Azureクラウドでのマルチノード高可用性
Azure クラウドにデプロイされた vSRX インスタンスでマルチノード高可用性を設定する方法については、このドキュメントをお読みください。
概要
Microsoft Azureクラウドに展開されているvSRX仮想ファイアウォールでマルチノード高可用性を設定できます。Microsoft Azureは、Microsoftのパブリッククラウド向けアプリケーションプラットフォームです。これは、Microsoft が管理するデータ センターのグローバル ネットワークを介してアプリケーションとサービスを構築、展開、管理するための、オープンで柔軟性の高いエンタープライズ グレードのクラウドコンピューティング プラットフォームです。
Azure上のvSRX仮想ファイアウォールのペアを設定して、アクティブ/バックアップマルチノード高可用性設定として動作させることができます。参加ノードは、アクティブコントロールプレーンとデータプレーンの両方を同時に実行します。ノードは相互にバックアップを行い、システムまたはハードウェアに障害が発生した場合に、高速で同期されたフェイルオーバーを確保します。2台のデバイス間のシャーシ間リンク(ICL)接続は、状態情報を同期および維持し、デバイスフェイルオーバーシナリオを処理します。
Microsoft Azure Cloudでファイアウォールの導入設定をカスタマイズすることで、vSRX仮想ファイアウォールVMでマルチノード高可用性を構成できます。
IPsec VPNサポート
Junos OSリリース24.4R1以降、Azureクラウドデプロイメントにおけるアクティブ/バックアップマルチノード高可用性向けにIPsec VPNがサポートされています。
制限事項
マルチノード高可用性は、パブリッククラウド導入環境で複数のSRG構成(アクティブ/アクティブ)をサポートしていません。アクティブ/バックアップモードは、SRG0またはSRG1をサポートします。IPsec VPNトンネルは、ステートフルアクティブ/バックアップモードで動作するSRG1に固定します。すべてのVPNトンネルは、SRG1がアクティブなデバイスで終了します。
アーキテクチャ
図1は、Azureクラウドでマルチノード高可用性ペアを形成している2つのvSRX仮想ファイアウォールインスタンスを示しています。1つのvSRX仮想ファイアウォールインスタンスがアクティブノードとして機能し、もう1つのインスタンスがバックアップノードとして機能します。両方のノードが ICL を使用して相互に接続し、状態情報を同期および維持し、デバイス フェイルオーバー シナリオを処理します。
でのマルチノード高可用性導入のvSRX
vSRX仮想ファイアウォールでは、個々のインスタンスグループごとに2つのパブリックIPアドレスと1つ以上のプライベートIPアドレスが必要です。パブリックサブネットは、管理インターフェイス(fxp0)用のサブネットと収益(データ)インターフェイス用のサブネットで構成されています。サブネット設定には、任意の4つの収益インターフェイスを使用できます。プライベートインターフェイスは、保護されたリソースに接続されています。これにより、プライベートサブネット上のアプリケーションとインターネット間のすべてのトラフィックが、vSRX仮想ファイアウォールインスタンスを通過する必要があります。
Azureでマルチノード高可用性を実現するには、同じAzureリソースグループ内に両方のファイアウォールを展開する必要があります。Azure リソース グループは、Azure ソリューションの関連リソースを保持する論理コンテナーです。ソリューションのすべてのリソースを含めることも、グループとして管理するリソースのみを含めることもできます。
各ノードにノード固有のプライマリアドレスを割り当て、両方のノードに共通のセカンダリまたはフローティングIPアドレスを割り当てる必要があります。フローティングIPアドレスとして機能するセカンダリIPアドレスは、常にアクティブノードにアタッチされます。現在のアクティブノードに障害が発生した場合、セカンダリIPアドレスは障害が発生したアクティブノードから現在のアクティブノードに遷移します。新しいアクティブノードは、トラフィックの継続的なフローを保証します。
最初に両方のノードが、起動時にどちらがセカンダリIPアドレスの所有者であるかを示す定義済みのタグを使用して起動されます。その特定のノードはアクティブノードとして動作を開始し、もう1つはバックアップノードとして起動します。
スプリットブレイン保護
スプリットブレインシナリオとは、ノード間のシャーシ間リンク(ICL)がダウンしたときに、マルチノード高可用性システムの両方のノードが同じ状態(アクティブまたはバックアップ)でスタックする状況を指します。この状態を防ぐために、両方のノードが、設定に基づいて、trustまたはuntrustインターフェイスのプライマリIPアドレスのプローブを試みます。
シャーシ間リンク(ICL)でプローブ障害とともに障害が発生した場合、ピアから応答を受信しないノードがアクティブなロールを引き受けます。ただし、プローブが成功し、ピアノードがまだ動作していることが確認された場合、ノードは現在の状態を維持します。このプローブプロセスは、ICLが復元されるまで継続します。
例: Azure Cloud Deployment でマルチノード高可用性を構成する
Microsoft Azureクラウドに展開されているvSRX仮想ファイアウォールでマルチノード高可用性を設定できます。Microsoft Azureは、Microsoftのパブリッククラウド向けアプリケーションプラットフォームです。これは、Microsoft が管理するデータ センターのグローバル ネットワークを介してアプリケーションとサービスを構築、展開、管理するための、オープンで柔軟性の高いエンタープライズ グレードのクラウドコンピューティング プラットフォームです。
Azure上のvSRX仮想ファイアウォールのペアを設定して、アクティブ/バックアップマルチノード高可用性設定として動作させることができます。参加ノードは、アクティブコントロールプレーンとデータプレーンの両方を同時に実行します。ノードは相互にバックアップを行い、システムまたはハードウェアに障害が発生した場合に、高速で同期されたフェイルオーバーを確保します。2台のデバイス間のシャーシ間リンク(ICL)接続は、状態情報を同期および維持し、デバイスフェイルオーバーシナリオを処理します。
| 読書時間 |
1時間 |
| 設定時間 |
2時間 |
前提条件の例
