Azure クラウドでのマルチノード高可用性
このドキュメントを読むと、Azureクラウドに導入されたvSRXインスタンスでマルチノード高可用性を設定する方法を理解できます。
概要
Microsoft Azureクラウドに導入されたvSRX仮想ファイアウォールで、マルチノード高可用性を設定できます。Microsoft Azureは、Microsoftのパブリッククラウド向けアプリケーションプラットフォームです。これは、Microsoft が管理するデータ センターのグローバル ネットワークを通じてアプリケーションとサービスを構築、展開、管理するための、オープンで柔軟なエンタープライズ グレードのクラウドコンピューティング プラットフォームです。
Azure上のvSRX仮想ファイアウォールのペアを、アクティブ/バックアップのマルチノード高可用性構成のように動作するように設定できます。参加ノードは、アクティブコントロールプレーンとデータプレーンの両方を同時に実行します。ノードは互いにバックアップし合い、システムやハードウェアに障害が発生した場合に、高速に同期されたフェイルオーバーを確保します。2 つのデバイス間のシャーシ間リンク(ICL)接続は、状態情報を同期および維持し、デバイスのフェイルオーバー シナリオを処理します。
Microsoft Azure Cloudでファイアウォール導入設定をカスタマイズすることで、vSRX仮想ファイアウォールVMでマルチノード高可用性を設定できます。
IPSec VPN サポート
Junos OS リリース 24.4R1 以降では、Azure クラウド デプロイでのアクティブ/バックアップ マルチノード高可用性のために IPSec VPN がサポートされています。
制約
マルチノード高可用性は、パブリッククラウドの導入で複数のSRG設定(アクティブ/アクティブ)をサポートしていません。アクティブ/バックアップ モードは SRG0 または SRG1 をサポートします。IPSec VPN トンネルは、ステートフル アクティブ/バックアップ モードで動作する SRG1 に固定されます。すべてのVPNトンネルは、SRG1がアクティブなデバイスで終了します。
建築
図1 は、2つのvSRX仮想ファイアウォールインスタンスがAzureクラウドでマルチノード高可用性ペアを形成している様子を示しています。1つのvSRX仮想ファイアウォールインスタンスはアクティブノードとして機能し、もう1つのインスタンスはバックアップノードとして機能します。両方のノードがICLを使用して相互に接続し、状態情報を同期および維持し、デバイスのフェイルオーバーシナリオを処理します。
におけるマルチノード高可用性導入におけるvSRX
vSRX仮想ファイアウォールでは、個々のインスタンスグループごとに2つのパブリックIPアドレスと1つ以上のプライベートIPアドレスが必要です。パブリックサブネットは、管理インターフェイス(fxp0)用のものと、収益(データ)インターフェイス用のもので構成されています。サブネット構成には、任意の 4 つの収益インターフェイスを使用できます。プライベート・インタフェースは、保護されたリソースに接続されています。これにより、プライベートサブネット上のアプリケーションとインターネット間のすべてのトラフィックがvSRX仮想ファイアウォールインスタンスを通過する必要があります。
Azure でマルチノード高可用性を実現するには、両方のファイアウォールを同じ Azure リソース グループ内にデプロイする必要があります。Azure リソース グループは、Azure ソリューションの関連リソースを保持する論理コンテナーです。これには、ソリューションのすべてのリソースを含めることも、グループとして管理するリソースのみを含めることもできます。
各ノードにはノード固有のプライマリアドレスを割り当て、両方のノードには共通のセカンダリ IP アドレスまたは Floating IP アドレスを割り当てる必要があります。フローティング IP アドレスとして機能するセカンダリ IP アドレスは、常にアクティブノードにアタッチされます。現在のアクティブノードで障害が発生した場合、セカンダリ IP アドレスは障害が発生したアクティブノードから現在のアクティブノードに移行します。新しいアクティブノードは、トラフィックの継続的な流れを確保します。
最初に、両方のノードは、起動時にどちらがセカンダリIPアドレスの所有者であるかを示す事前定義されたタグで起動されます。その特定のノードはアクティブ ノードとして動作し始め、他のノードはバックアップ ノードとして起動します。
スプリットブレイン保護
スプリット ブレインのシナリオとは、ノード間のシャーシ間リンク(ICL)がダウンした場合に、マルチノード高可用性システムの両方のノードが同じ状態(アクティブまたはバックアップ)でスタックする状況を指します。この状態を防ぐために、両方のノードは、設定に基づいて、信頼インターフェイスまたは信頼できないインターフェイスのプライマリIPアドレスのプローブを試みます。
プローブの失敗とともに ICL(シャーシ間リンク)で障害が発生した場合、ピアからの応答を受信しないノードがアクティブなロールを引き継ぎます。ただし、プローブが成功し、ピアノードがまだ動作していることが確認された場合、ノードは現在の状態を維持します。このプローブ プロセスは、ICL が復元されるまで続きます。
例: Azure クラウド デプロイでのマルチノード高可用性の構成
Microsoft Azureクラウドに導入されたvSRX仮想ファイアウォールで、マルチノード高可用性を設定できます。Microsoft Azureは、Microsoftのパブリッククラウド向けアプリケーションプラットフォームです。これは、Microsoft が管理するデータ センターのグローバル ネットワークを通じてアプリケーションとサービスを構築、展開、管理するための、オープンで柔軟なエンタープライズ グレードのクラウドコンピューティング プラットフォームです。
Azure上のvSRX仮想ファイアウォールのペアを、アクティブ/バックアップのマルチノード高可用性構成のように動作するように設定できます。参加ノードは、アクティブコントロールプレーンとデータプレーンの両方を同時に実行します。ノードは互いにバックアップし合い、システムやハードウェアに障害が発生した場合に、高速に同期されたフェイルオーバーを確保します。2 つのデバイス間のシャーシ間リンク(ICL)接続は、状態情報を同期および維持し、デバイスのフェイルオーバー シナリオを処理します。
| 読書の時間 |
1時間 |
| 設定時間 |
2時間 |
前提条件の例
このトピックでは、SRXシリーズファイアウォールでマルチノード高可用性ソリューションを設定する方法を理解できます。
