Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Mise en place et provisionnement des clusters de pare-feu virtuels vSRX pour KVM

Vous pouvez provisionner les vm et les réseaux virtuels du pare-feu virtuel vSRX pour configurer le clustering du châssis.

L’organisation et le provisionnement du cluster de châssis de pare-feu virtuel vSRX comprennent les tâches suivantes :

Provisionnement de cluster de châssis sur le pare-feu virtuel vSRX

Le cluster de châssis nécessite les connexions directes suivantes entre les deux instances de pare-feu virtuel vSRX :

  • Liaison de contrôle, ou réseau virtuel, qui agit en mode actif/passif pour le trafic du plan de contrôle entre les deux instances de pare-feu virtuel vSRX

  • Liaison de fabric, ou réseau virtuel, qui agit en mode actif/actif pour le trafic de données entre les deux instances de pare-feu virtuel vSRX

    Note:

    Vous pouvez éventuellement créer deux liaisons de structure pour plus de redondance.

Le cluster de pare-feu virtuel vSRX utilise les interfaces suivantes :

  • Interface de gestion hors bande (fxp0)

  • Interface de contrôle du cluster (em0)

  • Interface de structure de cluster (fab0 sur nœud0, fab1 sur nœud1)

Note:

L’interface de contrôle doit être la deuxième vNIC. Vous pouvez éventuellement configurer une deuxième liaison de structure pour une redondance accrue.
Figure 1 : cluster de pare-feu virtuel vSRX vSRX Virtual Firewall Chassis Cluster

Le pare-feu virtuel vSRX prend en charge le cluster de châssis à l’aide du pilote et des interfaces virtio, avec les considérations suivantes :

  • Lorsque vous activez le cluster de châssis, vous devez également activer les trames jumbo (taille MTU = 9 000) pour prendre en charge la liaison de structure sur l’interface réseau virtio.

  • Si vous configurez un cluster de châssis sur deux hôtes physiques, désactivez l’igmp-s surveillance sur chaque interface physique d’hôte que la liaison de contrôle du pare-feu virtuel vSRX utilise pour vous assurer que les deux nœuds du cluster de châssis reçoivent le battement de cœur de la liaison de contrôle.

  • Après avoir activer le cluster de châssis, l’instance du pare-feu virtuel vSRX mappe la deuxième carte réseau virtuelle à la liaison de contrôle, em0. Vous pouvez mapper n’importe quel autre vNIC à la liaison de structure.

Note:

Pour les interfaces virtio, la mise à jour de l’état des liaisons n’est pas prise en charge. L’état des liaisons des interfaces virtio est toujours signalé comme haut. Pour cette raison, une instance de pare-feu virtuel vSRX utilisant virtio et le cluster de châssis ne peut pas recevoir les messages de liaison vers le haut et vers le bas des interfaces virtio.

Le temps de vieillissement MAC du réseau virtuel détermine le temps qu’une entrée reste dans la table MAC. Nous vous recommandons de réduire le temps de vieillissement MAC sur les réseaux virtuels pour réduire les temps d’arrêt pendant le basculement.

Par exemple, vous pouvez utiliser la commande pour définir le brctl setageing bridge 1 vieillissement à 1 seconde pour le pont Linux.

Vous configurez les réseaux virtuels pour les liaisons de contrôle et de structure, puis créez et connectez l’interface de contrôle au réseau virtuel de contrôle et l’interface de structure au réseau virtuel de la structure.

Créer les réseaux virtuels chassis cluster avec virt-manager

Dans KVM, vous créez deux réseaux virtuels (contrôle et fabric) auxquels vous pouvez connecter chaque instance de pare-feu virtuel vSRX pour la mise en cluster de châssis.

Pour créer un réseau virtuel avec virt-manager:

  1. Lancez virt-manager et sélectionnez Modifier>Connexion détails. La boîte de dialogue Détails de connexion s’affiche.
  2. Sélectionnez Virtual Networks. La liste des réseaux virtuels existants apparaît.
  3. Cliquez sur + pour créer un nouveau réseau virtuel pour le lien de contrôle. L’assistant de création d’un nouveau réseau virtuel apparaît.
  4. Définissez le sous-réseau de ce réseau virtuel, puis cliquez sur Forward.
  5. Sélectionnez Activer DHCP et cliquez sur Transférer.
  6. Sélectionnez Réseau virtuel isolé et cliquez sur Forward.
  7. Vérifiez les paramètres et cliquez sur Terminer pour créer le réseau virtuel.

Créer des réseaux virtuels de cluster châssis avec virsh

Dans KVM, vous créez deux réseaux virtuels (contrôle et fabric) auxquels vous pouvez connecter chaque pare-feu virtuel vSRX pour la mise en cluster du châssis.

