Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

AWS 배포의 멀티노드 고가용성

요약 AWS(Amazon Web Services) 구축에서 vSRX 가상 방화벽 인스턴스에 대한 멀티노드 고가용성 지원에 대해 알아보려면 이 주제를 읽어보십시오.

AWS의 멀티노드 고가용성

AWS에 구축된 vSRX 가상 방화벽 방화벽에서 멀티노드 고가용성을 구성할 수 있습니다. 참여 노드는 액티브 컨트롤 플레인과 데이터 플레인을 동시에 실행하고, 노드는 서로를 백업하여 시스템 또는 하드웨어 장애 발생 시 동기화된 빠른 페일오버를 보장합니다. 두 디바이스 간의 ICL(Interchassis Link) 연결은 상태 정보를 동기화 및 유지하고 디바이스 페일오버 시나리오를 처리합니다.

먼저 AWS 배포와 관련된 멀티노드 고가용성 용어를 숙지해 보겠습니다.

용어

용어 설명

탄력적 IP 주소

지정된 네트워크 또는 인터넷에서 라우팅할 수 있는 공용 IPv4 주소입니다. 탄력적 IP 주소는 멀티노드 고가용성 설정에 있는 모든 노드의 인터페이스에 동적으로 바인딩됩니다. 지정된 시간에 이러한 주소는 하나의 인터페이스에만 바인딩되며 동일한 노드에도 바인딩됩니다. 멀티노드 고가용성 설정은 탄력적 IP 주소를 사용하여 AWS 배포의 트래픽을 제어합니다. 탄력적 IP 주소는 계층 3 배포의 유동 IP 주소 또는 기본 게이트웨이 배포의 가상 IP 주소와 유사하게 작동합니다. 활성 SRG1이 있는 노드는 탄력적 IP 주소를 소유하고 이 주소로 트래픽을 끌어들입니다.

ICL(Interchassis Link)

다중 노드 고가용성 시스템에서 라우팅된 네트워크를 통해 노드를 연결하는 IP 기반 링크(논리적 링크)입니다. 보안 디바이스는 ICL을 사용하여 상태 정보를 동기화 및 유지하고 디바이스 페일오버 시나리오를 처리합니다. ge-0/0/0 인터페이스만 사용하여 ICL을 구성할 수 있습니다. ICL은 AWS에서 할당한 MAC 주소를 사용합니다(vSRX 가상 방화벽에서 생성한 가상 MAC가 아님). ICL을 구성할 때 IP 주소가 Virtual Private Cloud(VPC)의 서브넷인지 확인합니다. Multibode High Availability는 VPC 간 배포를 지원하지 않습니다
jsrpd(Juniper Services Redundancy Protocol) 프로세스

활동성 결정 및 시행을 관리하고 분할 브레인 보호를 제공하는 프로세스입니다.

AWS 배포에서 멀티노드 고가용성을 위한 IPsec VPN은 지원되지 않습니다.

아키텍처

그림 1 은 AWS의 멀티노드 고가용성 구축에서 HA 쌍을 형성하는 두 개의 vSRX 가상 방화벽 인스턴스를 보여줍니다. 하나의 vSRX 가상 방화벽 인스턴스는 활성 노드로 작동하고 다른 하나는 백업 노드로 작동합니다.

그림 1: 퍼블릭 클라우드 구축 Public Cloud Deployment

멀티노드 고가용성 설정에서 ICL은 두 노드(vSRX 가상 방화벽 인스턴스)를 연결하고 컨트롤 플레인 및 데이터 플레인 상태를 동기화하는 데 도움이 됩니다.

멀티노드 고가용성 설정에서는 2개의 vSRX 가상 방화벽 인스턴스가 액티브/백업 모드로 작동합니다. 두 노드는 제어 및 데이터 플레인 상태를 동기화하기 위해 ICL을 사용하여 서로 연결됩니다. SRG1이 활성 상태인 vSRX 가상 방화벽 인스턴스는 탄력적 IP 주소를 호스팅합니다. 활성 노드는 탄력적 IP 주소를 사용하여 트래픽을 해당 노드로 조정합니다. 백업 노드는 대기 모드로 유지되며 페일오버를 인계합니다.

