Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지 내용
 

vSRX 가상 방화벽 KVM을 위한 클러스터 스테이징 및 프로비저닝

vSRX 가상 방화벽 VM 및 가상 네트워크를 프로비저닝하여 섀시 클러스터링을 구성할 수 있습니다.

vSRX 가상 방화벽 섀시 클러스터 의 스테이징 및 프로비저닝에는 다음 작업이 포함됩니다.

vSRX 가상 방화벽에서 섀시 클러스터 프로비저닝

섀시 클러스터에는 두 vSRX 가상 방화벽 인스턴스 간에 다음과 같은 직접 연결이 필요합니다.

  • 두 vSRX 가상 방화벽 인스턴스 사이의 컨트롤 플레인 트래픽에 대해 액티브/패시브 모드에서 작동하는 컨트롤 링크 또는 가상 네트워크

  • 두 vSRX 가상 방화벽 인스턴스 간의 데이터 트래픽에 대해 액티브/액티브 모드에서 작동하는 패브릭 링크 또는 가상 네트워크

    메모:

    선택적으로 더 많은 중복성을 위해 두 개의 패브릭 링크를 생성할 수 있습니다.

vSRX 가상 방화벽 클러스터는 다음과 같은 인터페이스를 사용합니다.

  • 대역 외 관리 인터페이스(fxp0)

  • 클러스터 제어 인터페이스(em0)

  • 클러스터 패브릭 인터페이스(node0의 fab0, node1의 fab1)

메모:

제어 인터페이스는 두 번째 vNIC여야 합니다. 이중화 증가를 위해 두 번째 패브릭 링크를 선택적으로 구성할 수 있습니다.
그림 1: vSRX 가상 방화벽 섀시 클러스터 vSRX Virtual Firewall Chassis Cluster

vSRX 가상 방화벽은 다음 사항을 고려하여 virtio 드라이버 및 인터페이스를 사용하여 섀시 클러스터를 지원합니다.

  • 섀시 클러스터를 활성화할 때 virtio 네트워크 인터페이스의 패브릭 링크를 지원하려면 점보 프레임(MTU 크기 = 9000)도 활성화해야 합니다.

  • 두 개의 물리적 호스트에 섀시 클러스터를 구성하는 경우 vSRX 가상 방화벽 제어 링크가 사용하는 각 호스트 물리적 인터페이스에서 igmp-snooping을 비활성화하여 섀시 클러스터의 두 노드에서 제어 링크 하트비트를 수신하도록 합니다.

  • 섀시 클러스터를 활성화하면 vSRX 가상 방화벽 인스턴스가 두 번째 vNIC를 제어 링크인 em0에 매핑합니다. 다른 vNIC를 패브릭 링크에 매핑할 수 있습니다.

메모:

virtio 인터페이스의 경우 링크 상태 업데이트가 지원되지 않습니다. virtio 인터페이스의 링크 상태는 항상 Up 으로 보고됩니다. 이러한 이유로 virtio 및 섀시 클러스터를 사용하는 vSRX 가상 방화벽 인스턴스는 virtio 인터페이스에서 링크 업 및 링크 다운 메시지를 수신할 수 없습니다.

가상 네트워크 MAC 에이징 시간은 항목이 MAC 테이블에 남아 있는 시간을 결정합니다. 장애 조치(failover) 중 가동 중지 시간을 최소화하기 위해 가상 네트워크의 MAC 에이징 시간을 줄이는 것이 좋습니다.

예를 들어 명령을 사용하여 brctl setageing bridge 1 Linux 브리지에 대해 에이징을 1초로 설정할 수 있습니다.

제어 및 패브릭 링크에 대한 가상 네트워크를 구성한 다음, 제어 인터페이스를 생성하여 제어 가상 네트워크에 연결하고 패브릭 인터페이스를 패브릭 가상 네트워크에 연결합니다.

virt-manager를 사용하여 섀시 클러스터 가상 네트워크 생성

KVM에서는 섀시 클러스터링을 위해 각 vSRX 가상 방화벽 인스턴스를 연결할 수 있는 두 개의 가상 네트워크(제어 및 패브릭)를 생성합니다.

다음을 사용하여 virt-manager가상 네트워크를 만듭니다.

  1. 시작하고 virt-manager 편집>연결 세부 정보를 선택합니다. 연결 세부 정보 대화 상자가 나타납니다.
  2. 가상 네트워크를 선택합니다. 기존 가상 네트워크 목록이 나타납니다.
  3. +를 클릭하여 제어 링크에 대한 새 가상 네트워크를 만듭니다. 새 가상 네트워크 만들기 마법사가 나타납니다.
  4. 이 가상 네트워크에 대한 서브넷을 설정하고 전달을 클릭합니다.
  5. DHCP 활성화를 선택하고 전달을 클릭합니다.
  6. 격리된 가상 네트워크를 선택하고 전달을 클릭합니다.
  7. 설정을 확인하고 마침 을 클릭하여 가상 네트워크를 만듭니다.

virsh를 사용하여 섀시 클러스터 가상 네트워크 생성

KVM에서는 섀시 클러스터링을 위해 각 vSRX 가상 방화벽을 연결할 수 있는 두 개의 가상 네트워크(제어 및 패브릭)를 생성합니다.