このトピックを読み、SRXシリーズファイアウォールでマルチノード高可用性ソリューションを設定する方法を理解してください。
この例では、Azureクラウドに展開されている2つのvSRX仮想ファイアウォールインスタンスでマルチノード高可用性を設定する方法を示します。
| VMの要件 |
Azure Cloudに展開された2つのvSRX仮想ファイアウォール |
| ソフトウェア要件 |
Junos OSリリース23.4R1以降のリリース |
| ライセンス要件 |
vSRX仮想ファイアウォールライセンスを使用するか、評価ライセンスをリクエストしてください。ライセンスは、ジュニパー ネットワークスのライセンス管理システム(LMS)から調達できます。 |
始める前に
| 利点 |
Azureに導入されたvSRXシリーズファイアウォールの可用性が向上し、信頼性が向上し、ダウンタイムが短縮されます。 |
| 詳細はこちら |
|
| 詳細情報 |
機能の概要
| 使用されたテクノロジー |
|
| 一次検証タスク |
|
トポロジーの概要
図2は、この例で使用されているトポロジーを示しています。
にデプロイされたvSRX VMのマルチノード高可用性構成
トポロジーに示すように、2つのvSRX仮想ファイアウォールインスタンス(vSRXノード0とvSRXノード1)がAzureクラウドに導入されています。信頼できない側はパブリックネットワークに接続し、信頼する側は保護されたリソースに接続します。
パブリックサブネットがインターネットゲートウェイにアクセスすると、2つのvSRX仮想ファイアウォールインスタンスがパブリックサブネットに配置されます。
マルチノード高可用性設定では、リンクまたはファイアウォールに障害が発生した場合、フローティングIPアドレスが2つのSRXシリーズファイアウォール間を移動します。Azureファイアウォール上のプライマリインターフェイスのIPアドレスは移動できないため、セカンダリIPアドレスをフローティングIPとして割り当てます。アクティブノードに障害が発生すると、フローティングIPアドレスがバックアップノードにシフトし、新しいアクティブピアとしてトラフィックをシームレスに処理できるようになります。
さらに、データの同期と状態情報の維持のために、シャーシ間リンク(ICL)を設定する必要があります。ノードは、ICLに割り当てられたルーティング可能なIPアドレスを使用して相互に通信します。
次の表は、この例で使用されているインターフェイスとIPアドレスの詳細を示しています。
| インターフェイス | 機能 | プライマリノード(vSRXノード0) | バックアップノード(vSRXノード1) |
|---|---|---|---|
| ge-0/0/0 | ピアノードに接続するためのICL |
10.0.1.10/24 |
10.0.1.11/24 |
| ge-0/0/1 | 信頼できないインターフェイス |
|
|
| ge-0/0/2 | 信頼インターフェイス |
|
|
Azure MarketplaceからvSRX仮想ファイアウォールイメージを選択し、Microsoft Azure Cloudのネットワーク要件に基づいてvSRX仮想ファイアウォール仮想マシンの導入設定と依存関係をカスタマイズする必要があります。この導入アプローチは、vSRX VMでマルチノード高可用性を設定する場合に必要となる場合があります。この導入シナリオは、ジュニパーネットワークスから入手可能なvSRX仮想ファイアウォールVMソリューションテンプレートで提供されるユースケースの範囲外であることに注意してください。
Microsoft AzureにvSRX仮想ファイアウォールを展開するための各ステップの詳細を見ていきます。
Azure Portal での設定
| 名前 | のタイプ |
|---|---|
| azure-vsrx3.0 | リソースグループ |
| azure-vsrx3.0-vnet | 仮想ネットワーク |
| vsrx3.0-node0 | ノード0の仮想マシン |
| vSRX3.0ノード1 | ノード1の仮想マシン |
| vsrx3.0-node0-ip | ノード0のパブリックIPアドレス |
| vsrx3.0-ノード1-IP | ノード1のパブリックIPアドレス |
| vSRX3.0-node0-nsg | ノード0のネットワークセキュリティグループ |
| vSRX3.0-node1-nsg | ノード1のネットワークセキュリティグループ |
| vsrx3.0-node172 | ノード0のネットワークインターフェイス |
| vsrx3.0-node719 | ノード1のネットワークインターフェイス |
| 名前 | :プライマリプライベートIP |
|---|---|
| L3HA-ge-0 | 10.0.1.10 |
| L3HALink-ノード1 | 10.0.1.11 |
| ノード0-ge-1 | 10.0.2.110 |
| ノード0-ge-2 | 10.0.3.10 |
| ノード1-ge-1 | 10.0.2.20 |
| ノード1-ge-2 | 10.0.3.20 |
リソースグループの作成
リソース グループは、Azure にデプロイされたリソースの論理コンテナーです。関連リソースの管理と整理に役立ちます。vSRX VM は、Azure リソース グループ内のリソースです。vSRX に関連するすべてのコンポーネント(仮想ネットワーク、ストレージ アカウント、パブリック IP など)は、同じリソース グループの一部です。- Azure portal にサインインします。
- [ Create a resource]をクリックします。
- リソース グループを検索し、新しいリソースグループ を作成します。
- 名前を選択し、「サブスクリプション」と入力し、リソース グループのリージョンを選択します。
- [レビュー + 作成]、[作成] の順にクリックします。次の図は、リソース グループのサンプルを示しています。
詳細については、「 リソースグループの作成」 を参照してください。
IAM(IDおよびアクセス管理)ロールの割り当て
IAM ロールは、Azure リソースへのアクセスを制御します。ロールを割り当てることで、承認されたユーザーのみが特定のリソースを管理できるようになります。IAMを管理するには、ユーザーまたはユーザー・グループに「サービス・プリンシパル」ロールを付与する必要があります。
- リソース グループに移動します。
- アクセス制御(IAM)をクリックします。
- 新しいロールの割り当てを追加します。
- 目的のロールを選択します (例: サービス プリンシパルの共同作成者、所有者など)。