この例では、Azureクラウドに導入された2つのvSRX仮想ファイアウォールインスタンスで、マルチノード高可用性を構成する方法を説明します。
| VM の要件 |
Azureクラウドに導入された2つのvSRX仮想ファイアウォール |
| ソフトウェア要件 |
Junos OS リリース 23.4R1 以降のリリース |
| ライセンス要件 |
vSRX仮想ファイアウォールライセンスを使用するか、評価ライセンスをリクエストします。ライセンスは、ジュニパー ネットワークスのライセンス管理システム(LMS)から取得できます。 |
始める前に
| 利点 |
Azureに導入されるvSRXシリーズファイアウォールの可用性が高まり、信頼性が向上し、ダウンタイムが短縮されます。 |
| もっと知る |
|
| 詳細情報 |
機能の概要
| 使用技術 |
|
| 主な検証タスク |
|
トポロジーの概要
図 2 は、この例で使用されるトポロジーを示しています。
に導入されたvSRX VMのマルチノード高可用性構成
トポロジーに示されているように、2つのvSRX仮想ファイアウォールインスタンス(vSRXノード0およびvSRXノード1)がAzureクラウドに導入されています。信頼されていない側はパブリック ネットワークに接続し、信頼側は保護されたリソースに接続します。
パブリックサブネットがインターネットゲートウェイにアクセスできるため、2つのvSRX仮想ファイアウォールインスタンスがパブリックサブネットに配置されます。
マルチノード高可用性設定では、リンクまたはファイアウォールに障害が発生した場合、フローティングIPアドレスが2つのSRXシリーズファイアウォール間を移動します。Azure ファイアウォール上のプライマリ インターフェイスの IP アドレスは移動できないため、セカンダリ IP アドレスをフローティング IP として割り当てます。アクティブノードに障害が発生すると、フローティング IP アドレスがバックアップノードに移行され、新しいアクティブピアとしてシームレスにトラフィックを処理できます。
さらに、データの同期と状態情報の維持のために、ICL(シャーシ間リンク)を設定する必要があります。ノードは、ICL に割り当てられたルーティング可能な IP アドレスを使用して相互に通信します。
次の表に、この例で使用されたインターフェイスと IP アドレスの詳細を示します。
| インターフェイス | 機能 | プライマリノード(vSRXノード0) | バックアップノード(vSRXノード1) |
|---|---|---|---|
| ge-0/0/0 | ピアノードに接続するためのICL |
10.0.1.10/24 |
10.0.1.11/24 |
| ge-0/0/1 | 信頼できないインターフェイス |
|
|
| ge-0/0/2 | 信頼インターフェイス |
|
|
Azure MarketplaceからvSRX仮想ファイアウォールイメージを選択し、Microsoft Azure Cloudでのネットワーク要件に基づいて、vSRX仮想ファイアウォールVMの展開設定と依存関係をカスタマイズする必要があります。この導入アプローチは、vSRX VMでマルチノード高可用性を設定する場合に必要になる場合があります。この導入シナリオは、ジュニパーネットワークスから入手できるvSRX仮想ファイアウォールVMソリューションテンプレートで提供されるユースケースの範囲外であることに注意してください。
それでは、Microsoft AzureにvSRX仮想ファイアウォールを展開する各ステップについて詳しく説明します。
Azure Portal での構成
| 名前 | の種類 |
|---|---|
| azure-vsrx3.0 | リソース グループ |
| azure-vsrx3.0-vnet | 仮想ネットワーク |
| vsrx3.0-node0 | ノード 0 の仮想マシン |
| vsrx3.0-node1 | ノード 1 の仮想マシン |
| vsrx3.0-node0-ip | ノード 0 のパブリック IP アドレス |
| vSRX3.0-ノード1-IP | ノード 1 のパブリック IP アドレス |
| vsrx3.0-node0-nsg | ノード 0 のネットワーク セキュリティ グループ |
| vsrx3.0-node1-nsg | ノード1のネットワーク・セキュリティ・グループ |
| vsrx3.0-node172 | ノード0のネットワークインターフェイス |
| vsrx3.0-node719 | ノード1のネットワークインターフェイス |
| 名前 | : プライマリ プライベート IP |
|---|---|
| L3HA-GE-0 | 10.0.1.10 |
| L3HALリンクノード 1 | 10.0.1.11 |
| node0-ge-1 | 10.0.2.110 |
| node0-ge-2 | 10.0.3.10 |
| ノード 1-GE-1 | 10.0.2.20 |
| ノード1-GE-2 | 10.0.3.20 |
- リソース グループを作成するCreate a Resource Group
- IAM(Identity and Access Management)ロールの割り当て
- ストレージ アカウントを作成する
- 仮想ネットワークの作成
- IAM ロールの割り当て
リソース グループを作成するCreate a Resource Group
リソース グループは、Azure にデプロイされたリソースの論理コンテナーです。関連リソースの管理と整理に役立ちます。vSRX VMは、Azureリソースグループ内のリソースです。vSRXに関連するすべてのコンポーネント(仮想ネットワーク、ストレージアカウント、パブリックIPなど)は、同じリソースグループの一部です。- Azure portal にサインインします。
- [ リソースの作成] をクリックします。
- [リソース グループ] を検索し、新しいグループを作成します。
- 名前を選択し、「サブスクリプション」と入力して、リソース グループのリージョンを選択します。
- 「 レビュー + 作成 」をクリックし、「 作成」をクリックします。次の図は、リソース グループのサンプルを示しています。
詳細については、「 リソース グループの作成 」を参照してください。
IAM(Identity and Access Management)ロールの割り当て
IAM ロールは、Azure リソースへのアクセスを制御します。ロールを割り当てると、許可されたユーザーのみが特定のリソースを管理できるようになります。IAMを管理するには、ユーザーまたはユーザー・グループに「サービス・プリンシパル」ロールを付与する必要があります。
