vSRX仮想ファイアウォールインスタンスのマルチノード高可用性サポート
マルチノード高可用性は、シャーシ間の耐障害性を提供することで、プライベートおよびパブリッククラウド導入の高可用性要件に対応します。
プライベート(KVM(カーネルベースの仮想マシン)とVMware ESXi)およびパブリッククラウド(AWS)の導入向けに、ジュニパーネットワークスのvSRX仮想ファイアウォール仮想ファイアウォールでマルチノードの高可用性をサポートしています。
プライベートクラウド導入の場合の物理SRXシリーズファイアウォールと同じ方法を使用して、vSRXインスタンスでマルチノード高可用性を設定できます。
VMware、ESXi、およびKVMでマルチノード高可用性を設定するには:
- プライベートクラウドに2つのvSRX仮想ファイアウォールインスタンスを展開します。 「KVMを使用したvSRX仮想ファイアウォールのインストール 」または 「VMware vSphere Web Clientを使用したvSRX仮想ファイアウォールのインストール」を参照してください。
-
以下のトピックに示されている手順を使用して、マルチノードの高可用性を設定します。
パブリッククラウド導入環境でマルチノード高可用性を設定するには:
- AWSデプロイメントにおけるマルチノード高可用性を参照してください。
ICL暗号化と柔軟なデータパス障害検出のサポート
プライベートクラウド(KVMおよびVMware ESXi)に導入されたマルチノード高可用性のvSRX仮想ファイアウォールは、ICL暗号化と柔軟なデータパス障害検出をサポートします。
- ICL暗号化は、IPsecプロトコルを使用して高可用性ノード間の同期メッセージを保護し、データのプライバシーを確保します。設定の詳細については 、例:レイヤー3ネットワークでマルチノード高可用性を設定する を参照してください。
- Flexible Datapath Failure Detectionは、重み付けされた機能によるきめ細かな制御によるパス監視を提供し、IP、双方向フォワーディング検出(BFD)、インターフェイス監視をサポートします。
詳細については、「フレキシブルパス監視 」を参照してください。
マルチノード高可用性デュアルパスシャーシ間リンク(ICL)について
マルチノード高可用性(MNHA)は、集合型イーサネット(AE)およびループバックインターフェイスを介したデュアルパスシャーシ間リンク(ICL)をサポートします。この機能強化により、AWS、Azure、Google Cloud Platform(GCP)などのパブリッククラウドや、KVMやVMwareを使用するプライベートクラウド全体で、効率的なトラフィック分散とHA信頼性の向上が可能になります。ICLを設定する場合は、以下の点に注意してください。
- AWS、Azure、GCPなどのパブリッククラウド設定では、AEインターフェイスに制約があるため、ループバックインターフェイスが優先されます。
- KVMやVMwareを利用したプライベートクラウド環境では、AEインターフェイスを使用してデュアルパスICLを確立でき、構成が柔軟で、さまざまなネットワークインターフェイスカードを使用できます。
MNHAにおけるデュアルパスICLの利点
-
AWS、Azure、GCPなどのパブリッククラウド環境との互換性を強化し、レイヤー3の高可用性を効率的に導入できます。
-
AEおよびループバックインターフェイスの使用によりトラフィック分散とロードバランシングを改善し、パブリックおよびプライベートクラウド設定の両方で最適なパフォーマンスを確保します。
プライベートクラウド環境でのデュアルパスICLとしてのAEインターフェイスのサポート
KVMまたはVMwareを使用したプライベートクラウド設定では、アグリゲートイーサネット(AE)インターフェイスをデュアルパスICLとして設定できます。これは、以下でサポートされています。
- KVM用Virtio NIC
- VMware向けVMXNET3 NIC
SR-IOV NIC(Intel I40E、E810、Mellanox MLX5など)を使用するセットアップでは、AEインターフェイスが仮想MAC(vMAC)機能をサポートしている必要があります。
AE の各メンバー(子)インターフェイスは、ギガビット イーサネット(GE)インターフェイスである必要があり、異なる物理機能(PF)上に存在する必要があります。つまり、通常は異なるライン カード上に存在する必要があります。
ICLトラフィックの効率的な分散
- AE(アグリゲートイーサネット)を使用したvSRXのトラフィック管理:LACPとハイパーバイザーブリッジ設定の使用
- MNHAコンフィフュレーションでのAEインターフェイスの使用
- PFE 間でのバランスの取れた ICL トラフィック分散
AE(アグリゲートイーサネット)を使用したvSRXのトラフィック管理:LACPとハイパーバイザーブリッジ設定の使用
vSRXのセットアップでは、特にアグリゲートイーサネット(AE)インターフェイスを扱う場合、信頼性が高く効率的なトラフィックフローを確保することが重要です。AEグループ内の子インターフェイスの1つが順序外れになったり障害が発生したりすると、トラフィック損失につながる可能性があります。このリスクを軽減するには、リンクアグリゲーション制御プロトコル(LACP)を採用するか、ハイパーバイザー内で同じブリッジを共有するように子インターフェイスを設定します。
AE インターフェイスでの LACP の使用
LACPは、リンクアグリゲーションを動的に管理し、すべての子インターフェイスが連携して動作するように支援するプロトコルです。LACPを設定することで、手動介入なしにインターフェイス障害を自動的に処理し、トラフィックフローを維持できます。AEインターフェイスでLACPを設定する方法は次のとおりです。
[edit] user@host# set interfaces ae0 aggregated-ether-options lacp active user@host# set interfaces ae0 aggregated-ether-options lacp periodic fast
- アクティブ:この設定により、アクティブLACPモードが有効になり、vSRXがLACPパケットをピアにアクティブに送信してLACPリンクを形成および維持します。
- 周期的高速:この設定により、LACPタイムアウト間隔が短縮され、リンク障害の検出が迅速化され、トラフィックフローを維持するための応答が迅速化されます。
同じブリッジ上の子インターフェイスの設定
