AWSデプロイメントにおけるマルチノード高可用性
概要 このトピックを読んで、Amazon Web Services(AWS)導入におけるvSRX仮想ファイアウォールインスタンスのマルチノード高可用性サポートについて理解してください。
AWS のマルチノード高可用性
マルチノード高可用性は、AWSに導入されているvSRX仮想ファイアウォールファイアウォールで設定できます。参加ノードは、アクティブなコントロール プレーンとデータ プレーンの両方を同時に実行し、システムやハードウェアの障害発生時にノードが相互にバックアップすることで、高速同期フェイルオーバーを実現します。2つのデバイス間のシャーシ間リンク(ICL)接続は、状態情報を同期して維持し、デバイスのフェイルオーバーシナリオを処理します。
まず、AWS デプロイに固有のマルチノード高可用性の条件を理解しましょう。
用語
用語 | の説明 |
---|---|
エラスティック IP アドレス |
指定したネットワークまたはインターネットからルーティング可能なパブリック IPv4 アドレス。Elastic IP アドレスは、マルチノード高可用性セットアップの任意のノードのインターフェイスに動的にバインドされます。常に、これらのアドレスは 1 つのインターフェイスにのみバインドされ、同じノードにもバインドされます。マルチノード高可用性セットアップでは、Elastic IP アドレスを使用して AWS デプロイのトラフィックを制御します。Elastic IP アドレスは、レイヤー 3 展開のフローティング IP アドレスやデフォルトゲートウェイ展開の仮想 IP アドレスと同様に動作します。アクティブな SRG1 を持つノードは、Elastic IP アドレスを所有し、トラフィックをそのアドレスに引き寄せます。 |
シャーシ間リンク(ICL) |
マルチノード高可用性システムでルーティングされたネットワークを介してノードを接続する IP ベースのリンク(論理リンク)。セキュリティ デバイスは、ICL を使用して状態情報を同期および維持し、デバイスのフェールオーバー シナリオを処理します。ICLを設定するには、ge-0/0/0インターフェイスのみを使用できます。ICLは、AWSによって割り当てられたMACアドレスを使用します(vSRX仮想ファイアウォールによって作成された仮想MACではありません)。ICL を設定するときは、IP アドレスが仮想プライベートクラウド (VPC) のサブネットであることを確認します。マルチボードの高可用性は、クロス VPC デプロイをサポートしていないことに注意してください |
Juniper Services Redundancy Protocol(jsrpd)プロセス | アクティブ性の決定と実施を管理し、スプリットブレイン保護を提供するプロセス。 |
AWSデプロイでは、マルチノード高可用性のためのIPsec VPNはサポートされていません。
アーキテクチャ
図1 は、AWSのマルチノード高可用性導入において、2つのvSRX仮想ファイアウォールインスタンスがHAペアを形成していることを示しています。1つのvSRX仮想ファイアウォールインスタンスはアクティブノードとして機能し、もう1つはバックアップノードとして機能します。
マルチノード高可用性設定では、ICLが2つのノード(vSRX仮想ファイアウォールインスタンス)を接続し、コントロールプレーンとデータプレーンの状態を同期させます。
マルチノード高可用性設定では、2つのvSRX仮想ファイアウォールインスタンスがアクティブ/バックアップモードで動作しています。両方のノードは、コントロール プレーンとデータ プレーンの状態を同期させるために ICL を使用して相互に接続します。SRG1がアクティブなvSRX仮想ファイアウォールインスタンスは、Elastic IPアドレスをホストします。アクティブノードは、Elastic IP アドレスを使用してトラフィックをアクティブノードに誘導します。バックアップノードはスタンバイモードのままで、フェイルオーバー時に引き継ぎます。
Juniper Services Redundancy Protocol(jsrpd)プロセスは、AWS インフラストラクチャと通信して、アクティブ性の判断と適用を実行し、スプリットブレイン保護を提供します。
フェイルオーバー中、AWS SDK API をトリガーすることで、Elastic IP アドレスが古いアクティブノードから新しいアクティブノードに移動し、トラフィックを新しいアクティブノードに引き寄せます。AWS はルートテーブルを更新して、トラフィックを新しいアクティブノードに迂回させます。このメカニズムにより、クライアントは単一の IP アドレスを使用してノードと通信できます。参加しているネットワーク/セグメントに接続するインターフェイスで Elastic IP アドレスを設定します。
スプリットブレイン保護
2 つのノード間の ICL がダウンすると、各ノードはプローブを使用してピア ノードのインターフェイス IP アドレスへの ping を開始します。ピアノードが正常な場合、ピアノードはプローブに応答します。それ以外の場合、jsrpd プロセスは AWS インフラストラクチャと通信して、正常なノードにアクティブなロールを適用します。
例: AWS デプロイでのマルチノード高可用性の設定
この例では、Amazon VPC(Amazon VPC)の2つのvSRX仮想ファイアウォールインスタンスでマルチノード高可用性を設定する方法を説明します。
要件
この例では、次のコンポーネントを使用しています。
-
2つのvSRX仮想ファイアウォールインスタンス
-
Junos OSリリース22.3R1
-
アマゾン ウェブ サービス (AWS) アカウントと ID およびアクセス管理 (IAM) ロールで、Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Simple Storage Service (S3)、Amazon Virtual Private Cloud (Amazon VPC) オブジェクトへのアクセス、作成、変更、削除に必要なすべてのアクセス許可を持つ。詳細については 、 vSRX向けAmazon仮想プライベートクラウドを構成する を参照してください。