주니퍼 서비스 중복 프로토콜(jsrpd) 프로세스는 AWS 인프라와 통신하여 활성성 확인 및 시행을 수행하고 분할 브레인(split-brain) 보호 기능을 제공합니다.

장애 조치 중에 탄력적 IP 주소는 AWS SDK API를 트리거하여 이전 활성 노드에서 새 활성 노드로 이동하고 새 활성 노드로 트래픽을 끌어들입니다. AWS는 라우팅 테이블을 업데이트하여 트래픽을 새 활성 노드로 전환합니다. 이 메커니즘을 통해 클라이언트는 단일 IP 주소를 사용하여 노드와 통신할 수 있습니다. 참여하는 네트워크/세그먼트에 연결하는 인터페이스에서 탄력적 IP 주소를 구성합니다.

스플릿 브레인(Split-Brain) 보호

두 노드 간의 ICL이 다운되면 각 노드는 프로브를 사용하여 피어 노드의 인터페이스 IP 주소로 ping을 시작합니다. 피어 노드가 정상이면 프로브에 응답합니다. 그렇지 않으면 jsrpd 프로세스가 AWS 인프라와 통신하여 정상 노드에 활성 역할을 적용합니다.

예: AWS 배포에서 멀티노드 고가용성 구성

이 예시에서는 Amazon Virtual Private Cloud(Amazon VPC)에 있는 두 개의 vSRX 가상 방화벽 인스턴스에서 멀티노드 고가용성을 구성하는 방법을 보여줍니다.

요구 사항

이 예제에서는 다음 구성 요소를 사용합니다.

토폴로지

그림 2 는 이 예에서 사용된 토폴로지를 보여줍니다.

그림 2: AWS 배포 Multinode High Availability in AWS Deployment 의 멀티노드 고가용성

토폴로지에서 볼 수 있듯이 두 개의 vSRX 가상 방화벽 인스턴스(vSRX 가상 방화벽-1 및 vSRX 가상 방화벽-2)가 Amazon VPC에 구축됩니다. 노드는 라우팅 가능한 IP 주소(탄력적 IP 주소)를 사용하여 서로 통신합니다. 신뢰할 수 없는 쪽은 공용 네트워크에 연결되고 신뢰할 수 있는 쪽은 보호된 리소스에 연결됩니다.

vSRX 가상 방화벽 인스턴스에서 멀티노드 고가용성을 구성하기 전에 다음 구성을 완료하십시오.

  • AWS의 인스턴스 태그를 사용하여 두 개의 vSRX 가상 방화벽 인스턴스를 멀티노드 고가용성 피어로 식별합니다. 예를 들어, vsrx-node-1 을 한 피어의 이름(이름 옵션)으로 사용하고 vsrx-node-2 를 HA 피어(ha-peer 옵션)로 사용할 수 있습니다.

  • 두 vSRX 가상 방화벽 인스턴스를 동일한 Amazon VPC 및 가용 영역에 구축합니다.
  • vSRX 가상 방화벽 인스턴스에 IAM 역할을 할당하고 vSRX 가상 방화벽 인스턴스를 모든 권한이 있는 Amazon Elastic Compute Cloud(EC2) 인스턴스로 시작합니다.
  • 퍼블릭 서브넷에 vSRX 가상 방화벽 인스턴스를 배치하여 인터넷 통신을 가능하게 합니다. Amazon VPC에서 퍼블릭 서브넷은 인터넷 게이트웨이에 액세스할 수 있습니다.
  • 고가용성 페어를 호스팅할 서브넷이 여러 개 있는 VPC를 구성합니다. 서브넷은 논리적 연결(물리적 케이블 연결 포트와 유사)을 사용하여 두 개의 vSRX 가상 방화벽 노드를 연결하는 데 사용됩니다. 이 예에서는 VPC에 대한 CIDR을 10.0.0.0/16으로 정의하고 vSRX 가상 방화벽 트래픽을 호스팅하기 위해 총 4개의 서브넷을 생성했습니다. 두 vSRX 가상 방화벽 인스턴스에 대해 최소 4개의 인터페이스가 필요합니다. 표 1 은 서브넷 및 인터페이스 세부 정보를 제공합니다.
    ,
    표 1: 서브넷 구성
    기능 포트 번호 , 인터페이스 연결트래픽 유형 , 서브넷
    관리 0 fxp0 관리 인터페이스 관리 트래픽 10.0.254.0/24
    Icl 1 ge-0/0/0 ICL-피어 노드 RTO, 동기화 및 프로브 관련 트래픽 10.0.253.0/24
    공용 2 ge-0/0/1 공용 네트워크에 연결합니다. (수익 인터페이스) 외부 트래픽 10.0.1.0/24
    개인 3 ge-0/0/2 개인 네트워크에 연결합니다. (수익 인터페이스) 내부 트래픽 10.0.2.0/24

