Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Multinode-Hochverfügbarkeit in der Azure-Cloud

Lesen Sie dieses Dokument, um zu verstehen, wie Sie Multinode-Hochverfügbarkeit auf vSRX-Instanzen konfigurieren, die in der Azure-Cloud bereitgestellt werden.

Überblick

Sie können Multinode-Hochverfügbarkeit für virtuelle vSRX-Firewalls konfigurieren, die in der Microsoft Azure-Cloud bereitgestellt werden. Microsoft Azure ist Microsofts Anwendungsplattform für die Public Cloud. Es handelt sich um eine offene, flexible Cloud-Computing-Plattform der Enterprise-Klasse zum Erstellen, Bereitstellen und Verwalten von Anwendungen und Diensten über ein globales Netzwerk von Microsoft-verwalteten Datencentern.

Sie können ein Paar virtueller vSRX-Firewalls in Azure so konfigurieren, dass es wie in einer Aktiv/Backup-Multinode-Hochverfügbarkeitskonfiguration funktioniert. Die teilnehmenden Knoten betreiben gleichzeitig aktive Steuerungs- und Datenebenen. Die Knoten sichern sich gegenseitig, um im Falle eines System- oder Hardwareausfalls ein schnelles synchronisiertes Failover zu gewährleisten. Die Interchassis-Verbindung (ICL) zwischen den beiden Geräten synchronisiert und verwaltet die Statusinformationen und verarbeitet Geräte-Failover-Szenarien.

Sie können Multinode-Hochverfügbarkeit auf VMs der Virtuelle Firewall vSRX konfigurieren, indem Sie die Einstellungen für die Firewall-Bereitstellung in Microsoft Azure Cloud anpassen.

IPsec VPN-Unterstützung

Ab Junos OS Version 24.4R1 unterstützen wir IPsec-VPN für aktive/Backup-Multinode-Hochverfügbarkeit in Azure-Cloudbereitstellungen.

Einschränkung

Multinode-Hochverfügbarkeit unterstützt nicht mehrere SRG-Konfigurationen (aktiv/aktiv) in öffentlichen Cloud-Bereitstellungen. Der Aktiv-/Backup-Modus unterstützt SRG0 oder SRG1. Der IPsec-VPN-Tunnel verankert sich am SRG1, der in einem Stateful Active/Backup-Modus arbeitet. Alle VPN-Tunnel enden auf dem Gerät, auf dem SRG1 aktiv ist.

Architektur

Abbildung 1 zeigt, dass zwei Virtuelle Firewall vSRX-Instanzen ein Multinode-Hochverfügbarkeitspaar in der Azure-Cloud bilden. Eine Instanz der Virtuelle Firewall vSRX fungiert als aktiver Knoten und die andere Instanz als Backup-Knoten. Beide Knoten verbinden sich über eine ICL miteinander, um Statusinformationen zu synchronisieren und zu verwalten und um Geräte-Failover-Szenarien zu handhaben.

Abbildung 1: vSRX in Multinode-Bereitstellungen mit hoher Verfügbarkeit in der Azure-Cloud Network architecture diagram showing security setup in Microsoft Azure with users, internet gateway, untrust zone, vSRX nodes, trust zone, and protected resources.

Virtuelle Firewall vSRX erfordert zwei öffentliche IP-Adressen und eine oder mehrere private IP-Adressen für jede einzelne Instanzgruppe. Die öffentlichen Subnetze bestehen aus einem für die Managementschnittstelle (fxp0) und einem für eine Umsatzschnittstelle (Daten). Sie können vier beliebige Umsatzschnittstellen für die Subnetzkonfiguration verwenden. Die private Schnittstelle ist mit den geschützten Ressourcen verbunden. Es stellt sicher, dass der gesamte Datenverkehr zwischen Anwendungen im privaten Subnetz und dem Internet die Instanz der Virtuelle Firewall vSRX passieren muss.

Für Multinode-Hochverfügbarkeit in Azure müssen Sie beide Firewalls in derselben Azure-Ressourcengruppe bereitstellen. Eine Azure-Ressourcengruppe ist ein logischer Container, der verwandte Ressourcen für eine Azure-Lösung enthält. Sie kann alle Ressourcen für die Lösung oder nur die Ressourcen enthalten, die Sie als Gruppe verwalten möchten.

Sie müssen jedem Knoten eine knotenspezifische primäre Adresse und beiden Knoten eine gemeinsame sekundäre oder floating-IP-Adresse zuweisen. Die sekundäre IP-Adresse, die als Floating-IP-Adresse fungiert, ist immer mit dem aktiven Knoten verbunden. Im Falle eines Fehlers auf dem derzeit aktiven Knoten wechselt die sekundäre IP-Adresse vom ausgefallenen aktiven Knoten zum aktuellen aktiven Knoten. Der neue aktive Knoten stellt den kontinuierlichen Datenverkehrsfluss sicher.

Zunächst werden beide Knoten mit vordefinierten Tags gestartet, die angeben, wer beim Hochfahren der Besitzer der sekundären IP-Adresse ist. Dieser bestimmte Knoten wird als aktiver Knoten und der andere als Backup-Knoten betrieben.

Split-Brain-Schutz

Das Split-Brain-Szenario bezieht sich auf eine Situation, in der beide Knoten des Multinode-Hochverfügbarkeitssystems im selben Zustand stecken bleiben, entweder aktiv oder Backup, wenn die Inter-Chassis-Verbindung (Inter-Chassis Link, ICL) zwischen den Knoten ausgefallen ist. Um diesen Zustand zu verhindern, versuchen beide Knoten, die primäre IP-Adresse der Vertrauensstellung oder die nicht vertrauenswürdige Schnittstelle basierend auf der Konfiguration zu untersuchen.

Wenn bei einem Interchassis-Link (ICL) ein Fehler zusammen mit einem Sondenfehler auftritt, übernimmt der Knoten, der keine Antwort von seinem Peer erhält, die aktive Rolle. Wenn die Sondierung jedoch erfolgreich ist und bestätigt, dass der Peer-Knoten noch betriebsbereit ist, behält der Knoten seinen aktuellen Zustand bei. Dieser Sondierungsprozess dauert an, bis die ICL wiederhergestellt ist.

Beispiel: Konfigurieren der Multinode-Hochverfügbarkeit in der Azure-Cloudbereitstellung

Lesen Sie dieses Thema, um zu erfahren, wie Sie die Multinode-Lösung für hohe Verfügbarkeit auf Firewalls der SRX-Serie konfigurieren.

Sie können ein Paar virtueller vSRX-Firewalls in Azure so konfigurieren, dass es wie in einer Aktiv/Backup-Multinode-Hochverfügbarkeitskonfiguration funktioniert. Die teilnehmenden Knoten betreiben gleichzeitig aktive Steuerungs- und Datenebenen. Die Knoten sichern sich gegenseitig, um im Falle eines System- oder Hardwareausfalls ein schnelles synchronisiertes Failover zu gewährleisten. Die Interchassis-Verbindung (ICL) zwischen den beiden Geräten synchronisiert und verwaltet die Statusinformationen und verarbeitet Geräte-Failover-Szenarien.

