AWS導入におけるマルチノード高可用性
このトピックでは、Amazon Web Services(AWS)導入におけるvSRX仮想ファイアウォールインスタンスのマルチノード高可用性サポートについて説明します。
AWSにおけるマルチノードの高可用性
AWSに導入されたvSRX仮想ファイアウォールファイアウォールで、マルチノード高可用性を設定できます。参加ノードは、アクティブコントロールプレーンとデータプレーンの両方を同時に実行し、ノードは互いにバックアップし合うことで、システムやハードウェアに障害が発生した場合に高速に同期されたフェイルオーバーを確保します。2 つのデバイス間のシャーシ間リンク(ICL)接続は、状態情報を同期および維持し、デバイスのフェイルオーバー シナリオを処理します。
まず、AWS導入に固有のマルチノード高可用性の用語について理解しましょう。
用語
| 用語の説明 | |
|---|---|
| Elastic IP アドレス |
指定されたネットワークまたはインターネットからルーティング可能なパブリック IPv4 アドレス。Elastic IP アドレスは、マルチノード高可用性セットアップの任意のノードのインターフェイスに動的にバインドされます。どの時点でも、これらのアドレスは 1 つのインターフェイスにのみバインドされ、同じノードにもバインドされます。マルチノード高可用性セットアップでは、Elastic IP アドレスを使用して AWS デプロイのトラフィックを制御します。Elastic IP アドレスは、レイヤー 3 展開のフローティング IP アドレス、またはデフォルト ゲートウェイ展開の仮想 IP アドレスと同様に動作します。アクティブなSRG1を持つノードがElastic IPアドレスを所有し、それに向かってトラフィックを描画します。 |
| ICL(シャーシ間リンク) |
マルチノード高可用性システムでルーティングされたネットワークを介してノードを接続するIPベースのリンク(論理リンク)。セキュリティ デバイスは ICL を使用して、状態情報を同期および維持し、デバイスのフェールオーバー シナリオを処理します。ICL の設定には、ge-0/0/0 インターフェイスのみを使用できます。ICLは、AWSによって割り当てられたMACアドレスを使用します(vSRX仮想ファイアウォールによって作成された仮想MACではありません)。ICL を設定するときは、IP アドレスが VPC(仮想プライベートクラウド)のサブネットであることを確認してください。Multibode High Availability はクロス VPC デプロイをサポートしていないことに注意してください |
| Juniper Services Redundancy Protocol(jsrpd)プロセス | アクティブさの判断と実施を管理し、スプリットブレイン保護を提供するプロセス。 |
IPSec VPN サポート
Junos OS リリース 24.4R1 以降、AWS デプロイメントでアクティブ/バックアップ マルチノード高可用性を実現するために IPSec VPN がサポートされています。
制約
マルチノード高可用性は、パブリッククラウドの導入で複数のSRG設定(アクティブ/アクティブ)をサポートしていません。アクティブ/バックアップ モードでは SRG0 と SRG1 がサポートされています。IPSec VPN トンネルは、ステートフル アクティブ/バックアップ モードで動作する SRG1 に固定されます。すべてのVPNトンネルは、SRG1がアクティブなデバイスで終了します。
建築
図1 は、AWSのマルチノード高可用性導入において、2つのvSRX仮想ファイアウォールインスタンスがHAペアを形成している様子を示しています。1つのvSRX仮想ファイアウォールインスタンスはアクティブノードとして機能し、もう1つはバックアップノードとして機能します。
マルチノード高可用性設定では、ICLが2つのノード(vSRX仮想ファイアウォールインスタンス)を接続し、コントロールプレーンとデータプレーンの状態を同期させます。
マルチノード高可用性設定では、2つのvSRX仮想ファイアウォールインスタンスがアクティブ/バックアップモードで動作しています。両方のノードは、コントロールプレーンとデータプレーンの状態を同期するためにICLを使用して相互に接続します。SRG1がアクティブなvSRX仮想ファイアウォールインスタンスは、Elastic IPアドレスをホストします。アクティブノードは、Elastic IP アドレスを使用してトラフィックを誘導します。バックアップ ノードはスタンバイ モードのままで、フェイルオーバー時にそれを引き継ぎます。
Juniper Services Redundancy Protocol(jsrpd)プロセスは、AWSインフラストラクチャと通信してアクティブ性の判断と実施を実行し、スプリットブレイン保護を提供します。
フェイルオーバー中、Elastic IP アドレスは AWS SDK API をトリガーすることで古いアクティブノードから新しいアクティブノードに移動し、新しいアクティブノードにトラフィックを引き寄せます。AWS はルートテーブルを更新して、トラフィックを新しいアクティブノードに迂回させます。このメカニズムにより、クライアントは単一の IP アドレスを使用してノードと通信できます。参加するネットワーク/セグメントに接続するインターフェイスで Elastic IP アドレスを設定します。
スプリットブレイン保護
2 つのノード間の ICL がダウンすると、各ノードはプローブを使用してピア ノードのインターフェイス IP アドレスへの ping を開始します。ピアノードが正常であれば、プローブに応答します。それ以外の場合、jsrpd プロセスは AWS インフラストラクチャと通信して、正常なノードにアクティブなロールを適用します。
例:AWS導入でのマルチノード高可用性の設定
この例では、Amazon Virtual Private Cloud(Amazon VPC)内の2つのvSRX仮想ファイアウォールインスタンスでマルチノード高可用性を設定する方法を説明します。
必要条件
この例では、次のコンポーネントを使用しています。
-