-
関連付けられたインターネットゲートウェイ、サブネット、ルートテーブル、およびセキュリティグループで設定された Amazon VPC。 「Amazon Virtual Private Cloud for vSRX の設定」を参照してください。
-
Amazon VPC で起動および設定された vSRX 仮想ファイアウォールインスタンス。 Amazon 仮想プライベートクラウドでの vSRX インスタンスの起動を参照してください。
トポロジ
図 2 に、この例で使用するトポロジを示します。
トポロジーに示すように、2つのvSRX仮想ファイアウォールインスタンス(vSRX仮想ファイアウォール-1およびvSRX仮想ファイアウォール-2)がAmazon VPCに展開されます。ノードは、ルーティング可能な IP アドレス (Elastic IP アドレス) を使用して相互に通信します。信頼されていない側はパブリック ネットワークに接続し、信頼側は保護されたリソースに接続します。
vSRX仮想ファイアウォールインスタンスでマルチノード高可用性を設定する前に、以下の設定を完了してください。
-
AWSでインスタンスタグを使用して、2つのvSRX仮想ファイアウォールインスタンスをマルチノード高可用性ピアとして識別します。例えば、1つのピアの名前として vsrx-node-1 を使用し(名前 オプション)、HA ピアとして vsrx-node-2 を使用できます(ha-peer オプション)。
- 両方のvSRX仮想ファイアウォールインスタンスを同じAmazon VPCとアベイラビリティーゾーンにデプロイします。
- 両方の vSRX 仮想ファイアウォールインスタンスに IAM ロールを割り当て、完全な権限を持つ Amazon Elastic Compute Cloud (EC2) インスタンスとして vSRX 仮想ファイアウォールインスタンスを起動します。
- パブリックサブネットにvSRX仮想ファイアウォールインスタンスを配置して、インターネットへの通信を有効にします。Amazon VPC では、パブリックサブネットはインターネットゲートウェイにアクセスできます。
- 高可用性ペアをホストする複数のサブネットを持つ VPC を設定します。サブネットは、論理接続(ポートを接続する物理ケーブルと同様)を使用して 2 つの vSRX 仮想ファイアウォールノードを接続するために使用されます。この例では、VPC の CIDR を 10.0.0.0/16 と定義し、vSRX 仮想ファイアウォールのトラフィックをホストするサブネットを合計 4 つ作成しました。両方のvSRX仮想ファイアウォールインスタンスに対して、少なくとも4つのインターフェイスが必要です。 表 1 に、サブネットとインターフェイスの詳細を示します。
表 1: サブネットの構成 機能 ポート番号 インターフェイス 接続 トラフィックタイプ サブネット 管理 0 fxp0: 管理インターフェイス 管理トラフィック 10.0.254.0/24 Icl 1 ge-0/0/0 ピアノードへのICL RTO、同期、プローブ関連のトラフィック 10.0.253.0/24 公共 2 ge-0/0/1 パブリック ネットワークに接続します。(収益インターフェース) 外部トラフィック 10.0.1.0/24 プライベート 3 ge-0/0/2 プライベートネットワークに接続します。(収益インターフェース) 内部トラフィック 10.0.2.0/24 なお、表に記載されている機能とのインターフェイスマッピングは、デフォルト設定用です。構成で同じマッピングを使用することをお勧めします。
- プライマリおよびセカンダリIPアドレスでインターフェイスを設定します。Elastic IP アドレスをインターフェイスのセカンダリ IP アドレスとして割り当てることができます。インスタンスの起動時にプライマリ IP アドレスが必要です。セカンダリIPアドレスは、フェイルオーバー中に1つのvSRX仮想ファイアウォールノードから別のノードに転送可能です。 表 2 に、この例で使用するインターフェイスと IP アドレスのマッピングを示します。
表 2: インターフェイスと IP アドレスのマッピング インスタンス インターフェイス のプライマリIPアドレス セカンダリIPアドレス(エラスティックIPアドレス) vSRX仮想ファイアウォール-1 ge-0/0/1 10.0.1.101 10.0.1.103 ge-0/0/2 10.0.2.201 10.0.2.203 vSRX仮想ファイアウォール-2 ge-0/0/1 10.0.1.102 10.0.1.103 ge-0/0/2 10.0.2.202 10.0.2.203 -
データパスにvSRX仮想ファイアウォールを含めるように隣接ルーターを設定し、トラフィックのネクストホップとしてvSRX仮想ファイアウォールをマークします。Elastic IP アドレスを使用してルートを設定できます。たとえば、10.0.2.203 アドレスが Elastic IP アドレスである コマンド
sudo ip route x.x.x.x/x dev ens6 via 10.0.2.203
を使用します。
構成
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルでCLI [edit]
にコピーアンドペーストして、設定モードから を入力します commit
。
これらの構成はラボ環境からキャプチャされ、参照のみを目的として提供されています。実際の構成は、環境の特定の要件によって異なる場合があります。
vSRX仮想ファイアウォール-1について
