Junos OS에서 vSRX 가상 방화벽 섀시 클러스터 구성
섀시 클러스터 개요
섀시 클러스터 는 동일한 종류의 vSRX 가상 방화벽 인스턴스 한 쌍을 클러스터로 그룹화하여 네트워크 노드 이중화를 제공합니다. 디바이스는 동일한 Junos OS 릴리스를 실행해야 합니다. 각 노드에서 컨트롤 가상 인터페이스를 연결하여 구성과 Junos OS 커널 상태를 동기화하는 컨트롤 플레인 을 형성합니다. 제어 링크( 가상 네트워크 또는 vSwitch)는 인터페이스 및 서비스의 이중화를 용이하게 합니다. 마찬가지로, 패브릭 가상 인터페이스를 통해 각 노드의 데이터 플레인 을 연결하여 통합 데이터 플레인을 형성합니다. 패브릭 링크(가상 네트워크 또는 vSwitch)를 통해 노드 간 플로우 처리 및 세션 이중화 관리를 수행할 수 있습니다.
컨트롤 플레인 소프트웨어는 액티브/패시브 모드에서 작동합니다. 섀시 클러스터로 구성되면 한 노드는 기본 디바이스로, 다른 노드는 보조 디바이스로 작동하여 기본 디바이스에서 시스템 또는 하드웨어 장애가 발생할 경우 프로세스 및 서비스의 스테이풀 페일오버를 보장합니다. 기본 디바이스에 장애가 발생하면 보조 디바이스가 컨트롤 플레인 트래픽 처리를 수행합니다.
두 개의 물리적 호스트에 걸쳐 vSRX 가상 방화벽 노드에서 섀시 클러스터를 구성하는 경우 제어 vNIC가 사용하는 각 호스트 물리적 인터페이스가 속한 브리지에서 igmp-snooping을 비활성화합니다. 이렇게 하면 섀시 클러스터의 두 노드에서 제어 링크 하트비트를 모두 수신할 수 있습니다.
섀시 클러스터 데이터 플레인은 액티브/액티브 모드에서 작동합니다. 섀시 클러스터에서 데이터 플레인은 트래픽이 디바이스를 통과할 때 세션 정보를 업데이트하고, 패브릭 링크를 통해 노드 간에 정보를 전송하여 페일오버가 발생할 때 설정된 세션이 손실되지 않도록 보장합니다. 액티브/액티브 모드에서 트래픽은 한 노드의 클러스터에 들어오고 다른 노드에서 나갈 수 있습니다.
섀시 클러스터 기능은 다음과 같습니다.
-
전체 클러스터에 대한 단일 활성 컨트롤 플레인과 여러 패킷 전달 엔진을갖춘 복원력 있는 시스템 아키텍처. 이 아키텍처는 클러스터의 단일 디바이스 보기를 제공합니다.
-
클러스터 내의 노드 간 구성 및 동적 런타임 상태 동기화Synchronization of configuration and dynamic runtime states between nodes within a cluster.
-
물리적 인터페이스 모니터링 및 장애 매개 변수가 구성된 임계값을 초과하는 경우 페일오버.
-
각각 gr-0/0/0 및 ip-0/0/0의 두 내부 인터페이스를 통해 캡슐화된 IPv4 또는 IPv6 트래픽을 라우팅하는 데 사용되는 GRE(Generic Routing Encapsulation) 및 IP-over-IP(IP-OVER-IP) 터널을 지원합니다. Junos OS는 시스템 시작 시 이러한 인터페이스를 생성하고 GRE 및 IP-IP 터널 처리를 위해서만 이러한 인터페이스를 사용합니다.
지정된 순간에 클러스터 노드는 보류, 기본, 보조 보류, 보조, 부적격 또는 사용 안 함 상태 중 하나일 수 있습니다. 인터페이스 모니터링, SPU(Services Processing Unit) 모니터링, 장애, 수동 페일오버 등의 여러 이벤트 유형이 상태 전환을 트리거할 수 있습니다.
