IBM Cloud Docs
管理インターフェースの構成

管理インターフェースの構成

IBM Cloud® Juniper vSRX ノードは、デフォルトで構成されていない組み込み管理インターフェース (「fxp0」) を備えています。 これらのプライベート・インターフェースを構成して、個々のノードとの通信に使用することができます。これは、高可用性クラスターで 2 次ノードの状況を SSH、ping、SNMP などでモニターするのに便利な場合があります。 vSRX のプライベート IP は 1 次ノードにフローティングするため、2 次ノードに直接アクセスすることはできません。

fxp0 インターフェースの構成には、ゲートウェイのプライベート伝送 VLAN に接続されているサブネットの IP が必要です。 ゲートウェイとともに提供される 1 次サブネットは、使用できる可能性のある IP を含んでいますが、ここでの使用には推奨されません。 これは、1 次サブネットがゲートウェイ・プロビジョニング・インフラストラクチャー用に予約されており、同じポッドに追加のゲートウェイがデプロイされた場合に IP 衝突が発生する可能性があるためです。

プライベート伝送 VLAN に 2 次サブネットを割り振り、このサブネットの IP を使用して、PING アクセスと SSH アクセスのための fxp0 とホスト・ブリッジ・インターフェースを構成します。 これを行うには、以下の手順を実行します。

  1. ポータブル・プライベート・サブネットを注文し、それを vSRX プライベート伝送 VLAN に割り当てます。 このプライベート伝送 VLAN は、ゲートウェイの詳細ページに記載されています。

    ホスト・ブリッジ・インターフェース用に 2 つの IP、および vSRX fxp0 インターフェース用に 2 つの IP をサポートするために、サブネットに少なくとも 8 つのアドレスが含まれていることを確認します。

  2. 新規サブネットから 2 つの IP を使用して、ホスト br0:0 ブリッジ・インターフェースを構成します。 以下に例を示します。

    Ubuntu ホスト 0 上: ifconfig br0:0 10.177.75.140 netmask 255.255.255.248

    Ubuntu ホスト 1 上: ifconfig br0:0 10.177.75.141 netmask 255.255.255.248

  3. 各 Ubuntu ホストの /etc/network/interfaces を変更して、リブートしてもブリッジ・インターフェース構成が保持されるようにします。 以下に例を示します。

    auto br0:0
iface br0:0 inet static
address 10.177.75.140
netmask 255.255.255.248
post-up /sbin/ifconfig br0:0 10.177.75.140 netmask 255.255.255.248

  4. 2 つの IP を vSRX fxp0 インターフェースに割り当て、2 次ノードの fxp0 インターフェースにアクセスするためのバックアップ・ルーター構成を作成します。

    set groups node0 interfaces fxp0 unit 0 family inet address 10.177.75.138/29
set groups node1 interfaces fxp0 unit 0 family inet address 10.177.75.139/29
set groups node0 system backup-router 10.177.75.137 destination [ 0.0.0.0/1 128.0.0.0/1 ]
set groups node1 system backup-router 10.177.75.137 destination [ 0.0.0.0/1 128.0.0.0/1 ]

    バックアップ・ルーターの構成に関する追加情報については、 この Juniper の記事を参照してください。

  5. サブネットへの静的ルートを作成します。 以下に例を示します。

    set routing-options static route 10.177.75.136/29 next-hop 10.177.75.137

  6. fxp0 管理インターフェースへの PING と SSH を許可するファイアウォール・フィルターを作成します。

    set firewall filter PROTECT-IN term PING from destination-address 10.177.75.136/29
set firewall filter PROTECT-IN term SSH from destination-address 10.177.75.136/29