LACPのサポートや実装が難しい状況では、AEグループのすべての子インターフェイスがハイパーバイザー内の同じブリッジに接続されていることを確認することも別のアプローチです。この設定により、一貫した接続性を維持し、1 つのインターフェイスの順序が乱れた場合のトラフィック ロスを回避できます。
以下は、KVMハイパーバイザーで同じブリッジ(bridge-vsrx-mnha-icl)を使用する2つの子インターフェイス(ge-0/0/0とge-0/0/3)のXML設定例です。
<interface type='bridge'>
<mac address='52:54:00:c2:76:70'/>
<source bridge='bridge-vsrx-mnha-icl'/> <<<< here bridge bridge-vsrx-mnha-icl
<model type='virtio'/>
<driver name='vhost' queues='4'/>
<address type='pci' domain='0x0000' bus='0x00' slot='0x04' function='0x0'/> </interface>
<interface type='bridge'>
<mac address='52:54:00:5f:65:9f'/>
<source bridge='bridge-vsrx-mnha-icl'/> <<<< here same bridge bridge-vsrx-mnha-icl
<model type='virtio'/>
<driver name='vhost' queues='4'/>
<address type='pci' domain='0x0000' bus='0x00' slot='0x08' function='0x0'/> </interface>
この設定では: 両方のインターフェイスが bridge-vsrx-mnha-icl ブリッジに接続され、ハイパーバイザー内で同じネットワーク セグメントを共有することを確認します。この設定は、インターフェイスの1つで問題が発生した場合でも、トラフィックを効果的に管理するのに役立ちます。
MNHAコンフィフュレーションでのAEインターフェイスの使用
以下の設定スニペットは、AE インターフェイスを使用して MNHA 環境をセットアップします。
[edit] user@host# set chassis high-availability local-id 2 user@host# set chassis high-availability local-id local-ip 11.1.1.11 user@host# set chassis high-availability peer-id 1 peer-ip 11.1.1.12 user@host# set chassis high-availability peer-id 1 interface ae0 user@host# set interfaces ge-0/0/0 ether-options 802.3ad ae0 user@host# set interfaces ge-0/0/1 ether-options 802.3ad ae0 user@host# set interfaces ae0 unit 0 family inet address 10.10.10.1/24
上記のサンプルでは、HA通信用のローカルおよびピアシャーシIDとIPの設定、LACPを使用した物理インターフェイスと集合型イーサネットインターフェイス(ae0)の関連付け、集約されたインターフェイスの論理ユニットへのIPアドレスの割り当てを示しています。この例では:
- AEインターフェイス(ae0)は、ノード間のICLとして使用されます。
- 物理インターフェイス
ge-0/0/0とge-0/0/1は、802.3adリンクアグリゲーションを使用してae0にバンドルされます。
PFE 間でのバランスの取れた ICL トラフィック分散
MNHA設定で、受信側のすべてのPFE処理ユニット間でバランスの取れたICLトラフィック分散を確保するために、システムを改善しました。
MNHAの設定では、ICL全体のトラフィックが効率的に管理され、高いパフォーマンスが確保されています。発信トラフィックは、MNHAアーキテクチャの組み込み機能である複数のフロー処理ユニットに自動的に分散されます。着信トラフィックの処理を改善するために、ICLポートで5タプルのハッシュ方式を使用します。これにより、すべてのパケット転送エンジン(PFE)処理ユニットにトラフィックが均等に分散され、ロードバランシングと全体的なネットワーク効率が向上します。
コマンド set chassis high-availability peer-id <id_num> interface <interface-name> は、GE、AE、ループバックインターフェイスをサポートしており、特定の導入ニーズに合わせた高可用性構成を可能にします。
送信側では、パケット転送エンジンのICLトラフィックにどのポートを使用するかの決定は、この設定のみに依存しません。代わりに、IPとルート検索結果に依存します。SRXシリーズファイアウォールでは、すべてのポートで優先キューがデフォルトで有効になっており、特に集約インターフェイスとループバックインターフェイスのトラフィック管理に役立ちます。ただし、vSRX3.0 ではこのアプローチを活用できません。
vSRX3.0の受信側ディストリビューションでは、5タプルハッシュを有効にするためのICLポートを指定するために、新しいCLI設定が必要です。これは、次のコマンドで行います。
user@host# set security forwarding-options receive-side-scaling nic-rss hash five-tuple ports [port_ids]
例:
[edit] user@host# set security forwarding-options receive-side-scaling nic-rss hash five-tuple ports 0 user@host# set security forwarding-options receive-side-scaling nic-rss hash five-tuple ports 1
この設定では、ポート0とポート1は、受信側のスケーリングに5タプルハッシュを使用するように設定されています。これにより、受信トラフィックが送信元と宛先のIPアドレス、ポート、プロトコルに基づいて効率的に分散されます。