Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

Junos OSでのvSRX仮想ファイアウォールシャーシクラスターの設定

シャーシ クラスタの概要

シャーシ クラスターは、同じ種類のvSRX仮想ファイアウォールインスタンスのペアをクラスターにグループ化し、ネットワークノードの冗長性を提供します。シャーシクラスター内のvSRX仮想ファイアウォールインスタンスは、同じJunos OSリリースを実行している必要があり、各インスタンスはシャーシクラスター内のノードになります。それぞれのノードで制御仮想インターフェイスを接続して、クラスタ内の両ノードの設定と Junos OS カーネルの状態を同期させる コントロール プレーン を形成します。制御リンク( 仮想ネットワーク または vSwitch)は、インターフェイスとサービスの冗長性を促進します。同様に、ファブリックの仮想インターフェイスを介して各ノードのデータプレーンを接続し、統合データ プレーン を形成します。ファブリックリンク(仮想ネットワークまたはvSwitch)により、ノード間のフロー処理の管理とセッションの冗長性の管理が可能になります。

コントロールプレーンソフトウェアは、アクティブ/パッシブモードで動作します。シャーシ クラスタとして設定されると、1 つのノードがプライマリとして機能し、もう 1 つのノードがセカンダリとして機能します。これにより、プライマリでシステムまたはハードウェアに障害が発生した場合に、プロセスとサービスのステートフル フェイルオーバーを確保します。プライマリに障害が発生した場合、セカンダリがコントロールプレーントラフィックの処理を引き継ぎます。

メモ:

2 つのホストにまたがってシャーシ クラスタを設定する場合は、各ホスト物理インターフェイスが属し、制御仮想 NIC(vNIC)が使用するブリッジで igmp-snooping を無効にします。これにより、シャーシ クラスタの両方のノードで制御リンク ハートビートが確実に受信されます。

シャーシ クラスタ データ プレーンは、アクティブ/アクティブ モードで動作します。シャーシ クラスタでは、トラフィックがいずれかのノードを通過するとデータ プレーンはセッション情報を更新し、フェイルオーバーが発生しても確立されたセッションがドロップされないよう、ファブリック リンクを介してノード間で情報を送信します。アクティブ/アクティブ モードでは、トラフィックは一方のノードでクラスタに入り、もう一方のノードから出ることができます。

シャーシ クラスタの機能には以下が含まれます。

  • クラスター全体に対して単一のアクティブコントロールプレーンと複数の パケット転送エンジンを備えた、耐障害性に優れたシステムアーキテクチャ。このアーキテクチャでは、クラスターの単一デバイス ビューが表示されます。

  • クラスター内のノード間での構成と動的なランタイム状態の同期。

  • 物理インターフェイスの監視と、障害パラメータが設定したしきい値を超えた場合のフェイルオーバー。

  • 2 つの内部インターフェイス(gr-0/0/0 と ip-0/0/0)によってカプセル化された IPv4 または IPv6 トラフィックをルーティングするために使用される GRE(汎用ルーティング カプセル化)および IP-over-IP(IP-IP)トンネルのサポート。Junos OSは、システムの起動時にこれらのインターフェイスを作成し、GREおよびIP-IPトンネルの処理にのみこれらのインターフェイスを使用します。

任意の時点で、クラスターノードは、保留、プライマリ、セカンダリホールド、セカンダリ、不適格、または無効のいずれかの状態になります。インターフェイス監視、SPU(サービス処理ユニット)監視、障害、手動フェイルオーバーなど、複数のイベントタイプが状態遷移をトリガーできます。

シャーシ クラスタ形成の有効化

2つのvSRX仮想ファイアウォールインスタンスを作成してシャーシクラスターを形成し、各インスタンスでクラスターIDとノードIDを設定してクラスターに参加します。vSRX仮想ファイアウォールインスタンスがクラスターに参加すると、そのクラスターのノードになります。一意のノード設定と管理 IP アドレスを除き、クラスタ内のノードは同じ設定を共有します。

レイヤー2ドメインには、最大255のシャーシクラスターを導入できます。クラスターとノードは、次の方法で識別されます。

  • クラスター ID (1 から 255 の数字) は、クラスターを識別します。

  • ノード ID (0 から 1 までの数字) は、クラスター ノードを識別します。

通常、SRXシリーズファイアウォールでは、クラスタIDとノードIDはEEPROMに書き込まれます。vSRX仮想ファイアウォールインスタンスでは、vSRX仮想ファイアウォールが boot/loader.conf のIDを保存して読み取り、そのIDを使用して起動時にシャーシクラスタを初期化します。

