Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

Azureクラウドでのマルチノード高可用性

Azure クラウドにデプロイされた vSRX インスタンスでマルチノード高可用性を設定する方法については、このドキュメントをお読みください。

概要

Microsoft Azureクラウドに展開されているvSRX仮想ファイアウォールでマルチノード高可用性を設定できます。Microsoft Azureは、Microsoftのパブリッククラウド向けアプリケーションプラットフォームです。これは、Microsoft が管理するデータ センターのグローバル ネットワークを介してアプリケーションとサービスを構築、展開、管理するための、オープンで柔軟性の高いエンタープライズ グレードのクラウドコンピューティング プラットフォームです。

Azure上のvSRX仮想ファイアウォールのペアを設定して、アクティブ/バックアップマルチノード高可用性設定として動作させることができます。参加ノードは、アクティブコントロールプレーンとデータプレーンの両方を同時に実行します。ノードは相互にバックアップを行い、システムまたはハードウェアに障害が発生した場合に、高速で同期されたフェイルオーバーを確保します。2台のデバイス間のシャーシ間リンク(ICL)接続は、状態情報を同期および維持し、デバイスフェイルオーバーシナリオを処理します。

Microsoft Azure Cloudでファイアウォールの導入設定をカスタマイズすることで、vSRX仮想ファイアウォールVMでマルチノード高可用性を構成できます。

IPsec VPNサポート

Junos OSリリース24.4R1以降、Azureクラウドデプロイメントにおけるアクティブ/バックアップマルチノード高可用性向けにIPsec VPNがサポートされています。

制限事項

マルチノード高可用性は、パブリッククラウド導入環境で複数のSRG構成(アクティブ/アクティブ)をサポートしていません。アクティブ/バックアップモードは、SRG0またはSRG1をサポートします。IPsec VPNトンネルは、ステートフルアクティブ/バックアップモードで動作するSRG1に固定します。すべてのVPNトンネルは、SRG1がアクティブなデバイスで終了します。

アーキテクチャ

図1は、Azureクラウドでマルチノード高可用性ペアを形成している2つのvSRX仮想ファイアウォールインスタンスを示しています。1つのvSRX仮想ファイアウォールインスタンスがアクティブノードとして機能し、もう1つのインスタンスがバックアップノードとして機能します。両方のノードが ICL を使用して相互に接続し、状態情報を同期および維持し、デバイス フェイルオーバー シナリオを処理します。

図1:Azure Cloud Network architecture diagram showing security setup in Microsoft Azure with users, internet gateway, untrust zone, vSRX nodes, trust zone, and protected resources.でのマルチノード高可用性導入のvSRX

vSRX仮想ファイアウォールでは、個々のインスタンスグループごとに2つのパブリックIPアドレスと1つ以上のプライベートIPアドレスが必要です。パブリックサブネットは、管理インターフェイス(fxp0)用のサブネットと収益(データ)インターフェイス用のサブネットで構成されています。サブネット設定には、任意の4つの収益インターフェイスを使用できます。プライベートインターフェイスは、保護されたリソースに接続されています。これにより、プライベートサブネット上のアプリケーションとインターネット間のすべてのトラフィックが、vSRX仮想ファイアウォールインスタンスを通過する必要があります。

Azureでマルチノード高可用性を実現するには、同じAzureリソースグループ内に両方のファイアウォールを展開する必要があります。Azure リソース グループは、Azure ソリューションの関連リソースを保持する論理コンテナーです。ソリューションのすべてのリソースを含めることも、グループとして管理するリソースのみを含めることもできます。

各ノードにノード固有のプライマリアドレスを割り当て、両方のノードに共通のセカンダリまたはフローティングIPアドレスを割り当てる必要があります。フローティングIPアドレスとして機能するセカンダリIPアドレスは、常にアクティブノードにアタッチされます。現在のアクティブノードに障害が発生した場合、セカンダリIPアドレスは障害が発生したアクティブノードから現在のアクティブノードに遷移します。新しいアクティブノードは、トラフィックの継続的なフローを保証します。

最初に両方のノードが、起動時にどちらがセカンダリIPアドレスの所有者であるかを示す定義済みのタグを使用して起動されます。その特定のノードはアクティブノードとして動作を開始し、もう1つはバックアップノードとして起動します。

スプリットブレイン保護

スプリットブレインシナリオとは、ノード間のシャーシ間リンク(ICL)がダウンしたときに、マルチノード高可用性システムの両方のノードが同じ状態(アクティブまたはバックアップ)でスタックする状況を指します。この状態を防ぐために、両方のノードが、設定に基づいて、trustまたはuntrustインターフェイスのプライマリIPアドレスのプローブを試みます。

シャーシ間リンク(ICL)でプローブ障害とともに障害が発生した場合、ピアから応答を受信しないノードがアクティブなロールを引き受けます。ただし、プローブが成功し、ピアノードがまだ動作していることが確認された場合、ノードは現在の状態を維持します。このプローブプロセスは、ICLが復元されるまで継続します。

