Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Junos OS で vSRX 仮想ファイアウォール シャーシ クラスターを設定する

シャーシ クラスタの概要

シャーシ クラスタは 、同じ種類の vSRX 仮想ファイアウォール インスタンスのペアをクラスタにグループ化し、ネットワーク ノードの冗長性を提供します。デバイスは、同じJunos OSリリースを実行している必要があります。それぞれのノード上の制御仮想インターフェイスを接続し、設定と Junos OS カーネル状態を同期する コントロール プレーン を形成します。制御リンク( 仮想ネットワーク または vSwitch)は、インターフェイスとサービスの冗長性を促進します。同様に、ファブリック仮想インターフェイス上の各ノード上の データプレーン を接続して、統合されたデータプレーンを形成します。ファブリックリンク(仮想ネットワークまたはvSwitch)は、クロスノードフロー処理の管理とセッション冗長性の管理を可能にします。

コントロール プレーン ソフトウェアはアクティブ/パッシブ モードで動作します。シャーシクラスタとして設定された場合、1つのノードがプライマリデバイスとして機能し、もう1つのノードがセカンダリデバイスとして機能し、プライマリデバイスでシステムまたはハードウェアに障害が発生した場合に、プロセスとサービスのステートフルフェイルオーバーを保証します。プライマリ デバイスに障害が発生した場合、セカンダリ デバイスは制御プレーン トラフィックの処理を引き継ぎます。

メモ:

2 つの物理ホスト間の vSRX 仮想ファイアウォール ノードでシャーシ クラスタを設定する場合、各ホスト物理インターフェイスが制御 vNIC が使用するブリッジで igmp スヌーピングを無効にします。これにより、シャーシ クラスタ内の両方のノードで制御リンク ハートビートを受信できます。

シャーシ クラスタ データ プレーンは、アクティブ/アクティブ モードで動作します。シャーシ クラスターでは、データ プレーンはトラフィックがいずれかのデバイスを通過する際にセッション情報を更新し、ファブリック リンクを介してノード間で情報を送信し、フェイルオーバーが発生しても確立されたセッションがドロップしないことを保証します。アクティブ/アクティブ モードでは、トラフィックは 1 つのノードでクラスタに入り、もう一方のノードから出ることができます。

シャーシ クラスタの機能には以下が含まれます。

  • 耐障害性に優れたシステム アーキテクチャ。クラスター全体に対応する単一のアクティブな制御プレーンと複数の パケット転送エンジンを備えています。このアーキテクチャでは、クラスタの単一のデバイス ビューが表示されます。

  • クラスター内のノード間の構成と動的ランタイム状態の同期。

  • 物理インターフェイスの監視、および障害パラメータが設定されたしきい値を超えた場合のフェイルオーバー。

  • カプセル化された IPv4 または IPv6 トラフィックを、それぞれ gr-0/0/0 と ip-0/0 の 2 つの内部インターフェイスでルーティングするために使用される GRE(汎用ルーティング カプセル化)および IP-over-IP(IP-IP)トンネルをサポートします。Junos OS は、システムの起動時にこれらのインターフェイスを作成し、これらのインターフェイスを GRE および IP-IP トンネルの処理にのみ使用します。

クラスター ノードは、任意の時点で、ホールド、プライマリ、セカンダリ ホールド、セカンダリ、対象外、または無効のいずれかの状態にすることができます。インターフェイス監視、SPU(サービス処理ユニット)監視、障害、手動フェイルオーバーなどの複数のイベント タイプは、状態遷移をトリガーできます。

シャーシ クラスタの形成を有効にする

vSRX 仮想ファイアウォールでのシャーシ クラスタ プロビジョニング

vSRX 仮想ファイアウォール インスタンス上のシャーシ クラスターの接続を設定することは、物理 SRX シリーズ ファイアウォールと同様です。vSRX仮想ファイアウォールVMは、仮想NIC(VMXNET3やvirtioなど)に仮想ネットワーク(またはvswitch)を使用します。

シャーシ クラスタでは、2 つの vSRX 仮想ファイアウォール インスタンス間で以下の直接接続が必要です。

  • 2 つの vSRX 仮想ファイアウォール インスタンス間のコントロール プレーン トラフィックに対してアクティブ/パッシブ モードで動作する制御リンク(仮想ネットワーク)