- リソース グループに移動します。
- [ アクセス制御 (IAM)] をクリックします。
- 新しいロールの割り当てを追加します。
- 目的のロールを選択します (例: サービス プリンシパルの共同作成者、所有者など)。
- ロールを割り当てるユーザーまたはユーザーグループを選択します。
- 「 保存」をクリックします。
ストレージ アカウントを作成する
ストレージ アカウントは、Azure のデータ オブジェクトを格納してアクセスするための一意の名前空間を提供します。- リソース グループで、 [作成] (+) をクリックします。
- 「ストレージ アカウント」を検索し、新しいアカウントを作成します。
- 名前、展開モデル、パフォーマンス、その他の設定を指定します。
- 「 レビュー + 作成 」をクリックし、「 作成」をクリックします。詳細については、「 ストレージ アカウントの作成 」を参照してください。
仮想ネットワークの作成
仮想ネットワーク (VNet) は、Azure インフラストラクチャの基盤です。これにより、Azure リソースを安全に接続できます。
- リソース グループで、 [作成] (+) をクリックします。
- [仮想ネットワーク] を検索し、新しいネットワークを作成します。
- 名前、アドレス空間、サブネット構成を定義します。
- 「 レビュー + 作成 」をクリックし、「 作成」をクリックします。
- [ Settings] > [Subnets] をクリックします。サブネットは、論理接続(ポートを接続する物理ケーブルと同様)を使用して2つのvSRX仮想ファイアウォールノードを接続するために使用されます。
次の表に、この例で使用される構成例を示します。
表 5: Azure Portal のサブネット構成 関数 CIDR ロール 管理サブネット 10.0.3.0/24 管理トラフィック ICL サブネット 10.0.1.0/24 RTO、同期、プローブ関連のトラフィック 信頼できないサブネット 10.0.2.0/24 外部トラフィック 信頼サブネット 10.0.3.0/24 内部トラフィック
IAM ロールの割り当て
- [ホーム] > [マネージド ID] に移動して、Azure API を使用するためのアクセス許可を有効にします。
- [リソース グループ] を選択し、 [Azure ロールの割り当て ] を選択して、アクセス許可を割り当てるロールをクリックします。
次の権限を有効にする必要があります。
- Microsoft.Authorization/*/read
- Microsoft.Compute/virtualMachines/read
- Microsoft.Network/networkSecurityGroups/join/action
- Microsoft.Network/networkInterfaces/*
- Microsoft.Network/virtualNetworks/join/action
- Microsoft.Network/publicIPAddresses/read
- Microsoft.Network/publicIPAddresses/write
- Microsoft.Network/publicIPAddresses/join/action
- Microsoft.Authorization/*/read
- Microsoft.Compute/virtualMachines/read
- Microsoft.Network/routeTables/*
- Microsoft.Network/networkInterfaces/*
これで、vSRX VMを展開する準備が整いました。
vSRX VMの導入
以下の手順に従って、2つのvSRX VMインスタンスを展開します。これら 2 つのインスタンスを使用して、マルチノード高可用性を設定します。詳細については、「 Azure MarketplaceからvSRX仮想ファイアウォールイメージを展開する」を参照してください。
- Microsoft アカウントの資格情報を使用して Azure portal にサインインします。
- [ リソースの作成 ]をクリックしてAzure MarketplaceでvSRXを検索し、 vSRX仮想ファイアウォールを検索します。
Azure MarketplaceからvSRX VMイメージを選択します。
- 次の詳細を指定して、デプロイ設定を構成します。
- vSRX VM の名前。
- リソース グループ。(新しいグループを作成することも、既存のグループを使用することもできます)。この例では、前に作成した azure-vsrx3.0 を使用します。
手記:
両方のvSRX仮想ファイアウォールインスタンスを同じリソースグループに導入します。リソースグループには、この導入のvSRX仮想ファイアウォールに関連するすべてのリソースが保持されます。
- 予約
- VM ディスク タイプ
- VM をデプロイするリージョン。
- 認証タイプ
- VM アクセス用のユーザー名とパスワード。
- vSRX仮想ファイアウォールVMのストレージ、ネットワーク、監視を設定します。これには、ストレージ アカウント、仮想ネットワーク、サブネット、パブリック IP アドレス、ネットワーク セキュリティ グループ、VM 拡張機能、可用性セット、監視オプションの指定が含まれます。
- 設定を確認し、「 作成」をクリックします。
Azureは、設定に基づいてvSRX VMのプロビジョニングを開始します。vSRX仮想ファイアウォールVMが作成されると、Azure portalダッシュボードの[リソースグループ]の下に新しいvSRX仮想ファイアウォールVMが一覧表示されます。
これらの手順は、お客様固有の要件やネットワーク設計に基づいてカスタマイズしてください。
Azure portal で展開したばかりの vSRX仮想ファイアウォールインスタンスに対して、以下の設定を完了します。
- タグを作成
- 公開IP アドレスの作成
- ネットワークインターフェイスの作成
- ネットワーク セキュリティ グループ (NSG) を作成するCreate a Network Security Group (NSG)
- インターフェイスと IP アドレスの設定
タグを作成
[vSRX VM] ページで、左側のナビゲーションバーから [タグ ] を選択します。
Azureで両方のVMのタグを作成し、2つのvSRX仮想ファイアウォールインスタンス上の信頼インターフェイスと信頼できないインターフェイスを識別します。次の表に、この例で使用されるタグの例を示します。
| タグ名 |
価値 |
