Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Junos OSでのvSRX仮想ファイアウォールシャーシクラスターの設定

シャーシ クラスタの概要

シャーシクラスター は、同じ種類のvSRX仮想ファイアウォールインスタンスのペアをクラスターにグループ化し、ネットワークノードの冗長性を提供します。デバイスは、同じJunos OSリリースを実行している必要があります。制御仮想インターフェイスをそれぞれのノードに接続して、設定と Junos OS カーネルの状態を同期させる コントロール プレーン を形成します。制御リンク( 仮想ネットワーク または vSwitch)は、インターフェイスとサービスの冗長性を促進します。同様に、ファブリックの仮想インターフェイスを介して各ノードの データプレーン を接続し、統合データプレーンを形成します。ファブリックリンク(仮想ネットワークまたはvSwitch)により、ノード間のフロー処理の管理とセッションの冗長性の管理が可能になります。

コントロールプレーンソフトウェアは、アクティブ/パッシブモードで動作します。シャーシクラスターとして構成された場合、1つのノードがプライマリデバイスとして機能し、もう1つはセカンダリデバイスとして機能します。これにより、プライマリデバイスでシステムまたはハードウェアに障害が発生した場合に、プロセスとサービスのステートフェイルオーバーを確保します。プライマリデバイスに障害が発生した場合、セカンダリデバイスがコントロールプレーントラフィックの処理を引き継ぎます。

メモ:

2 つの物理ホストにまたがる vSRX 仮想ファイアウォール ノードでシャーシ クラスタを設定する場合は、制御 vNIC が使用する各ホスト物理インターフェイスが属するブリッジで igmp-snooping を無効にします。これにより、シャーシ クラスタの両方のノードで制御リンク ハートビートが確実に受信されます。

シャーシ クラスタ データ プレーンは、アクティブ/アクティブ モードで動作します。シャーシ クラスタでは、データ プレーンはトラフィックがいずれかのデバイスを通過するときにセッション情報を更新し、フェイルオーバーが発生しても確立されたセッションがドロップされないように、ファブリック リンクを介してノード間で情報を送信します。アクティブ/アクティブ モードでは、トラフィックは一方のノードでクラスタに入り、もう一方のノードから出ることができます。

シャーシ クラスタの機能には以下が含まれます。

  • クラスター全体に対して単一のアクティブコントロールプレーンと複数の パケット転送エンジンを備えた、耐障害性に優れたシステムアーキテクチャ。このアーキテクチャでは、クラスターの単一デバイス ビューが表示されます。

  • クラスター内のノード間での構成と動的なランタイム状態の同期。

  • 物理インターフェイスの監視と、障害パラメータが設定したしきい値を超えた場合のフェイルオーバー。

  • 2 つの内部インターフェイス(gr-0/0/0 と ip-0/0/0)によってカプセル化された IPv4 または IPv6 トラフィックをルーティングするために使用される GRE(汎用ルーティング カプセル化)および IP-over-IP(IP-IP)トンネルのサポート。Junos OSは、システムの起動時にこれらのインターフェイスを作成し、GREおよびIP-IPトンネルの処理にのみこれらのインターフェイスを使用します。

任意の時点で、クラスターノードは、保留、プライマリ、セカンダリホールド、セカンダリ、不適格、または無効のいずれかの状態になります。インターフェイス監視、SPU(サービス処理ユニット)監視、障害、手動フェイルオーバーなど、複数のイベントタイプが状態遷移をトリガーできます。

シャーシ クラスタ形成の有効化

vSRX仮想ファイアウォールでのシャーシクラスタープロビジョニング

vSRX仮想ファイアウォールインスタンス上のシャーシクラスターへの接続設定は、物理SRXシリーズファイアウォールと同様です。vSRX仮想ファイアウォールVMは、仮想NICに仮想ネットワーク(またはvswitch)を使用します(VMXNET3やvirtioなど)。

シャーシクラスターでは、2つのvSRX仮想ファイアウォールインスタンス間に次の直接接続が必要です。

  • 2つのvSRX仮想ファイアウォールインスタンス間のコントロールプレーントラフィックに対してアクティブ/パッシブモードで動作する制御リンク、または仮想ネットワーク