前提 条件

シャーシクラスタリングを有効にする前に、vSRX仮想ファイアウォールインスタンスが次の前提条件を満たしていることを確認してください。

  • シャーシクラスターを形成する両方のvSRX仮想ファイアウォールインスタンスに基本設定をコミットしました。 CLIを使用したvSRXの設定を参照してください。

  • Junos OSで使用して、両方のvSRX仮想ファイアウォールインスタンスのソフトウェアバージョンが同じになるようにします show version

  • Junos OSで使用して show system license 、両方のvSRX仮想ファイアウォールインスタンスに同じライセンスがインストールされていることを確認します。

シャーシ クラスタ形成を有効にするには、各 vSRX 仮想ファイアウォール ノードに同じシャーシ クラスタ ID を設定し、vSRX 仮想ファイアウォール VM を再起動する必要があります。

  1. 運用コマンドモードで、vSRX仮想ファイアウォールノード0のシャーシクラスターIDとノード番号を設定します。
  2. 運用コマンドモードで、vSRX仮想ファイアウォールノード1のシャーシクラスターIDとノード番号を設定します。
メモ:

シャーシクラスタリングを有効にすると、vSRX仮想ファイアウォールインターフェイスの命名とvNICへのマッピングが変更されます。クラスター内のvSRX仮想ファイアウォールVMのペア(ノード0およびノード1)のインターフェイス名とマッピングの概要については、 KVM上のvSRXの要件 を参照してください。

J-Webを使用したシャーシクラスタのクイックセットアップ

J-Webからシャーシ クラスタを設定するには:

  1. WebブラウザでvSRX仮想ファイアウォールノード0インターフェイスのIPアドレスを入力します。
  2. vSRX仮想ファイアウォールのユーザー名とパスワードを入力し、[ログイン]をクリックします。J-Webダッシュボードが表示されます。
  3. 左側のパネルから 構成 ウィザード > クラスター (HA) セットアップ をクリックします。シャーシ クラスタ セットアップ ウィザードが表示されます。セットアップ ウィザードの手順に従って、クラスター ID とクラスター内の 2 つのノードを構成し、接続を確認します。
    メモ:

    J-Web に組み込まれているヘルプ アイコンを使用して、シャーシ クラスタ セットアップ ウィザードの詳細を確認してください。
    メモ:

    シャーシ クラスタ設定を設定するには、Junos OS リリース 18.1 以降から [ 構成>デバイス設定>クラスター (HA) セットアップ に移動します。
  4. オプション ボタンを使用して [ はい、これはセットアップするセカンダリ ユニット(ノード 1) です] を選択して、セカンダリ ノード Node1 を設定します。
  5. [ 次へ] をクリックします。
  6. セカンダリ ノード アクセス用に、[パスワードの入力]、[パスワードの再入力]、[ノード 0 FXP0 IP]、および [ノード 1 FXP0 IP] などの設定を指定します。
  7. [ 次へ] をクリックします。
  8. セカンダリ ユニットの制御ポートとファブリック ポートを選択します。
  9. [ 次へ] をクリックします。
  10. (オプション)[ シャットダウンを続行する前にバックアップ ファイルを保存する ] チェック ボックスをオンにして、シャーシ クラスタ用に再設定します。
  11. [ 次へ] をクリックします。
  12. [ シャットダウン]をクリックして、 他のユニットへの接続を続行します。
  13. [ ブラウザーの更新] をクリックします。
  14. いいえ、これはセットアップするプライマリユニット(ノード0)を選択してプライマリノード0を設定し、プライマリユニットを設定し、シャーシクラスタ設定を確立します。
  15. [ 次へ] をクリックします。
  16. プライマリ ノード アクセス用に、[パスワードの入力]、[パスワードの再入力]、[ノード 0 FXP0 IP]、および [ノード 1 FXP0 IP] などの設定を指定します。
  17. [次へ] をクリックして、プライマリ ユニットを再起動します。
  18. (オプション)[ シャットダウンを続行する前にバックアップ ファイルを保存する ] を選択して、続行する前に現在の設定のバックアップ ファイルを保存します。
  19. [ 再起動して続行]をクリックします。再起動が完了したら、セカンダリ ユニットの電源をオンにして、シャーシ クラスタ接続を確立します。
  20. デバイスコンソールにログインし、静的ルートを追加してJ-Webアクセスを取得します。
  21. J-Web にログインし>左側のパネルで [構成ウィザード ] をクリックします。シャーシ クラスタ セットアップ ウィザードが表示されます。
  22. [ 次へ ] をクリックして、プライマリ ユニットを接続します。
  23. 基本設定DHCPクライアントIPアドレスデフォルトゲートウェイ、メンバーインターフェイスノード0、メンバーインターフェイスノード1を構成します。
  24. [次へ(Next)] をクリックして、シャーシ クラスタの設定を完了します。
  25. [ 完了] をクリックしてウィザードを終了します。J-Web を使用してプライマリノードにアクセスできます。

