Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

AWSデプロイメントにおけるマルチノード高可用性

概要 このトピックを読んで、Amazon Web Services(AWS)導入におけるvSRX仮想ファイアウォールインスタンスのマルチノード高可用性サポートについて理解してください。

AWS のマルチノード高可用性

マルチノード高可用性は、AWSに導入されているvSRX仮想ファイアウォールファイアウォールで設定できます。参加ノードは、アクティブなコントロール プレーンとデータ プレーンの両方を同時に実行し、システムやハードウェアの障害発生時にノードが相互にバックアップすることで、高速同期フェイルオーバーを実現します。2つのデバイス間のシャーシ間リンク(ICL)接続は、状態情報を同期して維持し、デバイスのフェイルオーバーシナリオを処理します。

まず、AWS デプロイに固有のマルチノード高可用性の条件を理解しましょう。

用語

用語 の説明

エラスティック IP アドレス

指定したネットワークまたはインターネットからルーティング可能なパブリック IPv4 アドレス。Elastic IP アドレスは、マルチノード高可用性セットアップの任意のノードのインターフェイスに動的にバインドされます。常に、これらのアドレスは 1 つのインターフェイスにのみバインドされ、同じノードにもバインドされます。マルチノード高可用性セットアップでは、Elastic IP アドレスを使用して AWS デプロイのトラフィックを制御します。Elastic IP アドレスは、レイヤー 3 展開のフローティング IP アドレスやデフォルトゲートウェイ展開の仮想 IP アドレスと同様に動作します。アクティブな SRG1 を持つノードは、Elastic IP アドレスを所有し、トラフィックをそのアドレスに引き寄せます。

シャーシ間リンク(ICL)

マルチノード高可用性システムでルーティングされたネットワークを介してノードを接続する IP ベースのリンク(論理リンク)。セキュリティ デバイスは、ICL を使用して状態情報を同期および維持し、デバイスのフェールオーバー シナリオを処理します。ICLを設定するには、ge-0/0/0インターフェイスのみを使用できます。ICLは、AWSによって割り当てられたMACアドレスを使用します(vSRX仮想ファイアウォールによって作成された仮想MACではありません)。ICL を設定するときは、IP アドレスが仮想プライベートクラウド (VPC) のサブネットであることを確認します。マルチボードの高可用性は、クロス VPC デプロイをサポートしていないことに注意してください
Juniper Services Redundancy Protocol(jsrpd)プロセス

アクティブ性の決定と実施を管理し、スプリットブレイン保護を提供するプロセス。

AWSデプロイでは、マルチノード高可用性のためのIPsec VPNはサポートされていません。

アーキテクチャ

図1 は、AWSのマルチノード高可用性導入において、2つのvSRX仮想ファイアウォールインスタンスがHAペアを形成していることを示しています。1つのvSRX仮想ファイアウォールインスタンスはアクティブノードとして機能し、もう1つはバックアップノードとして機能します。

図1:パブリッククラウドの展開 Public Cloud Deployment

マルチノード高可用性設定では、ICLが2つのノード(vSRX仮想ファイアウォールインスタンス)を接続し、コントロールプレーンとデータプレーンの状態を同期させます。

マルチノード高可用性設定では、2つのvSRX仮想ファイアウォールインスタンスがアクティブ/バックアップモードで動作しています。両方のノードは、コントロール プレーンとデータ プレーンの状態を同期させるために ICL を使用して相互に接続します。SRG1がアクティブなvSRX仮想ファイアウォールインスタンスは、Elastic IPアドレスをホストします。アクティブノードは、Elastic IP アドレスを使用してトラフィックをアクティブノードに誘導します。バックアップノードはスタンバイモードのままで、フェイルオーバー時に引き継ぎます。

Juniper Services Redundancy Protocol(jsrpd)プロセスは、AWS インフラストラクチャと通信して、アクティブ性の判断と適用を実行し、スプリットブレイン保護を提供します。