|---|---|
| local_trust_interface |
ノード0-GE-002 |
| local_untrust_interface |
ノード0-GE-001 |
| peer_trust_interface |
ノード1-GE-002 |
| peer_untrust_interface |
ノード1-GE-001 |
表に記載されているタグ名はデフォルト設定用であることに注意してください。設定で同じタグ名を使用することをお勧めします。
公開IP アドレスの作成
Azure portal で、 [ リソースの作成 ] セクションに移動します。 [ネットワーク ] を見つけて選択し、 [ パブリック IP アドレス] に移動します。
- [ 作成 ] をクリックして、新しいパブリック IP アドレスの設定を開始します。
- 次の詳細を使用して IP アドレス設定を構成します。
- 名前: パブリックIPリソースの一意の名前を入力します。
- SKU: Basic と Standard のオファリングから選択します。
- IPバージョン: 要件に応じてIPv4またはIPv6を選択します。
- IP アドレスの割り当て: [静的] または [動的] を選択します。
- この IP が存在するリソース グループを選択または作成します。
- 場所: ユーザーに最も近い Azure リージョンを選択します。
- 構成したら、設定を確認し、 [ 作成 ] をクリックしてパブリック IP アドレスを割り当てます。
ネットワークインターフェイスの作成
Azure上のvSRXシリーズファイアウォールでネットワークインターフェイスの設定を計画します。
- Azure portal の [ネットワーク] セクションの [ネットワーク インターフェイス] に移動します。
- [ ネットワークインターフェイスの作成]をクリックします。
- 新しいネットワークインターフェイスについて、次の詳細を入力します。
- 名前: NIC の一意の名前を指定します。
- リージョン: VNet、VM、IP アドレスと同じリージョンを選択します。
- 仮想ネットワーク: NIC を関連付ける仮想ネットワークを選択します。
- サブネット: 適切なサブネットを選択します。
- 必要に応じて、前に作成したパブリック IP アドレスをアタッチします。
- 新しいネットワーク セキュリティ グループを作成するか、既存のネットワーク セキュリティ グループに関連付けるかを選択します。
- 設定を確認し、[ 作成 ] をクリックして新しい NIC をプロビジョニングします。
ネットワーク セキュリティ グループ (NSG) を作成するCreate a Network Security Group (NSG)
- Azure portal の [ネットワーク] カテゴリで [ネットワーク セキュリティ グループ] を選択します。
- [ ネットワーク セキュリティ グループの作成] を選択します。
- 次の詳細を使用して NSG を設定します。
- 名前: NSG の名前を作成します。
- サブスクリプション: 適切なサブスクリプション内で作業していることを確認します。
- リソース グループ: 既存のものを選択するか、新しいものを作成します。
- 場所: 保護しているリソースの場所と一致させます。
- ルールの追加: 作成後、受信と送信のセキュリティ規則を定義して、NIC と VM との間のトラフィックを制御します。
- NIC またはサブネットに戻り、新しい NSG に関連付けます。
- 構成を確認し、NSG を作成します。
要件に従ってトラフィック フローを管理するために、NSG に適切なセキュリティ規則を定義することを忘れないでください。
ネットワーク インターフェイス、パブリック IP アドレス、ネットワーク セキュリティ グループを作成したら、NIC を仮想マシンに、NSG を NIC またはサブネットにアタッチできます。これで、Azure 環境のネットワーク接続とセキュリティに必要なセットアップが完了します。
インターフェイスと IP アドレスの設定
- 展開したvSRX VMに移動し、[ 設定]>[ネットワーキング]をクリックします。
- 接続されているネットワークインターフェイスを見つけます。
- ネットワーク インターフェイス名をクリックして、その詳細を開きます。[IP 構成] セクションには、割り当てられている IP アドレス (存在する場合) が表示され、IP アドレスを構成することもできます。この例では、次の表に示すように IP アドレス構成を使用します。
| VM |
vSRX VM ノード 0(vsrx3.0-node0)(アクティブ ノード) |
vSRX VM ノード 1(vsrx3.0-node1)(バックアップ ノード) |
||||
|---|---|---|---|---|---|---|
| 信頼できないインターフェイス | 信頼インターフェイス |
ICLの |
信頼できないインターフェイス |
信頼インターフェイス |
ICLの |
|
| インターフェイス | ge-0/0/1 | ge-0/0/2 | ge-0/0/0 |
ge-0/0/1 | ge-0/0/2 | ge-0/0/0 |
| プライマリ IP アドレス | 10.0.2.110 |
10.0.3.10 |
10.0.1.10/24 |
10.0.2.20 |
10.0.3.20 |
10.0.1.11/24 |
| セカンダリ IP アドレス (サブネットからの静的 IP アドレス) | 10.0.2.11 |
10.0.3.12 |
- |
バックアップノードとして動作するノードは、アクティブロールに移行するときに同じIPアドレスを受け取ります。 | バックアップノードとして動作するノードは、アクティブロールに移行するときに同じIPアドレスを受け取ります。 | - |
| パブリックIPアドレスをセカンダリに関連付けてインターネットに接続 | 172.16.0.0 |
(この例では適用されません) |
- |
注:バックアップノードとして機能するノードは、アクティブロールに移行するときに同じIPアドレスを受け取ります。 |
(この例では適用されません) |
- |
制御リンクインターフェイスでIP転送を有効にし、信頼側と信頼できない側の両方でデフォルトルートを設定してください。
[ 設定] > [ネットワーク ] をクリックして、VM のインターフェイス、サブネット、および IP 構成を表示します。
vSRX仮想ファイアウォールの導入が完了すると、vSRX仮想ファイアウォール仮想マシンの電源が自動的にオンになり、起動されます。この時点で、SSH クライアントを使用して vSRX仮想ファイアウォール仮想マシンにログインできます。