set chassis high-availability local-id 1 set chassis high-availability local-id local-ip 10.0.3.10 set chassis high-availability peer-id 2 peer-ip 10.0.3.11 set chassis high-availability peer-id 2 interface ge-0/0/0.0 set chassis high-availability peer-id 2 liveness-detection minimum-interval 400 set chassis high-availability peer-id 2 liveness-detection multiplier 5 set chassis high-availability services-redundancy-group 1 deployment-type cloud set chassis high-availability services-redundancy-group 1 peer-id 2 set chassis high-availability services-redundancy-group 1 preemption set chassis high-availability services-redundancy-group 1 activeness-priority 200 set security policies default-policy permit-all set security zones security-zone fab host-inbound-traffic system-services all set security zones security-zone fab host-inbound-traffic protocols all set security zones security-zone fab interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/2.0 set security cloud high-availability aws eip-based set security cloud high-availability aws peer-liveliness probe-ip 10.0.1.102 set security cloud high-availability aws peer-liveliness probe-ip routing-instance s1-router set interfaces ge-0/0/0 mtu 9192 set interfaces ge-0/0/0 unit 0 family inet address 10.0.3.10/24 set interfaces ge-0/0/1 mtu 9192 set interfaces ge-0/0/1 unit 0 family inet address 10.0.1.101/24 primary set interfaces ge-0/0/1 unit 0 family inet address 10.0.1.103/24 set interfaces ge-0/0/2 mtu 9192 set interfaces ge-0/0/2 unit 0 family inet address 10.0.2.201/24 primary set interfaces ge-0/0/2 unit 0 family inet address 10.0.2.203/24 set routing-instances s1-router instance-type virtual-router set routing-instances s1-router routing-options static route 0.0.0.0/0 next-hop 10.0.1.1 set routing-instances s1-router interface ge-0/0/1.0 set routing-instances s1-router interface ge-0/0/2.0
vSRX仮想ファイアウォール-2について
set chassis high-availability local-id 2 set chassis high-availability local-id local-ip 10.0.3.11 set chassis high-availability peer-id 1 peer-ip 10.0.3.10 set chassis high-availability peer-id 1 interface ge-0/0/0.0 set chassis high-availability peer-id 1 liveness-detection minimum-interval 400 set chassis high-availability peer-id 1 liveness-detection multiplier 5 set chassis high-availability services-redundancy-group 1 deployment-type cloud set chassis high-availability services-redundancy-group 1 peer-id 1 set chassis high-availability services-redundancy-group 1 preemption set chassis high-availability services-redundancy-group 1 activeness-priority 100 set security policies default-policy permit-all set security zones security-zone fab host-inbound-traffic system-services all set security zones security-zone fab host-inbound-traffic protocols all set security zones security-zone fab interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/2.0 set security cloud high-availability aws eip-based set security cloud high-availability aws peer-liveliness probe-ip 10.0.1.101 