In diesem Beispiel zeigen wir Ihnen, wie Sie Multinode-Hochverfügbarkeit auf zwei Virtuelle Firewall vSRX-Instanzen konfigurieren, die in der Azure-Cloud bereitgestellt werden.

Tipp:
Tabelle 1: Lesbarkeits-Score und Zeitschätzungen

Lesezeit

45 Minuten

Konfigurationszeit

1,5 Stunden

Beispiele für Voraussetzungen

Anforderungen an VMs

Zwei virtuelle vSRX-Firewalls in der Azure-Cloud bereitgestellt

Anforderungen an die Software

Junos OS Version 23.4R1 oder höher

Lizenzanforderungen

Verwenden Sie die Lizenz für die Virtuelle Firewall vSRX oder fordern Sie eine Evaluierungslizenz an. Lizenzen können über das Lizenzmanagementsystem (LMS) von Juniper Networks bezogen werden.

Unter den folgenden Links finden Sie weitere Details:

Bevor Sie beginnen

Vorteile

Erhöht die Verfügbarkeit der in Azure bereitgestellten Firewalls der vSRX-Serie, was zu einer verbesserten Zuverlässigkeit und geringeren Ausfallzeiten führt.

Mehr erfahren

Virtuelle Firewall vSRX mit Microsoft Azure Cloud

Weitere Informationen

Bereitstellung von Juniper Sicherheit in AWS und Azure

Funktionsübersicht

Eingesetzte Technologien
  • Schnittstellen und Zonen
  • Multinode-Hochverfügbarkeit
  • Überwachungsmöglichkeiten
  • Routing-Richtlinien, Protokolle und Routing-Optionen

Primäre Verifizierungsaufgaben
  • Hochverfügbarkeitsinformationen über beide Knoten
  • Multinode-Hochverfügbarkeitsstatus in der Azure-Cloud

Überblick über die Topologie

Abbildung 2 zeigt die in diesem Beispiel verwendete Topologie.

Abbildung 2: Konfiguration der Multinode-Hochverfügbarkeit auf in Azure Multinode High Availability Configuration on vSRX VMs Deployed in Azure bereitgestellten vSRX-VMs

Die Topologie veranschaulicht eine Multinode-Hochverfügbarkeit (MNHA)-Einrichtung mit zwei Virtuelle Firewall vSRX-Instanzen – Knoten 1 und Knoten 2 –, die in Microsoft Azure bereitgestellt werden. Diese Konfiguration gewährleistet Redundanz und nahtloses Failover für eine sichere Verarbeitung des Datenverkehrs.

Tabelle 2 und Tabelle 3 enthalten die in diesem Beispiel verwendeten Schnittstellen- und IP-Adressdetails.

Tabelle 2: Schnittstellen und IP-Adressen auf dem aktiven Knoten
Schnittstelle Subnetz Private IP Öffentliche IP Rolle/Hinweise
FXP0 10.10.0.0/24

10.10.0.4

 203.0.113.33 Management-Schnittstelle
GE-0/0/0 10.10.1.0/24

10.10.1.4

 - Connects ICL (Inter-Cluster Link)
GE-0/0/1 (Primär) 10.10.2.0/24

10.10.2.4

 - Verbindet nicht vertrauenswürdige Zone mit dem Internet
ge-0/0/1 (sekundär) 10.10.2.0/24

10.10.2.5

198.51.100.253

 Fungiert als sekundäre IP
GE-0/0/2 (Primär) 10.10.3.0/24

10.10.3.4

 - Verbindet die Vertrauenszone mit dem geschützten Subnetz
ge-0/0/2 (sekundär) 10.10.3.0/24

10.10.3.5

 - Sekundäre IP
Tabelle 3: Schnittstellen und IP-Adressen auf dem Backup-Knoten
Schnittstelle Subnetz Private IP Öffentliche IP Rolle/Hinweise
FXP0 10.10.0.0/24

10.10.0.5

 203.0.113.35 Verwaltungsschnittstelle
GE-0/0/0 10.10.1.0/24

10.10.1.5

 - Verbindung zu ICL
GE-0/0/1 (Primär) 10.10.2.0/24

10.10.2.6

 - Verbindet nicht vertrauenswürdige Zone mit dem Internet
GE-0/0/2 (Primär) 10.10.3.0/24

10.10.3.6

 - Verbindet die Vertrauenszone mit dem geschützten Subnetz

Schlüsselkomponenten

  • vSRX-Knoten

    • Knoten 1 und Knoten 2 fungieren als Firewall-Peers in einem MNHA-Cluster.
    • Jeder Knoten verfügt über:
      • Nicht vertrauenswürdige Schnittstelle (Ge-0/0/1): Stellt eine Verbindung zum öffentlichen Subnetz her, das über Internetzugang verfügt
      • Vertrauensschnittstelle (Ge-0/0/2): Stellt eine Verbindung zu geschützten Ressourcen im privaten Subnetz her.
      • Management Interface (FXP0): Wird für die Out-of-Band-Verwaltung verwendet.

  • Öffentliche und private Subnetze

    • Beide vSRX-Knoten werden im öffentlichen Subnetz platziert, um die Konnektivität mit dem Internet-Gateway zu gewährleisten.
    • Die nicht vertrauenswürdige Seite verarbeitet externen Datenverkehr.
    • Geschützte Ressourcen befinden sich im privaten Subnetz und sind mit den Vertrauensschnittstellen beider Knoten verbunden.

  • Interchassis-Verbindung (ICL)

    • Die Schnittstellen Ge-0/0/0 auf beiden Knoten bilden die ICL.
    • Verwendet routingfähige IP-Adressen (10.10.1.4 und 10.10.1.5).

Um Virtuelle Firewall vSRX-Instanzen in Microsoft Azure bereitzustellen, müssen Sie das vSRX-Image aus dem Azure Marketplace auswählen und die Einstellungen des virtuellen Computers und die zugehörigen Abhängigkeiten entsprechend Ihren Netzwerkanforderungen anpassen. Dieser Ansatz der manuellen Bereitstellung ist häufig erforderlich, wenn ein MNHA-Setup für vSRX-VMs konfiguriert wird. Dieser Anwendungsfall könnte zwar auch mit einer CloudFormation-Vorlage automatisiert werden, eine solche Vorlage ist derzeit jedoch nicht verfügbar.

Sehen wir uns die Details der einzelnen Schritte zur Bereitstellung der Virtuelle Firewall vSRX auf Microsoft Azure an.

