Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Use o Cloud-Init em um ambiente OpenStack para automatizar a inicialização de instâncias de firewall virtual vSRX

A partir do Junos OS Release 15.1X49-D100 e junos OS Release 17.4R1, o pacote de init na nuvem (versão 0,7x) vem pré-instalado na imagem do firewall virtual vSRX para ajudar a simplificar a configuração de novas instâncias de firewall virtual vSRX operando em um ambiente OpenStack de acordo com um arquivo de dados do usuário especificado. A init na nuvem é realizada durante o inicial inicial inicial de uma instância de firewall virtual vSRX.

A init na nuvem é um pacote de software OpenStack para automatizar a inicialização de uma instância de nuvem no boot-up. Ele está disponível no Ubuntu e na maioria dos principais sistemas operacionais Linux e FreeBSD. A init na nuvem foi projetada para oferecer suporte a vários provedores de nuvem diferentes para que a mesma imagem de máquina virtual (VM) possa ser usada diretamente em vários hipervisores e instâncias de nuvem sem qualquer modificação. O suporte de init na nuvem em uma instância de VM é executado no momento do inicialização (inicialização da primeira vez) e inicializa a instância VM de acordo com o arquivo de dados do usuário especificado.

Um arquivo de dados do usuário é uma chave especial no serviço de metadados que contém um arquivo que aplicativos conscientes da nuvem na instância de VM podem acessar em um boot de primeira linha. Neste caso, é o arquivo de configuração validado do Junos OS que você pretende enviar para uma instância de firewall virtual vSRX como a configuração ativa. Este arquivo usa a sintaxe de comando padrão do Junos OS para definir detalhes da configuração, como senha raiz, endereço IP de gerenciamento, gateway padrão e outras declarações de configuração.

Ao criar uma instância de firewall virtual vSRX, você pode usar a init na nuvem com um arquivo de configuração do Junos OS validado (juniper.conf) para automatizar a inicialização de novas instâncias de firewall virtual vSRX. O arquivo de dados do usuário usa a sintaxe padrão do Junos OS para definir todos os detalhes de configuração para sua instância de firewall virtual vSRX. A configuração padrão do Junos OS é substituída durante o lançamento da instância de firewall virtual vSRX com uma configuração validada do Junos OS que você fornece na forma de um arquivo de dados do usuário.

Nota:

Se usar uma versão antes do Junos OS Release 15.1X49-D130 e Junos OS Release 18.4R1, o arquivo de configuração de dados do usuário não pode exceder 16 KB. Se o seu arquivo de dados de usuário exceder esse limite, você deve comprimir o arquivo usando gzip e usar o arquivo comprimido. Por exemplo, o comando gzip junos.conf resulta no arquivo junos.conf.gz.

A partir do Junos OS Release 15.1X49-D130 e Junos OS Release 18.4R1, se estiver usando uma fonte de dados de unidade de configuração em um ambiente OpenStack, o tamanho do arquivo de configuração de dados do usuário pode ser de até 64 MB.

A configuração deve ser validada e incluir detalhes para a interface, login e autenticação do switch. Ele também deve ter uma rota padrão para tráfego no fxp0. Se alguma dessas informações estiver ausente ou incorreta, a instância é inacessível e você deve lançar uma nova.

Aviso:

Certifique-se de que o arquivo de configuração de dados do usuário não esteja configurado para realizar a autoinstalação em interfaces usando o Protocolo de configuração dinâmica de host (DHCP) para atribuir um endereço IP ao firewall virtual vSRX. A autoinstalação com DHCP resultará em uma "falha de confirmação" para o arquivo de configuração de dados do usuário.

Começando pelo Junos OS Release 15.1X49-D130 e Junos OS Release 18.4R1, a funcionalidade de init na nuvem no firewall virtual vSRX foi estendida para oferecer suporte ao uso de uma fonte de dados de unidade de configuração em um ambiente OpenStack. A unidade de configuração usa o atributo de dados do usuário para passar um arquivo de configuração validado do Junos OS para a instância de firewall virtual vSRX. Os dados do usuário podem ser simples texto ou texto do tipo de arquivo MIME/simples. A unidade de configuração é normalmente usada em conjunto com o serviço compute, e está presente na instância como uma partição de disco rotulada config-2. A unidade de configuração tem um tamanho máximo de 64 MB e deve ser formatada com o sistema de arquivos vfat ou ISO 9660.

