Groupe de redondance des clusters de châssis Basculement

Chassis cluster utilise un certain nombre de mécanismes de basculement très efficaces qui favorisent la haute disponibilité pour augmenter la fiabilité et la productivité globales de votre système.

Un groupe de redondance est un ensemble d’objets qui basculent en tant que groupe. Chaque groupe de redondance surveille un ensemble d’objets (interfaces physiques) et une pondération est attribuée à chaque objet surveillé. Chaque groupe de redondance a un seuil initial de 255. Lorsqu’un objet surveillé tombe en panne, son poids est soustrait de la valeur seuil du groupe de redondance. Lorsque la valeur de seuil atteint zéro, le groupe de redondance bascule vers l’autre nœud. Par conséquent, tous les objets associés au groupe de redondance basculent également. Un redémarrage progressif des protocoles de routage permet au pare-feu SRX Series de minimiser les perturbations du trafic lors d’un basculement.

Des basculements consécutifs d’un groupe de redondance dans un court intervalle peuvent entraîner un comportement imprévisible du cluster. Pour éviter de tels comportements imprévisibles, configurez un temps d’amortissement entre les basculements. Lors du basculement, le nœud principal précédent d’un groupe de redondance passe à l’état de suspension secondaire et reste à l’état de suspension secondaire jusqu’à l’expiration de l’intervalle de suspension. Une fois l’intervalle de maintien écoulé, le nœud principal précédent passe à l’état secondaire.

La configuration de l’intervalle d’attente empêche les basculements consécutifs pendant la durée de l’intervalle d’attente.

L’intervalle d’attente affecte les basculements manuels, ainsi que les basculements automatiques associés aux échecs de surveillance.

Le temps d’amortissement par défaut pour un groupe de redondance 0 est de 300 secondes (5 minutes) et peut être configuré jusqu’à 1800 secondes avec l’instruction hold-down-interval . Pour certaines configurations, telles que celles comportant un grand nombre de routes ou d’interfaces logiques, l’intervalle par défaut ou l’intervalle configuré par l’utilisateur peut ne pas suffire. Dans ce cas, le système prolonge automatiquement le temps d’amortissement par tranches de 60 secondes jusqu’à ce que le système soit prêt pour le basculement.

Les groupes de redondance (groupes x de redondance numérotés de 1 à 128) ont un temps d’amortissement par défaut de 1 seconde, avec une plage de 0 à 1800 secondes.

Sur les pare-feu SRX Series, les performances de basculement des clusters de châssis sont optimisées pour évoluer avec des interfaces plus logiques. Auparavant, lors du basculement de groupe de redondance, l’arp gratuit (GARP) était envoyé par le processus jsrpd (Juniper Services Redundancy Protocol) exécuté dans le moteur de routage sur chaque interface logique pour diriger le trafic vers le nœud approprié. Avec la mise à l’échelle de l’interface logique, le moteur de routage devient le point de contrôle et le GARP est directement envoyé à partir de l’unité de traitement des services (SPU).

Minuteur de délai de basculement préventif

Un groupe de redondance est à l’état principal (actif) sur un nœud et à l’état secondaire (sauvegarde) sur l’autre nœud à un moment donné.

Vous pouvez activer le comportement préventif sur les deux nœuds d’un groupe de redondance et attribuer une valeur de priorité à chaque nœud du groupe de redondance. Le nœud du groupe de redondance avec la priorité configurée la plus élevée est initialement désigné comme principal du groupe, et l’autre nœud est initialement désigné comme secondaire dans le groupe de redondance.

Lorsqu’un groupe de redondance permute l’état de ses nœuds entre le nœud principal et le nœud secondaire, il est possible qu’un échange d’état ultérieur de ses nœuds se reproduise peu de temps après le premier échange d’état. Ce changement rapide d’états entraîne l’affaiblissement des systèmes primaire et secondaire.

À partir de Junos OS version 17.4R1, un délai de basculement est introduit sur les pare-feu SRX Series dans un cluster de châssis pour limiter l’instabilité de l’état du groupe de redondance entre les nœuds secondaire et principal lors d’un basculement préventif.

