dvSwitch를 사용하여 여러 ESXi 호스트에 vSRX 가상 방화벽 섀시 클러스터 노드 구축
분산 가상 스위치(dvSwitch)를 사용하여 ESXi 6.0 이상 호스트용 vSRX 가상 방화벽 섀시 클러스터 노드를 배포하기 전에 vSphere Web Client에서 다음 구성 설정을 지정하여 고가용성 클러스터 제어 링크가 두 노드 간에 제대로 작동하는지 확인해야 합니다.
vSphere Web Client의 dvSwitch 스위치 설정에서 멀티캐스트 필터링 모드에 대해 IGMP 스누핑을 사용하지 않도록 설정합니다.
vSphere Web Client의 dvSwitch 포트 그룹 구성에서 무차별 모드를 사용하도록 설정합니다.
자세한 내용은 VMware vSphere 설명서를 참조하십시오.
이 섀시 클러스터 방법은 dvSwitch의 프라이빗 PVLAN(가상 가상 LAN) 기능을 사용하여 vSRX 가상 방화벽 섀시 클러스터 노드를 여러 ESXi 호스트에 배포합니다. 외부 스위치 구성을 변경할 필요가 없습니다.
VMware vSphere Web Client에서 dvSwitch의 경우 기본 및 보조 VLAN에 대해 두 개의 PVLAN ID가 있습니다. 보조 VLAN ID 유형에 대한 메뉴에서 Community(커뮤니티 )를 선택합니다.
vSRX 가상 방화벽 제어 및 패브릭 링크에 대해 2개의 보조 PVLAN ID를 사용합니다. 그림 1 및 그림 2를 참조하십시오.
위에서 설명한 구성은 Distributed Switch 업링크가 연결된 외부 스위치에 상주해야 합니다. 외부 스위치의 링크가 네이티브 VLAN을 지원하는 경우 분산 스위치 포트 그룹 구성에서 VLAN을 none으로 설정할 수 있습니다. 링크에서 네이티브 VLAN이 지원되지 않는 경우 이 구성에는 VLAN이 활성화되어 있어야 합니다.
또한 Distributed Switch에서 일반 VLAN을 사용하여 dvSwitch를 통해 다른 ESXi 호스트에 vSRX 가상 방화벽 섀시 클러스터 노드를 배포할 수 있습니다. 일반 VLAN은 물리적 스위치와 유사하게 작동합니다. PVLAN 대신 일반 VLAN을 사용하려면 섀시 클러스터 링크에 대해 IGMP 스누핑을 비활성화합니다.
그러나 다음과 같은 이유로 PVLAN을 사용하는 것이 좋습니다.
PVLAN은 IGMP 스누핑을 부과하지 않습니다.
PVLAN은 VLAN ID를 저장할 수 있습니다.
여러 ESXi 호스트의 vSRX 가상 방화벽 클러스터가 물리적 스위치를 통해 통신하는 경우 다음에서 다른 레이어 2 매개 변수를 고려해야 합니다. 레이어 2 스위치를 통해 연결된 SRX 섀시 클러스터 문제 해결.