섀시 클러스터 형성 활성화
vSRX 가상 방화벽의 섀시 클러스터 프로비저닝
vSRX 가상 방화벽 인스턴스에서 섀시 클러스터에 대한 연결을 설정하는 것은 물리적 SRX 시리즈 방화벽과 유사합니다. vSRX 가상 방화벽 VM은 가상 NIC(예: VMXNET3 또는 virtio)에 가상 네트워크(또는 vswitch)를 사용합니다.
섀시 클러스터에는 두 개의 vSRX 가상 방화벽 인스턴스 간에 다음과 같은 직접 연결이 필요합니다.
-
두 vSRX 가상 방화벽 인스턴스 사이의 컨트롤 플레인 트래픽에 대해 액티브/패시브 모드로 작동하는 제어 링크 또는 가상 네트워크
-
패브릭 링크 또는 가상 네트워크 - 노드 간의 실시간 세션 동기화에 사용됩니다. 액티브/액티브 모드에서 이 링크는 두 vSRX 가상 방화벽 인스턴스 간에 데이터 트래픽을 전달하는 데에도 사용됩니다.
참고: 선택적으로 더 많은 중복을 위해 두 개의 패브릭 링크를 생성할 수 있습니다.
vSRX 가상 방화벽 클러스터는 다음과 같은 인터페이스를 사용합니다.
-
대역 외 관리 인터페이스(fxp0)
-
클러스터 제어 인터페이스(em0)
-
클러스터 패브릭 인터페이스(node0의 fab0, node1의 fab1)
제어 인터페이스는 두 번째 vNIC여야 합니다. 패브릭 링크의 경우 모든 수익 포트(ge- 포트)를 사용할 수 있습니다. 선택적으로 중복성 향상을 위해 두 번째 패브릭 링크를 구성할 수 있습니다.
그림 1 은 vSRX 가상 방화벽 인스턴스를 사용한 섀시 클러스터 구성을 보여줍니다.
-
섀시 클러스터를 활성화할 때 virtio 네트워크 인터페이스에서 패브릭 링크를 지원하도록 점보 프레임(MTU 크기 = 9000)도 활성화해야 합니다.
두 개의 물리적 호스트에 걸쳐 섀시 클러스터를 구성하는 경우, vSRX 가상 방화벽 제어 링크가 사용하는 각 호스트 물리적 인터페이스에서 igmp-snooping을 비활성화하여 섀시 클러스터의 두 노드에서 제어 링크 하트비트를 수신하도록 합니다.
hostOS# echo 0 > /sys/devices/virtual/net/<bridge-name>/bridge/multicast_snooping-
섀시 클러스터가 활성화되면 vSRX 가상 방화벽 인스턴스는 두 번째 vNIC를 제어 링크에 자동으로 매핑하고 그 이름이 ge-0/0/0에서 em0으로 변경됩니다.
-
패브릭 링크/링크에 다른 vNIC를 사용할 수 있습니다. ( 인터페이스 명명 및 매핑 참조)
virtio 인터페이스의 경우 링크 상태 업데이트가 지원되지 않습니다. virtio 인터페이스의 링크 상태는 항상 Up으로 보고됩니다. 이러한 이유로 virtio 및 섀시 클러스터를 사용하는 vSRX 가상 방화벽 인스턴스는 virtio 인터페이스에서 링크 업 및 링크 다운 메시지를 수신할 수 없습니다.
가상 네트워크 MAC 에이징 시간은 항목이 MAC 테이블에 남아 있는 시간을 결정합니다. 장애 조치(failover) 중 가동 중지 시간을 최소화하기 위해 가상 네트워크에서 MAC 에이징 시간을 줄이는 것이 좋습니다.
예를 들어 명령을 사용하여 brctl setageing bridge 1 Linux 브리지에 대해 에이징을 1초로 설정할 수 있습니다.
