Junos OS で vSRX 仮想ファイアウォール シャーシ クラスターを設定する
シャーシ クラスタの概要
シャーシ クラスタは 、同じ種類の vSRX 仮想ファイアウォール インスタンスのペアをクラスタにグループ化し、ネットワーク ノードの冗長性を提供します。シャーシ クラスタ内の vSRX 仮想ファイアウォール インスタンスは、同じ Junos OS リリースを実行している必要があり、各インスタンスはシャーシ クラスタ内のノードになります。各ノードの制御仮想インターフェイスを接続し、クラスタ内の両方のノードで設定と Junos OS カーネル状態を同期する コントロール プレーン を形成します。制御リンク( 仮想ネットワーク または vSwitch)は、インターフェイスとサービスの冗長性を促進します。同様に、ファブリック仮想インターフェイス上の各ノード上の データプレーン を接続して、統合されたデータプレーンを形成します。ファブリックリンク(仮想ネットワークまたはvSwitch)は、クロスノードフロー処理の管理とセッション冗長性の管理を可能にします。
コントロール プレーン ソフトウェアはアクティブ/パッシブ モードで動作します。シャーシ クラスタとして設定すると、1 つのノードがプライマリとして機能し、もう 1 つのノードがセカンダリとして機能し、プライマリでシステムまたはハードウェアに障害が発生した場合に、プロセスとサービスのステートフル フェイルオーバーを確保します。プライマリに障害が発生した場合、セカンダリが制御プレーントラフィックの処理を引き継ぎます。
2つのホスト間でシャーシクラスタを設定する場合、各ホストの物理インターフェイスが属し、制御仮想NIC(vNIC)が使用するブリッジでigmpスヌーピングを無効にします。これにより、シャーシ クラスタ内の両方のノードで制御リンク ハートビートを受信できます。
シャーシ クラスタ データ プレーンは、アクティブ/アクティブ モードで動作します。シャーシクラスターでは、トラフィックがいずれかのノードを通過すると、データプレーンはセッション情報を更新し、ファブリックリンクを介してノード間で情報を送信し、フェイルオーバーが発生した場合に確立されたセッションがドロップしないことを保証します。アクティブ/アクティブ モードでは、トラフィックは 1 つのノードでクラスタに入り、もう一方のノードから出ることができます。
シャーシ クラスタの機能には以下が含まれます。
耐障害性に優れたシステム アーキテクチャ。クラスター全体に対応する単一のアクティブな制御プレーンと複数の パケット転送エンジンを備えています。このアーキテクチャでは、クラスタの単一のデバイス ビューが表示されます。
クラスター内のノード間の構成と動的ランタイム状態の同期。
物理インターフェイスの監視、および障害パラメータが設定されたしきい値を超えた場合のフェイルオーバー。
カプセル化された IPv4 または IPv6 トラフィックを、それぞれ gr-0/0/0 と ip-0/0 の 2 つの内部インターフェイスでルーティングするために使用される GRE(汎用ルーティング カプセル化)および IP-over-IP(IP-IP)トンネルをサポートします。Junos OS は、システムの起動時にこれらのインターフェイスを作成し、これらのインターフェイスを GRE および IP-IP トンネルの処理にのみ使用します。
クラスター ノードは、任意の時点で、ホールド、プライマリ、セカンダリ ホールド、セカンダリ、対象外、または無効のいずれかの状態にすることができます。インターフェイス監視、SPU(サービス処理ユニット)監視、障害、手動フェイルオーバーなどの複数のイベント タイプは、状態遷移をトリガーできます。
シャーシ クラスタの形成を有効にする
2 つの vSRX 仮想ファイアウォール インスタンスを作成してシャーシ クラスターを形成し、クラスターに参加する各インスタンスのクラスター ID とノード ID を設定します。vSRX 仮想ファイアウォール インスタンスがクラスターに参加すると、そのクラスターのノードになります。一意のノード設定と管理 IP アドレスを除き、クラスター内のノードは同じ構成を共有します。
レイヤー2ドメインには、最大255台のシャーシクラスターを導入できます。クラスターとノードは、以下の方法で識別されます。
クラスタID(1~255の数字)は、クラスタを識別します。
ノードID(0~1の数字)は、クラスタノードを識別します。
一般に、SRX シリーズ ファイアウォールでは、クラスタ ID とノード ID が EEPROM に書き込まれます。vSRX 仮想ファイアウォール インスタンスでは、vSRX 仮想ファイアウォールが boot/loader.conf から ID を保存して読み取り、ID を使用して起動時にシャーシ クラスターを初期化します。
前提 条件
シャーシ クラスタリングを有効にする前に、vSRX 仮想ファイアウォール インスタンスが以下の前提条件に準拠していることを確認します。
シャーシ クラスタを形成する vSRX 仮想ファイアウォール インスタンスの両方に基本的な設定をコミットしました。 CLI を使用した vSRX の設定を参照してください。