- ロールを割り当てるユーザーまたはユーザーグループを選択します。
- 「保存」をクリックします。
ストレージ アカウントを作成する
ストレージ アカウントは、Azure にデータ オブジェクトを格納してアクセスするための一意の名前空間を提供します。- リソース グループで、[ 作成] (+) をクリックします。
- "ストレージ アカウント" を検索し、新しいアカウントを作成します。
- 名前、導入モデル、パフォーマンス、およびその他の設定を指定します。
- [レビュー + 作成]、[作成] の順にクリックします。詳細については、「ストレージ アカウントの作成」を参照してください。
仮想ネットワークの作成
仮想ネットワーク (VNet) は、Azure インフラストラクチャの基盤です。これにより、Azureリソースを安全に接続できます。
- リソース グループで、[ 作成] (+) をクリックします。
- 仮想ネットワークを検索し、新しいネットワークを作成します。
- 名前、アドレス空間、サブネット設定を定義します。
- [レビュー + 作成]、[作成] の順にクリックします。
- 設定 > サブネットをクリックします。サブネットは、論理接続(物理ケーブル接続ポートなど)を使用して 2 つの vSRX仮想ファイアウォール ノードを接続するために使用されます。
以下の表は、この例で使用されている設定例を示しています。
表 5: Azure portal でのサブネット構成 関数 CIDR ロール 管理サブネット 10.0.3.0/24 管理トラフィック ICLサブネット 10.0.1.0/24 RTO、同期、プローブ関連のトラフィック Untrust サブネット 10.0.2.0/24 外部トラフィック サブネットを信頼 10.0.3.0/24 内部トラフィック
IAM ロールの割り当て
- ホーム > マネージド ID に移動して、Azure API を使用するためのアクセス許可を有効にします。
- リソース グループを選択し、 Azure ロールの割り当て を選択し、アクセス許可を割り当てるロールをクリックします。
以下の権限を有効にする必要があります。
- Microsoft.Authorization/*/read
- Microsoft.Compute/virtualMachines/read
- Microsoft.Network/networkSecurityGroups/join/action
- Microsoft.Network/networkInterfaces/*
- Microsoft.Network/virtualNetworks/join/action
- Microsoft.Network/publicIPAddresses/read
- Microsoft.Network/publicIPAddresses/write
- Microsoft.Network/publicIPAddresses/join/action
- Microsoft.Authorization/*/read
- Microsoft.Compute/virtualMachines/read
- Microsoft.Network/routeTables/*
- Microsoft.Network/networkInterfaces/*
これで、vSRX VMを導入する準備が整いました。
vSRX VMの導入
以下の手順を使用して、2つのvSRX VMインスタンスを展開します。これら 2 つのインスタンスを使用して、マルチノード高可用性を設定します。詳細については、「 Azure MarketplaceからvSRX仮想ファイアウォールイメージを展開する」を参照してください。
- Microsoft アカウントの資格情報を使用して Azure portal にサインインします。
- リソース の作成 をクリックしてAzure MarketplaceでvSRXを検索し、 vSRX仮想ファイアウォールを検索します。
-
Azure MarketplaceからvSRX VMイメージを選択します。
- 以下の詳細を入力して、導入設定を構成します。
- vSRX VM の名前。
- リソース グループ。(新しいグループを作成するか、既存のグループを使用できます)。この例では、以前に作成した azure-vsrx3.0 を使用します。
注:
両方のvSRX仮想ファイアウォールインスタンスを同じリソースグループに展開します。リソースグループには、この導入用のvSRX仮想ファイアウォールに関連するすべてのリソースが保持されます。
- サブスクリプション
- VMディスクタイプ
- VM をデプロイするリージョン。
- 認証タイプ
- VMアクセス用のユーザー名とパスワード。
- vSRX仮想ファイアウォールVMのストレージ、ネットワーク、監視設定を構成します。これには、ストレージ アカウント、仮想ネットワーク、サブネット、パブリック IP アドレス、ネットワーク セキュリティ グループ、VM 拡張機能、可用性セット、監視オプションの指定が含まれます。
- 設定を確認し、 作成をクリックします。
Azure は、設定に基づいて vSRX VM のプロビジョニングを開始します。vSRX仮想ファイアウォールVMが作成されると、Azure portalダッシュボードの[リソースグループ]に新しいvSRX仮想ファイアウォールVMが一覧表示されます。
特定の要件とネットワーク設計に基づいて、これらの手順をカスタマイズすることを忘れないでください。
Azure portalにデプロイしたばかりのvSRX仮想ファイアウォールインスタンスに対して、以下の設定を完了します。
タグの作成
vSRX VMページで、左側のナビゲーションバーから タグ を選択します。
両方のVMに対してAzureでタグを作成して、2つのvSRX仮想ファイアウォールインスタンスで信頼できるインターフェイスと信頼できないインターフェイスを識別します。以下の表は、この例で使用されているタグの例を示しています。
| タグ名 |
値 |
|---|---|
| local_trust_interface |
ノード0-ge-002 |
| local_untrust_interface |
ノード0-ge-001 |
| peer_trust_interface |
ノード1-ge-002 |
| peer_untrust_interface |
ノード1-ge-001 |
なお、この表に記載されているタグ名はデフォルト設定用です。設定で同じタグ名を使用することをお勧めします。
パブリックIPアドレスの作成