제어 및 패브릭 링크에 대한 가상 네트워크를 구성한 다음, 제어 인터페이스를 생성하여 제어 가상 네트워크에, 패브릭 인터페이스를 패브릭 가상 네트워크에 연결합니다.
인터페이스 명명 및 매핑
vSRX 가상 방화벽 인스턴스에 대해 정의된 각 네트워크 어댑터는 vSRX 가상 방화벽 인스턴스가 독립형 VM인지 아니면 고가용성을 위한 클러스터 쌍 중 하나인지에 따라 특정 인터페이스에 매핑됩니다. vSRX 가상 방화벽의 인터페이스 이름과 매핑은 표 1과 표 2에 나와 있습니다.
다음 사항에 유의하십시오.
- 독립 실행형 모드에서:
- fxp0은 대역 외 관리 인터페이스입니다.
- ge-0/0/0은 첫 번째 트래픽(수익) 인터페이스입니다.
- 클러스터 모드에서:
- fxp0은 대역 외 관리 인터페이스입니다.
- em0은 두 노드에 대한 클러스터 제어 링크입니다.
- 노드 0의 fab0에 대한 ge-0/0/0, 노드 1의 fab1에 대한 ge-7/0/0과 같이 모든 트래픽 인터페이스를 패브릭 링크로 지정할 수 있습니다.
독립형 vSRX 가상 방화벽 VM의 인터페이스 이름 및 매핑은 표 1 에서 확인할 수 있으며, 클러스터 모드의 vSRX 가상 방화벽 VM의 경우 표 2에 동일하게 표시되어 있습니다. 클러스터 모드에서 em0 포트가 fxp0 및 ge-0/0/0 위치 사이에 삽입되어 수익 포트 번호가 하나의 vNIC 위치 위로 이동하는 것을 확인할 수 있습니다.
| 네트워크 어댑터 |
인터페이스 이름 |
|---|---|
| 1 | fxp0 |
| 2 | ge-0/0/0 |
| 3 | ge-0/0/1 |
| 4 | ge-0/0/2 |
| 5 | ge-0/0/3 |
| 6 | ge-0/0/4 |
| 7 | ge-0/0/5 |
| 8 | ge-0/0/6 |
| 네트워크 어댑터 | 인터페이스 이름 |
|---|---|
| 1 | fxp0(노드 0 및 1) |
| 2 | em0(노드 0 및 1) |
| 3 | ge-0/0/0(노드 0) ge-7/0/0(노드 1) |
| 4 | ge-0/0/1(노드 0) ge-7/0/1(노드 1) |
| 5 | ge-0/0/2(노드 0) ge-7/0/2(노드 1) |
| 6 | ge-0/0/3(노드 0) ge-7/0/3(노드 1) |
| 7 | ge-0/0/4(노드 0) ge-7/0/4(노드 1) |
| 8 | ge-0/0/5(노드 0) ge-7/0/5(노드 1) |
섀시 클러스터 형성 활성화
두 개의 vSRX 가상 방화벽 인스턴스를 생성하여 섀시 클러스터를 구성한 다음 각 인스턴스에서 클러스터 ID와 노드 ID를 설정하여 클러스터에 조인합니다. vSRX 가상 방화벽 VM이 클러스터에 가입하면 해당 클러스터의 노드가 됩니다. 고유한 노드 설정 및 관리 IP 주소를 제외하고 클러스터의 노드는 동일한 구성을 공유합니다.
레이어 2 도메인에 최대 255개의 섀시 클러스터를 구축할 수 있습니다. 클러스터와 노드는 다음과 같은 방법으로 식별됩니다.
-
클러스터 ID(1에서 255 사이의 숫자)는 클러스터를 식별합니다.
-
노드 ID(0에서 1 사이의 숫자)는 클러스터 노드를 식별합니다.
SRX 시리즈 방화벽에서 클러스터 ID와 노드 ID는 EEPROM에 기록됩니다. vSRX 가상 방화벽 VM에서 vSRX 가상 방화벽은 boot/loader.conf 에서 ID를 저장하고 읽으며 시작 시 ID를 사용하여 섀시 클러스터를 초기화합니다.
