Implantação de firewall virtual vSRX em infraestrutura de nuvem Oracle

Os tópicos desta seção ajudam você a lançar instâncias de firewall virtual vSRX na infraestrutura de nuvem Oracle.

Visão geral

Este tópico oferece uma visão geral e pré-requisitos para implantar firewall virtual de firewall virtual vSRX em infraestrutura de nuvem Oracle. O firewall virtual vSRX oferece serviços de segurança e rede para ambientes oracle cloud privados ou públicos virtualizados.

A partir do Junos OS Release 20.4R2, o firewall virtual vSRX 3.0 está disponível para implantações de OCI.

Nota:

A imagem do firewall virtual vSRX 3.0 não está disponível no OCI Marketplace. Você deve baixar o software vSRX Virtual Firewall 3.0 dos Downloads de suporte da Juniper e fazer o upload em um compartimento de OCI.

Pré-requisitos
Topologia de exemplo

Pré-requisitos

Certifique-se de ter contas e permissões adequadas antes de tentar implantar o firewall virtual vSRX na OCI.
Copie a imagem .oci em um compartimento de armazenamento de objetos em sua conta OCI.

Um nome de arquivo de exemplo é junos-vsrx3-x86-64-xxxx.oci. Após a compra do software vSRX Virtual Firewall 3.0, você pode baixar o software a partir da página de suporte da Juniper .

Nota:
Extensões de imagem .oci são criadas para que as imagens do firewall virtual vSRX sejam implantadas em OCI. Isso porque, na OCI, quando as imagens qcow2 são implantadas, a emulação padrão selecionada para o vNIC é e-1000.As imagens .oci do firewall virtual vSRX passam os metadados necessários para que o tipo de emulação seja definido para virtIO após a implantação do firewall virtual vSRX que garante uma taxa de transferência melhor.
Crie sub-redes de rede virtual para sua implantação.

Para uma melhor compreensão das interfaces oracle e seu uso em implantações vSRX Virtual Firewall 3.0, veja Entenda a implantação do firewall virtual vSRX em infraestrutura de nuvem Oracle.

Topologia de exemplo

Uma configuração de nuvem comum inclui hosts que você deseja conceder acesso à Internet, mas você não quer que ninguém de fora de sua nuvem tenha acesso aos seus hosts. Você pode usar o firewall virtual vSRX na OCI para o tráfego NAT dentro da OCI a partir da Internet pública.

O diagrama mostra um exemplo de VCN com três sub-redes:

Público (10.0.1.0/24), para interfaces de gerenciamento com acesso à internet por meio de um gateway de internet
Público (10.0.2.0/24), para interfaces de receita (dados) com acesso à internet por meio de um gateway de internet
Privada (10.0.3.0/24), uma sub-rede privada sem acesso à internet

A topologia a seguir é usada como exemplo para esta implantação.

Figura 1: Exemplo de VCN para implantação de firewall virtual vSRX na OCI Example VCN for vSRX Virtual Firewall Deployment in OCI

Lançar instâncias de firewall virtual vSRX na OCI

Este tópico fornece detalhes sobre como você pode lançar instâncias de firewall virtual vSRX na OCI.

Faça login no console de gerenciamento de OCI. O Console é uma interface gráfica intuitiva que permite criar e gerenciar suas instâncias, redes de nuvem e volumes de armazenamento, bem como seus usuários e permissões. Após sua inscrição, a página inicial do console é exibida.
Escolha um recurso interno para seus recursos.
Os compartimentos ajudam você a organizar e controlar o acesso aos seus recursos. Um comparativo é uma coleção de recursos relacionados (como redes de nuvem, instâncias de computação ou volumes de bloqueio) que só podem ser acessados por esses grupos que receberam permissão de um administrador em sua organização. Por exemplo, um compartimento poderia conter todos os servidores e volumes de armazenamento que compõem a versão de produção do sistema de Recursos Humanos da sua empresa. Somente usuários com permissão para esse compartimento podem gerenciar esses servidores e volumes.
- Abra o menu de navegação. Em infraestrutura de núcleo, vá para redes e clique em Redes virtuais de nuvem.
- Selecione o compartimento de sandbox (ou o compartimento designado pelo seu administrador) da lista à esquerda. Se o compartimento de Sandbox não existir, você pode criar. Para obter mais informações, veja Criação de um compartimento.
Carregue o .oci na plataforma OCI.
1. No menu principal clique em Armazenamento de objetos.
  