J-Web を使用したシャーシ クラスタの手動設定

J-Webインターフェイスを使用して、クラスタ内のプライマリノード0のvSRX仮想ファイアウォールインスタンスを設定できます。クラスタIDとノードIDを設定し、各vSRX仮想ファイアウォールを再起動すると、次の設定がセカンダリノード1のvSRX仮想ファイアウォールインスタンスに自動的に同期されます。

構成>シャーシ クラスター>クラスター構成 を選択します。シャーシ クラスタ設定 ページが表示されます。

メモ:

Junos OS リリース 18.1 以降から 構成>デバイス設定>クラスター (HA) セットアップに移動して、HA クラスター のセットアップを構成します。

表 1 に、「HA クラスター設定」タブの内容を示します。

表 2 に、[ノード設定] タブの編集方法を示します。

表 3 に、HA クラスタ インターフェイス テーブルを追加または編集する方法について説明します。

表 4 に、HA クラスタ冗長グループ テーブルを追加または編集する方法について説明します。

表1:シャーシクラスタ設定ページ

フィールド

関数

ノード設定

ノード ID

ノード ID を表示します。

クラスター ID

ノードに設定されているクラスタ ID を表示します。

ホスト名

ノードの名前が表示されます。

バックアップルーター

ルーティング エンジンがシャーシ クラスタ内の冗長グループ 0 のセカンダリ ステートにあるときに、ゲートウェイとして使用されるルータを表示します。

管理インターフェイス

ノードの管理インターフェイスを表示します。

IPアドレス

ノードの管理 IP アドレスを表示します。

ステータス

冗長性グループの状態を表示します。

  • プライマリ - 冗長グループがアクティブです。

  • セカンダリ - 冗長性グループはパッシブです。

シャーシクラスタ>HAクラスタ設定>インターフェイス

名前

物理インターフェイス名を表示します。

メンバー インターフェイス/IP アドレス

インターフェイスに設定されているメンバーインターフェイス名またはIPアドレスを表示します。

冗長性グループ

冗長グループを表示します。

シャーシクラスター>HAクラスター設定>冗長グループ

グループ

冗長グループ識別番号を表示します。

先取り

選択したプリエンプトオプションを表示します。

  • True:プライマリ ロールは、優先度に基づいてプリエンプトできます。

  • False:プライマリ ロールをプライオリティに基づいてプリエンプトすることはできません。

無償ARPカウント

シャーシ クラスタ内で新しく選択されたプライマリ デバイスが、その存在を他のネットワーク デバイスに通知するために送信する、無償のアドレス解決プロトコル(ARP)要求の数を表示します。

ノードの優先度

そのノード上の冗長性グループに割り当てられた優先度を表示します。プライオリティが最も高い適格ノードが、冗長グループのプライマリとして選択されます。

表 2: ノード設定構成の詳細の編集

フィールド

関数

アクション

ノード設定

ホスト名

ホストの名前を指定します。

ホストの名前を入力します。

バックアップルーター

ルーティング エンジンがシャーシ クラスタ内の冗長グループ 0 のセカンダリ ステートにあるときにゲートウェイとして使用されるデバイスを表示します。

バックアップ ルーターの IP アドレスを入力します。

Ip

宛先アドレスを追加します。

[ 追加] をクリックします。

削除

宛先アドレスを削除します。

[ 削除] をクリックします。

インターフェイス

インターフェイス

ルーターで使用可能なインターフェイスを指定します。

メモ:

ファブリックリンクごとに2つのインターフェイスを追加および編集できます。

オプションを選択します。

Ip

インターフェイス IP アドレスを指定します。

インターフェイスの IP アドレスを入力します。

追加

インターフェイスを追加します。

[ 追加] をクリックします。

削除

インターフェイスを削除します。

[ 削除] をクリックします。
表 3: HA クラスター インターフェイス構成の詳細の追加

フィールド

関数

アクション

ファブリックリンク>ファブリックリンク0(fab0)