例: Azure Cloud Deployment でマルチノード高可用性を構成する

このトピックを読み、SRXシリーズファイアウォールでマルチノード高可用性ソリューションを設定する方法を理解してください。

Azure上のvSRX仮想ファイアウォールのペアを設定して、アクティブ/バックアップマルチノード高可用性設定として動作させることができます。参加ノードは、アクティブコントロールプレーンとデータプレーンの両方を同時に実行します。ノードは相互にバックアップを行い、システムまたはハードウェアに障害が発生した場合に、高速で同期されたフェイルオーバーを確保します。2台のデバイス間のシャーシ間リンク(ICL)接続は、状態情報を同期および維持し、デバイスフェイルオーバーシナリオを処理します。

この例では、Azureクラウドに展開されている2つのvSRX仮想ファイアウォールインスタンスでマルチノード高可用性を設定する方法を示します。

ヒント:
表1:可読性スコアと時間の推定値

読書時間

45分

設定時間

1.5時間

前提条件の例

VMの要件

Azure Cloudに展開された2つのvSRX仮想ファイアウォール

ソフトウェア要件

Junos OSリリース23.4R1以降のリリース

ライセンス要件

vSRX仮想ファイアウォールライセンスを使用するか、評価ライセンスをリクエストしてください。ライセンスは、ジュニパー ネットワークスのライセンス管理システム(LMS)から調達できます。

詳細については、以下のリンクを確認してください。

始める前に

利点

Azureに導入されたvSRXシリーズファイアウォールの可用性が向上し、信頼性が向上し、ダウンタイムが短縮されます。

詳細はこちら

Microsoft Azureクラウドを使用したvSRX仮想ファイアウォール

詳細情報

AWSとAzureへのジュニパーセキュリティの導入

機能の概要

使用されたテクノロジー
  • インターフェイスとゾーン
  • マルチノードの高可用性
  • 監視オプション
  • ルーティングポリシー、プロトコル、ルーティングオプション

一次検証タスク
  • 両方のノードに関する高可用性情報
  • Azureクラウドのマルチノード高可用性ステータス

トポロジーの概要

図2は、この例で使用されているトポロジーを示しています。

図2:Azure Multinode High Availability Configuration on vSRX VMs Deployed in AzureにデプロイされたvSRX VMのマルチノード高可用性構成

このトポロジーは、Microsoft Azureに導入された2つのvSRX仮想ファイアウォールインスタンス(ノード1とノード2)を使用したマルチノード高可用性(MNHA)の設定を示しています。この構成により、冗長性とシームレスなフェイルオーバーが確保され、トラフィックを安全に処理できます。

表2表3 に、この例で使用されているインターフェイスとIPアドレスの詳細を示します。

表2:アクティブノードのインターフェイスとIPアドレス
インターフェース サブネット プライベートIP パブリックIP 役割/メモ
fxp0 10.10.0.0/24

10.10.0.4

 203.0.113.33 管理インターフェイス
ge-0/0/0 10.10.1.0/24

10.10.1.4

 - ICL(クラスター間リンク)を接続します。
ge-0/0/1(プライマリ) 10.10.2.0/24

10.10.2.4

 - untrustゾーンをインターネットに接続
ge-0/0/1(セカンダリ) 10.10.2.0/24

10.10.2.5

198.51.100.253

 セカンダリIPとして動作します
ge-0/0/2(プライマリ) 10.10.3.0/24

10.10.3.4

 - トラストゾーンを保護されたサブネットに接続します
ge-0/0/2(セカンダリ) 10.10.3.0/24

10.10.3.5

 - セカンダリIP
表3:バックアップノードのインターフェイスとIPアドレス
インターフェース サブネット プライベートIP パブリックIP 役割/メモ
fxp0 10.10.0.0/24

10.10.0.5

 203.0.113.35 管理インターフェイス
ge-0/0/0 10.10.1.0/24

10.10.1.5

 - ICLに接続
ge-0/0/1(プライマリ) 10.10.2.0/24

10.10.2.6

 - untrustゾーンをインターネットに接続
ge-0/0/2(プライマリ) 10.10.3.0/24

10.10.3.6

 - トラストゾーンを保護されたサブネットに接続します

主要コンポーネント

  • vSRXノード

    • ノード1とノード2は、MNHAクラスター内のファイアウォールピアとして機能します。
    • 各ノードには次のものがあります。
      • Untrust Interface(ge-0/0/1):インターネットにアクセスできるパブリックサブネットに接続します
      • 信頼インターフェイス(ge-0/0/2):プライベートサブネット内の保護されたリソースに接続します。
      • 管理インターフェイス(FXP0):帯域外管理に使用されます。

  • パブリックサブネットとプライベートサブネット

    • 両方のvSRXノードは、インターネットゲートウェイへの接続を提供するためにパブリックサブネットに配置されます。
    • untrust側は外部トラフィックを処理します。
    • 保護されたリソースは、両方のノードのトラストインターフェイスに接続されたプライベートサブネットに配置されます。

  • シャーシ間リンク(ICL)

    • 両方のノード上のインターフェイスGe-0/0/0が ICLを形成します。
    • ルーティング可能なIPアドレス(10.10.1.4および10.10.1.5)を使用します。

Microsoft AzureにvSRX仮想ファイアウォールインスタンスを展開するには、Azure MarketplaceからvSRXイメージを選択し、ネットワーク要件に応じて仮想マシンの設定と関連する依存関係をカスタマイズする必要があります。この手動導入アプローチは、vSRX VMのMNHAセットアップを構成する際にしばしば必要になります。このユースケースはCloudFormationテンプレートを使用して自動化することもできますが、そのようなテンプレートは現在利用できません。