    표에 언급된 기능이 있는 인터페이스 매핑은 기본 구성을 위한 것입니다. 구성에서 동일한 매핑을 사용하는 것이 좋습니다.

  • 기본 및 보조 IP 주소로 인터페이스를 구성합니다. 탄력적 IP 주소를 인터페이스의 보조 IP 주소로 할당할 수 있습니다. 인스턴스를 시작할 때 기본 IP 주소가 필요합니다. 보조 IP 주소는 페일오버 중에 하나의 vSRX 가상 방화벽 노드에서 다른 노드로 전송할 수 있습니다. 표 2 는 이 예에서 사용된 인터페이스 및 IP 주소 매핑을 보여줍니다.
    표 2: 인터페이스 및 IP 주소 매핑
    인스턴스 인터페이스 기본 IP 주소 보조 IP 주소(탄력적 IP 주소)
    vSRX 가상 방화벽-1 ge-0/0/1 10.0.1.101 10.0.1.103
    ge-0/0/2 10.0.2.201 10.0.2.203
    vSRX 가상 방화벽-2 ge-0/0/1 10.0.1.102 10.0.1.103
    ge-0/0/2 10.0.2.202 10.0.2.203
  • 데이터 경로에 vSRX 가상 방화벽을 포함하고 vSRX 가상 방화벽을 트래픽의 다음 홉으로 표시하도록 인접 라우터를 구성합니다. 탄력적 IP 주소를 사용하여 경로를 구성할 수 있습니다. 예를 들어, 10.0.2.203 주소는 탄력적 IP 주소인 명령을 sudo ip route x.x.x.x/x dev ens6 via 10.0.2.203사용합니다.

구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 CLI로 [edit] 복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit .

이러한 구성은 랩 환경에서 캡처되며 참조용으로만 제공됩니다. 실제 구성은 사용자 환경의 특정 요구 사항에 따라 달라질 수 있습니다.

vSRX 가상 방화벽-1

vSRX 가상 방화벽-2

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

  1. ge-0/0/0을 ICL의 인터페이스로 구성

  2. 내부 및 외부 트래픽에 대한 인터페이스를 구성합니다.

    탄력적 IP 주소로 ge-0/0/1 및 ge-0/0/2에 할당된 보조 IP 주소를 사용합니다.

  3. 보안 영역을 구성하고, 영역에 인터페이스를 할당하고, 보안 영역에 허용되는 시스템 서비스를 지정합니다.

  4. 라우팅 옵션을 구성합니다.

    여기서는 관리 트래픽과 수익 트래픽을 분리하기 위해 별도의 라우팅 인스턴스 유형이 virtual router 필요합니다.

  5. 로컬 노드 및 피어 노드 세부 정보를 구성합니다.

  6. 인터페이스 모니터링을 위해 인터페이스를 피어 노드에 연결하고 활동성 감지 세부 정보를 구성합니다.

  7. 구축 유형을 클라우드로 사용하여 SRG1을 구성하고, ID를 할당하고, 선점 및 활성 우선순위를 설정합니다.

  8. AWS 배포 관련 옵션을 구성합니다. 예를 들어 서비스 유형으로 eip 기반을 지정하고 AWS 피어 활동성과 같은 모니터링 옵션도 구성합니다.

참고:

vNIC가 VMXNET3 VMWare ESXi 환경의 vSRX 가상 방화벽 인스턴스에 대한 멀티노드 고가용성에서는 다음 문에서 가상 MAC 주소 구성이 지원되지 않습니다.

