Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지 내용
 

AWS 배포의 멀티노드 고가용성

AWS(Amazon Web Services) 구축에서 vSRX 가상 방화벽 인스턴스에 대한 멀티노드 고가용성 지원에 대해 알아보려면 이 주제를 읽어보십시오.

AWS의 멀티노드 고가용성

AWS에 구축된 vSRX 가상 방화벽에서 멀티노드 고가용성을 구성할 수 있습니다. 참여 노드는 액티브 컨트롤 플레인과 데이터 플레인을 동시에 실행하며, 노드는 서로를 백업하여 시스템 또는 하드웨어 장애 시 빠르게 동기화된 페일오버를 보장합니다. 두 디바이스 간의 ICL(Interchassis Link) 연결은 상태 정보를 동기화하고 유지하며 디바이스 페일오버 시나리오를 처리합니다.

먼저 AWS 배포와 관련된 멀티노드 고가용성 약관을 숙지해 보겠습니다.

용어

용어 설명

탄력적 IP 주소

 지정된 네트워크 또는 인터넷에서 라우팅할 수 있는 공용 IPv4 주소입니다. 탄력적 IP 주소는 멀티노드 고가용성 설정에 있는 모든 노드의 인터페이스에 동적으로 바인딩됩니다. 주어진 시간에 이러한 주소는 하나의 인터페이스에만 결합되며 동일한 노드에도 결합됩니다. 멀티노드 고가용성 설정은 탄력적 IP 주소를 사용하여 AWS 배포의 트래픽을 제어합니다. 탄력적 IP 주소는 계층 3 구축의 유동 IP 주소 또는 기본 게이트웨이 구축의 가상 IP 주소와 유사하게 작동합니다. 활성 SRG1이 있는 노드는 탄력적 IP 주소를 소유하고 트래픽을 해당 주소로 끌어들입니다.

섀시 간 링크(ICL)

멀티노드 고가용성(High Availability) 시스템에서 라우팅된 네트워크를 통해 노드를 연결하는 IP 기반 링크(논리적 링크). 보안 디바이스는 ICL을 사용하여 상태 정보를 동기화 및 유지하고 디바이스 페일오버 시나리오를 처리합니다. ICL을 구성하기 위해 ge-0/0/0 인터페이스만 사용할 수 있습니다. ICL은 AWS에서 할당한 MAC 주소(vSRX 가상 방화벽에서 생성한 가상 MAC가 아님)를 사용합니다. ICL을 구성할 때 IP 주소가 VPC(Virtual Private Cloud)의 서브넷인지 확인합니다. Multibode High Availability는 VPC 간 배포를 지원하지 않습니다
jsrpd(Juniper Services Redundancy Protocol) 프로세스

활성도 결정 및 시행을 관리하고 분할 브레인 보호를 제공하는 프로세스입니다.

IPsec VPN 지원

Junos OS 릴리스 24.4R1부터 AWS 구축 시 액티브/백업 멀티노드 고가용성을 위해 IPsec VPN을 지원합니다.

제한

멀티노드 고가용성은 퍼블릭 클라우드 구축에서 여러 SRG 구성(액티브/액티브)을 지원하지 않습니다. 액티브/백업 모드는 SRG0 및 SRG1을 지원합니다. 스테이트풀 액티브/백업 모드에서 작동하는 SRG1의 IPSec VPN 터널 앵커. 모든 VPN 터널은 SRG1이 활성화된 디바이스에서 종료됩니다.

건축학

그림 1 은 AWS의 멀티노드 고가용성 구축에서 HA 쌍을 형성하는 두 개의 vSRX 가상 방화벽 인스턴스를 보여줍니다. vSRX 가상 방화벽 인스턴스 하나는 액티브 노드로 작동하고 다른 하나는 백업 노드로 작동합니다.

그림 1: 퍼블릭 클라우드 구축 Public Cloud Deployment

멀티노드 고가용성 설정에서 ICL은 두 노드(vSRX 가상 방화벽 인스턴스)를 연결하고 컨트롤 플레인과 데이터 플레인 상태를 동기화하는 데 도움이 됩니다.

멀티노드 고가용성 설정에서 두 개의 vSRX 가상 방화벽 인스턴스가 액티브/백업 모드로 작동합니다. 두 노드는 제어 및 데이터 플레인 상태를 동기화하기 위해 ICL을 사용하여 서로 연결됩니다. SRG1이 활성화된 vSRX 가상 방화벽 인스턴스는 탄력적 IP 주소를 호스팅합니다. 액티브 노드는 탄력적 IP 주소를 사용하여 트래픽을 조정합니다. 백업 노드는 대기 모드로 유지되며 페일오버 시 인계됩니다.