Azure portalで必要なすべての設定が完了したので、CLIを使用してvSRX仮想ファイアウォールで設定を開始しましょう。
必ず最新バージョンのvSRXソフトウェアイメージ(23.4R1以降)を使用してください。CLIを使用して、Junos OS for vSRX仮想ファイアウォールソフトウェアを直接アップグレードできます。ネットワークのサイズと設定によっては、Junos OSのアップグレードまたはダウングレードに数時間かかる場合があります。ジュニパーネットワークスのWebサイトから、目的のJunos OS リリースの vSRX仮想ファイアウォール.tgz ファイルをダウンロードします。 移行、アップグレード、およびダウングレードの手順を参照してください。
vSRX仮想ファイアウォールを設定する
Junos IKEパッケージは、マルチノード高可用性構成のSRXシリーズファイアウォールに推奨されます。このパッケージは、SRXシリーズファイアウォールのデフォルトパッケージまたはオプションパッケージとして利用できます。詳細については 、Junos IKEパッケージのサポート を参照してください。
パッケージがSRXシリーズファイアウォールにデフォルトでインストールされていない場合は、次のコマンドを使用してインストールします。ICL 暗号化には、この手順が必要です。
user@host> request system software add optional://junos-ike.tgz Verified junos-ike signed by PackageProductionECP256_2022 method ECDSA256+SHA256 Rebuilding schema and Activating configuration... mgd: commit complete Restarting MGD ... ...... Restart cli using the new version ? [yes,no] (yes)
検証
show コマンドを使用して、設定が正しく機能していることを確認します。
| コマンド | 検証タスク |
|---|---|
|
|
ピアノードのヘルスステータスなど、セキュリティデバイスのマルチノード高可用性ステータスの詳細を表示します。 |
show security cloud high- availability information |
パブリッククラウド(AWSまたはAzure)でのマルチノード高可用性導入に関するステータスを表示します。 |
マルチノード高可用性の詳細を確認する
目的
vSRX仮想ファイアウォールインスタンス上に設定されたマルチノード高可用性設定の詳細を表示および確認します。
アクション
動作モードから、両方のデバイスで次のコマンドを実行します。
ノード0(アクティブノード)
user@srx-00> show chassis high-availability information
Node failure codes:
HW Hardware monitoring LB Loopback monitoring
MB Mbuf monitoring SP SPU monitoring
CS Cold Sync monitoring SU Software Upgrade
Node Status: ONLINE
Local-id: 1
Local-IP: 10.0.1.10
HA Peer Information:
Peer Id: 2 IP address: 10.0.1.11 Interface: ge-0/0/0.0
Routing Instance: default
Encrypted: NO Conn State: UP
Configured BFD Detection Time: 5 * 400ms
Cold Sync Status: COMPLETE
SRG failure event codes:
BF BFD monitoring
IP IP monitoring
IF Interface monitoring
CP Control Plane monitoring
Services Redundancy Group: 1
Deployment Type: CLOUD
Status: ACTIVE
Activeness Priority: 200
Preemption: DISABLED
Process Packet In Backup State: NO
Control Plane State: READY
System Integrity Check: N/A
Failure Events: NONE
Peer Information:
Peer Id: 2
Status : BACKUP
Health Status: HEALTHY
Failover Readiness: NOT READY
ノード1(バックアップノード)上
user@srx-01# show chassis high-availability information
Node failure codes:
HW Hardware monitoring LB Loopback monitoring
MB Mbuf monitoring SP SPU monitoring
CS Cold Sync monitoring SU Software Upgrade
Node Status: ONLINE
Local-id: 2
Local-IP: 10.0.1.11
HA Peer Information:
Peer Id: 1 IP address: 10.0.1.10 Interface: ge-0/0/0.0
Routing Instance: default
Encrypted: NO Conn State: UP
Configured BFD Detection Time: 5 * 400ms
Cold Sync Status: COMPLETE
Services Redundancy Group: 0
Current State: ONLINE
Peer Information:
Peer Id: 1
SRG failure event codes:
BF BFD monitoring
IP IP monitoring
IF Interface monitoring
CP Control Plane monitoring
Services Redundancy Group: 1
Deployment Type: CLOUD
Status: BACKUP
Activeness Priority: 100
Preemption: DISABLED