결과

vSRX 가상 방화벽-1

구성 모드에서 다음 명령을 입력하여 구성을 확인합니다.

출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .

vSRX 가상 방화벽-2

구성 모드에서 다음 명령을 입력하여 구성을 확인합니다.

출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .

확인

멀티노드 고가용성 세부 정보 확인

목적

vSRX 가상 방화벽 인스턴스에 구성된 멀티노드 고가용성 설정의 세부 정보를 보고 확인합니다.

작업

운영 모드에서 다음 명령을 실행합니다.

vSRX 가상 방화벽-1

vSRX 가상 방화벽-2

의미

명령 출력에서 다음 세부 정보를 확인합니다.

  • 로컬 노드 및 피어 노드 세부 정보(예: IP 주소 및 ID).

  • 필드는 Deployment Type: CLOUD 구성이 클라우드 배치를 위한 것임을 나타냅니다.

  • 필드는 Services Redundancy Group: 1 해당 노드의 SRG1(ACTIVE 또는 BACKUP)의 상태를 나타냅니다.

AWS에서 멀티노드 고가용성 정보 확인

목적

멀티노드 고가용성이 AWS 클라우드에 배포되었는지 확인합니다.

작업

운영 모드에서 다음 명령을 실행합니다.

의미

명령 출력에서 다음 세부 정보를 확인합니다.

  • 필드는 Cloud Type: AWS 배포가 AWS용임을 나타냅니다.

  • 이 필드는 Cloud Service Type: EIP AWS 배포가 EIP 서비스 유형(탄력적 IP 주소의 경우)을 사용하여 트래픽을 제어함을 나타냅니다.

  • 필드는 Cloud Service Status: Bind to Local Node 로컬 노드에 대한 탄력적 IP 주소의 바인딩을 나타냅니다. 백업 노드의 경우 이 필드에 이 필드가 표시됩니다 Bind to Peer Node.

    .

멀티노드 고가용성 피어 노드 상태 확인

목적

멀티노드 고가용성 피어 노드 상태를 확인합니다.

작업

운영 모드에서 다음 명령을 실행합니다.

vSRX 가상 방화벽-1

vSRX 가상 방화벽-2

의미

명령 출력에서 다음 세부 정보를 확인합니다.

  • ID, IP 주소, 인터페이스를 포함한 피어 노드 세부 정보.

  • 노드 전체의 패킷 통계.

멀티노드 고가용성 SRG 확인

목적

멀티노드 고가용성에서 SRG 세부 정보를 보고 확인합니다.

작업

운영 모드에서 다음 명령을 실행합니다.

의미

명령 출력에서 다음 세부 정보를 확인합니다.

  • SRG는 이러한 구축 유형을 자세히 설명합니다. 필드는 Status: ACTIVE 특정 SRG1이 활성 역할을 하고 있음을 나타냅니다. 또한 출력에서 활성 상태, 우선 순위 및 선점 상태를 볼 수 있습니다.

  • 피어 노드 세부 정보.

  • 분할 브레인 방지 프로브 세부 정보.

페일오버 전후의 멀티노드 고가용성 상태 확인

목적

멀티노드 고가용성 설정에서 페일오버 전후의 노드 상태 변화를 확인합니다.

작업

백업 노드(SRX-2)에서 멀티노드 고가용성 상태를 확인합니다.

운영 모드에서 다음 명령을 실행합니다.

의미

Services Redundancy Group: 1 섹션에서 Status: BACKUP. 이 필드는 SRG-1이 백업 모드에 있음을 나타냅니다.

작업

액티브 노드(vSRX Virtual Firewall-1)에서 페일오버를 시작하고 백업 노드(vSRX Virtual Firewall-2)에서 명령을 다시 실행합니다.

의미

Services Redundancy Group: 1 섹션에서 SRG1의 상태가 에서 BACKUP 으로 ACTIVE변경됩니다. 필드 값의 변경은 노드가 활성 역할로 전환되고 다른 노드(이전 활성 상태)가 백업 역할로 전환되었음을 나타냅니다. 를 표시하는 BACKUP옵션에서 Peer Information 다른 노드의 상태를 볼 수 있습니다.