set security cloud high-availability aws peer-liveliness probe-ip routing-instance s1-router set interfaces ge-0/0/0 mtu 9192 set interfaces ge-0/0/0 unit 0 family inet address 10.0.3.11/24 set interfaces ge-0/0/1 mtu 9192 set interfaces ge-0/0/1 unit 0 family inet address 10.0.1.102/24 primary set interfaces ge-0/0/1 unit 0 family inet address 10.0.1.103/24 set interfaces ge-0/0/2 mtu 9192 set interfaces ge-0/0/2 unit 0 family inet address 10.0.2.202/24 primary set interfaces ge-0/0/2 unit 0 family inet address 10.0.2.203/24 set routing-instances s1-router instance-type virtual-router set routing-instances s1-router routing-options static route 0.0.0.0/0 next-hop 10.0.1.1 set routing-instances s1-router interface ge-0/0/1.0 set routing-instances s1-router interface ge-0/0/2.0
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 CLIユーザー ガイドの 設定モードでのCLIエディターの使用を参照してください。
-
ICL のインターフェイスとして ge-0/0/0 を設定します。
[edit] user@host# set interfaces ge-0/0/0 mtu 9192 user@host# set interfaces ge-0/0/0 unit 0 family inet address 10.0.3.11/24
- 内部トラフィックと外部トラフィックのインターフェイスを設定します。
[edit] user@host# set interfaces ge-0/0/1 mtu 9192 user@host# set interfaces ge-0/0/1 unit 0 family inet address 10.0.1.102/24 primary user@host# set interfaces ge-0/0/1 unit 0 family inet address 10.0.1.103/24 user@host# set interfaces ge-0/0/2 mtu 9192 user@host# set interfaces ge-0/0/2 unit 0 family inet address 10.0.2.202/24 primary user@host# set interfaces ge-0/0/2 unit 0 family inet address 10.0.2.203/24
ge-0/0/1 と ge-0/0/2 に割り当てられたセカンダリ IP アドレスを Elastic IP アドレスとして使用します。
-
セキュリティ ゾーンの設定、ゾーンへのインターフェイスの割り当て、セキュリティ ゾーンで許可されるシステム サービスの指定を行います。
[edit] user@host# set security zones security-zone fab host-inbound-traffic system-services all user@host# set security zones security-zone fab host-inbound-traffic protocols all user@host# set security zones security-zone fab interfaces ge-0/0/0.0 user@host# set security zones security-zone untrust host-inbound-traffic system-services all user@host# set security zones security-zone untrust host-inbound-traffic protocols all user@host# set security zones security-zone untrust interfaces ge-0/0/1.0 user@host# set security zones security-zone trust host-inbound-traffic system-services all user@host# set security zones security-zone trust host-inbound-traffic protocols all user@host# set security zones security-zone trust interfaces ge-0/0/2.0
-
ルーティングオプションを設定します。
[edit] user@host# set routing-instances s1-router instance-type virtual-router user@host# set routing-instances s1-router routing-options static route 0.0.0.0/0 next-hop 10.0.1.1 user@host# set routing-instances s1-router interface ge-0/0/1.0 user@host# set routing-instances s1-router interface ge-0/0/2.0