フェイルオーバー中、AWS SDK API をトリガーすることで、Elastic IP アドレスが古いアクティブノードから新しいアクティブノードに移動し、トラフィックを新しいアクティブノードに引き寄せます。AWS はルートテーブルを更新して、トラフィックを新しいアクティブノードに迂回させます。このメカニズムにより、クライアントは単一の IP アドレスを使用してノードと通信できます。参加しているネットワーク/セグメントに接続するインターフェイスで Elastic IP アドレスを設定します。

スプリットブレイン保護

2 つのノード間の ICL がダウンすると、各ノードはプローブを使用してピア ノードのインターフェイス IP アドレスへの ping を開始します。ピアノードが正常な場合、ピアノードはプローブに応答します。それ以外の場合、jsrpd プロセスは AWS インフラストラクチャと通信して、正常なノードにアクティブなロールを適用します。

例: AWS デプロイでのマルチノード高可用性の設定

この例では、Amazon VPC(Amazon VPC)の2つのvSRX仮想ファイアウォールインスタンスでマルチノード高可用性を設定する方法を説明します。

要件

この例では、次のコンポーネントを使用しています。

  • 2つのvSRX仮想ファイアウォールインスタンス

  • Junos OSリリース22.3R1

  • アマゾン ウェブ サービス (AWS) アカウントと ID およびアクセス管理 (IAM) ロールで、Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Simple Storage Service (S3)、Amazon Virtual Private Cloud (Amazon VPC) オブジェクトへのアクセス、作成、変更、削除に必要なすべてのアクセス許可を持つ。詳細については 、 vSRX向けAmazon仮想プライベートクラウドを構成する を参照してください。

  • 関連付けられたインターネットゲートウェイ、サブネット、ルートテーブル、およびセキュリティグループで設定された Amazon VPC。 「Amazon Virtual Private Cloud for vSRX の設定」を参照してください。

  • Amazon VPC で起動および設定された vSRX 仮想ファイアウォールインスタンス。 Amazon 仮想プライベートクラウドでの vSRX インスタンスの起動を参照してください。

トポロジ

図 2 に、この例で使用するトポロジを示します。

図2:AWSデプロイメント Multinode High Availability in AWS Deploymentにおけるマルチノード高可用性

トポロジーに示すように、2つのvSRX仮想ファイアウォールインスタンス(vSRX仮想ファイアウォール-1およびvSRX仮想ファイアウォール-2)がAmazon VPCに展開されます。ノードは、ルーティング可能な IP アドレス (Elastic IP アドレス) を使用して相互に通信します。信頼されていない側はパブリック ネットワークに接続し、信頼側は保護されたリソースに接続します。

vSRX仮想ファイアウォールインスタンスでマルチノード高可用性を設定する前に、以下の設定を完了してください。

  • AWSでインスタンスタグを使用して、2つのvSRX仮想ファイアウォールインスタンスをマルチノード高可用性ピアとして識別します。例えば、1つのピアの名前として vsrx-node-1 を使用し(名前 オプション)、HA ピアとして vsrx-node-2 を使用できます(ha-peer オプション)。

  • 両方のvSRX仮想ファイアウォールインスタンスを同じAmazon VPCとアベイラビリティーゾーンにデプロイします。
  • 両方の vSRX 仮想ファイアウォールインスタンスに IAM ロールを割り当て、完全な権限を持つ Amazon Elastic Compute Cloud (EC2) インスタンスとして vSRX 仮想ファイアウォールインスタンスを起動します。
  • パブリックサブネットにvSRX仮想ファイアウォールインスタンスを配置して、インターネットへの通信を有効にします。Amazon VPC では、パブリックサブネットはインターネットゲートウェイにアクセスできます。
  • 高可用性ペアをホストする複数のサブネットを持つ VPC を設定します。サブネットは、論理接続(ポートを接続する物理ケーブルと同様)を使用して 2 つの vSRX 仮想ファイアウォールノードを接続するために使用されます。この例では、VPC の CIDR を 10.0.0.0/16 と定義し、vSRX 仮想ファイアウォールのトラフィックをホストするサブネットを合計 4 つ作成しました。両方のvSRX仮想ファイアウォールインスタンスに対して、少なくとも4つのインターフェイスが必要です。 表 1 に、サブネットとインターフェイスの詳細を示します。
    表 1: サブネットの構成
    機能 ポート番号 インターフェイス 接続 トラフィックタイプ サブネット
    管理 0 fxp0: 管理インターフェイス 管理トラフィック 10.0.254.0/24
    Icl 1 ge-0/0/0 ピアノードへのICL RTO、同期、プローブ関連のトラフィック 10.0.253.0/24
    公共 2 ge-0/0/1 パブリック ネットワークに接続します。(収益インターフェース) 外部トラフィック 10.0.1.0/24
    プライベート 3 ge-0/0/2 プライベートネットワークに接続します。(収益インターフェース) 内部トラフィック 10.0.2.0/24

