エンジニアブログ
クラウドネイティブな次世代ファイアウォール
Juniper Multinode High Availabilityで実現する
高いSLAと柔軟性
現代の企業ネットワークは、クラウドの普及に伴うインフラ構造の複雑化や、DDoSをはじめとする多様なサイバー攻撃に対応するため、さまざまなセキュリティ対策が求められています。特に、ファイアウォールはセキュリティ対策の最前線として不可欠であり、高いSLAの維持が求められます。このニーズに応えるため、従来のファイアウォール構成を見直し、クラウドネイティブな環境に適した仕組みを取り入れることが急務です。
本記事では、これらの要件を満たすJuniper Networksのクラウドネイティブな冗長化機能「Multinode High Availability」をご紹介します。
松尾 優介
ネットワークエンジニア
プリセールス/デリバリー業務を担当
1. クラウド時代に対応したファイアウォールの重要性
現代の企業ネットワークは、クラウドとオンプレミス環境を組み合わせたハイブリッド構成が主流です。オンプレミス環境のみの場合は、自社でファイアウォール(以降FW)を管理し資産を保護できましたが、ハイブリッド環境ではそう簡単にはいきません。しかし、ハイブリッド構成においても従来のオンプレミス環境と同じSLAを提供することが理想的です。
この課題を解決する鍵は「冗長化」です。しかし、従来のファイアウォール冗長化手法では、クラウドネイティブな時代に対応できない大きな制約があります。例えば、FW間をL2で接続する必要性や、障害時のダウンタイムなどは共通の制約事項であり、クラウド利用が前提の次世代ネットワーク構成では大きな制約となります。また、高いSLAを維持するため、障害時やメンテナンス時のダウンタイムの基準はますます厳しくなっています。
2. クラウドネイティブな冗長化手法 Multinode High Availabilityとは
Juniper Networks(以降Juniper)の次世代型FWであるSRXシリーズでは、"Multinode High Availability"(以降MNHA)というBGPベースのFW冗長化機能が提供されています。
2-1.Juniper SRXシリーズとは
SRXシリーズは、ブランチオフィスから大規模データセンターまで対応するJuniperの次世代ファイアウォールです。
ご紹介するMNHAは、SRXシリーズのうちSRX1500以上のミッドハイレンジ、およびvSRX(仮想アプライアンス)で利用可能です。
JuniperのSRXについてもっと知りたい方はこちらをご参照ください。
Juniper SRXシリーズ ダイナミックサービスゲートウェイ [Juniper Networks] | Junipedia
SSG/ISGユーザが、次のファイアウォール製品を間違いなく選ぶためのチェックポイント | STech I Lab | 双日テックイノベーション
2-2.Multinode High Availabilityとは
本機能はSRXシリーズで新しくサポートされたFW冗長化機能です。
特徴は以下3点です。
1.BGPを活用した柔軟なネットワーク構成
IPリーチャブルな2台の機器を、L3 Control Linkで接続することで冗長構成を設定可能
2.ステートフルかつ優れた耐障害性
ACTIVE/ACTIVEのコントロールプレーンを採用し、メンテナンス/障害時においてステートフルな切り替えが可能
3.スムーズなアップグレード
バージョンアップ時には、2ノード間で異なるJunos OSバージョンをサポートし、メンテナンス時の影響を最小化
上記特徴を表で示すと以下の通りとなります。
※Chassis Cluster:JuniperのSRXシリーズで従来からサポートされていたFW冗長化機能
MNHAとChassis Clusterの機能比較
2-3.Multinode High Availabilityのトラフィックフローについて
MNHAでは、2台のSRXがBGPで接続され、それぞれ経路を広報します。ACTIVE機は低いMED値を設定し、トラフィックを優先的に引き寄せます。サンプル構成では、コアルータとBGP接続し、Control PlaneはACTIVE/ACTIVE、Data PlaneはACTIVE/BACKUPです。
MNHAサンプル構成
MNHAの具体的な仕組みについて説明します。
この機能では、Signal Routeと呼ばれる特別なアドレスを設定することで、2台の機器のうちどちらがACTIVEステータスで、どちらがBACKUPステータスか判断します。さらに、トラフィックに付与されるMED値の制御は、Signal Routeの情報を基に、policy-option配下のcondition設定を利用して行います。
詳しくは添付のコンフィグサンプルをご確認ください。
|
set chassis high-availability services-redundancy-group 1 active-signal-route 192.255.255.1 |
MNHAコンフィグサンプル
3. Multinode High Availabilityの効果を検証
実際にMNHAを設定した環境で動作を確認していきます。
3-1.テスト構成、MNHAステータスの確認
テスト構成では、以下の通りSRXがL3でネットワークを直接収容し、外部/内部ネットワークそれぞれに対してBGP接続をしています。
MNHAステータス確認
1号機にてMNHAのステータスを確認すると以下の情報を確認できます。
MNHAステータス確認
3-2.Active機器の切り替え動作を確認
CLIからコマンドを投入し手動でFailoverを実施するケースを確認していきます。
ACTIVE機で以下コマンドを投入して切り替えを実施します。
request chassis high-availability failover services-redundancy-group 1 peer-id 2
結果を確認すると、コマンド投入によって1号機/2号機でステータスが変化していることを確認できます。
この際、BGPで広報する経路のMED値を変更することでトラフィックを制御しています。
切り替え動作の確認
また、テスターで印可したHTTPトラフィックの"Requests Failed"カウントを確認すると0であることが確認できます。
繰り返しになりますがMNHAはバージョンアップ時のOS差分を許容する設計です。
そのため、従来はメンテナンスウインドウを設けて実施していたOSのバージョンアップについても、コマンド投入でACTIVE/BACKUPを手動で切り替え、トラフィックフローを制御、クライアント通信に影響を与えることなく作業可能となります。
HTTPトラフィックロスの確認
MNHAはコントロールプレーンがACTIVE / ACTIVEなので、障害時のBGP張り直しがありません。
また、セッション情報を2台の機器で同期しているため、障害時においても迅速な通信復帰が期待できます。
4. まとめ
本記事では、クラウドネイティブな次世代ファイアウォール冗長化機能「Multinode High Availability(MNHA)」を紹介しました。MNHAは、BGPを活用した柔軟なネットワーク構成、高い耐障害性、運用効率化を実現する優れたソリューションです。
クラウド普及によるインフラの複雑化や、DDoSをはじめとするサイバー攻撃の多様化に対応するには、従来のファイアウォールを見直し、高いSLAを維持できる仕組みの導入が急務となっています。
ハイブリッド環境でも一貫したセキュリティを確保するため、Juniper Networksの「Multinode High Availability」の導入をぜひご検討ください。
エンジニアブログ
Stech I Labに関するお問い合わせは、
こちらのフォームからご連絡ください。