  Figura 2: Armazenamento de objetos
2. Selecione o compartimento em que você deseja criar o balde. Se você já tiver um balde, clique no nome de "seu balde". Ou criar um balde.
  
  Figura 3: Criar balde
3. Em seguida, clique em Carregar objetos.
  
  Forneça as informações necessárias quando uma janela pop-up aparecer.
  
  Figura 4: Carregue objetos
  
  Veja os detalhes do objeto: após a carga da imagem .oci, escolha o objeto diretamente clique no objeto e selecione Detalhes do objeto.
  
  Figura 5: Veja detalhes do objeto
  
  Nota:
  Haverá um caminho de URL para este objeto como ID OCI, que pode ser usado durante a importação de imagens.
Crie uma rede de nuvem virtual (VCN) com sub-redes. Várias sub-redes em uma única rede VCN são possíveis.
Em seguida, você lançará sua instância em uma das sub-redes do seu VCN e se conectará a ela.

Nota:
Certifique-se de que o compartimento de sandbox (ou o compartimento designado para você) seja selecionado na lista Descasamento à esquerda.
1. Abra o menu de navegação . Em infraestrutura de núcleo, vá para redes e clique em Redes virtuais de nuvem.
2. Clique em Criar VCN e insira os dados para VCN Name, Container, selecione um bloco CIDR IPv4 DE VCN, bloco CIDR de sub-rede pública. Aceite os padrões para quaisquer outros campos e clique em Criar VCN.
Figura 6: Crie uma rede de nuvem virtual

Figura 7: Bloco CIDR

A rede de nuvem criada terá recursos como Internet e gateway NAT, gateway de serviço com acesso à Oracle Services Network, uma sub-rede pública regional com acesso ao gateway da internet e uma sub-rede privada regional com acesso ao gateway NAT e gateway de serviços.
Crie sub-redes para o VCN de firewall virtual vSRX criado.

O firewall virtual vSRX requer duas sub-redes públicas e uma ou mais sub-redes privadas para cada grupo de instâncias individuais. Uma sub-rede pública é para a interface de gerenciamento (fxp0), e a outra é para uma interface de receita (dados). As sub-redes privadas, conectadas às outras interfaces de firewall virtual vSRX, garantem que todo o tráfego entre aplicativos nas sub-redes privadas e na internet deve passar pela instância de firewall virtual vSRX.
1. Configure a sub-rede pública (interface de gerenciamento)
  
  Para criar esta sub-rede pública, clique em Criar sub-rede e definir uma regra de rota para a tabela de roteamento Tabela de rota padrão na qual o gateway da Internet é configurado como o alvo de rota para todo o tráfego (0.0.0.0/0), conforme mostrado abaixo.
  
  Figura 8: Regras de rota
  
  Para obter mais informações sobre como criar sub-redes, veja VCNs e Sub-redes.
  
  Para a lista de segurança da sub-rede Lista de segurança padrão, crie uma regra de saída para permitir o tráfego para todos os destinos. Crie regras de entrada que permitam o acesso na porta TCP 22 a partir da internet pública e na porta TCP 80/443 para acessar o aplicativo web pela internet pública, conforme mostrado abaixo.
  
  Figura 9: Regras stateful (lista de segurança padrão)
2. Configure a sub-rede pública (interface de receita)
  
  Crie esta sub-rede pública e defina uma regra de rota para a tabela de rotas RT pública na qual o gateway de internet é configurado como a meta de rota para todo o tráfego (0.0.0.0/0).
  
  Para a lista de segurança da sub-rede SL de sub-rede pública, crie uma regra de saída para permitir o tráfego para todos os destinos. Crie regras de entrada que permitam o acesso na porta TCP 80/443 para acessar o aplicativo web pela internet pública e no ICMP, se necessário, para verificar a conectividade conforme mostrado abaixo.
  
  Figura 10: Regras stateful (Lista de segurança de sub-rede pública)
3. Configure a sub-rede privada
  
  Crie esta sub-rede privada e defina uma regra de rota para a tabela de rotas RT privada na qual o firewall virtual vSRX segundo o endereço IP privado (10.0.3.3) do vNIC é configurado como o alvo de rota para todo o tráfego 0.0.0.0/0.
  
