Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Junos OS で vSRX 仮想ファイアウォール シャーシ クラスターを設定する

シャーシ クラスタの概要

シャーシ クラスタは 、同じ種類の vSRX 仮想ファイアウォール インスタンスのペアをクラスタにグループ化し、ネットワーク ノードの冗長性を提供します。シャーシ クラスタ内の vSRX 仮想ファイアウォール インスタンスは、同じ Junos OS リリースを実行している必要があり、各インスタンスはシャーシ クラスタ内のノードになります。各ノードの制御仮想インターフェイスを接続し、クラスタ内の両方のノードで設定と Junos OS カーネル状態を同期する コントロール プレーン を形成します。制御リンク( 仮想ネットワーク または vSwitch)は、インターフェイスとサービスの冗長性を促進します。同様に、ファブリック仮想インターフェイス上の各ノード上の データプレーン を接続して、統合されたデータプレーンを形成します。ファブリックリンク(仮想ネットワークまたはvSwitch)は、クロスノードフロー処理の管理とセッション冗長性の管理を可能にします。

コントロール プレーン ソフトウェアはアクティブ/パッシブ モードで動作します。シャーシ クラスタとして設定すると、1 つのノードがプライマリとして機能し、もう 1 つのノードがセカンダリとして機能し、プライマリでシステムまたはハードウェアに障害が発生した場合に、プロセスとサービスのステートフル フェイルオーバーを確保します。プライマリに障害が発生した場合、セカンダリが制御プレーントラフィックの処理を引き継ぎます。

メモ:

2つのホスト間でシャーシクラスタを設定する場合、各ホストの物理インターフェイスが属し、制御仮想NIC(vNIC)が使用するブリッジでigmpスヌーピングを無効にします。これにより、シャーシ クラスタ内の両方のノードで制御リンク ハートビートを受信できます。

シャーシ クラスタ データ プレーンは、アクティブ/アクティブ モードで動作します。シャーシクラスターでは、トラフィックがいずれかのノードを通過すると、データプレーンはセッション情報を更新し、ファブリックリンクを介してノード間で情報を送信し、フェイルオーバーが発生した場合に確立されたセッションがドロップしないことを保証します。アクティブ/アクティブ モードでは、トラフィックは 1 つのノードでクラスタに入り、もう一方のノードから出ることができます。

シャーシ クラスタの機能には以下が含まれます。

  • 耐障害性に優れたシステム アーキテクチャ。クラスター全体に対応する単一のアクティブな制御プレーンと複数の パケット転送エンジンを備えています。このアーキテクチャでは、クラスタの単一のデバイス ビューが表示されます。

  • クラスター内のノード間の構成と動的ランタイム状態の同期。

  • 物理インターフェイスの監視、および障害パラメータが設定されたしきい値を超えた場合のフェイルオーバー。

  • カプセル化された IPv4 または IPv6 トラフィックを、それぞれ gr-0/0/0 と ip-0/0 の 2 つの内部インターフェイスでルーティングするために使用される GRE(汎用ルーティング カプセル化)および IP-over-IP(IP-IP)トンネルをサポートします。Junos OS は、システムの起動時にこれらのインターフェイスを作成し、これらのインターフェイスを GRE および IP-IP トンネルの処理にのみ使用します。

クラスター ノードは、任意の時点で、ホールド、プライマリ、セカンダリ ホールド、セカンダリ、対象外、または無効のいずれかの状態にすることができます。インターフェイス監視、SPU(サービス処理ユニット)監視、障害、手動フェイルオーバーなどの複数のイベント タイプは、状態遷移をトリガーできます。

シャーシ クラスタの形成を有効にする

2 つの vSRX 仮想ファイアウォール インスタンスを作成してシャーシ クラスターを形成し、クラスターに参加する各インスタンスのクラスター ID とノード ID を設定します。vSRX 仮想ファイアウォール インスタンスがクラスターに参加すると、そのクラスターのノードになります。一意のノード設定と管理 IP アドレスを除き、クラスター内のノードは同じ構成を共有します。

レイヤー2ドメインには、最大255台のシャーシクラスターを導入できます。クラスターとノードは、以下の方法で識別されます。

  • クラスタID(1~255の数字)は、クラスタを識別します。

  • ノードID(0~1の数字)は、クラスタノードを識別します。

一般に、SRX シリーズ ファイアウォールでは、クラスタ ID とノード ID が EEPROM に書き込まれます。vSRX 仮想ファイアウォール インスタンスでは、vSRX 仮想ファイアウォールが boot/loader.conf から ID を保存して読み取り、ID を使用して起動時にシャーシ クラスターを初期化します。