Process Packet In Backup State: NO
Control Plane State: NOT READY
System Integrity Check: COMPLETE
Failure Events: NONE
Peer Information:
Peer Id: 1
Status : ACTIVE
Health Status: HEALTHY
Failover Readiness: N/A
意味
コマンド出力から次の詳細を確認します。
- IPアドレスやIDなどのローカルノードとピアノードの詳細。
- [Deployment Type: CLOUD] フィールドは、設定がクラウド展開用であることを示します。
- フィールドServices Redundancy Group:1は、そのノードのSRG1のステータス(ACTIVEまたはBACKUP)を示します。
Azure でのマルチノード高可用性情報の確認
目的
Azure Cloud でのマルチノード高可用性デプロイの状態を確認します。
アクション
動作モードから、次のコマンドを実行します。
user@srx-00> show security cloud high-availability information
Cloud HA Information:
Cloud Type Cloud Service Type Cloud Service Status
AZURE Secondary IP Bind to Peer Node
意味
コマンド出力から次の詳細を確認します。
- [Cloud Type: Azure] フィールドは、デプロイが Azure 用であることを示します。
- [クラウド サービスの種類: セカンダリ IP] フィールドは、Azure デプロイでセカンダリ IP を使用してトラフィックを制御することを示します。
- [Cloud Service Status: Bind to Peer Node] フィールドは、セカンダリ IP アドレスがピア ノードにバインドされていることを示しており、現在のノードがバックアップ ノードであることを意味します。
基本的なトラブルシューティングのチェックリスト
- セカンダリIPで信頼できないインターフェイスと信頼できるインターフェイスが同じvsrx3.0 VMインスタンス上にあることを確認します。
- インターフェイス名と一致する4つのタグ値を確認します。
- 受信規則が正しいことを確認して、トラフィックを許可します。
- Azure portal で IP 転送が有効になっていることを確認します。
- Azure portalルートとvSRX CLIルートが同期されていることを確認します。
- アクティブ ノードの信頼されていないインターフェイスをチェックして、Azure portal でそのノードにアタッチされている Floating IP アドレスがあるかどうかを確認します。
すべてのデバイスでコマンドを設定
vSRX仮想ファイアウォール(ノード0)
set chassis high-availability local-id 1 set chassis high-availability local-id local-ip 10.0.1.10 set chassis high-availability peer-id 2 peer-ip 10.0.1.11 set chassis high-availability peer-id 2 interface ge-0/0/0.0 set chassis high-availability peer-id 2 liveness-detection minimum-interval 400 set chassis high-availability peer-id 2 liveness-detection multiplier 5 set chassis high-availability services-redundancy-group 1 mode active-backup set chassis high-availability services-redundancy-group 1 deployment-type cloud set chassis high-availability services-redundancy-group 1 peer-id 2 set chassis high-availability services-redundancy-group 1 prefix-list pref1 routing-instance s1-router set chassis high-availability services-redundancy-group 1 managed-services ipsec set chassis high-availability services-redundancy-group 1 activeness-priority 200 set security policies default-policy permit-all set security zones security-zone icl host-inbound-traffic system-services all set security zones security-zone icl host-inbound-traffic protocols all set security zones security-zone icl interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust host-inbound-traffic protocols bfd set security zones security-zone untrust host-inbound-traffic protocols bgp set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/2.0 set security cloud high-availability azure peer-liveliness probe-ip 10.0.2.20 set security cloud high-availability azure peer-liveliness probe-ip source-ip 10.0.2.110 set security cloud high-availability azure peer-liveliness probe-ip routing-instance s1-router set interfaces ge-0/0/0 unit 0 family inet