Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Alta disponibilidad de múltiples nodos en implementaciones de AWS

RESUMEN Lea este tema para comprender la compatibilidad de alta disponibilidad de varios nodos con instancias de firewall virtual vSRX en implementaciones de Amazon Web Services (AWS).

Alta disponibilidad de varios nodos en AWS

Puede configurar la alta disponibilidad de varios nodos en los firewalls del firewall virtual vSRX implementados en AWS. Los nodos participantes ejecutan planos de control y de datos activos al mismo tiempo y los nodos se respaldan entre sí para garantizar una conmutación por error rápida y sincronizada en caso de fallo del sistema o del hardware. La conexión entre vínculos de chasis (ICL) entre los dos dispositivos sincroniza y mantiene la información de estado y controla los escenarios de conmutación por error del dispositivo.

Comencemos por familiarizarnos con los términos de alta disponibilidad de multinodo específicos de la implementación de AWS.

Terminología

Descripción del término

Dirección IP elástica

Dirección IPv4 pública que se puede enrutar desde una red especificada o desde Internet. Las direcciones IP elásticas se enlazan dinámicamente a una interfaz de cualquier nodo en una configuración de alta disponibilidad de varios nodos. En un momento dado, estas direcciones están enlazadas a una sola interfaz y también están enlazadas al mismo nodo. La configuración de alta disponibilidad de varios nodos utiliza direcciones IP elásticas para controlar el tráfico en las implementaciones de AWS. La dirección IP elástica actúa de manera similar a la dirección IP flotante en la implementación de capa 3 o una dirección IP virtual como en la implementación de puerta de enlace predeterminada. El nodo con una SRG1 activa posee la dirección IP elástica y atrae el tráfico hacia ella.

Vínculo entre chasis (ICL)

Vínculo basado en IP (enlace lógico) que conecta nodos a través de una red enrutada en un sistema de alta disponibilidad multinodo. El dispositivo de seguridad utiliza la ICL para sincronizar y mantener la información de estado y para controlar escenarios de conmutación por error del dispositivo. Sólo puede utilizar la interfaz ge-0/0/0 para configurar una ICL. La ICL utiliza la dirección MAC asignada por AWS (no la MAC virtual creada por vSRX Virtual Firewall). Cuando configure la ICL, asegúrese de que la dirección IP sea una subred de la nube privada virtual (VPC). Tenga en cuenta que la alta disponibilidad de Multibode no admite el despliegue entre VPC
Proceso del Protocolo de redundancia de servicios de Juniper (jsrpd)

Proceso que gestiona la determinación de la actividad y la aplicación, y proporciona protección para el cerebro dividido.

No se admite VPN IPsec para la alta disponibilidad de varios nodos en las implementaciones de AWS.

Arquitectura

La figura 1 muestra dos instancias de firewall virtual vSRX que forman un par de alta disponibilidad en AWS. Una instancia de firewall virtual vSRX actúa como nodo activo y la otra como nodo de respaldo.

Figura 1: Implementación en Public Cloud Deployment la nube pública

En una configuración de alta disponibilidad multinodo, una ICL conecta los dos nodos (instancias de firewall virtual vSRX) y ayuda a sincronizar los estados del plano de control y del plano de datos.

En la configuración de alta disponibilidad de varios nodos, dos instancias de firewall virtual vSRX funcionan en modo activo/de copia de seguridad. Ambos nodos se conectan entre sí mediante una ICL para sincronizar los estados de control y plano de datos. La instancia de firewall virtual vSRX en la que SRG1 está activo aloja la dirección IP elástica. El nodo activo dirige el tráfico hacia él mediante la dirección IP elástica. El nodo de copia de seguridad permanece en modo de espera y se hace cargo de la conmutación por error.

El proceso del Protocolo de redundancia de servicios de Juniper (jsrpd) se comunica con la infraestructura de AWS para realizar la determinación y el cumplimiento de la actividad y proporciona protección para el cerebro dividido.

Durante una conmutación por error, la dirección IP elástica se mueve del nodo activo antiguo al nuevo nodo activo activando la API de AWS SDK y atrae el tráfico hacia el nuevo nodo activo. AWS actualiza las tablas de ruteo para desviar el tráfico al nuevo nodo activo. Este mecanismo permite a los clientes comunicarse con los nodos utilizando una sola dirección IP. La dirección IP elástica se configura en la interfaz que se conecta a las redes o segmentos participantes.

Protección del cerebro dividido

Cuando la ICL entre dos nodos deja de funcionar, cada nodo comienza a hacer ping a la dirección IP de la interfaz del nodo par mediante los sondeos. Si el nodo par está en buen estado, responde a los sondeos. De lo contrario, el proceso jsrpd se comunica con la infraestructura de AWS para aplicar el rol activo para el nodo en buen estado.

Ejemplo: configurar la alta disponibilidad de varios nodos en la implementación de AWS

En este ejemplo, le mostraremos cómo configurar la alta disponibilidad de varios nodos en dos instancias de firewall virtual vSRX en la nube privada virtual de Amazon (Amazon VPC).