2つのvSRX仮想ファイアウォールインスタンス
-
Junos OS リリース 22.3R1
-
Amazon Web Services (AWS) アカウントと Identity and Access Management (IAM) ロール、Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Simple Storage Service (S3)、Amazon Virtual Private Cloud (Amazon VPC) オブジェクトへのアクセス、作成、変更、削除に必要なすべてのアクセス許可。詳細については、「 vSRX 用の Amazon Virtual Private Cloud の設定 」を参照してください。
-
関連付けられたインターネットゲートウェイ、サブネット、ルートテーブル、およびセキュリティグループで設定された Amazon VPC。 「vSRX 向けの Amazon Virtual Private Cloud の設定」を参照してください。
-
Amazon VPCで起動および設定されたvSRX仮想ファイアウォールインスタンス。「 Amazon Virtual Private CloudでvSRXインスタンスを起動する」を参照してください。
位相幾何学
図 2 は、この例で使用されるトポロジーを示しています。
におけるマルチノードの高可用性
トポロジーに示されているように、2つのvSRX仮想ファイアウォールインスタンス(vSRX仮想ファイアウォール-1およびvSRX仮想ファイアウォール-2)がAmazon VPCに導入されています。ノードは、ルーティング可能な IP アドレス(Elastic IP アドレス)を使用して相互に通信します。信頼されていない側はパブリック ネットワークに接続し、信頼側は保護されたリソースに接続します。
vSRX仮想ファイアウォールインスタンスでマルチノード高可用性を設定する前に、以下の設定を完了してください。
-
AWSのインスタンスタグを使用して、2つのvSRX仮想ファイアウォールインスタンスをマルチノード高可用性ピアとして識別します。たとえば、 vsrx-node-1 を 1 つのピアの名前(Name オプション)として使用し、 vsrx-node-2 を HA ピア(ha-peer オプション)として使用できます。
- 両方のvSRX仮想ファイアウォールインスタンスを同じAmazon VPCとアベイラビリティゾーンにデプロイします。
- 両方のvSRX仮想ファイアウォールインスタンスにIAMロールを割り当て、完全な権限を持つAmazon Elastic Compute Cloud(EC2)インスタンスとしてvSRX仮想ファイアウォールインスタンスを起動します。
- パブリックサブネットにvSRX仮想ファイアウォールインスタンスを配置して、インターネットとの通信を有効にします。Amazon VPC では、パブリックサブネットはインターネットゲートウェイにアクセスできます。
- 高可用性ペアをホストする複数のサブネットを持つ VPC を設定します。サブネットは、論理接続(ポートを接続する物理ケーブルと同様)を使用して2つのvSRX仮想ファイアウォールノードを接続するために使用されます。この例では、VPC の CIDR を 10.0.0.0/16 として定義し、vSRX仮想ファイアウォールトラフィックをホストする合計 4 つのサブネットを作成しました。両方のvSRX仮想ファイアウォールインスタンスに、少なくとも4つのインターフェイスが必要です。 表 1 は、サブネットとインターフェイスの詳細を示しています。
表 1: サブネット構成 機能 ポート番号 インターフェイス 接続 トラフィックタイプ サブネット 管理 0 fxp0 管理インターフェイス 管理トラフィック 10.0.254.0/24 ICLの 1 ge-0/0/0 ICLからピアノードへ RTO、同期、プローブ関連のトラフィック 10.0.253.0/24 公共 2 ge-0/0/1 パブリック ネットワークに接続します。(収益インターフェイス) 外部トラフィック 10.0.1.0/24 プライベート 3 ge-0/0/2 プライベート ネットワークに接続します。(収益インターフェイス) 内部トラフィック 10.0.2.0/24 表に記載されている機能とのインターフェイスマッピングは、デフォルト設定用であることに注意してください。設定で同じマッピングを使用することをお勧めします。
- プライマリおよびセカンダリIPアドレスでインターフェイスを設定します。インターフェイスのセカンダリ IP アドレスとして Elastic IP アドレスを割り当てることができます。プライマリIPアドレスは、インスタンスの起動時に必要になります。セカンダリIPアドレスは、フェイルオーバー時に1つのvSRX仮想ファイアウォールノードから別のノードに転送できます。 表 2 は、この例で使用されるインターフェイスと IP アドレスのマッピングを示しています。
表 2:インターフェイスと IP アドレスのマッピング インスタンス インターフェイス プライマリ IP アドレス セカンダリ IP アドレス (Elastic IP アドレス) vSRX仮想ファイアウォール-1 ge-0/0/1 10.0.1.101 10.0.1.103 ge-0/0/2 10.0.2.201 10.0.2.203 vSRX仮想ファイアウォール-2 ge-0/0/1 10.0.1.102 10.0.1.103 ge-0/0/2 10.0.2.202 10.0.2.203 -
データパスにvSRX仮想ファイアウォールを含めるように隣接するルーターを設定し、vSRX仮想ファイアウォールをトラフィックのネクストホップとしてマークします。Elastic IP アドレスを使用してルートを設定できます。たとえば、10.0.2.203 アドレスが Elastic IP アドレスの場合、コマンド
sudo ip route x.x.x.x/x dev ens6 via 10.0.2.203を使用します。
構成
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
これらの構成は、ラボ環境から取得したものであり、参照用としてのみ提供されています。実際の構成は、環境の特定の要件によって異なる場合があります。