address 10.0.1.10/24 set interfaces ge-0/0/1 unit 0 family inet address 10.0.2.110/24 primary set interfaces ge-0/0/1 unit 0 family inet address 10.0.2.11/24 set interfaces ge-0/0/2 unit 0 family inet address 10.0.3.10/24 primary set interfaces ge-0/0/2 unit 0 family inet address 10.0.3.12/24 set interfaces lo0 description HA_LOOPBACK set interfaces lo0 unit 0 family inet address 10.11.1.10/32 primary set policy-options prefix-list pref1 10.0.2.0/24 set routing-instances s1-router instance-type virtual-router set routing-instances s1-router routing-options static route 0.0.0.0/0 next-hop 10.0.2.1 set routing-instances s1-router interface ge-0/0/1.0 set routing-instances s1-router interface ge-0/0/2.0
vSRX仮想ファイアウォール(ノード1)
set chassis high-availability local-id 2 set chassis high-availability local-id local-ip 10.0.1.11 set chassis high-availability peer-id 1 peer-ip 10.0.1.10 set chassis high-availability peer-id 1 interface ge-0/0/0.0 set chassis high-availability peer-id 1 liveness-detection minimum-interval 400 set chassis high-availability peer-id 1 liveness-detection multiplier 5 set chassis high-availability services-redundancy-group 1 mode active-backup set chassis high-availability services-redundancy-group 1 deployment-type cloud set chassis high-availability services-redundancy-group 1 peer-id 1 set chassis high-availability services-redundancy-group 1 prefix-list pref1 routing-instance s1-router set chassis high-availability services-redundancy-group 1 managed-services ipsec set chassis high-availability services-redundancy-group 1 activeness-priority 100 set security policies default-policy permit-all set security zones security-zone icl host-inbound-traffic system-services all set security zones security-zone icl host-inbound-traffic protocols all set security zones security-zone icl interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust host-inbound-traffic protocols bfd set security zones security-zone untrust host-inbound-traffic protocols bgp set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/2.0 set security cloud high-availability azure peer-liveliness probe-ip 10.0.2.110 set security cloud high-availability azure peer-liveliness probe-ip source-ip 10.0.2.20 set security cloud high-availability azure peer-liveliness probe-ip routing-instance s1-router set interfaces ge-0/0/0 unit 0 family inet address 10.0.1.11/24 set interfaces ge-0/0/1 unit 0 family inet address 10.0.2.20/24 primary set interfaces ge-0/0/1 unit 0 family inet address 10.0.2.11/24 set interfaces ge-0/0/2 unit 0 family inet address 10.0.3.20/24 primary set interfaces ge-0/0/2 unit 0 family inet address 10.0.3.12/24 set interfaces lo0 description HA_LOOPBACK set interfaces lo0 unit 0 family inet address 10.11.1.11/32 primary set policy-options prefix-list pref1 10.0.2.0/24 set routing-instances s1-router instance-type virtual-router set routing-instances s1-router routing-options static route 0.0.0.0/0 next-hop 10.0.2.1 set routing-instances s1-router interface ge-0/0/1.0 set routing-instances s1-router interface ge-0/0/2.0
