vSRX 가상 방화벽 인스턴스에 대한 멀티노드 고가용성 지원
멀티노드 고가용성은 섀시 간 복원력을 제공하여 프라이빗 및 퍼블릭 클라우드 구축에 대한 고가용성 요구 사항을 해결합니다.
주니퍼는 프라이빗(커널 기반 가상 머신[KVM] 및 VMware ESXi) 및 퍼블릭 클라우드(AWS) 구축을 위한 주니퍼 네트웍스 vSRX 가상 방화벽 가상 방화벽에서 멀티노드 고가용성을 지원합니다.
프라이빗 클라우드 구축을 위한 물리적 SRX 시리즈 방화벽과 동일한 방법을 사용하여 vSRX 인스턴스에서 멀티노드 고가용성을 구성할 수 있습니다.
VMware, ESXi 및 KVM에서 멀티노드 고가용성을 구성하려면 다음을 수행합니다.
- 프라이빗 클라우드에 2개의 vSRX 가상 방화벽 인스턴스를 구축합니다. KVM을 사용하여 vSRX 가상 방화벽 설치 또는 VMware vSphere Web Client를 사용하여 vSRX 가상 방화벽 설치를 참조하십시오.
-
다음 항목에서 제공하는 지침을 사용하여 멀티노드 고가용성을 설정합니다.
퍼블릭 클라우드 구축에서 멀티노드 고가용성을 구성하려면:
- AWS 배포의 멀티노드 고가용성 단원을 참조하십시오.
ICL 암호화 및 유연한 데이터 경로 장애 감지 지원
프라이빗 클라우드(KVM 및 VMware ESXi)에 구축된 멀티노드 고가용성의 vSRX 가상 방화벽은 ICL 암호화 및 유연한 데이터 경로 장애 감지를 지원합니다.
- ICL 암호화는 IPsec 프로토콜을 사용하여 고가용성 노드 간의 동기화 메시지를 보호하고 데이터 프라이버시를 보장합니다. 구성 세부 사항은 예: 레이어 3 네트워크에서 멀티노드 고가용성 구성을 참조하십시오.
- Flexible Datapath Failure Detection은 IP, BFD(Bidirectional Forwarding Detection) 및 인터페이스 모니터링을 지원하는 가중 기능을 통해 세분화된 제어와 함께 경로 모니터링을 제공합니다.
자세한 내용은유연한 경로 모니터링을 참조하십시오.
멀티노드 고가용성 이해 이중 경로 섀시 간 링크(ICL)
멀티노드 고가용성(MNHA)은 어그리게이션 이더넷(AE) 및 루프백 인터페이스를 통한 이중 경로 섀시 간 링크(ICL)를 지원합니다. 이러한 개선 사항은 AWS, Azure, Google Cloud Platform(GCP)과 같은 퍼블릭 클라우드는 물론 KVM 및 VMware를 사용하는 프라이빗 클라우드에서도 효율적인 트래픽 분산과 향상된 고가용성(HA) 안정성을 가능하게 합니다. ICL을 구성할 때 다음 사항에 유의하십시오.
- AWS, Azure, GCP와 같은 퍼블릭 클라우드 설정에서는 AE 인터페이스의 제약으로 인해 루프백 인터페이스가 선호됩니다.
- KVM 및 VMware를 활용하는 프라이빗 클라우드 환경에서는 AE 인터페이스를 사용하여 다양한 네트워크 인터페이스 카드를 사용할 수 있는 유연한 구성이 특징인 이중 경로 ICL을 설정할 수 있습니다.
MNHA에서 이중 경로 ICL의 이점
-
AWS, Azure, GCP와 같은 퍼블릭 클라우드 환경과의 호환성을 향상하여 효율적인 레이어 3 고가용성 구축을 지원합니다.
-
AE 및 루프백 인터페이스를 사용하여 트래픽 분산 및 로드 밸런싱을 개선하고 퍼블릭 및 프라이빗 클라우드 설정 모두에서 최적의 성능을 보장합니다.
프라이빗 클라우드 환경에서 이중 경로 ICL로서의 AE 인터페이스 지원
KVM 또는 VMware를 사용하는 프라이빗 클라우드 설정에서 어그리게이션 이더넷(AE) 인터페이스를 이중 경로 ICL로 구성할 수 있습니다. 이것은 다음에서 지원됩니다.