다음을 사용하여 virsh제어 네트워크를 생성하려면:

  1. virsh net-define 호스트 OS에서 명령을 사용하여 새 가상 네트워크를 정의하는 XML 파일을 만듭니다. 표 1에 설명된 XML 필드를 포함하여 이 네트워크를 정의합니다.
    메모:

    사용 가능한 옵션에 대한 자세한 설명은 공식 virsh 문서를 참조하십시오.
    표 1: virsh net-define XML 필드

    묘사

    <네트워크>... </네트워크>

    이 XML 래퍼 요소를 사용하여 가상 네트워크를 정의할 수 있습니다.

    <이름>net-name</이름>

    가상 네트워크 이름을 지정합니다.

    <브리지 이름="bridge-name" />

    이 가상 네트워크에 사용되는 호스트 브리지의 이름을 지정합니다.

    <forward mode="forward-option" />

    routed 또는 nat를 지정합니다. 격리 모드에는 <forward> 요소를 사용하지 마십시오.

    <ip 주소="ip-address" 넷마스크="net-mask"

    <dhcp 범위 시작="start" 끝="end" </dhcp> </ip>

    DHCP 주소 범위와 함께 이 가상 네트워크에서 사용하는 IP 주소 및 서브넷 마스크를 지정합니다.

    다음 예제에서는 제어 가상 네트워크를 정의하는 샘플 XML 파일을 보여 줍니다.

  2. virsh net-start 명령을 사용하여 새 가상 네트워크를 시작합니다.

    호스트 OS# virsh net-start control

  3. virsh net-autostart 명령을 사용하여 호스트 OS가 부팅될 때 새 가상 네트워크를 자동으로 시작합니다.

    호스트 OS# virsh net-autostart control

  4. 필요에 따라 호스트 OS에서 virsh net-list –all 명령을 사용하여 새 가상 네트워크를 확인합니다.
  5. 이 절차를 반복하여 패브릭 가상 네트워크를 만듭니다.

virt-manager로 제어 및 패브릭 인터페이스 구성

다음을 사용하여 virt-manager섀시 클러스터링을 위한 제어 및 패브릭 인터페이스를 구성하려면:

  1. 에서 virt-managervSRX 가상 방화벽 VM을 두 번 클릭하고 보기>세부 정보를 선택합니다. vSRX 가상 방화벽 가상 머신 세부 정보 대화 상자가 나타납니다.
  2. 두 번째 vNIC 를 선택하고 원본 디바이스 목록에서 제어 가상 네트워크를 선택합니다.
  3. 장치 모델 목록에서 virtio 를 선택하고 적용 을 클릭합니다.
  4. 후속 vNIC를 선택하고 소스 디바이스 목록에서 패브릭 가상 네트워크를 선택합니다.
  5. 장치 모델 목록에서 virtio 를 선택하고 적용 을 클릭합니다.
  6. 패브릭 인터페이스의 경우, 호스트 OS에서 명령을 사용하여 ifconfig MTU를 9000으로 설정합니다.

    호스트 OS# ifconfig vnet1 mtu 9000

virsh를 사용한 제어 및 패브릭 인터페이스 구성

다음을 사용하여 vSRX 가상 방화벽 VM에 대한 제어 및 패브릭 인터페이스를 구성하려면 다음을 사용하십시오.virsh

  1. 호스트 OS를 입력합니다 virsh attach-interface --domain vsrx-vm-name --type network --source control-vnetwork --target control --model virtio .

    이 명령은 control이라는 가상 인터페이스를 만들고 제어 가상 네트워크에 연결합니다.

  2. 호스트 OS를 입력합니다 virsh attach-interface --domain vsrx-vm-name --type network --source fabric-vnetwork --target fabric --model virtio .

    이 명령은 fabric이라는 가상 인터페이스를 생성하고 패브릭 가상 네트워크에 연결합니다.

  3. 패브릭 인터페이스의 경우, 호스트 OS에서 명령을 사용하여 ifconfig MTU를 9000으로 설정합니다.

    호스트 OS# ifconfig vnet1 mtu 9000

섀시 클러스터 패브릭 포트 구성

섀시 클러스터가 형성된 후에는 패브릭(데이터) 포트를 구성하는 인터페이스를 구성해야 합니다.

다음을 구성했는지 확인합니다.

  • vSRX 가상 방화벽 인스턴스에서 섀시 cluster ID를 설정하고 vSRX 가상 방화벽 인스턴스를 재부팅했습니다.

  • 컨트롤 및 패브릭 링크 구성.

  1. 구성 모드의 vSRX 가상 방화벽 Node 0 콘솔에서 실시간 개체(RTO)를 전달하는 데 사용되는 클러스터의 패브릭(데이터) 포트를 구성합니다. 구성은 제어 포트를 통해 vSRX 가상 방화벽 노드 1로 직접 동기화됩니다.
    메모:

    패브릭 포트는 사용되지 않는 수익 인터페이스가 될 수 있습니다.
  2. vSRX 가상 방화벽 노드 0을 재부팅합니다.

관련 설명서