Microsoft AzureにvSRX仮想ファイアウォールを展開するための各ステップの詳細を見ていきます。

Azure portal のセットアップ

この例では、vSRXファイアウォールインスタンス用に2つの仮想マシン(VM)を展開します。次の一覧は、マルチノード高可用性のために Azure でリソースを構成するための推奨順序の概要を示しています。ただし、この順序は厳密または必須のルールではなく、ワークフローに応じて、多くのタスクを互いの前にまたは後に完了できます。要件に合わせて順序を調整できます
  • リソースグループの作成
  • 管理アクセスの設定
  • 仮想ネットワーク (VNet) とサブネットを作成する
  • パブリックIPアドレスの作成
  • ネットワークセキュリティ グループ (NSG) を作成する
  • ストレージ アカウントを作成する
  • vSRX VMの導入
  • マネージド ID の I AM アクセス許可の作成と割り当て
  • インターフェイスタグの作成
  • ネットワークインターフェイスの作成
  • インターフェイスにIPアドレスを割り当てる
  1. リソースグループの作成
    リソース グループは、Azure にデプロイされたリソースの論理コンテナーです。関連リソースの管理と整理に役立ちます。vSRX VM は、Azure リソース グループ内のリソースです。vSRX に関連するすべてのコンポーネント(仮想ネットワーク、ストレージ アカウント、パブリック IP など)は、同じリソース グループの一部です。
    1. Azure portal にサインインします。
    2. リソース グループを検索し、新しいリソースグループ を作成します。
    3. 名前を選択し、「サブスクリプション」と入力し、リソース グループのリージョンを選択します。この例では、リソース グループ azure-vsrx3.0を作成します。
    4. [レビュー + 作成]、[作成] の順にクリックします。詳しくは

      詳細については、「 リソースグループの作成」 を参照してください。

  2. リソース グループの管理アクセスの設定

    この手順では、専用リソースグループ内のvSRX仮想マシンおよび関連するネットワークリソースを管理(展開、構成、監視、削除)するために必要な権限をユーザーまたはユーザーグループに付与します。

    AzureにvSRX仮想ファイアウォールを展開する場合、IAMロールはマネージドエンティティ(vSRX VMまたはその関連リソース)にも割り当てられます。この手順については、この手順の後半で説明します。

    注:

    このタスクを実行するには、「所有者」権限が必要です。

    1. 特定のリソースグループを選択します(この例ではazure-vsrx3.0 )。
    2. [リソース グループ] ブレードの左側のナビゲーション パネルにある [アクセス制御 (IAM)] をクリックします。
    3. [ + 追加 ] ボタンをクリックし、[ ロール割り当ての追加] を選択します。
    4. [メンバー] タブで [ユーザー]、[グループ]、または [サービス プリンシパル] を選択し、所有者、共同作成者、閲覧者などのロールを選択します。
    5. +メンバーを選択をクリックし、ロールを割り当てるユーザーまたはユーザーグループを検索して選択します。
    6. 条件を設定します(オプション)。
    7. レビュー+割り当てをクリックして、ロールの割り当てを完了します。
    8. 「保存」をクリックします。
  3. 仮想ネットワークの作成

    仮想ネットワーク (VNet) は、Azure インフラストラクチャの基盤です。これにより、Azureリソースを安全に接続できます。少なくとも、以下を定義します。

    • 管理(fxp0)サブネット、
    • インターネットに面したトラフィック用の1つ以上のパブリックサブネット
    • 内部ワークロード用のプライベートサブネット
    • MNHA設定でのノード間通信用のICLサブネット

    1. Azure portal で、 [ リソースの作成 ] セクションに移動します。仮想 ネットワークを見つけて選択します。

    2. + 作成をクリックします
    3. 基本タブで、以下の詳細を入力します。
      • サブスクリプション: サブスクリプションを選択します。
      • リソースグループ: 既存のグループ (例: azure-vsrx3.0) を選択するか、新しいグループを作成します。
      • 名前: VNet の名前を入力します (例: mnha-vnet-zone)。
      • リージョン: リソースをデプロイするリージョンを選択します。
    4. [レビュー + 作成]、[作成] の順にクリックします。
    5. [仮想ネットワーク] ページで、[設定] > [サブネット] をクリックします。サブネットは、論理接続(物理ケーブル接続ポートなど)を使用して 2 つの vSRX仮想ファイアウォール ノードを接続するために使用されます。