  • ファブリック リンク、つまりノード間のリアルタイム セッション同期に使用される仮想ネットワーク。アクティブ/アクティブモードでは、このリンクは2つのvSRX仮想ファイアウォールインスタンス間のデータトラフィックの伝送にも使用されます。

メモ:

注: オプションで 2 つのファブリック リンクを作成して、冗長性を高めることができます。

vSRX仮想ファイアウォールクラスターは、次のインターフェイスを使用します。

  • アウトオブバンド管理インターフェイス(fxp0)

  • クラスター制御インターフェイス (em0)

  • クラスタ ファブリック インターフェイス(ノード 0 上の fab0、ノード 1 上の fab1)

メモ:

制御インターフェイスは 2 番目の vNIC である必要があります。ファブリックリンクには、任意の収益ポート(ge-ポート)を使用できます。オプションで 2 つ目のファブリック リンクを設定して冗長性を高めることができます。

図1 は、vSRX仮想ファイアウォールインスタンスを使用したシャーシクラスターの形成を示しています。

図1: vSRX仮想ファイアウォールシャーシクラスタ vSRX Virtual Firewall Chassis Cluster
vSRX 仮想ファイアウォールは、virtio ドライバーと SR-IOV インターフェイスを使用してシャーシクラスターをサポートしますが、以下の考慮事項があります。
  • シャーシクラスターを有効にする場合は、virtio ネットワークインターフェイスのファブリックリンクをサポートするために、ジャンボフレーム (MTU サイズ = 9000) も有効にする必要があります。

  • 2 つの物理ホストにまたがってシャーシ クラスタを設定する場合は、vSRX 仮想ファイアウォール制御リンクが使用する各ホスト物理インターフェイスで igmp-snooping を無効にして、シャーシ クラスタの両方のノードで制御リンクのハートビートが受信されるようにします。

    hostOS# echo 0 > /sys/devices/virtual/net/<bridge-name>/bridge/multicast_snooping
  • シャーシ クラスタを有効にすると、vSRX 仮想ファイアウォール インスタンスによって 2 番目の vNIC が自動的に制御リンクにマッピングされ、その名前が ge-0/0/0 から em0 に変更されます。

  • ファブリック リンク/リンクには、他の任意の vNIC を使用できます。( インターフェイスの名前付けとマッピングを参照)

virtio インターフェースの場合、リンク状況の更新はサポートされていません。virtio インターフェースのリンクステータスは、常に Up として報告されます。このため、virtio とシャーシクラスターを使用する vSRX 仮想ファイアウォールインスタンスは、virtio インターフェイスからリンクアップおよびリンクダウンメッセージを受信できません。

仮想ネットワークの MAC エージング タイムによって、エントリが MAC テーブルに残る時間が決まります。フェールオーバー中のダウンタイムを最小限に抑えるために、仮想ネットワークの MAC エージング タイムを短くすることをお勧めします。

たとえば、コマンドを使用して、 brctl setageing bridge 1 Linux ブリッジのエージングを 1 秒に設定できます。

制御リンクとファブリックリンクの仮想ネットワークを設定してから、制御インターフェイスを作成して制御仮想ネットワークに接続し、ファブリックインターフェイスをファブリック仮想ネットワークに接続します。

インターフェイスの命名とマッピング

vSRX仮想ファイアウォール用に定義された各ネットワークアダプタは、vSRX仮想ファイアウォールインスタンスがスタンドアロンVMであるか、高可用性のためのクラスタペアの1つであるかに応じて、特定のインターフェイスにマッピングされます。vSRX仮想ファイアウォールのインターフェイス名とマッピングを表1と表2に示します。

次の点に注意してください。

  • スタンドアロンモードの場合:
    • fxp0 はアウトオブバンド管理インターフェイスです。
    • ge-0/0/0は、最初のトラフィック(収益)インターフェイスです。
  • クラスタ モードの場合:
    • fxp0 はアウトオブバンド管理インターフェイスです。
    • em0 は、両方のノードのクラスタ制御リンクです。
    • ノード 0 の fab0 の ge-0/0/0 や、ノード 1 の fab1 の ge-7/0/0 のように、どのトラフィック インターフェイスもファブリック リンクとして指定できます。