섀시 클러스터링을 활성화하기 전에 vSRX 가상 방화벽 인스턴스가 다음 사전 요구 사항을 준수하는지 확인합니다.
-
섀시 클러스터를 형성하는 두 vSRX 가상 방화벽 인스턴스 모두에 기본 구성을 커밋했습니다. CLI를 사용하여 vSRX 구성을 참조하십시오.
- Junos OS에서 사용하여
show version두 vSRX 가상 방화벽 인스턴스의 소프트웨어 버전이 동일한지 확인합니다. - Junos OS에서 사용하여
show system license두 vSRX 가상 방화벽 인스턴스에 동일한 라이선스가 설치되도록 합니다. - 각 vSRX 가상 방화벽 노드에서 동일한 섀시 클러스터 ID를 설정하고 vSRX 가상 방화벽 VM을 재부팅하여 섀시 클러스터 구성을 활성화해야 합니다.
노드 0 및 노드 1에 대한 섀시 클러스터 형성 명령은 다음과 같습니다.
-
vSRX 가상 방화벽 노드 0:
user@vsrx0>set chassis cluster cluster-id number node 0 reboot
-
vSRX 가상 방화벽 노드 1:
user@vsrx1>set chassis cluster cluster-id number node 1 reboot
섀시 클러스터링을 활성화하면 vSRX 가상 방화벽 인터페이스의 명명 및 vNIC에 대한 매핑이 변경됩니다. 클러스터의 각 노드에 대해 동일한 클러스터 ID 번호를 사용합니다.
동일한 L2 도메인에 연결된 여러 클러스터를 사용하는 경우 각 클러스터에 고유한 cluster-id를 사용해야 합니다. 그렇지 않으면 cluster-id가 가상 인터페이스 MAC 주소를 형성하는 데 사용되기 때문에 네트워크에서 중복 MAC 주소를 얻을 수 있습니다.
재부팅 후 노드 0에서 실시간 객체(RTO)를 전달하는 데 사용되는 클러스터의 패브릭(데이터) 포트를 구성합니다.
-
user@vsrx0# set interfaces fab0 fabric-options member-interfaces ge-0/0/0 user@vsrx0# set interfaces fab1 fabric-options member-interfaces ge-7/0/0
J-Web을 통한 섀시 클러스터 빠른 설정
J-Web에서 섀시 클러스터를 구성하려면:
J-Web을 통한 섀시 클러스터 수동 구성
J-Web 인터페이스를 사용하여 클러스터에서 기본 Node 0 vSRX 가상 방화벽 인스턴스를 구성할 수 있습니다. 클러스터 및 노드 ID를 설정하고 각 vSRX 가상 방화벽을 재부팅하면 다음 구성이 보조 노드 1 vSRX 가상 방화벽 인스턴스에 자동으로 동기화됩니다.
구성(Configure)>섀시 클러스터(Cluster)>클러스터 구성(Cluster Configuration)을 선택합니다. 섀시 클러스터 구성 페이지가 나타납니다.
표 3 에서는 HA Cluster 설정 탭의 내용을 설명합니다.
표 4 는 노드 설정 탭을 편집하는 방법을 설명합니다.
표 5 에서는 HA 클러스터 인터페이스 테이블을 추가하거나 편집하는 방법을 설명합니다.
표 6 에서는 HA 클러스터 이중화 그룹 테이블을 추가하거나 편집하는 방법을 설명합니다.