      表4は 、この例で使用されている設定例を示しています。

      表 4: Azure portal でのサブネット構成
      関数 CIDR ロール
      管理サブネット 10.10.0.0/24 管理トラフィック
      ICLサブネット 10.10.1.0/24 RTO、同期、プローブ関連のトラフィック
      untrust-subnet 10.10.2.0/24 外部トラフィック
      trust-subnet 10.10.3.0/24 内部トラフィック
      詳細については、「仮想ネットワークの作成」を参照してください。
  4. パブリックIPアドレスの作成
    1. Azure portal で、 [ リソースの作成 ] セクションに移動します。ネットワーク 基盤 を見つけて選択し、 パブリックIPアドレスに移動します。
    2. 作成をクリックして、新しいパブリックIPアドレスの設定を開始します。
    3. [基本] タブで、以下の詳細を入力します。
      • サブスクリプション: サブスクリプションを選択します。
      • リソースグループ: 既存のグループ(この例ではazure-vsrx3.0 )を選択します。
      • リージョン: リソースをデプロイするリージョンを選択します。
      • 名前: パブリックIPリソースの一意の名前を入力します。
      • IPバージョン:要件に基づいてIPv4またはIPv6を選択します。
      • SKU: Basic オファリングと Standard オファリングのどちらかを選択します。
      • IPアドレス割り当て 階層ルーティング設定:この例では、デフォルトのオプションを維持します。
    4. 構成が完了したら、設定を確認し、 作成 をクリックしてパブリックIPアドレスを割り当てます。

    同じ手順を繰り返して、他のパブリックIPを作成します。この例では、 vsrx-r0-ipvsrx-secondary-public-ipvsrx-r0b-ipを作成します。

  5. ネットワークセキュリティ グループ (NSG) を作成する
    1. [ ネットワーク基盤 ] > [仮想ネットワーク] に移動し、[ ネットワーク セキュリティ グループ] を選択します。
    2. [ ネットワーク セキュリティ グループの作成] を選択します。
    3. 次の詳細を使用して NSG を設定します。
      • サブスクリプション: サブスクリプションを選択します。
      • リソースグループ: 既存のグループ(この例ではazure-vsrx3.0 )を選択します。
      • 名前: ネットワーク セキュリティ グループの一意の名前を入力します (例: vsrx-r0-nsg)。
      • リージョン: リソースをデプロイするリージョンを選択します。

      ネットワークセキュリティグループが作成されます。同じ手順を繰り返して、別のネットワークセキュリティグループ(vsrx-r0b-nsg)を作成します。

    4. [ 設定 ] に移動し、[ インバウンド セキュリティ ルール ] と [ アウトバウンド セキュリティ ルール] で NIC と VM との間でやり取りされるトラフィックを制御するインバウンド セキュリティ ルールを定義します。
      ヒント:

      NSG 構成には、次のセキュリティ設定をお勧めします。

      • 適切な NSG セキュリティ規則を定義して、要件に応じてトラフィック フローを制御します。
      • vSRXインスタンスの管理方法に応じて、インバウンドSSHと、オプションでHTTPSのみを許可します。
      • 独自の送信元IPへのインバウンドアクセスを制限して、潜在的なSSHブルートフォースの試みを防ぎます。
      • SDクラウドを使用している場合は、vSRXが以下のアウトバウンド接続を開始できることを確認してください。
        • DNS
        • NTP
        • ポート7804のSSH
        • ポート6514でTLSを介したSYSLOG(ターゲットIPはSD Cloudインスタンスによって異なります)
  6. ストレージ アカウントを作成する
    ストレージ アカウントは、Azure 内のデータ オブジェクトを格納してアクセスするための一意の領域を提供します。
    1. リソース グループで、[ 作成] (+) をクリックします。
    2. "ストレージ アカウント" を検索し、新しいアカウントを作成します。
    3. 名前、導入モデル、パフォーマンス、およびその他の設定を指定します。
    4. [レビュー + 作成]、[作成] の順にクリックします。詳細については、「ストレージ アカウントの作成」を参照してください。
  7. vSRX VMの導入

    以下の手順を使用して、2つのvSRX VMインスタンスを展開します。これら 2 つのインスタンスを使用して、マルチノード高可用性を設定します。詳細については、「 Azure MarketplaceからvSRX仮想ファイアウォールイメージを展開する」を参照してください。

    注意:

    この例では、このユースケース専用に示されている値が選択されています。その他の設定はすべてデフォルトのままです。ネットワーク要件に最も適した設定値を選択します。
    1. リソース の作成 をクリックしてAzure MarketplaceでvSRXを検索し、 vSRX仮想ファイアウォールを検索します。
    2. Azure MarketplaceからvSRX VMイメージを選択します。
    3. 以下の詳細を入力して、導入設定を構成します。

      基本 タブ

      1. サブスクリプション: サブスクリプションを選択します。
      2. リソースグループ: リソースグループを選択します この例では、前に作成した azure-vsrx3.0 を使用します。
        注:

        両方のvSRX仮想ファイアウォールインスタンスを同じリソースグループに展開します。リソースグループには、この導入用のvSRX仮想ファイアウォールに関連するすべてのリソースが保持されます。
      3. 仮想マシン名: vSRX VM の一意の名前を入力します (例: vsrx-r0)。
      4. リージョン: リソースをデプロイするリージョンを選択します。
      5. イメージ:vSRX次世代ファイアウォールのイメージを選択します。
      6. サイズ: この例ではDS3_v2 vSRX仮想ファイアウォール VM サイズとして [標準] を選択します。
      7. 認証タイプ:vSRX仮想ファイアウォールVMにアクセスするために必要な認証方法(パスワードまたはSSHパブリックキー)を選択します。
      8. パブリック インバウンド ポート: [選択したポートを許可する] オプションを保持します。
      9. インバウンドポートの選択:この例では、SSH 22を選択します。