ここでは、管理トラフィックと収益トラフィックを分離するために、個別のルーティングインスタンスタイプ
virtual router
が必要になります。 -
ローカルノードとピアノードの詳細を設定します。
[edit] user@host# set chassis high-availability local-id 1 user@host# set chassis high-availability local-id local-ip 10.0.3.10 user@host# set chassis high-availability peer-id 2 peer-ip 10.0.3.11
-
インターフェイスをピアノードに関連付けてインターフェイスを監視し、活性検出の詳細を設定します。
[edit] user@host# set chassis high-availability peer-id 2 interface ge-0/0/0.0 user@host# set chassis high-availability peer-id 2 liveness-detection minimum-interval 400 user@host# set chassis high-availability peer-id 2 liveness-detection multiplier 5
-
デプロイの種類をクラウドとして SRG1 を構成し、ID を割り当てて、プリエンプションとアクティブ性の優先順位を設定します。
[edit] user@host# set chassis high-availability services-redundancy-group 1 deployment-type cloud user@host# set chassis high-availability services-redundancy-group 1 peer-id 2 user@host# set chassis high-availability services-redundancy-group 1 preemption user@host# set chassis high-availability services-redundancy-group 1 activeness-priority 200
-
AWS デプロイ関連のオプションを設定します。たとえば、サービスタイプとして eip ベースを指定し、AWS ピアライブネスなどのモニタリングオプションも設定します。
[edit] user@host# set security cloud high-availability aws eip-based user@host# set security cloud high-availability aws peer-liveliness probe-ip 10.0.1.101 user@host# set security cloud high-availability aws peer-liveliness probe-ip routing-instance s1-router
VMXNET3 vNICを使用するVMWare ESXi環境におけるvSRX仮想ファイアウォールインスタンスのマルチノード高可用性では、仮想MACアドレスの設定は以下のステートメントではサポートされていません。
[set chassis high-availability services-redundancy-group <number> virtual-ip <id> use-virtual-mac
結果
vSRX仮想ファイアウォール-1
設定モードから、次のコマンドを入力して設定を確認します。
出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit] user@host# show chassis high-availability local-id 1 local-ip 10.0.3.10; peer-id 2 { peer-ip 10.0.3.11; interface ge-0/0/0.0; liveness-detection { minimum-interval 400; multiplier 5; } } services-redundancy-group 1 { deployment-type cloud; peer-id { 2; } preemption; activeness-priority 200; }
[edit] user@host# show routing-instances s1-router { instance-type virtual-router; routing-options { static { route 0.0.0.0/0 next-hop 10.0.1.1; } } interface ge-0/0/1.0; interface ge-0/0/2.0; }
[edit] user@host# show security zones security-zone security-zone fab { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/0.0; } } security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/1.0; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/2.0; } }
[edit] user@host# show interfaces ge-0/0/0 { mtu 9192; unit 0 { family inet { address 10.0.3.10/24; } } } ge-0/0/1 { mtu 9192; unit 0 { family inet { address 10.0.1.101/24 { primary; } address 10.0.1.103/24; } } } ge-0/0/2 { mtu 9192; unit 0 { family inet { address 10.0.2.201/24 { primary; } address 10.0.2.203/24; } } }