show configuration 出力
設定モードから、 show high availability、 show security zones、および show interfaces コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
vSRX仮想ファイアウォール(ノード0)
user@srx-00# show chassis high-availability
local-id {
1;
local-ip 10.0.1.10;
}
peer-id 2 {
peer-ip 10.0.1.11;
interface ge-0/0/0.0;
liveness-detection {
minimum-interval 400;
multiplier 5;
}
}
services-redundancy-group 1 {
mode active-backup;
deployment-type cloud;
peer-id {
2;
}
prefix-list pref1 {
routing-instance s1-router;
}
managed-services ipsec;
activeness-priority 200;
}
user@srx-00# show security zones
security-zone icl {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
ping;
}
protocols {
bfd;
bgp;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/2.0;
}
}
user@srx-00# show security cloud
high-availability {
azure {
peer-liveliness {
probe-ip 10.0.2.20 source-ip 10.0.2.110 routing-instance s1-router;
}
}
}
user@srx-00# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.0.1.10/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 10.0.2.110/24 {
primary;
}
address 10.0.2.11/24;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
address 10.0.3.10/24 {
primary;
}
address 10.0.3.12/24;
}
}
}
lo0 {
description HA_LOOPBACK;
unit 0 {
family inet {
address 10.11.1.10/32 {
primary;
}
}
}
}
user@srx-00# show routing-instances
s1-router {
instance-type virtual-router;
routing-options {
static {
route 0.0.0.0/0 next-hop 10.0.2.1;
}
interface ge-0/0/1.0;
interface ge-0/0/2.0;
}
vSRX仮想ファイアウォール(ノード1)
user@srx-01# show chassis high-availability
local-id {
2;
local-ip 10.0.1.11;
}
peer-id 1 {
peer-ip 10.0.1.10;
interface ge-0/0/0.0;
liveness-detection {
minimum-interval 400;
multiplier 5;
}
}
services-redundancy-group 1 {
mode active-backup;
deployment-type cloud;
peer-id {
1;
}
prefix-list pref1 {
routing-instance s1-router;
}
managed-services ipsec;
activeness-priority 100;
}
user@srx-01# show security zones
security-zone icl {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
ping;
}
protocols {
bfd;
bgp;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/2.0;
}
}
user@srx-01# show security cloud
high-availability {
azure {
peer-liveliness {
probe-ip 10.0.2.110 source-ip 10.0.2.20 routing-instance s1-router;
}
}
}
user@srx-01# show interfacesge-0/0/0 {
unit 0 {
family inet {
address 10.0.1.11/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 10.0.2.20/24 {
primary;
}
address 10.0.2.11/24;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
address 10.0.3.20/24 {
primary;
}
address 10.0.3.12/24;
}
}
}
lo0 {
description HA_LOOPBACK;
unit 0 {
family inet {
address 10.11.1.11/32 {
primary;
}
}
}
}
user@srx-01# show routing-instances
s1-router {
instance-type virtual-router;
routing-options {
static {
route 0.0.0.0/0 next-hop 10.0.2.1;
}
interface ge-0/0/1.0;
interface ge-0/0/2.0;
}