    なお、表に記載されている機能とのインターフェイスマッピングは、デフォルト設定用です。構成で同じマッピングを使用することをお勧めします。

  • プライマリおよびセカンダリIPアドレスでインターフェイスを設定します。Elastic IP アドレスをインターフェイスのセカンダリ IP アドレスとして割り当てることができます。インスタンスの起動時にプライマリ IP アドレスが必要です。セカンダリIPアドレスは、フェイルオーバー中に1つのvSRX仮想ファイアウォールノードから別のノードに転送可能です。 表 2 に、この例で使用するインターフェイスと IP アドレスのマッピングを示します。
    表 2: インターフェイスと IP アドレスのマッピング
    インスタンス インターフェイスプライマリIPアドレス セカンダリIPアドレス(エラスティックIPアドレス)
    vSRX仮想ファイアウォール-1 ge-0/0/1 10.0.1.101 10.0.1.103
    ge-0/0/2 10.0.2.201 10.0.2.203
    vSRX仮想ファイアウォール-2 ge-0/0/1 10.0.1.102 10.0.1.103
    ge-0/0/2 10.0.2.202 10.0.2.203
  • データパスにvSRX仮想ファイアウォールを含めるように隣接ルーターを設定し、トラフィックのネクストホップとしてvSRX仮想ファイアウォールをマークします。Elastic IP アドレスを使用してルートを設定できます。たとえば、10.0.2.203 アドレスが Elastic IP アドレスである コマンド sudo ip route x.x.x.x/x dev ens6 via 10.0.2.203を使用します。

構成

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルでCLI [edit] にコピーアンドペーストして、設定モードから を入力します commit

これらの構成はラボ環境からキャプチャされ、参照のみを目的として提供されています。実際の構成は、環境の特定の要件によって異なる場合があります。

vSRX仮想ファイアウォール-1について

vSRX仮想ファイアウォール-2について

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 CLIユーザー ガイド設定モードでのCLIエディターの使用を参照してください。

  1. ICL のインターフェイスとして ge-0/0/0 を設定します。

  2. 内部トラフィックと外部トラフィックのインターフェイスを設定します。

    ge-0/0/1 と ge-0/0/2 に割り当てられたセカンダリ IP アドレスを Elastic IP アドレスとして使用します。

  3. セキュリティ ゾーンの設定、ゾーンへのインターフェイスの割り当て、セキュリティ ゾーンで許可されるシステム サービスの指定を行います。

  4. ルーティングオプションを設定します。

    ここでは、管理トラフィックと収益トラフィックを分離するために、個別のルーティングインスタンスタイプ virtual router が必要になります。

  5. ローカルノードとピアノードの詳細を設定します。

  6. インターフェイスをピアノードに関連付けてインターフェイスを監視し、活性検出の詳細を設定します。

  7. デプロイの種類をクラウドとして SRG1 を構成し、ID を割り当てて、プリエンプションとアクティブ性の優先順位を設定します。

  8. AWS デプロイ関連のオプションを設定します。たとえば、サービスタイプとして eip ベースを指定し、AWS ピアライブネスなどのモニタリングオプションも設定します。

メモ:

VMXNET3 vNICを使用するVMWare ESXi環境におけるvSRX仮想ファイアウォールインスタンスのマルチノード高可用性では、仮想MACアドレスの設定は以下のステートメントではサポートされていません。

結果

vSRX仮想ファイアウォール-1

設定モードから、次のコマンドを入力して設定を確認します。

出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

vSRX仮想ファイアウォール-2

設定モードから、次のコマンドを入力して設定を確認します。

出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

検証

マルチノード高可用性の詳細の確認

目的

vSRX仮想ファイアウォールインスタンスに設定されているマルチノード高可用性設定の詳細を表示および確認します。

アクション

動作モードから、次のコマンドを実行します。

vSRX仮想ファイアウォール-1

vSRX仮想ファイアウォール-2

意味

コマンド出力から次の詳細を確認します。

  • ローカルノードとピアノードの詳細(IPアドレス、IDなど)。

  • このフィールド Deployment Type: CLOUD は、構成がクラウド展開用であることを示します。

  • このフィールド Services Redundancy Group: 1 は、そのノード上の SRG1 (アクティブまたはバックアップ) のステータスを示します。

AWSでマルチノード高可用性情報を確認する

目的

マルチノード高可用性が AWS クラウドにデプロイされているかどうかを確認します。

アクション

動作モードから、次のコマンドを実行します。

意味

コマンド出力から次の詳細を確認します。

  • このフィールド Cloud Type: AWS は、デプロイが AWS 用であることを示します。

  • このフィールド Cloud Service Type: EIP は、AWS デプロイが EIP サービスタイプ (Elastic IP アドレス) を使用してトラフィックを制御していることを示しています。

  • このフィールド Cloud Service Status: Bind to Local Node は、Elastic IP アドレスのローカルノードへのバインディングを示します。バックアップ・ノードの場合、このフィールドには が表示されます Bind to Peer Node

    .

マルチノード高可用性ピアノードのステータスの確認

目的

マルチノード高可用性ピアノードのステータスを確認します。

アクション

動作モードから、次のコマンドを実行します。

vSRX仮想ファイアウォール-1

vSRX仮想ファイアウォール-2

意味

コマンド出力から次の詳細を確認します。

  • ID、IP アドレス、インターフェイスなどのピア ノードの詳細。

  • ノード全体のパケット統計情報。

マルチノード高可用性 SRG の確認

目的

マルチノード高可用性でSRGの詳細を表示および確認します。

アクション

動作モードから、次のコマンドを実行します。

意味

コマンド出力から次の詳細を確認します。

  • SRG では、このような展開の種類について詳しく説明しています。このフィールド Status: ACTIVE は、特定の SRG1 がアクティブ・ロールであることを示しています。また、出力でアクティブ、優先度、プリエンプション状態を表示することもできます。

  • ピア ノードの詳細。

  • スプリットブレイン予防プローブの詳細。

フェールオーバー前後のマルチノードの高可用性ステータスの確認

目的

マルチノード高可用性セットアップでのフェールオーバー前後のノード状態の変化を確認します。

アクション

バックアップノード(SRX-2)のマルチノード高可用性ステータスを確認します。

動作モードから、次のコマンドを実行します。

意味

Services Redundancy Group: 1セクションではStatus: BACKUP、.このフィールドは、SRG-1 がバックアップ モードであることを示します。

アクション

アクティブノード(vSRX仮想ファイアウォール-1)でフェイルオーバーを開始し、バックアップノード(vSRX仮想ファイアウォール-2)で再度コマンドを実行します。

意味

セクションで Services Redundancy Group: 1 、SRG1 のステータスが から BACKUP ACTIVEに変わります。フィールド値の変更は、ノードがアクティブ ロールに移行し、もう一方のノード (以前にアクティブ) がバックアップ ロールに移行したことを示します。他のノードのステータスは、 Peer Information BACKUPを示すオプションで確認できます。