スタンドアロンのvSRX仮想ファイアウォールVMのインターフェイス名とマッピングを 表1 に、クラスタモードのvSRX仮想ファイアウォールVMのインターフェイス名とマッピングを 表2に示します。クラスタ モードでは、em0 ポートが fxp0 の位置と ge-0/0/0 の位置の間に挿入され、収益ポート番号が 1 つの vNIC 位置上にシフトしていることがわかります。

表1:スタンドアロンvSRX仮想ファイアウォールVMのインターフェイス名

ネットワークアダプタ

インターフェイス名
1

fxp0:

2

ge-0/0/0

3

ge-0/0/1

4

ge-0/0/2

5

ge-0/0/3

6

ge-0/0/4

7

ge-0/0/5

8

ge-0/0/6

表2:vSRX仮想ファイアウォールクラスターペアのインターフェイス名
ネットワーク アダプター インターフェイス名
1

fxp0(ノード 0 および 1)

2

em0(ノード0および1)

3

ge-0/0/0(ノード 0)

ge-7/0/0(ノード1)

4

ge-0/0/1(ノード 0)

ge-7/0/1(ノード1)

5

ge-0/0/2 (ノード 0)

ge-7/0/2(ノード1)

6

ge-0/0/3 (ノード 0)

ge-7/0/3(ノード1)

7

ge-0/0/4(ノード 0)

ge-7/0/4(ノード1)

8

ge-0/0/5(ノード 0)

ge-7/0/5(ノード1)

シャーシ クラスタ形成の有効化

2つのvSRX仮想ファイアウォールインスタンスを作成してシャーシクラスターを形成し、各インスタンスでクラスターIDとノードIDを設定してクラスターに参加します。vSRX仮想ファイアウォールVMがクラスターに参加すると、そのクラスターのノードになります。一意のノード設定と管理 IP アドレスを除き、クラスタ内のノードは同じ設定を共有します。

レイヤー2ドメインには、最大255のシャーシクラスターを導入できます。クラスターとノードは、次の方法で識別されます。

  • クラスター ID (1 から 255 の数字) は、クラスターを識別します。

  • ノード ID (0 から 1 までの数字) は、クラスター ノードを識別します。

SRXシリーズファイアウォールでは、クラスタIDとノードIDはEEPROMに書き込まれます。vSRX仮想ファイアウォールVMでは、vSRX仮想ファイアウォールが boot/loader.conf のIDを保存して読み取り、起動時にこのIDを使用してシャーシクラスタを初期化します。

シャーシクラスタリングを有効にする前に、vSRX仮想ファイアウォールインスタンスが次の前提条件を満たしていることを確認してください。

  • シャーシクラスターを形成する両方のvSRX仮想ファイアウォールインスタンスに基本設定をコミットしました。 CLIを使用したvSRXの設定を参照してください。

  • Junos OSで使用して、両方のvSRX仮想ファイアウォールインスタンスのソフトウェアバージョンが同じになるようにします show version
  • Junos OSで使用して show system license 、両方のvSRX仮想ファイアウォールインスタンスに同じライセンスがインストールされていることを確認します。
  • シャーシ クラスタ形成を有効にするには、各 vSRX 仮想ファイアウォール ノードに同じシャーシ クラスタ ID を設定し、vSRX 仮想ファイアウォール VM を再起動する必要があります。

ノード 0 およびノード 1 のシャーシ クラスタ形成コマンドは次のとおりです。

  • vSRX仮想ファイアウォールノード0:

  • vSRX仮想ファイアウォールノード1の場合:

    シャーシクラスタリングを有効にすると、vSRX仮想ファイアウォールインターフェイスの命名とvNICへのマッピングが変更されます。クラスタ内の各ノードに同じクラスタ ID 番号を使用します。

メモ:

同じ L2 ドメインに接続されている複数のクラスタを使用する場合は、クラスタごとに一意のクラスタ ID を使用する必要があります。そうしないと、cluster-id が仮想インターフェイスの MAC アドレスを形成するために使用されるため、ネットワーク上で重複する MAC アドレスを取得する可能性があります。

再起動後、ノード 0 で、リアルタイム オブジェクト (RTO) の受け渡しに使用されるクラスタのファブリック(データ)ポートを構成します。

J-Webを使用したシャーシクラスタのクイックセットアップ

J-Webからシャーシ クラスタを設定するには:

  1. WebブラウザでvSRX仮想ファイアウォールノード0インターフェイスのIPアドレスを入力します。
  2. vSRX仮想ファイアウォールのユーザー名とパスワードを入力し、[ログイン]をクリックします。J-Webダッシュボードが表示されます。
  3. 左側のパネルから 構成ウィザード >シャーシ クラスタ をクリックします。シャーシ クラスタ セットアップ ウィザードが表示されます。セットアップ ウィザードの手順に従って、クラスター ID とクラスター内の 2 つのノードを構成し、接続を確認します。
    メモ:

    J-Web に組み込まれているヘルプ アイコンを使用して、シャーシ クラスタ セットアップ ウィザードの詳細を確認してください。

J-Web を使用したシャーシ クラスタの手動設定

J-Webインターフェイスを使用して、クラスタ内のプライマリノード0のvSRX仮想ファイアウォールインスタンスを設定できます。クラスタIDとノードIDを設定し、各vSRX仮想ファイアウォールを再起動すると、次の設定がセカンダリノード1のvSRX仮想ファイアウォールインスタンスに自動的に同期されます。

構成>シャーシ クラスター>クラスター構成 を選択します。シャーシ クラスタ設定 ページが表示されます。

表 3 に、「HA クラスター設定」タブの内容を示します。

表 4 に、[ノード設定] タブの編集方法を示します。

表 5 に、HA クラスタ インターフェイス テーブルを追加または編集する方法について説明します。

表 6 に、HA クラスタ冗長グループ テーブルを追加または編集する方法について説明します。

表 3: シャーシ クラスタ設定ページ

フィールド

関数

ノード設定

ノード ID

ノード ID を表示します。

クラスター ID

ノードに設定されているクラスタ ID を表示します。

ホスト名

ノードの名前が表示されます。

バックアップルーター

ルーティング エンジンがシャーシ クラスタ内の冗長グループ 0 のセカンダリ ステートにあるときに、ゲートウェイとして使用されるルータを表示します。

管理インターフェイス

ノードの管理インターフェイスを表示します。

IPアドレス

ノードの管理 IP アドレスを表示します。

ステータス

冗長性グループの状態を表示します。

  • プライマリ - 冗長グループがアクティブです。

  • セカンダリ - 冗長性グループはパッシブです。

シャーシクラスタ>HAクラスタ設定>インターフェイス

名前

物理インターフェイス名を表示します。

メンバー インターフェイス/IP アドレス

インターフェイスに設定されているメンバーインターフェイス名またはIPアドレスを表示します。

冗長性グループ

冗長グループを表示します。

シャーシクラスター>HAクラスター設定>冗長グループ

グループ

冗長グループ識別番号を表示します。

先取り

選択したプリエンプトオプションを表示します。

  • True:プライマリ ロールは、優先度に基づいてプリエンプトできます。

  • False:プライマリ ロールをプライオリティに基づいてプリエンプトすることはできません。

無償ARPカウント

シャーシ クラスタ内で新しく選択されたプライマリ デバイスが、その存在を他のネットワーク デバイスに通知するために送信する、無償のアドレス解決プロトコル(ARP)要求の数を表示します。

ノードの優先度

そのノード上の冗長性グループに割り当てられた優先度を表示します。プライオリティが最も高い適格ノードが、冗長グループのプライマリとして選択されます。

表 4: ノード設定構成の詳細の編集

フィールド

関数

アクション

ノード設定

ホスト名

ホストの名前を指定します。

ホストの名前を入力します。

バックアップルーター

ルーティング エンジンがシャーシ クラスタ内の冗長グループ 0 のセカンダリ ステートにあるときにゲートウェイとして使用されるデバイスを表示します。

バックアップ ルーターの IP アドレスを入力します。

Ip

宛先アドレスを追加します。

[ 追加] をクリックします。

削除

宛先アドレスを削除します。

[ 削除] をクリックします。

インターフェイス

インターフェイス

ルーターで使用可能なインターフェイスを指定します。

メモ:

ファブリックリンクごとに2つのインターフェイスを追加および編集できます。

オプションを選択します。

Ip

インターフェイス IP アドレスを指定します。

インターフェイスの IP アドレスを入力します。

追加

インターフェイスを追加します。

[ 追加] をクリックします。

削除

インターフェイスを削除します。

[ 削除] をクリックします。

表 5: HA クラスター インターフェイス構成の詳細の追加

フィールド

関数

アクション

ファブリックリンク>ファブリックリンク0(fab0)