Einrichtung des Azure-Portals

In diesem Beispiel stellen Sie zwei virtuelle Maschinen (VMs) für vSRX Firewall-Instanzen bereit. In der folgenden Liste finden Sie eine empfohlene Reihenfolge für die Konfiguration von Ressourcen in Azure für Hochverfügbarkeit mit mehreren Knoten. Diese Reihenfolge ist jedoch keine strikte oder obligatorische Regel – viele Aufgaben können je nach Workflow vor- oder nacheinander erledigt werden. Sie können die Reihenfolge an Ihre Anforderungen anpassen
  • Ressourcengruppe erstellen
  • Einrichtung des administrativen Zugriffs
  • Erstellen eines virtuellen Netzwerks (VNet) und von Subnetzen
  • Erstellen Sie öffentliche IP-Adressen
  • Erstellen einer Netzwerk-Sicherheits-Gruppe (NSG)
  • Erstellen eines Speicherkontos
  • Bereitstellen von vSRX-VMs
  • Erstellen und Zuweisen von "I AM "Berechtigungen für eine verwaltete Identität"
  • Erstellen von Schnittstellen-Tags
  • Erstellen von Netzwerkschnittstellen
  • IP-Adressen für Schnittstellen zuweisen
  1. Erstellen einer Ressourcengruppe
    Eine Ressourcengruppe ist ein logischer Container für Ressourcen, die in Azure bereitgestellt werden. Es hilft Ihnen bei der Verwaltung und Organisation zugehöriger Ressourcen. Die vSRX-VM ist eine Ressource innerhalb einer Azure-Ressourcengruppe. Alle mit der vSRX verbundenen Komponenten (z. B. virtuelles Netzwerk, Speicherkonto, öffentliche IP-Adresse usw.) sind Teil derselben Ressourcengruppe.
    1. Melden Sie sich beim Azure-Portal an.
    2. Suchen Sie nach Ressourcengruppe , und erstellen Sie eine neue.
    3. Wählen Sie einen Namen aus, geben Sie Abonnement ein, und wählen Sie die Region für die Ressourcengruppe aus. Erstellen Sie in diesem Beispiel eine Ressourcengruppe azure-vsrx3.0.
    4. Klicken Sie auf Überprüfen + erstellen und dann auf Erstellen. Weitere Informationen finden Sie unter

      Weitere Informationen finden Sie unter Erstellen einer Ressourcengruppe .

  2. Einrichtung des Administratorzugriffs für die Ressourcengruppe

    Dieses Verfahren erteilt einem Benutzer oder einer Benutzergruppe die erforderlichen Berechtigungen zum Verwalten (Bereitstellen, Konfigurieren, Überwachen und Löschen) der virtuellen vSRX-Maschinen und der zugehörigen Netzwerkressourcen innerhalb der dedizierten Ressourcengruppe.

    Bei der Bereitstellung von virtuellen vSRX-Firewalls in Azure werden der verwalteten Entität (der vSRX-VM oder den zugehörigen Ressourcen) auch IAM-Rollen zugewiesen. Dieses Verfahren wird später in diesem Verfahren behandelt.

    Hinweis:

    Um diese Aufgabe ausführen zu können, müssen Sie über die Berechtigung "Eigentümer" verfügen.

    1. Wählen Sie die spezifische Ressourcengruppe aus (azure-vsrx3.0 in diesem Beispiel).
    2. Klicken Sie auf dem Blatt Ressourcengruppe im linken Navigationsbereich auf Zugriffssteuerung (IAM).
    3. Klicken Sie auf die Schaltfläche + Hinzufügen , und wählen Sie dann Rollenzuweisung hinzufügen aus.
    4. Wählen Sie auf der Registerkarte Mitglieder die Option Benutzer, Gruppe oder Dienstprinzipal aus, und wählen Sie eine Rolle aus, z. B. Besitzer, Mitwirkender oder Leser.
    5. Klicken Sie auf + Mitglieder auswählen , suchen Sie nach einem Benutzer oder einer Benutzergruppe, und wählen Sie ihn aus, dem die Rolle zugewiesen werden soll.
    6. Bedingungen konfigurieren (optional).
    7. Klicken Sie auf Überprüfen + zuweisen , um die Rollenzuweisung abzuschließen.
    8. Klicken Sie auf Speichern.
  3. Erstellen eines virtuellen Netzwerks

    Ein virtuelles Netzwerk (VNet) ist die Grundlage für Ihre Azure-Infrastruktur. Es ermöglicht Ihnen, Azure-Ressourcen sicher zu verbinden. Definieren Sie mindestens:

    • Ein Management-Subnetz (fxp0),
    • Ein oder mehrere öffentliche Subnetze für Datenverkehr über das Internet
    • Ein privates Subnetz für interne Workloads
    • Ein ICL-Subnetz für die Kommunikation zwischen Knoten in einem MNHA-Setup

    1. Wechseln Sie im Azure-Portal zum Abschnitt Ressource erstellen . Suchen Sie virtuelle Netzwerke, und wählen Sie sie aus.

    2. Klicken Sie auf + Erstellen.
    3. Geben Sie auf der Registerkarte Grundlagen die folgenden Details ein:
      • Abonnement: Wählen Sie Ihr Abonnement aus.
      • Ressourcengruppe: Wählen Sie eine vorhandene Gruppe aus (Beispiel: azure-vsrx3.0), oder erstellen Sie eine neue.
      • Name: Geben Sie einen Namen für Ihr VNet ein (Beispiel: mnha-vnet-zone).
      • Region: Wählen Sie die Region aus, in der Sie Ressourcen bereitstellen möchten.
    4. Klicken Sie auf Überprüfen + erstellen und dann auf Erstellen.
    5. Klicken Sie auf der Seite Virtuelles Netzwerk auf Einstellungen > Subnetze. Die Subnetze werden verwendet, um die beiden Knoten der Virtuelle Firewall vSRX über eine logische Verbindung zu verbinden (wie das physische Kabel, das die Ports verbindet).

      Tabelle 4 zeigt eine Beispielkonfiguration, die in diesem Beispiel verwendet wird.