Azure portal で、 [ リソースの作成 ] セクションに移動します。[ ネットワーキング] を見つけて選択し、[ パブリックIPアドレス]に移動します。
- 作成をクリックして、新しいパブリックIPアドレスの設定を開始します。
- 以下の詳細を使用してIPアドレス設定を構成します。
- 名前: パブリックIPリソースの一意の名前を入力します。
- SKU: Basic オファリングと Standard オファリングのどちらかを選択します。
- IPバージョン:要件に基づいてIPv4またはIPv6を選択します。
- IP アドレスの割り当て: 静的または動的を選択します。
- このIPが存在するリソースグループを選択または作成します。
- 場所: ユーザーに最も近い Azure リージョンを選択します。
- 構成が完了したら、設定を確認し、 作成 をクリックしてパブリックIPアドレスを割り当てます。
ネットワークインターフェイスを作成する
Azure上のvSRXシリーズファイアウォールでネットワークインターフェイスの設定を計画します。
- Azure portal の [ネットワーク] セクションの [ネットワーク] インターフェイスに移動します。
- ネットワーク インターフェイスの作成をクリックします。
- 新しいネットワークインターフェイスに以下の詳細を入力します。
- 名前: NIC の一意の名前を指定します。
- リージョン: VNet、VM、IP アドレスと同じリージョンを選択します。
- 仮想ネットワーク: NIC を関連付ける仮想ネットワークを選択します。
- サブネット: 適切なサブネットを選択します。
- 必要に応じて、先ほど作成したパブリックIPアドレスを添付します。
- 新しいネットワークセキュリティグループを作成するか、既存のグループに関連付けるかを選択します。
- 設定を確認し、 作成 をクリックして新しいNICをプロビジョニングします。
ネットワークセキュリティ グループ (NSG) を作成する
- Azure portal の [ネットワーク] カテゴリで [ネットワーク セキュリティ グループ] を選択します。
- [ ネットワーク セキュリティ グループの作成] を選択します。
- 次の詳細を使用して NSG を設定します。
- 名前: NSG の名前を作成します。
- サブスクリプション: 正しいサブスクリプション内で作業していることを確認します。
- リソースグループ: 既存のリソースグループを選択するか、新しいリソースグループを作成します。
- 場所: 保護しているリソースの場所と一致させます。
- ルールの追加: 作成後、インバウンドおよびアウトバウンドのセキュリティルールを定義して、NIC と VM とのトラフィックを制御します。
- NIC またはサブネットに戻り、新しい NSG に関連付けます。
- 構成を確認し、NSG を作成します。
要件に従ってトラフィック フローを管理するために、NSG に適切なセキュリティ規則を定義することを忘れないでください。
ネットワーク インターフェイス、パブリック IP アドレス、およびネットワーク セキュリティ グループを作成したら、NIC を仮想マシンにアタッチし、NSG を NIC またはサブネットにアタッチできます。これにより、Azure 環境のネットワーク接続とセキュリティに必要なセットアップが完了します。
インターフェイスとIPアドレスを設定する
- デプロイされたvSRX VMに移動し、 設定>ネットワーキングをクリックします。
- 接続されたネットワークインターフェイスを見つけます。
- ネットワークインターフェイス名をクリックして、その詳細を開きます。IP設定セクションには、割り当てられたIPアドレス(存在する場合)があり、IPアドレスを設定することもできます。この例では、次の表に示すIPアドレス設定を使用します。
| VM |
vSRX VMノード0(vsrx3.0-node0)(アクティブノード) |
vSRX VMノード1(vsrx3.0-node1)(バックアップノード) |
||||
|---|---|---|---|---|---|---|
| 信頼できないインターフェイス | 信頼インターフェイス |
ICL |
信頼できないインターフェイス |
信頼インターフェイス |
ICL |
|
| インターフェイス | ge-0/0/1 | ge-0/0/2 | ge-0/0/0 |
ge-0/0/1 | ge-0/0/2 | ge-0/0/0 |
| プライマリIPアドレス | 10.0.2.110 |
10.0.3.10 |
10.0.1.10/24 |
10.0.2.20 |
10.0.3.20 |
10.0.1.11/24 |
| セカンダリIPアドレス(サブネットからの静的IPアドレス) | 10.0.2.11 |
10.0.3.12 |
- |
バックアップノードとして機能するノードは、アクティブロールに移行するときに同じIPアドレスを受け取ります。 | バックアップノードとして機能するノードは、アクティブロールに移行するときに同じIPアドレスを受け取ります。 | - |
| インターネットにアクセスするためにパブリックIPアドレスをセカンダリに関連付ける | 172.16.0.0 |
(この例では適用されません) |
- |
注:バックアップノードとして機能するノードは、アクティブロールに移行するときに同じIPアドレスを受け取ります。 |
(この例では適用されません) |
- |
制御リンクインターフェイスでIP転送を有効にし、信頼側と信頼できない側の両方でデフォルトルートを設定していることを確認します。
[ 設定] > [ネットワーク] をクリックして、VM のインターフェイス、サブネット、IP 構成を表示します。
vSRX仮想ファイアウォールの導入が完了すると、vSRX仮想ファイアウォールVMの電源が自動的にオンになり、起動されます。この時点で、SSHクライアントを使用してvSRX仮想ファイアウォールVMにログインできます。
Azure portal で必要なすべての構成が完了したので、CLI を使用して vSRX仮想ファイアウォールの構成を開始しましょう。
最新バージョンのvSRXソフトウェアイメージ(23.4R1以降)を使用していることを確認してください。CLIを使用して、Junos OS for vSRX仮想ファイアウォールソフトウェアを直接アップグレードできます。Junos OSのアップグレードまたはダウングレードは、ネットワークのサイズと構成によっては数時間かかる場合があります。ジュニパーネットワークス Web サイトから目的の vSRX仮想ファイアウォール.tgz ファイル用の Junos OS リリースをダウンロードします。 「移行、アップグレード、ダウングレードの手順」を参照してください。