デバイスの設定が完了したら、設定モードから を入力します commit
。
vSRX仮想ファイアウォール-2
設定モードから、次のコマンドを入力して設定を確認します。
出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit] user@host# show chassis high-availability local-id 2 local-ip 10.0.3.11; peer-id 1 { peer-ip 10.0.3.10; interface ge-0/0/0.0; liveness-detection { minimum-interval 400; multiplier 5; } } services-redundancy-group 1 { deployment-type cloud; peer-id { 1; } preemption; activeness-priority 100; }
[edit] user@host# show routing-instances s1-router { instance-type virtual-router; routing-options { static { route 0.0.0.0/0 next-hop 10.0.1.1; } } interface ge-0/0/1.0; interface ge-0/0/2.0; }
[edit] user@host# show security zones security-zone fab { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/0.0; } } security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/1.0; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/2.0; } }
[edit] user@host# show interfaces ge-0/0/0 { mtu 9192; unit 0 { family inet { address 10.0.3.11/24; } } } ge-0/0/1 { mtu 9192; unit 0 { family inet { address 10.0.1.102/24 { primary; } address 10.0.1.103/24; } } } ge-0/0/2 { mtu 9192; unit 0 { family inet { address 10.0.2.202/24 { primary; } address 10.0.2.203/24; } } }
デバイスの設定が完了したら、設定モードから を入力します commit
。
検証
- マルチノード高可用性の詳細の確認
- AWSでマルチノード高可用性情報を確認する
- マルチノード高可用性ピアノードのステータスの確認
- マルチノード高可用性 SRG の確認
- フェールオーバー前後のマルチノードの高可用性ステータスの確認
マルチノード高可用性の詳細の確認
目的
vSRX仮想ファイアウォールインスタンスに設定されているマルチノード高可用性設定の詳細を表示および確認します。
アクション
動作モードから、次のコマンドを実行します。
vSRX仮想ファイアウォール-1
user@host> show chassis high-availability information Node failure codes: HW Hardware monitoring LB Loopback monitoring MB Mbuf monitoring SP SPU monitoring CS Cold Sync monitoring SU Software Upgrade Node Status: ONLINE Local-id: 1 Local-IP: 10.0.3.10 HA Peer Information: Peer Id: 2 IP address: 10.0.3.11 Interface: ge-0/0/0.0 Routing Instance: default Encrypted: NO Conn State: UP Cold Sync Status: COMPLETE SRG failure event codes: BF BFD monitoring IP IP monitoring IF Interface monitoring CP Control Plane monitoring Services Redundancy Group: 1 Deployment Type: CLOUD Status: ACTIVE Activeness Priority: 200 Preemption: ENABLED Process Packet In Backup State: NO Control Plane State: READY System Integrity Check: N/A Failure Events: NONE Peer Information: Peer Id: 2 Status : BACKUP Health Status: HEALTHY Failover Readiness: NOT READY
vSRX仮想ファイアウォール-2