주니퍼 서비스 중복 프로토콜(jsrpd) 프로세스는 AWS 인프라와 통신하여 활성도 결정 및 실행을 수행하고 스플릿 브레인 보호를 제공합니다.

장애 조치 중에 탄력적 IP 주소는 AWS SDK API를 트리거하여 이전 활성 노드에서 새 활성 노드로 이동하고 트래픽을 새 활성 노드로 끌어옵니다. AWS는 트래픽을 새 활성 노드로 전환하기 위해 라우팅 테이블을 업데이트합니다. 이 메커니즘을 통해 클라이언트는 단일 IP 주소를 사용하여 노드와 통신할 수 있습니다. 참여 네트워크/세그먼트에 연결하는 인터페이스에서 탄력적 IP 주소를 구성합니다.

스플릿 브레인 보호

두 노드 간의 ICL이 다운되면 각 노드는 프로브를 사용하여 피어 노드의 인터페이스 IP 주소로 ping을 시작합니다. 피어 노드가 정상이면 프로브에 응답합니다. 그렇지 않으면 jsrpd 프로세스가 AWS 인프라와 통신하여 정상 노드에 대한 활성 역할을 적용합니다.

예제: AWS Deployment에서 멀티노드 고가용성 구성

이 예시에서는 Amazon Virtual Private Cloud(Amazon VPC)에 있는 두 개의 vSRX 가상 방화벽 인스턴스에서 멀티노드 고가용성을 구성하는 방법을 보여드립니다.

요구 사항

이 예제에서는 다음 구성 요소를 사용합니다.

  • vSRX 가상 방화벽 인스턴스 2개

  • Junos OS 릴리스 22.3R1

  • Amazon Elastic Compute Cloud(Amazon EC2), Amazon Simple Storage Service(S3) 및 Amazon Virtual Private Cloud(Amazon VPC) 객체에 액세스, 생성, 수정 및 삭제하는 데 필요한 모든 권한이 있는 Amazon Web Services(AWS) 계정 및 ID 및 액세스 관리(IAM) 역할. 자세한 내용은 vSRX용 Amazon Virtual Private Cloud 구성 섹션을 참조하세요.

  • 연결된 인터넷 게이트웨이, 서브넷, 라우팅 테이블 및 보안 그룹으로 구성된 Amazon VPC입니다. vSRX용 Amazon Virtual Private Cloud 구성 단원을 참조하십시오.

  • Amazon VPC에서 시작 및 구성된 vSRX 가상 방화벽 인스턴스. Amazon Virtual Private Cloud에서 vSRX 인스턴스 시작을 참조하십시오.

위상수학

그림 2 는 이 예에서 사용되는 토폴로지를 보여줍니다.

그림 2: AWS 배포 Multinode High Availability in AWS Deployment 의 멀티노드 고가용성

토폴로지에서 볼 수 있듯이 두 개의 vSRX 가상 방화벽 인스턴스(vSRX 가상 방화벽-1 및 vSRX 가상 방화벽-2)가 Amazon VPC에 구축됩니다. 노드는 라우팅 가능한 IP 주소(탄력적 IP 주소)를 사용하여 서로 통신합니다. 언트러스트 측은 공용 네트워크에 연결되고 트러스트 측은 보호된 리소스에 연결됩니다.

vSRX 가상 방화벽 인스턴스에서 멀티노드 고가용성을 구성하기 전에 다음 구성을 완료하십시오.

  • AWS의 인스턴스 태그를 사용하여 두 개의 vSRX 가상 방화벽 인스턴스를 멀티노드 고가용성 피어로 식별합니다. 예를 들어, vsrx-node-1 을 하나의 피어 이름(이름 옵션)으로 사용하고 vsrx-node-2 를 HA 피어(ha-peer 옵션)로 사용할 수 있습니다.

