Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

vSRX 虚拟防火墙群集、KVM 的暂存和调配

您可以置备 vSRX 虚拟防火墙、虚拟机和虚拟网络来配置机箱群集。

vSRX 虚拟防火墙机 箱群集 的暂存和调配包括以下任务:

vSRX 虚拟防火墙上的机箱群集调配

机箱群集需要在两个 vSRX 虚拟防火墙实例之间建立以下直接连接:

  • 控制链路或 虚拟网络,在主动/被动模式下对两个 vSRX 虚拟防火墙实例之间的控制平面流量起作用

  • 交换矩阵链路或虚拟网络,在主动/主动模式下处理两个 vSRX 虚拟防火墙实例之间的数据流量

    注意:

    您可以选择创建两个结构链路以实现更多冗余。

vSRX 虚拟防火墙群集使用以下接口:

  • 带外管理接口 (fxp0)

  • 集群控制接口 (em0)

  • 群集结构接口(node0 上的 fab0,node1 上的 fab1)

注意:

控制接口必须是第二个 vNIC。您可以选择性地配置第二个交换矩阵链路以增加冗余。
图 1:vSRX 虚拟防火墙机箱群集 vSRX Virtual Firewall Chassis Cluster

vSRX 虚拟防火墙支持使用 Virtio 驱动程序和接口的机箱群集,但需要注意以下事项:

  • 启用机箱群集时,还必须启用巨型帧(MTU 大小 = 9000),以支持 Virtio 网络接口上的结构链路。

  • 如果跨两个物理主机配置机箱群集,请在 vSRX 虚拟防火墙控制链路用于确保机箱群集中的两个节点都能接收控制链路检测信号的每个主机物理接口上禁用 igmp 侦听。

  • 启用机箱群集后,vSRX 虚拟防火墙实例会将第二个 vNIC 映射到控制链路 em0。您可以将任何其他 vNIC 映射到交换矩阵链路。

注意:

对于 virtio 接口,不支持链路状态更新。virtio 接口的链路状态始终报告为 Up 。因此,使用 virtio 和机箱群集的 vSRX 虚拟防火墙实例无法接收来自 Virtio 接口的链路上行路和链路下行消息。

虚拟网络 MAC 老化时间决定了条目在 MAC 表中保留的时间。我们建议减少虚拟网络上的 MAC 老化时间,以最大程度地减少故障转移期间的停机时间。

例如,您可以使用 brctl setageing bridge 1 命令将 Linux 网桥的老化设置为 1 秒。

为控制链路和结构链路配置虚拟网络,然后创建控制接口并将其连接到控制虚拟网络,将结构接口连接到交换矩阵虚拟网络。

使用 virt-manager 创建机箱群集虚拟网络

在 KVM 中,您可以创建两个虚拟网络(控制网络和交换矩阵),将每个 vSRX 虚拟防火墙实例连接到这两个虚拟网络,以便进行机箱群集。

要使用以下功能 virt-manager创建虚拟网络:

  1. 启动 virt-manager 并选择 编辑>连接详细信息。此时将显示“连接详细信息”对话框。
  2. 选择 “虚拟网络”。此时将显示现有虚拟网络的列表。
  3. 单击 “+ ”为控制链路创建新的虚拟网络。此时将显示“创建新的虚拟网络”向导。
  4. 设置此虚拟网络的子网,然后单击 “转发”
  5. 选择 “启用 DHCP ”,然后单击 “转发”
  6. 选择 “隔离虚拟网络” ,然后单击 “前进”。
  7. 验证设置,然后单击 “完成” 以创建虚拟网络。

使用 virsh 创建机箱群集虚拟网络

在 KVM 中,您可以创建两个虚拟网络(控制网络和交换矩阵),将每个 vSRX 虚拟防火墙连接到这两个虚拟网络,以便进行机箱群集。

要创建具有以下功能 virsh的控制网络:

  1. virsh net-define 在主机作系统上使用命令创建定义新虚拟网络的 XML 文件。包括表 1 中描述的 XML 字段以定义此网络。
    注意:

    有关可用选项的完整说明,请参阅官方 virsh 文档。
    表 1:virsh net-define XML 字段

    描述

    <网络>...</网络>

    使用此 XML 包装元素可以定义虚拟网络。

    <姓名>net-name</姓名>

    指定虚拟网络名称。

    <网桥名称=“bridge-name” />

    指定用于此虚拟网络的主机网桥的名称。

    <前进模式=“forward-option” />

    指定 routed 或 nat。不要将 <forward> 元素用于隔离模式。

    <IP 地址=“ip-address” 网络掩码=“net-mask

    <dhcp 范围 start=“start” end=“end” </dhcp> </ip>

    指定此虚拟网络使用的 IP 地址和子网掩码,以及 DHCP 地址范围。

    以下示例显示了定义控制虚拟网络的示例 XML 文件。

  2. virsh net-start使用命令启动新的虚拟网络。

    主机作系统# virsh net-start control

  3. virsh net-autostart使用命令可在主机作系统启动时自动启动新的虚拟网络。

    主机作系统# virsh net-autostart control

  4. (可选) virsh net-list –all 在主机作系统中使用命令验证新的虚拟网络。
  5. 重复此过程以创建交换矩阵虚拟网络。

使用 virt-manager 配置控制接口和结构接口

要使用以下 virt-manager作配置机箱群集的控制接口和交换矩阵接口:

  1. 在 中 virt-manager,双击vSRX 虚拟防火墙 VM,然后选择 “查看>详细信息”。此时将显示 vSRX 虚拟防火墙虚拟机详细信息对话框。
  2. 选择第二个 vNIC ,然后从源设备列表中选择控制 虚拟网络
  3. 从设备型号列表中选择 virtio ,然后单击 应用
  4. 选择后续 vNIC,然后从源设备列表中选择交换矩阵虚拟网络。
  5. 从设备型号列表中选择 virtio ,然后单击 应用
  6. 对于结构接口,请在主机作系统上使用 ifconfig 命令将 MTU 设置为 9000。

    主机作系统# ifconfig vnet1 mtu 9000

使用 virsh 配置控制接口和结构接口

要通过以下作 virsh配置 vSRX 虚拟防火墙 VM 的控制和结构接口:

  1. 在主机作系统上键入 virsh attach-interface --domain vsrx-vm-name --type network --source control-vnetwork --target control --model virtio

    此命令创建一个名为 control 的虚拟接口,并将其连接到 control 虚拟网络。

  2. 在主机作系统上键入 virsh attach-interface --domain vsrx-vm-name --type network --source fabric-vnetwork --target fabric --model virtio

    此命令创建名为“交换矩阵”的虚拟接口,并将其连接到交换矩阵虚拟网络。

  3. 对于结构接口,请在主机作系统上使用 ifconfig 命令将 MTU 设置为 9000。

    主机作系统# ifconfig vnet1 mtu 9000

配置机箱群集交换矩阵端口

形成机箱群集后,您必须配置组成交换矩阵(数据)端口的接口。

确保已配置以下内容:

  • 在两个 vSRX 虚拟防火墙实例上设置机箱群集 ID,然后重新启动 vSRX 虚拟防火墙实例。

  • 配置了控制链路和结构链路。

  1. 在配置模式下的 vSRX 虚拟防火墙节点 0 控制台上,配置群集的交换矩阵(数据)端口,这些端口用于传递实时对象 (RTO)。配置将通过控制端口直接同步到 vSRX 虚拟防火墙节点 1。
    注意:

    交换矩阵端口可以是任何未使用的收入接口。
  2. 重新启动 vSRX 虚拟防火墙节点 0。

相关主题