Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Organisation et provisionnement de clusters de pare-feu virtuel vSRX pour KVM

Vous pouvez provisionner les machines virtuelles et les réseaux virtuels du pare-feu virtuel vSRX pour configurer la mise en cluster des châssis.

La planification et le provisionnement du cluster de châssis du pare-feu virtuel vSRX comprennent les tâches suivantes :

Provisionnement de clusters de châssis sur le pare-feu virtuel vSRX

Le cluster de châssis nécessite les connexions directes suivantes entre les deux instances du pare-feu virtuel vSRX :

  • Lien de contrôle, ou réseau virtuel, qui agit en mode actif/passif pour le trafic du plan de contrôle entre les deux instances du pare-feu virtuel vSRX

  • Liaison de structure, ou réseau virtuel, qui agit en mode actif/actif pour le trafic de données entre les deux instances du pare-feu virtuel vSRX

    Note:

    Vous pouvez également créer deux liaisons de structure pour plus de redondance.

Le cluster de pare-feu virtuel vSRX utilise les interfaces suivantes :

  • Interface de gestion hors bande (fxp0)

  • Interface de contrôle de cluster (em0)

  • Interface de fabric de cluster (fab0 sur le noeud0, fab1 sur le noeud1)

Note:

L’interface de contrôle doit être la deuxième vNIC. Vous pouvez éventuellement configurer une deuxième liaison de structure pour une meilleure redondance.
Figure 1 : cluster vSRX Virtual Firewall Chassis Cluster de châssis du pare-feu virtuel vSRX

Pare-feu virtuel vSRX prend en charge le cluster de châssis à l’aide du pilote et des interfaces virtio, avec les considérations suivantes :

  • Lorsque vous activez le cluster de châssis, vous devez également activer les trames Jumbo (taille MTU = 9000) pour prendre en charge la liaison de structure sur l’interface réseau virtio.

  • Si vous configurez un cluster de châssis sur deux hôtes physiques, désactivez l’écoute igmp sur chaque interface physique de l’hôte utilisée par la liaison de contrôle du pare-feu virtuel vSRX pour vous assurer que la pulsation de la liaison de contrôle est reçue par les deux nœuds du cluster de châssis.

  • Une fois que vous avez activé le cluster de châssis, l’instance du pare-feu virtuel vSRX mappe la deuxième carte réseau virtuelle à la liaison de contrôle, em0. Vous pouvez mapper n’importe quelle autre carte réseau virtuelle au lien de structure.

Note:

Pour les interfaces virtio, la mise à jour de l’état des liens n’est pas prise en charge. L’état de liaison des interfaces virtio est toujours indiqué comme actif. Pour cette raison, une instance de pare-feu virtuel vSRX utilisant virtio et le cluster de châssis ne peut pas recevoir de messages de liaison active et descendante des interfaces virtio.

Le temps d’ancienneté MAC du réseau virtuel détermine la durée pendant laquelle une entrée reste dans la table MAC. Nous vous recommandons de réduire le temps d’ancienneté MAC sur les réseaux virtuels afin de minimiser le temps d’arrêt lors du basculement.

Par exemple, vous pouvez utiliser la commande pour définir l’âge brctl setageing bridge 1 sur 1 seconde pour le pont Linux.

Vous configurez les réseaux virtuels pour les liaisons de contrôle et de structure, puis créez et connectez l’interface de contrôle au réseau virtuel de contrôle et l’interface de structure au réseau virtuel de structure.

Création des réseaux virtuels du cluster de châssis avec virt-manager

Dans KVM, vous créez deux réseaux virtuels (de contrôle et fabric) auxquels vous pouvez connecter chaque instance de pare-feu virtuel vSRX pour la mise en cluster du châssis.

Pour créer un réseau virtuel avec virt-manager:

  1. Lancez virt-manager et sélectionnez Modifier>Détails de la connexion. La boîte de dialogue Détails de la connexion s’affiche.
  2. Sélectionnez Réseaux virtuels. La liste des réseaux virtuels existants s’affiche.
  3. Cliquez sur + pour créer un nouveau réseau virtuel pour le lien de contrôle. L’assistant Créer un nouveau réseau virtuel s’affiche.
  4. Définissez le sous-réseau de ce réseau virtuel et cliquez sur Transférer.
  5. Sélectionnez Activer DHCP et cliquez sur Transférer.
  6. Sélectionnez Réseau virtuel isolé et cliquez sur Suivant.
  7. Vérifiez les paramètres et cliquez sur Terminer pour créer le réseau virtuel.

Création des réseaux virtuels Chassis Cluster avec virsh

Dans KVM, vous créez deux réseaux virtuels (contrôle et structure) auxquels vous pouvez connecter chaque pare-feu virtuel vSRX pour la mise en cluster du châssis.

