シャーシ クラスタの概要

シャーシクラスタのメリット

• 接続の喪失につながる単一デバイスの障害を防ぎます。

• 支社やリモートサイトのリンクを大企業のオフィスに接続する際に、デバイス間の高可用性を提供します。シャーシクラスタ機能を活用することで、デバイスやリンクに障害が発生した場合でも、企業は接続を確保できます。

シャーシ クラスタ機能

シャーシ クラスタの機能には以下が含まれます。

• クラスタ全体で単一のアクティブコントロールプレーンと複数のパケット転送エンジンを備えた、耐障害性の高いシステムアーキテクチャ。このアーキテクチャでは、クラスタの単一デバイス ビューが表示されます。

• クラスタ内のノード間での設定および動的ランタイム状態の同期

• 物理インターフェイスを監視し、障害パラメータが設定されたしきい値を超えた場合のフェイルオーバー。

シャーシ クラスタ モード

シャーシクラスタは、アクティブ/アクティブまたはアクティブ/パッシブモードで設定できます。

• Active/passive mode: アクティブ/パッシブ モードでは、トランジット トラフィックはプライマリ ノードを通過し、バックアップ ノードは障害発生時にのみ使用されます。障害が発生すると、バックアップ デバイスがプライマリになり、すべての転送タスクを引き継ぎます。

• Active/active mode: アクティブ/アクティブ モードでは、トランジット トラフィックは常にクラスタの両方のノードを通過します。

シャーシクラスタリングの仕組み

各ノードの制御ポートが接続されてコントロールプレーンを形成し、設定とカーネルの状態を同期させることで、インターフェイスとサービスの高可用性を促進します。

各ノードのデータプレーンは、ファブリックポートを介して接続され、統合データプレーンを形成します。

シャーシクラスタを作成する際、各ノードの制御ポートが接続されてコントロールプレーンを形成し、設定とカーネルの状態を同期させることで、インターフェイスとサービスの高可用性を実現します。

同様に、各ノードのデータプレーンは、ファブリックポートを介して接続され、統合データプレーンを形成します。

ファブリックリンクでは、ノード間のフロー処理の管理とセッションの冗長性の管理が可能です。

コントロールプレーンソフトウェアは、アクティブモードまたはバックアップモードで動作します。シャーシ クラスタとして構成された場合、2つのノードが互いにバックアップします。このとき、1つのノードはプライマリ デバイス、もう1つのノードはセカンダリ デバイスとして動作し、システムやハードウェアに障害が発生した場合に、プロセスとサービスのステートフル フェイルオーバーを確保します。プライマリデバイスに障害が発生した場合、セカンダリデバイスがトラフィックの処理を引き継ぎます。

データプレーンソフトウェアはアクティブ/アクティブモードで動作します。シャーシクラスタでは、トラフィックがいずれかのデバイスを通過するとセッション情報が更新され、この情報はファブリックリンクを介してノード間で送信されるため、フェイルオーバーが発生しても確立されたセッションがドロップされないことを保証します。アクティブ/アクティブ モードでは、トラフィックが 1 つのノードでクラスタにイングレスし、もう一方のノードからエグレスする可能性があります。デバイスがクラスタに参加すると、そのクラスタのノードになります。一意のノード設定と管理 IP アドレスを除き、クラスタ内のノードは同じ構成を共有します。

任意の時点で、クラスタは、保留、プライマリ、セカンダリ保留、セカンダリ、不適格、および無効のいずれかの状態になります。状態遷移は、インターフェイス監視、SPU監視、障害、手動フェイルオーバーなど、あらゆるイベントによってトリガーされる可能性があります。

IPv6クラスタリングのサポート

IPバージョン6(IPv6)を実行するSRXシリーズファイアウォールは、アクティブ/パッシブ(フェイルオーバー)シャーシクラスター構成の既存のサポートに加えて、アクティブ/アクティブ(フェイルオーバー)シャーシクラスター構成で導入できます。インターフェイスは、IPv4アドレス、IPv6アドレス、またはその両方で設定できます。アドレス帳のエントリには、IPv4 アドレス、IPv6 アドレス、およびドメイン生成アルゴリズム (DNS) 名を任意に組み合わせて含めることができます。