      Tabelle 4: Subnetzkonfiguration im Azure-Portal
      Funktion CIDR-Rolle
      Management-Subnetz 10.10.0.0/24 Verwaltung des Datenverkehrs
      icl-subnet 10.10.1.0/24 RTO-, Synchronisations- und Sonden-bezogener Datenverkehr
      untrust-subnet 10.10.2.0/24 Externer Datenverkehr
      trust-subnet 10.10.3.0/24 Interner Datenverkehr
      Weitere Informationen finden Sie unter Erstellen eines virtuellen Netzwerks.
  4. Erstellen einer öffentlichen IP-Adresse
    1. Wechseln Sie im Azure-Portal zum Abschnitt Ressource erstellen . Suchen und wählen Sie Netzwerkgrundlage aus, und wechseln Sie dann zu Öffentliche IP-Adresse.
    2. Klicken Sie auf Erstellen , um mit der Einrichtung einer neuen öffentlichen IP-Adresse zu beginnen.
    3. Geben Sie auf der Registerkarte Grundlagen die folgenden Details ein:
      • Abonnement: Wählen Sie Ihr Abonnement aus.
      • Ressourcengruppe: Wählen Sie eine vorhandene Gruppe aus (azure-vsrx3.0 in diesem Beispiel).
      • Region: Wählen Sie die Region aus, in der Sie Ressourcen bereitstellen möchten.
      • Name: Geben Sie einen eindeutigen Namen für die öffentliche IP-Ressource ein.
      • IP-Version: Wählen Sie IPv4 oder IPv6 basierend auf Ihren Anforderungen.
      • SKU: Wählen Sie zwischen Basis- und Standardangeboten.
      • IP-Adresszuweisung, Ebene, Routingeinstellung: Behalten Sie die Standardoptionen für dieses Beispiel bei.
    4. Überprüfen Sie nach der Konfiguration die Einstellungen, und klicken Sie dann auf Erstellen , um die öffentliche IP-Adresse zuzuweisen.

    Wiederholen Sie die gleichen Schritte, um weitere öffentliche IP-Adressen zu erstellen. In diesem Beispiel erstellen Sie vsrx-r0-ip, vsrx-secondary-public-ipund vsrx-r0b-ip.

  5. Erstellen einer Netzwerk-Sicherheits-Gruppe (NSG)
    1. Navigieren Sie zu Netzwerkgrundlage > Virtuelle Netzwerke, und wählen Sie Netzwerksicherheitsgruppen aus.
    2. Wählen Sie Netzwerksicherheitsgruppe erstellen aus.
    3. Richten Sie Ihre NSG mit den folgenden Details ein:
      • Abonnement: Wählen Sie Ihr Abonnement aus.
      • Ressourcengruppe: Wählen Sie eine vorhandene Gruppe aus (azure-vsrx3.0 in diesem Beispiel).
      • Name: Geben Sie einen eindeutigen Namen für die Netzwerksicherheitsgruppe ein (Beispiel: vsrx-r0-nsg).
      • Region: Wählen Sie die Region aus, in der Sie Ressourcen bereitstellen möchten.

      Network Sicherheit Group wird gegründet. Wiederholen Sie den gleichen Vorgang, um eine weitere Netzwerksicherheitsgruppe zu erstellen (vsrx-r0b-nsg).

    4. Wechseln Sie zu Einstellungen , und definieren Sie eingehende und ausgehende Sicherheitsregeln, um den Datenverkehr zu und von Ihrer NIC und Ihren VMs in Eingehende Sicherheitsregeln und Ausgehende Sicherheitsregeln zu steuern.
      Tipp:

      Wir empfehlen die folgenden Sicherheitseinstellungen für Ihre NSG-Konfiguration:

      • Definieren Sie geeignete NSG-Sicherheitsregeln, um den Datenverkehrsfluss gemäß Ihren Anforderungen zu steuern.
      • Lassen Sie nur eingehendes SSH und optional HTTPS zu, je nachdem, wie Sie die vSRX-Instanz verwalten.
      • Beschränken Sie den eingehenden Zugriff auf Ihre eigene Quell-IP, um potenzielle SSH-Brute-Force-Versuche zu verhindern.
      • Wenn Sie SD Cloud verwenden, stellen Sie sicher, dass die vSRX ausgehende Verbindungen für Folgendes initiieren kann:
        • DNS (Englisch)
        • NTP (Englisch)
        • SSH auf Port 7804
        • SYSLOG über TLS auf Port 6514 (Ziel-IP hängt von Ihrer SD Cloud-Instanz ab)
  6. Erstellen eines Speicherkontos
    Ein Speicherkonto bietet einen eindeutigen Speicherplatz zum Speichern und Zugreifen auf Datenobjekte in Azure.
    1. Klicken Sie in Ihrer Ressourcengruppe auf Erstellen (+).
    2. Suchen Sie nach "Speicherkonto", und erstellen Sie ein neues.
    3. Geben Sie den Namen, das Bereitstellungsmodell, die Leistung und andere Einstellungen an.
    4. Klicken Sie auf Überprüfen + erstellen und dann auf Erstellen. Weitere Informationen finden Sie unter Erstellen eines Speicherkontos .
  7. Bereitstellen von vSRX-VMs

    Führen Sie die folgenden Schritte aus, um zwei vSRX-VM-Instanzen bereitzustellen. Sie verwenden diese beiden Instanzen, um Multinode-Hochverfügbarkeit einzurichten. Weitere Informationen finden Sie unter Bereitstellen des Images der Virtuelle Firewall vSRX aus dem Azure Marketplace.

    VORSICHT:

    In diesem Beispiel werden die angezeigten Werte speziell für diesen Anwendungsfall ausgewählt. Alle anderen Einstellungen bleiben auf ihren Standardeinstellungen belassen. Wählen Sie die Konfigurationswerte aus, die Ihren Netzwerkanforderungen am besten entsprechen.
    1. Suchen Sie im Azure Marketplace nach vSRX, indem Sie auf Ressource erstellen klicken und nach Virtuelle Firewall vSRX suchen.
    2. Wählen Sie das vSRX-VM-Image aus dem Azure Marketplace aus.
    3. Konfigurieren Sie die Bereitstellungeinstellungen, indem Sie die folgenden Details angeben:

      Grundlagen Registerkarte

      1. Abonnement: Wählen Sie Ihr Abonnement aus.
      2. Ressourcengruppe: Wählen Sie die Ressourcengruppe aus. Verwenden Sie in diesem Beispiel die, die azure-vsrx3.0 Sie zuvor erstellt haben.
        Hinweis:

        Stellen Sie beide Instanzen der Virtuelle Firewall vSRX in derselben Ressourcengruppe bereit. Die Ressourcengruppe enthält alle Ressourcen, die den virtuellen vSRX-Firewalls für diese Bereitstellung zugeordnet sind.
      3. Name der virtuellen Maschine: Geben Sie einen eindeutigen Namen für Ihre vSRX-VM ein (Beispiel: vsrx-r0).
      4. Region: Wählen Sie die Region aus, in der Sie Ressourcen bereitstellen möchten.
      5. Bild: Wählen Sie das Image der vSRX-Firewall der nächsten Generation aus.
      6. Größe: Wählen Sie DS3_v2 Standard als Virtuelle Firewall vSRX VM-Größe für dieses Beispiel aus.
      7. Authentifizierungstyp: Wählen Sie die erforderliche Authentifizierung Methode für den Zugriff auf die Virtuelle Firewall vSRX-VM aus: Kennwort oder öffentlicher SSH-Schlüssel.
      8. Öffentliche eingehende Ports: Option Ausgewählte Ports zulassen beibehalten.
      9. Eingehende Ports auswählen: Wählen Sie für dieses Beispiel SSH 22 aus.