Pour éviter le battement, vous pouvez configurer les paramètres suivants :

• Délai préemptif : le délai préemptif est le temps pendant lequel un groupe de redondance dans un état secondaire attend lorsque l’état principal est arrêté dans un basculement préemptif avant de passer à l’état principal. Ce temporisateur retarde le basculement immédiat pendant une période configurée, comprise entre 1 et 21 600 secondes.

• Limite préemptive : la limite préemptive limite le nombre de basculements préemptifs (compris entre 1 et 50) au cours d’une période de préemption configurée, lorsqu’elle preemption est activée pour un groupe de redondance.

• Période de préemption : période (1 à 1440 secondes) pendant laquelle la limite de préemption est appliquée, c’est-à-dire le nombre de basculements préventifs configurés lorsque la préemption est activée pour un groupe de redondance.

Considérez le scénario suivant où vous avez configuré une période de préemption de 300 secondes et une limite de préemption de 50.

Lorsque la limite de préemption est configurée sur 50, le nombre commence à 0 et s’incrémente avec un premier basculement préemptif ; Ce processus se poursuit jusqu’à ce que le nombre atteigne la limite de préemption configurée, c’est-à-dire 50, avant l’expiration de la période de préemption. Lorsque la limite de préemption (50) est dépassée, vous devez réinitialiser manuellement le nombre de préemptions pour permettre aux basculements préventifs de se reproduire.

Lorsque vous avez configuré la période de préemption sur 300 secondes, et si la différence de temps entre le premier basculement préemptif et le basculement actuel a déjà dépassé 300 secondes et que la limite de préemption (50) n’est pas encore atteinte, la période de préemption est réinitialisée. Après réinitialisation, le dernier basculement est considéré comme le premier basculement préemptif de la nouvelle période de préemption et le processus recommence.

Le délai préventif peut être configuré indépendamment de la limite de basculement. La configuration du minuteur de délai préemptif ne modifie pas le comportement préemptif existant.

Cette amélioration permet à l’administrateur d’introduire un délai de basculement, ce qui peut réduire le nombre de basculements et stabiliser l’état du réseau grâce à la réduction des interruptions actives/de veille au sein du groupe de redondance.

• Comprendre la transition de l’état primaire à l’état secondaire avec un délai préventif
• Configuration du minuteur de délai préemptif

Comprendre la transition de l’état primaire à l’état secondaire avec un délai préventif

Prenons l’exemple suivant, où un groupe de redondance primaire sur le nœud 0 est prêt pour une transition préventive vers l’état secondaire lors d’un basculement. La priorité est attribuée à chaque nœud et l’option preemptive est également activée pour les nœuds.

La figure 1 illustre la séquence des étapes de transition de l’état principal à l’état secondaire lorsqu’une minuterie de délai préemptive est configurée.

Figure 1 : Passage de l’état primaire à l’état secondaire avec délai préventif

1. Le nœud à l’état principal est prêt pour une transition préventive vers l’état secondaire si l’option est configurée et que le nœud à l’état secondaire a la priorité sur le nœud à l’état preemptive principal. Si le délai de préemption est configuré, le nœud de l’état principal passe à l’état principal-préempt-hold . Si le délai préventif n’est pas configuré, la transition vers l’état secondaire se produit instantanément.

2. Le nœud est à l’état principal-préempt-hold en attendant l’expiration du minuteur de délai de préemption. La minuterie de délai de précaution est vérifiée et la transition est maintenue jusqu’à l’expiration de la minuterie. Le nœud principal reste à l’état principal-préempt-hold jusqu’à l’expiration du minuteur, avant de passer à l’état secondaire.

3. Le nœud passe de l’état principal-préempt-hold à l’état de maintien secondaire, puis à l’état secondaire.

4. Le nœud reste à l’état de maintien secondaire pendant la durée par défaut (1 seconde) ou l’heure configurée (au moins 300 secondes), puis le nœud passe à l’état secondaire.