Junos OS で使用して
show version
、両方の vSRX 仮想ファイアウォール インスタンスのソフトウェア バージョンが同じであることを確認します。Junos OS で使用して
show system license
、両方の vSRX 仮想ファイアウォール インスタンスに同じライセンスがインストールされていることを確認します。
各 vSRX 仮想ファイアウォール ノードで同じシャーシ クラスタ ID を設定し、vSRX 仮想ファイアウォール VM を再起動して、シャーシ クラスタを形成する必要があります。
シャーシ クラスタリングを有効にすると、vSRX 仮想ファイアウォール インターフェイスの命名および vNIC へのマッピングが変更されます。クラスター内の vSRX 仮想ファイアウォール VM のペア(ノード 0 とノード 1)のインターフェイス名とマッピングの概要については、『 Requirements for vSRX on KVM 』を参照してください。
J-Web を使用したシャーシ クラスタ クイック セットアップ
J-Web からシャーシ クラスタを設定するには、
J-Web を使用したシャーシ クラスタの手動設定
J-Web インターフェイスを使用して、クラスター内のプライマリ ノード 0 vSRX 仮想ファイアウォール インスタンスを設定できます。クラスター ID とノード ID を設定し、各 vSRX 仮想ファイアウォールを再起動すると、以下の設定が自動的にセカンダリ ノード 1 vSRX 仮想ファイアウォール インスタンスと同期されます。
構成 >シャーシ クラスター>クラスター構成を選択します。シャーシ クラスタ設定ページが表示されます。
Junos OS リリース 18.1 以降から 設定>デバイス設定>クラスタ(HA)設定 に移動し、HA クラスタ設定を設定します。
表 1 は、HA クラスタ設定タブの内容を説明しています。
表 2 は、[ノード設定]タブの編集方法を説明しています。
表 3 は、HA クラスタ インターフェイス テーブルを追加または編集する方法を説明しています。
表 4 は、HA クラスタ冗長グループ テーブルを追加または編集する方法を説明しています。
フィールド |
関数 |
---|---|
ノード設定 |
|
ノードID |
ノード ID を表示します。 |
クラスター ID |
ノードに設定されたクラスタ ID を表示します。 |
ホスト名 |
ノードの名前を表示します。 |
バックアップ ルーター |
ルーティング エンジンがシャーシ クラスタの冗長グループ 0 のセカンダリ状態にある間、ゲートウェイとして使用されるルーターを表示します。 |
管理インターフェイス |
ノードの管理インターフェイスを表示します。 |
IP アドレス |
ノードの管理 IP アドレスを表示します。 |
ステータス |
冗長性グループの状態を表示します。
|
シャーシ クラスタ>HA クラスタ設定>インターフェイス |
|
名前 |
物理インターフェイス名を表示します。 |
メンバー インターフェイス/IP アドレス |
インターフェイスに設定されたメンバー インターフェイス名または IP アドレスを表示します。 |
リダンダンシー グループ |
冗長性グループを表示します。 |
シャーシ クラスタ>HA クラスタ設定>冗長グループ |
|
グループ |
冗長性グループの識別番号を表示します。 |
先取り |
選択したプリエンプト オプションを表示します。
|
Gratuitous ARP カウント |
シャーシ クラスタ内の新たに選択されたプライマリ デバイスが他のネットワーク デバイスに存在をアナウンスするために送信する Gratuitous Address Resolution Protocol(ARP)リクエストの数を表示します。 |
ノード優先度 |
そのノードの冗長性グループに割り当てられた優先度を表示します。優先度が最も高い対象ノードは、冗長グループのプライマリとして選択されます。 |
フィールド |
関数 |
アクション |
---|---|---|
ノード設定 |
||
ホスト名 |
ホストの名前を指定します。 |
ホストの名前を入力します。 |
バックアップ ルーター |
ルーティング エンジンがシャーシ クラスタの冗長性グループ 0 のセカンダリ状態にある間、ゲートウェイとして使用されるデバイスを表示します。 |
バックアップ ルーターの IP アドレスを入力します。 |
先 |
||
Ip |
宛先アドレスを追加します。 |
[ 追加] をクリックします。 |
削除 |
宛先アドレスを削除します。 |
[ 削除] をクリックします。 |
インターフェイス |
||
インターフェイス |
ルーターで使用可能なインターフェイスを指定します。
メモ:
各ファブリック リンクに対して 2 つのインターフェイスを追加および編集できます。 |
オプションを選択します。 |
Ip |
インターフェイスIPアドレスを指定します。 |
インターフェイスIPアドレスを入力します。 |
追加 |
インターフェイスを追加します。 |
[ 追加] をクリックします。 |
削除 |
インターフェイスを削除します。 |