vSRX仮想ファイアウォールの設定
マルチノード高可用性設定向けのSRXシリーズファイアウォールでは、Junos IKEパッケージを推奨します。このパッケージは、SRXシリーズファイアウォールのデフォルトパッケージまたはオプションパッケージとして利用できます。詳細については、「 Junos IKEパッケージのサポート 」を参照してください。
パッケージがSRXシリーズファイアウォールにデフォルトでインストールされていない場合は、次のコマンドを使用してインストールします。ICL暗号化には、このステップが必要です。
user@host> request system software add optional://junos-ike.tgz Verified junos-ike signed by PackageProductionECP256_2022 method ECDSA256+SHA256 Rebuilding schema and Activating configuration... mgd: commit complete Restarting MGD ... ...... Restart cli using the new version ? [yes,no] (yes)
検証
showコマンドを使用して、設定が正しく機能していることを確認します。
| コマンド | 検証タスク |
|---|---|
|
|
ピアノードのヘルスステータスなど、セキュリティデバイスのマルチノード高可用性ステータスの詳細を表示します。 |
show security cloud high- availability information |
パブリッククラウド(AWSまたはAzure)でのマルチノード高可用性の導入に関するステータスを表示します。 |
マルチノード高可用性の詳細を確認する
目的
vSRX仮想ファイアウォールインスタンスで設定されたマルチノード高可用性設定の詳細を表示および検証します。
アクション
動作モードから、両方のデバイスで次のコマンドを実行します。
ノード0(アクティブノード)
user@srx-00> show chassis high-availability information
Node failure codes:
HW Hardware monitoring LB Loopback monitoring
MB Mbuf monitoring SP SPU monitoring
CS Cold Sync monitoring SU Software Upgrade
Node Status: ONLINE
Local-id: 1
Local-IP: 10.0.1.10
HA Peer Information:
Peer Id: 2 IP address: 10.0.1.11 Interface: ge-0/0/0.0
Routing Instance: default
Encrypted: NO Conn State: UP
Configured BFD Detection Time: 5 * 400ms
Cold Sync Status: COMPLETE
SRG failure event codes:
BF BFD monitoring
IP IP monitoring
IF Interface monitoring
CP Control Plane monitoring
Services Redundancy Group: 1
Deployment Type: CLOUD
Status: ACTIVE
Activeness Priority: 200
Preemption: DISABLED
Process Packet In Backup State: NO
Control Plane State: READY
System Integrity Check: N/A
Failure Events: NONE
Peer Information:
Peer Id: 2
Status : BACKUP
Health Status: HEALTHY
Failover Readiness: NOT READY
ノード1(バックアップノード)
user@srx-01# show chassis high-availability information
Node failure codes:
HW Hardware monitoring LB Loopback monitoring
MB Mbuf monitoring SP SPU monitoring
CS Cold Sync monitoring SU Software Upgrade
Node Status: ONLINE
Local-id: 2
Local-IP: 10.0.1.11
HA Peer Information:
Peer Id: 1 IP address: 10.0.1.10 Interface: ge-0/0/0.0
Routing Instance: default
Encrypted: NO Conn State: UP
Configured BFD Detection Time: 5 * 400ms
Cold Sync Status: COMPLETE
Services Redundancy Group: 0
Current State: ONLINE
Peer Information:
Peer Id: 1
SRG failure event codes:
BF BFD monitoring
IP IP monitoring
IF Interface monitoring
CP Control Plane monitoring
Services Redundancy Group: 1
Deployment Type: CLOUD
Status: BACKUP
Activeness Priority: 100
Preemption: DISABLED
Process Packet In Backup State: NO
Control Plane State: NOT READY
System Integrity Check: COMPLETE
Failure Events: NONE
Peer Information:
Peer Id: 1
Status : ACTIVE
Health Status: HEALTHY
Failover Readiness: N/A
意味
コマンド出力からこれらの詳細を確認します。