vSRX仮想ファイアウォール-1について
set chassis high-availability local-id 1 set chassis high-availability local-id local-ip 10.0.3.10 set chassis high-availability peer-id 2 peer-ip 10.0.3.11 set chassis high-availability peer-id 2 interface ge-0/0/0.0 set chassis high-availability peer-id 2 liveness-detection minimum-interval 400 set chassis high-availability peer-id 2 liveness-detection multiplier 5 set chassis high-availability services-redundancy-group 1 deployment-type cloud set chassis high-availability services-redundancy-group 1 peer-id 2 set chassis high-availability services-redundancy-group 1 preemption set chassis high-availability services-redundancy-group 1 activeness-priority 200 set security policies default-policy permit-all set security zones security-zone fab host-inbound-traffic system-services all set security zones security-zone fab host-inbound-traffic protocols all set security zones security-zone fab interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/2.0 set security cloud high-availability aws eip-based set security cloud high-availability aws peer-liveliness probe-ip 10.0.1.102 set security cloud high-availability aws peer-liveliness probe-ip routing-instance s1-router set interfaces ge-0/0/0 mtu 9192 set interfaces ge-0/0/0 unit 0 family inet address 10.0.3.10/24 set interfaces ge-0/0/1 mtu 9192 set interfaces ge-0/0/1 unit 0 family inet address 10.0.1.101/24 primary set interfaces ge-0/0/1 unit 0 family inet address 10.0.1.103/24 set interfaces ge-0/0/2 mtu 9192 set interfaces ge-0/0/2 unit 0 family inet address 10.0.2.201/24 primary set interfaces ge-0/0/2 unit 0 family inet address 10.0.2.203/24 set routing-instances s1-router instance-type virtual-router set routing-instances s1-router routing-options static route 0.0.0.0/0 next-hop 10.0.1.1 set routing-instances s1-router interface ge-0/0/1.0 set routing-instances s1-router interface ge-0/0/2.0
vSRX仮想ファイアウォール-2について
set chassis high-availability local-id 2 set chassis high-availability local-id local-ip 10.0.3.11 set chassis high-availability peer-id 1 peer-ip 10.0.3.10 set chassis high-availability peer-id 1 interface ge-0/0/0.0 set chassis high-availability peer-id 1 liveness-detection minimum-interval 400 set chassis high-availability peer-id 1 liveness-detection multiplier 5 set chassis high-availability services-redundancy-group 1 deployment-type cloud set chassis high-availability services-redundancy-group 1 peer-id 1 set chassis high-availability services-redundancy-group 1 preemption set chassis high-availability services-redundancy-group 1 activeness-priority 100 set security policies default-policy permit-all set security zones security-zone fab host-inbound-traffic