A fonte de dados da unidade de configuração também oferece flexibilidade para adicionar mais de um arquivo que pode ser usado para configuração. Um caso de uso típico seria adicionar um arquivo de configuração day0 e um arquivo de licença. Neste caso, existem dois métodos que podem ser empregados para usar uma fonte de dados de unidade de configuração com uma instância de firewall virtual vSRX:

  • Dados do usuário (arquivo de configuração do Junos OS) sozinho — essa abordagem usa o atributo de dados do usuário para passar o arquivo de configuração do Junos OS para cada instância de firewall virtual vSRX. Os dados do usuário podem ser simples texto ou texto do tipo de arquivo MIME/simples.

  • Arquivo de configuração e arquivo de licença do Junos OS — Essa abordagem usa a fonte de dados de unidade de configuração para enviar a configuração do Junos OS e o(s) arquivo(s) de licença para cada instância de firewall virtual vSRX.

    Nota:

    Se um arquivo de licença deve ser configurado no firewall virtual vSRX, é recomendável usar a opção –file em vez da opção user-data de fornecer flexibilidade para configurar arquivos maiores que o limite de 16 KB de dados do usuário.

Para usar uma fonte de dados de unidade de configuração para enviar a configuração do Junos OS e o(s) arquivo(s) de licença para uma instância de firewall virtual vSRX, os arquivos precisam ser enviados em uma estrutura de pasta específica. Neste aplicativo, a estrutura da pasta da configuração impulsiona a fonte de dados no firewall virtual vSRX é a seguinte:

//OpenStack//latest/junos-config/configuration.txt

//OpenStack//latest/junos-license/license.lic

Antes de começar:

  • Crie um arquivo de configuração com a sintaxe de comando do Junos OS e salve-o. O arquivo de configuração pode ser texto simples ou texto/simples do tipo de arquivo MIME. A string #junos-config deve ser a primeira linha do arquivo de configuração de dados do usuário antes da configuração do Junos OS.

    Nota:

    A #junos-config string é obrigatória no arquivo de configuração de dados do usuário; se não estiver incluído, a configuração não será aplicada à instância de firewall virtual vSRX como configuração ativa.

  • Determine o nome da instância de firewall virtual vSRX que você deseja inicializar com um arquivo de configuração validado do Junos OS.

  • Determine o sabor para sua instância de firewall virtual vSRX, que define a capacidade de computação, memória e armazenamento da instância de firewall virtual vSRX.

  • A partir do Junos OS Release 15.1X49-D130 e Junos OS Release 18.4R1, se estiver usando uma unidade de configuração, garanta que os seguintes critérios sejam atendidos para permitir o suporte de init na nuvem para uma unidade de configuração no OpenStack:

    • A unidade de configuração deve ser formatada com o sistema ou iso9660 o vfat sistema de arquivos.

      Nota:

      O formato padrão de uma unidade de configuração é um sistema de arquivos ISO 9660. Para especificar explicitamente o formato ISO 9660/vfat, adicione a config_drive_format=iso9660/vfat linha ao nova.conf arquivo.

    • A unidade de configuração deve ter um rótulo de sistema de arquivos de config-2.

    • O tamanho da pasta não deve ser superior a 64 MB.

Dependendo do seu ambiente OpenStack, você pode usar uma interface de linha de comando OpenStack (como nova boot ou openstack server create) ou o Painel OpenStack ("Horizon") para lançar e inicializar uma instância de firewall virtual vSRX.

Realize a configuração automática de uma instância de firewall virtual vSRX usando uma interface de linha de comando OpenStack

Você pode lançar e gerenciar uma instância de firewall virtual vSRX usando os comandos ou openstack server create comandos, o nova boot que inclui o uso de um arquivo de dados de usuário de configuração do Junos OS validado do seu diretório local para inicializar a configuração ativa da instância de firewall virtual vSRX.