前提 条件

シャーシ クラスタリングを有効にする前に、vSRX 仮想ファイアウォール インスタンスが以下の前提条件に準拠していることを確認します。

  • シャーシ クラスタを形成する vSRX 仮想ファイアウォール インスタンスの両方に基本的な設定をコミットしました。 CLI を使用した vSRX の設定を参照してください。

  • Junos OS で使用して show version 、両方の vSRX 仮想ファイアウォール インスタンスのソフトウェア バージョンが同じであることを確認します。

  • Junos OS で使用して show system license 、両方の vSRX 仮想ファイアウォール インスタンスに同じライセンスがインストールされていることを確認します。

各 vSRX 仮想ファイアウォール ノードで同じシャーシ クラスタ ID を設定し、vSRX 仮想ファイアウォール VM を再起動して、シャーシ クラスタを形成する必要があります。

  1. 運用コマンド モードで、vSRX 仮想ファイアウォール ノード 0 でシャーシ クラスタ ID とノード番号を設定します。
  2. 運用コマンド モードで、vSRX 仮想ファイアウォール ノード 1 でシャーシ クラスタ ID とノード番号を設定します。
メモ:

シャーシ クラスタリングを有効にすると、vSRX 仮想ファイアウォール インターフェイスの命名および vNIC へのマッピングが変更されます。クラスター内の vSRX 仮想ファイアウォール VM のペア(ノード 0 とノード 1)のインターフェイス名とマッピングの概要については、『 Requirements for vSRX on KVM 』を参照してください。

J-Web を使用したシャーシ クラスタ クイック セットアップ

J-Web からシャーシ クラスタを設定するには、

  1. Web ブラウザの vSRX 仮想ファイアウォール ノード 0 インターフェイス IP アドレスを入力します。
  2. vSRX 仮想ファイアウォールのユーザー名とパスワードを入力し、[ログイン] をクリックします。J-Web ダッシュボードが表示されます。
  3. 左パネルで[ 構成ウィザード>クラスタ(HA)設定 )をクリックします。シャーシ クラスタ設定ウィザードが表示されます。セットアップ ウィザードの手順に従って、クラスタ ID とクラスタ内の 2 つのノードを設定し、接続を検証します。
    メモ:

    J-Web の組み込みヘルプ アイコンを使用して、シャーシ クラスタ設定ウィザードの詳細を確認します。

    メモ:

    Junos OS リリース 18.1 以降から 設定>デバイス設定>クラスタ(HA)設定 に移動し、シャーシ クラスタ設定を設定します。

  4. [はい]を選択してセカンダリ ノードノード1を設定します。これは、ラジオ ボタンを使用して 設定するセカンダリユニット(ノード1) です。
  5. [ 次へ] をクリックします。
  6. セカンダリ ノード アクセス用に 、パスワードの入力パスワードの再入力ノード 0 FXP0 IPノード 1 FXP0 IP などの設定を指定します。
  7. [ 次へ] をクリックします。
  8. セカンダリ ユニットのコントロール ポートとファブリック ポートを選択します。
  9. [ 次へ] をクリックします。
  10. (オプション)[ シャットダウンを実行する前にバックアップ ファイルを保存 する] チェックボックスをオンにして、シャーシ クラスタに再設定します。
  11. [ 次へ] をクリックします。
  12. [シャットダウン] をクリックし、他のユニットに接続し 続けます
  13. [ ブラウザーの更新] をクリックします。
  14. プライマリ ノード Node0 を設定するには、[いいえ] を選択します。これはプライマリ ユニットを設定し、シャーシ クラスタ設定を確立するプライマリ ユニット (ノード 0) です。
  15. [ 次へ] をクリックします。
  16. プライマリ ノード アクセス用に 、パスワードの入力パスワードの再入力ノード 0 FXP0 IPノード 1 FXP0 IP などの設定を指定します。
  17. [ 次へ ] をクリックして、プライマリ ユニットを再起動します。
  18. (オプション) シャットダウンを実行する前にバックアップ ファイルを保存 を選択し、現在の設定のバックアップ ファイルを保存してから続行します。
  19. [ Reboot](再起動)をクリックして続行します。再起動が完了したら、セカンダリ ユニットの電源をオンにして、シャーシ クラスタ接続を確立します。
  20. デバイスコンソールにログインし、静的ルートを追加してJ-Webアクセスを取得します。
  21. J-Web にログインし、左パネルの [構成ウィザード>クラスタ(HA)設定] をクリックします。シャーシ クラスタ設定ウィザードが表示されます。
  22. [ 次へ ] をクリックして、プライマリ ユニットを接続します。
  23. 基本設定を構成する DHCP クライアントIP アドレスデフォルト ゲートウェイメンバー インターフェイス ノード 0メンバー インターフェイス ノード 1
  24. [ 次へ ]をクリックして、シャーシ クラスタ設定を完了します。
  25. [ 完了] をクリックしてウィザードを終了します。J-Web を使用してプライマリ ノードにアクセスできます。

