Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

KVM の vSRX 仮想ファイアウォール クラスターのステージングとプロビジョニング

vSRX 仮想ファイアウォール VM と仮想ネットワークをプロビジョニングして、シャーシ クラスタリングを構成できます。

vSRX 仮想ファイアウォール シャーシ クラスター のステージングとプロビジョニングには、以下のタスクが含まれます。

vSRX 仮想ファイアウォールでのシャーシ クラスタ プロビジョニング

シャーシ クラスタでは、2 つの vSRX 仮想ファイアウォール インスタンス間で以下の直接接続が必要です。

  • 2 つの vSRX 仮想ファイアウォール インスタンス間のコントロール プレーン トラフィックに対してアクティブ/パッシブ モードで動作する制御リンク( 仮想ネットワーク)

  • 2つのvSRX仮想ファイアウォールインスタンス間のデータトラフィックに対してアクティブ/アクティブモードで動作するファブリックリンク、または仮想ネットワーク

    メモ:

    オプションで、冗長性を高める 2 つのファブリック リンクを作成できます。

vSRX仮想ファイアウォールクラスターは、以下のインターフェイスを使用します。

  • アウトオブバンド管理インターフェイス(fxp0)

  • クラスター制御インターフェイス(em0)

  • クラスター ファブリック インターフェイス(node0 の fab0、ノード 1 の fab1)

メモ:

制御インターフェイスは2番目の vNICである必要があります。オプションで 2 つ目のファブリック リンクを設定して、冗長性を高めることができます。
図 1:vSRX 仮想ファイアウォール シャーシ クラスター vSRX Virtual Firewall Chassis Cluster

vSRX 仮想ファイアウォールは、virtio ドライバーとインターフェイスを使用してシャーシ クラスターをサポートします。次の点に注意してください。

  • シャーシクラスタを有効にする場合、virtioネットワークインターフェイス上のファブリックリンクをサポートするために、ジャンボフレーム(MTUサイズ = 9000)も有効にする必要があります。

  • 2つの物理ホスト間でシャーシクラスタを設定する場合、vSRX仮想ファイアウォール制御リンクが使用する各ホスト物理インターフェイスでigmpスヌーピングを無効にして、シャーシクラスタ内の両方のノードで制御リンクハートビートを受信するようにします。

  • シャーシクラスタを有効にした後、vSRX仮想ファイアウォールインスタンスは、2番目のvNICをコントロールリンクem0にマッピングします。他の vNIC をファブリック リンクにマッピングできます。

メモ:

virtio インターフェイスの場合、リンク ステータスの更新はサポートされていません。virtio インターフェイスのリンク ステータスは、常に Up として報告されます。このため、virtio およびシャーシ クラスターを使用する vSRX 仮想ファイアウォール インスタンスは、virtio インターフェイスからリンク アップ メッセージとリンク ダウン メッセージを受信できません。

仮想ネットワークMACエージング時間は、エントリーがMACテーブルに残る時間を決定します。フェイルオーバー時のダウンタイムを最小限に抑えるために、仮想ネットワークのMACエージング時間を短縮することをお勧めします。

例えば、 コマンドを brctl setageing bridge 1 使用して、Linuxブリッジのエージングを1秒に設定できます。

制御リンクとファブリックリンクに仮想ネットワークを設定し、制御インターフェイスを制御仮想ネットワークに、ファブリックインターフェイスをファブリック仮想ネットワークに作成して接続します。

virt-manager によるシャーシ クラスタ 仮想ネットワークの作成

KVM では、シャーシ クラスタリング用に各 vSRX 仮想ファイアウォール インスタンスを接続できる 2 つの仮想ネットワーク(制御とファブリック)を作成します。

を使用して仮想ネットワークを作成するには、次の手順に virt-manager示します。

  1. を起動 virt-manager して[ 編集>接続の詳細]を選択します。[接続の詳細] ダイアログ ボックスが表示されます。
  2. [ 仮想ネットワーク] を選択します。既存の仮想ネットワークの一覧が表示されます。
  3. [ + ] をクリックして、制御リンク用の新しい仮想ネットワークを作成します。[新しい仮想ネットワークの作成] ウィザードが表示されます。
  4. この仮想ネットワークのサブネットを設定し、 [転送] をクリックします。
  5. [ DHCP の有効化] を選択し、[ 転送] をクリックします。
  6. [ 分離された仮想ネットワーク ] を選択し、[ 転送] をクリックします。
  7. 設定を確認し、 完了 をクリックして仮想ネットワークを作成します。

virsh を使用したシャーシ クラスター仮想ネットワークの作成

KVM では、シャーシ クラスタリング用に各 vSRX 仮想ファイアウォールを接続できる 2 つの仮想ネットワーク(制御とファブリック)を作成します。

を使用して制御ネットワークを作成するには、次の手順に virshしたがっています。

  1. ホストOSで コマンドvirsh net-defineを使用して、新しい仮想ネットワークを定義するXMLファイルを作成します。このネットワークを定義するには、表 1 で説明されている XML フィールドを含めます。
    メモ:

