Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

マルチノード高可用性のための選択的セッション同期

選択的セッション同期を使用して、2ノードと4ノードの両方のマルチノード高可用性設定で同期設定を制御する方法を学びます。

マルチノード高可用性(MNHA)機能は、参加ノード間でコントロールプレーンとデータプレーンの両方の同時アクティビティを確保することで、耐障害性とパフォーマンスを強化します。4ノードMNHAは、以下を通じてピアノード間のフローセッションを同期します。

  • コールド同期—これは、新しいノードがMNHAクラスターに参加するときに発生します。システムは、既存のノードから新しいノードにすべてのアクティブなフローセッション状態を同期する必要があります。これにより、新しいノードはピアと同じセッションデータを持つようになり、必要に応じてシームレスにトラフィックを引き継ぐことができます。

    利点: 完全な同期時間が短縮されるため、新しいノードがより迅速にアクティブになり、負荷分散またはフェイルオーバーへの参加を開始できます。

  • ホット同期—これは、通常の動作中に継続的に発生します。新しいセッションが作成されると、その状態は直ちにピアノードに同期されます。これによりリアルタイムの冗長性が確保され、1つのノードに障害が発生した場合、セッションデータを失うことなくピアが引き継ぐことができます。

    利点:CPS(1秒あたりの接続数)のパフォーマンスが向上し、システムが1秒あたりより多くの新しいセッションを効率的に処理できるようになります。

このデュアルアプローチにより、状態を繰り返す必要性が減り、システムのパフォーマンスが最適化され、セッション同期の効率が向上します。

選択的セッション同期では、以下のオプションを使用して、2ノードMNHAと4ノードMNHAでセッション同期の設定を管理できます。

  • ポリシーと経過時間に基づくセッション同期—このオプションでは、短命セッションの同期を無効にしたり、セッション同期の最小経過時間を設定できます。

  • デフォルトおよびユーザー定義プロファイル—このオプションでは、セッション同期用にデフォルトフロープロファイルまたはユーザー定義フロープロファイルを設定できます。ユーザー定義プロファイルが設定されていない場合、デフォルトプロファイルが適用されます。

マルチノード高可用性(MNHA)のメリット

  • コールド同期およびホット同期方式でセッションを同期することでシステムのパフォーマンスを最適化し、状態を繰り返す必要性を低減します。

  • カスタマイズ可能な同期ポリシー、期間、プロファイルを通じてきめ細かなセッション管理を可能にします。デフォルトのフロープロファイルとユーザー定義のフロープロファイルの両方をサポートし、特定のネットワークニーズに対応します。

選択的セッション同期の設定

選択的セッション同期を設定するには、デフォルトのフロープロファイルまたはユーザー定義のフロープロファイルで、次のオプション(セッションの年齢に基づいてセッションを同期するか、セッション同期を無効にする)を定義する必要があります。

  • session-sync disabled:ドメイン間リンク(IDL)とシャーシ間リンク(ICL)の両方を介したセッションの同期を無効にします。このオプションは、DNS、HTTPの短時間セッションなど、特定のポリシーに使用します。
  • session-sync-min-age:最小セッション期間が確立された後にのみセッションを同期します。値は0秒から3600秒の間で設定できます。デフォルトでは、値は0に設定されており、すべてのセッションが直ちに同期されます。

Defalutフロープロファイルの設定

デフォルトでは、ユーザー定義のプロファイルがポリシーにアタッチされていない場合、すべてのポリシーがデフォルトプロファイルを使用します。デフォルトのフロープロファイルのデフォルト値は、ドメイン内(ICL)およびドメイン間(IDL)リンクを介した即時同期セッションです。

または

ユーザー定義フロープロファイルの設定

プロファイル(ユーザー定義プロファイル)を定義し、セキュリティポリシーに適用できます。ユーザー定義プロファイルがポリシーに接続されていない場合は、デフォルトプロファイルがセキュリティポリシーに適用されます。

  1. 「p1_profile」と呼ばれる新しいフロープロファイルを作成し、セッション同期オプションを定義します。

    セッション同期またはカスタム同期を無効にする

    または

  2. セキュリティポリシーにプロファイルを適用します。
注:

プロファイル切り替え動作—あるプロファイル( p1_profileなど)から別のプロファイル( p2_profileなど)に切り替えるとき、新しいプロファイル設定は新しく作成されたセッションにのみ適用されます。既存のセッションは、以前に適用されたプロファイルで引き続き動作します。

デフォルトプロファイルの使用—pre-id-defaultポリシーやデフォルトポリシーなどのシステムポリシー、または明示的に設定されたプロファイルのないその他のポリシーは、デフォルトプロファイル設定を自動的に使用します。

MNHAノードのセッション同期ステータスを確認するには、以下のコマンドを使用します。

  • show security flow session summary

    selective-session-syncオプションが適用されている場合にICLおよびIDLに同期されたセッション数など、フローセッションの詳細を表示します。

  • show security flow session selective-session-sync-disabled

    セッション同期が無効になっている設定によりピアノードに同期されなかったすべてのセッションの詳細を表示します。