SRX 系列防火墙到对等第 2 层交换机使用对等方第 2 层交换机选择的 IP 路径进行切换
|
| 公共云 | 不支持 | 支持 |
| 动态路由功能 | 在控制平面 (RG0) 处于活动状态的 SRX 系列上处于活动状态的路由进程 | 在参与多节点高可用性的每个 SRX 系列防火墙上都处于活动状态的路由进程 |
| SRX 系列防火墙之间的连接 |
|
机箱之间链路(第 3 层路径) |
| 连接/地理冗余 | 需要在 SRX 系列节点之间建立专用的第 2 层延伸,用于控制链路和交换矩阵链路。 | 将节点之间的任意路由路径用于机箱间链路。 |
| 通过 IP 监控检测网络故障 |
|
|
多节点高可用性术语表
让我们首先熟悉本文档中使用的多节点高可用性术语。
| 期限 | 描述 |
|---|---|
| 活动/活动状态 (SRG0) | 所有安全服务/流量都会在每个节点上接受检查,并在另一个节点上进行备份。安全性流必须对称。 |
| 活动/备份状态 (SRG1+) | SRG1+ 在任何给定时间内在一个节点上都保持活动状态,而在另一个节点上仍处于备份状态。处于备份状态的 SRG1+ 已准备好在发生故障时从活动 SRG1 接管流量。 |
| 设备优先级 | 设备优先级 (activeness-priority) 确定哪个节点可以充当 MNHA 设置中服务冗余组 (SRG) 的活动节点。具有较高数值活动优先级值的节点将被选为该 SRG 的活动节点。如果未为 SRG 显式配置主动优先级,则首选具有较高节点 ID 的节点作为活动节点。 |
| 设备抢占 | 设备抢占允许首选节点从故障中恢复后恢复为活动节点。首选节点由较高的主动优先级值(如果已配置)或较高的节点 ID(当未配置主动优先级时)决定。如果您需要使用特定设备作为活动节点,则必须在所有参与设备上启用抢占,并在每台设备上配置活动优先级值。 |
| 故障切换 | 当一个节点检测到故障(硬件/软件等)并且流量以有状态方式转换到另一个节点时,就会发生故障切换。因此,当活动节点发生故障时,高可用性系统中的备份节点会接管活动节点的任务。 |
| 浮动 IP 地址或主动性探测 IP 地址 | 在多节点高可用性设置中的故障切换期间,从活动节点移动到备份节点的 IP 地址。该机制使客户端能够使用单个 IP 地址与节点进行通信。 |
| 高可用性/弹性配置 |
系统消除单点故障以确保长时间连续运行的能力。 |
| 机箱之间链路 | 基于 IP 的链路(逻辑链路),在多节点高可用性部署中通过路由网络连接节点。为了大多数灵活的部署,ICL 链路通常绑定到环路接口。连接可以是任何路由或交换路径,只要两个 IP 地址之间可访问连接即可。 安全设备使用 ICL 来同步和维护状态信息,并处理设备故障切换场景。 |
| 机箱之间链路加密 | 链路加密为通过网络传输的消息提供数据隐私。由于 ICL 链路传输私人数据,因此对链路进行加密非常重要。您必须使用 IPsec VPN 对 ICL 进行加密。 |
| 监控 (BFD) | 使用双向转发检测 (BFD) 监控一个或多个链路。BFD 监控会触发路由路径更改或系统故障切换,具体取决于系统配置。 |
| 监控 (IP) | 在与对等节点断开通信时监控可靠的 IP 地址和系统状态。 |
| 监控(路径) | 使用 ICMP 验证 IP 地址可访问性的方法。ICMP ping 探测的默认间隔为 1 秒。 |
| 监控(系统) | 当在节点上检测到故障时,通过触发故障切换来监控关键硬件和软件资源以及基础架构。 |
| 探测 | 在高可用性设置中用于在活动节点和备份节点之间交换消息的机制。这些消息确定每个节点上应用程序的状态和运行状况。 |
| 实时对象 (RTO) | 特殊的有效负载数据包,其中包含将数据从一个节点同步到另一个节点所需的信息。 |
| 脑裂检测(也称为控制平面检测或主动性冲突检测) | 事件:两个多节点高可用性节点之间的 ICL 关闭,且两个节点均启动主动性确定探测(裂脑探测)。根据对探测的响应,将触发到新角色的后续故障切换 |
| 服务冗余组 (SRG) | 故障转移单元,包括并管理参与节点上的对象集合。检测到故障切换时,一个节点上的 SRG 会切换到另一个节点。 |
| SRG0 | 管理所有控制平面无状态服务,例如防火墙、NAT 和 ALG。 SRG0 在所有参与节点上处于活动状态并处理对称安全流。 |
| SRG1+ | 管理控制平面有状态服务(混合或默认网关模式中的 IPsec VPN 或虚拟 IP)。 |
| 同步 | 在节点之间同步控制项和数据平面状态的过程。 |
| 虚拟 IP (VIP) 地址 | 混合或默认网关模式下的虚拟 IP 地址用于在多节点高可用性设置中的交换端确定和实施活动性。虚拟 IP 由 SRG1+ 控制。 |
| 虚拟 MAC (VMAC) 地址 | (适用于混合和默认网关部署)。动态分配给面向交换端的活动节点上的接口的虚拟 MAC 地址。 |
现在我们已经熟悉了多节点高可用性的功能和术语,让我们继续了解多节点高可用性的工作原理。