    利用可能なオプションの完全な説明については、公式 virsh ドキュメントを参照してください。
    表 1: virsh net-define XML フィールド

    フィールド

    説明

    <ネットワーク>...</ネットワーク>

    この XML ラッパー要素を使用して仮想ネットワークを定義します。

    <名>net-name</名前>

    仮想ネットワーク名を指定します。

    <bridge name="bridge-name" />

    この仮想ネットワークに使用するホスト・ブリッジの名前を指定します。

    <フォワード モード="forward-option" />

    ルーテッドまたはnatを指定します。絶縁モードでは、<フォワード>エレメントを使用しないでください。

    <ip address="ip-address" ネットマスク="net-mask"

    <dhcp 範囲 start="start" end="end" </dhcp> </ip>

    この仮想ネットワークで使用される IP アドレスとサブネット マスクを、DHCP アドレス範囲とともに指定します。

    以下の例は、制御仮想ネットワークを定義するサンプル XML ファイルを示しています。

  2. コマンドを virsh net-start 使用して、新しい仮想ネットワークを開始します。

    ホストOS# virsh net-start control

  3. コマンドを virsh net-autostart 使用すると、ホストOSの起動時に新しい仮想ネットワークが自動的に開始されます。

    ホストOS# virsh net-autostart control

  4. オプションで、ホストOSの virsh net-list –all コマンドを使用して、新しい仮想ネットワークを検証します。
  5. ファブリック仮想ネットワークを作成するには、この手順を繰り返します。

virt-manager によるコントロール インターフェイスとファブリック インターフェイスの設定

でシャーシクラスタリングのコントロールインターフェイスとファブリックインターフェイスを virt-manager設定するには:

  1. で、 virt-managervSRX 仮想ファイアウォール VM をダブルクリックし、[ 表示>詳細] を選択します。[vSRX 仮想ファイアウォール仮想マシンの詳細] ダイアログ ボックスが表示されます。
  2. 2番目の vNIC を選択し、[ソースデバイス]リストから制御 仮想ネットワーク を選択します。
  3. [デバイス モデル] リストから virtio を選択し、 [ 適用] をクリックします。
  4. 後続のvNICを選択し、送信元デバイスリストからファブリック仮想ネットワークを選択します。
  5. [デバイス モデル] リストから virtio を選択し、 [ 適用] をクリックします。
  6. ファブリックインターフェイスでは、ホストOSの ifconfig コマンドを使用して、MTUを9000に設定します。

    ホストOS# ifconfig vnet1 mtu 9000

virsh による制御およびファブリック インターフェイスの設定

vSRX 仮想ファイアウォール VM へのコントロール インターフェイスとファブリック インターフェイスを設定するには、次の手順に virsh示します。

  1. ホストOSで を入力 virsh attach-interface --domain vsrx-vm-name --type network --source control-vnetwork --target control --model virtio します。

    このコマンドは、control と呼ばれる仮想インターフェイスを作成し、それを制御仮想ネットワークに接続します。

  2. ホストOSで を入力 virsh attach-interface --domain vsrx-vm-name --type network --source fabric-vnetwork --target fabric --model virtio します。

    このコマンドは、ファブリックと呼ばれる仮想インターフェイスを作成し、それをファブリック仮想ネットワークに接続します。

  3. ファブリックインターフェイスでは、ホストOSの ifconfig コマンドを使用して、MTUを9000に設定します。

    ホストOS# ifconfig vnet1 mtu 9000

シャーシ クラスタ ファブリック ポートの設定

シャーシ クラスタが形成された後、ファブリック(データ)ポートを構成するインターフェイスを設定する必要があります。

以下を設定していることを確認します。

  • 両方の vSRX 仮想ファイアウォール インスタンスでシャーシ クラスタ ID を設定し、vSRX 仮想ファイアウォール インスタンスを再起動します。

  • 制御リンクとファブリックリンクを設定します。

  1. 設定モードの vSRX 仮想ファイアウォール ノード 0 コンソールで、RNO(リアルタイム オブジェクト)の渡しに使用されるクラスタのファブリック(データ)ポートを設定します。設定は、コントロール ポートから vSRX 仮想ファイアウォール ノード 1 に直接同期されます。
    メモ:

    ファブリックポートは、未使用の収益インターフェイスである可能性があります。
  2. vSRX 仮想ファイアウォール ノード 0 を再起動します。

関連ドキュメント