system-services all set security zones security-zone fab host-inbound-traffic protocols all set security zones security-zone fab interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/2.0 set security cloud high-availability aws eip-based set security cloud high-availability aws peer-liveliness probe-ip 10.0.1.101 set security cloud high-availability aws peer-liveliness probe-ip routing-instance s1-router set interfaces ge-0/0/0 mtu 9192 set interfaces ge-0/0/0 unit 0 family inet address 10.0.3.11/24 set interfaces ge-0/0/1 mtu 9192 set interfaces ge-0/0/1 unit 0 family inet address 10.0.1.102/24 primary set interfaces ge-0/0/1 unit 0 family inet address 10.0.1.103/24 set interfaces ge-0/0/2 mtu 9192 set interfaces ge-0/0/2 unit 0 family inet address 10.0.2.202/24 primary set interfaces ge-0/0/2 unit 0 family inet address 10.0.2.203/24 set routing-instances s1-router instance-type virtual-router set routing-instances s1-router routing-options static route 0.0.0.0/0 next-hop 10.0.1.1 set routing-instances s1-router interface ge-0/0/1.0 set routing-instances s1-router interface ge-0/0/2.0
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの 設定モードにおけるCLIエディターの使用を参照してください。
-
ge-0/0/0をICLのインターフェイスとして設定します
[edit] user@host# set interfaces ge-0/0/0 mtu 9192 user@host# set interfaces ge-0/0/0 unit 0 family inet address 10.0.3.11/24
- 内部トラフィックと外部トラフィックのインターフェイスを設定します。
[edit] user@host# set interfaces ge-0/0/1 mtu 9192 user@host# set interfaces ge-0/0/1 unit 0 family inet address 10.0.1.102/24 primary user@host# set interfaces ge-0/0/1 unit 0 family inet address 10.0.1.103/24 user@host# set interfaces ge-0/0/2 mtu 9192 user@host# set interfaces ge-0/0/2 unit 0 family inet address 10.0.2.202/24 primary user@host# set interfaces ge-0/0/2 unit 0 family inet address 10.0.2.203/24
ge-0/0/1 と ge-0/0/2 に割り当てられたセカンダリ IP アドレスを Elastic IP アドレスとして使用します。
-
セキュリティ ゾーンを設定し、ゾーンにインターフェイスを割り当て、セキュリティ ゾーンで許可されたシステム サービスを指定します。
[edit] user@host# set security zones security-zone fab host-inbound-traffic system-services all user@host# set security zones security-zone fab host-inbound-traffic protocols all user@host# set security zones security-zone fab interfaces ge-0/0/0.0 user@host# set security zones security-zone untrust host-inbound-traffic system-services all user@host# set security zones security-zone untrust host-inbound-traffic protocols all user@host# set security zones security-zone untrust interfaces ge-0/0/1.0 user@host# set security zones security-zone trust host-inbound-traffic system-services all user@host# set security zones security-zone trust host-inbound-traffic protocols all user@host# set security zones security-zone trust interfaces ge-0/0/2.0
-
ルーティングオプションを設定します。