필드 |
함수 |
|---|---|
노드 설정 |
|
노드 ID |
노드 ID를 표시합니다. |
클러스터 ID |
노드에 대해 구성된 클러스터 ID를 표시합니다. |
Host Name(호스트 이름) |
노드의 이름을 표시합니다. |
백업 라우터 |
라우팅 엔진이 섀시 클러스터의 중복 그룹 0에 대한 보조 상태에 있는 동안 게이트웨이로 사용되는 라우터를 표시합니다. |
관리 인터페이스 |
노드의 관리 인터페이스를 표시합니다. |
IP 주소 |
노드의 관리 IP 주소를 표시합니다. |
상태 |
중복 그룹의 상태를 표시합니다.
|
섀시 클러스터>HA 클러스터 설정>인터페이스 |
|
이름 |
물리적 인터페이스 이름을 표시합니다. |
구성원 인터페이스/IP 주소 |
인터페이스에 대해 구성된 멤버 인터페이스 이름 또는 IP 주소를 표시합니다. |
이중화 그룹 |
중복 그룹을 표시합니다. |
섀시 클러스터>HA 클러스터 설정>이중화 그룹 |
|
그룹 |
중복 그룹 ID 번호를 표시합니다. |
선점 |
선택한 선점 옵션을 표시합니다.
|
Gratuitous ARP 수 |
섀시 클러스터에서 새로 선택된 기본 디바이스가 다른 네트워크 디바이스에 존재를 알리기 위해 보내는 Gratuitous ARP(Address Resolution Protocol) 요청 수를 표시합니다. |
노드 우선 순위 |
해당 노드의 중복 그룹에 할당된 우선 순위를 표시합니다. 우선 순위가 가장 높은 적격 노드가 중복 그룹의 기본 노드로 선택됩니다. |
필드 |
함수 |
작업 |
|---|---|---|
노드 설정 |
||
Host Name(호스트 이름) |
호스트의 이름을 지정합니다. |
호스트의 이름을 입력합니다. |
백업 라우터 |
라우팅 엔진이 섀시 클러스터의 중복 그룹 0에 대한 보조 상태에 있는 동안 게이트웨이로 사용되는 디바이스를 표시합니다. |
백업 라우터의 IP 주소를 입력합니다. |
대상 |
||
Ip |
대상 주소를 추가합니다. |
Add(추가)를 클릭합니다. |
삭제 |
대상 주소를 삭제합니다. |
삭제를 클릭합니다. |
인터페이스 |
||
인터페이스 |
라우터에 사용할 수 있는 인터페이스를 지정합니다.
참고:
각 패브릭 링크에 대해 두 개의 인터페이스를 추가하고 편집할 수 있습니다. |
옵션을 선택합니다. |
Ip |
인터페이스 IP 주소를 지정합니다. |
인터페이스 IP 주소를 입력합니다. |
추가 |
인터페이스를 추가합니다. |
Add(추가)를 클릭합니다. |
삭제 |
인터페이스를 삭제합니다. |
삭제를 클릭합니다. |
필드 |
함수 |
작업 |
|---|---|---|
패브릭 링크 > 패브릭 링크 0(fab0) |
||
인터페이스 |
패브릭 링크 0을 지정합니다. |
인터페이스 IP 패브릭 링크 0을 입력합니다. |
추가 |
패브릭 인터페이스 0을 추가합니다. |
Add(추가)를 클릭합니다. |
삭제 |
패브릭 인터페이스 0을 삭제합니다. |
삭제를 클릭합니다. |
패브릭 링크 > 패브릭 링크 1(fab1) |
||
인터페이스 |
패브릭 링크 1을 지정합니다. |
패브릭 링크 1의 인터페이스 IP를 입력합니다. |
추가 |
패브릭 인터페이스 1을 추가합니다. |
Add(추가)를 클릭합니다. |
삭제 |
패브릭 인터페이스 1을 삭제합니다. |
삭제를 클릭합니다. |
이중화 이더넷 |
||
인터페이스 |
각 섀시에 하나씩 두 개의 물리적 이더넷 인터페이스로 구성된 논리적 인터페이스를 지정합니다. |
논리적 인터페이스를 입력합니다. |
Ip |
중복 이더넷 IP 주소를 지정합니다. |
중복 이더넷 IP 주소를 입력합니다. |
이중화 그룹 |
섀시 클러스터의 중복 그룹 ID 번호를 지정합니다. |
목록에서 중복 그룹을 선택합니다. |
추가 |
중복 이더넷 IP 주소를 추가합니다. |
Add(추가)를 클릭합니다. |
삭제 |
중복 이더넷 IP 주소를 삭제합니다. |
삭제를 클릭합니다. |
필드 |
함수 |
작업 |
|---|---|---|
이중화 그룹 |
중복 그룹 이름을 지정합니다. |
이중화 그룹 이름을 입력합니다. |
기본 선점 허용 |
우선 순위가 더 높은 노드가 중복 그룹에 대한 페일오버를 시작할 수 있습니다.