Requisitos

En este ejemplo se utilizan los siguientes componentes:

Topología

La figura 2 muestra la topología utilizada en este ejemplo.

Figura 2: Alta disponibilidad de varios nodos en la implementación Multinode High Availability in AWS Deployment de AWS

Como se muestra en la topología, dos instancias de firewall virtual vSRX (vSRX Virtual Firewall-1 y vSRX Virtual Firewall-2) se implementan en la Amazon VPC. Los nodos se comunican entre sí mediante una dirección IP enrutable (dirección IP elástica). El lado no confiable se conecta a una red pública, mientras que el lado de confianza se conecta a los recursos protegidos.

Complete las siguientes configuraciones antes de configurar la alta disponibilidad de varios nodos en las instancias del firewall virtual vSRX:

  • Utilice la etiqueta de instancia en AWS para identificar las dos instancias de vSRX Virtual Firewall como pares de alta disponibilidad de varios nodos. Por ejemplo, puede usar vsrx-node-1 como el nombre de un par (opción Nombre ) y vsrx-node-2 como el par de alta disponibilidad (opción ha-peer ).

  • Implemente ambas instancias de vSRX Virtual Firewall en la misma Amazon VPC y en la misma zona de disponibilidad.
  • Asigne el rol de IAM para las instancias de vSRX Virtual Firewall y lance instancias de vSRX Virtual Firewall como una instancia de Amazon Elastic Compute Cloud (EC2) con permisos completos.
  • Habilite la comunicación con Internet colocando instancias de firewall virtual vSRX en la subred pública. En la Amazon VPC, las subredes públicas tienen acceso a la gateway de Internet.
  • Configure una VPC con varias subredes para alojar el par de alta disponibilidad. Las subredes se utilizan para conectar los dos nodos del firewall virtual vSRX mediante una conexión lógica (similar a los puertos de conexión del cable físico). En este ejemplo, definimos CIDR for VPC como 10.0.0.0/16 y creamos un total de cuatro subredes para alojar el tráfico del firewall virtual vSRX. Necesita un mínimo de cuatro interfaces para ambas instancias de vSRX Virtual Firewall. En la tabla 1 se proporcionan los detalles de la subred y la interfaz.
    Tabla 1: Configuraciones de subredes
    Número de puerto de función Interfaz Conexión Tipo de tráfico Subred
    Administración 0 fxp0 Interfaz de administración Tráfico de administración 10.0.254.0/24
    ICL 1 ge-0/0/0 ICL a nodo par Tráfico relacionado con RTO, sincronización y sondeos 10.0.253.0/24
    Público 2 ge-0/0/1 Conéctese a la red pública. (Interfaz de ingresos) Tráfico externo 10.0.1.0/24
    Privado 3 ge-0/0/2 Conéctese a una red privada. (Interfaz de ingresos) Tráfico interno 10.0.2.0/24

    Tenga en cuenta que la asignación de interfaz con la funcionalidad mencionada en la tabla es para la configuración predeterminada. Se recomienda utilizar la misma asignación en la configuración.

  • Configure interfaces con direcciones IP principales y secundarias. Puede asignar una dirección IP elástica como direcciones IP secundarias para una interfaz. Necesitará la dirección IP principal al lanzar la instancia. La dirección IP secundaria se puede transferir de un nodo del firewall virtual vSRX a otro durante una conmutación por error. En la tabla 2 se muestran las asignaciones de interfaz y dirección IP utilizadas en este ejemplo.
    Tabla 2: Asignaciones de interfaces y direcciones IP
    Interfaz de instancia Dirección IP principal Dirección IP secundaria (dirección IP elástica)
    Firewall virtual vSRX-1 ge-0/0/1 10.0.1.101 10.0.1.103
    ge-0/0/2 10.0.2.201 10.0.2.203
    Firewall virtual vSRX-2 ge-0/0/1 10.0.1.102 10.0.1.103
    ge-0/0/2 10.0.2.202 10.0.2.203
  • Configure los enrutadores vecinos para que incluyan Firewall virtual vSRX en la ruta de datos y marque Firewall virtual vSRX como el siguiente salto para el tráfico. Puede usar una dirección IP elástica para configurar la ruta. Por ejemplo, use el comando sudo ip route x.x.x.x/x dev ens6 via 10.0.2.203, donde la dirección 10.0.2.203 es una dirección IP elástica.

Configuración

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.

Estas configuraciones se capturan desde un entorno de laboratorio y se proporcionan solo como referencia. Las configuraciones reales pueden variar según los requisitos específicos de su entorno.

En el firewall virtual vSRX-1

En el firewall virtual vSRX-2

Procedimiento paso a paso

En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

  1. Configure ge-0/0/0 como interfaz para la ICL

  2. Configurar interfaces para tráfico interno y externo.

    Usaremos la dirección IP secundaria asignada a ge-0/0/1 y ge-0/0/2 como dirección IP elástica.