  • ファブリックリンク、またはノード間のリアルタイムのセッション同期に使用される仮想ネットワーク。アクティブ/アクティブ モードでは、このリンクは 2 つの vSRX 仮想ファイアウォール インスタンス間のデータ トラフィックの伝送にも使用されます。

メモ:

注: オプションで 2 つのファブリック リンクを作成して、冗長性を高めることができます。

vSRX仮想ファイアウォールクラスターは、以下のインターフェイスを使用します。

  • アウトオブバンド管理インターフェイス(fxp0)

  • クラスター制御インターフェイス(em0)

  • クラスター ファブリック インターフェイス(node0 の fab0、ノード 1 の fab1)

メモ:

制御インターフェイスは2番目のvNICである必要があります。ファブリックリンクでは、任意の収益ポート(ge-ポート)を使用できます。オプションで 2 つ目のファブリック リンクを設定して、冗長性を高めることができます。

図 1 は、vSRX 仮想ファイアウォール インスタンスによるシャーシ クラスタの形成を示しています。

図 1: vSRX 仮想ファイアウォール シャーシ クラスター vSRX Virtual Firewall Chassis Cluster
vSRX 仮想ファイアウォールは、virtio ドライバーと SR-IOV インターフェイスを使用してシャーシ クラスターをサポートします。次の点に関する考慮事項があります。
  • シャーシクラスタを有効にする場合、virtioネットワークインターフェイス上のファブリックリンクをサポートするために、ジャンボフレーム(MTUサイズ = 9000)も有効にする必要があります。

  • 2つの物理ホスト間でシャーシクラスタを設定する場合、vSRX仮想ファイアウォール制御リンクが使用する各ホスト物理インターフェイスでigmpスヌーピングを無効にして、シャーシクラスタ内の両方のノードで制御リンクハートビートを受信するようにします。

    hostOS# echo 0 > /sys/devices/virtual/net/<bridge-name>/bridge/multicast_snooping
  • シャーシクラスタが有効になると、vSRX仮想ファイアウォールインスタンスが2番目のvNICを制御リンクに自動的にマッピングし、その名前がge-0/0/0からem0に変更されます。

  • ファブリックリンク/リンクには他のvNICを使用できます。( 「 インターフェイスの命名およびマッピング」を参照してください)

virtio インターフェイスの場合、リンク ステータスの更新はサポートされていません。virtio インターフェイスのリンク ステータスは、常に Up として報告されます。このため、virtio およびシャーシ クラスターを使用する vSRX 仮想ファイアウォール インスタンスは、virtio インターフェイスからリンク アップ メッセージとリンク ダウン メッセージを受信できません。

仮想ネットワークMACエージング時間は、エントリーがMACテーブルに残る時間を決定します。フェイルオーバー時のダウンタイムを最小限に抑えるために、仮想ネットワークのMACエージング時間を短縮することをお勧めします。

例えば、 コマンドを brctl setageing bridge 1 使用して、Linuxブリッジのエージングを1秒に設定できます。

制御リンクとファブリックリンクに仮想ネットワークを設定し、制御インターフェイスを制御仮想ネットワークに、ファブリックインターフェイスをファブリック仮想ネットワークに作成して接続します。

インターフェイスの命名およびマッピング

vSRX 仮想ファイアウォール用に定義された各ネットワーク アダプターは、vSRX 仮想ファイアウォール インスタンスがスタンドアロン VM であるか、高可用性のクラスター ペアの 1 つであるかに応じて、特定のインターフェイスにマッピングされます。vSRX仮想ファイアウォールのインターフェイス名とマッピングを表1および表2に示します。

以下の点に注意してください。

  • スタンドアロンモードの場合:
    • fxp0 は、アウトオブバンド管理インターフェイスです。
    • ge-0/0/0 は、最初のトラフィック(収益)インターフェイスです。
  • クラスタモードでは:
    • fxp0 は、アウトオブバンド管理インターフェイスです。
    • em0 は、両方のノードのクラスター制御リンクです。
    • ノード0のfab0のge-0/0/0、ノード1のfab1のge-7/0/0など、すべてのトラフィックインターフェイスをファブリックリンクとして指定できます。