インターフェイス

ファブリックリンク0を指定します。

インターフェイスIPファブリックリンク0を入力します。

追加

ファブリック インターフェイス 0 を追加します。

[ 追加] をクリックします。

削除

ファブリック インターフェイス 0 を削除します。

[ 削除] をクリックします。

ファブリックリンク>ファブリックリンク1(fab1)

インターフェイス

ファブリック リンク 1 を指定します。

ファブリックリンク1のインターフェイスIPを入力します。

追加

ファブリック インターフェイス 1 を追加します。

[ 追加] をクリックします。

削除

ファブリック インターフェイス 1 を削除します。

[ 削除] をクリックします。

冗長イーサネット

インターフェイス

2 つの物理イーサネット インターフェイス(各シャーシに 1 つずつ)で構成される論理インターフェイスを指定します。

論理インターフェイスを起動します。

Ip

冗長イーサネット IP アドレスを指定します。

冗長イーサネット IP アドレスを入力します。

冗長性グループ

シャーシ クラスタ内の冗長グループ ID 番号を指定します。

リストから冗長性グループを選択します。

追加

冗長イーサネット IP アドレスを追加します。

[ 追加] をクリックします。

削除

冗長イーサネット IP アドレスを削除します。

[ 削除] をクリックします。

表 6: 冗長性グループの設定の詳細の追加

フィールド

関数

アクション

冗長性グループ

冗長グループ名を指定します。

冗長グループ名を入力します。

プライマリシップのプリエンプションを許可

優先度の高いノードが、冗長性グループのフェイルオーバーを開始できるようにします。

メモ:

デフォルトでは、この機能は無効になっています。無効にすると、優先度の高いノードは冗長グループのフェイルオーバーを開始しません(監視対象インターフェイスで識別されたネットワーク接続の障害など、他の要因がフェイルオーバーの原因でない限り)。

無償ARPカウント

冗長イーサネット インターフェイス リンク上のプライマリ ロールの変更をネットワーク デバイスに通知するために、新しく選択されたプライマリがアクティブな冗長イーサネット インターフェイス子リンクで送信する無償アドレス解決プロトコル要求の数を指定します。

1 から 16 の値を入力します。デフォルトは 4 です。

ノード 0 の優先度

冗長性グループのノード 0 の優先度値を指定します。

ノードの優先順位番号を 0 として入力します。

ノード1の優先度

冗長性グループのノード 1 のプライオリティ値を指定します。

ノードの優先順位番号として 1 を選択します。

インターフェイス モニタ

   

インターフェイス

クラスター用に作成する冗長イーサネット・インターフェースの数を指定します。

リストからインターフェイスを選択します。

重量

監視するインターフェイスの重みを指定します。

1 から 125 の値を入力します。

追加

冗長性グループが監視するインターフェイスを、それぞれの重みとともに追加します。

[ 追加] をクリックします。

削除

冗長性グループが監視するインターフェイスを、それぞれの重みとともに削除します。

設定済みのリストからインターフェイスを選択し、[ Delete] をクリックします。

IP 監視

重量

IP モニターのグローバル・ウェイトを指定します。

0 から 255 の値を入力します。

しきい値

IP 監視のグローバルしきい値を指定します。

0 から 255 の値を入力します。

再試行回数

到達可能性の失敗を宣言するのに必要な再試行回数を指定します。

5 から 15 の値を入力します。

再試行間隔

再試行の間隔を秒単位で指定します。

1 から 30 までの値を入力します。

監視対象の IPV4 アドレス

Ip

到達可能性についてモニターするIPv4アドレスを指定します。

IPv4 アドレスを入力します。

重量

監視する冗長性グループ インターフェイスの重みを指定します。

重量を入力します。

インターフェイス

この IP アドレスを監視するための論理インターフェイスを指定します。

論理インターフェイス アドレスを入力します。

セカンダリ IP アドレス

2 次リンク上のパケットを監視するための送信元アドレスを指定します。

セカンダリ IP アドレスを入力します。

追加

監視する IPv4 アドレスを追加します。

[ 追加] をクリックします。

削除

監視する IPv4 アドレスを削除します。

リストから IPv4 アドレスを選択し、 削除 をクリックします。