user@host> show chassis high-availability information Node failure codes: HW Hardware monitoring LB Loopback monitoring MB Mbuf monitoring SP SPU monitoring CS Cold Sync monitoring SU Software Upgrade Node Status: ONLINE Local-id: 2 Local-IP: 10.0.3.11 HA Peer Information: Peer Id: 1 IP address: 10.0.3.10 Interface: ge-0/0/0.0 Routing Instance: default Encrypted: NO Conn State: UP Cold Sync Status: COMPLETE SRG failure event codes: BF BFD monitoring IP IP monitoring IF Interface monitoring CP Control Plane monitoring Services Redundancy Group: 1 Deployment Type: CLOUD Status: BACKUP Activeness Priority: 100 Preemption: ENABLED Process Packet In Backup State: NO Control Plane State: NOT READY System Integrity Check: COMPLETE Failure Events: NONE Peer Information: Peer Id: 1 Status : ACTIVE Health Status: HEALTHY Failover Readiness: N/A
意味
コマンド出力から次の詳細を確認します。
-
ローカルノードとピアノードの詳細(IPアドレス、IDなど)。
-
このフィールド
Deployment Type: CLOUD
は、構成がクラウド展開用であることを示します。 -
このフィールド
Services Redundancy Group: 1
は、そのノード上の SRG1 (アクティブまたはバックアップ) のステータスを示します。
AWSでマルチノード高可用性情報を確認する
目的
マルチノード高可用性が AWS クラウドにデプロイされているかどうかを確認します。
アクション
動作モードから、次のコマンドを実行します。
user@host> show security cloud high-availability information Cloud HA Information: Cloud Type Cloud Service Type Cloud Service Status AWS EIP Bind to Local Node
意味
コマンド出力から次の詳細を確認します。
-
このフィールド
Cloud Type: AWS
は、デプロイが AWS 用であることを示します。 -
このフィールド
Cloud Service Type: EIP
は、AWS デプロイが EIP サービスタイプ (Elastic IP アドレス) を使用してトラフィックを制御していることを示しています。 このフィールド
.Cloud Service Status: Bind to Local Node
は、Elastic IP アドレスのローカルノードへのバインディングを示します。バックアップ・ノードの場合、このフィールドには が表示されますBind to Peer Node
。
マルチノード高可用性ピアノードのステータスの確認
目的
マルチノード高可用性ピアノードのステータスを確認します。
アクション
動作モードから、次のコマンドを実行します。
vSRX仮想ファイアウォール-1
user@host> show chassis high-availability peer-info HA Peer Information: Peer-ID: 2 IP address: 10.0.3.11 Interface: ge-0/0/0.0 Routing Instance: default Encrypted: NO Conn State: UP Cold Sync Status: COMPLETE Internal Interface: N/A Internal Local-IP: N/A Internal Peer-IP: N/A Internal Routing-instance: N/A Packet Statistics: Receive Error : 0 Send Error : 0 Packet-type Sent Received SRG Status Msg 7 6 SRG Status Ack 6 7 Attribute Msg 2 1 Attribute Ack 1 1
vSRX仮想ファイアウォール-2
user@host> show chassis high-availability peer-info HA Peer Information: Peer-ID: 1 IP address: 10.0.3.10 Interface: ge-0/0/0.0 Routing Instance: default Encrypted: NO Conn State: UP Cold Sync Status: COMPLETE Internal Interface: N/A Internal Local-IP: N/A Internal Peer-IP: N/A Internal Routing-instance: N/A Packet Statistics: Receive Error : 0 Send Error : 0 Packet-type Sent Received SRG Status Msg 9 9 SRG Status Ack 9 9 Attribute Msg 3 2 Attribute Ack 2 2
意味
コマンド出力から次の詳細を確認します。
-
ID、IP アドレス、インターフェイスなどのピア ノードの詳細。
-
ノード全体のパケット統計情報。
マルチノード高可用性 SRG の確認
目的
マルチノード高可用性でSRGの詳細を表示および確認します。
アクション
動作モードから、次のコマンドを実行します。