スタンドアロン vSRX 仮想ファイアウォール VM のインターフェイス名とマッピングを 表 1 に示し、クラスタ モードの vSRX 仮想ファイアウォール VM の場合も同様に 表 2 に示します。クラスターモードでは、em0ポートがfxp0とge-0/0/0のポジションの間に挿入されていることがわかります。これにより、収益ポート番号がvNICの1つの場所にシフトします。

表 1:スタンドアロン vSRX 仮想ファイアウォール VM のインターフェイス名

ネットワーク アダプター

インターフェイス名
1

fxp0

2

ge-0/0/0

3

ge-0/0/1

4

ge-0/0/2

5

ge-0/0/3

6

ge-0/0/4

7

ge-0/0/5

8

ge-0/0/6

表 2:vSRX 仮想ファイアウォール クラスター ペアのインターフェイス名
ネットワーク・アダプター・ インターフェース名
1

fxp0(ノード0および1)

2

em0(ノード0および1)

3

ge-0/0/0(ノード0)

ge-7/0/0(ノード1)

4

ge-0/0/1(ノード0)

ge-7/0/1(ノード1)

5

ge-0/0/2(ノード0)

ge-7/0/2(ノード1)

6

ge-0/0/3(ノード0)

ge-7/0/3(ノード1)

7

ge-0/0/4(ノード0)

ge-7/0/4(ノード1)

8

ge-0/0/5(ノード0)

ge-7/0/5(ノード1)

シャーシ クラスタの形成を可能にする

2 つの vSRX 仮想ファイアウォール インスタンスを作成してシャーシ クラスターを形成し、クラスターに参加する各インスタンスのクラスター ID とノード ID を設定します。vSRX 仮想ファイアウォール VM がクラスターに参加すると、そのクラスターのノードになります。一意のノード設定と管理 IP アドレスを除き、クラスター内のノードは同じ構成を共有します。

レイヤー2ドメインには、最大255台のシャーシクラスターを導入できます。クラスターとノードは、以下の方法で識別されます。

  • クラスタID(1~255の数字)は、クラスタを識別します。

  • ノードID(0~1の数字)は、クラスタノードを識別します。

SRX シリーズ ファイアウォールでは、クラスタ ID とノード ID が EEPROM に書き込まれます。vSRX 仮想ファイアウォール VM では、vSRX 仮想ファイアウォールが boot/loader.conf から ID を保存して読み取り、ID を使用して起動時にシャーシ クラスターを初期化します。

シャーシ クラスタリングを有効にする前に、vSRX 仮想ファイアウォール インスタンスが以下の前提条件に準拠していることを確認します。

  • シャーシ クラスタを形成する vSRX 仮想ファイアウォール インスタンスの両方に基本的な設定をコミットしました。 CLI を使用した vSRX の設定を参照してください。

  • Junos OS で使用して show version 、両方の vSRX 仮想ファイアウォール インスタンスのソフトウェア バージョンが同じであることを確認します。
  • Junos OS で使用して show system license 、両方の vSRX 仮想ファイアウォール インスタンスに同じライセンスがインストールされていることを確認します。
  • 各 vSRX 仮想ファイアウォール ノードで同じシャーシ クラスタ ID を設定し、vSRX 仮想ファイアウォール VM を再起動して、シャーシ クラスタを形成する必要があります。

ノード0およびノード1のシャーシクラスタフォーメーションコマンドは次のとおりです。

  • vSRX 仮想ファイアウォール ノード 0:

  • vSRX 仮想ファイアウォール ノード 1:

    シャーシ クラスタリングを有効にすると、vSRX 仮想ファイアウォール インターフェイスの命名および vNIC へのマッピングが変更されます。クラスタ内の各ノードに同じクラスタID番号を使用します。

メモ:

同じL2ドメインに接続された複数のクラスタを使用する場合、各クラスタに一意のクラスタIDを使用する必要があります。そうしないと、仮想インターフェイスのmacアドレスを形成するためにクラスタIDが使用されるため、ネットワーク上で重複するMACアドレスが取得されることがあります。

