Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

AWS 部署中的多节点高可用性

阅读本主题可了解 Amazon Web Services (AWS) 部署中 vSRX 虚拟防火墙实例的多节点高可用性支持。

AWS 中的多节点高可用性

您可以在 AWS 上部署的 vSRX 虚拟防火墙防火墙上配置多节点高可用性。参与节点同时运行主动控制平面和数据平面,并且节点相互备份,以确保在发生系统或硬件故障时实现快速同步的故障切换。两台设备之间的机箱间链路 (ICL) 连接可同步和维护状态信息,并处理设备故障切换场景。

让我们首先熟悉特定于 AWS 部署的多节点高可用性条款。

术语

术语 描述

弹性 IP 地址

可从指定网络或互联网路由的公共 IPv4 地址。弹性 IP 地址动态绑定到多节点高可用性设置中任何节点的接口。在任何给定时间,这些地址都只绑定到一个接口,并且还绑定到同一个节点。多节点高可用性设置使用弹性 IP 地址来控制 AWS 部署中的流量。弹性 IP 地址的作用类似于第 3 层部署中的浮动 IP 地址,或者类似于默认网关部署中的虚拟 IP 地址。具有活动 SRG1 的节点拥有弹性 IP 地址,并将流量吸引到该地址。

机箱间链路 (ICL)

在多节点高可用性系统中通过路由网络连接节点的基于 IP 的链路(逻辑链路)。安全设备使用 ICL 来同步和维护状态信息,并处理设备故障切换场景。您只能使用 ge-0/0/0 接口来配置 ICL。ICL 使用 AWS 分配的 MAC 地址(而不是 vSRX 虚拟防火墙创建的虚拟 MAC)。配置ICL时,请确保IP地址为VPC的子网。请注意,Multibode High Availability 不支持跨 VPC 部署
瞻博网络服务冗余协议 (jsrpd) 进程

管理主动性确定和实施以及提供裂脑保护的流程。

IPsec VPN 支持

从 Junos OD 24.4R1 版开始,我们支持使用 IPsec VPN 在 AWS 部署中实现主动/备份多节点高可用性。

限度

多节点高可用性在公共云部署中不支持多个 SRG 配置(主动/主动)。主动/备份模式支持 SRG0 和 SRG1。SRG1 上的 IPsec VPN 隧道锚点,在有状态的主动/备份模式下工作。所有 VPN 隧道都终止于 SRG1 处于活动状态的设备上。

建筑

图 1 显示了在 AWS 的多节点高可用性部署中组成高可用性部署中的两个 vSRX 虚拟防火墙实例。一个 vSRX 虚拟防火墙实例充当活动节点,另一个充当备份节点。

图 1:公共云部署 Public Cloud Deployment

在多节点高可用性设置中,ICL 连接两个节点(vSRX 虚拟防火墙实例),并帮助同步控制平面和数据平面状态。

在多节点高可用性设置中,两个 vSRX 虚拟防火墙实例在主动/备份模式下运行。两个节点使用 ICL 相互连接,用于同步控制和数据平面状态。SRG1 处于活动状态的 vSRX 虚拟防火墙实例托管弹性 IP 地址。活动节点使用弹性 IP 地址将流量引导到该节点。备份节点保持待机模式,并在故障切换时接管。

瞻博网络服务冗余协议 (jsrpd) 进程与 AWS 基础设施通信以执行活动性确定和实施,并提供裂脑保护。

在故障转移期间,弹性 IP 地址通过触发 AWS SDK API 从旧的活动节点移动到新的活动节点,并将流量吸引到新的活动节点。AWS 更新路由表以将流量转移到新的活动节点。此机制使客户端能够使用单个 IP 地址与节点通信。您可以在连接到参与网络/分段的接口上配置弹性 IP 地址。

裂脑保护

当两个节点之间的 ICL 出现故障时,每个节点都开始使用探针对等节点的接口 IP 地址 ping 操作。如果对等节点运行状况良好,它将响应探测。否则,jsrpd 进程将与 AWS 基础设施通信,以强制执行正常节点的活动角色。