    4. ディスクタブ

      1. OSディスクタイプ:vSRX仮想ファイアウォールVMに使用するディスクタイプをSSDまたはHDDの中から指定します。

    5. [ネットワーキング] タブ

      1. 仮想ネットワーク: 仮想ネットワークを選択します(この例ではmnha-vnet-zone )。
      2. サブネット: 仮想ネットワークを選択します(この例ではmanagement-subnet )。
      3. パブリックIP:パブリックIP(この例ではvsrx-r0-ip )を選択します。
      4. パブリック インバウンド ポート: [選択したポートを許可する] オプションを保持します。
      5. インバウンドポートの選択:この例では、SSH 22を選択します。

    6. 設定を確認し、 作成をクリックします

    Azure は、設定に基づいて vSRX VM のプロビジョニングを開始します。vSRX仮想ファイアウォールVMが作成されると、Azure portalダッシュボードの [リソースグループ]に新しいvSRX仮想ファイアウォールVMが一覧表示されます。

    注:

    特定の要件とネットワーク設計に基づいて、これらの手順をカスタマイズすることを忘れないでください。

    この手順で説明したのと同じ手順を使用して、別のvSRXインスタンスVM(vsrx-r0b)をデプロイして構成します。

  8. マネージド ID の I AM アクセス許可の作成と割り当て
    マネージド ID が作成され、リソース グループにリンクされます。これらの ID により、VM は資格情報を管理することなく Azure サービスと安全に対話できます。
    Azure に vSRX3.0 VM をデプロイするユーザーは、ユーザーが割り当てたマネージド ID を作成して VM にアタッチするには、IAM(Identity and Access Management)パーミッションを持っている必要があります。このマネージド ID はサービス プリンシパルのように機能し、VM が資格情報を格納せずに Azure サービスを認証して呼び出すことができます。
    1. マネージド ID を作成する
      1. Azure portal で、 [ リソースの作成 ] セクションに移動します。[ マネージド ID] を見つけて選択します。
      2. [ + 作成 ] をクリックします。
      3. [ユーザー割り当てマネージド ID の作成] の [基本] タブに、次の詳細を入力します。
        • サブスクリプション: サブスクリプションを選択します。
        • リソースグループ: この例では、既存のグループ(azure-vsrx3.0)を選択します。
        • 名前: マネージド ID の一意の名前を入力します (例: mnha-role)。
        • リージョン: リソースをデプロイするリージョンを選択します。
      4. 構成が完了したら、設定を確認し、 作成をクリックします

      システムはステータスを表示し、IDが作成されると通知します。

    2. マネージドIDをvSRX3.0 VMに関連付ける

      1. Azure portal で最初の vSRX 仮想マシンを選択します。

      2. セキュリティ > IDに移動します。

      3. ユーザー割り当てタブを選択し、+作成をクリックします。

      4. サブスクリプション: サブスクリプションを選択します。
      5. ユーザー割り当てマネージド ID: 作成したマネージド ID を選択します (この例ではmnha-role )。
      6. 追加をクリックします
    3. VMインスタンスへのIAMロールの割り当て

      カスタム ロールの割り当て (リソース グループのスコープで)

      1. vSRX VMと、関連するすべてのネットワークコンポーネント(NIC、IP)の両方を含むリソースグループに移動します。

      2. 左側のメニューで [アクセス制御 (IAM)] をクリックします。

      3. 追加>ロール割り当ての追加をクリックします。

      4. ロール: 必要な特定のアクセス許可 (以下にリスト) を含むカスタム ロールを選択するか、より簡単な展開の場合は ネットワーク共同作成者 ロールを選択します。

        • カスタムロールに推奨される権限:

          • Microsoft.Authorization/*/read
          • Microsoft.Compute/virtualMachines/read
          • Microsoft.Network/networkSecurityGroups/join/action
          • Microsoft.Network/networkInterfaces/*
          • Microsoft.Network/virtualNetworks/join/action
          • Microsoft.Network/publicIPAddresses/read
          • Microsoft.Network/publicIPAddresses/write
          • Microsoft.Network/publicIPAddresses/join/action
          • Microsoft.Authorization/*/read
          • Microsoft.Compute/virtualMachines/read
          • Microsoft.Network/routeTables/*
          • Microsoft.Network/networkInterfaces/*

      5. メンバー: [ マネージド ID] を選択します。

      6. [ + メンバーの選択 ] をクリックし、 mnha-role作成したマネージド ID を選択します。

      7. レビュー+割り当てをクリックします。

  9. ネットワークインターフェイスを作成する

    Azure上のvSRXシリーズファイアウォールでネットワークインターフェイスの設定を計画します。VMの導入前または後にインターフェイスを作成できます。

    • VM導入前:インターフェイスを事前に作成し、VMのセットアップ時に割り当てます。
    • VM のデプロイ後: 必要に応じて、既存の VM に追加のインターフェイスをアタッチします。この操作は、VMの電源がオフになっている場合にのみサポートされます。VMの実行中にインターフェイスを追加することはできません。