- KVM용 Virtio NIC
- VMware용 VMXNET3 NIC
SR-IOV NIC(예: Intel I40E, E810 또는 Mellanox MLX5)를 사용하는 설정의 경우 AE 인터페이스가 가상 MAC(vMAC) 기능을 지원해야 합니다.
AE의 각 멤버(하위 인터페이스)는 기가비트 이더넷(GE) 인터페이스여야 하며 서로 다른 물리적 기능(PF)에 상주해야 합니다. 즉, 일반적으로 서로 다른 라인 카드에 있어야 합니다.
효율적인 ICL 트래픽 분산
- 어그리게이션 이더넷(AE)을 사용하는 vSRX의 트래픽 관리: LACP 및 하이퍼바이저 브리지 구성 사용
- MNHA 구성에서 AE 인터페이스 사용
- PFE 전반에 걸친 균형 잡힌 ICL 트래픽 분포
어그리게이션 이더넷(AE)을 사용하는 vSRX의 트래픽 관리: LACP 및 하이퍼바이저 브리지 구성 사용
vSRX 설정에서는 안정적이고 효율적인 트래픽 흐름을 보장하는 것이 중요하며, 특히 어그리게이션 이더넷(AE) 인터페이스를 다룰 때 더욱 그렇습니다. AE 그룹 내의 하위 인터페이스 하나가 고장나거나 장애가 발생하면 트래픽 손실로 이어질 수 있습니다. 이러한 위험을 완화하기 위해 LACP(Link Aggregation Control Protocol)를 사용하거나 하이퍼바이저에서 동일한 브리지를 공유하도록 하위 인터페이스를 구성할 수 있습니다.
AE 인터페이스에서 LACP 사용
LACP는 링크 어그리게이션을 동적으로 관리하여 모든 하위 인터페이스가 조정되어 작동하도록 보장하는 프로토콜입니다. LACP를 구성하면 수동 설정 없이 인터페이스 장애를 자동으로 처리하고 트래픽 흐름을 유지할 수 있습니다. AE 인터페이스에서 LACP를 구성하는 방법은 다음과 같습니다.
[edit] user@host# set interfaces ae0 aggregated-ether-options lacp active user@host# set interfaces ae0 aggregated-ether-options lacp periodic fast
- 활성: 이 설정은 vSRX가 LACP 패킷을 피어에 적극적으로 전송하여 LACP 링크를 형성하고 유지하는 활성 LACP 모드를 활성화합니다.
- 주기적 고속: 이 설정은 LACP 시간 제한 간격을 줄여 링크 장애를 더 빠르게 감지하고 트래픽 흐름을 유지하기 위한 응답 속도를 높일 수 있도록 합니다.
동일한 브리지에서 하위 인터페이스 구성
LACP를 지원하거나 구현하기 어려운 상황에서 또 다른 접근 방식은 AE 그룹의 모든 하위 인터페이스가 하이퍼바이저 내의 동일한 브리지에 연결되도록 하는 것입니다. 이 구성은 일관된 연결을 유지하고 하나의 인터페이스가 고장났을 때 트래픽 손실을 방지하는 데 도움이 될 수 있습니다.
다음은 KVM 하이퍼바이저에서 동일한 브리지(bridge-vsrx-mnha-icl)를 사용하는 두 개의 하위 인터페이스(ge-0/0/0 및 ge-0/0/3)에 대한 XML 구성 예시입니다.
<interface type='bridge'>
<mac address='52:54:00:c2:76:70'/>
<source bridge='bridge-vsrx-mnha-icl'/> <<<< here bridge bridge-vsrx-mnha-icl
<model type='virtio'/>
<driver name='vhost' queues='4'/>
<address type='pci' domain='0x0000' bus='0x00' slot='0x04' function='0x0'/> </interface>
<interface type='bridge'>
<mac address='52:54:00:5f:65:9f'/>
<source bridge='bridge-vsrx-mnha-icl'/> <<<< here same bridge bridge-vsrx-mnha-icl
<model type='virtio'/>
<driver name='vhost' queues='4'/>
<address type='pci' domain='0x0000' bus='0x00' slot='0x08' function='0x0'/> </interface>
이 구성에서: 두 인터페이스 모두 bridge-vsrx-mnha-icl 브리지에 연결되어 하이퍼바이저 내에서 동일한 네트워크 세그먼트를 공유합니다. 이 설정은 인터페이스 중 하나에서 문제가 발생하더라도 트래픽을 효과적으로 관리하는 데 도움이 될 수 있습니다.