示例:在 AWS 部署中配置多节点高可用性

在此示例中,我们将向您展示如何在 Amazon Virtual Private Cloud (Amazon VPC) 中的两个 vSRX 虚拟防火墙实例上配置多节点高可用性。

要求

此示例使用以下组件:

拓扑学

图 2 显示了此示例中使用的拓扑。

图 2:AWS 部署 Multinode High Availability in AWS Deployment中的多节点高可用性

如拓扑所示,Amazon VPC 中部署了两个 vSRX 虚拟防火墙实例(vSRX 虚拟防火墙-1 和 vSRX 虚拟防火墙-2)。节点使用可路由 IP 地址(弹性 IP 地址)相互通信。不信任端连接到公共网络,而信任端连接到受保护的资源。

在 vSRX 虚拟防火墙实例上配置多节点高可用性之前,请完成以下配置:

  • 在 AWS 中使用实例标签将两个 vSRX 虚拟防火墙实例标识为多节点高可用性对等方。例如,可以使用 vsrx-node-1 作为一个对等方的名称(Name 选项),将 vsrx-node-2 用作 HA 对等方(ha 对等 方选项)。

  • 在同一 Amazon VPC 和可用区中部署两个 vSRX 虚拟防火墙实例。
  • 为 vSRX 虚拟防火墙实例分配 IAM 角色,并将 vSRX 虚拟防火墙实例作为具有完全权限的 Amazon Elastic Compute Cloud (EC2) 实例启动。
  • 通过将 vSRX 虚拟防火墙实例放置在公共子网中,启用与 Internet 的通信。在 Amazon VPC 中,公有子网可以访问 Internet 网关。
  • 配置具有多个子网的 VPC 以托管高可用性对。子网用于通过逻辑连接(类似于物理电缆连接端口)连接两个 vSRX 虚拟防火墙节点。在此示例中,我们将 VPC 的 CIDR 定义为 10.0.0.0/16,并总共创建了四个子网来托管 vSRX 虚拟防火墙流量。两个 vSRX 虚拟防火墙实例至少需要四个接口。 表 1 提供了子网和接口详细信息。
    表 1:子网配置
    功能 端口号 接口 连接 流量类型 子网
    管理 0 fxp0 管理界面 管理流量 10.0.254.0/24
    ICL公司 1 ge-0/0/0 ICL 到对等节点 RTO、同步和探测相关流量 10.0.253.0/24
    公共 2 ge-0/0/1 连接到公共网络。(收入接口) 外部流量 10.0.1.0/24
    私人 3 ge-0/0/2 连接到专用网络。(收入接口) 内部流量 10.0.2.0/24

    请注意,表中提到的接口映射功能仅适用于默认配置。我们建议在配置中使用相同的映射。

  • 使用主 IP 地址和辅助 IP 地址配置接口。您可以将弹性 IP 地址分配为接口的辅助 IP 地址。启动实例时,您需要主 IP 地址。故障切换期间,辅助 IP 地址可从一个 vSRX 虚拟防火墙节点转移到另一个节点。 表 2 显示了此示例中使用的接口和 IP 地址映射。
    表 2:接口和 IP 地址映射
    实例 接口 主 IP 地址 辅助 IP 地址(弹性 IP 地址)
    vSRX 虚拟防火墙-1 ge-0/0/1 10.0.1.101 10.0.1.103
    ge-0/0/2 10.0.2.201 10.0.2.203
    vSRX 虚拟防火墙-2 ge-0/0/1 10.0.1.102 10.0.1.103
    ge-0/0/2 10.0.2.202 10.0.2.203
  • 将相邻路由器配置为在数据路径中包括 vSRX 虚拟防火墙,并将 vSRX 虚拟防火墙标记为流量的下一跃点。您可以使用弹性 IP 地址来配置路由。例如,使用命令 sudo ip route x.x.x.x/x dev ens6 via 10.0.2.203,其中 10.0.2.203 地址是弹性 IP 地址。

配置

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层 [edit] 级的 CLI 中,然后从配置模式进入 commit