    次の手順では、新しいインターフェイスを作成し、後でそれらをVMに接続してIPアドレスを割り当てます。

    1. Azure portal の [ネットワーク] セクションの [ネットワーク] インターフェイスに移動します。
    2. ネットワーク インターフェイスの作成をクリックします。
    3. 新しいネットワークインターフェイスに以下の詳細を入力します。
      • 名前: インターフェイスに一意の名前を指定します。
      • リージョン: VNet、VM、IP アドレスと同じリージョンを選択します。
      • 仮想ネットワーク: NIC関連付ける仮想ネットワークを選択します (この例ではmnha-vnet-zone)。
      • サブネット: 適切なサブネットを選択します。先ほど作成したサブネットがドロップダウンに表示されます。
      • IPバージョン: この例ではIPv4を選択します。
      • プライベート IP アドレスの割り当て: この例では [静的] を選択します。
    4. 必要に応じて、先ほど作成したパブリックIPアドレスを添付します。
    5. 新しいネットワークセキュリティグループを作成するか、既存のグループに関連付けるかを選択します。
    6. 設定を確認し、 作成 をクリックして新しいインターフェイスをプロビジョニングします。
  10. インターフェイスとVMを関連付け
    1. デプロイされたvSRX VMに移動し、ネットワーキング>ネットワーク設定をクリックします。
    2. ネットワーク インターフェイスの接続をクリックします
    3. 既存のネットワークインターフェイスを接続ペインで、ドロップダウンから追加するインターフェイスを選択します。(お持ちでない場合は、 最初に [ネットワーク インターフェイスの作成] を選択します)。
    4. OKをクリックします。
  11. インターフェイスにIPアドレスを割り当てる
    1. VM の左側のメニューで、[ ネットワーク] > [ネットワーク設定] をクリックします。
    2. 接続されたネットワークインターフェイスを見つけます。
    3. ネットワークインターフェイス名をクリックして、 IP設定 ページでその詳細を開きます。IP設定セクションには、割り当てられたIPアドレス(存在する場合)があり、IPアドレスを設定することもできます。
      1. IP転送を有効にするをオンまたはオフにします。制御リンクインターフェイスでIP転送を常に有効にします。信頼側と信頼できない側の両方でデフォルトルートが設定されていることを確認します。トラフィックトポロジーで必要に応じて、収益インターフェイスでIP転送を有効にします。疑わしい場合は、適切なトラフィックフローを確保するために有効にしてください。
      2. +追加をクリックして新しいIP設定を追加し、以下の詳細を入力します。

        • 名前:IP設定の名前を入力します(例: ipconfig または ipconfig1

        • IPバージョン:IPv4またはIPv6を選択します

        • タイプ: プライマリまたはセカンダリを選択

        • プライベートIPアドレス: 割り当て: 静的または動的を選択します。VM が存在する限り静的 IP は固定されたままで、VM の再起動または電源を入れ直した後に動的 IP が変更される可能性があります。

        • プライベートIPアドレス:IPアドレス:IPアドレスを入力します

        • パブリックIPアドレスの関連付け:要件に従ってチェックまたはチェックを外します。デフォルトでは、インターフェイスに割り当てられるのはプライベートIPアドレスのみです。パブリック IP アドレスは、VM のネットワーク インターフェイス設定で明示的に構成する必要があります。この例では、 vsrx-r0-ipvsrx-secondary-public-ipvsrx-r0b-ipの3つのパブリックIPアドレスをすでに作成しています。実際のパブリック IP 値 (203.0.113.33、198.51.100.253、203.0.113.35) は、パブリック IP リソースの作成時に Azure によって自動的に割り当てられます。このIPを手動で指定することはできません。Azure は、マネージド アドレス プールから割り当てます。

        保存」 をクリックして設定を保存します。

      同じ手順を使用して、セカンダリIPアドレスとその他の必要なIPアドレスを両方のVMの対応するインターフェイスに追加します。この例では、 表5 および 表6に示すIPアドレス設定を使用します。

      注:セカンダリIPアドレスを必要とするのは、アクティブノードVM( vsrx‑r0)だけです。スタンバイVM( vsrx‑r0b)にセカンダリIPを設定しないでください。
    インターフェイス パブリック
    表5:vSRX VMノード1(vsrx-r0)(アクティブノード)のインターフェイスとIPアドレスの設定
    インターフェイス( vSRXおよびAzure)にマッピングされたサブネット IPアドレスIP IPフォワーディングオプション

    vSRX-r0213_z1

    		 管理サブネット

    10.10.0.4

    203.0.113.33

    		 NA fxp0(eth0)
    vSRX-R0-G0 ICLサブネット

    10.10.1.4

    		 NA 有効にする ge-0/0/0(eth1)
    vSRX-R0-G1 untrust-subnet

    10.10.2.4

    		 NA 有効にする ge-0/0/1(eth2)
    vSRX-R0-G1 untrust-subnet

    10.10.2.5

    198.51.100.253

    		 有効にする ge-0/0/1(eth2)
    vSRX-R0-G2 trust-subnet

    10.10.3.4

    		 NA 有効にする ge-0/0/2(eth3)
    vSRX-R0-G2 trust-subnet

    10.10.3.5

    		 NA 有効にする ge-0/0/2(eth3)
    インターフェイス パブリック
    表6:vSRX VMノード2(vsrx-r0b)(バックアップノード)のインターフェイスとIPアドレスの設定
    インターフェイス( vSRXおよびAzure)にマッピングされたサブネット IPアドレスIP IPフォワーディングオプション