Para iniciar a configuração automática de uma instância de firewall virtual vSRX a partir de um cliente da linha de comando OpenStack:

  1. Se você ainda não o tiver feito, crie um arquivo de configuração com a sintaxe de comando do Junos OS e salve o arquivo. O arquivo de configuração pode ser texto simples ou texto/simples do tipo de arquivo MIME.

    O arquivo de configuração de dados do usuário deve conter a configuração completa do firewall virtual vSRX que deve ser usada como configuração ativa em cada instância do firewall virtual vSRX, e a corda #junos-config deve ser a primeira linha do arquivo de configuração de dados do usuário antes da configuração do Junos OS.

    Nota:

    A #junos-config string é obrigatória no arquivo de configuração de dados do usuário; se não estiver incluído, a configuração não será aplicada à instância de firewall virtual vSRX como configuração ativa.
  2. Copie o arquivo de configuração do Junos OS para um local acessível de onde ele pode ser recuperado para lançar a instância de firewall virtual vSRX.
  3. Dependendo do seu ambiente OpenStack, use o nova boot ou openstack server create o comando para lançar a instância de firewall virtual vSRX com um arquivo de configuração do Junos OS validado como os dados de usuário especificados.
    Nota:

    Você também pode usar o nova boot equivalente em um serviço de orquestração, como o HEAT.

    Por exemplo:

    • nova boot -user-data </path/to/vsrx_configuration.txt> --image vSRX_image --flavor vSRX_flavor_instance

    • openstack server create -user-data </path/to/vsrx_configuration.txt> --image vSRX_image --flavor vSRX_flavor_instance

      Onde:

      -user-data </path/to/vsrx_configuration.txt> especifica a localização do arquivo de configuração do Junos OS. O tamanho do arquivo de configuração de dados do usuário é limitado a aproximadamente 16.384 bytes.

      --image vSRX_image identifica o nome de uma imagem exclusiva do firewall virtual vSRX.

      --flavor vSRX_flavor_instance identifica o sabor do firewall virtual vSRX (ID ou nome).

    A partir do Junos OS Release 15.1X49-D130 e Junos OS Release 18.4R1, para permitir o uso de uma unidade de configuração para uma solicitação específica no ambiente de computação OpenStack, inclua o -config-drive true parâmetro no comando ou openstack server create no nova boot comando.

    Nota:

    É possível habilitar a unidade de configuração automaticamente em todas as instâncias configurando o serviço OpenStack Compute para sempre criar uma unidade de configuração. Para fazer isso, especifique a opção force_config_drive=True no nova.conf arquivo.

    Por exemplo, usar o atributo de dados do usuário para passar a configuração do Junos OS a cada instância do firewall virtual vSRX:

    nova boot -config-drive true -flavor vSRX_flavor_instance -image vSRX_image -user-data </path/to/vsrx_configuration.txt>

    Onde:

    -user-data </path/to/vsrx_configuration.txt> especifica a localização do arquivo de configuração do Junos OS. O tamanho do arquivo de configuração de dados do usuário é limitado a aproximadamente 64 MB.

    -image vSRX_image identifica o nome de uma imagem exclusiva do firewall virtual vSRX.

    -flavor vSRX_flavor_instance identifica o sabor do firewall virtual vSRX (ID ou nome).

    Por exemplo, para especificar a unidade de configuração com vários arquivos (arquivo de configuração e arquivo de licença do Junos OS):

    nova boot -config-drive true -flavor vSRX_flavor_instance -image vSRX_image [-file /config/junos-config/configuration.txt=/path/to/file] [-file /junos-license/license.lic=path/to/license]

    Onde:

    [-file /config/junos-config/configuration.txt=/path/to/file] especifica a localização do arquivo de configuração do Junos OS.

    [-file /config/junos-license/license.lic=path/to/license] especifica a localização do arquivo de configuração do Junos OS.

    -image vSRX_image identifica o nome de uma imagem exclusiva do firewall virtual vSRX.