- ローカルノードとピアノードの詳細(IP アドレスや ID など)
- 「デプロイメント・タイプ: クラウド」フィールドは、構成がクラウドデプロイ用であることを示します。
- フィールド Services Redundancy Group:1 は、そのノード上の SRG1 のステータス (ACTIVE または BACKUP) を示します。
Azureのマルチノード高可用性情報を確認する
目的
Azure Cloud でのマルチノード高可用性デプロイの状態を確認します。
アクション
動作モードから、以下のコマンドを実行します。
user@srx-00> show security cloud high-availability information
Cloud HA Information:
Cloud Type Cloud Service Type Cloud Service Status
AZURE Secondary IP Bind to Peer Node
意味
コマンド出力からこれらの詳細を確認します。
- フィールド クラウド タイプ: Azure は、デプロイが Azure 向けであることを示します。
- フィールド クラウド サービス タイプ: セカンダリ IP は、Azure デプロイがセカンダリ IP を使用してトラフィックを制御することを示します。
- フィールド「クラウドサービスステータス:ピアノードにバインド」は、セカンダリIPアドレスとピアノードのバインドを示しています。つまり、現在のノードがバックアップノードであることを意味します。
基本的なトラブルシューティングチェックリスト
- 信頼できないインターフェイスと信頼するインターフェイスが同じvsrx3.0 VMインスタンス上にあるかどうかのセカンダリIPを確認します。
- 4つのタグ値がインターフェイス名と一致するように確認します。
- インバウンドルールが正しいことを確認してトラフィックを許可します。
- Azure portal で IP 転送が有効になっていることを確認します。
- Azure portalルートとvSRX CLIルートが同期されていることを確認します。
- アクティブ ノードの untrust インターフェイスをチェックして、Azure portal でフローティング IP アドレスがアタッチされているかどうかを確認します。
すべてのデバイスでコマンドを設定する
vSRX仮想ファイアウォール(ノード0)
set chassis high-availability local-id 1 set chassis high-availability local-id local-ip 10.0.1.10 set chassis high-availability peer-id 2 peer-ip 10.0.1.11 set chassis high-availability peer-id 2 interface ge-0/0/0.0 set chassis high-availability peer-id 2 liveness-detection minimum-interval 400 set chassis high-availability peer-id 2 liveness-detection multiplier 5 set chassis high-availability services-redundancy-group 1 mode active-backup set chassis high-availability services-redundancy-group 1 deployment-type cloud set chassis high-availability services-redundancy-group 1 peer-id 2 set chassis high-availability services-redundancy-group 1 prefix-list pref1 routing-instance s1-router set chassis high-availability services-redundancy-group 1 managed-services ipsec set chassis high-availability services-redundancy-group 1 activeness-priority 200 set security policies default-policy permit-all set security zones security-zone icl host-inbound-traffic system-services all set security zones security-zone icl host-inbound-traffic protocols all set security zones security-zone icl interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust host-inbound-traffic protocols bfd set security zones security-zone untrust host-inbound-traffic protocols bgp set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/2.0 set security cloud high-availability azure peer-liveliness probe-ip 10.0.2.20 set security cloud high-availability azure peer-liveliness probe-ip source-ip 10.0.2.110 set security cloud high-availability azure peer-liveliness probe-ip routing-instance s1-router set interfaces ge-0/0/0 unit 0 family inet address 10.0.1.10/24 set interfaces ge-0/0/1 unit 0 family inet address 10.0.2.110/24 primary set interfaces ge-0/0/1 unit 0 family inet address 10.0.2.11/24 set interfaces ge-0/0/2 unit 0 