    4. Registerkarte "Festplatten"

      1. Betriebssystem-Datenträgertyp: Geben Sie den Datenträgertyp an, der für die VM der Virtuelle Firewall vSRX verwendet werden soll: SSD oder HDD.

    5. Registerkarte "Netzwerk"

      1. Virtuelles Netzwerk: Wählen Sie das virtuelle Netzwerk aus (mnha-vnet-zone in diesem Beispiel).
      2. Subnetz: Wählen Sie das virtuelle Netzwerk aus (management-subnet in diesem Beispiel).
      3. Öffentliche IP-Adresse: Wählen Sie die öffentliche IP-Adresse aus (vsrx-r0-ip in diesem Beispiel).
      4. Öffentliche eingehende Ports: Option Ausgewählte Ports zulassen beibehalten.
      5. Eingehende Ports auswählen: Wählen Sie für dieses Beispiel SSH 22 aus.

    6. Überprüfen Sie Ihre Einstellungen und klicken Sie auf Erstellen.

    Azure beginnt mit der Bereitstellung der vSRX-VM basierend auf Ihrer Konfiguration. Nachdem die VMs der Virtuelle Firewall vSRX erstellt wurden, werden im Dashboard des Azure-Portals die neuen VMs der Virtuelle Firewall vSRX unter Ressourcengruppen aufgelistet.

    Hinweis:

    Denken Sie daran, diese Schritte an Ihre spezifischen Anforderungen und Ihr Netzwerkdesign anzupassen.

    Stellen Sie eine weitere VM der vSRX-Instanz (vsrx-r0b) bereit und konfigurieren Sie sie, indem Sie die gleichen Schritte wie in diesem Verfahren ausführen.

  8. Erstellen und Zuweisen von "I AM "Berechtigungen für eine verwaltete Identität"
    Verwaltete Identitäten werden erstellt und mit der Ressourcengruppe verknüpft. Diese Identitäten ermöglichen es VMs, sicher mit Azure-Diensten zu interagieren, ohne Anmeldeinformationen verwalten zu müssen.
    Die Person, die die vSRX3.0-VM in Azure bereitstellt, muss über IAM-Berechtigungen (Identitäts- und Zugriffsverwaltung) verfügen, um eine benutzerseitig zugewiesene verwaltete Identität zu erstellen und an die VM anzufügen. Diese verwaltete Identität verhält sich wie ein Dienstprinzipal und ermöglicht es der VM, sich zu authentifizieren und Azure-Dienste aufzurufen, ohne Anmeldeinformationen zu speichern.
    1. Erstellen einer verwalteten Identität
      1. Wechseln Sie im Azure-Portal zum Abschnitt Ressource erstellen . Suchen Sie verwaltete Identität, und wählen Sie sie aus.
      2. Klicken Sie auf + Erstellen .
      3. Geben Sie auf der Registerkarte Grundlagen von Benutzerseitig zugewiesene verwaltete Identität erstellen die folgenden Details ein:
        • Abonnement: Wählen Sie Ihr Abonnement aus.
        • Ressourcengruppe: Wählen Sie in diesem Beispiel eine vorhandene Gruppe (azure-vsrx3.0) aus.
        • Name: Geben Sie einen eindeutigen Namen für die verwaltete Identität ein (Beispiel: mnha-role).
        • Region: Wählen Sie die Region aus, in der Sie Ressourcen bereitstellen möchten.
      4. Überprüfen Sie nach der Konfiguration die Einstellungen und klicken Sie dann auf Erstellen.

      Das System zeigt den Status an und informiert nach dem Anlegen der Identität.

    2. Zuordnen der verwalteten Identität zur vSRX3.0-VM

      1. Wählen Sie im Azure-Portal den ersten virtuellen vSRX-Computer aus.

      2. Navigieren Sie zu Sicherheit > Identity.

      3. Wählen Sie die Registerkarte Benutzerzugewiesen und klicken Sie auf + Erstellen.

      4. Abonnement: Wählen Sie Ihr Abonnement aus.
      5. Benutzerseitig zugewiesene verwaltete Identitäten: Wählen Sie die verwaltete Identität aus, die Sie erstellt haben (mnha-role in diesem Beispiel).
      6. Klicken Sie auf Hinzufügen.
    3. IAM-Rolle für VM-Instanz zuweisen

      Zuweisen der benutzerdefinierten Rolle (im Bereich der Ressourcengruppe)

      1. Navigieren Sie zu der Ressourcengruppe, die sowohl vSRX-VMs als auch alle zugehörigen Netzwerkkomponenten (NICs, IPs) enthält.

      2. Klicken Sie im Menü auf der linken Seite auf Zugriffssteuerung (IAM).

      3. Klicken Sie auf Hinzufügen > Rollenzuweisung hinzufügen.

      4. Rolle: Wählen Sie eine benutzerdefinierte Rolle aus, die die spezifischen erforderlichen Berechtigungen (siehe unten) enthält, oder, für einfachere Bereitstellungen, die Rolle "Netzwerkmitwirkender ".

        • Empfohlene Berechtigungen für die benutzerdefinierte Rolle:

          • Microsoft.Authorization/*/read
          • Microsoft.Compute/virtualMachines/read
          • Microsoft.Network/networkSecurityGroups/join/action
          • Microsoft.Network/networkInterfaces/*
          • Microsoft.Network/virtualNetworks/join/action
          • Microsoft.Network/publicIPAddresses/read
          • Microsoft.Network/publicIPAddresses/write
          • Microsoft.Network/publicIPAddresses/join/action
          • Microsoft.Authorization/*/read
          • Microsoft.Compute/virtualMachines/read
          • Microsoft.Network/routeTables/*
          • Microsoft.Network/networkInterfaces/*

      5. Mitglieder: Wählen Sie Verwaltete Identität aus.

      6. Klicken Sie auf + Mitglieder auswählen und wählen Sie die von Ihnen erstellte mnha-roleverwaltete Identität aus.

      7. Klicken Sie auf Überprüfen + zuweisen.

  9. Erstellen einer Netzwerkschnittstelle

    Planen Sie die Netzwerkschnittstellenkonfiguration auf den Firewalls der vSRX-Serie in Azure. Sie können Schnittstellen vor oder nach der VM-Bereitstellung erstellen:

    • Vor der VM-Bereitstellung: Erstellen Sie Schnittstellen vorab und weisen Sie sie während des VM-Setups zu.
    • Nach der VM-Bereitstellung: Fügen Sie bei Bedarf zusätzliche Schnittstellen an vorhandene VMs an. Dieser Vorgang wird nur unterstützt, wenn die VM ausgeschaltet ist. Das Hinzufügen von Schnittstellen während der Ausführung des virtuellen Computers ist nicht möglich.