再起動後、ノード0で、リアルタイムオブジェクト(RNO)の渡しに使用されるクラスタのファブリック(データ)ポートを設定します。

J-Web を使用したシャーシ クラスタ クイック セットアップ

J-Web からシャーシ クラスタを設定するには、

  1. Web ブラウザの vSRX 仮想ファイアウォール ノード 0 インターフェイス IP アドレスを入力します。
  2. vSRX 仮想ファイアウォールのユーザー名とパスワードを入力し、[ ログイン] をクリックします。J-Web ダッシュボードが表示されます。
  3. 左パネルの [ 構成ウィザード>シャーシ クラスター ] をクリックします。シャーシ クラスタ設定ウィザードが表示されます。セットアップ ウィザードの手順に従って、クラスタ ID とクラスタ内の 2 つのノードを設定し、接続を検証します。
    メモ:

    J-Web の組み込みヘルプ アイコンを使用して、シャーシ クラスタ設定ウィザードの詳細を確認します。

J-Web を使用したシャーシ クラスタの手動設定

J-Web インターフェイスを使用して、クラスター内のプライマリ ノード 0 vSRX 仮想ファイアウォール インスタンスを設定できます。クラスター ID とノード ID を設定し、各 vSRX 仮想ファイアウォールを再起動すると、以下の設定が自動的にセカンダリ ノード 1 vSRX 仮想ファイアウォール インスタンスと同期されます。

構成 >シャーシ クラスター>クラスター構成を選択します。シャーシ クラスタ設定ページが表示されます。

表 3 は、HA クラスタ設定タブの内容を説明しています。

表 4 では、[ノード設定]タブの編集方法を説明します。

表 5 は、HA クラスタ インターフェイス テーブルを追加または編集する方法を説明しています。

表 6 は、HA クラスタ冗長グループ テーブルを追加または編集する方法を説明しています。

表 3:シャーシ クラスタ設定ページ

フィールド

関数

ノード設定

ノードID

ノード ID を表示します。

クラスター ID

ノードに設定されたクラスタ ID を表示します。

ホスト名

ノードの名前を表示します。

バックアップ ルーター

ルーティング エンジンがシャーシ クラスタの冗長グループ 0 のセカンダリ状態にある間、ゲートウェイとして使用されるルーターを表示します。

管理インターフェイス

ノードの管理インターフェイスを表示します。

IP アドレス

ノードの管理 IP アドレスを表示します。

ステータス

冗長性グループの状態を表示します。

  • プライマリー冗長性グループはアクティブです。

  • セカンダリーリダンダンシーグループはパッシブです。

シャーシ クラスタ>HA クラスタ設定>インターフェイス

名前

物理インターフェイス名を表示します。

メンバー インターフェイス/IP アドレス

インターフェイスに設定されたメンバー インターフェイス名または IP アドレスを表示します。

リダンダンシー グループ

冗長性グループを表示します。

シャーシ クラスタ>HA クラスタ設定>冗長グループ

グループ

冗長性グループの識別番号を表示します。

先取り

選択したプリエンプト オプションを表示します。

  • True - 優先度に基づいてプライマリ ロールをプリエンプトできます。

  • False - 優先度に基づいてプライマリ ロールをプリエンプトすることはできません。

Gratuitous ARP カウント

シャーシ クラスタ内の新たに選択されたプライマリ デバイスが他のネットワーク デバイスに存在をアナウンスするために送信する Gratuitous Address Resolution Protocol(ARP)リクエストの数を表示します。

ノード優先度

そのノードの冗長性グループに割り当てられた優先度を表示します。優先度が最も高い対象ノードは、冗長グループのプライマリとして選択されます。

表 4:ノード設定設定の詳細を編集する

フィールド

関数

アクション

ノード設定

ホスト名

ホストの名前を指定します。

ホストの名前を入力します。

バックアップ ルーター

ルーティング エンジンがシャーシ クラスタの冗長性グループ 0 のセカンダリ状態にある間、ゲートウェイとして使用されるデバイスを表示します。

バックアップ ルーターの IP アドレスを入力します。

Ip

宛先アドレスを追加します。

[ 追加] をクリックします。

削除

宛先アドレスを削除します。

[ 削除] をクリックします。

インターフェイス

インターフェイス

ルーターで使用可能なインターフェイスを指定します。

メモ:

各ファブリック リンクに対して 2 つのインターフェイスを追加および編集できます。

オプションを選択します。

Ip

インターフェイスIPアドレスを指定します。

インターフェイスIPアドレスを入力します。

追加

インターフェイスを追加します。

[ 追加] をクリックします。

削除

インターフェイスを削除します。

[ 削除] をクリックします。

表 5:HA クラスタ インターフェイス設定の詳細の追加

フィールド

関数

アクション

ファブリック リンク > ファブリック リンク 0(fab0)