  • 동일한 Amazon VPC 및 가용 영역에 두 vSRX 가상 방화벽 인스턴스를 모두 구축합니다.
  • vSRX 가상 방화벽 인스턴스 모두에 대해 IAM 역할을 할당하고 전체 권한이 있는 Amazon Elastic Compute Cloud(EC2) 인스턴스로 vSRX 가상 방화벽 인스턴스를 시작합니다.
  • vSRX 가상 방화벽 인스턴스를 퍼블릭 서브넷에 배치하여 인터넷 통신을 가능하게 합니다. Amazon VPC에서 퍼블릭 서브넷은 인터넷 게이트웨이에 액세스할 수 있습니다.
  • 여러 서브넷이 있는 VPC를 구성하여 고가용성 페어를 호스팅합니다. 서브넷은 논리적 연결(물리적 케이블 연결 포트와 유사)을 사용하여 두 개의 vSRX 가상 방화벽 노드를 연결하는 데 사용됩니다. 이 예시에서는 VPC에 대한 CIDR을 10.0.0.0/16으로 정의하고, vSRX 가상 방화벽 트래픽을 호스팅하기 위해 총 4개의 서브넷을 생성했습니다. 두 vSRX 가상 방화벽 인스턴스 모두에 대해 최소 4개의 인터페이스가 필요합니다. 표 1 에는 서브넷 및 인터페이스 세부 정보가 나와 있습니다.
    표 1: 서브넷 구성
    기능 포트 번호 인터페이스 연결 트래픽 유형 서브넷
    경영 0 fxp0입니다 관리 인터페이스 관리 트래픽 10.0.254.0/24
    증권 시세 표시기 1 ge-0/0/0 ICL에서 피어 노드로 RTO, 동기화 및 프로브 관련 트래픽 10.0.253.0/24
    공공의 2 ge-0/0/1 공용 네트워크에 연결합니다. (수익 인터페이스) 외부 트래픽 10.0.1.0/24
    민간의 3 ge-0/0/2 개인 네트워크에 연결합니다. (수익 인터페이스) 내부 트래픽 10.0.2.0/24

    표에 언급된 기능과의 인터페이스 매핑은 기본 구성에 대한 것입니다. 구성에서 동일한 매핑을 사용하는 것이 좋습니다.

  • 1차 및 2차 IP 주소로 인터페이스를 구성합니다. 탄력적 IP 주소를 인터페이스의 보조 IP 주소로 할당할 수 있습니다. 인스턴스를 시작하는 동안 기본 IP 주소가 필요합니다. 보조 IP 주소는 페일오버 중에 vSRX 가상 방화벽 노드 간에 다른 노드로 전송할 수 있습니다. 표 2 에는 이 예에서 사용된 인터페이스 및 IP 주소 매핑이 나와 있습니다.
    표 2: 인터페이스 및 IP 주소 매핑
    인스턴스 인터페이스 기본 IP 주소 보조 IP 주소(탄력적 IP 주소)
    vSRX 가상 방화벽-1 ge-0/0/1 10.0.1.101 10.0.1.103
    ge-0/0/2 10.0.2.201 10.0.2.203
    vSRX 가상 방화벽-2 ge-0/0/1 10.0.1.102 10.0.1.103
    ge-0/0/2 10.0.2.202 10.0.2.203

  • 데이터 경로에 vSRX 가상 방화벽을 포함하고 vSRX 가상 방화벽을 트래픽의 다음 홉으로 표시하도록 인접 라우터를 구성합니다. 탄력적 IP 주소를 사용하여 경로를 구성할 수 있습니다. 예를 들어, 10.0.2.203 주소가 탄력적 IP 주소인 경우 명령을 sudo ip route x.x.x.x/x dev ens6 via 10.0.2.203사용합니다.

구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .

이러한 구성은 랩 환경에서 캡처되며 참조용으로만 제공됩니다. 실제 구성은 환경의 특정 요구 사항에 따라 달라질 수 있습니다.

vSRX 가상 방화벽-1

vSRX 가상 방화벽-2

단계별 절차

다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드구성 모드에서 CLI 편집기 사용을 참조하십시오.

  1. ge-0/0/0을 ICL의 인터페이스로 구성합니다

  2. 내부 및 외부 트래픽에 대한 인터페이스를 구성합니다.

    ge-0/0/1 및 ge-0/0/2에 할당된 보조 IP 주소를 탄력적 IP 주소로 사용하겠습니다.

  3. 보안 영역을 구성하고, 영역에 인터페이스를 할당하고, 보안 영역에 허용되는 시스템 서비스를 지정합니다.

  4. 라우팅 옵션을 구성합니다.

    여기서는 관리 트래픽과 수익 트래픽을 분리하기 위해 별도의 라우팅 인스턴스 유형 virtual router 이 필요합니다.

  5. 로컬 노드 및 피어 노드 세부 정보를 구성합니다.

  6. 인터페이스 모니터링을 위해 인터페이스를 피어 노드에 연결하고 활동성 감지 세부 정보를 구성합니다.

  7. 구축 유형을 클라우드로 SRG1을 구성하고, ID를 할당하고, 선점 및 활성도 우선순위를 설정합니다.