    Im folgenden Verfahren erstellen wir neue Schnittstellen und fügen sie später an VMs an und weisen IP-Adressen zu.

    1. Navigieren Sie im Azure-Portal im Abschnitt Netzwerk zu Netzwerkschnittstellen.
    2. Klicken Sie auf Netzwerkschnittstelle erstellen.
    3. Geben Sie die folgenden Details für die neue Netzwerkschnittstelle ein:
      • Name: Geben Sie einen eindeutigen Namen für Ihre Schnittstelle an.
      • Region: Wählen Sie dieselbe Region wie Ihr VNet, Ihre VMs und IP-Adressen aus.
      • Virtuelles Netzwerk: Wählen Sie das virtuelle Netzwerk aus, dem Ihre NIC zugeordnet werden soll (mnha-vnet-zonein diesem Beispiel).
      • Subnetz: Wählen Sie das entsprechende Subnetz aus. Die zuvor erstellten Subnetze sind in der Dropdownliste verfügbar.
      • IP-Version: Wählen Sie für dieses Beispiel IPv4 aus.
      • Private IP-Adresszuweisung: Wählen Sie für dieses Beispiel Statisch aus.
    4. Fügen Sie bei Bedarf die zuvor erstellte öffentliche IP-Adresse an.
    5. Wählen Sie aus, ob Sie eine neue Netzwerksicherheitsgruppe erstellen oder einer vorhandenen verknüpfen möchten.
    6. Überprüfen Sie die Einstellungen und klicken Sie auf Erstellen , um die neue Schnittstelle zu Bereitstellung.
  10. Schnittstellen mit VM verknüpfen
    1. Navigieren Sie zu Ihrer bereitgestellten vSRX VM, und klicken Sie auf Netzwerk> Netzwerkeinstellungen.
    2. Klicken Sie auf Netzwerkschnittstelle anhängen.
    3. Wählen Sie im Bereich Vorhandene Netzwerkschnittstelle anhängen die Schnittstelle aus, die Sie aus der Dropdownliste hinzufügen möchten. (Wenn Sie keine haben, wählen Sie zuerst Netzwerkschnittstelle erstellen aus).
    4. Klicken Sie auf OK.
  11. IP-Adressen für Schnittstellen zuweisen
    1. Klicken Sie im Menü auf der linken Seite der VM auf Netzwerk- > Netzwerkeinstellungen.
    2. Suchen Sie die angeschlossene Netzwerkschnittstelle.
    3. Klicken Sie auf den Namen der Netzwerkschnittstelle, um die Details auf der IP-Konfigurationsseite zu öffnen. Im Abschnitt IP-Konfigurationen finden Sie die zugewiesene IP-Adresse (falls vorhanden), und Sie können auch die IP-Adresse konfigurieren.
      1. Aktivieren oder deaktivieren Sie IP-Weiterleitung aktivieren. Aktivieren Sie die IP-Weiterleitung immer auf der Schnittstelle der Steuerungsverbindung. Stellen Sie sicher, dass Standardrouten sowohl auf der vertrauenswürdigen als auch auf der nicht vertrauenswürdigen Seite konfiguriert sind. Aktivieren Sie die IP-Weiterleitung auf Umsatzschnittstellen, wenn Ihre Datenverkehrstopologie dies erfordert. Aktivieren Sie im Zweifelsfall die Sicherstellung eines ordnungsgemäßen Datenverkehrsflusses.
      2. Klicken Sie auf +Hinzufügen , um eine neue IP-Konfiguration hinzuzufügen, und geben Sie die folgenden Details ein:

        • Name: Geben Sie einen Namen für die IP-Konfiguration ein (Beispiel ipconfig oder ipconfig1.

        • IP-Version: IPv4 oder IPv6 auswählen

        • Typ: Primär oder sekundär auswählen

        • Private IP-Adresse: Zuweisung: Wählen Sie Statisch oder Dynamisch aus. Die statische IP-Adresse bleibt unverändert, solange die VM existiert, und die dynamische IP-Adresse kann sich nach einem Neustart der VM oder einem Aus- und Wiedereinschalten ändern.

        • Private IP-Adresse: IP-Adresse: Geben Sie die IP-Adresse ein

        • Öffentliche IP-Adresse zuordnen: Aktivieren oder deaktivieren Sie die Option je nach Anforderung. Beachten Sie, dass Schnittstellen standardmäßig nur private IP-Adressen zugewiesen werden können. Öffentliche IP-Adressen müssen explizit in den Netzwerkschnittstelleneinstellungen des virtuellen Computers konfiguriert werden. In diesem Beispiel haben Sie bereits drei öffentliche IP-Adressen erstellt: vsrx-r0-ip, vsrx-secondary-public-ipund vsrx-r0b-ip. Die tatsächlichen öffentlichen IP-Werte (203.0.113.33, 198.51.100.253 und 203.0.113.35) werden automatisch von Azure zugewiesen, wenn die öffentliche IP-Ressource erstellt wird. Sie können diese IP nicht manuell angeben. Azure weist es aus seinen verwalteten Adresspools zu.

        Klicken Sie auf Speichern , um Ihre Einstellungen zu speichern.

      Führen Sie die gleichen Schritte aus, um die sekundäre IP-Adresse und die anderen erforderlichen IP-Adressen auf den entsprechenden Schnittstellen beider VMs hinzuzufügen. Verwenden Sie für dieses Beispiel die IP-Adresskonfiguration, wie in den Tabellen Tabelle 5 und Tabelle 6 beschrieben.

      Hinweis: Nur die aktive Knoten-VM ( vsrx‑r0) benötigt eine sekundäre IP-Adresse. Konfigurieren Sie keine sekundäre IP auf der Standby-VM ( ). vsrx‑r0b
    , ,
    Tabelle 5: Konfiguration der Schnittstellen und IP-Adressen auf vSRX-VM-Knoten 1 (vsrx-r0) (aktiver Knoten)
    SchnittstellenSubnetz-IP-Adresseöffentliche IP-Weiterleitungsoption , der Schnittstelle zugeordnet (vSRX und Azure)

    vSRX-r0213_z1

    		 Management-Subnetz

    10.10.0.4

    203.0.113.33

    		 NA FXP0 (eth0)
    vSRX-R0-G0 ICL-Subnetz

    10.10.1.4

    		 NA Aktivieren GE-0/0/0 (Eth1)
    vSRX-R0-G1 untrust-subnet

    10.10.2.4

    		 NA Aktivieren GE-0/0/1 (ETH2)
    vSRX-R0-G1 untrust-subnet

    10.10.2.5

    198.51.100.253

    		 Aktivieren GE-0/0/1 (ETH2)
    vSRX-R0-G2 trust-subnet

    10.10.3.4

    		 NA Aktivieren GE-0/0/2 (Eth3)
    vSRX-R0-G2 trust-subnet

    10.10.3.5

    		 NA Aktivieren GE-0/0/2(ETH3)
    , ,
    Tabelle 6: Konfiguration der Schnittstellen und IP-Adressen auf vSRX-VM-Knoten 2 (vsrx-r0b) (Backup-Knoten)
    SchnittstellenSubnetz-IP-Adresseöffentliche IP-Weiterleitungsoption , der Schnittstelle zugeordnet (vSRX und Azure)

    vSRX-r0b545_z1

    		 Management-Subnetz

    10.10.0.5

    203.0.113.35

    		 Aktivieren FXP0 (eth0)
    vSRX-R0B-G0 ICL-Subnetz

    10.10.1.5

    		 NA Aktivieren GE-0/0/0 (Eth1)
    vSRX-R0B-G1 untrust-subnet

    10.10.2.6

    		 NA Aktivieren GE-0/0/1 (ETH2)
    vSRX-R0B-G2 trust-subnet

    10.10.3.6

    		 NA Aktivieren GE-0/0/2(ETH3)