J-Web を使用したシャーシ クラスタの手動設定

J-Web インターフェイスを使用して、クラスター内のプライマリ ノード 0 vSRX 仮想ファイアウォール インスタンスを設定できます。クラスター ID とノード ID を設定し、各 vSRX 仮想ファイアウォールを再起動すると、以下の設定が自動的にセカンダリ ノード 1 vSRX 仮想ファイアウォール インスタンスと同期されます。

構成 >シャーシ クラスター>クラスター構成を選択します。シャーシ クラスタ設定ページが表示されます。

メモ:

Junos OS リリース 18.1 以降から 設定>デバイス設定>クラスタ(HA)設定 に移動し、HA クラスタ設定を設定します。

表 1 は、HA クラスタ設定タブの内容を説明しています。

表 2 は、[ノード設定]タブの編集方法を説明しています。

表 3 は、HA クラスタ インターフェイス テーブルを追加または編集する方法を説明しています。

表 4 は、HA クラスタ冗長グループ テーブルを追加または編集する方法を説明しています。

表 1:シャーシ クラスタ設定ページ

フィールド

関数

ノード設定

ノードID

ノード ID を表示します。

クラスター ID

ノードに設定されたクラスタ ID を表示します。

ホスト名

ノードの名前を表示します。

バックアップ ルーター

ルーティング エンジンがシャーシ クラスタの冗長グループ 0 のセカンダリ状態にある間、ゲートウェイとして使用されるルーターを表示します。

管理インターフェイス

ノードの管理インターフェイスを表示します。

IP アドレス

ノードの管理 IP アドレスを表示します。

ステータス

冗長性グループの状態を表示します。

  • プライマリー冗長性グループはアクティブです。

  • セカンダリーリダンダンシーグループはパッシブです。

シャーシ クラスタ>HA クラスタ設定>インターフェイス

名前

物理インターフェイス名を表示します。

メンバー インターフェイス/IP アドレス

インターフェイスに設定されたメンバー インターフェイス名または IP アドレスを表示します。

リダンダンシー グループ

冗長性グループを表示します。

シャーシ クラスタ>HA クラスタ設定>冗長グループ

グループ

冗長性グループの識別番号を表示します。

先取り

選択したプリエンプト オプションを表示します。

  • True - 優先度に基づいてプライマリ ロールをプリエンプトできます。

  • False - 優先度に基づいてプライマリ ロールをプリエンプトすることはできません。

Gratuitous ARP カウント

シャーシ クラスタ内の新たに選択されたプライマリ デバイスが他のネットワーク デバイスに存在をアナウンスするために送信する Gratuitous Address Resolution Protocol(ARP)リクエストの数を表示します。

ノード優先度

そのノードの冗長性グループに割り当てられた優先度を表示します。優先度が最も高い対象ノードは、冗長グループのプライマリとして選択されます。

表 2:ノード設定設定の詳細を編集する

フィールド

関数

アクション

ノード設定

ホスト名

ホストの名前を指定します。

ホストの名前を入力します。

バックアップ ルーター

ルーティング エンジンがシャーシ クラスタの冗長性グループ 0 のセカンダリ状態にある間、ゲートウェイとして使用されるデバイスを表示します。

バックアップ ルーターの IP アドレスを入力します。

Ip

宛先アドレスを追加します。

[ 追加] をクリックします。

削除

宛先アドレスを削除します。

[ 削除] をクリックします。

インターフェイス

インターフェイス

ルーターで使用可能なインターフェイスを指定します。

メモ:

各ファブリック リンクに対して 2 つのインターフェイスを追加および編集できます。

オプションを選択します。

Ip

インターフェイスIPアドレスを指定します。

インターフェイスIPアドレスを入力します。

追加

インターフェイスを追加します。

[ 追加] をクリックします。

削除

インターフェイスを削除します。

[ 削除] をクリックします。

表 3:HA クラスタ インターフェイス設定の詳細の追加

フィールド

関数

アクション

ファブリック リンク > ファブリック リンク 0(fab0)

インターフェイス

ファブリック リンク 0 を指定します。

インターフェイス IP ファブリック リンク 0 を入力します。

追加

ファブリック インターフェイス 0 を追加します。

[ 追加] をクリックします。

削除

ファブリック インターフェイス 0 を削除します。

[ 削除] をクリックします。

ファブリック リンク > ファブリック リンク 1(fab1)

インターフェイス

ファブリック リンク 1 を指定します。

ファブリック リンク 1 のインターフェイス IP を入力します。

追加

ファブリックインターフェイス1を追加します。

[ 追加] をクリックします。

削除

ファブリック インターフェイス 1 を削除します。

[ 削除] をクリックします。

冗長イーサネット

インターフェイス

各シャーシ上に1つずつ、2つの物理イーサネットインターフェイスで構成される論理インターフェイスを指定します。

論理インターフェイスを入力します。

Ip

冗長イーサネットIPアドレスを指定します。

冗長イーサネットIPアドレスを入力します。

リダンダンシー グループ

シャーシ クラスタ内の冗長性グループ ID 番号を指定します。

リストから冗長性グループを選択します。

追加

冗長イーサネット IP アドレスを追加します。

[ 追加] をクリックします。

削除

冗長イーサネット IP アドレスを削除します。

[ 削除] をクリックします。

表 4:冗長グループ設定の詳細を追加する

フィールド

関数

アクション

リダンダンシー グループ

冗長性グループ名を指定します。

冗長性グループ名を入力します。

プライマリシップのプリエンプションを許可

優先度の高いノードが、冗長グループのフェイルオーバーを開始できるようにします。

メモ:

デフォルトでは、この機能は無効になっています。無効にすると、優先度の高いノードは冗長性グループのフェイルオーバーを開始しません(監視対象のインターフェイスで特定されたネットワーク接続の障害など、その他の要因がフェイルオーバーを引き起こす場合を除きます)。

Gratuitous ARP カウント

新たに選択されたプライマリがアクティブな冗長イーサネット インターフェイスの子リンクに送信し、冗長イーサネット インターフェイス リンクのプライマリ ロールの変更をネットワーク デバイスに通知する Gratuitous Address Resolution Protocol リクエストの数を指定します。

1~16の値を入力します。デフォルトは4です。

node0優先度

冗長性グループのノード0の優先度値を指定します。

ノード優先度番号を 0 と入力します。

Node1優先度

冗長性グループのノード1の優先度値を指定します。

ノード優先度番号を 1 として選択します。

インターフェイス モニター

   

インターフェイス

クラスタ用に作成する冗長イーサネット インターフェイスの数を指定します。

リストからインターフェイスを選択します。

重量

監視するインターフェイスの重みを指定します。

1~125の値を入力します。

追加

冗長グループが監視するインターフェイスと、それぞれの重みを追加します。

[ 追加] をクリックします。

削除

冗長グループが監視するインターフェイスと、それぞれの重みを削除します。

設定されたリストからインターフェイスを選択し、 削除をクリックします。

IP 監視

重量

IP 監視のグローバル重みを指定します。

0~255の値を入力します。

しきい値

IP 監視のグローバルしきい値を指定します。

0~255の値を入力します。

再試行回数

到達可能性失敗の宣言に必要な再試行回数を指定します。

5~15の値を入力します。

再試行間隔

再試行の間隔を秒単位で指定します。

1~30の値を入力します。

監視対象の IPV4 アドレス

Ip

到達可能性を監視する IPv4 アドレスを指定します。

IPv4アドレスを入力します。

重量

監視する冗長性グループ インターフェイスの重みを指定します。

重量を入力します。

インターフェイス

この IP アドレスを監視する論理インターフェイスを指定します。

論理インターフェイスアドレスを入力します。

セカンダリ IP アドレス

セカンダリ リンク上のパケットを監視するための送信元アドレスを指定します。

セカンダリ IP アドレスを入力します。

追加

監視対象の IPv4 アドレスを追加します。

[ 追加] をクリックします。

削除

監視対象の IPv4 アドレスを削除します。

リストから IPv4 アドレスを選択し、 [ 削除] をクリックします。