[edit] user@host# set routing-instances s1-router instance-type virtual-router user@host# set routing-instances s1-router routing-options static route 0.0.0.0/0 next-hop 10.0.1.1 user@host# set routing-instances s1-router interface ge-0/0/1.0 user@host# set routing-instances s1-router interface ge-0/0/2.0
ここでは、管理トラフィックと収益トラフィックを分離するために、別のルーティング インスタンスタイプの
virtual routerが必要になります。 -
ローカルノードとピアノードの詳細を設定します。
[edit] user@host# set chassis high-availability local-id 1 user@host# set chassis high-availability local-id local-ip 10.0.3.10 user@host# set chassis high-availability peer-id 2 peer-ip 10.0.3.11
-
インターフェイス監視のためにインターフェイスをピアノードに関連付け、活性検出の詳細を設定します。
[edit] user@host# set chassis high-availability peer-id 2 interface ge-0/0/0.0 user@host# set chassis high-availability peer-id 2 liveness-detection minimum-interval 400 user@host# set chassis high-availability peer-id 2 liveness-detection multiplier 5
-
導入タイプとしてクラウドでSRG1を設定し、IDを割り当てて、プリエンプションとアクティブ性の優先度を設定します。
[edit] user@host# set chassis high-availability services-redundancy-group 1 deployment-type cloud user@host# set chassis high-availability services-redundancy-group 1 peer-id 2 user@host# set chassis high-availability services-redundancy-group 1 preemption user@host# set chassis high-availability services-redundancy-group 1 activeness-priority 200
-
AWS デプロイ関連のオプションを設定します。たとえば、サービスタイプとして eip-based を指定し、AWS ピアの活性などの監視オプションも設定します。
[edit] user@host# set security cloud high-availability aws eip-based user@host# set security cloud high-availability aws peer-liveliness probe-ip 10.0.1.101 user@host# set security cloud high-availability aws peer-liveliness probe-ip routing-instance s1-router
VMXNET3 vNICを使用するVMWare ESXi環境のvSRX仮想ファイアウォールインスタンスのマルチノード高可用性では、仮想MACアドレスの設定は、次のステートメントではサポートされていません。
[set chassis high-availability services-redundancy-group <number> virtual-ip <id> use-virtual-mac
業績
vSRX仮想ファイアウォール-1
設定モードから、以下のコマンドを入力して設定を確認します。
出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show chassis high-availability
local-id 1 local-ip 10.0.3.10;
peer-id 2 {
peer-ip 10.0.3.11;
interface ge-0/0/0.0;
liveness-detection {
minimum-interval 400;
multiplier 5;
}
}
services-redundancy-group 1 {
deployment-type cloud;
peer-id {
2;
}
preemption;
activeness-priority 200;
}
[edit]
user@host# show routing-instances
s1-router {
instance-type virtual-router;
routing-options {
static {
route 0.0.0.0/0 next-hop 10.0.1.1;
}
}
interface ge-0/0/1.0;
interface ge-0/0/2.0;
}
[edit]
user@host# show security zones security-zone
security-zone fab {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/2.0;
}
}
[edit]
user@host# show interfaces
ge-0/0/0 {
mtu 9192;
unit 0 {
family inet {
address 10.0.3.10/24;
}
}
}
ge-0/0/1 {
mtu 9192;
unit 0 {
family inet {
address 10.0.1.101/24 {
