KVM을 위한 클러스터 스테이징 및 프로비저닝 vSRX 가상 방화벽

섀시 클러스터에는 두 vSRX 가상 방화벽 인스턴스 간 다음과 같은 직접적인 연결이 필요합니다.

• 두 vSRX 가상 방화벽 인스턴스 사이의 컨트롤 플레인 트래픽에 대한 액티브/패시브 모드에서 동작하는 제어 링크 또는 가상 네트워크

• 패브릭 링크 또는 가상 네트워크는 두 vSRX 가상 방화벽 인스턴스 간의 데이터 트래픽에 대해 액티브/액티브 모드로 작동합니다.

  참고:

  이중화를 위해 선택적으로 두 개의 패브릭 링크를 생성할 수 있습니다.

vSRX 가상 방화벽 클러스터는 다음 인터페이스를 사용합니다.

• 대역 외 관리 인터페이스(fxp0)

• 클러스터 제어 인터페이스(em0)

• 클러스터 패브릭 인터페이스(node0의 fab0, node1의 fab1)

참고:

제어 인터페이스는 두 번째 vNIC이어야 합니다. 중복을 늘리기 위해 두 번째 패브릭 링크를 선택적으로 구성할 수 있습니다.

vSRX 가상 방화벽 다음 고려 사항과 함께 virtio 드라이버 및 인터페이스를 사용하여 섀시 클러스터를 지원합니다.

• 섀시 클러스터를 활성화할 때는 점보 프레임(MTU 크기 = 9000)을 활성화하여 virtio 네트워크 인터페이스의 패브릭 링크를 지원해야 합니다.

• 두 물리적 호스트에 걸쳐 섀시 클러스터를 구성하는 경우, vSRX 가상 방화벽 제어 링크가 사용하는 각 호스트 물리적 인터페이스에서 igmp-snooping을 비활성화하여 섀시 클러스터의 두 노드에서 모두 제어 링크 하트비트 수신을 보장합니다.

• 섀시 클러스터를 활성화한 후 vSRX 가상 방화벽 인스턴스는 두 번째 vNIC를 제어 링크인 em0에 매핑합니다. 다른 vNIC을 패브릭 링크에 매핑할 수 있습니다.

참고:

virtio 인터페이스의 경우 링크 상태 업데이트가 지원되지 않습니다. virtio 인터페이스의 링크 상태는 항상 업으로 보고됩니다. 이러한 이유로 virtio 및 섀시 클러스터를 사용하는 vSRX 가상 방화벽 인스턴스는 virtio 인터페이스에서 링크 업 및 링크 다운 메시지를 수신할 수 없습니다.

가상 네트워크 MAC 에이징 시간은 MAC 테이블에 항목이 유지되는 시간을 결정합니다. 페일오버 시 다운타임을 최소화하기 위해 가상 네트워크의 MAC 에이징 시간을 줄이는 것이 좋습니다.

예를 들어, 명령을 사용하여 Linux 브리지의 brctl setageing bridge 1 에이징을 1초로 설정할 수 있습니다.

제어 및 패브릭 링크용 가상 네트워크를 구성한 다음 제어 인터페이스를 생성하고 제어 가상 네트워크와 패브릭 인터페이스를 패브릭 가상 네트워크에 연결합니다.

KVM에서는 2개의 가상 네트워크(제어 및 패브릭)를 생성하여 섀시 클러스터링을 위해 각 vSRX 가상 방화벽 인스턴스를 연결할 수 있습니다.

을(를) 사용하여 가상 네트워크를 virt-manager생성하려면:

KVM에서는 섀시 클러스터링을 위해 각 vSRX 가상 방화벽 연결할 수 있는 두 개의 가상 네트워크(제어 및 패브릭)를 생성합니다.

다음으로 제어 네트워크를 virsh생성하려면:

섀시 클러스터링을 위한 제어 및 패브릭 인터페이스를 다음과 같이 virt-manager구성합니다.

을(를) 사용하여 vSRX 가상 방화벽 VM에 대한 제어 및 패브릭 인터페이스를 다음과 같이 virsh구성합니다.