Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

KVM用のvSRX仮想ファイアウォールクラスターのステージングとプロビジョニング

vSRX仮想ファイアウォールVMと仮想ネットワークをプロビジョニングして、シャーシクラスタリングを設定できます。

vSRX仮想ファイアウォール シャーシクラスター のステージングとプロビジョニングには、以下のタスクが含まれます。

vSRX仮想ファイアウォールでのシャーシクラスタープロビジョニング

シャーシクラスタには、2つのvSRX仮想ファイアウォールインスタンス間の以下の直接接続が必要です。

  • 2つのvSRX仮想ファイアウォールインスタンス間のコントロールプレーントラフィックに対してアクティブ/パッシブモードで動作する制御リンクまたは仮想ネットワーク

  • 2つのvSRX仮想ファイアウォールインスタンス間のデータトラフィックに対してアクティブ/アクティブモードで動作するファブリックリンクまたは仮想ネットワーク

    手記:

    冗長性を高めるため、オプションで 2 つのファブリックリンクを作成できます。

vSRX仮想ファイアウォールクラスターは、次のインターフェイスを使用します。

  • アウトオブバンド管理インターフェイス(fxp0)

  • クラスタ制御インタフェース(em0)

  • クラスタ ファブリック インターフェイス(ノード 0 の fab0、ノード 1 の fab1)

手記:

制御インターフェイスは 2 番目の vNIC である必要があります。冗長性を高めるため、オプションで2つ目のファブリックリンクを設定することもできます。
図 1:vSRX仮想ファイアウォール シャーシ クラスタ vSRX Virtual Firewall Chassis Cluster

vSRX仮想ファイアウォールは、以下の点を考慮して、virtioドライバーとインターフェイスを使用したシャーシクラスターをサポートします。

  • シャーシクラスターを有効にする場合、ジャンボフレーム(MTU サイズ = 9000)も有効にして、virtio ネットワークインターフェイス上のファブリックリンクをサポートする必要があります。

  • 2 つの物理ホストにまたがってシャーシ クラスタを設定する場合は、vSRX仮想ファイアウォール制御リンクが使用する各ホスト物理インターフェイスで igmp-snooping を無効にして、制御リンクのハートビートがシャーシ クラスタ内の両方のノードで受信されるようにします。

  • シャーシクラスタを有効にすると、vSRX仮想ファイアウォールインスタンスは2番目のvNICを制御リンクem0にマッピングします。他の vNIC をファブリック リンクにマッピングできます。

手記:

virtio インターフェイスの場合、リンクステータスの更新はサポートされていません。virtio インターフェイスのリンクステータスは、常に Up として報告されます。このため、virtio およびシャーシクラスターを使用する vSRX仮想ファイアウォールインスタンスは、virtio インターフェイスからリンクアップおよびリンクダウンメッセージを受信できません。

仮想ネットワークの MAC エージング タイムによって、エントリが MAC テーブルに残る時間が決まります。フェールオーバー中のダウンタイムを最小限に抑えるために、仮想ネットワークの MAC エージング タイムを短縮することをお勧めします。

たとえば、 brctl setageing bridge 1 コマンドを使用して、Linux ブリッジのエージングを 1 秒に設定できます。

制御リンクとファブリックリンクの仮想ネットワークを構成してから、制御仮想ネットワークへの制御インターフェイスとファブリック仮想ネットワークへのファブリックインターフェイスを作成して接続します。

virt-manager を使用したシャーシクラスター仮想ネットワークの作成

KVMでは、シャーシクラスタリングのために各vSRX仮想ファイアウォールインスタンスを接続できる2つの仮想ネットワーク(制御とファブリック)を作成します。

virt-managerで仮想ネットワークを作成するには、次のようにします。

  1. virt-managerを起動し、[Edit>Connection Details] を選択します。[接続の詳細] ダイアログ ボックスが表示されます。
  2. [ 仮想ネットワーク] を選択します。既存の仮想ネットワークのリストが表示されます。
  3. [+] をクリックして、制御リンク用の新しい仮想ネットワークを作成します。[新しい仮想ネットワークの作成] ウィザードが表示されます。
  4. この仮想ネットワークのサブネットを設定し、 [転送] をクリックします。
  5. [ DHCPを有効にする ]を選択し、[ 転送]をクリックします。
  6. [分離された仮想ネットワーク] を選択し、 [進む] をクリックします。
  7. 設定を確認し、[ 完了] をクリックして仮想ネットワークを作成します。

virsh を使用したシャーシ クラスタ仮想ネットワークの作成

KVMでは、シャーシクラスタリングのために各vSRX仮想ファイアウォールを接続できる2つの仮想ネットワーク(制御とファブリック)を作成します。

virshで制御ネットワークを作成するには、次のようにします。

  1. ホスト OS で virsh net-define コマンドを使用して、新しい仮想ネットワークを定義するXML ファイルを作成します。表 1 で説明されている XML フィールドを組み込み、このネットワークを定義します。
    手記:

    使用可能なオプションの詳細については、公式の virsh ドキュメントを参照してください。
    表 1: virsh net-define XML フィールド

    形容

    <ネットワーク>...</ネットワーク>

    この XML ラッパー要素を使用して、仮想ネットワークを定義します。

    <name>net-name</name>

    仮想ネットワーク名を指定します。

    <bridge name="bridge-name" />

    この仮想ネットワークに使用されるホスト ブリッジの名前を指定します。

    <forward mode="forward-option" />

    routed または nat を指定します。分離モードでは <forward> 要素を使用しないでください。

    <IPアドレス="ip-address" ネットマスク="net-mask"

    <dhcp range start="start" end="end" </dhcp> </ip>

    この仮想ネットワークで使用される IP アドレスとサブネットマスク、および DHCP アドレス範囲を指定します。

    次の例は、制御仮想ネットワークを定義するサンプル XML ファイルを示しています。

  2. virsh net-start コマンドを使用して、新しい仮想ネットワークを起動します。

    ホストOS# virsh net-start control

  3. virsh net-autostart コマンドを使用して、ホスト OS の起動時に新しい仮想ネットワークを自動的に起動します。

    ホストOS# virsh net-autostart control

  4. 必要に応じて、ホスト OS で virsh net-list –all コマンドを使用して、新しい仮想ネットワークを確認します。
  5. この手順を繰り返して、ファブリック仮想ネットワークを作成します。

virt-manager を使用したコントロールおよびファブリックインターフェイスの設定

virt-managerを使用してシャーシクラスタリング用の制御インターフェイスとファブリックインターフェイスを設定するには、次の手順に従います。

  1. virt-managerで、vSRX仮想ファイアウォール VM をダブルクリックし、[表示>詳細] を選択します。[vSRX仮想ファイアウォール仮想マシンの詳細]ダイアログボックスが表示されます。
  2. 2 番目の vNIC を選択し、 [ソース デバイス] リストから制御 仮想ネットワーク を選択します。
  3. デバイスモデルリストから virtio を選択し 、適用 をクリックします。
  4. 後続の vNIC を選択し、[ソース デバイス] リストからファブリック仮想ネットワークを選択します。
  5. デバイスモデルリストから virtio を選択し 、適用 をクリックします。
  6. ファブリック インターフェイスでは、ホスト OS で ifconfig コマンドを使用して MTU を 9000 に設定します。

    ホストOS# ifconfig vnet1 mtu 9000

virsh による制御インターフェイスとファブリックインターフェイスの設定

vSRX仮想ファイアウォール VM への制御インターフェイスおよびファブリック インターフェイスを virsh で設定するには:

  1. ホストOSで virsh attach-interface --domain vsrx-vm-name --type network --source control-vnetwork --target control --model virtio を入力します。

    このコマンドは、control という仮想インターフェイスを作成し、それを制御仮想ネットワークに接続します。

  2. ホストOSで virsh attach-interface --domain vsrx-vm-name --type network --source fabric-vnetwork --target fabric --model virtio を入力します。

    このコマンドは、fabric という仮想インターフェイスを作成し、それをファブリック仮想ネットワークに接続します。

  3. ファブリック インターフェイスでは、ホスト OS で ifconfig コマンドを使用して MTU を 9000 に設定します。

    ホストOS# ifconfig vnet1 mtu 9000

シャーシ クラスタ ファブリック ポートの設定

シャーシ クラスタが形成されたら、ファブリック(データ)ポートを構成するインターフェイスを設定する必要があります。

以下が設定されていることを確認します。

  • 両方のvSRX仮想ファイアウォールインスタンスでシャーシクラスタIDを設定し、vSRX仮想ファイアウォールインスタンスを再起動しました。

  • 制御リンクとファブリックリンクが設定されていること。

  1. 設定モードのvSRX仮想ファイアウォールノード0コンソールで、リアルタイムオブジェクト(RTO)の受け渡しに使用するクラスタのファブリック(データ)ポートを設定します。設定は、制御ポートを介してvSRX仮想ファイアウォールノード1に直接同期されます。
    手記:

    ファブリックポートは、任意の未使用の収益インターフェイスにすることができます。
  2. vSRX仮想ファイアウォールノード0を再起動します。

関連資料