  3. Configure las zonas de seguridad, asigne interfaces a las zonas y especifique los servicios del sistema permitidos para las zonas de seguridad.

  4. Configure las opciones de enrutamiento.

    Aquí, necesitará un tipo virtual router de instancia de enrutamiento independiente para separar el tráfico de administración y el tráfico de ingresos.

  5. Configure los detalles del nodo local y del nodo par.

  6. Asocie la interfaz al nodo par para la supervisión de la interfaz y configure los detalles de detección de vida.

  7. Configure SRG1 con el tipo de despliegue como nube, asigne un ID y establezca la prioridad de preferencia y actividad.

  8. Configure las opciones relacionadas con la implementación de AWS. Por ejemplo, especifique basado en eip como tipo de servicio y, además, configure opciones de monitorización, como AWS peer liveness.

Nota:

En las instancias de alta disponibilidad de varios nodos para vSRX Virtual Firewall en el entorno VMware ESXi con VMXNET3 vNIC, la configuración de la dirección MAC virtual no se admite en la siguiente instrucción:

Resultados

Firewall virtual vSRX-1

Desde el modo de configuración, confirme su configuración introduciendo los siguientes comandos.

Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Firewall virtual vSRX-2

Desde el modo de configuración, confirme su configuración introduciendo los siguientes comandos.

Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Compruebe los detalles de alta disponibilidad de Multinode

Propósito

Vea y verifique los detalles de la configuración de alta disponibilidad multinodo configurada en la instancia de vSRX Virtual Firewall.

Acción

Desde el modo operativo, ejecute el siguiente comando:

Firewall virtual vSRX-1

Firewall virtual vSRX-2

Significado

Compruebe estos detalles desde el resultado del comando:

  • Detalles del nodo local y del nodo par, como la dirección IP y el ID.

  • El campo Deployment Type: CLOUD indica que la configuración es para la implementación en la nube.

  • El campo Services Redundancy Group: 1 indica el estado de la SRG1 (ACTIVE o BACKUP) en ese nodo.

Compruebe la información de alta disponibilidad de varios nodos en AWS

Propósito

Compruebe si Multinode High Availability está desplegado en la nube de AWS.

Acción

Desde el modo operativo, ejecute el siguiente comando:

Significado

Compruebe estos detalles desde el resultado del comando:

  • El campo Cloud Type: AWS indica que la implementación es para AWS.

  • El campo Cloud Service Type: EIP indica que la implementación de AWS utiliza el tipo de servicio EIP (para la dirección IP elástica) para controlar el tráfico.

  • El campo Cloud Service Status: Bind to Local Node indica el enlace de la dirección IP elástica al nodo local. Para el nodo de copia de seguridad, este campo muestra Bind to Peer Node.

    .

Comprobar el estado del nodo del par de alta disponibilidad de varios nodos

Propósito

Compruebe el estado del nodo del mismo nivel de alta disponibilidad de varios nodos.

Acción

Desde el modo operativo, ejecute el siguiente comando:

Firewall virtual vSRX-1

Firewall virtual vSRX-2

Significado

Compruebe estos detalles desde el resultado del comando:

  • Detalles del nodo par, incluidos ID, dirección IP e interfaz.

  • Estadísticas de paquetes en todo el nodo.

Compruebe la SRG de alta disponibilidad de multinodo

Propósito

Vea y verifique los detalles de SRG en Alta disponibilidad multinodo.

Acción

Desde el modo operativo, ejecute el siguiente comando:

Significado

Compruebe estos detalles desde el resultado del comando:

  • SRG detalla dicho tipo de implementación. El campo Status: ACTIVE indica que el SRG1 en particular está en rol activo. También puede ver la prioridad de actividad y el estado de preferencia en la salida.

  • Detalles del nodo par.

  • Detalles de la sonda de prevención del cerebro dividido.

Comprobar el estado de alta disponibilidad de varios nodos antes y después de la conmutación por error

Propósito

Compruebe el cambio en el estado del nodo antes y después de una conmutación por error en una configuración de alta disponibilidad de varios nodos.

Acción

Compruebe el estado de alta disponibilidad de varios nodos en el nodo de copia de seguridad (SRX-2).

Desde el modo operativo, ejecute el siguiente comando:

Significado

En Services Redundancy Group: 1 la sección, puede ver el Status: BACKUParchivo . Este campo indica que el SRG-1 está en modo de copia de seguridad.

Acción

Inicie la conmutación por error en el nodo activo (vSRX Virtual Firewall-1) y vuelva a ejecutar el comando en el nodo de copia de seguridad (vSRX Virtual Firewall-2).

Significado

En la Services Redundancy Group: 1 sección, el estado de SRG1 cambia de BACKUP a ACTIVE. El cambio en el valor del campo indica que el nodo ha pasado al rol activo y que el otro nodo (previamente activo) ha pasado al rol de copia de seguridad. Puede ver el estado del otro nodo en la Peer Information opción, que muestra BACKUP.