primary;
}
address 10.0.1.103/24;
}
}
}
ge-0/0/2 {
mtu 9192;
unit 0 {
family inet {
address 10.0.2.201/24 {
primary;
}
address 10.0.2.203/24;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
vSRX仮想ファイアウォール-2
設定モードから、以下のコマンドを入力して設定を確認します。
出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show chassis high-availability
local-id 2 local-ip 10.0.3.11;
peer-id 1 {
peer-ip 10.0.3.10;
interface ge-0/0/0.0;
liveness-detection {
minimum-interval 400;
multiplier 5;
}
}
services-redundancy-group 1 {
deployment-type cloud;
peer-id {
1;
}
preemption;
activeness-priority 100;
}
[edit]
user@host# show routing-instances
s1-router {
instance-type virtual-router;
routing-options {
static {
route 0.0.0.0/0 next-hop 10.0.1.1;
}
}
interface ge-0/0/1.0;
interface ge-0/0/2.0;
}
[edit]
user@host# show security zones
security-zone fab {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/2.0;
}
}
[edit]
user@host# show interfaces
ge-0/0/0 {
mtu 9192;
unit 0 {
family inet {
address 10.0.3.11/24;
}
}
}
ge-0/0/1 {
mtu 9192;
unit 0 {
family inet {
address 10.0.1.102/24 {
primary;
}
address 10.0.1.103/24;
}
}
}
ge-0/0/2 {
mtu 9192;
unit 0 {
family inet {
address 10.0.2.202/24 {
primary;
}
address 10.0.2.203/24;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
- マルチノード高可用性の詳細を確認する
- AWSでマルチノード高可用性情報を確認する
- マルチノード高可用性ピアノードステータスの確認
- マルチノード高可用性SRGの確認
- フェイルオーバー前後のマルチノード高可用性ステータスの確認
マルチノード高可用性の詳細を確認する
目的
vSRX仮想ファイアウォールインスタンス上に設定されたマルチノード高可用性設定の詳細を表示および確認します。
アクション
動作モードから、次のコマンドを実行します。
vSRX仮想ファイアウォール-1
user@host> show chassis high-availability information
Node failure codes:
HW Hardware monitoring LB Loopback monitoring
MB Mbuf monitoring SP SPU monitoring
CS Cold Sync monitoring SU Software Upgrade
Node Status: ONLINE
Local-id: 1
Local-IP: 10.0.3.10
HA Peer Information:
Peer Id: 2 IP address: 10.0.3.11 Interface: ge-0/0/0.0
Routing Instance: default
Encrypted: NO Conn State: UP
Cold Sync Status: COMPLETE
SRG failure event codes:
BF BFD monitoring
IP IP monitoring
IF Interface monitoring
CP Control Plane monitoring
Services Redundancy Group: 1
Deployment Type: CLOUD
Status: ACTIVE
Activeness Priority: 200
Preemption: ENABLED
Process Packet In Backup State: NO
Control Plane State: READY
System Integrity Check: N/A
Failure Events: NONE
Peer Information:
Peer Id: 2
Status : BACKUP
Health Status: HEALTHY
Failover Readiness: NOT READY
vSRX仮想ファイアウォール-2
user@host> show chassis high-availability information
Node failure codes:
HW Hardware monitoring LB Loopback monitoring
MB Mbuf monitoring SP SPU monitoring
CS Cold Sync monitoring SU Software Upgrade
Node Status: ONLINE
Local-id: 2
Local-IP: 10.0.3.11
HA Peer Information:
Peer Id: 1 IP address: 10.0.3.10 Interface: ge-0/0/0.0
Routing Instance: default