[ 削除] をクリックします。 |
フィールド |
関数 |
アクション |
---|---|---|
ファブリック リンク > ファブリック リンク 0(fab0) |
||
インターフェイス |
ファブリック リンク 0 を指定します。 |
インターフェイス IP ファブリック リンク 0 を入力します。 |
追加 |
ファブリック インターフェイス 0 を追加します。 |
[ 追加] をクリックします。 |
削除 |
ファブリック インターフェイス 0 を削除します。 |
[ 削除] をクリックします。 |
ファブリック リンク > ファブリック リンク 1(fab1) |
||
インターフェイス |
ファブリック リンク 1 を指定します。 |
ファブリック リンク 1 のインターフェイス IP を入力します。 |
追加 |
ファブリックインターフェイス1を追加します。 |
[ 追加] をクリックします。 |
削除 |
ファブリック インターフェイス 1 を削除します。 |
[ 削除] をクリックします。 |
冗長イーサネット |
||
インターフェイス |
各シャーシ上に1つずつ、2つの物理イーサネットインターフェイスで構成される論理インターフェイスを指定します。 |
論理インターフェイスを入力します。 |
Ip |
冗長イーサネットIPアドレスを指定します。 |
冗長イーサネットIPアドレスを入力します。 |
リダンダンシー グループ |
シャーシ クラスタ内の冗長性グループ ID 番号を指定します。 |
リストから冗長性グループを選択します。 |
追加 |
冗長イーサネット IP アドレスを追加します。 |
[ 追加] をクリックします。 |
削除 |
冗長イーサネット IP アドレスを削除します。 |
[ 削除] をクリックします。 |
フィールド |
関数 |
アクション |
---|---|---|
リダンダンシー グループ |
冗長性グループ名を指定します。 |
冗長性グループ名を入力します。 |
プライマリシップのプリエンプションを許可 |
優先度の高いノードが、冗長グループのフェイルオーバーを開始できるようにします。
メモ:
デフォルトでは、この機能は無効になっています。無効にすると、優先度の高いノードは冗長性グループのフェイルオーバーを開始しません(監視対象のインターフェイスで特定されたネットワーク接続の障害など、その他の要因がフェイルオーバーを引き起こす場合を除きます)。 |
– |
Gratuitous ARP カウント |
新たに選択されたプライマリがアクティブな冗長イーサネット インターフェイスの子リンクに送信し、冗長イーサネット インターフェイス リンクのプライマリ ロールの変更をネットワーク デバイスに通知する Gratuitous Address Resolution Protocol リクエストの数を指定します。 |
1~16の値を入力します。デフォルトは4です。 |
node0優先度 |
冗長性グループのノード0の優先度値を指定します。 |
ノード優先度番号を 0 と入力します。 |
Node1優先度 |
冗長性グループのノード1の優先度値を指定します。 |
ノード優先度番号を 1 として選択します。 |
インターフェイス モニター |
||
インターフェイス |
クラスタ用に作成する冗長イーサネット インターフェイスの数を指定します。 |
リストからインターフェイスを選択します。 |
重量 |
監視するインターフェイスの重みを指定します。 |
1~125の値を入力します。 |
追加 |
冗長グループが監視するインターフェイスと、それぞれの重みを追加します。 |
[ 追加] をクリックします。 |
削除 |
冗長グループが監視するインターフェイスと、それぞれの重みを削除します。 |
設定されたリストからインターフェイスを選択し、 削除をクリックします。 |
IP 監視 |
||
重量 |
IP 監視のグローバル重みを指定します。 |
0~255の値を入力します。 |
しきい値 |
IP 監視のグローバルしきい値を指定します。 |
0~255の値を入力します。 |
再試行回数 |
到達可能性失敗の宣言に必要な再試行回数を指定します。 |
5~15の値を入力します。 |
再試行間隔 |
再試行の間隔を秒単位で指定します。 |
1~30の値を入力します。 |
監視対象の IPV4 アドレス |
||
Ip |
到達可能性を監視する IPv4 アドレスを指定します。 |
IPv4アドレスを入力します。 |
重量 |
監視する冗長性グループ インターフェイスの重みを指定します。 |
重量を入力します。 |
インターフェイス |
この IP アドレスを監視する論理インターフェイスを指定します。 |
論理インターフェイスアドレスを入力します。 |
セカンダリ IP アドレス |
セカンダリ リンク上のパケットを監視するための送信元アドレスを指定します。 |
セカンダリ IP アドレスを入力します。 |
追加 |
監視対象の IPv4 アドレスを追加します。 |
[ 追加] をクリックします。 |
削除 |
監視対象の IPv4 アドレスを削除します。 |
リストから IPv4 アドレスを選択し、 [ 削除] をクリックします。 |