- play_arrow 概要
- play_arrow シャーシ クラスタの設定
- SRXシリーズシャーシクラスタ設定の概要
- SRXシリーズ シャーシ クラスタ スロットの番号付けと論理インターフェースの命名規則
- シャーシ クラスタを形成するための機器の準備
- シャーシ クラスタを作成するためのSRXシリーズ ファイアウォールの接続
- 例:シャーシ クラスタ内のセキュリティ デバイスのノード ID とクラスタ ID の設定
- シャーシ クラスタ管理インターフェイス
- シャーシ クラスタ ファブリック インターフェイス
- シャーシ クラスタ コントロール プレーン インターフェイス
- シャーシ クラスタ冗長グループ
- シャーシ クラスタ冗長イーサネット インターフェイス
- SRXシリーズ デバイスにおけるシャーシ クラスタリングの設定
- 例:シャーシ クラスタ内のSRXシリーズ ファイアウォール上の冗長イーサネット インターフェイスで8キューサービス クラスを有効にする
- シャーシクラスター内のSRXシリーズファイアウォール上の冗長イーサネットインターフェイス上の条件付きルートアドバタイズメント
- play_arrow シャーシ クラスタの冗長性とフェイルオーバーの設定
- play_arrow シャーシ クラスタ動作
- シャーシ クラスタ内の集合型イーサネット インターフェイス
- シャーシ クラスタでのNTP時刻同期
- アクティブ/パッシブ シャーシ クラスタ展開
- 例:SRXシリーズ サービスゲートウェイをフルメッシュシャーシクラスターとして設定
- 例:アクティブ/アクティブ レイヤ 3 クラスタ展開の設定
- シャーシ クラスタでのマルチキャスト ルーティングと非対称ルーティング
- シャーシ クラスタのイーサネット スイッチング
- シャーシ クラスタの MACsec(Media Access Control Security)
- シャーシ クラスタでのSCTP動作の理解
- 例:シャーシ クラスタ内の2つのノード間のメッセージの暗号化
- play_arrow トラブルシューティング
- SRXシャーシクラスターにおける制御リンク障害のトラブルシューティング
- SRXシャーシクラスターのファブリックリンク障害のトラブルシューティング
- SRXシャーシクラスターでフェイルオーバーしない冗長グループのトラブルシューティング
- 1つのノードがプライマリ状態で、もう1つのノードが無効状態にあるSRXシャーシ クラスタのトラブルシューティング
- 1つのノードがプライマリ状態にあり、もう1つのノードが失われた状態にあるSRXシャーシ クラスタのトラブルシューティング
- 1つのノードが保留状態、もう1つのノードが損失状態にあるSRXシャーシ クラスタのトラブルシューティング
- シャーシ クラスタ管理の問題のトラブルシューティング
- カスタマーサポートのためのデータ収集
- play_arrow 設定ステートメントと運用コマンド
- play_arrow SRX100、SRX210、SRX220、SRX240、SRX550M、SRX650、SRX1400、SRX3400、SRX3600デバイスでのシャーシ クラスタのサポート
ICU を使用したシャーシ クラスタ内のデバイスのアップグレード
シャーシ クラスタ ICU 方式では、1 つのコマンドで、クラスタ内の両方のデバイスを、サポートされている Junos OS バージョンからアップグレードできます。詳細については、次のトピックを参照してください。
SRX300、SRX320、SRX340、SRX345、SRX380ファイアウォールで、Junos OS リリース24.4R1にアップグレードする場合、ICU方式は使用できません。 KB 85650 で概説されている手順、または KB17947(Minimal_Downtime_Upgrade_Branch_Mid PDFファイル)に記載されている最小限のダウンタイムの手順のいずれかを使用する必要があります。Junos OS リリース 24.4R1 にアップグレードした後は、ICU 方式を使用して、それ以降のリリースにアップグレードするか、またはこれらの新しいリリースのいずれかから Junos OS リリース 23.4R2-S3 またはリリース 24.2R2 にダウングレードできます。
ICU を使用したシャーシ クラスタ内の両デバイスのアップグレード
手順を開始する前に、以下の点に注意してください。
ICU は、SRX300、SRX320、SRX340、SRX345、SRX380 デバイスでのみ、同期なしオプションで使用できます。
ICU を始動する前に、十分なディスク・スペースが使用可能であることを確認する必要があります。 シャーシ クラスタ内のプライマリ ノードでローカルに利用可能なビルドを使用した ICU のアップグレード および FTP サーバで利用可能なビルドを使用した ICU のアップグレードを参照してください。
SRX300、SRX320、SRX340、SRX345、SRX380 デバイスでは、この機能を使用してJunos OS 11.2 R2より前のビルドにダウングレードすることはできません。
SRX1500 デバイスの場合、この機能を使用してJunos OS 15.1X49-D50 より前のビルドにダウングレードすることはできません。
シャーシクラスター内のSRXシリーズファイアウォールは、ICU(In-Band Cluster Upgrade)を使用して、最小限のサービス中断でアップグレードできます。シャーシ クラスタ ICU 機能を使用すると、1 つのコマンドを使用して、クラスタ内の両方のデバイスをサポートされている Junos OS バージョンからアップグレードできます。この機能を有効にするには、プライマリ ノードで request system software in-service-upgrade image_name コマンドを実行します。このコマンドは、Junos OSをアップグレードし、セカンダリノードとプライマリノードの両方を順番に再起動します。ICU プロセス中、トラフィックの停止は最小限に抑えられます。ただし、2 つのノード間でのコールド同期は提供されません。