Pour créer le réseau de contrôle avec virsh:

  1. Utilisez la virsh net-define commande sur le système d’exploitation hôte pour créer un fichier XML qui définit le nouveau réseau virtuel. Incluez les champs XML décrits dans le tableau 1 pour définir ce réseau.
    Note:

    Consultez la documentation officielle virsh pour une description complète des options disponibles.
    Tableau 1 : champs XML net-define

    Champ

    Description

    <réseau>... </réseau>

    Utilisez cet élément d’enveloppe XML pour définir un réseau virtuel.

    <name>net-name</name>

    Spécifiez le nom du réseau virtuel.

    <bridge name="bridge-name » />

    Spécifiez le nom du pont hôte utilisé pour ce réseau virtuel.

    <forward mode="forward-option » />

    Spécifiez un routage ou un nat. N’utilisez pas l’élément <forward> pour le mode isolé.

    <ip address="ip-address » netmask="net-mask »

    < plagedhcp start="start » end="end » </dhcp> </ip>

    Spécifiez l’adresse IP et le masque de sous-réseau utilisés par ce réseau virtuel, ainsi que la plage d’adresses DHCP.

    L’exemple suivant illustre un fichier XML qui définit un réseau virtuel de contrôle.

  2. Utilisez la virsh net-start commande pour démarrer le nouveau réseau virtuel.

    hostOS# virsh net-start control

  3. Utilisez la virsh net-autostart commande pour démarrer automatiquement le nouveau réseau virtuel lorsque le système d’exploitation hôte démarre.

    hostOS# virsh net-autostart control

  4. Vous pouvez également utiliser la virsh net-list –all commande du système d’exploitation hôte pour vérifier le nouveau réseau virtuel.
  5. Répétez cette procédure pour créer le réseau virtuel de la structure.

Configuration des interfaces de contrôle et de structure avec virt-manager

Pour configurer les interfaces de contrôle et de structure pour le clustering de châssis avec virt-manager:

  1. Dans virt-manager, double-cliquez sur la VM du pare-feu virtuel vSRX et sélectionnez View>Détails. La boîte de dialogue de détails sur la machine virtuelle du pare-feu virtuel vSRX s’affiche.
  2. Sélectionnez la deuxième carte réseau virtuelle et le réseau virtuel de contrôle dans la liste des équipements source.
  3. Sélectionnez virtio dans la liste du modèle d’équipement et cliquez sur Appliquer.
  4. Sélectionnez une prochaine carte réseau virtuelle et le réseau virtuel de la structure dans la liste des équipements source.
  5. Sélectionnez virtio dans la liste du modèle d’équipement et cliquez sur Appliquer.
  6. Pour l’interface de structure, utilisez la ifconfig commande sur le système d’exploitation hôte pour définir le MTU sur 9 000.

    hostOS# ifconfig vnet1 mtu 9000

Configuration des interfaces de contrôle et de structure avec virsh

Pour configurer des interfaces de contrôle et de structure vers une VM de pare-feu virtuel vSRX avec virsh:

  1. Saisissez virsh attach-interface --domain vsrx-vm-name --type network --source control-vnetwork --target control --model virtio le système d’exploitation de l’hôte.

    Cette commande crée une interface virtuelle appelée contrôle et la connecte au réseau virtuel de contrôle.

  2. Saisissez virsh attach-interface --domain vsrx-vm-name --type network --source fabric-vnetwork --target fabric --model virtio le système d’exploitation de l’hôte.

    Cette commande crée une interface virtuelle appelée fabric et la connecte au réseau virtuel de la structure.

  3. Pour l’interface de structure, utilisez la ifconfig commande sur le système d’exploitation hôte pour définir le MTU sur 9 000.

    hostOS# ifconfig vnet1 mtu 9000

Configuration des ports de structure de cluster de châssis

Une fois le cluster de châssis formé, vous devez configurer les interfaces qui composent les ports de la structure (données).

Assurez-vous d’avoir configuré les éléments suivants :

  • Définissez les ID de cluster de châssis sur les deux instances de pare-feu virtuel vSRX et redémarrez les instances de pare-feu virtuel vSRX.

  • Configurez les liaisons de contrôle et de structure.

  1. Sur la console de nœud 0 du pare-feu virtuel vSRX en mode configuration, configurez les ports de structure (données) du cluster utilisés pour passer des objets en temps réel (RPO). La configuration sera synchronisée directement via le port de contrôle vers le nœud 1 du pare-feu virtuel vSRX.
    Note:

    Un port de fabric peut être n’importe quelle interface de revenus inutilisée.
  2. Redémarrez le nœud 0 du pare-feu virtuel vSRX.

Documentation connexe