    vSRX-r0b545_z1

    		 管理サブネット

    10.10.0.5

    203.0.113.35

    		 有効にする fxp0(eth0)
    vSRX-R0B-G0 ICLサブネット

    10.10.1.5

    		 NA 有効にする ge-0/0/0(eth1)
    vSRX-R0B-G1 untrust-subnet

    10.10.2.6

    		 NA 有効にする ge-0/0/1(eth2)
    vSRX-R0B-G2 trust-subnet

    10.10.3.6

    		 NA 有効にする ge-0/0/2(eth3)

    vSRX仮想ファイアウォールおよびMicrosoft Azureインターフェイス名については、「 Microsoft Azure上のvSRX仮想ファイアウォールインターフェイスマッピング」 を参照してください。

    [ 設定] > [ネットワーク] をクリックして、VM のインターフェイス、サブネット、IP 構成を表示します。

  12. ネットワークセキュリティグループ(NSG)とのインターフェイスの関連付け
    ネットワークセキュリティグループは、サブネットレベル(そのサブネット内のすべてのNICに影響)またはインターフェイスレベルで適用できます。NSG は、IP、ポート、およびプロトコルによってトラフィックを制御します。インターフェイスレベルで NSG を関連付けると、その VM のインターフェイスに固有の規則が適用されます。NSG は、ネットワーク インターフェイスと同じリージョンおよびリソース グループにある必要があります。
    1. ポータルの上部にある検索バーに、「ネットワークインターフェイス」と入力して選択します
    2. 設定するネットワークインターフェイスの名前を選択します
    3. 左側のメニューの [設定] で、[ネットワーク セキュリティ グループ] を選択します。
    4. ドロップダウン メニューから目的の NSG を選択します (または、既存の NSG の関連付けを解除するには [なし] を選択します)。次の NSG を選択します。
      • 仮想マシンvSRX-R0bvSRX-R0
      • 仮想マシンvSRX-R0b用vSRX-R0b-NSG
    5. [保存] を選択して変更を適用します
  13. インターフェイスタグの作成

    Azure のリソース タグは、Azure リソース、リソース グループ、サブスクリプションに適用する名前と値のペアで構成されるメタデータ要素です。

    タグを作成するには、vSRX VMページで、左側のナビゲーションバーから [タグ ]を選択します。

    この例では、両方のVMにタグを作成して、2つのvSRX仮想ファイアウォールインスタンス上の信頼できるインターフェイスと信頼できないインターフェイスを識別します。以下の表(表7 および 表8は、この例で使用されているタグの例を示しています。

    表7:vSRXVM-1(vsrx-r0)のインターフェイスタグ

    タグ名

    local_trust_interface

    vSRX-R0-G2

    local_untrust_interface

    vSRX-R0-G1

    peer_trust_interface

    vSRX-R0B-G2

    peer_untrust_interface

    vSRX-R0B-G1
    表8:vSRXVM-2(vsrx-r0b)のインターフェイスタグ

    タグ名

    local_trust_interface

    vSRX-R0B-G2

    local_untrust_interface

    vSRX-R0B-G1

    peer_trust_interface

    vSRX-R0-G2

    peer_untrust_interface

    vSRX-R0-G1

    表に示されているタグ値は、ネットワークインターフェイス名を表すことに注意してください。設定で同じタグ値を使用する必要があります。AzureでのMNHAセットアップでは、これらのタグを使用して、各NICを対応するvSRXインターフェイスにマッピングします。このマッピングは、フェイルオーバー中にHAプロセスが適切な信頼できるインターフェイスと信頼できないインターフェイスの間でセカンダリIPを正しくシフトできるように、実際のインターフェイス名と一致する必要があります。

すべての設定が完了したら、Azure Portal シリアル コンソールまたはリモート SSH を使用して vSRX仮想ファイアウォール VM にログインします。

Azure portal で必要なすべての構成が完了したので、CLI を使用して vSRX仮想ファイアウォールの構成を開始しましょう。

注:

最新バージョンのvSRXソフトウェアイメージ(23.4R1以降)を使用していることを確認してください。CLIを使用して、Junos OS for vSRX仮想ファイアウォールソフトウェアを直接アップグレードできます。Junos OSのアップグレードまたはダウングレードは、ネットワークのサイズと構成によっては数時間かかる場合があります。ジュニパーネットワークス Web サイトから目的の vSRX仮想ファイアウォール.tgz ファイル用の Junos OS リリースをダウンロードします。 「移行、アップグレード、ダウングレードの手順」を参照してください。

vSRX仮想ファイアウォールの設定

マルチノード高可用性用SRXシリーズファイアウォールの設定には、Junos IKEパッケージをお勧めします。このパッケージは、SRXシリーズファイアウォールのデフォルトパッケージまたはオプションパッケージとして利用できます。詳細については、「 Junos IKEパッケージのサポート 」を参照してください。

パッケージがSRXシリーズファイアウォールにデフォルトでインストールされていない場合は、次のコマンドを使用してインストールします。ICL暗号化には、このステップが必要です。