  Nota:
  Configure a regra de rota depois de criar e anexar os VNICs secundários.
Crie um gateway de Internet. Para criar um gateway de internet clique em Gateways da Internet, defina um gateway de internet para que o firewall virtual vSRX possa ser acessável de fora.

Figura 11: Gateway de Internet
Informações da lista de segurança para habilitar a opção SSH. Selecione a lista de segurança padrão e as Regras de entrada, como a regra do ICMP, para permitir o ping do tráfego, configurando a CIDR de origem de qualquer.

Figura 12: Informações da lista de segurança
Crie sua instância de firewall virtual vSRX no VNC criado.
1. Abra o menu de navegação. Em infraestrutura de núcleo, selecione a computação e clique em Instâncias e clique em Criar instâncias.
2. Figura 13: Crie uma instância de computação
3. Na página criar instâncias , digite o nome da sua instância.
4. Escolha um sistema operacional ou uma fonte de imagem: Clique na imagem e clique na Fonte da Imagem para selecionar a imagem que você deseja usar. Selecione imagens personalizadas e escolha a imagem do compartimento. Imagem do firewall virtual OCI vSRX que você deseja e depois clique em Selecionar imagem.
  .
  Tipo de instância — Máquina virtual.
5. Escolha a forma da instância: clique em Alterar a forma para selecionar a forma de OCI predefinida padrão. Selecione o VM standard 2.4, que tem 4 NICs e 4 OCPUs e clique em Selcect Shape.
  
  Nota:
  O firewall virtual vSRX precisa de um mínimo de 2 vCPUs para ser lançado.
6. Na guia Redes , selecione o compartimento da rede de nuvem virtual, rede de nuvem virtual, sub-redes, sub-rede.
7. Para criar um endereço IP público para a instância, selecione a opção atribuir uma opção de endereço IPv4 pública .
  
  Nota:
  Aceite opções padrão para disponibilidade de domínio, tipo de instância e forma de instância.
8. Adicione chaves SSH: na guia Adicionar chaves SSH , você pode colar uma chave pública selecionando a opção de teclas públicas de pasta e colar a chave SSH pública que foi gerada ou criar uma nova chave SSH para acessar o firewall virtual vSRX e, em seguida, clicar em Criar.
Após alguns minutos, podemos ssh a instância usando o IP público alocado para a instância (isso seria exibido na instância). Reinicialize a instância após adicionar interfaces.

A instância é exibida no Console em um estado de provisionamento. Espere que o provisionamento leve vários minutos antes das atualizações de status para a execução. Não atualize a página. Depois que a instância estiver sendo executada, permita que o sistema operacional inicializa mais alguns minutos antes de tentar se conectar. Quando estiver pronto para se conectar à instância, observe tanto o endereço IP público quanto a senha inicial.

Após o provisionamento da instância, os detalhes sobre ela aparecem na lista de instâncias conforme mostrado abaixo.

Figura 14: Instância de firewall virtual vSRX lançada na OCI
Nota:
O nome de usuário padrão para a instância de firewall virtual vSRX é oci-user. Por exemplo, fazer login no firewall virtual vSRX usando SSH:
Adicionando interfaces para o tráfego.
As interfaces de rede precisam ser adicionadas após a criação da instância.
1. Clique em VNICs anexados e selecione Criar VNIC (ge000 -público e ge001-private). Selecione a sub-rede criada e clique em Salvar alterações para adicionar VNICs à instância.
  
  Nota:
  A ordem de anexação de interfaces de rede é importante. Você deve mapear a primeira interface de rede para o fxp0, depois a segunda interface para ge-0/0/0, depois para ge-0/0/1 e assim por diante.
  
  Figura 15: VNICs conectados
Conecte-se à instância de firewall virtual vSRX lançada. Abra seu cliente SSH para acessar a instância de firewall virtual vSRX lançada. No primeiro boot, você só pode SSH o firewall virtual vSRX. O firewall virtual vSRX é inicializado com a configuração OCI padrão. Use sua chave privada para SSH na instância de firewall virtual vSRX.