MNHA 구성에서 AE 인터페이스 사용
다음 구성 코드 조각은 AE 인터페이스를 사용하여 MNHA 환경을 설정합니다.
[edit] user@host# set chassis high-availability local-id 2 user@host# set chassis high-availability local-id local-ip 11.1.1.11 user@host# set chassis high-availability peer-id 1 peer-ip 11.1.1.12 user@host# set chassis high-availability peer-id 1 interface ae0 user@host# set interfaces ge-0/0/0 ether-options 802.3ad ae0 user@host# set interfaces ge-0/0/1 ether-options 802.3ad ae0 user@host# set interfaces ae0 unit 0 family inet address 10.10.10.1/24
위의 샘플은 HA 통신을 위한 로컬 및 피어 섀시 ID 및 IP를 구성하고, LACP를 사용하여 물리적 인터페이스를 어그리게이션 이더넷 인터페이스(ae0)와 연결하고, 어그리게이션 인터페이스의 논리 장치에 IP 주소를 할당하는 방법을 보여줍니다. 이 예제에서는 다음과 같습니다.
- AE 인터페이스(ae0)는 노드 간 ICL로 사용됩니다.
- 물리적 인터페이스
ge-0/0/0이며ge-0/0/1802.3ad 링크 어그리게이션을 사용하도록 번ae0들로 제공됩니다.
PFE 전반에 걸친 균형 잡힌 ICL 트래픽 분포
MNHA 설정에서 수신 측의 모든 PFE 처리 장치에 균형 잡힌 ICL 트래픽 분산을 보장하기 위해 시스템을 개선했습니다.
MNHA 설정에서는 ICL 전반의 트래픽을 효율적으로 관리하여 고성능을 보장합니다. 나가는 트래픽은 MNHA 아키텍처의 기본 제공 기능인 여러 플로우 처리 장치에 자동으로 분산됩니다. 수신 트래픽 처리를 개선하기 위해 ICL 포트에서 5튜플 해싱 방법을 사용합니다. 이는 모든 패킷 포워딩 엔진(PFE) 처리 장치에 트래픽을 균등하게 분산시켜 로드 밸런싱과 전반적인 네트워크 효율성을 향상시킵니다.
이 명령 set chassis high-availability peer-id <id_num> interface <interface-name> 은 GE, AE 및 루프백 인터페이스를 지원하므로 특정 구축 요구 사항에 맞는 고가용성 구성을 지원합니다.
송신 측에서 패킷 포워딩 엔진의 ICL 트래픽에 어떤 포트가 사용될지 결정하는 것은 이 구성에만 의존하지 않습니다. 대신 IP 및 경로 조회 결과에 따라 달라집니다. SRX 시리즈 방화벽의 경우, 우선순위 대기열은 기본적으로 모든 포트에서 활성화되어 트래픽을 관리하는 데 도움이 되며, 특히 집계 인터페이스 및 루프백 인터페이스의 경우 더욱 그렇습니다. 그러나 vSRX3.0은 이 접근 방식을 활용할 수 없습니다.
vSRX3.0의 수신측 배포의 경우, 5-튜플 해싱을 활성화하기 위한 ICL 포트를 지정하기 위해 새로운 CLI 구성이 필요합니다. 이것은 다음 명령으로 수행됩니다.
user@host# set security forwarding-options receive-side-scaling nic-rss hash five-tuple ports [port_ids]
예:
[edit] user@host# set security forwarding-options receive-side-scaling nic-rss hash five-tuple ports 0 user@host# set security forwarding-options receive-side-scaling nic-rss hash five-tuple ports 1
이 구성에서 포트 0과 포트 1은 수신 측 확장을 위해 5-튜플 해싱을 사용하도록 구성됩니다. 이를 통해 수신 트래픽이 소스 및 대상 IP 주소, 포트 및 프로토콜을 기반으로 효율적으로 분산됩니다.