  1. ICL、内部および外部トラフィックのインターフェイスを設定します。
    • ノード1
    • ノード2
    注:

    セカンダリIPはアクティブノードのみが所有し、フェイルオーバー中にのみバックアップノードでアクティブになります。
    注:

    fxp0インターフェイスの場合、管理IPアドレスはAzureによって割り当てられ、管理IPアドレスは fxp0.0 (ユニット0)にバインドされます。

  2. セキュリティゾーンを設定し、ゾーンにインターフェイスを割り当て、セキュリティゾーンで許可されるシステムサービスを指定します。
    注意:

    このドキュメントで提供される設定例では、簡素化のためにすべてのホスト インバウンド プロトコルとサービスを使用できます。実稼働環境では、インバウンドアクセスを、環境に必要なプロトコルとサービスのみに制限する必要があります。MNHAの設定では、通常、この設定にはIKE、BGP、BFDの許可が含まれます。ネットワークとセキュリティの要件に合わせてセキュリティルールを常に調整します。
    • ノード1
    • ノード2
  3. ローカルノードとピアノードの詳細を設定します。
    • ノード1
    • ノード2
  4. 導入タイプをクラウドとして設定し、IDを割り当て、プリエンプションとアクティブの優先順位を設定します。
    • ノード1
    • ノード2
  5. Azure デプロイ関連のオプションを構成します。
    • ノード1
    • ノード2
  6. セキュリティポリシーを設定します。
    注意:

    この例に示されているセキュリティポリシーは、デモとテストのみを目的としています。ネットワークのニーズに応じてセキュリティポリシーを設定する必要があります。セキュリティポリシーで、信頼できるアプリケーション、ユーザー、デバイスのみが許可されるようにしてください。
    • ノード1

    • ノード2

  7. ルーティングインスタンスを設定します。
    • ノード1
    • ノード2
  8. ポリシーオプションを設定します。
    • ノード1
    • ノード2
  9. ICLを暗号化する
    • ノード1
    • ノード2

    詳細については 、「例:レイヤー3ネットワークでマルチノード高可用性を設定する 」を参照してください。

検証

showコマンドを使用して、設定が正しく機能していることを確認します。

表9:検証用のshowコマンド
コマンド 検証タスク

show chassis high-availability information

ピアノードのヘルスステータスなど、セキュリティデバイス上のMNHAステータスの詳細を表示します。
show security cloud high- availability information

パブリッククラウド(AWSまたはAzure)でのMNHAの導入に関するステータスを表示します。

マルチノード高可用性の詳細を確認する

目的

vSRX仮想ファイアウォールインスタンスで設定されたマルチノード高可用性設定の詳細を表示および検証します。

アクション

動作モードから、両方のデバイスで次のコマンドを実行します。

ノード1(アクティブノード)

ノード2(バックアップノード)

意味

コマンド出力からこれらの詳細を確認します。

  • ローカルノードとピアノードの詳細(IP アドレスや ID など)
  • 「デプロイメント・タイプ: クラウド」フィールドは、構成がクラウドデプロイ用であることを示します。
  • フィールド Services Redundancy Group: 1 は、そのノード上の SRG1 のステータス (ACTIVE または BACKUP) を示します。

マルチノード高可用性情報の詳細を確認する

目的

Azure Cloud でのマルチノード高可用性デプロイの状態を確認します。

アクション

動作モードから、以下のコマンドを実行します。

意味

コマンド出力からこれらの詳細を確認します。

  • クラウドタイプ: Azure は、デプロイが Azure 向けであることを示します。
  • クラウド サービスの種類: セカンダリ IP は、Azure デプロイがセカンダリ IP を使用してトラフィックを制御することを示します。
  • クラウドサービスのステータス:ピアノードにバインドは、セカンダリIPアドレスとピアノードのバインドを示します。これは、現在のノードがバックアップノードであることを意味します。

基本的なトラブルシューティングチェックリスト

  1. 信頼できないインターフェイスと信頼するインターフェイスが同じvsrx3.0 VMインスタンス上にあるかどうかのセカンダリIPを確認します。
  2. 4つのタグ値がインターフェイス名と一致するように確認します。
  3. インバウンドルールが正しいことを確認してトラフィックを許可します。
  4. Azure portal で IP 転送が有効になっていることを確認します。
  5. Azure portalルートとvSRX CLIルートが同期されていることを確認します。
  6. アクティブ ノードの untrust インターフェイスをチェックして、Azure portal でフローティング IP アドレスがアタッチされているかどうかを確認します。

すべてのデバイスでコマンドを設定する

vSRX仮想ファイアウォール(ノード1)

vSRX仮想ファイアウォール(ノード2)

show configuration出力

設定モードから、 show high availabilityshow security zonesshow interfaces コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

vSRX仮想ファイアウォール(ノード1)

vSRX仮想ファイアウォール(ノード2)

関連項目

変更履歴テーブル

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がお使いのプラットフォームでサポートされているかどうかを確認します。

リリース
説明
24.4R1
Junos OSリリース24.4R1以降、Azureクラウドデプロイメントにおけるアクティブ/バックアップマルチノード高可用性向けにIPsec VPNがサポートされています。
23.4R1
Junos OSリリース23.4R1以降、Microsoft AzureクラウドプラットフォームでMNHAがサポートされています。