インターフェイス

ファブリック リンク 0 を指定します。

インターフェイス IP ファブリック リンク 0 を入力します。

追加

ファブリック インターフェイス 0 を追加します。

[ 追加] をクリックします。

削除

ファブリック インターフェイス 0 を削除します。

[ 削除] をクリックします。

ファブリック リンク > ファブリック リンク 1(fab1)

インターフェイス

ファブリック リンク 1 を指定します。

ファブリック リンク 1 のインターフェイス IP を入力します。

追加

ファブリックインターフェイス1を追加します。

[ 追加] をクリックします。

削除

ファブリック インターフェイス 1 を削除します。

[ 削除] をクリックします。

冗長イーサネット

インターフェイス

各シャーシ上に1つずつ、2つの物理イーサネットインターフェイスで構成される論理インターフェイスを指定します。

論理インターフェイスを入力します。

Ip

冗長イーサネットIPアドレスを指定します。

冗長イーサネットIPアドレスを入力します。

リダンダンシー グループ

シャーシ クラスタ内の冗長性グループ ID 番号を指定します。

リストから冗長性グループを選択します。

追加

冗長イーサネット IP アドレスを追加します。

[ 追加] をクリックします。

削除

冗長イーサネット IP アドレスを削除します。

[ 削除] をクリックします。

表 6:冗長グループ設定の詳細の追加

フィールド

関数

アクション

リダンダンシー グループ

冗長性グループ名を指定します。

冗長性グループ名を入力します。

プライマリシップのプリエンプションを許可

優先度の高いノードが、冗長グループのフェイルオーバーを開始できるようにします。

メモ:

デフォルトでは、この機能は無効になっています。無効にすると、優先度の高いノードは冗長性グループのフェイルオーバーを開始しません(監視対象のインターフェイスで特定されたネットワーク接続の障害など、その他の要因がフェイルオーバーを引き起こす場合を除きます)。

Gratuitous ARP カウント

新たに選択されたプライマリがアクティブな冗長イーサネット インターフェイスの子リンクに送信し、冗長イーサネット インターフェイス リンクのプライマリ ロールの変更をネットワーク デバイスに通知する Gratuitous Address Resolution Protocol リクエストの数を指定します。

1~16の値を入力します。デフォルトは4です。

node0優先度

冗長性グループのノード0の優先度値を指定します。

ノード優先度番号を 0 と入力します。

Node1優先度

冗長性グループのノード1の優先度値を指定します。

ノード優先度番号を 1 として選択します。

インターフェイス モニター

   

インターフェイス

クラスタ用に作成する冗長イーサネット インターフェイスの数を指定します。

リストからインターフェイスを選択します。

重量

監視するインターフェイスの重みを指定します。

1~125の値を入力します。

追加

冗長グループが監視するインターフェイスと、それぞれの重みを追加します。

[ 追加] をクリックします。

削除

冗長グループが監視するインターフェイスと、それぞれの重みを削除します。

設定されたリストからインターフェイスを選択し、 削除をクリックします。

IP 監視

重量

IP 監視のグローバル重みを指定します。

0~255の値を入力します。

しきい値

IP 監視のグローバルしきい値を指定します。

0~255の値を入力します。

再試行回数

到達可能性失敗の宣言に必要な再試行回数を指定します。

5~15の値を入力します。

再試行間隔

再試行の間隔を秒単位で指定します。

1~30の値を入力します。

監視対象の IPV4 アドレス

Ip

到達可能性を監視する IPv4 アドレスを指定します。

IPv4アドレスを入力します。

重量

監視する冗長性グループ インターフェイスの重みを指定します。

重量を入力します。

インターフェイス

この IP アドレスを監視する論理インターフェイスを指定します。

論理インターフェイスアドレスを入力します。

セカンダリ IP アドレス

セカンダリ リンク上のパケットを監視するための送信元アドレスを指定します。

セカンダリ IP アドレスを入力します。

追加

監視対象の IPv4 アドレスを追加します。

[ 追加] をクリックします。

削除

監視対象の IPv4 アドレスを削除します。

リストから IPv4 アドレスを選択し、 [ 削除] をクリックします。