family inet address 10.0.3.10/24 primary set interfaces ge-0/0/2 unit 0 family inet address 10.0.3.12/24 set interfaces lo0 description HA_LOOPBACK set interfaces lo0 unit 0 family inet address 10.11.1.10/32 primary set policy-options prefix-list pref1 10.0.2.0/24 set routing-instances s1-router instance-type virtual-router set routing-instances s1-router routing-options static route 0.0.0.0/0 next-hop 10.0.2.1 set routing-instances s1-router interface ge-0/0/1.0 set routing-instances s1-router interface ge-0/0/2.0
vSRX仮想ファイアウォール(ノード1)
set chassis high-availability local-id 2 set chassis high-availability local-id local-ip 10.0.1.11 set chassis high-availability peer-id 1 peer-ip 10.0.1.10 set chassis high-availability peer-id 1 interface ge-0/0/0.0 set chassis high-availability peer-id 1 liveness-detection minimum-interval 400 set chassis high-availability peer-id 1 liveness-detection multiplier 5 set chassis high-availability services-redundancy-group 1 mode active-backup set chassis high-availability services-redundancy-group 1 deployment-type cloud set chassis high-availability services-redundancy-group 1 peer-id 1 set chassis high-availability services-redundancy-group 1 prefix-list pref1 routing-instance s1-router set chassis high-availability services-redundancy-group 1 managed-services ipsec set chassis high-availability services-redundancy-group 1 activeness-priority 100 set security policies default-policy permit-all set security zones security-zone icl host-inbound-traffic system-services all set security zones security-zone icl host-inbound-traffic protocols all set security zones security-zone icl interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust host-inbound-traffic protocols bfd set security zones security-zone untrust host-inbound-traffic protocols bgp set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/2.0 set security cloud high-availability azure peer-liveliness probe-ip 10.0.2.110 set security cloud high-availability azure peer-liveliness probe-ip source-ip 10.0.2.20 set security cloud high-availability azure peer-liveliness probe-ip routing-instance s1-router set interfaces ge-0/0/0 unit 0 family inet address 10.0.1.11/24 set interfaces ge-0/0/1 unit 0 family inet address 10.0.2.20/24 primary set interfaces ge-0/0/1 unit 0 family inet address 10.0.2.11/24 set interfaces ge-0/0/2 unit 0 family inet address 10.0.3.20/24 primary set interfaces ge-0/0/2 unit 0 family inet address 10.0.3.12/24 set interfaces lo0 description HA_LOOPBACK set interfaces lo0 unit 0 family inet address 10.11.1.11/32 primary set policy-options prefix-list pref1 10.0.2.0/24 set routing-instances s1-router instance-type virtual-router set routing-instances s1-router routing-options static route 0.0.0.0/0 next-hop 10.0.2.1 set routing-instances s1-router interface ge-0/0/1.0 set routing-instances s1-router interface ge-0/0/2.0
show configuration出力