シャーシ クラスタは、内部インターフェイスgr-0/0/0を介してカプセル化されたIPv4/IPv6トラフィックをルーティングするために使用されるGRE(一般ルーティングのカプセル化)トンネルをサポートしています。このインターフェイスは、システム起動時にJunos OSによって作成され、GREトンネルの処理にのみ使用されます。 セキュリティ デバイス向けインターフェイス ユーザー ガイドを参照してください。

SRXシャーシクラスタのユースケース

エンタープライズネットワークやサービスプロバイダネットワークでは、カスタマーエッジネットワーク層でさまざまな冗長性および耐障害性を実現する方法が採用されています。この層はインターネットへの入り口またはピアリングポイントを表すため、その安定性と稼働時間が非常に重要です。顧客の取引情報、電子メール、Voice over IP(VoIP)、サイト間のトラフィックはすべて、パブリックネットワークへのこの単一のエントリポイントを利用できます。サイトツーサイトVPNが顧客サイトと本社サイト間の唯一の相互接続である環境では、このリンクはさらに重要になります。

従来、このネットワーク層に冗長性を提供するために、目立たない構成の複数のデバイスが使用されてきましたが、結果はまちまちでした。このような構成では、企業はルーティングと冗長プロトコルを使用して、可用性と冗長性の高いカスタマーエッジを実現します。このようなプロトコルは障害を認識するのが遅く、ステートフルトラフィックを適切に処理するために必要な同期を許可しないことがよくあります。エッジ(インターネットとの間、または顧客サイト間)を通過するかなりの量のエンタープライズトラフィックがステートフルであることを考えると、このネットワーク層の構成における一貫した課題は、フェイルオーバーまたは復帰が発生したときにセッション状態が失われないようにすることでした。

冗長デバイスの構成におけるもう一つの課題は、異なる構成の個別の物理デバイスを構成、管理、保守する必要があることです。セキュリティ対策の必要性と複雑さが増すにつれて、設定が一致しない可能性も高まるため、これらの設定の同期も困難な場合があります。安全な環境では、設定の不一致によって、接続が失われるという単純なものから、完全なセキュリティの強化のような複雑でコストのかかるものまで発生する可能性があります。カスタマーエッジで異常イベントが発生すると、稼働時間に影響が及び、その結果、お客様にサービスを提供する能力や、場合によっては顧客データを安全に保つ能力に影響が及ぶ可能性があります。

冗長なカスタマーエッジ構成の問題に対する答えは、2つ以上のデバイスを単一のデバイスとして動作させる、状態認識型のクラスタリングアーキテクチャを導入することです。このタイプのアーキテクチャのデバイスは、すべてのデバイス間でセッション情報を共有し、ステートフルトラフィックのほぼ瞬時のフェイルオーバーと復帰を可能にします。この分野での成功を測る重要な指標は、アクティブなセッションの状態を維持しながら、クラスタがフェイルオーバーしてトラフィックを元に戻すことができるかどうかです。

例: フルメッシュシャーシクラスターとしてSRXシリーズサービスゲートウェイを設定するで説明されているSRXシャーシクラスター設定を使用すると、システムのダウンタイムが短縮されます。

効果的なクラスタリングアーキテクチャ内のデバイスは、単一のデバイスとして管理することもできます。単一のコントロールプレーンを共有します。この機能は、複数のデバイスの管理に伴うOpExを削減するために不可欠です。異なる構成や管理ポータルを持つ個別のデバイスを管理および運用するのではなく、同じ機能を果たす複数のデバイスを単一の管理ポイントで管理できます。

最後に、クラスタ構成では、デバイスはアクティブなインターフェイスを監視してサービスの状態を判断することができます。有効なクラスターは、すべての収益インターフェイスをプロアクティブに監視し、障害が検出された場合はバックアップインターフェイスにフェイルオーバーする必要があります。これは、サービス障害(顧客からの通話の切断など)の影響を最小限に抑えるために、ほぼ瞬時に行う必要があります。