참고:
기본적으로 이 기능은 비활성화되어 있습니다. 비활성화되면 우선 순위가 더 높은 노드가 중복 그룹 페일오버를 시작하지 않습니다(모니터링되는 인터페이스에 대해 식별된 잘못된 네트워크 연결과 같은 다른 요인으로 인해 페일오버가 발생하지 않는 한). |
– |
Gratuitous ARP 수 |
새로 선택된 기본이 활성 중복 이더넷 인터페이스 하위 링크에서 전송하여 중복 이더넷 인터페이스 링크에서 기본 역할의 변경을 네트워크 디바이스에 알리기 위해 무상 주소 확인 프로토콜 요청의 수를 지정합니다. |
1에서 16 사이의 값을 입력합니다. 기본값은 4입니다. |
node0 우선 순위 |
중복 그룹에 대한 node0의 우선순위 값을 지정합니다. |
노드 우선 순위 번호를 0으로 입력합니다. |
node1 우선 순위 |
중복 그룹에 대한 node1의 우선순위 값을 지정합니다. |
노드 우선 순위 번호를 1로 선택합니다. |
인터페이스 모니터 |
||
인터페이스 |
클러스터에 대해 생성할 중복 이더넷 인터페이스의 수를 지정합니다. |
목록에서 인터페이스를 선택합니다. |
무게 |
모니터링할 인터페이스의 가중치를 지정합니다. |
1에서 125 사이의 값을 입력합니다. |
추가 |
중복 그룹에서 모니터링할 인터페이스를 각각의 가중치와 함께 추가합니다. |
Add(추가)를 클릭합니다. |
삭제 |
중복 그룹에서 모니터링할 인터페이스를 각각의 가중치와 함께 삭제합니다. |
구성된 목록에서 인터페이스를 선택하고 삭제를 클릭합니다. |
IP 모니터링 |
||
무게 |
IP 모니터링에 대한 전역 가중치를 지정합니다. |
0에서 255 사이의 값을 입력합니다. |
임계값 |
IP 모니터링에 대한 전역 임계값을 지정합니다. |
0에서 255 사이의 값을 입력합니다. |
재시도 횟수 |
연결성 실패를 선언하는 데 필요한 재시도 횟수를 지정합니다. |
5에서 15 사이의 값을 입력합니다. |
재시도 간격 |
재시도 사이의 시간 간격(초)을 지정합니다. |
1에서 30 사이의 값을 입력합니다. |
모니터링할 IPV4 주소 |
||
Ip |
연결성을 모니터링할 IPv4 주소를 지정합니다. |
IPv4 주소를 입력합니다. |
무게 |
모니터링할 중복 그룹 인터페이스의 가중치를 지정합니다. |
가중치를 입력합니다. |
인터페이스 |
이 IP 주소를 모니터링하는 데 사용할 논리적 인터페이스를 지정합니다. |
논리적 인터페이스 주소를 입력합니다. |
보조 IP 주소 |
보조 링크에서 패킷을 모니터링하기 위한 소스 주소를 지정합니다. |
보조 IP 주소를 입력합니다. |
추가 |
모니터링할 IPv4 주소를 추가합니다. |
Add(추가)를 클릭합니다. |
삭제 |
모니터링할 IPv4 주소를 삭제합니다. |
목록에서 IPv4 주소를 선택하고 삭제를 클릭합니다. |