Encrypted: NO Conn State: UP
Cold Sync Status: COMPLETE
SRG failure event codes:
BF BFD monitoring
IP IP monitoring
IF Interface monitoring
CP Control Plane monitoring
Services Redundancy Group: 1
Deployment Type: CLOUD
Status: BACKUP
Activeness Priority: 100
Preemption: ENABLED
Process Packet In Backup State: NO
Control Plane State: NOT READY
System Integrity Check: COMPLETE
Failure Events: NONE
Peer Information:
Peer Id: 1
Status : ACTIVE
Health Status: HEALTHY
Failover Readiness: N/A
意味
コマンド出力から次の詳細を確認します。
-
IPアドレスやIDなどのローカルノードとピアノードの詳細。
-
フィールド
Deployment Type: CLOUDは、設定がクラウド展開用であることを示しています。 -
フィールド
Services Redundancy Group: 1は、そのノードの SRG1 のステータス(ACTIVE または BACKUP)を示します。
AWSでマルチノード高可用性情報を確認する
目的
マルチノード高可用性がAWSクラウドにデプロイされているかどうかを確認します。
アクション
動作モードから、次のコマンドを実行します。
user@host> show security cloud high-availability information
Cloud HA Information:
Cloud Type Cloud Service Type Cloud Service Status
AWS EIP Bind to Local Node
意味
コマンド出力から次の詳細を確認します。
-
フィールド
Cloud Type: AWSは、デプロイが AWS 用であることを示します。 -
フィールド
Cloud Service Type: EIPは、AWSデプロイメントがEIPサービスタイプ(Elastic IPアドレス用)を使用してトラフィックを制御することを示しています。 フィールド
.Cloud Service Status: Bind to Local Nodeは、ローカルノードへの Elastic IP アドレスのバインドを示します。バックアップノードの場合、このフィールドにはBind to Peer Nodeが表示されます。
マルチノード高可用性ピアノードステータスの確認
目的
マルチノード高可用性ピアノードのステータスを確認します。
アクション
動作モードから、次のコマンドを実行します。
vSRX仮想ファイアウォール-1
user@host> show chassis high-availability peer-info
HA Peer Information:
Peer-ID: 2 IP address: 10.0.3.11 Interface: ge-0/0/0.0
Routing Instance: default
Encrypted: NO Conn State: UP
Cold Sync Status: COMPLETE
Internal Interface: N/A
Internal Local-IP: N/A
Internal Peer-IP: N/A
Internal Routing-instance: N/A
Packet Statistics:
Receive Error : 0 Send Error : 0
Packet-type Sent Received
SRG Status Msg 7 6
SRG Status Ack 6 7
Attribute Msg 2 1
Attribute Ack 1 1
vSRX仮想ファイアウォール-2
user@host> show chassis high-availability peer-info
HA Peer Information:
Peer-ID: 1 IP address: 10.0.3.10 Interface: ge-0/0/0.0
Routing Instance: default
Encrypted: NO Conn State: UP
Cold Sync Status: COMPLETE
Internal Interface: N/A
Internal Local-IP: N/A
Internal Peer-IP: N/A
Internal Routing-instance: N/A
Packet Statistics:
Receive Error : 0 Send Error : 0
Packet-type Sent Received
SRG Status Msg 9 9
SRG Status Ack 9 9
Attribute Msg 3 2
Attribute Ack 2 2
意味
コマンド出力から次の詳細を確認します。
-
ID、IPアドレス、インターフェイスなどのピアノードの詳細。
-
ノード全体のパケット統計情報。
マルチノード高可用性SRGの確認
目的
マルチノード高可用性でSRGの詳細を表示および確認します。
アクション
動作モードから、次のコマンドを実行します。
user@host> show chassis high-availability services-redundancy-group 1
SRG failure event codes:
BF BFD monitoring
IP IP monitoring
IF Interface monitoring
CP Control Plane monitoring
Services Redundancy Group: 1
Deployment Type: CLOUD
Status: ACTIVE
Activeness Priority: 200
Preemption: ENABLED