  8. AWS 배포 관련 옵션을 구성합니다. 예를 들어 서비스 유형으로 eip-based를 지정하고 AWS 피어 라이브니스와 같은 모니터링 옵션도 구성합니다.

메모:

vNIC가 VMXNET3 VMWare ESXi 환경의 vSRX 가상 방화벽 인스턴스에 대한 다중 노드 고가용성에서 가상 MAC 주소 구성은 다음 문에서 지원되지 않습니다.

결과

vSRX 가상 방화벽-1

구성 모드에서 다음 명령을 입력하여 구성을 확인합니다.

출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .

vSRX 가상 방화벽-2

구성 모드에서 다음 명령을 입력하여 구성을 확인합니다.

출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .

확인

멀티노드 고가용성 세부 정보 확인

목적

vSRX 가상 방화벽 인스턴스에 구성된 멀티노드 고가용성 설정의 세부 정보를 보고 확인합니다.

행동

운영 모드에서 다음 명령을 실행합니다.

vSRX 가상 방화벽-1

vSRX 가상 방화벽-2

의미

명령 출력에서 다음 세부 정보를 확인합니다.

  • 로컬 노드 및 피어 노드 세부 정보(예: IP 주소 및 ID).

  • 이 필드 Deployment Type: CLOUD 는 구성이 클라우드 배포를 위한 것임을 나타냅니다.

  • 필드 Services Redundancy Group: 1 는 해당 노드에 있는 SRG1(ACTIVE 또는 BACKUP)의 상태를 나타냅니다.

AWS에서 멀티노드 고가용성 정보 확인

목적

AWS 클라우드에 멀티노드 고가용성이 구축되어 있는지 확인합니다.

행동

운영 모드에서 다음 명령을 실행합니다.

의미

명령 출력에서 다음 세부 정보를 확인합니다.

  • 이 필드 Cloud Type: AWS 는 배포가 AWS용임을 나타냅니다.

  • 이 필드 Cloud Service Type: EIP 는 AWS 배포가 EIP 서비스 유형(탄력적 IP 주소의 경우)을 사용하여 트래픽을 제어함을 나타냅니다.

  • 이 필드 Cloud Service Status: Bind to Local Node 는 로컬 노드에 대한 탄력적 IP 주소의 바인딩을 나타냅니다. 백업 노드의 경우 이 필드에는 이 표시됩니다 Bind to Peer Node.

    .

멀티노드 고가용성 피어 노드 상태 확인

목적

멀티노드 고가용성 피어 노드 상태를 확인합니다.

행동

운영 모드에서 다음 명령을 실행합니다.

vSRX 가상 방화벽-1

vSRX 가상 방화벽-2

의미

명령 출력에서 다음 세부 정보를 확인합니다.

  • ID, IP 주소, 인터페이스를 포함한 피어 노드 세부 정보.

  • 노드 전반의 패킷 통계.

멀티노드 고가용성 SRG 확인

목적

멀티노드 고가용성에서 SRG 세부 정보를 보고 확인합니다.

행동

운영 모드에서 다음 명령을 실행합니다.

의미

명령 출력에서 다음 세부 정보를 확인합니다.

  • SRG는 이러한 구축 유형을 자세히 설명합니다. 필드 Status: ACTIVE 는 특정 SRG1이 활성 상태임을 나타냅니다. 출력에서 활성도, 우선 순위 및 선점 상태도 볼 수 있습니다.

  • 피어 노드 세부 정보.

  • 스플릿 브레인 예방 프로브 세부 정보.

페일오버 전후의 멀티노드 고가용성 상태 확인

목적

멀티노드 고가용성 설정에서 페일오버 전후의 노드 상태 변경을 확인합니다.

행동

백업 노드(SRX-2)에서 멀티노드 고가용성 상태를 확인합니다.

운영 모드에서 다음 명령을 실행합니다.

의미

Services Redundancy Group: 1 섹션에서 Status: BACKUP. 이 필드는 SRG-1이 백업 모드에 있음을 나타냅니다.

행동

액티브 노드(vSRX 가상 방화벽-1)에서 페일오버를 시작하고 백업 노드(vSRX 가상 방화벽-2)에서 명령을 다시 실행합니다.

의미

Services Redundancy Group: 1 섹션에서 SRG1의 상태가 에서 BACKUP (으)로 ACTIVE변경됩니다. 필드 값의 변경은 노드가 활성 역할로 전환되었고 다른 노드(이전의 활성)가 백업 역할로 전환되었음을 나타냅니다. 에서 다른 노드의 상태를 Peer InformationBACKUP수 있습니다.

참조