Si la configuration de votre cluster de châssis rencontre un nombre anormal de volets, vous devez vérifier votre liaison et vos minuteries de surveillance pour vous assurer qu’elles sont correctement réglées. Soyez prudent lorsque vous réglez des minuteries dans des réseaux à latence élevée pour éviter d’obtenir des faux positifs.

Configuration du minuteur de délai préemptif

Cette rubrique explique comment configurer le délai sur les pare-feu SRX Series dans un cluster de châssis. Des basculements consécutifs de groupes de redondance trop rapides peuvent entraîner un comportement imprévisible d’un cluster de châssis. La configuration du minuteur de retard et de la limite de taux de basculement retarde le basculement immédiat pendant une période configurée.

Pour configurer le délai de préemption et la limite de taux de basculement entre les basculements de groupes de redondance :

1. Activez le basculement préventif pour un groupe de redondance.

   Vous pouvez définir le délai entre 1 et 21 600 secondes. La valeur par défaut est 1 seconde.

2. Définissez une limite pour le basculement préventif.

   Vous pouvez définir le nombre maximal de basculements préventifs compris entre 1 et 50 et la période pendant laquelle la limite est appliquée entre 1 et 1440 secondes.

Dans l’exemple suivant, vous définissez le délai de préemption sur 300 secondes et la limite de préemption sur 10 pour une période de précaution de 600 secondes. Autrement dit, cette configuration retarde le basculement immédiat de 300 secondes et limite un maximum de 10 basculements préventifs dans une durée de 600 secondes.

Vous pouvez utiliser la clear chassis clusters preempt-count commande pour effacer le compteur de basculement de préemption pour tous les groupes de redondance. Lorsqu’une limite de préemption est configurée, le compteur commence par un premier basculement préemptif et le nombre est réduit ; Ce processus se poursuit jusqu’à ce que le nombre atteigne zéro avant l’expiration du minuteur. Vous pouvez utiliser cette commande pour effacer le compteur de basculement de préemption et le réinitialiser pour qu’il redémarre.

Vous pouvez lancer manuellement un basculement du groupe de redondance x (groupes de redondance numérotés de 1 à 128). Un basculement manuel s’applique jusqu’à ce qu’un événement de retour arrière se produise.

Par exemple, supposons que vous effectuiez manuellement un basculement du groupe de redondance 1 du nœud 0 au nœud 1. Ensuite, une interface surveillée par le groupe de redondance 1 tombe en panne, ramenant la valeur seuil du nouveau groupe de redondance principal à zéro. Cet événement est considéré comme un événement de retour arrière et le système restitue le contrôle au groupe de redondance d’origine.

Vous pouvez également lancer manuellement un basculement du groupe de redondance 0 si vous souhaitez modifier le nœud principal du groupe de redondance 0. Vous ne pouvez pas activer la préemption pour le groupe de redondance 0.

Si la préemption est ajoutée à une configuration de groupe de redondance, l’équipement ayant la priorité la plus élevée dans le groupe peut initier un basculement pour qu’il devienne principal. Par défaut, la préemption est désactivée. Pour plus d’informations sur la préemption, consultez préemption (Chassis Cluster).

Lorsque vous effectuez un basculement manuel pour le groupe de redondance 0, le nœud de l’état principal passe à l’état de suspension secondaire. Le nœud reste à l’état de maintien secondaire pendant la durée par défaut ou configurée (au moins 300 secondes), puis passe à l’état secondaire.

Les transitions d’état dans les cas où un nœud est à l’état de maintien secondaire et que l’autre nœud redémarre, ou où la connexion de liaison de contrôle ou de fabric est perdue au profit de ce nœud, sont décrites comme suit :

• Cas de redémarrage : le nœud de l’état de suspension secondaire passe à l’état principal ; L’autre nœud est mort (inactif).

• Cas d’échec de la liaison de contrôle : le nœud de l’état de maintien secondaire passe à l’état inéligible, puis à un état désactivé ; l’autre nœud passe à l’état principal.

• Cas d’échec de liaison de fabric : le nœud de l’état de suspension secondaire passe directement à l’état inéligible.