user@host> show chassis high-availability services-redundancy-group 1 SRG failure event codes: BF BFD monitoring IP IP monitoring IF Interface monitoring CP Control Plane monitoring Services Redundancy Group: 1 Deployment Type: CLOUD Status: ACTIVE Activeness Priority: 200 Preemption: ENABLED Process Packet In Backup State: NO Control Plane State: READY System Integrity Check: N/A Failure Events: NONE Peer Information: Peer Id: 2 Status : BACKUP Health Status: HEALTHY Failover Readiness: READY Split-brain Prevention Probe Info: DST-IP: 10.0.1.102 SRC-IP: 0.0.0.0 Routing Instance: s1-router Status: NOT RUNNING Result: N/A Reason: N/A
意味
コマンド出力から次の詳細を確認します。
-
SRG では、このような展開の種類について詳しく説明しています。このフィールド
Status: ACTIVE
は、特定の SRG1 がアクティブ・ロールであることを示しています。また、出力でアクティブ、優先度、プリエンプション状態を表示することもできます。 -
ピア ノードの詳細。
-
スプリットブレイン予防プローブの詳細。
フェールオーバー前後のマルチノードの高可用性ステータスの確認
目的
マルチノード高可用性セットアップでのフェールオーバー前後のノード状態の変化を確認します。
アクション
バックアップノード(SRX-2)のマルチノード高可用性ステータスを確認します。
動作モードから、次のコマンドを実行します。
user@host> show chassis high-availability information Node failure codes: HW Hardware monitoring LB Loopback monitoring MB Mbuf monitoring SP SPU monitoring CS Cold Sync monitoring SU Software Upgrade Node Status: ONLINE Local-id: 2 Local-IP: 10.0.3.11 HA Peer Information: Peer Id: 1 IP address: 10.0.3.10 Interface: ge-0/0/0.0 Routing Instance: default Encrypted: NO Conn State: UP Cold Sync Status: COMPLETE SRG failure event codes: BF BFD monitoring IP IP monitoring IF Interface monitoring CP Control Plane monitoring Services Redundancy Group: 1 Deployment Type: CLOUD Status: BACKUP Activeness Priority: 100 Preemption: ENABLED Process Packet In Backup State: NO Control Plane State: NOT READY System Integrity Check: COMPLETE Failure Events: NONE Peer Information: Peer Id: 1 Status : ACTIVE Health Status: HEALTHY Failover Readiness: N/A
意味
Services Redundancy Group: 1
セクションではStatus: BACKUP
、.このフィールドは、SRG-1 がバックアップ モードであることを示します。
アクション
アクティブノード(vSRX仮想ファイアウォール-1)でフェイルオーバーを開始し、バックアップノード(vSRX仮想ファイアウォール-2)で再度コマンドを実行します。
user@host> show chassis high-availability information Node failure codes: HW Hardware monitoring LB Loopback monitoring MB Mbuf monitoring SP SPU monitoring CS Cold Sync monitoring SU Software Upgrade Node Status: ONLINE Local-id: 2 Local-IP: 10.0.3.11 HA Peer Information: Peer Id: 1 IP address: 10.0.3.10 Interface: ge-0/0/0.0 Routing Instance: default Encrypted: NO Conn State: UP Cold Sync Status: COMPLETE SRG failure event codes: BF BFD monitoring IP IP monitoring IF Interface monitoring CP Control Plane monitoring Services Redundancy Group: 1 Deployment Type: CLOUD Status: ACTIVE Activeness Priority: 100 Preemption: ENABLED Process Packet In Backup State: NO Control Plane State: READY System Integrity Check: N/A Failure Events: NONE Peer Information: Peer Id: 1 Status : BACKUP Health Status: HEALTHY Failover Readiness: NOT READY
意味
セクションで Services Redundancy Group: 1
、SRG1 のステータスが から BACKUP
ACTIVE
に変わります。フィールド値の変更は、ノードがアクティブ ロールに移行し、もう一方のノード (以前にアクティブ) がバックアップ ロールに移行したことを示します。他のノードのステータスは、 Peer Information
BACKUP
を示すオプションで確認できます。