設定モードから、 show high availability、 show security zones、 show interfaces コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
vSRX仮想ファイアウォール(ノード0)
user@srx-00# show chassis high-availability
local-id {
1;
local-ip 10.0.1.10;
}
peer-id 2 {
peer-ip 10.0.1.11;
interface ge-0/0/0.0;
liveness-detection {
minimum-interval 400;
multiplier 5;
}
}
services-redundancy-group 1 {
mode active-backup;
deployment-type cloud;
peer-id {
2;
}
prefix-list pref1 {
routing-instance s1-router;
}
managed-services ipsec;
activeness-priority 200;
}
user@srx-00# show security zones
security-zone icl {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
ping;
}
protocols {
bfd;
bgp;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/2.0;
}
}
user@srx-00# show security cloud
high-availability {
azure {
peer-liveliness {
probe-ip 10.0.2.20 source-ip 10.0.2.110 routing-instance s1-router;
}
}
}
user@srx-00# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.0.1.10/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 10.0.2.110/24 {
primary;
}
address 10.0.2.11/24;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
address 10.0.3.10/24 {
primary;
}
address 10.0.3.12/24;
}
}
}
lo0 {
description HA_LOOPBACK;
unit 0 {
family inet {
address 10.11.1.10/32 {
primary;
}
}
}
}
user@srx-00# show routing-instances
s1-router {
instance-type virtual-router;
routing-options {
static {
route 0.0.0.0/0 next-hop 10.0.2.1;
}
interface ge-0/0/1.0;
interface ge-0/0/2.0;
}
vSRX仮想ファイアウォール(ノード1)
user@srx-01# show chassis high-availability
local-id {
2;
local-ip 10.0.1.11;
}
peer-id 1 {
peer-ip 10.0.1.10;
interface ge-0/0/0.0;
liveness-detection {
minimum-interval 400;
multiplier 5;
}
}
services-redundancy-group 1 {
mode active-backup;
deployment-type cloud;
peer-id {
1;
}
prefix-list pref1 {
routing-instance s1-router;
}
managed-services ipsec;
activeness-priority 100;
}
user@srx-01# show security zones
security-zone icl {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
ping;
}
protocols {
bfd;
bgp;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/2.0;
}
}
user@srx-01# show security cloud
high-availability {
azure {
peer-liveliness {
probe-ip 10.0.2.110 source-ip 10.0.2.20 routing-instance s1-router;
}
}
}
user@srx-01# show interfacesge-0/0/0 {
unit 0 {
family inet {
address 10.0.1.11/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 10.0.2.20/24 {
primary;
}
address 10.0.2.11/24;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
address 10.0.3.20/24 {
primary;
}
address 10.0.3.12/24;
}
}
}
lo0 {
description HA_LOOPBACK;
unit 0 {
family inet {
address 10.11.1.11/32 {
primary;
}
}
}
}
user@srx-01# show routing-instances
s1-router {
instance-type virtual-router;
routing-options {
static {
route 0.0.0.0/0 next-hop 10.0.2.1;
}
interface ge-0/0/1.0;
interface ge-0/0/2.0;
}
変更履歴テーブル
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がお使いのプラットフォームでサポートされているかどうかを確認します。