这些配置是从实验室环境中捕获的,仅供参考。实际配置可能因环境的具体要求而异。

在 vSRX 虚拟防火墙-1 上

在 vSRX 虚拟防火墙-2 上

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

  1. 将 ge-0/0/0 配置为 ICL 的接口

  2. 为内部和外部流量配置接口。

    我们将使用分配给 ge-0/0/1 和 ge-0/0/2 的辅助 IP 地址作为弹性 IP 地址。

  3. 配置安全区域,为这些区域分配接口,并为安全区域指定允许的系统服务。

  4. 配置路由选项。

    在这里,您需要单独的路由实例类型 virtual router 来分离管理流量和收入流量。

  5. 配置本地节点和对等节点详细信息。

  6. 将接口关联到对等节点进行接口监控,并配置活体检测详情。

  7. 将部署类型配置为云的 SRG1,分配 ID,并设置抢占和活动优先级。

  8. 配置与 AWS 部署相关的选项。例如,将基于 eip 的指定为服务类型,并配置 AWS Peer Liveness 等监控选项。

注意:

在具有VMXNET3 vNIC 的 VMWare ESXi 环境中vSRX 虚拟防火墙实例的多节点高可用性中,以下语句不支持虚拟MAC 地址配置:

结果

vSRX 虚拟防火墙-1

在配置模式下,输入以下命令以确认您的配置。

如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

vSRX 虚拟防火墙-2

在配置模式下,输入以下命令以确认您的配置。

如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

验证

检查多节点高可用性详细信息

目的

查看并验证在 vSRX 虚拟防火墙实例上配置的多节点高可用性设置的详细信息。

行动

在操作模式下,运行以下命令:

vSRX 虚拟防火墙-1

vSRX 虚拟防火墙-2

意义

从命令输出中验证以下详细信息:

  • 本地节点和对等节点详细信息,例如 IP 地址和 ID。

  • 字段 Deployment Type: CLOUD 表示配置适用于云部署。

  • 该字段 Services Redundancy Group: 1 表示该节点上 SRG1(ACTIVE 或 BACKUP)的状态。

在 AWS 上检查多节点高可用性信息

目的

检查 AWS 云中是否部署了多节点高可用性。

行动

在操作模式下,运行以下命令:

意义

从命令输出中验证以下详细信息:

  • 该字段 Cloud Type: AWS 表示部署适用于 AWS。

  • 该字段 Cloud Service Type: EIP 表示 AWS 部署使用 EIP 服务类型(对于弹性 IP 地址)来控制流量。

  • 该字段 Cloud Service Status: Bind to Local Node 表示弹性 IP 地址与本地节点的绑定。对于备份节点,此字段显示 Bind to Peer Node

    .

检查多节点高可用性对等节点状态

目的

检查多节点高可用性对等节点状态。

行动

在操作模式下,运行以下命令:

vSRX 虚拟防火墙-1

vSRX 虚拟防火墙-2

意义

从命令输出中验证以下详细信息:

  • 对等节点详细信息,包括 ID、IP 地址、接口。

  • 跨节点的数据包统计信息。

检查多节点高可用性 SRG

目的

在多节点高可用性中查看并验证 SRG 详细信息。

行动

在操作模式下,运行以下命令:

意义

从命令输出中验证以下详细信息:

  • SRG 详细说明了此类部署类型。该字段 Status: ACTIVE 表示特定 SRG1 处于活动角色。您还可以在输出中查看活动性、优先级和抢占状态。

  • 对等节点详细信息。

  • 裂脑预防探针详细信息。

验证故障切换前后的多节点高可用性状态

目的

在多节点高可用性设置中检查故障转移前后的节点状态变化。

行动

检查备份节点 (SRX-2) 上的多节点高可用性状态。

在操作模式下,运行以下命令:

意义

在部分中 Services Redundancy Group: 1 ,您可以看到 Status: BACKUP.此字段表示 SRG-1 处于备份模式。

行动

在主动节点 (vSRX 虚拟防火墙-1) 上启动故障切换,然后在备份节点 (vSRX 虚拟防火墙-2) 上再次运行命令。

意义

在本节 Services Redundancy Group: 1 中,SRG1 的状态从 BACKUP 变为 ACTIVE。字段值的变化表示该节点已转换为活动角色,而另一个节点(以前处于活动状态)已转换为备份角色。您可以在选项 Peer Information 中看到另一个节点的状态,该选项显示 BACKUP