    Siehe Schnittstellenzuordnung für Virtuelle Firewall vSRX auf Microsoft Azure für Namen der Virtuelle Firewall vSRX und Microsoft Azure.

    Klicken Sie auf Einstellungen > Netzwerk, um Schnittstellen, Subnetz- und IP-Konfigurationen Ihrer VM anzuzeigen.

  12. Schnittstellen der Network Sicherheit Group (NSG) zuordnen
    Netzwerksicherheitsgruppen können auf Subnetzebene (wirkt sich auf alle NICs in diesem Subnetz aus) oder auf Schnittstellenebene angewendet werden. NSGs steuern den Datenverkehr nach IP, Port und Protokoll. Durch das Zuordnen von NSGs auf Schnittstellenebene werden Regeln angewendet, die für die Schnittstelle dieser VM spezifisch sind. Die NSG muss sich in derselben Region und Ressourcengruppe wie die Netzwerkschnittstelle befinden.
    1. Geben Sie in der Suchleiste oben im Portal Netzwerkschnittstellen ein, und wählen Sie sie aus
    2. Wählen Sie den Namen der Netzwerkschnittstelle aus, die Sie konfigurieren möchten
    3. Wählen Sie im Menü auf der linken Seite unter Einstellungen die Option Netzwerksicherheitsgruppe aus.
    4. Wählen Sie die gewünschte NSG aus dem Dropdownmenü aus (oder wählen Sie Keine aus, um die Verbindung zu einer vorhandenen aufzuheben). Wählen Sie die folgenden NSGs aus:
      • vSRX-R0 für virtuelle Maschine vSRX-R0B
      • vsrx-r0b-nsg für virtuelle Maschine vsrx-r0b
    5. Wählen Sie Speichern aus, um die Änderungen zu übernehmen
  13. Erstellen von Schnittstellen-Tags

    Ressourcentags in Azure sind Metadatenelemente, die aus einem Namens- und einem Wertpaar bestehen, die Sie auf Ihre Azure-Ressourcen, Ressourcengruppen und Abonnements anwenden.

    Um Tags zu erstellen, wählen Sie auf der Seite Ihrer vSRX-VM in der linken Navigationsleiste Tags aus.

    In diesem Beispiel erstellen Sie Tags für beide VMs, um die vertrauenswürdigen und nicht vertrauenswürdigen Schnittstellen auf zwei Instanzen der Virtuelle Firewall vSRX zu identifizieren. Die folgenden Tabellen (Tabelle 7 und Tabelle 8) zeigen die in diesem Beispiel verwendeten Beispieltags.

    Tabelle 7: Schnittstellen-Tags auf vSRXVM-1 (vsrx-r0)

    Tag-Name

    Wert

    local_trust_interface

    vSRX-R0-G2

    local_untrust_interface

    vSRX-R0-G1

    Peer_Trust-Schnittstelle

    vSRX-R0B-G2

    Peer_UnTrust_Interface

    vSRX-R0B-G1
    Tabelle 8: Schnittstellen-Tags auf vSRXVM-2 (vsrx-r0b)

    Tag-Name

    Wert

    local_trust_interface

    vSRX-R0B-G2

    local_untrust_interface

    vSRX-R0B-G1

    Peer_Trust-Schnittstelle

    vSRX-R0-G2

    Peer_UnTrust_Interface

    vSRX-R0-G1

    Beachten Sie, dass die in der Tabelle angegebenen Tag-Werte die Namen der Netzwerkschnittstellen darstellen. Sie müssen in Ihrem Setup dieselben Tag-Werte verwenden. Bei der MNHA-Einrichtung in Azure werden diese Tags verwendet, um jede NIC der entsprechenden vSRX-Schnittstelle zuzuordnen. Diese Zuordnung muss mit den tatsächlichen Schnittstellennamen übereinstimmen, damit der Hohe Verfügbarkeit Prozess sekundäre IPs während der Failover korrekt zwischen den entsprechenden vertrauenswürdigen und nicht vertrauenswürdigen Schnittstellen verschieben kann.

Nachdem Sie alle Konfigurationen abgeschlossen haben, verwenden Sie die serielle Konsole des Azure-Portals oder Remote-SSH, um sich bei den VMs der Virtuelle Firewall vSRX anzumelden.

Nachdem nun alle im Azure-Portal erforderlichen Konfigurationen abgeschlossen sind, beginnen wir mit der Konfiguration der Virtuelle Firewall vSRX mithilfe der CLI.

Hinweis:

Stellen Sie sicher, dass Sie die neueste Version des vSRX-Software-Images (23.4R1 oder höher) verwenden. Sie können die Software von Junos OS für die Virtuelle Firewall vSRX direkt über die CLI aktualisieren. Das Upgrade oder Downgrade von Junos OS kann je nach Größe und Konfiguration des Netzwerks mehrere Stunden dauern. Sie können die gewünschte Datei Junos OS Release for Virtuelle Firewall vSRX.tgz von der Website von Juniper Networks herunterladen. Weitere Informationen finden Sie unter Anweisungen zu Migration, Upgrade und Downgrade.

Konfiguration der virtuellen Firewalls von vSRX

Das Junos IKE-Paket wird für Ihre Firewalls der SRX-Serie für die Multinode-Hochverfügbarkeitskonfiguration empfohlen. Dieses Paket ist als Standardpaket oder als optionales Paket für Firewalls der SRX-Serie erhältlich. Weitere Informationen finden Sie unter Unterstützung für das Junos IKE-Paket .

Wenn das Paket nicht standardmäßig auf Ihrer Firewall der SRX-Serie installiert ist, verwenden Sie den folgenden Befehl, um es zu installieren. Sie benötigen diesen Schritt für die ICL-Verschlüsselung.