  À partir de Junos OS version 12.1X46-D20 et Junos OS version 17.3R1, la surveillance de la structure est activée par défaut. Grâce à cette activation, le nœud passe directement à l’état inéligible en cas de défaillance de la liaison de fabric.

  À partir de Junos OS version 12.1X47-D10 et Junos OS version 17.3R1, la surveillance de la structure est activée par défaut. Grâce à cette activation, le nœud passe directement à l’état inéligible en cas de défaillance de la liaison de fabric.

Gardez à l’esprit que lors d’une mise à niveau logicielle en service (ISSU), les transitions décrites ici ne peuvent pas se produire. Au lieu de cela, l’autre nœud (principal) passe directement à l’état secondaire, car les versions antérieures à la version 10.0 de Juniper Networks n’interprètent pas l’état d’attente secondaire. Lorsque vous démarrez un ISSU, si l’un des nœuds a un ou plusieurs groupes de redondance à l’état de suspension secondaire, vous devez attendre qu’ils passent à l’état secondaire avant de pouvoir effectuer des basculements manuels pour que tous les groupes de redondance soient principaux sur un nœud.

Soyez prudent et judicieux dans votre utilisation des basculements manuels du groupe de redondance 0. Un basculement du groupe de redondance 0 implique un basculement du moteur de routage, auquel cas tous les processus s’exécutant sur le nœud principal sont tués puis générés sur le nouveau moteur de routage principal. Ce basculement peut entraîner une perte d’état, tel que l’état de routage, et dégrader les performances en introduisant une désabonnement du système.

Dans certaines versions de Junos OS, pour les groupes xde redondance, il est possible d’effectuer un basculement manuel sur un nœud qui a 0 priorité. Nous vous recommandons d’utiliser la show chassis cluster status commande pour vérifier les priorités du nœud du groupe de redondance avant d’effectuer le basculement manuel. Toutefois, à partir des versions 12.1X44-D25, 12.1X45-D20, 12.1X46-D10 et 12.1X47-D10 et ultérieures de Junos OS, le mécanisme de vérification de l’état de préparation au basculement manuel est amélioré pour être plus restrictif, de sorte que vous ne pouvez pas définir le basculement manuel vers un nœud dans un groupe de redondance qui a 0 priorité. Cette amélioration empêche la perte inattendue de trafic en raison d’une tentative de basculement vers un nœud de priorité 0, qui n’est pas prêt à accepter le trafic.

Cet exemple montre comment configurer le temps d’amortissement entre les basculements de groupes de redondance consécutifs pour un cluster de châssis. Des basculements consécutifs de groupes de redondance trop rapides peuvent entraîner un comportement imprévisible d’un cluster de châssis.

Le clustering de châssis prend en charge les interruptions SNMP, qui se déclenchent en cas de basculement de groupe de redondance.

Le message d’interruption peut vous aider à résoudre les problèmes de basculement. Il contient les informations suivantes :

• L’ID de cluster et l’ID de nœud

• La raison du basculement

• Le groupe de redondance impliqué dans le basculement

• État précédent et état actuel du groupe de redondance

Il s’agit des différents états dans lesquels un cluster peut se trouver à un instant donné : hold, principal, secondaire, inéligible et désactivé. Des interruptions sont générées pour les transitions d’état suivantes (seule une transition à partir d’un état de maintien ne déclenche pas d’interruption) :

• primaire <–> secondaire

• Maintien primaire – > secondaire

• prise secondaire –> secondaire

• Secondaire –> non éligible

• Inéligible –> désactivé

• Inéligible –> primaire

• secondaire –> désactivé

Une transition peut être déclenchée en raison de n’importe quel événement, tel que la surveillance d’interface, la surveillance de l’USU, les défaillances et les basculements manuels.

L’interruption est transmise via le lien de contrôle si l’interface sortante se trouve sur un nœud différent du nœud du moteur de routage qui génère l’interruption.

Vous pouvez spécifier la génération d’un journal de suivi en définissant l’instruction traceoptions flag snmp .

• But
• Action