Pour créer le réseau de contrôle avec virsh:

  1. Utilisez la virsh net-define commande sur le système d’exploitation hôte pour créer un fichier XML qui définit le nouveau réseau virtuel. Incluez les champs XML décrits dans le tableau 1 pour définir ce réseau.
    Note:

    Consultez la documentation officielle virsh pour une description complète des options disponibles.
    Tableau 1 : Champs XML virsh net-define

    Champ

    Description

    <réseau >... </réseau>

    Utilisez cet élément wrapper XML pour définir un réseau virtuel.

    <nom>net-name</nom>

    Spécifiez le nom du réseau virtuel.

    <nom du pont="bridge-name » />

    Spécifiez le nom du pont hôte utilisé pour ce réseau virtuel.

    <mode avant="forward-option » />

    Spécifiez routed ou nat. N’utilisez pas l’élément <forward> pour le mode isolé.

    <adresse ip="ip-address » netmask="net-mask »

    <dhcp range start="start » end="end » </dhcp> </ip>

    Spécifiez l’adresse IP et le masque de sous-réseau utilisés par ce réseau virtuel, ainsi que la plage d’adresses DHCP.

    L’exemple suivant montre un exemple de fichier XML qui définit un réseau virtuel de contrôle.

  2. Utilisez la virsh net-start commande pour démarrer le nouveau réseau virtuel.

    hostOS# virsh net-start control

  3. Utilisez la virsh net-autostart commande pour démarrer automatiquement le nouveau réseau virtuel au démarrage du système d’exploitation hôte.

    hostOS# virsh net-autostart control

  4. Vous pouvez également utiliser la virsh net-list –all commande dans le système d’exploitation hôte pour vérifier le nouveau réseau virtuel.
  5. Répétez cette procédure pour créer le réseau virtuel de la structure.

Configuration des interfaces de contrôle et de structure avec virt-manager

Pour configurer les interfaces de contrôle et de structure pour la mise en cluster de châssis avec virt-manager:

  1. Dans virt-manager, double-cliquez sur la machine virtuelle Pare-feu virtuel vSRX et sélectionnez Afficher>Détails. La boîte de dialogue Détails de la machine virtuelle Pare-feu virtuel vSRX s’affiche.
  2. Sélectionnez la deuxième carte réseau virtuelle et sélectionnez le réseau virtuel de contrôle dans la liste des périphériques source.
  3. Sélectionnez virtio dans la liste Modèle d’appareil et cliquez sur Appliquer.
  4. Sélectionnez une carte réseau virtuelle suivante, puis sélectionnez le réseau virtuel de structure dans la liste des périphériques source.
  5. Sélectionnez virtio dans la liste Modèle d’appareil et cliquez sur Appliquer.
  6. Pour l’interface de la structure, utilisez la ifconfig commande sur le système d’exploitation hôte pour définir la MTU sur 9000.

    hostOS# ifconfig vnet1 mtu 9000

Configuration des interfaces de contrôle et de structure avec virsh

Pour configurer les interfaces de contrôle et de structure d’une machine virtuelle de pare-feu virtuel vSRX avec virsh:

  1. Tapez virsh attach-interface --domain vsrx-vm-name --type network --source control-vnetwork --target control --model virtio sur le système d’exploitation hôte.

    Cette commande crée une interface virtuelle appelée contrôle et la connecte au réseau virtuel de contrôle.

  2. Tapez virsh attach-interface --domain vsrx-vm-name --type network --source fabric-vnetwork --target fabric --model virtio sur le système d’exploitation hôte.

    Cette commande crée une interface virtuelle appelée fabric et la connecte au réseau virtuel de fabric.

  3. Pour l’interface de la structure, utilisez la ifconfig commande sur le système d’exploitation hôte pour définir la MTU sur 9000.

    hostOS# ifconfig vnet1 mtu 9000

configuration des ports de la structure du cluster de châssis

Une fois le cluster de châssis formé, vous devez configurer les interfaces qui composent les ports (données) de la structure.

Assurez-vous d’avoir configuré les éléments suivants :

  • Définissez les ID de cluster de châssis sur les deux instances du pare-feu virtuel vSRX et redémarrez les instances du pare-feu virtuel vSRX.

  • Configurez les liaisons de contrôle et de structure - effectué.

  1. Sur la console du nœud 0 du pare-feu virtuel vSRX en mode configuration, configurez les ports de structure (données) du cluster qui sont utilisés pour transmettre des objets temps réel (RTO). La configuration sera synchronisée directement via le port de contrôle vers le nœud 1 du pare-feu virtuel vSRX.
    Note:

    Un port de structure peut être n’importe quelle interface commerciale inutilisée.
  2. Redémarrez le nœud 0 du pare-feu virtuel vSRX.

Documentation connexe