    -flavor vSRX_flavor_instance identifica o sabor do firewall virtual vSRX (ID ou nome).

  4. Inicialize ou reinicialize a instância de firewall virtual vSRX. Durante a sequência inicial de inicialização, a instância de firewall virtual vSRX processa a solicitação de init na nuvem.
    Nota:

    O tempo de inicialização para a instância de firewall virtual vSRX pode aumentar com o uso do pacote de init na nuvem. Esse tempo adicional na sequência inicial de inicialização se deve às operações realizadas pelo pacote de init da nuvem. Durante esta operação, o pacote de init na nuvem interrompe a sequência de inicialização e realiza uma busca pelos dados de configuração em cada fonte de dados identificada no cloud.cfg. O tempo necessário para procurar e preencher os dados da nuvem é diretamente proporcional ao número de fontes de dados definidas. Na ausência de uma fonte de dados, o processo de busca continua até que atinja um tempo limite predefinido de 30 segundos para cada fonte de dados.

  5. Quando a sequência inicial de inicialização é reiniciada, o arquivo de dados do usuário substitui a configuração original do Junos OS padrão de fábrica carregada na instância de firewall virtual vSRX. Se o commit for bem-sucedido, a configuração padrão de fábrica será substituída permanentemente. Se a configuração não for suportada ou não puder ser aplicada à instância de firewall virtual vSRX, o firewall virtual vSRX será inicializado usando a configuração padrão do Junos OS.

Veja também

Realize a configuração automática de uma instância de firewall virtual vSRX a partir do painel do OpenStack (Horizon)

Horizon é a implementação canônica do painel do OpenStack. Ele oferece uma interface de usuário baseada na Web para serviços OpenStack, incluindo Nova, Swift, Keystone e assim por diante. Você pode lançar e gerenciar uma instância de firewall virtual vSRX a partir do Painel OpenStack, que inclui o uso de um arquivo de dados de usuário de configuração do Junos OS validado do seu diretório local para inicializar a configuração ativa da instância de firewall virtual vSRX.

Para iniciar a configuração automática de uma instância de firewall virtual vSRX a partir do painel do OpenStack:

  1. Se você ainda não o tiver feito, crie um arquivo de configuração com a sintaxe de comando do Junos OS e salve o arquivo. O arquivo de configuração pode ser texto simples ou texto/simples do tipo de arquivo MIME.

    O arquivo de configuração de dados do usuário deve conter a configuração completa do firewall virtual vSRX que deve ser usada como configuração ativa em cada instância do firewall virtual vSRX, e a corda #junos-config deve ser a primeira linha do arquivo de configuração de dados do usuário antes da configuração do Junos OS.

    Nota:

    A #junos-config string é obrigatória no arquivo de configuração de dados do usuário; se não estiver incluído, a configuração não será aplicada à instância de firewall virtual vSRX como configuração ativa.
  2. Copie o arquivo de configuração do Junos OS para um local acessível de onde ele pode ser recuperado para lançar a instância de firewall virtual vSRX.
  3. Faça login no painel do OpenStack usando suas credenciais de login e selecione o projeto apropriado no menu suspenso no canto superior esquerdo.
  4. Na guia Projeto, clique na guia Computação e selecione Instâncias. O painel mostra as várias instâncias com seu nome de imagem, seus endereços IP privados e flutuantes, tamanho, status, zona de disponibilidade, tarefa, estado de energia etc.
  5. Clique em Instância de lançamento. A caixa de diálogo da instância de lançamento aparece.
  6. Na guia Detalhes (veja Figura 1), digite um nome de instância para vM de firewall virtual vSRX, juntamente com a zona de disponibilidade associada (por exemplo, Nova) e clique em Next. Recomendamos que você mantenha esse nome da mesma forma que o nome de host atribuído ao VM de firewall virtual vSRX.
    Figura 1: Guia Launch Instance Details Tab de detalhes da instância de lançamento
  7. Na guia Fonte (veja Figura 2), selecione um arquivo de origem da imagem vSRX Virtual Firewall VM da lista disponível e clique em +(Plus). A imagem selecionada do firewall virtual vSRX aparece emLoced. Clique em seguida.
    Figura 2: Guia Launch Instance Source Tab de origem da instância de lançamento
  8. Na guia Flavor (ver Figura 3), selecione uma instância de firewall virtual vSRX com uma capacidade específica de computação, memória e armazenamento da lista disponível e clique em +(mais sinal). O sabor do firewall virtual vSRX selecionado aparece em Alocação. Clique em seguida.
    Figura 3: Guia Launch Instance Flavor Tab de sabor de instância de lançamento
  9. Na guia Redes (veja Figura 4), selecione a rede específica da instância de firewall virtual vSRX na lista disponível e clique em +(mais assinar). A rede selecionada aparece emLoced. Clique em seguida.
    Nota:

    Não atualize nenhum parâmetro nas portas de rede, grupos de segurança ou guias de pares-chave na caixa de diálogo da instância de lançamento.
    Figura 4: Guia Launch Instance Networks Tab de redes de instância de lançamento
  10. Na guia Configuração (ver Figura 5), clique em Navegar e navegar até a localização do arquivo de configuração validado do Junos OS do seu diretório local que você deseja usar como arquivo de dados do usuário. Clique em seguida.
    Figura 5: Guia Launch Instance Configuration Tab de configuração de instância de lançamento
  11. Confirme que a configuração carregada do Junos OS contém a #junos-config string na primeira linha do arquivo de configuração de dados do usuário (ver Figura 6) e clique em Seguir.
    Nota:

    Não atualize nenhum parâmetro na guia metadados da caixa de diálogo de instância de lançamento.
    Figura 6: Guia de configuração de instância de lançamento com configuração Launch Instance Configuration Tab with Loaded Junos OS Configuration carregada do Junos OS
  12. Clique em Instância de lançamento. Durante a sequência inicial de inicialização, a instância de firewall virtual vSRX processa a solicitação de init na nuvem.
    Nota:

    O tempo de inicialização para a instância de firewall virtual vSRX pode aumentar com o uso do pacote de init na nuvem. Esse tempo adicional na sequência inicial de inicialização se deve às operações realizadas pelo pacote de init da nuvem. Durante esta operação, o pacote de init na nuvem interrompe a sequência de inicialização e realiza uma busca pelos dados de configuração em cada fonte de dados identificada no cloud.cfg. O tempo necessário para procurar e preencher os dados da nuvem é diretamente proporcional ao número de fontes de dados definidas. Na ausência de uma fonte de dados, o processo de busca continua até que atinja um tempo limite predefinido de 30 segundos para cada fonte de dados.

  13. Quando a sequência inicial de inicialização é reiniciada, o arquivo de dados do usuário substitui a configuração original do Junos OS padrão de fábrica carregada na instância de firewall virtual vSRX. Se o commit for bem-sucedido, a configuração padrão de fábrica será substituída permanentemente. Se a configuração não for suportada ou não puder ser aplicada à instância de firewall virtual vSRX, o firewall virtual vSRX será inicializado usando a configuração padrão do Junos OS.

Veja também

Tabela de histórico de lançamentos
Lançamento
Descrição
15,1X49-D130
Começando pelo Junos OS Release 15.1X49-D130 e Junos OS Release 18.4R1, a funcionalidade de init na nuvem no firewall virtual vSRX foi estendida para oferecer suporte ao uso de uma fonte de dados de unidade de configuração em um ambiente OpenStack. A unidade de configuração usa o atributo de dados do usuário para passar um arquivo de configuração validado do Junos OS para a instância de firewall virtual vSRX.
15,1X49-D100
A partir do Junos OS Release 15.1X49-D100 e junos OS Release 17.4R1, o pacote de init na nuvem (versão 0,7x) vem pré-instalado na imagem do firewall virtual vSRX para ajudar a simplificar a configuração de novas instâncias de firewall virtual vSRX operando em um ambiente OpenStack de acordo com um arquivo de dados do usuário especificado. A init na nuvem é realizada durante o inicial inicial inicial de uma instância de firewall virtual vSRX.