インターフェイス

ファブリックリンク0を指定します。

インターフェイスIPファブリックリンク0を入力します。

追加

ファブリック インターフェイス 0 を追加します。

[ 追加] をクリックします。

削除

ファブリック インターフェイス 0 を削除します。

[ 削除] をクリックします。

ファブリックリンク>ファブリックリンク1(fab1)

インターフェイス

ファブリック リンク 1 を指定します。

ファブリックリンク1のインターフェイスIPを入力します。

追加

ファブリック インターフェイス 1 を追加します。

[ 追加] をクリックします。

削除

ファブリック インターフェイス 1 を削除します。

[ 削除] をクリックします。

冗長イーサネット

インターフェイス

2 つの物理イーサネット インターフェイス(各シャーシに 1 つずつ)で構成される論理インターフェイスを指定します。

論理インターフェイスを起動します。

Ip

冗長イーサネット IP アドレスを指定します。

冗長イーサネット IP アドレスを入力します。

冗長性グループ

シャーシ クラスタ内の冗長グループ ID 番号を指定します。

リストから冗長性グループを選択します。

追加

冗長イーサネット IP アドレスを追加します。

[ 追加] をクリックします。

削除

冗長イーサネット IP アドレスを削除します。

[ 削除] をクリックします。
表 4: 冗長性グループ設定の詳細の追加

フィールド

関数

アクション

冗長性グループ

冗長グループ名を指定します。

冗長グループ名を入力します。

プライマリシップのプリエンプションを許可

優先度の高いノードが、冗長性グループのフェイルオーバーを開始できるようにします。

メモ:

デフォルトでは、この機能は無効になっています。無効にすると、優先度の高いノードは冗長グループのフェイルオーバーを開始しません(監視対象インターフェイスで識別されたネットワーク接続の障害など、他の要因がフェイルオーバーの原因でない限り)。

無償ARPカウント

冗長イーサネット インターフェイス リンク上のプライマリ ロールの変更をネットワーク デバイスに通知するために、新しく選択されたプライマリがアクティブな冗長イーサネット インターフェイス子リンクで送信する無償アドレス解決プロトコル要求の数を指定します。

1 から 16 の値を入力します。デフォルトは 4 です。

ノード 0 の優先度

冗長性グループのノード 0 の優先度値を指定します。

ノードの優先順位番号を 0 として入力します。

ノード1の優先度

冗長性グループのノード 1 のプライオリティ値を指定します。

ノードの優先順位番号として 1 を選択します。

インターフェイス モニタ

    

インターフェイス

クラスター用に作成する冗長イーサネット・インターフェースの数を指定します。

リストからインターフェイスを選択します。

重量

監視するインターフェイスの重みを指定します。

1 から 125 の値を入力します。

追加

冗長性グループが監視するインターフェイスを、それぞれの重みとともに追加します。

[ 追加] をクリックします。

削除

冗長性グループが監視するインターフェイスを、それぞれの重みとともに削除します。

設定済みのリストからインターフェイスを選択し、[ Delete] をクリックします。

IP 監視

重量

IP モニターのグローバル・ウェイトを指定します。

0 から 255 の値を入力します。

しきい値

IP 監視のグローバルしきい値を指定します。

0 から 255 の値を入力します。

再試行回数

到達可能性の失敗を宣言するのに必要な再試行回数を指定します。

5 から 15 の値を入力します。

再試行間隔

再試行の間隔を秒単位で指定します。

1 から 30 までの値を入力します。

監視対象の IPV4 アドレス

Ip

到達可能性についてモニターするIPv4アドレスを指定します。

IPv4 アドレスを入力します。

重量

監視する冗長性グループ インターフェイスの重みを指定します。

重量を入力します。

インターフェイス

この IP アドレスを監視するための論理インターフェイスを指定します。

論理インターフェイス アドレスを入力します。

セカンダリ IP アドレス

2 次リンク上のパケットを監視するための送信元アドレスを指定します。

セカンダリ IP アドレスを入力します。

追加

監視する IPv4 アドレスを追加します。

[ 追加] をクリックします。

削除

監視する IPv4 アドレスを削除します。

リストから IPv4 アドレスを選択し、 削除 をクリックします。

関連項目