SRX300、SRX320、SRX340、SRX345、SRX380のデバイスでは、ICUと非同期オプションを使用して、シャーシ クラスタ内のデバイスをアップグレードできます。サービスの中断を約30秒程度に抑えます。シャーシ クラスタ ICU 機能を使用すると、クラスタ内の両方のデバイスを、サポートされている Junos OS バージョンからアップグレードできます。
次の Junos OS リリースをアップグレードするにはSRX1500デバイスで ICU(インバンド クラスタ アップグレード)コマンドを使用する必要があります。
Junos OS リリース 15.1X49-D50 から Junos OS リリース 15.1X49-D100
Junos OS リリース 15.1X49-D60 から Junos OS リリース 15.1X49-D110
Junos OS リリース 15.1X49-D50 から Junos OS リリース 15.1X49-D120
Junos OS リリース 23.3R1 からそれ以降のリリースにアップグレードするにはSRX1600デバイスで ICU(インバンド クラスタ アップグレード)コマンドを使用する必要があります。
SRX2300、SRX4100、およびSRX4200デバイスでインバンドクラスタアップグレード(ICU)コマンドを使用して、次のJunos OSリリースをアップグレードできます。
Junos OS リリース 15.1X49-D65 から Junos OS リリース 15.1X49-D70
Junos OS リリース 15.1X49-D70 から Junos OS リリース 15.1X49-D80
SRX300、SRX320、SRX340、SRX345、SRX380のデバイスでは、トラフィックへの影響は次のとおりです。
トラフィックの減少(約30秒)
セキュリティ フロー セッションの損失
アップグレードは、デバイスのプライマリ ノードまたは FTP サーバーでローカルに利用可能な Junos OS ビルドで開始されます。
プライマリノード RG0 は、ICU のアップグレード後にセカンダリノードに変更されます。
ICU中は、シャーシクラスタ冗長性グループがプライマリノードにフェイルオーバーされ、クラスタがアクティブ/パッシブモードに変更されます。
ICUの状態は、syslogまたはコンソール/端末ログで確認できます。
ICU では、両方のノードがデュアルルート パーティショニング方式を実行している必要がありますが、1 つの例外は SRX1500 と SRX1600です。ICU は、いずれかのノードでデュアルルート区分化の検出に失敗した場合、続行されません。デュアルルート パーティショニングの要件は、SRX300、SRX320、SRX340、SRX345、SRX380のデバイスにのみ適用されます。
デュアルルート パーティショニングは、SRX1500 および SRX1600 デバイスではサポートされていません。SRX1500およびSRX1600は、セカンダリストレージとしてソリッドステートドライブ(SSD)を使用します。
シャーシクラスタ内のプライマリノードでローカルで利用可能なビルドを使用したICUのアップグレード
クラスタのセカンダリ ノードにある /var/tmp の場所にある Junos OS パッケージに十分なディスク容量があることを確認します。
クラスタのプライマリノードでローカルに使用可能なビルドを使用して ICU をアップグレードするには、次のようにします。
FTP サーバーで使用可能なビルドを使用した ICU のアップグレード
クラスタのプライマリ ノードとセカンダリ ノードの両方の /var/tmp の場所にある Junos OS パッケージに十分なディスク容量があることを確認します。
FTP サーバーで使用可能なビルドを使用して ICU をアップグレードするには、次のようにします。
アップグレードプロセスでは、システムを再起動するための次の警告メッセージが表示されます。
警告:このソフトウェアを正しくロードするには、再起動が必要です。ソフトウェアのインストールが完了したら、 request system reboot コマンドを使用します。
ICU プロセスによって両方のノードが自動的にリブートされるため、この警告メッセージは無視してかまいません。
ICU中のシャーシ クラスタ内のアップグレードの終了
ICU は、プライマリノードで次のコマンドを発行することで、いつでも終了することができます。
request system software abort in-service-upgrade
セカンダリ ノードの再起動中または再起動後に abort コマンドを発行すると、クラスタが不整合な状態になります。セカンダリ ノードは新しい Junos OS ビルドで起動し、プライマリ ノードは引き続き古い Junos OS ビルドを実行します。
シャーシ クラスタの不整合状態から回復するには、セカンダリ ノードで次のアクションを順番に実行します。
上記の手順を順番に実行して、回復プロセスを完了し、クラスターが不安定にならないようにする必要があります。
表 1 に、 request system software in-service-upgrade コマンドのオプションとその説明を示します。
オプション | 形容 |
|---|---|
非同期 | 古いセカンダリ ノードが新しい Junos OS イメージで起動されたときに、フロー状態が同期しないようにします。 このオプションは、SRX1500およびSRX1600デバイスでは使用できません。 |
no-tcp-syn-check | 受信パケットのTCP SYNチェックを無効にするウィンドウを作成します。ウィンドウのデフォルト値は 7200 秒 (2 時間) です。 このオプションは、SRX1500およびSRX1600デバイスでは使用できません。 |
検証なし | インストール時の設定の検証を無効にします。システムの動作は |
解除 | インストール後にローカルメディアからパッケージを削除します。 |
ICU 中に終了コマンドが実行されると、ICU は現在の操作が終了した後にのみ終了します。これは、デバイスとの不整合を避けるために必要です。
例えば、ノードのフォーマット設定とアップグレードが進行中の場合、ICU はこの操作の完了後に終了します。
終了後、ノードのアップグレード手順が完了した場合、ICU はノードでのビルドのロールバックを試みます。