Process Packet In Backup State: NO
Control Plane State: READY
System Integrity Check: N/A
Failure Events: NONE
Peer Information:
Peer Id: 2
Status : BACKUP
Health Status: HEALTHY
Failover Readiness: READY
Split-brain Prevention Probe Info:
DST-IP: 10.0.1.102
SRC-IP: 0.0.0.0
Routing Instance: s1-router
Status: NOT RUNNING
Result: N/A Reason: N/A
意味
コマンド出力から次の詳細を確認します。
-
SRG では、このような導入タイプについて詳しく説明しています。フィールド
Status: ACTIVEは、特定の SRG1 がアクティブなロールであることを示します。また、出力でアクティブ、優先度、プリエンプション状態を表示することもできます。 -
ピア ノードの詳細。
-
スプリットブレイン防止プローブの詳細。
フェイルオーバー前後のマルチノード高可用性ステータスの確認
目的
マルチノード高可用性設定のフェイルオーバー前後のノードステータスの変化を確認します。
アクション
バックアップノード(SRX-2)のマルチノード高可用性ステータスを確認します。
動作モードから、次のコマンドを実行します。
user@host> show chassis high-availability information
Node failure codes:
HW Hardware monitoring LB Loopback monitoring
MB Mbuf monitoring SP SPU monitoring
CS Cold Sync monitoring SU Software Upgrade
Node Status: ONLINE
Local-id: 2
Local-IP: 10.0.3.11
HA Peer Information:
Peer Id: 1 IP address: 10.0.3.10 Interface: ge-0/0/0.0
Routing Instance: default
Encrypted: NO Conn State: UP
Cold Sync Status: COMPLETE
SRG failure event codes:
BF BFD monitoring
IP IP monitoring
IF Interface monitoring
CP Control Plane monitoring
Services Redundancy Group: 1
Deployment Type: CLOUD
Status: BACKUP
Activeness Priority: 100
Preemption: ENABLED
Process Packet In Backup State: NO
Control Plane State: NOT READY
System Integrity Check: COMPLETE
Failure Events: NONE
Peer Information:
Peer Id: 1
Status : ACTIVE
Health Status: HEALTHY
Failover Readiness: N/A
意味
Services Redundancy Group: 1セクションで、Status: BACKUPを確認できます。このフィールドは、SRG-1 がバックアップ モードであることを示します。
アクション
アクティブノード(vSRX仮想ファイアウォール-1)でフェイルオーバーを開始し、バックアップノード(vSRX仮想ファイアウォール-2)でコマンドを再度実行します。
user@host> show chassis high-availability information
Node failure codes:
HW Hardware monitoring LB Loopback monitoring
MB Mbuf monitoring SP SPU monitoring
CS Cold Sync monitoring SU Software Upgrade
Node Status: ONLINE
Local-id: 2
Local-IP: 10.0.3.11
HA Peer Information:
Peer Id: 1 IP address: 10.0.3.10 Interface: ge-0/0/0.0
Routing Instance: default
Encrypted: NO Conn State: UP
Cold Sync Status: COMPLETE
SRG failure event codes:
BF BFD monitoring
IP IP monitoring
IF Interface monitoring
CP Control Plane monitoring
Services Redundancy Group: 1
Deployment Type: CLOUD
Status: ACTIVE
Activeness Priority: 100
Preemption: ENABLED
Process Packet In Backup State: NO
Control Plane State: READY
System Integrity Check: N/A
Failure Events: NONE
Peer Information:
Peer Id: 1
Status : BACKUP
Health Status: HEALTHY
Failover Readiness: NOT READY
意味
Services Redundancy Group: 1セクションで、SRG1のステータスがBACKUPからACTIVEに変わります。フィールド値の変化は、ノードがアクティブ ロールに移行し、他のノード(以前はアクティブだった)がバックアップ ロールに移行したことを示します。他のノードのステータスは、BACKUPを示すPeer Informationオプションで確認できます。