  1. Konfigurieren Sie Schnittstellen für ICL, internen und externen Datenverkehr.
    • Knoten 1
    • Knoten 2
    Hinweis:

    Die sekundäre IP-Adresse gehört nur dem aktiven Knoten und wird erst während des Failovers auf dem Sicherungsknoten aktiv.
    Hinweis:

    Für die fxp0-Schnittstelle wird die Verwaltungs-IP-Adresse von Azure zugewiesen, und die Verwaltungs-IP-Adresse ist an fxp0.0 (Einheit 0) gebunden.

  2. Konfigurieren Sie Sicherheitszonen, weisen Sie den Zonen Schnittstellen zu und geben Sie die zulässigen Systemdienste für die Sicherheitszonen an.
    VORSICHT:

    Die Konfigurationsbeispiele in diesem Dokument lassen alle eingehenden Host-Protokolle und -Services der Einfachheit halber zu. In einer Produktions-Bereitstellung dürfen Sie den eingehenden Zugriff nur auf die Protokolle und Services beschränken, die für Ihre Umgebung erforderlich sind. Bei einer MNHA-Einrichtung umfasst diese Konfiguration in der Regel das Zulassen von IKE, BGP und BFD. Passen Sie die Sicherheitsregeln immer an Ihr Netzwerk und Ihre Sicherheitsanforderungen an.
    • Knoten 1
    • Knoten 2
  3. Konfigurieren Sie Details zu lokalen Knoten und Peer-Knoten.
    • Knoten 1
    • Knoten 2
  4. Konfigurieren Sie SRG1 mit dem Bereitstellungstyp als Cloud, weisen Sie eine ID zu und legen Sie die Priorität für Unterbrechung und Aktivität fest.
    • Knoten 1
    • Knoten 2
  5. Konfigurieren Sie Optionen für die Azure-Bereitstellung.
    • Knoten 1
    • Knoten 2
  6. Konfigurieren Sie die Sicherheitsrichtlinie.
    VORSICHT:

    Die in diesem Beispiel gezeigte Sicherheitsrichtlinie dient nur zur Demonstration und zum Testen. Sie sollten die Sicherheitsrichtlinien entsprechend Ihren Netzwerkanforderungen konfigurieren. Stellen Sie sicher, dass Ihre Sicherheitsrichtlinien nur die Anwendungen, Benutzer und Geräte zulassen, denen Sie vertrauen.
    • Knoten 1

    • Knoten 2

  7. Konfigurieren Sie die Routing-Instanz.
    • Knoten 1
    • Knoten 2
  8. Konfigurieren Sie Richtlinienoptionen.
    • Knoten 1
    • Knoten 2
  9. ICL verschlüsseln
    • Knoten 1
    • Knoten 2

    Weitere Informationen finden Sie unter Beispiel: Konfigurieren der Multinode-Hochverfügbarkeit in einem Layer-3-Netzwerk .

Verifizierung

Verwenden Sie die show-Befehle, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert.

Tabelle 9: Befehle zur Überprüfung anzeigen
Aufgabe zur Befehlsüberprüfung

show chassis high-availability information

Zeigen Sie Details zum MNHA-Status auf Ihrem Sicherheitsgerät an, einschließlich des Integritätsstatus des Peer-Knotens.
show security cloud high- availability information

Zeigen Sie den Status der MNHA-Bereitstellung in einer öffentlichen Cloud (AWS oder Azure) an.

Überprüfen Sie die Details zur Multinode-Hochverfügbarkeit

Zweck

Zeigen Sie die Details des auf Ihrer Virtuelle Firewall vSRX Instance konfigurierten Multinode-Hochverfügbarkeits-Setups an und überprüfen Sie es.

Aktion

Führen Sie im Betriebsmodus den folgenden Befehl auf beiden Geräten aus.

Auf Knoten 1 (aktiver Knoten)

Auf Knoten 2 (Backup-Knoten)

Bedeutung

Überprüfen Sie diese Details in der Befehlsausgabe:

  • Details zum lokalen Knoten und Peer-Knoten wie IP-Adresse und ID.
  • Das Feld Bereitstellungstyp: CLOUD gibt an, dass die Konfiguration für die Cloud-Bereitstellung gilt.
  • Das Feld Services Redundanzgruppe: 1 gibt den Status der SRG1 (ACTIVE oder BACKUP) auf diesem Knoten an.

Überprüfen Sie die Details zu Multinode-Hochverfügbarkeit

Zweck

Überprüfen Sie den Status der Multinode-Hochverfügbarkeits-Bereitstellung in der Azure-Cloud.

Aktion

Führen Sie im Betriebsmodus den folgenden Befehl aus:

Bedeutung

Überprüfen Sie diese Details in der Befehlsausgabe:

  • Cloudtyp: Azure gibt an, dass die Bereitstellung für Azure erfolgt.
  • Clouddiensttyp: Sekundäre IP-Adresse gibt an, dass die Azure-Bereitstellung die sekundäre IP-Adresse zum Steuern des Datenverkehrs verwendet.
  • Clouddienststatus: An Peerknoten binden gibt die Bindung der sekundären IP-Adresse an den Peerknoten an, was bedeutet, dass der aktuelle Knoten ein Sicherungsknoten ist.

Grundlegende Checkliste zur Fehlerbehebung

  1. Überprüfen Sie die sekundäre IP-Adresse auf nicht vertrauenswürdige Schnittstelle und vertrauenswürdige Schnittstelle auf derselben vsrx3.0-VM-Instanz.
  2. Prüfen Sie, ob die vier Tag-Werte mit den Schnittstellennamen übereinstimmen.
  3. Überprüfen Sie, ob die eingehende Regel korrekt ist, um den Datenverkehr zuzulassen.
  4. Überprüfen Sie, ob die IP-Weiterleitung im Azure-Portal aktiviert ist.
  5. Überprüfen Sie die Route des Azure-Portals, und vSRX CLI Route synchronisiert sind.
  6. Überprüfen Sie die nicht vertrauenswürdige Schnittstelle des aktiven Knotens, um festzustellen, ob die schwebenden IP-Adressen im Azure-Portal daran angefügt sind.

Befehle auf allen Geräten festlegen

Virtuelle Firewall vSRX (Knoten 1)

Virtuelle Firewall vSRX (Knoten 2)

Konfigurationsausgabe anzeigen

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe der show high availabilityBefehle , show security zonesund show interfaces . Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Virtuelle Firewall vSRX (Knoten 1)

Virtuelle Firewall vSRX (Knoten 2)

Siehe auch

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie den Feature-Explorer , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Veröffentlichung
Beschreibung
24,4R1
Ab Junos OS Version 24.4R1 unterstützen wir IPsec-VPN für aktive/Backup-Multinode-Hochverfügbarkeit in Azure-Cloudbereitstellungen.
23,4R1
Ab Junos OS Version 23.4R1 unterstützen wir MNHA in der Microsoft Azure Cloud-Plattform.